L’8 luglio 2015 il Comitato di Basilea, con la pubblicazione delle nuove linee guida – Corporate governance principles for banks – ha ridefinito i principi di corporate governance per gli istituti di credito. Tale documento si pone come risposta normativa alla revisione disciplinare sui profili di risk governance degli istituti di credito voluta dal Financial Stability Board (FSB) a partire dal Febbraio 2013 e, alla luce di ciò, integra e sostituisce le precedenti linee guida – Principles for enahancing corporate governance – pubblicate dal Comitato nell’Ottobre del 2010.
Obbiettivo predominante delle nuove disposizioni è quello di introdurre ulteriori presidi disciplinari per il rafforzamento della supervisione collettiva del consiglio di amministrazione e delle sue responsabilità in materia di risk governance. A tal scopo particolare attenzione è stata rivolta alla definizione delle componenti essenziali di tale governance, tra cui assumono peculiare rilevanza la cultura del rischio (risk culture), il cd. appetito al rischio (risk appetite) e la loro interdipendenza con le capacità di assunzione dei rischi da parte degli istituti di credito. Inoltre tali principi definiscono in maniera più specifica il ruolo svolto dal consiglio di amministrazione, dai comitati ausiliari e dall’alta dirigenza aziendale nell’ambito del governo societario, così come vengono ulteriormente raffinate le funzioni di controllo interno.
A tale scopo i nuovi principi si pongono da guida strategica per le decisioni assunte sia dai membri del consiglio di amministrazione e delle funzioni di controllo interno, sia dalla dirigenza aziendale. Tuttavia, appare significativo il fatto che tali linee guida siano rivolte non soltanto al management bancario, ma anche alle autorità di supervisione prudenziale, le quali potranno a loro volta utilizzare tali principi per valutare il buon funzionamento e la resilienza del processi interni messi in campo dagli istituti di credito.
Si deve sottolineare inoltre che nella definizione di tali principi il Comitato di Basilea ha fatto salvo il principio di proporzionalità, il quale dovrà informare la concreta attuazione di tali disposizioni nei quadri normativi nazionali, facendo riferimento, tra gli altri, alla dimensione, complessità, struttura e al profilo di rischio della banca o del gruppo a cui appartiene. Infine il Comitato di Basilea riconosce esplicitamente la sussistenza di differenze – anche significative – regolamentari in materia di corporate governance caratterizzanti le varie giurisdizioni nazionali. Alla luce di ciò, come salvaguardia della coerenza normativa, le linee guida garantiscono una certa elasticità giuridica nella trasposizione dei principi a livello nazionale.
Ciò detto, i principi di governance societaria introdotti dal Comitato sono i seguenti:
1) Il consiglio di amministrazione ha la responsabilità complessiva dell’istituto di credito, inclusa l’approvazione e la supervisione dell’alta dirigenza nell’attuazione degli obbiettivi strategici della banca, del regime di governance e della cultura societaria.
In particolare, il consiglio di amministrazione assume un ruolo primario nella definizione e nella gestione degli affari societari, nonché nell’aggiornamento delle strategie operative al verificarsi di cambiamenti materiali nelle attività dell’istituto bancario e nelle condizioni esterne di mercato.
Ciò promesso, le linee guida assegnano particolare rilevanza alla definizione e al mantenimento di un’adeguata cultura societaria che preveda il rafforzamento di norme etiche comportamentali che responsabilizzino i soggetti operanti all’interno dell’organizzazione aziendale. Queste norme dovranno rafforzare la consapevolezza societaria sui rischi cui l’istituto di credito è soggetto. Tale consapevolezza dovrà inoltre riflettere la necessità che i soggetti operanti all’interno della banca non assumano rischi eccessivi e che ognuno sia responsabile nell’assicurare che l’istituto di credito possa operare all’interno dei limiti concordati sull’appetito al rischio. A tale scopo, la banca dovrà dotarsi di appositi presidi organizzativi per una politica di comunicazione, da adottarsi sia all’interno dell’istituto sia nei confronti dell’autorità di vigilanza, che possa favorire lo scambio di informazioni ritenute utili o necessarie.
