La Banca d’Italia emana il XV aggiornamento della circolare del 27 dicembre 2006, n. 263, in materia di vigilanza prudenziale per le banche, inserendovi il capitolo 7, 8 e 9, rispettivamente rubricati “il sistema dei controlli interni“, “il sistema informativo” e “la continuità operativa“.
In particolare, l’intervento sul sistema dei controlli interni contenuto nel settimo capitolo ha l’obiettivo di rafforzare la capacità degli istituti bancari e dei gruppi bancari di presidiare i rischi aziendali attraverso la creazione di un quadro normativo organico e coerente con le migliori prassi internazionali e con le raccomandazioni dei principali standardsetter (i.e. Financial Stability Board, Comitato di Basilea per la vigilanza bancaria, EBA).
La disciplina s’ispira a principi quali il coinvolgimento dei vertici aziendali, l’esigenza di assicurare una visione integrata dei rischio, l’attenzione ai temi dell’efficienza e dell’efficacia dei controlli, la valorizzazione del principio di proporzionalità per graduare l’applicazione delle norme in funzione della dimensione e della complessità operativa delle banche.
Le nuove disposizioni richiedono alle banche di dotarsi di un sistema di controlli completo, adeguato, funzionale ed affidabile.
Rispetto al quadro regolamentare previgente vengono modificati i ruoli e i compiti dell’organo con funzione di supervisione strategica, al quale spetta la definizione del modello di business e delrisk appetite framework, nonché l’approvazione di un codice etico, e dell’organo con funzione di gestione il quale dovrà avere un’approfondità comprensione di tutti i rischi aziendali e, nell’ambito di una gestione integrata, delle loro interrelazioni reciproche e con l’evoluzione del contesto esterno.
Nondimeno, la nuova regolamentazione ripone maggiore enfasi sulla definizione, da parte dei vertici aziendali, delle politiche e dei processi aziendali di maggiore rilievo, nonché revisione la disciplina delle funzioni aziendali di controllo (i.e. internal audit, compliance e risk management) al fine di rafforzare le procedure di nomina e revoca e la posizione gerarchico-funzionale dei responsabili ed ampliare i compiti del responsabile del risk menagement
Infine, viene introdotta una disciplina organica in materia di esternalizzazione di funzioni aziendali, distinguendosi tra l’ipotesi dell’esternalizzazione infragruppo da quella realizzata all’esterno dello stesso.
L’ottavo capitolo aggiorna la disciplina del sistema informativo per recepire le principali evoluzioni emerse a livello internazionale. Oltre a disciplinare le modalità di governo del sistema informativo, di gestione del rischio informatico ed i requisiti per assicurare la sicurezza informatica, le disposizioni recepiscono le raccomandazioni della BCE per la sicurezza delle transazioni bancarie tramite internet.
Il capitolo nono, da ultimo, disciplina la materia della continuità operativa, riorganizzando le disposizioni attualmente contenute in diverse fonti. Tra le novità di maggiore rilievo, vi è la formalizzazione del ruolo del CODISE – struttura per il coordinamento della gestione delle crisi operative della piazza finanziaria italiana presieduta dalla Banca d’Italia.
Le nuove disposizioni regolamentari entrano in vigore dalla pubblicazione con effetto di pubblicità legale nel sito internet della Banca d’Italia ma, in considerazione della significatività dell’intervento normativo ed al fine di agevolare l’adeguamento alle stesse, è stato previsto un periodo transitorio e l’invio di una gap analysis da parte degli istituti bancari.
Il testo del regolamento è consultabile al seguente link:
http://www.bancaditalia.it/vigilanza/normativa/norm_bi/circ-reg/vigprud/263CIRC_15AGG.pdf.
Per un resoconto dettagliato dell’intervento regolamentare si consulti il seguente link: http://www.bancaditalia.it/vigilanza/pubblicazioni/bollvig/2013/07_13/provv_cg/bi_cg/20130702_II1.pdf.