Una tematica di particolare interesse trattata nell’ultimo aggiornamento del luglio 2013 alla circolare n. 263 afferente le “Nuove disposizioni di vigilanza prudenziale per le banche” concerne il coordinamento delle funzioni di controllo.
Partendo dall’assunto che le funzioni di controllo di una banca sono articolate, come noto, in:
i)controlli di linea, conosciuti anche come “controlli di primo livello”, di competenza e responsabilità delle funzioni operative;
ii)controlli sulla conformità (compliance) e sui rischi (risk management), detti anche “controlli di secondo livello”, affidati a funzioni distinte da quelle produttive, con riporto gerarchico e funzionale all’organo di gestione;
iii)revisione interna (internal audit), o “controlli di terzo livello”, la cui articolata attività, svolta nella più rigorosa indipendenza, è finalizzata alla verifica e valutazione costante della efficacia, efficienza ed affidabilità del sistema dei controlli interni e del sistema informativo, con riporto funzionale all’organo con funzione di supervisione strategica,
la nuova disciplina formula precise disposizioni finalizzate ad assicurare momenti di sintesi ed uno stretto coordinamento nell’espletamento delle rispettive attività e nelle relazioni di tali funzioni con gli organi sociali (di supervisione strategica, di gestione e di controllo).
Nella predisposizione della gap analysis da inviare alla Banca d’Italia (il cui termine ultimo è scaduto il 31 gennaio 2014), numerosi istituti e gruppi bancari hanno, dunque, programmato invasivi interventi di integrazione e rivisitazione degli attuali modelli dei controlli, per adempiere al nuovo dettato normativo, nel rispetto del ruolo sempre più strategico attribuito al sistema dei controlli nell’esercizio dell’attività bancaria.
Per entrare nel merito della questione risulta quindi utile approfondire il testo letterale delle norme contenute nel Capitolo 7, che affrontano l’argomento in esame in tre passaggi e, precisamente:
– nella Sezione I “Disposizioni preliminari e principi generali”, paragrafo 6 “Principi generali”: “Il processo di gestione dei rischi è efficacemente integrato. Sono considerati parametri di integrazione, riportati a titolo esemplificativo e non esaustivo: la diffusione di un linguaggio comune nella gestione dei rischi a tutti i livelli della banca; l’adozione di metodi e di strumenti di rilevazione e valutazione tra di loro coerenti (ad es., un’unica tassonomia dei processi e un’unica mappa dei rischi); la definizione di modelli di reportistica dei rischi, al fine di favorirne la comprensione e la corretta valutazione, anche in una logica integrata; l’individuazione di momenti formalizzati di coordinamento ai fini della pianificazione delle rispettive attività; la previsione di flussi informativi su base continuativa tra le diverse funzioni in relazione ai risultati delle attività di controllo di propria pertinenza; la condivisione nella individuazione delle azioni di rimedio”;
– nella Sezione II “Il ruolo degli organi aziendali”, paragrafo 5 “Il coordinamento delle funzioni di controllo”: “Per assicurare una corretta interazione tra tutte le funzioni e organi con compiti di controllo, evitando sovrapposizioni o lacune, l’organo con funzione di supervisione strategica approva un documento, diffuso a tutte le strutture interessate, nel quale sono definiti i compiti e le responsabilità dei vari organi e funzioni di controllo, i flussi informativi tra le diverse funzioni/organi e tra queste/i e gli organi aziendali e, nel caso in cui gli ambiti di controllo presentino aree di potenziale sovrapposizione o permettano di sviluppare sinergie, le modalità di coordinamento e di collaborazione”;
– nella Sezione III “Funzioni aziendali di controllo”, paragrafo 3.5 “Rapporti tra le funzioni aziendali di controllo e altre funzioni aziendali”: “Fermo restando la reciproca indipendenza e i rispettivi ruoli, le funzioni aziendali di controllo collaborano tra loro e con le altre funzioni (ad es., funzione legale, organizzazione, sicurezza) allo scopo di sviluppare le proprie metodologie di controllo in modo coerente con le strategie e l’operatività aziendale. Tenuto conto delle forti interrelazioni tra le diverse funzioni aziendali di controllo, specie tra le attività di controllo di conformità alle norme, di controllo dei rischi operativi e di revisione interna, è necessario che i compiti e le responsabilità delle diverse funzioni siano comunicati all’interno dell’organizzazione aziendale, in particolare per quanto attiene alla suddivisione delle competenze relative alla misurazione dei rischi, alla consulenza in materia di adeguatezza delle procedure di controllo nonché alle attività di verifica delle procedure medesime. Specifica attenzione è posta nell’articolazione dei flussi informativi tra le funzioni aziendali di controllo; in particolare, i responsabili della funzione di controllo dei rischi e della funzione di conformità alle norme informano il responsabile della funzione di revisione interna delle criticità rilevate nelle proprie attività di controllo che possano essere di interesse per l’attività di audit. Il responsabile della revisione interna informa i responsabili delle altre funzioni aziendali di controllo per le eventuali inefficienze, punti di debolezza o irregolarità emerse nel corse delle attività di verifica di propria competenza e riguardanti specifiche aree o materie di competenza di queste ultime”.
