La Banca d’Italia ha emanato nuove disposizioni di vigilanza prudenziale per le banche in materia di sistema dei controlli interni, sistema informativo e continuità operativa. Le disposizioni, in parte anticipatrici di alcune norme contenute nella direttiva comunitaria Crd IV (con la quale vengono introdotte nell’Unione europea le regole definite dal Comitato di Basilea per la vigilanza bancaria nel dicembre 2010), saranno efficaci a partire dal 1º luglio 2014.
Le banche, entro fine anno dovranno effettuare un’autovalutazione dell’impatto normativo i cui esiti, incluse le misure e i tempi di adeguamento, andranno inviati alla Banca d’Italia.
Il coinvolgimento dei vertici aziendali rappresenta il principio-guida della nuova regolamentazione, in particolare sulle tematiche di governo dei rischi. All’organo con funzione di supervisione strategica è attribuita la responsabilità di definire le politiche di gestione dei rischi stabilendo il livello di rischio accettato nell’ambito di un quadro di riferimento formalizzato (c.d. “Risk Appetite Framework” o “Raf”). All’organo con funzione di gestione compete la responsabilità dell’attuazione, nella piena consapevolezza di tutti i rischi bancari, tenendo presente le numerose interrelazioni esistenti tra gli stessi. Spetta all’organo con funzione di controllo il compito di vigilare sulla completezza, adeguatezza, funzionalità e affidabilità del sistema dei controlli interni.
Le norme richiedono una maggiore attenzione alla definizione delle politiche e dei processi bancari rilevanti (gestione dei rischi, valutazione delle attività aziendali e avvio di nuove attività/prodotti), al disegno e funzionamento dei controlli a tutti i livelli e alla diffusione della cultura del controllo. La crisi economica degli ultimi anni ha messo infatti in evidenza che, senza trascurare l’importanza di disporre di strumenti e modelli di gestione e misurazione dei rischi, appare tuttavia decisivo il modo in cui essi vengono utilizzati all’interno dell’organizzazione bancaria. A questo fine è rilevante l’autorevolezza e l’indipendenza delle funzioni di controllo (risk management, compliance e internal audit); in particolare, il requisito di indipendenza di tali organi deve essere garantita o dall’introduzione di specifiche procedure di nomina e di revoca dei responsabili, dalla fissazione di principi organizzativi (separatezza, modalità di riporto verso gli organi aziendali, etc.) e dall’assegnazione di risorse umane e finanziarie adeguate.
Gli organi aziendali e le funzioni di controllo devono agire in modo coordinato; a tale scopo l’organo con funzione di supervisione approva un documento che formalizzi le modalità di collaborazione tra le diverse funzioni. È richiesta inoltre l’adozione di un codice etico che favorisca lo sviluppo della cultura del controllo in tutte le strutture aziendali.
Sono previste infine novità anche in tema di esternalizzazione delle funzioni aziendali. Le banche devono conservare il controllo e la responsabilità delle attività trasferite al l’esterno, presidiando i rischi connessi a tale scelta organizzativa.