Premessa
Dal prossimo 30 giugno troveranno applicazione negli Stati membri gli Orientamenti EBA sulla governance interna[1].
Gli Orientamenti EBA – che si indirizzano alle banche e alle imprese d’investimento – affrontano diverse tematiche attinenti la governance degli enti interessati fra le quali: i) il ruolo, la composizione e la responsabilità dell’organo di amministrazione (con riferimento alle funzioni gestionali e di supervisione strategica dello stesso), oltre che dei comitati endo-consiliari; ii) il quadro di governance; e iii) il quadro e i meccanismi di controllo interno.
Le autorità competenti e gli enti finanziari saranno chiamati a compiere ogni sforzo per conformarsi agli Orientamenti EBA. In particolare, le autorità competenti saranno tenute ad integrare gli Orientamenti nelle rispettive prassi di vigilanza[2], anche quando gli stessi siano direttamente principalmente agli enti interessati[3].
Si segnala altresì, stante la contiguità del tema, che il 30 giugno entreranno in vigore anche gli Orientamenti ESMA/EBA sulla valutazione dell’idoneità dei membri dell’organo di gestione e del personale che riveste ruoli chiave[4].
Ambito di applicazione e proporzionalità
Come anticipato, gli Orientamenti EBA si applicheranno, sotto il profilo soggettivo, agli “enti” come definiti all’articolo 4, paragrafo 1, punto 3), del regolamento (UE) n. 575/2013 (c.d. CRR), vale a dire enti creditizi e imprese di investimento. A livello di ordinamento interno saranno quindi soggette a tali Orientamenti le banche e le SIM soggette a CRD IV[5], tanto in sede di autorizzazione quanto ove già autorizzate.
Secondo gli Orientamenti EBA, i dispositivi di governance degli enti devono essere coerenti con il profilo di rischio individuale e il modello di business dell’ente, in modo che gli obiettivi degli obblighi regolamentari siano raggiunti in modo efficace.
Nello sviluppo e nell’attuazione di dispositivi di governance interna, gli enti dovrebbero tenere conto delle loro dimensioni (in termini di totale di bilancio dell’ente e delle sue filiazioni) e della loro organizzazione interna, nonché della natura, dell’ampiezza e della complessità della loro attività. Sul punto, pur registrando una sostanziale aderenza della vigente disciplina di diritto interno (di cui, in particolare, alla Circolare n. 285 del 17 dicembre 2013 della Banca d’Italia) rispetto agli Orientamenti EBA, si segnala che, diversamente da quanto richiesto dalla Banca d’Italia, nell’approccio dell’autorità europea non pare prevalere il criterio del totale di bilancio (e della quotazione in borsa) – considerando i restanti criteri come secondari, se la banca ritiene che i primi non siano sufficientemente significativi per l’attribuzione ad una delle tre categorie (enti significativi, intermedi e minori) – ma si raccomanda che tutti i criteri indicati negli Orientamenti siano presi in considerazione in egual misura[6].
Funzioni dell’organo di amministrazione
Anzitutto, come si legge nel documento, con riguardo all’organo amministrativo gli Orientamenti EBA:
- intendono includere tutte le strutture esistenti dei consigli e non ne sostengono nessuna in particolare;
- non interferiscono con la ripartizione generale delle competenze, in conformità del diritto societario nazionale;
- dovrebbero essere seguiti a prescindere dalla struttura dei consigli in uso (monistica e/o dualistica e/o altra struttura) nei vari Stati membri.
Gli Orientamenti prendono poi in considerazione il ruolo e la composizione dell’organo di amministrazione degli enti interessati, considerato come titolare delle “funzioni” di gestione (esecutive) e di supervisione strategica (non esecutive).