Nella definizione di questo nuovo quadro di governance, il consiglio di amministrazione sarà tenuto a svolgere una vigilanza attiva, favorendo lo sviluppo di una ben definita cultura del rischio e un appetito al rischio adeguato. A tale scopo, viene potenziato il ruolo del Risk Appetite Statement (RAS), documento nel quale verranno inserite tutte le variabili quantitative e qualitative necessarie per l’individuazione del livello ottimale di rischio che l’istituto di credito intende assumersi. Compito precipuo del consiglio di amministrazione sarà dunque quello di valutare la consistenza delle attività bancarie entro i limiti dell’assunzione di rischio stabiliti, prevendendo altresì azioni disciplinari per i soggetti operanti al di fuori del quadro di rischio ritenuto adeguato.
E’ importante notare infine come, tra le altre cose, le linee guida rinforzano ulteriormente il ruolo di supervisione sull’alta dirigenza svolto dal consiglio di amministrazione, il quale dovrà valutare la coerenza delle azioni intraprese dai dirigenti con le aspettative sulla performance societaria e con l’aderenza ai valori dell’istituto di credito, alla sua cultura societaria e all’appetito al rischio.
2) I componenti del consiglio di amministrazione devono essere e rimanere, individualmente e collettivamente, membri qualificati per il proprio ruolo. Essi devono essere in grado di comprendere il ruolo di supervisione e direzione aziendale da loro svolto e devono essere capaci di esercitare valutazioni prudenti e obbiettive sugli affari dell’istituto di credito.
La ragione di tale principio si fonda sulla necessità che la composizione del consiglio di amministrazione possa svolgere adeguatamente la propria supervisione sull’istituto creditizio nel suo complesso. Per questa ragione, i componenti del consiglio dovranno dimostrare provate capacità tecniche e conoscenze specifiche in relazione alle attività svolte dalla banca, competenze e conoscenze che dovranno essere commisurate – in ragione del principio di proporzionalità – alla dimensione, alla complessità e al profilo di rischio dell’istituto creditizio. Tali competenze non riguarderanno soltanto la conoscenza delle aree di business rilevanti per l’istituto di credito, ma dovranno estendersi sia alla geografia economica, sia al panorama giuridico e regolamentare caratterizzante i mercati nei quali la banca intende operare.
La selezione dei membri del consiglio di amministrazione dovrà avvenire sulla base di rigorosi processi di valutazione e selezione che includano, tra le altre cose, la verifica del possesso delle qualità necessarie a svolgere il ruolo di amministratore, l’integrità morale e reputazionale, la possibilità di dedicare un sufficiente periodo di tempo alla gestione degli affari societari e la capacità di promuovere una iterazione costruttiva con gli altri membri del consiglio di amministrazione.
Per lo svolgimento di tale selezione, dovrà essere disposto un comitato interno – nomination committee – composto da un numero di consiglieri indipendenti, i quali utilizzeranno per le nomine i criteri di selezione descritti.
3) Il consiglio di amministrazione è tenuto a definire appropriate strutture e procedure di governance ai fini del proprio lavoro, e deve disporre dei mezzi necessari per tali procedure, le quali saranno soggette a revisione periodica per garantirne la continua adeguatezza.
Le linee guida del Comitato raccomandano la disposizione da parte del consiglio di amministrazione di una struttura di governance adeguata per il proprio ruolo di controllo societario. A questo proposito il quadro giuridico e statutario riguardante la sua organizzazione deve essere periodicamente aggiornato e deve riflettere continuativamente i diritti, le responsabilità e le attività principali svolte. A motivo di ciò, il consiglio di amministrazione deve svolgere regolarmente delle valutazioni sulla struttura, sulla composizione e sulle procedure del consiglio stesso, sui comitati ausiliari e sui componenti del consiglio, usando eventualmente i risultati ottenuti per rafforzare o sostituire i profili organizzativi ritenuti non soddisfacenti.
