Il sistema dei Controlli Interni nella nuova Circolare 263. Sintesi e Aspetti Critici
di Nicola Andreis e Michele Bonollo

Lug 21 2014
Il sistema dei Controlli Interni nella nuova Circolare 263. Sintesi e Aspetti Critici  <small><small><I>di Nicola Andreis e Michele Bonollo </I></small></small>

La Circolare 263 della Banca d’Italia rappresenta la declinazione applicativa della disciplina di Basilea II. Pur abrogata in buona parte dal framework di Basilea III, ed in particolare dalla relativa Circolare 285, è ancora valida per talune parti, quali la disciplina dei conflitti di interesse verso i soggetti collegati, e addirittura entra in vigore il I° luglio 2014 con riferimento alla nuova disciplina del Sistema dei Controlli Interni, nota tra gli addetti ai lavori come il 15° Aggiornamento. Tale contenuto normativo prescrive per le banche innovazioni, o si potrebbero definire quasi rivoluzioni, il cui scopo è la diffusione all’intera vita aziendale della cultura dei rischi, in termini di identificazione degli stessi, fissazione dei limiti, ruolo delle funzioni di controllo, flussi informativi e vari altri temi. Negli scorsi mesi le banche e i relativi gruppi di lavoro di categoria, insieme alle società di consulenza, si sono affannati ad interpretare e tradurre in senso concreto la nuova normativa. Dove sono le vere innovazioni e dove invece le semplici sistematizzazioni? Come interpretare alcuni punti controversi? Applicazione integrale ed istantanea o diffusione graduale delle nuove regole? Quanta proporzionalità? Nel presente articolo si cerca di fornire un quadro di sintesi di alcuni di questi temi, in particolare sul capitolo 7 dei Controlli Interni, con un focus su alcuni aspetti innovativi di rilievo.

1. Il 15° Aggiornamento. Elementi fondamentali

Per una generale revisione dell’impianto normativo di Banca d’Italia rispetto a Basilea II/III si veda la rassegna in [1]. In breve, si può affermare che l’apparentemente “vecchia” Circolare 263 esercita ancora un ruolo di rilievo in relazione soprattutto al Titolo V, ed in particolare a capitoli quali quello sui soggetti collegati oppure ai capitoli 7, 8 e 9, introdotti appunto con il 15° Aggiornamento sopra citato.

Tali capitoli riguardano espressamente:

  • Il      Sistema dei Controlli Interni (Capitolo7).
  • Il      Sistema Informativo (Capitolo 8).
  • La      Continuità Operativa (Capitolo 9).

Rinviando ad un successivo articolo le rilevanti e in parte innovative discipline dei sistemi informativi e della continuità operativa, si focalizza qui l’attenzione sul tema del Sistema dei Controlli Interni (SCI nel seguito).

La normativa come detto è entrata in vigore a partire dal mese di luglio 2014 e pone a carico delle istituzioni finanziarie una serie di nuovi obblighi e vincoli.

Molto sforzo è stato fatto dalle banche per adeguarsi e per tradurre in regole, assetti organizzativi, metodologie e strumenti applicativi concreti la nuova disciplina, tanto che nei gruppi di lavoro interbancari la data del I° luglio è stata vissuta talvolta in modo febbrile, considerando anche il lungo e tortuoso iter istruttorio e deliberativo vissuto da parte delle banche, con molteplici passaggi presso i principali organi (in primis Comitato Rischi, Collegio Sindacale e Consiglio di Amministrazione).

A parte sottolineare la portata storica di questa evoluzione normativa, di cosa si tratta in concreto? Si tenta qui di seguito una sintesi per così dire strutturale, immaginando che la normativa, e il suo portato di innovazione, possa essere articolata lungo tre opportune dimensioni, ognuna caratterizzata da profili di particolare rilievo.

Ecco quindi la schematizzazione.

