Banca d’Italia: Sistema controlli interni, sistema informativo, continuità operativa.Nuove disposizioni vigilanza, 3 luglio 2013

logo.jpg

  • Fonte: Comunicato di Banca d’Italia (qui in pdf, 39 K, 2 pp.)

Nuove disposizioni di vigilanza prudenziale per le banche

La Banca d’Italia comunica che sono state aggiornate le disposizioni di vigilanza prudenziale per le banche in materia di sistema dei controlli interni, sistema informativo e continuità operativa.
La nuova disciplina costituisce un quadro normativo organico e coerente con le migliori prassi internazionali e con le raccomandazioni dei principali organismi internazionali e si ispira ad alcuni principi di fondo: il coinvolgimento dei vertici aziendali; la visione integrata dei rischi; l’efficienza e l’efficacia dei controlli; l’applicazione delle norme in funzione della dimensione e della complessità operativa delle banche.
Per favorire la diffusione della cultura del controllo, è previsto che le banche si dotino di un codice etico, applicabile a tutti i componenti degli organi aziendali e ai dipendenti.
Le nuove norme sul sistema dei controlli interni - che anticipano anche il recepimento di principi e regole contenuti nella direttiva comunitaria CRD IV - enfatizzano il ruolo degli organi aziendali, sui quali ricade la responsabilità primaria della definizione di un sistema dei controlli interni completo, adeguato, funzionale e affidabile.
Tra i compiti e le responsabilità dell’organo con funzione di supervisione strategica rientrano la definizione del modello di business, degli indirizzi strategici, dei livelli di rischio accettati e l’approvazione dei processi aziendali più rilevanti (gestione dei rischi, valutazione delle attività aziendali e approvazione di nuovi prodotti/servizi).
All’organo con funzione di gestione è richiesto di attuare gli indirizzi strategici, avendo piena comprensione di tutti i rischi aziendali e delle loro interrelazioni. All’organo con funzione di controllo spetta, invece, il compito di vigilare sulla completezza, adeguatezza, funzionalità e affidabilità del sistema dei controlli interni.
Particolare rilievo è dato all’articolazione e al corretto funzionamento dei controlli: le norme chiedono di potenziare tutti i livelli di controllo. Alle banche è chiesto di predisporre un documento che formalizzi le modalità di coordinamento delle attività dei vari organi e funzioni di controllo.
Per assicurare l’indipendenza e l’autorevolezza del risk management, della compliance e dell’internal audit, sono introdotte rigorose procedure di nomina e di revoca dei responsabili; sono previsti presidi organizzativi per garantire l’indipendenza dalle aree di produzione; sono delineate modalità di riporto, gerarchico e funzionale, verso gli organi aziendali.
È stata introdotta una disciplina organica in materia di esternalizzazione delle funzioni aziendali.
Le banche sono tenute a presidiare attentamente i rischi derivanti dall’esternalizzazione, mantenendo la capacità di controllo e la responsabilità delle attività esternalizzate. I requisiti richiesti per procedere ad outsourcing di funzioni aziendali sono graduati in modo diverso a seconda che si tratti di esternalizzazioni all’interno o all’esterno di un gruppo bancario.
La disciplina dei sistemi informativi è stata integralmente rivista, anche per recepire le principali evoluzioni emerse nel panorama internazionale. Oltre a regolamentare le modalità di governo del sistema informativo e di gestione del rischio informatico e i requisiti per assicurare la sicurezza informatica, le disposizioni recepiscono le raccomandazioni della BCE per la sicurezza delle transazioni bancarie tramite internet.
In materia di continuità operativa sono ridefinite le modalità di gestione delle crisi all’interno del sistema finanziario ed è stato formalizzato il ruolo del CODISE, quale struttura di coordinamento presieduta dalla Banca d'Italia, a cui partecipano operatori finanziari e autorità.
Le nuove disposizioni entrano in vigore il 3 luglio 2013 e saranno efficaci a partire dal 1° luglio 2014. Alle banche è richiesto di effettuare entro il 31 dicembre 2013 una autovalutazione della situazione aziendale rispetto alle previsioni della nuova normativa (gap analysis) e di individuare le misure da adottare per assicurarne il rispetto.
Il testo integrale delle nuove disposizioni sarà reso disponibile sul sito della Banca d'Italia al link: http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/vigprud .
Roma, 3 luglio 2013