Tra i comitati ausiliari definiti nelle linee guida assume particolare rilevanza, ai fini della risk governance, il comitato di rischio (risk committee), la cui costituzione viene richiesta per le banche sistemiche e raccomandata per le altre banche in accordo con il principio di proporzionalità. I componenti del comitato avranno la funzione di discutere tutte le strategie di rischio dell’istituto di credito sia su base aggregata, sia individuale, e dovranno fornire raccomandazioni al consiglio di amministrazione circa la politica di rischio da adottarsi. Inoltre il comitato coadiuverà il consiglio di amministrazione nella valutazione del complessivo appetito al rischio dell’istituto di credito, presente e futuro, nonché svolgerà un ruolo di supervisione nei confronti dell’alta dirigenza sull’attuazione del RAS e della cultura di rischio adottata dalla banca.
Ai fini di una più robusta governance societaria le linee guida prevedono inoltre la costituzione di ulteriori comitati interni, tra cui un comitato sulle remunerazioni (compensation committee), un comitato sulle nomine (nomination/human resources committee) e un comitato etico (Ethics and compliance committee).
Infine disposizioni specifiche vengono delineate per la costituzione di presidi organizzativi volti a scoraggiare eventuali conflitti di interesse. Il consiglio di amministrazione sarà tenuto in particolare ad adottare una conflicts-of-interest policy ed una procedura di compliance adeguata che ne garantisca la piena attuazione. A tal fine, al consiglio è affidata la responsabilità di monitorare in maniera continuativa tale procedura garantendo altresì un appropriato livello di disclosure sulle informazioni che potrebbero evidenziare la sussistenza di possibili conflitti materiali.
4) L’alta dirigenza, sotto la direzione e la supervisione del consiglio di amministrazione, deve attuare e gestire le attività della banca in conformità alla strategia aziendale perseguita, all’appetito al rischio, alle politiche di remunerazione e alle altre politiche approvate dal consiglio di amministrazione.
Con particolare riguardo ai profili organizzativi e gestionali dell’alta dirigenza, le linee guida raccomandano la costituzione di procedure chiare e trasparenti, volte a promuovere una gestione adeguata dell’istituto di credito. Viene richiesto ai dirigenti di disporre di sufficienti competenze tecniche, adeguata esperienza lavorativa e integrità nell’espletamento dei compiti specifici e nella supervisione dei dipendenti. In particolare, il ruolo di alto dirigente deve essere assegnato a seguito di un processo di selezione o di promozione che prenda in considerazione l’acquisizione delle qualifiche richieste per la posizione lavorativa in questione.
Ai fini della risk governance bancaria, l’alta dirigenza ha il compito di attuare le strategie aziendali e i sistemi di gestione del rischio in conformità alle direttive impartite dal consiglio di amministrazione. Inoltre, all’alta dirigenza spetta il compito ulteriore di concretizzare la cultura del rischio, nonché i processi e i controlli per la gestione dei rischi – finanziari e non finanziari – a cui la banca si presume esposta.
5) Per i gruppi, il consiglio di amministrazione della società controllante ha la responsabilità complessiva per il gruppo e deve assicurare l’adozione e il funzionamento di un quadro di governance appropriato alla struttura, alle attività e ai rischi delle entità controllate e del gruppo nel suo complesso.
Più nello specifico, il consiglio di amministrazione della società controllante deve essere consapevole dei rischi materiali e degli altri elementi che possano produrre serie conseguenze negative per il gruppo bancario e per le singole controllate. In ragione di ciò, il consiglio ha il compito di disporre una supervisione adeguata sulle società controllate, nel rispetto delle autonomie giuridiche e delle responsabilità di governance assegnate ai consigli di amministrazione delle singole società appartenenti al gruppo.
I consigli di amministrazione delle società controllate, nonché la loro alta dirigenza, hanno invece il compito di disporre adeguati processi di gestione del rischio per le singole società. In ogni caso, i metodi e le procedure prescelte dovranno conformarsi ai presidi di gestione del rischio stabiliti a livello di gruppo. Inoltre ai membri dei consigli di amministrazione delle società controllate viene assegnato il compito di condurre l’analisi dei rischi a livello locale e/o regionale, mentre la società controllante dovrà assicurare la predisposizione periferica di adeguati strumenti per tali valutazioni. Va sottolineato inoltre che, nonostante gli obbiettivi strategici, la risk governance, i valori e i principi di governance delle società controllate debbano essere conformi ai presidi posti dalla società controllante, spetta ai consigli di amministrazione delle singole società la decisione su eventuali variazioni organizzative resesi necessarie qualora la politica del gruppo sia in conflitto con le disposizioni regolamentari e/o prudenziali, ovvero non sia conforme ad una sana e prudente gestione della società controllata.