  • Dimensione      Organizzativa. La Circolare 263      tocca vari punti di notevole rilevanza, tutti orientati a enfatizzare il      ruolo degli organi e delle funzioni di controllo. Tra questi:
    • Definizione       precisa degli organi e delle funzioni aziendali, in particolare dell’Organo       con Funzione di Supervisione Strategica (OFSS), dell’Organo con Funzione di       Controllo (OFC) e delle Funzioni di Controllo (FC). Di rilievo la discussione,       specie per banche di ridotta dimensione e prive della figura       dell’Amministratore Delegato, se OFSS debba essere inteso come il Consiglio       di Amministrazione (CDA) o la Direzione Generale, con netta preferenza       per il CDA.
    • Procedure       di nomina dei responsabili delle funzioni di controllo e relativi       requisiti professionali.
    • Linee       di riporto delle FC, per le quali è privilegiata la comunicazione diretta       con OFC e OFSS, novità questa di portata dirompente.
    • Necessità       di dotarsi dell’Organo di vigilanza ai sensi del D.Lgs. 231/2001 (in       breve OdV 231), normativa sulla responsabilità amministrativa per le       attività illecite condotte dalle figure apicali (o anche dai dipendenti)       per cagionarne vantaggio, con in alternativa la possibilità riconosciuta       dalla stessa normativa di attribuirne le funzioni al Collegio Sindacale.
    • Netta       separazione, anche nelle banche di ridotta dimensione, dei controlli di       III° livello, cioè quelli in capo all’Audit (o Revisione interna), da quelli       di II° livello, condotti dalla Conformità normativa (o di Compliance) o       dalla Funzione di gestione del rischio (Risk Mgt). Di rilievo in tale       ambito il ruolo e la figura del CRO, Chief       Risk Officer, ed i rapporti tra le funzioni “sorelle” di Compliance e       Risk Mgt.
    • Necessità       di un referente e di precise regole (di controllo dei fornitori, di       monitoraggio dei service level       agreement, ecc…) per le funzioni aziendali esternalizzate,       denominate FOI, Funzioni Operative Importanti.
  • Dimensione      degli Ambiti di responsabilità      delle funzioni di controllo. La Circolare 263 elenca in modo molto ampio      il dominio delle attività e delle competenze connesse. Tra i punti di      maggiore interesse si ricordano:
    • Per       la funzione di Risk Mgt, il tema del rischio ICT, la cui gestione deve       prevedere metodi, regole e metriche come accade per gli altri rischi di I°       e II° pilastro. Inoltre, citando la Circolare 263, “verifica il corretto svolgimento del monitoraggio andamentale       sulle singole esposizioni creditizie”. Si tratta quindi di un       controllo di II° livello sulla corretta classificazione delle posizioni creditizie       (crediti in bonis, incagli nei loro vari stati, sofferenze). Tale       attività è in questa fase storica sempre più decisiva sia rispetto alla       correttezza dei bilanci (gli accantonamenti dipendono dallo status       acclarato della controparte), sia in ottica di credit management e di       gestione tempestiva, se non anticipativa,       dei problemi di deterioramento del credito. Di rilievo, inoltre, la       rinnovata enfasi sui temi del rischio reputazionale,       strategico ed operativo.
    • Per       la funzione di Compliance, oltre a confermare i perimetri normativi “tradizionali”       (Trasparenza, Conflitti di interesse, Mifid), la funzione viene di fatto       responsabilizzata su ulteriori ambiti normativi, ad es. quelli della       sicurezza sul lavoro e della disciplina fiscale che vedono già l’operare       di presidi specialistici. Si enfatizza inoltre il ruolo di rilievo nella       verifica ex-ante della       conformità di nuovi prodotti e servizi bancari (non limitata quindi ai       soli e pur complessi prodotti finanziari), così come pure la necessità di       un monitoraggio nel continuo della       corretta applicazione delle disposizioni.
  • Dimensione      degli Output. Anche se la      terminologia qui proposta è di stile informatico, si ritiene comunque      necessaria in quanto il 15° Aggiornamento, a riprova della massa di nuovi      “oggetti” che le banche devono realizzare.  Tra gli “oggetti” che le banche hanno dovuto      produrre e soprattutto devono declinare in questi mesi di applicazione      della nuova normativa, si citano:
    • La       GAP analisi ed il relativo Piano operativo degli interventi (entrambi inviati       entro il 31 gennaio 2014) di autovalutazione delle proprie carenze od inadeguatezze       rispetto ai requisiti previsti dalla nuova disciplina.
    • Documento di       Coordinamento       e Politiche in materia SCI, che       devono fungere da policy di riferimento in un sistema verticale di hub and spoke, cioè sia a livello       metodologico che di  processo, operando       come una bussola di orientamento di tutto l’articolato sistema di policy       e processi sottesi della banca, cfr [4].
    • Disciplina       delle OMR, Operazioni di       Maggiore Rilievo. Le OMR, da intendersi in senso trasversale rispetto ai       prodotti e alle linee di business (finanza, credito, raccolta, ciclo       passivo) e caratterizzate da una specifica definizione e disciplina,       hanno forte intersezione e necessitano di opportuna coerenza con le       policy “silos” che possono riguardare le operazioni con i soggetti       collegati [1]o       le deleghe deliberative sul credito.
    • Il       Risk Appetite Framework, più       noto come RAF. Su tutti i rischi identificati e mappati, meglio se       quantificabili, la banca deve definire tra gli altri obiettivi di rischio       (target o risk appetite), la       deviazione consentita da tale risk appetite (risk tolerance) il massimo rischio sopportabile (risk capacity) per vincoli di       patrimonio o normativi. La banca deve ovviamente e sapere misurare       effettivamente il livello di rischio (risk       profile). Come già detto per le OMR, anche per il RAF si individuano       necessari profili di coerenza e contestualizzazione con il processo ICAAP       di auto-valutazione dell’adeguatezza patrimoniale. Anzi, taluni       osservatori ritengono che la non effettiva diffusione nei processi       aziendali della cultura della gestione e del controllo del rischio       sottesa al processo ICAAP sia una delle ragioni che ha determinato       l’importante intervento della Banca d’Italia con il già menzionato 15°       Aggiornamento, pur in coerenza con il percorso di uniformità europea       determinato dalla CRR [3].

