Banca d’Italia ha pubblicato il 15° aggiornamento del 2 luglio 2013 alle Nuove disposizioni di vigilanza prudenziale per le banche di cui alla Circolare n. 263 del 27 dicembre 2006.
Con il presente aggiornamento sono stati in particolare inseriti nel Titolo V della suddetta Circolare n. 263 del 27 dicembre 2006 “Nuove disposizioni di vigilanza prudenziale per le banche” il Capitolo 7 “Il sistema dei controlli interni”, il Capitolo 8 “Il sistema informativo” e il Capitolo 9 “La continuità operativa”.
L’intervento sul sistema dei controlli interni (Capitolo 7) ha l’obiettivo di rafforzare la capacità delle banche e dei gruppi bancari di presidiare i rischi aziendali, creando un quadro normativo organico e coerente con le migliori prassi internazionali e con le raccomandazioni dei principali standard setter (Financial Stability Board, Comitato di Basilea per la vigilanza bancaria, EBA).
La disciplina si ispira ad alcuni principi di fondo: il coinvolgimento dei vertici aziendali; l’esigenza di assicurare una visione integrata dei rischi; l’attenzione ai temi dell’efficienza e dell’efficacia dei controlli; la valorizzazione del principio di proporzionalità, che consente di graduare l’applicazione delle norme in funzione della dimensione e della complessità operativa delle banche.
Le nuove disposizioni richiedono alle banche di dotarsi un sistema dei controlli interni che sia completo, adeguato, funzionale e affidabile; le principali novità rispetto al vigente quadro normativo riguardano in particolare:
- il ruolo e i compiti dell’organo con funzione di supervisione strategica e dell’organo con funzione di gestione: al primo spetta la definizione del modello di business e del Risk Appetite Framework, l’approvazione di un codice etico; al secondo è invece richiesto di avere un’approfondita comprensione di tutti i rischi aziendali e, nell’ambito di una gestione integrata, delle loro interrelazioni reciproche e con l’evoluzione del contesto esterno (incluso il rischio macroeconomico);
- l’enfasi posta sulla definizione, da parte dei vertici aziendali, delle politiche e dei processi aziendali di maggiore rilievo (gestione dei rischi; la valutazione delle attività aziendali;
- l’approvazione di nuovi prodotti/servizi, ecc.);
- la revisione della disciplina delle funzioni aziendali di controllo (internal audit, compliance e risk management), al fine di: (i) rafforzare le procedure di nomina e revoca e la posizione gerarchico – funzionale dei relativi responsabili; (ii) ampliare i compiti del responsabile della funzione di risk management (chief risk officer); (iii) chiarire che la funzione di compliance assicura il presidio del rischio di non conformità con riferimento a tutte le norme applicabili alle banche, graduandone il coinvolgimento in relazione al rilievo che le singole norme hanno per l’attività svolta;
- l’introduzione di una disciplina organica in materia di esternalizzazione di funzioni aziendali che distingue tra l’esternalizzazione all’interno del gruppo bancario da quella all’esterno dello stesso.
Il Capitolo 8 aggiorna la disciplina del sistema informativo, anche per recepire le principali evoluzioni emerse nel panorama internazionale. Oltre a disciplinare le modalità di governo del sistema informativo, di gestione del rischio informatico e i requisiti per assicurare la sicurezza informatica, le disposizioni recepiscono le raccomandazioni della BCE per la sicurezza delle transazioni bancarie tramite internet.
Il Capitolo 9 disciplina la materia della continuità operativa, riorganizzando le disposizioni attualmente contenute in diverse fonti. Tra le novità di maggiore rilievo, vi è la formalizzazione del ruolo del CODISE – struttura per il coordinamento della gestione delle crisi operative della piazza finanziaria italiana presieduta dalla Banca d'Italia.
Le nuove disposizioni entrano in vigore il 3 luglio 2013 e saranno efficaci a partire dal 1° luglio 2014. Alle banche è richiesto di effettuare entro il 31 dicembre 2013 una autovalutazione della situazione aziendale rispetto alle previsioni della nuova normativa (gap analysis) e di individuare le misure da adottare per assicurarne il rispetto.