Al riguardo si segnala una distinzione – quantomeno terminologica – con la Circolare n. 285 della Banca d’Italia che prevede un modello articolato – più che su “funzioni” – su una pluralità di “organi” con funzione di gestione e con funzione di supervisione strategica, pur prevedendosi che le due funzioni possano essere cumulate all’interno di un unico organo (nel sistema tradizionale, il consiglio di amministrazione). In particolare, la Circolare n. 285 prevede che in relazione ai diversi modelli di amministrazione e controllo e alle scelte statutarie dei singoli intermediari, più funzioni “possono” essere svolte dallo stesso organo o più organi “possono” condividere la stessa funzione[7]: si tratta pertanto di una possibilità concessa agli enti di condensare nell’organo amministrativo più funzioni e non, come negli Orientamenti EBA, il modello di governance standard. In proposito, sarà interessante valutare se la Circolare n. 285 e la prassi di vigilanza della Banca d’Italia recepiranno gli Orientamenti EBA nel senso di prevedere espressamente la convergenza ad unità delle funzioni di gestione e di supervisione strategica nell’ambito dell’organo amministrativo dell’ente[8].
Gli Orientamenti EBA – che prendono in considerazione il sistema di amministrazione degli enti interessati senza fare riferimento ad una struttura di governance specifica – indicano partitamente le competenze dell’organo amministrativo complessivamente inteso, dell’organo nella propria funzione di gestione e dell’organo nella propria funzione di supervisione strategica, precisando altresì che i compiti dell’organo di amministrazione dovrebbero essere definiti con chiarezza, operando una distinzione fra i compiti della funzione di gestione esecutiva e di supervisione strategica non esecutiva.
In tale prospettiva, gli Orientamenti attribuiscono all’organo di amministrazione complessivamente inteso il compito di definire, approvare e sorvegliare, tra l’altro, le strategie globali e le politiche chiave dell’ente, anche in materia di rischi, la governance interna, il quadro di controllo interno, ecc.
Con riferimento all’esercizio della funzione di gestione esecutiva, è stabilito che la stessa consiste nell’attuazione delle strategie stabilite e nella conseguente discussione – su base “regolare” – di tale attuazione e dell’idoneità delle predette strategie con l’organo nella sua funzione di supervisione strategica. Pare coerente con l’attribuzione all’organo con funzione di gestione della responsabilità di impegnarsi attivamente nella gestione dell’ente la previsione circa l’obbligo dello stesso di riferire all’organo di amministrazione nella sua funzione di supervisione strategica circa gli elementi di tutte le situazioni, dei relativi rischi e degli sviluppi che possono ripercuotersi sull’ente.
Nei casi in cui l’organo di amministrazione delega, parzialmente o totalmente, le funzioni esecutive a una persona o a un organo esecutivo interno (ad esempio un amministratore delegato, un team di gestione o un comitato esecutivo), le persone che esercitano dette funzioni esecutive sulla base di tale delega dovrebbero essere considerate parte della funzione di gestione dell’organo di amministrazione.
Gli Orientamenti in esame attribuiscono all’organo di amministrazione nella sua funzione di supervisione strategica – che dovrebbe essere composto anche da membri indipendenti ai sensi dei citati orientamenti ESMA/EBA sulla valutazione dell’idoneità dei membri dell’organo di gestione e del personale che riveste ruoli chiave – una ampia gamma di compiti, che paiono di natura parzialmente diversa rispetto a quelli allo stesso attribuiti dalla normativa interna (che attribuisce allo stesso, fra l’altro, la definizione e approvazione degli indirizzi strategici dell’attività dell’ente, quali l’approvazione del modello di business, degli obiettivi di rischio, delle linee di indirizzo del sistema dei controlli interni, ecc., che, come visto, sono invece attribuiti dagli Orientamenti all’organo amministrativo nel suo complesso).
Negli Orientamenti, all’organo amministrativo con funzione di supervisione strategica sono invece attribuiti compiti che paiono essere legati maggiormente alla “sorveglianza” di alto profilo sull’attività dell’ente. In particolare, oltre al compito generale consistente nel monitoraggio e nella “contestazione costruttiva” della strategia dell’ente, vengono indicati, fra gli altri, la sorveglianza e il monitoraggio sull’organo di amministrazione nella sua funzione di gestione, la contestazione costruttiva e la revisione critica delle proposte e delle informazioni fornite dai membri dell’organo di amministrazione nella sua funzione di gestione; la valutazione periodica dell’efficacia della governance interna dell’ente e l’adozione delle misure appropriate per far fronte a eventuali carenze individuate; la garanzia dell’azione indipendente dei responsabili delle funzioni di controllo e il monitoraggio dell’attuazione dei piani di audit interno.
