Contenuti e scadenze della nuova normativa sulla vigilanza prudenziale per le banche, insieme alle ultime disposizioni pubblicate da Banca d’Italia, cioè il questionario di gap analysis e la proroga della scadenza prevista per l’invio della relazione di autovalutazione.

Nota bene: a partire dal 21 luglio 2015, i capitoli 7, 8 e 9 della circolare Bankit 263/2006 sono stati integrati nella circolare Bankit 285 del 17 dicembre 2013 “Disposizioni di vigilanza per le banche” dall’undicesimo aggiornamento in poi e la circolare 263 non verrà più aggiornata. I capitoli citati sono stati integrati nella Parte Prima, Titolo IV rispettivamente come “Il sistema dei controlli interni” (Capitolo 3), “Il sistema informativo” (Capitolo 4) e “La continuità operativa” (Capitolo 5). Poiché il contenuto e le disposizioni dei capitoli sono rimasti immutati, quanto riportato nel presente articolo rimane tuttora valido.

La crisi economica e finanziaria globale che regna tuttora incontrastata ha indirizzato l’attenzione delle autorità di vigilanza nazionali ed europee sulle sempre maggiori esigenze di stabilità, uniformità e controllo del sistema finanziario. Queste, unite all’analisi di origini e conseguenze della crisi, hanno evidenziato (qualora ve ne fosse bisogno) l’importanza di due aspetti principali degli istituti finanziari: il governo strategico e il sistema dei controlli interni.

Le disposizioni introdotte il 2 luglio 2013 da Banca d’Italia, con il 15° aggiornamento della Circolare n. 263 del 27 dicembre 2006 “Nuove disposizioni di vigilanza prudenziale per le banche”, hanno proprio l’obiettivo di rispondere a queste esigenze, definendo un preciso quadro regolamentare organico, coerente, allineato alle migliori best practice e alle raccomandazioni internazionali BCBS, EBA e FSB, al quale il mercato bancario italiano sarà chiamato ad adeguarsi nel corso del prossimo triennio e oltre.

Con l’ultimo aggiornamento, il Titolo V delle nuove disposizioni di vigilanza prudenziale si arricchisce di tre nuovi capitoli:

• Il capitolo 7 intitolato “Il sistema dei controlli interni”;
• Il capitolo 8 intitolato “Il sistema informativo” e
• Il capitolo 9 intitolato “La continuità operativa”.

I principi che animano la nuova disciplina bancaria riguardano un maggiore coinvolgimento dei vertici aziendali nelle attività di supervisione strategica, conduzione e controllo degli istituti, una visione integrata e una gestione organica ed efficiente dei rischi aziendali, una revisione complessiva del sistema dei controlli interni per garantire trasparenza, efficienza ed efficacia, una migliore regolamentazione dei criteri di governance dei sistemi informativi e della continuità operativa e, infine, la proporzionalità nell’applicazione delle norme in base a dimensione e complessità operativa di ciascun istituto o gruppo bancario.

La circolare è consultabile e scaricabile direttamente dal sito di Banca d’Italia a questo link (PDF).

Una grande opportunità per le banche

Le nuove disposizioni, in sé, non rappresentano una vera e propria novità, poiché sono mutuate dalla nutrita letteratura internazionale in tema di standard di governo strategico aziendale, risk management, compliance, information security, ICT governance e business continuity. Gli istituti che hanno accolto con fastidio o smarrimento le nuove disposizioni di vigilanza prudenziale, fatte salve situazioni di particolare contingenza e criticità, probabilmente non sono ancora riusciti a superare quel retaggio culturale ormai sorpassato e deleterio che da troppi anni condiziona e ostacola un governo sano e prudente.

Il nuovo quadro normativo, infatti, merita di essere letto da tutte le strutture organizzative come una straordinaria opportunità per razionalizzare compiti, ruoli e responsabilità sul governo e sul controllo aziendale, con notevoli potenzialità in termini di trasparenza, efficacia e ottimizzazione dei processi e dei servizi, sia di gestione interna che in termini di business verso la clientela. Le norme relative agli organi apicali, infatti, costringono l’alta direzione, il consiglio di amministrazione e gli organi di controllo a prendere in maggior considerazione aspetti come la definizione della propensione aziendale al rischio (già introdotta con il processo ICAAP), l’analisi, il controllo, la gestione e la prevenzione dei rischi e delle non conformità a leggi e regolamentazioni, o la rappresentazione della visione direzionale sulla sicurezza sotto forma di information security policy. Tutti aspetti storicamente spesso sottovalutati, trascurati, approcciati creativamente o delegati con sufficienza a strutture operative gerarchicamente distanti dalla stanza dei bottoni.