2. Alcuni punti aperti

Non è possibile qui per motivi di spazio trattare in modo esaustivo l’ampia tipologia di questioni aperte che le banche italiane stanno affrontando in sede di applicazione della nuova normativa, e che si tratti di un set molto articolato e diversificato è chiaro dall’approccio multidimensionale.

Banca d’Italia stessa aggiorna le FAQ nel continuo, cfr. [4].

Ci si limita nel seguito ad affrontare un paio dei punti che più degli altri hanno ingenerato dubbi nella loro concreta applicazione, uno molto specifico, l’altro di carattere generale.

Il primo è la già citata verifica di II° livello in capo al Risk Mgt sul controllo andamentale del credito.

Riprendendo la questione, rispetto alla dicotomia tipica della normativa di Basilea e dei principi contabili, che porta a distinguere tra crediti in bonis e crediti in default, nelle banche le prassi di classificazione hanno determinato la necessità di una articolazione più granulare. Abbiamo pertanto, con nomenclature non omogenee, stati di deterioramento quali incagli leggeri e incagli pesanti, o stati denominati sotto controllo e sotto osservazione, ecc. Le classificazioni si basano sull’osservazione di fenomeni interni ed esterni quali ad esempio le rate impagate, gli sconfini, le sofferenze nel sistema bancario, le pregiudizievoli varie, nonchè altri numerosi segnali.

Tali classificazioni non hanno finalità meramente descrittiva e rappresentativa, ma indicano azioni diverse su vari fronti quali: ulteriori azioni di monitoraggio sul cliente, rientro delle linee di fido, diversità nei metodi di accantonamento delle perdite attese (voce 130 del Conto Economico) secondo una metodologia statistica (cosiddetta collettiva) o tramite la valutazione analitica delle posizioni e delle garanzie.

Nelle banche, anche di ridotte dimensioni, sono presenti unità dette di Controllo Andamentale o di Monitoraggio che, spesso senza riporto dalla Direzione Crediti ma direttamente verso la Direzione Generale, svolgono in modo indipendente dalla linea di business tale attività. In cosa consiste dunque il nuovo ruolo attribuito al Risk Mgt?

Sono state date varie interpretazioni, tra le quali: A) il Risk Mgt verifica a campione, in particolare su posizioni rilevanti e con propri indicatori, l’aderenza formale e sostanziale delle classificazioni alle policy, oppure B) il Risk Mgt, spogliandosi delle attività più operative di rapporti con la rete delle filiali e/o con il cliente, esegue/propone esso stesso le classificazioni.

Noi riteniamo più efficace e rispondente alla norma quanto progettato con spirito innovativo in alcune banche di piccole dimensioni, in breve un rafforzamento dell’approccio A).

Con tale approccio il Risk Mgt, in modo asettico e avvalendosi di processi informatici indipendenti, esegue un ricalcolo massivo, cosiddetto parallel running, di tutte le classificazioni, determina delle matrici di discrepanza (cfr. figura) tra classificazioni “teoriche” e quelle applicate dalla funzione di linea e, mediante interazione periodica, per esempio sulle posizioni più significative per importo e discrepanza (e.g. posizione in bonis ma da incagliare secondo le policy), determina un processo virtuoso che porta nel continuo a migliorare i comportamenti o a correggere – se non efficaci – i regolamenti.