È poi disciplinata l’istituzione di comitati endo-consiliari interni alla funzione di supervisione strategica, tanto sotto il profilo della composizione quanto sotto quello del ruolo e dei relativi processi[9], mentre non viene specificatamente trattata la disciplina degli eventuali comitati endo-consiliari interni alla funzione di gestione.
Il quadro di governance
Gli Orientamenti sulla governance interna prevedono che spetti all’organo di amministrazione il compito di garantire che l’ente possieda una struttura organizzativa e operativa adeguata e trasparente.
Sono previste alcune regole che devono guidare l’organo amministrativo nella individuazione della struttura organizzativa dell’ente. Viene in particolare individuato, innanzitutto, il principio “know your structure”, che nella sostanza impone che l’organo di amministrazione conosca e comprenda appieno la struttura giuridica, organizzativa e operativa dell’ente, di modo che possa essere garantito che la stessa sia in linea con la strategia aziendale, la strategia in materia di rischio e la propensione al rischio che l’ente stesso ha approvato.
Il principio “know your structure” impone, nelle entità appartenenti ai gruppi (definite entità consolidate), la comprensione specifica della struttura del gruppo complessivamente inteso, ivi inclusa la specificità delle singole entità allo stesso appartenenti in termini di finalità perseguite e attività svolte. Specularmente, l’organo amministrativo dell’ente posto al vertice del gruppo (entità consolidante) dovrebbe fornire alle entità interessate informazioni sufficienti a garantire tale comprensione.
È inoltre previsto un sostanziale divieto di istituire strutture complesse e attività non standard o non trasparenti. È quindi previsto che, prima di istituire una struttura nuova, gli enti dovrebbero effettuare una valutazione dei rischi allo scopo di accertare se la stessa possa essere utilizzata per il perseguimento di scopi illeciti (quali, ad esempio, il riciclaggio o la commissione di reati finanziari).
Gli Orientamenti elencano analiticamente gli aspetti che dovrebbero essere tenuti in considerazione in tale valutazione, indicando, in particolare:
- la misura in cui la giurisdizione nella quale sarà istituita la struttura rispetta effettivamente le norme UE e internazionali in materia di trasparenza fiscale, antiriciclaggio e lotta al finanziamento del terrorismo;
- la misura in cui la struttura serve un evidente obiettivo economico e lecito;
- la misura in cui la struttura potrebbe essere utilizzata per nascondere l’identità del titolare effettivo ultimo;
- la misura in cui la richiesta del cliente che porta alla possibile istituzione di una struttura sollevi preoccupazioni;
- se la struttura possa impedire la sorveglianza appropriata da parte dell’organo di amministrazione dell’ente o la capacità dell’ente di gestire il rischio correlato; e
- se la struttura ponga ostacoli alla supervisione strategica efficace da parte delle autorità competenti.
In considerazione di tali fattori, gli enti dovrebbero evitare di istituire strutture poco chiare o inutilmente complesse senza una chiara motivazione economica o un obiettivo lecito o se gli enti temono che tali strutture possano essere utilizzate per un obiettivo legato a reati finanziari.
Non appare tuttavia chiaro dalla lettura degli Orientamenti EBA se con il termine struttura ci si intenda riferire esclusivamente alle strutture organizzative dell’ente (come farebbe intendere l’inclusione della disciplina nel capo relativo al quadro organizzativo) oppure anche a strutture contrattuali legate ad operazioni (come farebbe invece intendere il riferimento sopra citato alle strutture elaborate sulla base di richieste dei clienti).
Cultura del rischio e codice etico
Negli Orientamenti viene specificamente definito – per la prima volta – il principio della “cultura del rischio”, intesa come l’insieme delle norme, degli atteggiamenti e dei comportamenti di un ente rispetto alla consapevolezza del rischio, all’assunzione e alla gestione del rischio, nonché i controlli che determinano le decisioni in merito ai rischi. La cultura del rischio influenza le decisioni dei dirigenti e dei dipendenti durante le attività quotidiane e si ripercuote sui rischi che essi assumono.