I professionisti dell’IT Governance e dell’Information Security sono chiamati a dare un importante contributo alla definizione e alla mitigazione dei punti di non conformità rispetto alla nuova normativa. La loro professionalità, la profonda conoscenza degli standard di settore e l’assimilazione dei concetti chiave di una corretta gestione dei processi ICT, degli aspetti di sicurezza delle informazioni e delle misure di salvaguardia del business aziendale, risulteranno decisivi per il risultato finale di adeguamento alle disposizioni di Banca d’Italia e alle altre che seguiranno.

“Presupposto di un sistema dei controlli interni completo e funzionale è l’esistenza di una organizzazione aziendale adeguata per assicurare la sana e prudente gestione delle banche e l’osservanza delle disposizioni loro applicabili.”
(Capitolo 7 della normativa Bankit 263)

Il sistema dei controlli interni

L’affermazione perentoria di cui sopra mette subito in chiaro quale sia il primo passo da cui partire per adeguarsi alle disposizioni e poter usufruire appieno di tutto il valore aggiunto che esse sono in grado di apportare alla banca, ovvero un sistema dei controlli che sia elemento fondamentale di conoscenza e individui le responsabilità di una sua corretta ed esaustiva attuazione da parte di tutti gli organi aziendali, ciascuno in base alle rispettive competenze.

La normativa traccia in maniera molto chiara il posizionamento, i requisiti, i compiti e le responsabilità degli organi di governo e di controllo aziendale, lasciando veramente pochissimo spazio alle classiche “interpretazioni all’italiana”. In estrema sintesi, sono stati definiti i seguenti ruoli apicali:

• L’Organo con Funzione di Supervisione Strategica (OFSS), individuato nel Consiglio di Amministrazione, cui spetta il ruolo di “navigatore” dell’azienda, con la responsabilità di definire il modello di business, gli indirizzi strategici, gli obiettivi di rischio, il Risk Appetite Framework (RAF) e l’indirizzo del sistema dei controlli interni, di approvare codice etico, politiche, processi, piani strategici e budget, nonché di assicurare le coerenza della struttura organizzativa e delle attività aziendali con il modello di business.
• L’Organo con Funzione di Gestione (OFG), individuato nell’Amministratore Delegato o nel Direttore Generale, cui spetta il ruolo di “conducente” dell’azienda, con la responsabilità di attuare gli indirizzi strategici, il RAF e le politiche di governo, definire e attuare il processo di gestione dei rischi, l’investimento in nuovi prodotti e mercati, le politiche e i processi aziendali, di controllare ed autorizzare il superamento della propensione al rischio fino alla soglia di tolleranza, nonché di assicurare il corretto funzionamento del sistema dei controlli interni.
• L’Organo con Funzione di Controllo (OFC), individuato nel Collegio Sindacale, cui spetta il ruolo di “vigile” dell’azienda, con la responsabilità di vigilare su completezza, adeguatezza, funzionalità ed affidabilità del sistema dei controlli interni e del RAF, in aggiunta ai compiti richiesti dal ruolo di Organismo di Vigilanza previsto dal D.Lgs. 231/2001.

Le funzioni aziendali di controllo sono chiamate ad agire come un insieme coordinato e interoperante di “dispositivi di sicurezza” in ambito di revisione interna (Internal Audit), conformità alle norme (Compliance) e controllo dei rischi (Risk Management), pur conservando fra loro l’indipendenza e la separazione in termini di ruoli, responsabilità e competenze. La normativa introduce regole più stringenti per la nomina e la revoca dei rispettivi responsabili, obblighi di rendicontazione periodica verso gli organi apicali, oltre a requisiti specifici e precise responsabilità per ciascuna funzione, senza sovrapposizioni di sorta.

