Governance e Risk Culture: le novità della consultazione BCE

Il presente contributo affronta le novità della nuova e attesa Guida BCE in consultazione sui temi della governance e della cultura del rischio, che sostituisce la precedente del 2016 arricchendola di nuovi contenuti.  

1. Premessa

Lo scorso 24 luglio, la Banca Centrale Europea (di seguito “BCE”) ha avviato una consultazione pubblica sulla nuova e attesa “Guida sulla governance e la cultura del rischio” (di seguito anche “Guida”), la quale sostituisce e aggiorna la precedente “Dichiarazione di Vigilanza SSM sulla governance e la propensione al rischio” del 2016 (di seguito “Dichiarazione di Vigilanza”).

La Guida BCE riflette le recenti evoluzioni normative, fornendo una serie di esempi di buone prassi evidenziati dalla BCE nel corso degli anni. Rispetto alla pubblicazione del 2016, la Guida si amplia e arricchisce significativamente nei contenuti, includendo tre nuovi capitoli dedicati rispettivamente alla “governance e cultura del rischio” (cap. 2), alle “funzioni di controllo interno” (cap. 4) e all’“approccio di vigilanza” (cap. 6). Questi nuovi capitoli si affiancano a quelli già presenti nel 2016 relativi al “funzionamento e all’efficacia del Board” (cap. 3) e al “Risk Appetite Framework” (cap. 5).

Secondo le aspettative dell’Autorità di Vigilanza, la rinnovata Guida BCE mira, pertanto, a fornire alle banche una tabella di marcia utile per migliorare la governance interna e la cultura del rischio. In questa prospettiva, la Guida BCE:

• Sottolinea l’importanza della cultura del rischio;
• Chiarisce le aspettative delle Autorità di Vigilanza riguardo alla composizione e al funzionamento degli Organi di gestione e dei Comitati di gestione;
• Definisce i ruoli e le responsabilità delle Funzioni di Controllo Interno;
• Delinea le aspettative in merito ai quadri di propensione al rischio delle banche.

In considerazione di quanto sopra, il presente contributo intende sintetizzare le principali novità e gli elementi di attenzione contenuti nella Guida BCE, al fine di fornire un utile strumento agli operatori nella lettura della consultazione.

2. L’importanza della Governance e della cultura del rischio nelle banche

Nel documento attualmente in consultazione, la BCE enfatizza l’importanza cruciale della governance e della cultura del rischio come elementi essenziali per il funzionamento efficace di qualsiasi organizzazione. Tali elementi esercitano un impatto significativo sulla struttura, sulla cultura organizzativa e sul personale, costituendo uno dei pilastri fondamentali del processo di revisione e valutazione prudenziale (SREP).

Sebbene alcuni istituti abbiano compiuto progressi rilevanti, l’Autorità di Vigilanza ha concluso che i miglioramenti raggiunti finora non sono generalmente sufficienti. Pertanto, è necessario che le banche continuino a perfezionare l’implementazione dei propri standard di governance. Contestualmente, la BCE si impegnerà a intensificare le attività di supervisione, al fine di adottare misure tempestive volte a promuovere i miglioramenti necessari.

In questo contesto, si inserisce, dunque, il nuovo capitolo 2 della Guida BCE dedicato a delineare la comprensione, da parte dell’Autorità di Vigilanza, delle componenti della governance della cultura del rischio. In particolare, la Guida chiarisce che, secondo la prospettiva della vigilanza, la cultura del rischio e la governance sono strettamente interconnesse. La prima concerne principalmente i modelli comportamentali e culturali, mentre la seconda riguarda aspetti più formali, quali la struttura organizzativa, il framework dei controlli e le policy adottate.

Nell’ambito della Guida BCE, vengono, inoltre, definite quattro dimensioni fondamentali della cultura del rischio, quali:

1. Tone from the Top and Leadership: la leadership riveste un ruolo cruciale nella creazione di una cultura di prudente assunzione dei rischi, mediante meccanismi di comunicazione efficaci da parte del Consiglio di Amministrazione (di seguito “CdA”) riguardanti il rischio, la conformità e i comportamenti eticamente corretti da seguire;
2. Culture of Effective Communication, Challenge, and Diversity: una comunicazione aperta e costruttiva all’interno del CdA e tra le funzioni di controllo e di business rappresenta un pilastro essenziale per una cultura del rischio efficiente. Analogamente, un adeguato grado di diversificazione del Consiglio è fondamentale per promuovere una cultura di confronto costruttivo all’interno dell’organizzazione;
3. Accountability for Risk: l’assegnazione di responsabilità chiare per l’assunzione, il monitoraggio e la gestione dei rischi finanziari e non finanziari, compresi i rischi emergenti, costituisce una dimensione cruciale per favorire una cultura del rischio adeguata all’interno delle istituzioni finanziarie;
4. Proper settings of incentives: la definizione di sistemi di remunerazione allineati al rischio, con meccanismi di correzione ex ante ed ex post, rappresenta un’ulteriore dimensione chiave della cultura del rischio, in quanto favorisce l’allineamento dei comportamenti manageriali alla sana e prudente gestione della banca.

Per ciascuna delle dimensioni sopra menzionate, la Guida identifica una serie di “buone prassi” osservate dalla BCE nell’ambito delle proprie attività ispettive, oltre che un elenco di “red flags” che possono, al contrario, indicare potenziali problemi nella governance e nella cultura del rischio di una banca.

L’aspettativa della BCE è che le banche definiscano la propria cultura, i propri valori e codici di condotta e ne misurino implementazione e aderenza. In tale prospettiva, il Consiglio di Amministrazione dovrebbe confrontarsi regolarmente sulla cultura della banca al fine di garantirne l’allineamento alla sana e prudente gestione.

3. Funzionamento ed efficacia del Board

Nella prospettiva della BCE, il CdA di una banca ha il compito fondamentale di orientare, supervisionare e garantire l’implementazione di assetti di governance che assicurino una gestione efficace e prudente dell’istituto. Per adempiere a tali responsabilità, il CdA deve operare secondo una distinzione tra le funzioni gestorie e quelle di supervisione. In particolare, le più recenti indicazioni fornite nella Guida enfatizzano l’importanza della capacità del CdA, nella sua funzione di supervisione, di svolgere un’attività di challenge “costruttivo” nei confronti del management. Tale attività è strettamente correlata all’idoneità individuale dei membri del CdA e all’idoneità collettiva in termini di conoscenze, esperienze e diversità.

Nel contesto di un’ulteriore evoluzione delle normative e delle prassi di governance bancaria, la nuova Guida BCE approfondisce e amplia significativamente quanto già delineato nella Dichiarazione di Vigilanza del 2016. In particolare, la Guida si concentra su tre aree chiave:

• Composizione del CdA: si richiede una valutazione accurata della composizione del CdA, con particolare attenzione alla varietà di competenze ed esperienze necessarie per garantire un’efficace supervisione e una gestione prudente dell’istituto;
• Funzionamento ed efficacia del CdA: è essenziale analizzare il funzionamento del CdA e la sua capacità di operare efficacemente. Questo include la valutazione dei processi decisionali, della dinamica di gruppo e della capacità di rispondere in modo adeguato alle sfide emergenti;
• Politiche relative alla composizione e al funzionamento: la Guida sottolinea la necessità di sviluppare e adottare politiche dettagliate riguardanti la composizione e il funzionamento del CdA, assicurando che queste siano in linea con le migliori pratiche di governance e le aspettative normative.

In relazione alla composizione, la Guida formula le seguenti aspettative:

• Dimensioni e Composizione: la BCE si aspetta che le dimensioni del CdA siano tali da consentire un’efficace supervisione senza compromettere l’efficacia operativa del Consiglio stesso. Inoltre, la composizione del CdA deve garantire un’adeguata idoneità collettiva, comprendendo diversità in termini di età, genere, provenienza geografica e altri fattori, al fine di evitare fenomeni di “group thinking”. L’idoneità del CdA deve essere valutata dal Comitato Nomine, utilizzando il modello di “Suitability Matrix” condiviso dall’EBA (European Banking Authority) o una metodologia interna della banca, con i risultati discussi all’interno del CdA;
• Indipendenza e conflitti di Interesse: oltre al criterio dell’indipendenza di giudizio, il CdA deve includere un numero sufficiente di membri formalmente indipendenti per rafforzare la diversità delle opinioni e il challenge delle decisioni. In merito ai potenziali conflitti di interesse, la BCE raccomanda che le banche seguano il principio di separazione tra funzioni esecutive e non esecutive, adottando misure appropriate, in particolare nei casi in cui l’Amministratore Delegato ricopra anche la carica di Presidente del CdA;
• Ruolo del Presidente del CdA: il Presidente del CdA, in quanto promotore della cultura aziendale, del Tone from the Top e dell’efficace funzionamento del Consiglio, dovrebbe essere un membro non esecutivo e indipendente;
• Comitati Interni: i membri dei Comitati interni devono possedere competenze specifiche nelle aree tematiche del Comitato per garantire una consulenza efficace e un challenge delle decisioni adeguato sulle proposte all’ordine del giorno.