Gli enti dovrebbero sviluppare una cultura del rischio attraverso politiche, comunicazione e formazione del personale riguardo alle attività, alla strategia e al profilo di rischio dell’ente e dovrebbero adattare la comunicazione e la formazione del personale per prendere in considerazione le responsabilità di quest’ultimo nell’assunzione e nella gestione dei rischi.
In particolare, una forte cultura del rischio dovrebbe anche prevedere: i) l’adozione di una linea dall’alto (in termini di valori chiave e aspettative dell’ente), ii) la responsabilità di tutto il personale pertinente di ogni livello, iii) la comunicazione e messa in discussione efficaci e iv) incentivi appropriati al fine di allineare i comportamenti di assunzione del rischio con il profilo di rischio dell’ente e del suo interesse a lungo termine[10].
Quadro e meccanismi di controllo interno
Gli Orientamenti individuano inoltre specifiche linee guida in materia di organizzazione dei controlli interni, che precisano in maniera dettagliata i compiti e le responsabilità in tale ambito.
È così innanzitutto previsto che spetti all’organo di amministrazione complessivamente inteso la responsabilità della definizione e del monitoraggio dell’adeguatezza e dell’efficacia del quadro di controllo interno. Spetta all’organo amministrativo altresì l’approvazione di politiche, meccanismi e procedure di controllo interno, che debbono essere formulate per iscritto e periodicamente aggiornate.
Nell’ambito del quadro di controllo interno, specifica attenzione è dedicata al processo di approvazione dei nuovi prodotti. Al riguardo, è stabilito che gli enti debbano formulare per iscritto una politica, che andrà approvata dall’organo di amministrazione, che dovrebbe riguardare ogni ipotesi di (i) sviluppo di nuovi mercati, prodotti e servizi, (ii) modifiche rilevanti apportate a quelli esistenti, nonché (iii) le operazioni straordinarie.
Scopo di tale documento è quello di garantire la compatibilità delle nuove iniziative con il profilo di rischio adottato dall’ente; a tal fine è previsto che la procedura debba coinvolgere il presidio di gestione dei rischi e, quando avente ad oggetto i nuovi prodotti o modifiche ai prodotti esistenti, la funzione di compliance, chiamata a rendere un parere motivato di conformità.
Di rilevante interesse, inoltre è anche l’indicazione degli elementi che la politica dovrebbe indicare fra le questioni da trattare prima dell’approvazione dei nuovi prodotti, ovvero:
- il rispetto della normativa;
- la contabilità;
- i modelli di quantificazione del rischio;
- l’impatto sul profilo di rischio;
- l’adeguatezza patrimoniale e la redditività;
- la disponibilità di risorse adeguate per le attività di «front-office», «back-office» e «middle-office»; e
- la disponibilità di adeguati strumenti interni e competenze per la comprensione e il monitoraggio dei rischi associati.
La decisione di avviare una nuova attività dovrebbe inoltre indicare chiaramente l’unità operativa e le persone che ne sono responsabili.
Con riferimento agli organi di controllo interno, al di là dell’affermazione di principi tradizionalmente noti e applicati anche a livello interno (quali quelli in termini di preminenza gerarchica dei responsabili delle funzioni, del mantenimento di responsabilità dell’ente in caso di esternalizzazione, di necessaria adeguata dotazione finanziaria ecc.) di interesse paiono alcune indicazioni quali, fra le altre, la precisazione dei requisiti di indipendenza che devono rivestire i membri delle funzioni di controllo[11].
Si segnala inoltre che, mentre ai sensi della normativa interna nomina e revoca dei responsabili delle funzioni di controllo compete direttamente all’organo con funzione di supervisione strategica, in base agli Orientamenti parrebbe che gli enti possano assegnarne la nomina e la revoca anche a organi diversi purché tali decisioni siano oggetto di processi documentati. In ogni caso, è precisato che il responsabile delle funzioni di controllo interno non dovrebbe essere deposto senza previa approvazione dell’organo di amministrazione nella sua funzione di supervisione strategica e che, negli enti rilevanti, le autorità competenti dovrebbero essere prontamente informate dell’approvazione e delle principali ragioni della destituzione di un responsabile di una funzione di controllo interno.