In estrema sintesi, la normativa prevede un deciso ampliamento dei compiti della funzione di controllo dei rischi e chiarisce che la funzione di conformità alle norme ha il preciso compito di assicurare il presidio del rischio di non conformità rispetto all’insieme delle norme applicabili alle banche.

La funzione di revisione interna (Internal Audit) è volta, da un lato, a controllare, in un’ottica di controlli di terzo livello, anche con verifiche in loco, il regolare andamento dell’operatività e l’evoluzione dei rischi, e, dall’altro, a valutare la completezza, l’adeguatezza, la funzionalità e l’affidabilità della struttura organizzativa e delle altre componenti del sistema dei controlli interni, portando all’attenzione degli organi aziendali i possibili miglioramenti, con particolare riferimento al RAF, al processo di gestione dei rischi nonché agli strumenti di misurazione e controllo degli stessi. Sulla base dei risultati dei propri controlli, essa è chiamata a formulare precise raccomandazioni agli organi aziendali.

La funzione di controllo dei rischi (Risk Management) ha la finalità di collaborare alla definizione e all’attuazione del RAF e delle relative politiche di governo dei rischi, attraverso un adeguato processo di gestione dei rischi, pertanto essa deve essere organizzata in modo da perseguire in maniera efficiente ed efficace tale obiettivo.

La funzione di conformità alle norme (Compliance) presiede, secondo un approccio risk based, alla gestione del rischio di non conformità con riguardo a tutta l’attività aziendale, verificando che le procedure interne siano adeguate a prevenire tale rischio, pertanto è necessario che essa abbia accesso a tutte le attività della banca, centrali e periferiche, e a qualsiasi informazione a tal fine rilevante, anche attraverso il colloquio diretto con il personale.

In tema di esternalizzazioni, la sezione IV delle nuove disposizioni introduce una disciplina organica che regolamenta il controllo sulla cessione di funzioni aziendali a terzi, integrandovi il presidio e l’analisi dei rischi connessi, e distingue tra le esternalizzazioni all’interno dello stesso gruppo bancario e quelle verso l’esterno, prevedendo la nomina di specifici referenti per ciascuna funzione esternalizzata e i relativi criteri di professionalità e revoca degli altri responsabili di funzione. Meritano una menzione particolare sia il requisito di prevedere ed assicurare le competenze e le misure necessarie per la re-internalizzazione in caso di necessità delle funzioni esternalizzate, che quello di un presidio specifico per l’esternalizzazione di funzioni aziendali di controllo (consentito solo alle banche in macro categoria 4).

In ambito più generale, la normativa prevede la redazione di un documento di coordinamento delle funzioni di controllo, che illustri compiti e responsabilità, flussi informativi e modalità di coordinamento tra le varie funzioni, oltre ad una serie di obblighi di informativa verso Banca d’Italia, ad esempio per la nomina e revoca dei responsabili delle funzioni aziendali di controllo o per le relazioni annuali delle stesse.

Non manca la trattazione dei gruppi bancari (sezione V), per i quali è prevista la redazione di un RAF di gruppo che tenga conto delle specificità operative e organizzative di ciascuna società appartenente, con il compito della capogruppo di esercitare un ruolo di direzione e coordinamento in materia di controllo strategico, gestione, tecnico e operativo, assicurando che il gruppo sia dotato di un sistema unitario, integrato ed efficace di controlli interni, con forme di coordinamento ed integrazione tra le funzioni di controllo delle diverse società controllate, flussi informativi periodici, una gestione integrata dei rischi e appositi sistemi di monitoraggio infragruppo.

Il sistema informativo

Il sistema informativo, inteso come l’insieme delle risorse tecnologiche – hardware, software, dati, documenti elettronici, reti telematiche – e delle risorse umane dedicate alla loro amministrazione, rappresenta uno strumento di primaria importanza per il conseguimento degli obiettivi strategici e operativi, in considerazione della criticità dei processi aziendali che dipendono da esso. Le nuove disposizioni riguardanti il sistema informativo sono contenute nel capitolo 8, che recepisce le best practice contenute negli standard internazionali più diffusi ed accettati, insieme alle principali evoluzioni del panorama internazionale. Esso disciplina i requisiti di governo del sistema informativo, di gestione del rischio informatico e di assicurazione della sicurezza informatica, recependo anche le raccomandazioni BCE per la sicurezza delle transazioni bancarie via Internet.