Infine, le linee guida raccomandano la predisposizione di specifici presidi organizzativi volti ad evitare e/o mitigare la costituzione di strutture opache o eccessivamente complesse, le quali potrebbero essere d’ostacolo al corretto svolgimento delle valutazioni e gestione dei rischi relativi al gruppo bancario nel suo complesso.
6) Le banche sono tenute a disporre una funzione di risk management adeguata e indipendente, sotto la direzione di un Chief Risk Officer (CRO), di adeguata competenza e indipendenza, che abbia sufficienti risorse e possa interloquire agevolmente con il consiglio di amministrazione.
Centrale nell’edificazione di adeguati presidi di risk governance è il ruolo svolto dalla funzione di risk management, le cui funzioni essenziali vengono brevemente delineate nelle linee guida. Tra gli altri compiti, infatti, si da particolare evidenza all’identificazione materiale dei rischi – idiosincratici o aggregati – che possano emergere nel breve periodo, così come la determinazione quantitativa dei rischi derivanti dalle esposizioni del soggetto bancario. Per tale ragione viene richiesta agli istituti di credito la previsione di un sistema di allarme preventivo (early warning system o trigger system) che permetta la rapida individuazione di eventuali violazioni del profilo di rischio prescelto dalla singola banca. Inoltre, ulteriori presidi di indipendenza vengono posti per i componenti della funzione di risk management, i quali dovranno dimostrare per l’espletamento delle proprie funzioni qualifiche e competenze specifiche, sia con riguardo al mercato, sia con riguardo ai prodotti finanziari offerti.
Per le banche internazionalmente attive e per le altre banche considerate rilevanti sulla base del principio di proporzionalità, il Comitato di Basilea richiede la nomina di un CRO, o di una carica equivalente, al quale sarà affidata la responsabilità complessiva della funzione di risk management. Ciò include non soltanto la responsabilità sulla supervisione dell’unità specifica, ma anche la responsabilità sulla definizione e sullo sviluppo dei sistemi, dei processi e dei modelli quantitativi per il rafforzamento dell’analisi e della gestione del rischio all’interno dell’istituto bancario. Inoltre compito specifico del CRO sarà anche quello di vigilare sulla corretta attuazione del RAS e sulla conformità dell’appetito al rischio della banca entro i limiti di rischio prescelti. Necessaria a tal riguardo sarà la sussistenza di una continua iterazione tra il CRO e il consiglio di amministrazione al fine di supportare un dialogo costruttivo per la risoluzione di eventuali questioni rilevanti ai fini di una adeguata risk governance.
7) I rischi devono essere identificati, monitorati e controllati continuativamente su base sistemica e individuale. Il livello di complessità delle infrastrutture poste in essere dalla banca per le funzioni di risk management e di controllo interno deve riflettere i cambiamenti del profilo di rischio dell’istituto di credito, dei rischi esterni e delle pratiche del settore bancario.
In ragione del principio di proporzionalità, viene previsto nelle linee guida che i presidi di risk governance riguardanti l’identificazione, il monitoraggio ed il controllo dei rischi siano commisurati alle dimensioni, alla complessità e al profilo di rischio prescelto. Tuttavia, i sistemi di identificazione dovranno riguardare tutti i rischi materiali a cui la banca è esposta, compresi i rischi derivanti da attività off-balance sheet, e l’analisi dovrà svolgersi sia a livello di gruppo, sia a livello individuale, che di portfolio.
L’analisi dei rischi inoltre dovrà includere tutti gli elementi di natura quantitativa e qualitativa, e inoltre, particolare attenzione dovrà essere mostrata nei confronti di quelle tipologie di rischio la cui precisa misurazione possa risultare complessa (si pensi ad esempio al rischio reputazionale).