Alla luce, dunque, della sopra esposta normativa, pare possibile articolare l’analisi su più livelli: il primo, di natura più generale, concernente il più volte richiamato concetto di “gestione integrata dei rischi”; i successivi aventi per oggetto la necessaria attività di condivisione e più efficiente diffusione delle informazioni tra le funzioni di controllo, tra le funzioni di controllo e la struttura operativa dell’intermediario, e tra le funzioni di controllo e gli organi aziendali, il tutto nel rispetto delle rispettive autonomie di giudizio e di indipendenza dei ruoli.
Per “gestione integrata” si intende, innanzitutto, quel complesso di azioni finalizzate a rendere più fluido, comprensibile ed efficace l’intervento delle funzioni di controllo, mediante lo sviluppo di strumenti di lavoro, di rilevazione e valutazione dei rischi tra loro omogenei, in tale ambito assumendo grande rilevanza il disporre di un’unica tassonomia dei processi e mappatura dei rischi. Da rilevare, peraltro, come le metodologie di controllo debbano essere coerenti con le strategie e l’operatività aziendale, obiettivo raggiungibile solo ove esista una fattiva collaborazione tra funzioni di controllo e le altre funzioni operative aziendali.
La diffusione di un linguaggio comune alle funzioni risulta, quindi, l’asse portante, l’elemento indispensabile affinché possano a cascata realizzarsi compiutamente le ulteriori prescrizioni della Vigilanza in materia di coordinamento e flussi informativi, sul quale deve poggiare una adeguata reportistica agli organi aziendali, affinché questi maturino una “comprensione e corretta valutazione” dei rischi. A tale ultimo riguardo, appare evidente come l’obiettivo che la nuova norma si è posto tragga origine anche dall’esperienza dell’attività ispettiva svolta dalla Banca d’Italia in questi ultimi anni, ove, a fronte di una complessità crescente nella definizione, misurazione e monitoraggio dei rischi dell’attività bancaria (per effetto del deteriorato contesto macroeconomico e dello sviluppo di prodotti sempre più sofisticati in un mercato caratterizzato da crescente competitività), sono state spesso riscontrate lacune o incertezze circa l’effettiva capacità degli organi aziendali di percepire i rischi complessivamente assunti e le conseguenti debolezze nella gestione e pianificazione degli stessi in funzione delle strategie adottate nei diversi comparti.
L’introduzione di strumenti di analisi integrati e armonizzati dovrebbe, quindi, consentire maggiori sinergie e, per l’effetto, rendere più efficiente ed efficace l’operato delle funzioni di controllo, a beneficio di una maggiore consapevolezza da parte degli organi aziendali nell’espletamento dei propri compiti, grazie anche a una conseguente più adeguata qualità dei “flussi informativi” e al “coordinamento” tra e con le funzioni di controllo, oltre che al miglioramento delle modalità di comunicazione all’interno dell’organizzazione del ruolo e responsabilità delle stesse funzioni di secondo e terzo livello. Molto chiara è, infatti, sul punto la nuova disciplina ove prevede:
-un continuativo scambio di informazioni tra le diverse funzioni di controllo, con specifico riguardo ai risultati delle attività svolte ed alla condivisione nella individuazione delle azioni di rimedio. In tale contesto è previsto che, da un lato, i responsabili delle funzioni di secondo livello (risk e compliance) tengano costantemente aggiornato l’internal audit delle criticità rilevate, dall’altro, che l’internal audit informi le funzioni di secondo livello delle debolezze o irregolarità riscontrate nel corso delle proprie verifiche sulle materie di competenze di queste ultime;
-che vi siano momenti formalizzati di coordinamento tra le diverse funzioni (che potrebbe verificarsi, ad esempio, mediante la costituzione di appositi comitati) allo scopo sia dello scambio di informazioni che della pianificazione delle rispettive attività, assicurando in tal modo sinergie nel lavoro evitando inutili sovrapposizioni;
-che tutta la struttura aziendale sia resa edotta dei compiti e responsabilità delle funzioni di controllo, le cui competenze dovranno pertanto essere chiaramente individuate e diffuse.
Tutto quanto sopra esposto trova infine una sintesi formale, chiara ed efficace nell’ambito di un apposito documento, approvato dall’organo con funzione di supervisione strategica, da divulgare a tutte le strutture interessate, finalizzato a garantire “una corretta interazione tra tutte le funzioni e organi con compiti di controllo, evitando sovrapposizioni o lacune” e in cui vengono “definiti i compiti e le responsabilità dei vari organi e funzioni di controllo, i flussi informativi tra le diverse funzioni/organi e tra queste/i e gli organi aziendali e, nel caso in cui gli ambiti di controllo presentino aree di potenziale sovrapposizione o permettano di sviluppare sinergie, le modalità di coordinamento e di collaborazione”.
Banche: il coordinamento delle funzioni di controllo