Nel capitolo 8 vengono definiti i requisiti di governo ICT assegnati alle funzioni apicali e di controllo. In estrema sintesi:

• L’organo con funzione di supervisione strategica (OFSS) assume la generale responsabilità di indirizzo e controllo del sistema informativo, nell’ottica di un ottimale impiego delle risorse tecnologiche a sostegno delle strategie aziendali (ICT governance).
• L’organo con funzione di gestione (OFG) ha il compito di assicurare la completezza, l’adeguatezza, la funzionalità (in termini di efficacia ed efficienza) e l’affidabilità del sistema informativo.
• La funzione di controllo dei rischi deve garantire il controllo dei rischi, basato su flussi informativi continui in merito all’evoluzione del rischio informatico (IT Risk Management) e sul monitoraggio dell’efficacia delle misure di protezione delle risorse ICT.
• La funzione di controllo della conformità deve assicurare il rispetto dei regolamenti interni e delle normative esterne in tema di ICT (ICT compliance).
• L’internal audit deve disporree delle competenze specialistiche necessarie per assolvere ai propri compiti di assurance attinenti al sistema informativo aziendale (ICT audit).

Una menzione particolare (sezione IV) è rivolta alla funzione di sicurezza informatica che è deputata allo svolgimento dei compiti specialistici in materia di sicurezza delle risorse ICT, quali la redazione e l’aggiornamento delle politiche di sicurezza, l’assicurazione dei necessari presidi di sicurezza, la partecipazione alla valutazione del rischio potenziale e delle mitigazioni nell’ambito dell’analisi del rischio informatico, il monitoraggio delle minacce, lo svolgimento dei test di sicurezza.

Per le realtà più complesse, viene posto l’accento sul requisito di un’adeguata indipendenza di giudizio della funzione di sicurezza informatica rispetto alle funzioni operative, che può essere assicurata solo con un’appropriata collocazione gerarchica e organizzativa, per esempio in staff al CIO.

Nell’ambito della sicurezza informatica, la normativa tratta in maniera specifica il presidio dei macro processi ICT come lo sviluppo e l’acquisizione del software, la gestione dei cambiamenti (Change Management) e la gestione degli incidenti di sicurezza (Security Incident Management), con relativi presupposti e prerequisiti.

La sezione V regolamenta l’ostico argomento del sistema di gestione dei dati (Data Governance), ovvero il sistema di registrazione e reporting dei dati deputato a tracciare tempestivamente tutte le operazioni aziendali e i fatti di gestione al fine di fornire informazioni complete e aggiornate sulla attività aziendali e sull’evoluzione dei rischi. Esso garantisce, nel continuo, l’integrità, la completezza e la correttezza dei dati conservati e delle informazioni rappresentate, oltre all’accountability e all’agevole verificabilità delle operazioni registrate.

La sezione VI riguarda l’esternalizzazione del sistema informativo, ovvero delle risorse e dei servizi ICT, con specifico riferimento gli accordi con i fornitori e all’integrazione dell’analisi dei rischi nei processi decisionali. Le disposizioni prevedono l’affido degli incarichi di outsourcing solo a soggetti qualificati e il rispetto delle politiche di sicurezza e dei requisiti di continuità operativa.

La continuità operativa

Il capitolo 9 disciplina la materia della continuità operativa, raccogliendo e razionalizzando le disposizioni che erano già contenute in diverse altre fonti. Tra le novità di rilievo vi è la formalizzazione del ruolo del CODISE (Continuità di Servizio), struttura per il coordinamento delle crisi operative della piazza finanziaria italiana presieduta dalla Banca d’Italia, da innescare a fronte della dichiarazione dello stato di crisi in caso di incidenti che possano avere impatti rilevanti sui processi a rilevanza sistemica, per una prima valutazione degli operatori potenzialmente danneggiati.