Al fine di garantire la correttezza di tale analisi, le linee guida predispongono una accurata calibrazione delle responsabilità manageriali, delineando inoltre le caratteristiche infrastrutturali ritenute necessarie sia per la corretta analisi dei dati ritenuti necessari ai fini della gestione del rischio, sia per la definizione delle tecniche e dei modelli di risk management da utilizzarsi per l’analisi statistica ed econometrica. In tale ambito, precise disposizioni sono rivolte alla elaborazione di programmi di stress test interni, al fine di valutare la resilienza dell’istituto di credito nel caso si verifichino scenari di mercato particolarmente critici o circostanze strutturali inaspettate.
8) Un adeguato quadro di risk governance richiede una solida comunicazione sui rischi, in tutta l’organizzazione aziendale e mediante segnalazione al consiglio di amministrazione e all’alta dirigenza.
Le linee guida assumono che la costituzione di un’ autentica cultura del rischio all’interno dell’istituto di credito sia possibile solo attraverso lo scambio di informazioni sulle questioni attinenti a rischi cui la banca è esposta. Per tale ragione il Comitato di Basilea evidenzia la necessità di promuovere una struttura di comunicazione interna che permetta uno scambio informativo rapido e accurato tra il consiglio di amministrazione e la dirigenza aziendale, affinché possano essere adottate decisioni sufficientemente informate e tempestive.
Allo stesso modo i sistemi di segnalazione dei rischi al consiglio di amministrazione devono essere strutturati in modo da permettere una concisa e attenta informazione sui rischi cui la banca risulta esposta, nonché sui risultati degli stress test interni e delle altre verifiche eventualmente disposte.
9) Il consiglio di amministrazione della banca è tenuta a vigilare sulla gestione del rischio di compliance dell’istituto di credito. A tal fine il consiglio di amministrazione stabilisce una funzione di compliance e approva le politiche della banca e i processi per l’identificazione, valutazione, monitoraggio e segnalazione del rischio di compliance.
Il Comitato di Basilea raccomanda la costituzione di una funzione di compliance indipendente, che sia responsabile della verifica di integrità dei comportamenti aziendali e di conformità con la legge, i regolamenti e le politiche adottate dall’istituto bancario. A tal fine, è compito del consiglio di amministrazione individuare i principi e i processi organizzativi che devono fondare la costituzione di tale funzione, la cui policy verrà resa operativa dall’alta dirigenza. Il rischio di compliance diventa in questo modo l’oggetto principale della supervisione e gestione di tale policy, la quale dovrà integrare le altre politiche aziendali e gli altri processi operativi al fine di assicurare che l’istituto di credito possa agire responsabilmente, adempiendo alle proprie obbligazioni.
10) La funzione di revisione interna (internal audit) deve essere garanzia d’indipendenza per il consiglio di amministrazione e deve coadiuvare il consiglio di amministrazione e l’alta dirigenza nel promuovere adeguate procedure di governance e la sana e prudente gestione dell’istituto di credito nel lungo periodo.
Le linee guida reiterano l’importanza della funzione di internal auditing nell’assicurare la qualità e l’adeguatezza delle funzioni di controllo interno e di risk management della banca, nonché dei sistemi di governance e dei processi operativi stabiliti. Requisiti fondamentali per l’operatività di tale funzione sono la definizione di un mandato non equivoco, l’indipendenza dei revisori e la propria accountability nei confronti del consiglio di amministrazione.
Infine le linee guida prevedono ulteriori presidi per una proficua collaborazione tra i revisori interni, l’alta dirigenza e il consiglio di amministrazione, costituendo a tal fine una struttura di controllo sufficientemente adeguata.
11) I sistemi di remunerazione della banca devono garantire una sana governance societaria e una sana e prudente gestione del rischio.
In particolare il Comitato di Basilea raccomanda che sia il consiglio di amministrazione ad assumersi il compito di vigilare sull’attuazione delle politiche di remunerazione adottate dall’istituto di credito. Nel far ciò il consiglio di amministrazione dovrà continuativamente verificare che il sistema di remunerazione crei gli incentivi necessari per una efficiente gestione del rischio, del capitale e della liquidità. Inoltre i piani di remunerazione dovranno essere soggetti a revisione almeno annuale.