Gli Orientamenti delineano inoltre il ruolo degli organi di controllo interno, in sostanziale continuità con quanto già previsto anche a livello nazionale. Al riguardo, si segnala in particolare:
- con riferimento alla funzione di compliance, la possibilità, se non è proporzionato nominare una persona che si dedichi soltanto al ruolo di responsabile della conformità, che tale funzione sia combinata con quella di responsabile della funzione di risk management o esercitata da un’altra persona esperta (ad es. il responsabile dell’ufficio legale), a condizione che non ci sia alcun conflitto di interesse tra le funzioni combinate. Sul punto, si segnala che – rispetto agli Orientamenti – la Circolare n. 285 prevede la possibilità che varie fasi in cui si articola l’attività della funzione possano essere affidate a risorse appartenenti ad altre strutture organizzative (ad es., legale, organizzazione, gestione del rischio operativo), purché il processo di gestione del rischio e l’operatività della funzione siano ricondotti ad unità mediante la nomina di un responsabile che coordini e sovrintenda alle diverse attività;
- con riferimento alla funzione di risk management, gli Orientamenti prevedono una disciplina più articolata rispetto a quella contenuta nella Circolare n. 285, dando centralità alla funzione – che dovrà essere strutturata in modo tale da poter attuare politiche in materia di rischi e controllare il quadro di gestione degli stessi – e garantendo alla stessa di partecipare attivamente a tutte le decisioni di gestione dei rischi sostanziali. Al pari della funzione di conformità, se non è proporzionato nominare una persona che si dedichi soltanto al ruolo di responsabile del risk, è possibile che tale funzione sia combinata con quella di responsabile della funzione di compliance o esercitata da un’altra persona esperta, a condizione che non ci sia alcun conflitto di interesse tra le funzioni combinate[12];
- con riferimento alla funzione di internal audit, si prevede, tra l’altro, che la stessa: i) non possa essere combinata con altre funzioni, ii) non debba essere coinvolta nello sviluppo, nella selezione, nella determinazione e dell’attuazione delle politiche, meccanismi e procedure di controllo interno specifici e limiti di rischio (ferma la possibilità per l’organo di amministrazione, nella sua funzione di gestione, di richiedere un contributo alla funzione), iii) debba rispettare gli standard professionali nazionali e internazionali[13].
Con riguardo alla collocazione gerarchica delle funzioni di controllo, anche alla luce di quanto descritto sopra nella parte relativa all’organo di amministrazione, occorrerà valutare come gli Orientamenti EBA saranno declinati dalla Banca d’Italia rispetto alla disciplina attuale della Circolare n. 285 sul punto, nella quale i responsabili delle funzioni di conformità e rischio sono collocati alle dirette dipendenze dell’organo con funzione di gestione o dell’organo con funzione di supervisione strategica, mentre il responsabile della revisione interna sempre alle dipendenze dell’organo con funzione di supervisione strategica.
Politica di governance
Gli enti dovrebbero documentare in una politica i dispositivi di governance adottati, tenendo conto degli aspetti elencati nell’allegato I degli Orientamenti. Nonostante le politiche e la documentazione possano essere incluse in documenti separati, gli enti dovrebbero considerare la possibilità di combinarle o di fare riferimento alle stesse in un unico documento sul quadro di governance.
Gli aspetti da considerare nel definire la politica di governance interna dovrebbero essere: i) struttura azionaria, ii) struttura del gruppo, iii) composizione e funzionamento dell’organo di amministrazione, iv) struttura di governance (comitati specializzati e comitato esecutivo, se esistente) e organigramma, v) titolari di funzioni chiave, vi) quadro di controllo interno, vii) struttura organizzativa, viii) codice etico e di comportamento, ix) stato di aggiornamento della politica di governance interna.
[1] EBA/GL/2017/11. Gli Orientamenti dell’ABE sulla governance interna (GL 44) del 27 settembre 2011 sono quindi conseguentemente abrogati con effetto dal 30 giugno 2018.
[2] Ad esempio, si legge del documento, modificando il proprio quadro giuridico o le proprie procedure di vigilanza.