Il capitolo regolamenta i criteri e i requisiti per il piano di continuità operativa, per l’analisi di impatto, per la gestione delle crisi, nonché per la continuità dei processi a rilevanza sistemica. Il piano di continuità operativa prende in considerazione diversi scenari di crisi basati su differenti fattori di rischio, conseguenti a eventi naturali o attività umana, inclusi danneggiamenti gravi da parte di dipendenti.

Vengono incluse le definizioni di Recovery Time Objective (RTO), ovvero l’obiettivo in termini di tempo per il ripristino del livello di servizio stabilito al verificarsi di un incidente, di Recovery Point Objective (RPO), l’obiettivo di ripristino e di perdita ammissibile dei dati (tempo massimo fra l’ultimo salvataggio dei dati e l’arresto del servizio). In base alla normativa, il tempo di ripristino viene calcolato a partire dalla dichiarazione formale dello stato di crisi.

Le scadenze previste per gli adempimenti

L’adeguamento alle nuove disposizioni di vigilanza prudenziale è suddiviso in più scadenze temporali, con i seguenti obblighi:

• Entro il 31 gennaio 2014 (la precedente scadenza del 31 dicembre 2013 è stata prorogata mediante comunicazione BdI con prot. n. 1134065/13 del 06/12/2013), l’invio a Banca d’Italia della relazione di autovalutazione che indichi gli scostamenti della situazione aziendale rispetto ai requisiti della nuova normativa (Gap Analysis), con l’evidenza delle misure di adeguamento che si intende adottare e relative scadenze previste (Master Plan), oltre all’elenco dei contratti di esternalizzazione in essere e relativa scadenza (o durata). Entro questa scadenza è richiesto anche l’invio del questionario (in formato Excel) in cui devono essere espressi i risultati della Gap Analysis rispetto alle previsioni normative dei capitoli 8 (sistema informativo) e 9 (continuità operativa).
• Entro il 1 luglio 2014, gli adeguamenti richiesti dal capitolo 7 “Il sistema dei controlli interni”, ovvero posizionamento gerarchico, compiti e responsabilità di OFSS, OFG, OFC e funzioni aziendali di controllo, con incarico formale dei relativi responsabili. Sempre entro questa scadenza, sono previsti l’adeguamento dei contratti di esternalizzazione delle Funzioni Operative Importanti e gli adeguamenti richiesti dal capitolo 9 “La continuità operativa”.
• Entro il 2 febbraio 2015, gli adeguamenti richiesti dal capitolo 8 “Il sistema informativo”, ovvero posizionamento gerarchico, compiti e responsabilità di OFSS, OFG, OFC e funzioni aziendali di controllo in ambito ICT, nonché delle funzioni di controllo di linea, con incarico formale dei relativi responsabili e la nomina dell’Organo Responsabile dei Sistemi Informativi. Sono previsti anche l’allestimento di un inventario ICT con mappatura aggiornata delle risorse informatiche, l’aggiornamento delle conoscenze ICT, l’adeguamento e l’approvazione dei processi di gestione ICT, l’avviamento della funzione di IT Risk Management e la separazione degli ambienti di sviluppo, collaudo e produzione.
• Entro il 1 luglio 2015, gli adeguamenti richiesti dal capitolo 7 – sezione III –parte 1b in relazione ai requisiti previsti per i responsabili delle funzioni aziendali di controllo.
• Entro il 1 luglio 2016, infine, gli adeguamenti richiesti dal capitolo 7 – sezioni IV e V – in merito alla garanzia dell’accesso ai locali degli outsourcer per le società di revisione e gli organi di vigilanza, oltre all’adeguamento dei contratti di esternalizzazione in essere e non rinnovati entro il 30 giugno 2016.

Il questionario di autovalutazione

Il questionario, pubblicato solo venerdì 6 dicembre scorso, è pubblicato sul sito Internet di Banca d’Italia nella sezione “Vigilanza > Raccolta Dati” ed è organizzato in sezioni e paragrafi secondo la struttura del testo normativo: in alcuni paragrafi è richiesta l’indicazione dei punti di non conformità, mentre in altri viene richiesta la formulazione degli impatti particolarmente rilevanti associati agli interventi richiesti. Ogni paragrafo prevede l’indicazione dei tempi pianificati per gli adeguamenti previsti e dispone di un campo note per specificare gli aspetti di non conformità e fornire ulteriori informazioni su interventi pianificati, impatti e tempi previsti.