Alle banche sistemiche è raccomandato di istituire un comitato per le remunerazioni che sia incluso nell’ambito della complessiva struttura di governance dell’istituto, comitato che avrà la responsabilità complessiva sulla supervisione dei processi operativi attinenti ai sistemi di remunerazione.
Una particolare importanza assume la specificazione nelle linee guida che la struttura di remunerazione deve allinearsi alle strategie sul rischio, al business, agli obbiettivi e agli interessi di lungo periodo decisi dall’istituto di credito. A tal fine sarà necessario che la banca adotti presidi organizzativi che possano scoraggiare eventuali conflitti di interesse.
Infine va sottolineato come il Comitato di Basilea cerchi di incoraggiare una politica di remunerazione rivolta ad una sana e prudente cultura del rischio, facendo sì che i dipendenti dell’istituto di credito agiscano non – soltanto – per proprio interesse, ma perseguendo gli interessi della società in generale, inclusi i clienti. Per questo motivo, le remunerazioni dovranno riflettere sia i comportamenti dei dipendenti, sia i risultati ottenuti dall’assunzione di rischio dell’istituto bancario e, inoltre, la parte variabile delle remunerazioni dovrà essere accordata alle diverse tipologie di rischio che i singoli dipendenti si sono assunti e ai limiti concordati, nonché alla conformità dei comportamenti con le procedure interne e con le disposizioni normative.
12) La governance dell’istituto di credito deve garantire adeguata trasparenza nei confronti degli azionisti, dei depositanti, e delle altre parti interessante nonché nei confronti dei partecipanti al mercato.
Obbiettivo della trasparenza in materia di corporate governance bancaria è quello di permettere agli azionisti, ai depositanti e alle altre parti interessate di ottenere le informazioni necessarie per monitorare e valutare i comportamenti di rischio intrapresi da coloro che dirigono l’istituto bancario. Per questo motivo, le linee guida richiedono a tutte le banche, in accordo con il principio di proporzionalità, di rendere pubbliche le informazioni che possano considerarsi utili e rilevanti ai fini di tale valutazione.
A tale scopo le linee guida richiamano inoltre i principi di disclosure e trasparenza elaborati dall’OCSE nel 2004 in materia di corporate governance.
Infine, per quanto riguarda la risk governance, viene richiesto agli istituti di credito di rendere pubblici gli elementi chiave concernenti i rischi derivanti dalle proprie esposizioni, nonché le strategie di gestione del rischio adottate, bilanciando tuttavia tale disclosure con la riservatezza richiesta dal tipo di informazione.
13) Le autorità di supervisione devono svolgere un ruolo di guida e vigilare sulla corporate governance delle banche, anche attraverso verifiche e iterazioni regolari con i consiglieri di amministrazione e l’alta dirigenza. Inoltre esse hanno il compito di richiedere miglioramenti e azioni rimediali, ove necessario, e devono scambiare le informazioni raccolte sulla corporate governance degli istituti soggetti a vigilanza con le altre autorità pubbliche rilevanti.
Per concludere, le linee guida stabiliscono una serie di raccomandazioni rivolte alle autorità di supervisione, le quali sono chiamate a verificare la qualità della governance societaria adottata dagli istituti di credito. Ai fini di tale valutazione, il Comitato di Basilea ha previsto alcuni principi chiave che devono guidare i supervisori nell’adempimento di tale funzione. Essi in particolare devono:
a) stabilire guide o previsioni normative conformi ai principi enunciati nelle linee guida;
b) disporre di processi operativi appropriati per valutare l’adeguatezza dei presidi di governance adottati dagli istituti di credito;
c) interagire regolarmente con i membri del consiglio di amministrazione e con l’alta dirigenza, nonché con i responsabili delle funzioni di risk management, compliance e internal audit;
d) disporre di strumenti efficaci per richiedere agli istituti di credito di adeguare la propria struttura di governance, qualora ciò si renda necessario in ragione delle valutazioni effettuate;
e) favorire lo scambio e la cooperazione tra le varie autorità pubbliche responsabili della vigilanza sugli istituti bancari.