Da non trascurare, inoltre, il problema del corretto dimensionamento in termini quantitativi e, in particolare, di profili ed esperienze professionali, dell’unità che nell’ambito del Risk Mgt si occuperà di tale attività di controllo. Oltre all’onerosità finanziaria di tale rafforzamento in caso di recruiting dall’esterno o alle difficoltà di gestire la riallocazione di risorse di esperienza già presenti nella banca (ad es. dalla Direzione Crediti), si evidenziano le criticità connesse alla gestione di possibili duplicazioni di attività rispetto ai controlli di primo livello, mitigabili ex ante con un attento disegno organizativo e di processo e gestibili nel durante con un attivazione graduale e guidata di tali nuovi controlli.

Focalizzando ora l’attenzione sul secondo punto, si sono già evidenziate nella sezione precedente le intersezioni tra quello che le banche “devono fare” e quello che le banche “hanno fatto” negli anni scorsi, come i processi ICAAP e le policy sui soggetti collegati. Il disegno molto ambizioso implicito in concetti quale il RAF o il documento di coordinamento pone diversi quesiti quesiti: in che misura tale disegno si coniuga con i molti silos e le regole interne delle banche? Deve essere un processo top-down, propagato alle policy ed ai limiti operativi che poi vanno di conseguenza adeguati, o un processo bottom-up?

Difficile dare una riposta ma si ritiene che gli Organi aziendali, sia i Consigli di Amministrazione che i Collegi Sindacali, come pure le Funzioni di Controllo, necessitino di un congruo periodo di tempo affinchè questa visione rigorosa e diffusa della cultura del rischio entri nella sensibilità e nell’agire quotidiano di tutte le principali figure professionali coinvolte.

3. Cosa hanno fatto le banche. Cosa faranno?

Di fronte all’obbligo (apparente) di approvare e implementare entro il I° luglio 2014 gran parte della nuova disciplina, le banche, o gran parte di esse, hanno scelto di privilegiare una pragmatica sostanzialità, privilegiando un set di efficaci interventi su alcune delle dimensioni organizzative, di processo e metodologico-applicative, rispetto ad una formale ma sterile approvazione da parte degli organi aziendali di centinaia di pagine di policy.

Si veda in questa direzione il documento del gruppo di lavoro ABI [5].

In vari punti, quali quelli relativi a OMR, RAF, politiche SCI, si ritiene opportuno suggerire l’adozione di primi framework “alti” a cui fare poi seguire l’adattamento e soprattutto la verifica di coerenza e omogeneizzazione delle policy. Si pensi che molte banche formalizzano nei rispettivi regolamenti interni oltre dieci policy solo con riferimento agli ambiti del credito e della finanza. In tale ambito lo strumento principe potrebbe essere quello del ricorso ai testi unici, che permettano una più organica rappresentazione di processi, metodi, deleghe e controlli.

E soprattutto, è importante che le banche si dotino, in qualità e quantità, delle figure necessarie in aree sempre più responsabilizzate di obblighi normativi quali Risk Mgt, Compliance ed Audit.

Citando quanto detto in un recente convegno da un esponente della Banca d’Italia,

“C’è un mio collega che quando va in ispezione e vede che il responsabile commerciale va in giro in Ferrari e il responsabile dei controlli con la 500, allora si rende conto che c’è qualche problema e che i due ruoli non sono ugualmente considerati”.

In conclusione, è nella sensibilità verso l’area dei controlli e nell’accettazione dei relativi costi quali utili investimenti che si colloca la chiave di volta della sfida del 15° Aggiornamento. Di questo, però, si avrà modo di trattare più in profondità in futuri articoli.

Ringraziamenti

Si ringrazia Flavia Cargnelutti di BCC Barlassina e l’intero Gruppo RAF DropBox per gli utili confronti.

Riferimenti

[1] C. Brescia Morra e G. Mele (2014),  “Le nuove fonti della vigilanza prudenziale”,

[2] Banca d’Italia  (2013), “La nuova Vigilanza Prudenziale per le Banche”, Circ.263 15^ Aggiornamento.

[3] Unione Europea (2013), “CRR – Capital Requirement Regulation”

[4] Banca d’Italia  (2014), Nota di chiarimento del 6 giugno 2014 – Sistema dei controlli interni, sistema

informativo e continuità operativa.

[5] ABI (2014), Estratto dal documento “Riflessioni sul capitolo VII per la Gap Analysis”

[6] Banca d’Italia  (2013), “Disposizioni di vigilanza per le banche”, Circ.285.


[1] Circolare 263, Titolo V, cap.5.

Share

I commenti per questo post sono chiusi