Il foglio Excel include un modulo per l’invio dell’elenco dei contratti di esternalizzazione del sistema informativo; a tal proposito la comunicazione precisa che devono esservi inseriti solo i contratti di esternalizzazione del complessivo sistema informativo aziendale (full outsourcing) o quelli relativi a “sistemi, applicazioni e servizi connessi che rivestono un ruolo rilevante per il regolare e sicuro svolgimento di funzioni operative importanti (c.d. componenti critiche del sistema informativo)”.

Per i gruppi bancari, il questionario deve essere redatto dalle società capogruppo con riferimento alla situazione dell’intero gruppo, mentre le altre banche appartenenti al gruppo non dovranno inviare alcuna comunicazione.

Il questionario compilato deve essere inviato mediante messaggio di posta elettronica all’indirizzo [email protected] e dovrà avere come oggetto “Normativa controlli interni cap. 8 e 9 – Gap analysis fine 2013 – XXXXX YYYYY”, dove XXXXX corrisponde al codice ABI dell’istituto bancario mittente e YYYYY al nome della banca capogruppo o della banca individuale.

La comunicazione di venerdì scorso ribadisce l’obbligo di segnalare il nome del responsabile del piano di continuità operativa tramite procedura GIAVA – OR.SO. (Organi Sociali). Per i gruppi bancari, l’indicazione deve essere fornita per tutte le banche appartenenti al gruppo, a meno che il piano di continuità operativa non sia definito e gestito in modo accentrato presso la capogruppo per l’intero gruppo.

Un impegno gravoso ma importante

Durante un incontro di condivisione sul tema con i principali istituti bancari nazionali, nel quale ho avuto l’onore di rappresentare il mio istituto, il piano di adeguamento cui è chiamato l’intero mercato bancario italiano è stato definito “senza precedenti”, in termini di complessità, onerosità e rispetto delle scadenze imposte. Sono state anche evidenziate le difficoltà di interpretazione di determinati requisiti, ad esempio in tema di data governance o di esternalizzazioni, sottolineando al contempo una posizione sostanzialmente rigida di Banca d’Italia su vari punti, senza lasciare spazio a proroghe o ritardi di adeguamento, pur se ben motivati da problematiche di particolare contingenza.

Tutti gli istituti bancari, in questo periodo prenatalizio, si stanno prodigando nella stesura della relazione di autovalutazione e nella definizione del piano di adeguamento, per poi portare il tutto all’approvazione dei rispetti consiglio di amministrazione. La stesura della relazione è considerata da tutti gli intervenuti come un punto critico in termini di organizzazione generale, livello di sintesi e complessità delle sezioni relative a sistema informativo e continuità operativa. L’ideazione e la pubblicazione di un questionario focalizzato proprio sui capitoli 8 e 9 è probabilmente originata dalla necessità di trovare un meccanismo di lettura unificato e comparabile dei relativi punti di non conformità, piuttosto complessi, dettagliati e dalla difficile interpretazione.

Le banche intervenute hanno manifestato l’intenzione di dichiarare, nella relazione di autovalutazione, qual è stata la linea interpretativa adottata nel considerare i molti requisiti della normativa, con l’obiettivo di dimostrare la propria coerenza a tale linea nell’arco dell’intera attività di gap analysis e di individuazione degli adeguamenti richiesti.

In ogni caso, l’adeguamento alla nuova normativa impegnerà seriamente tutti gli istituti bancari nazionali per oltre un biennio, richiedendo lo stanziamento di un elevato volume di investimenti in termini monetari e di risorse, probabilmente capitalizzabili solo in minima parte. Ma gli istituti che sapranno riconoscere e sceglieranno di sfruttare il valore aggiunto che l’attuazione delle nuove disposizioni comporta, in termini di razionalizzazione, efficienza ed efficacia del governo aziendale, potranno godere nel tempo di benefici tali da ripagare per buona parte gli sforzi profusi.

Ettore Guarnaccia

Responsabile Programma di Adeguamento Bankit 263
Capitolo 8 – Sistema Informativo
Banca Monte dei Paschi di Siena