[3] Oppure, in alternativa, indicare le ragioni della mancata conformità. Le competenti autorità avrebbero dovuto comunicare alle autorità europee entro il 21 maggio 2018 la loro conformità agli Orientamenti; allo stato, le comunicazioni non risultano pubblicate sul sito web dell’EBA.
[4] ABE/GL/2017/12; tali orientamenti andranno a inserirsi nel quadro dell’ordinamento interno nel più complessivo disegno di risistemazione della materia dei requisiti degli esponenti aziendali delle banche e delle imprese di investimento, attualmente in fase di implementazione.
[5] Tutte le SIM, ad eccezione di quelle che prestano esclusivamente i servizi di ricezione e trasmissione di ordini e di consulenza in materia di investimenti senza detenzione dei beni della clientela (vd. Comunicazione della Banca d’Italia del 31 marzo 2014 e successive modificazioni).
[6] I criteri di cui tenere conto – oltre alle dimensioni, in termini di totale di bilancio – sono la presenza geografica e il volume delle attività in ciascun Paese, la forma giuridica e il gruppo di appartenenza, l’eventuale quotazione in borsa, l’adozione di modelli interni per la misura dei requisiti patrimoniali, la tipologia di attività e servizi prestati, il modello di business e la strategia di base, la strategia in materia di rischio, la propensione al rischio e l’effettivo profilo di rischio (a valle del procedimento SREP), gli assetti proprietari e la struttura finanziaria, la tipologia di clientela e la complessità dei prodotti, le attività esternalizzate e i canali distributivi, i sistemi informativi disponibili.
[7] Ad esempio, la funzione di supervisione strategica e quella di gestione, attenendo unitariamente all’amministrazione dell’impresa, possono essere incardinate nello stesso organo aziendale; tipicamente ciò avviene nell’ambito del consiglio di amministrazione. La Circolare n. 285, sul punto, chiarisce che un sistema di governo societario efficiente, basato sul bilanciamento dei poteri, richiede che, nel caso in cui le funzioni di supervisione strategica e di gestione vengano attribuite ad organi diversi – ipotesi che non pare contemplata negli Orientamenti EBA – siano chiaramente individuati e distinti i compiti e le responsabilità dei due organi.
[8] Occorrerà probabilmente, in tale contesto, rivalutare la posizione del direttore generale, che oggi nella Circolare n. 285 rappresenta il vertice della struttura interna e come tale “partecipa alla funzione di gestione”, mentre in base agli Orientamenti EBA potrebbe esserne parte a tutti gli effetti.
[9] È specificamente disciplinato, in particolare, il ruolo che dovrebbe essere svolto dal comitato rischi e dal comitato controllo interno e revisione contabile. Gli Orientamenti pongono particolare enfasi sul coinvolgimento degli amministratori indipendenti nell’ambito dei comitati endo-consiliari e prevedono, fra l’altro, che la presidenza degli stessi debba essere attribuita ad un amministratore non esecutivo.
[10] Al riguardo, gli Orientamenti rimandano gli orientamenti dell’EBA su sane politiche di remunerazione (ABE/GL/2015/22)
[11] In particolare, è previsto che:
- il personale delle funzioni di controllo non debba svolgere compiti operativi che rientrano nell’ambito delle attività che le funzioni di controllo interno sono tenute a monitorare e controllare;
- dal punto di vista organizzativo, le funzioni debbano essere separate dalle attività che sono tenute a monitorare e controllare;
- fatta salva la responsabilità generale dei membri dell’organo di amministrazione per l’ente, il responsabile di una funzione di controllo interno non dovrebbe essere subordinato a una persona responsabile di gestire le attività che la funzione di controllo interno monitora e controlla; e
- la remunerazione del personale preposto alla funzione di controllo interno non dovrebbe essere associata alle prestazioni delle attività che la funzione di controllo interno monitora e controlla, né ad altro che ne possa compromettere l’obiettività.
[12] Viene aggiunto che tale persona dovrebbe comunque avere sufficiente autorità, peso e indipendenza (ad es. il responsabile dell’ufficio legale).
[13] Quali sono gli standard stabiliti dall’Institute of Internal Auditors.