Per quanto riguarda il funzionamento e l’efficacia, nella Guida vengono richiamati i seguenti aspetti:

• Preparazione e Dibattito: i membri del CdA devono prepararsi con attenzione per le riunioni, garantendo così una discussione approfondita e un challenge Inoltre, i membri sono attesi a svolgere un ruolo proattivo nella definizione degli ordini del giorno, affinché gli argomenti trattati coprano un ampio spettro di tematiche;
• Interazione e Flusso di Informazioni: i CdA devono sviluppare pratiche che facilitino l’interazione tra il Consiglio e i suoi Comitati, assicurando un corretto flusso di informazioni tra gli Organi;
• Documentazione: la documentazione del Consiglio e dei Comitati deve mantenere un equilibrio tra completezza e concisione, per favorire un dibattito adeguato.

Infine, la nuova Guida BCE suggerisce l’implementazione di un framework di politiche interne per rafforzare i processi relativi alla composizione e al funzionamento del CdA. In particolare, la BCE si aspetta che le banche includano nella loro “Suitability Policy” i criteri di fit and proper utilizzati per determinare l’idoneità dei membri e le linee guida per la loro valutazione. Per quanto riguarda la “Politica sulla Diversity”, la BCE richiede che siano delineati i vari profili di diversità e considerati aspetti come le quote di genere e il gender pay gap. Inoltre, la BCE raccomanda la redazione di “Piani di successione” per garantire transizione e continuità adeguata nell’attività del CdA.

4. Funzioni di Controllo Interno

Conformemente alle disposizioni contenute nella CRD e negli Orientamenti EBA sulla governance interna (EBA/GL/2021/05), la Guida sottolinea l’importanza per le banche di disporre di funzioni di controllo interno (Risk Management, Compliance e Internal Audit) indipendenti e dotate di autorità e risorse sufficienti per l’esercizio delle loro funzioni, chiarendo le aspettative di BCE con riferimento a ciascun attributo indicato.

In primo luogo, l’indipendenza della Funzione di Controllo Interno si traduce in prescrizioni di carattere organizzativo indirizzate al Consiglio di Amministrazione, che è tenuto a garantire:

• La separazione tra Funzioni di Controllo e linee di business controllate, in particolare da un punto di vista gerarchico;
• La segregazione delle mansioni attribuite alle stesse Funzioni di Controllo Interno, per prevenire il c.d. “dual-hatting” di ruoli e ridurre i casi di conflitto d’interesse. Tale obbligo è derogabile in applicazione del principio di proporzionalità per le funzioni di Compliance e Risk Management.

A tal fine, le banche si dovrebbero dotare di politiche interne che definiscano i ruoli e i compiti delle Funzioni di Controllo Interno, assicurando una chiara ripartizione delle responsabilità in un sistema di controlli organizzato su tre linee di difesa: linee di business al primo livello, funzioni di Compliance e Risk Management al secondo e Internal Audit al terzo. La BCE raccomanda che tali politiche includano forme di interazione tra Compliance e Risk Management per garantire che quest’ultima abbia una visione olistica di tutti i rischi a cui la banca è o potrebbe essere esposta.

In secondo luogo, il CdA dovrebbe assicurare che:

• Per la nomina del Responsabile della Funzione di Controllo Interno siano presi in considerazione dirigenti di alto livello gerarchico, a cui sia riconosciuta sufficiente autorità nel contesto aziendale e chiaro supporto da parte del Top Management;
• Le Funzioni di Controllo Interno siano dotate di adeguate risorse finanziarie, umane e tecniche per l’adempimento dei propri compiti e responsabilità. Ciò include la disponibilità di risorse umane, oltre a sistemi e strumenti IT per assistere l’analisi e la comunicazione dei dati. A tal fine, la BCE raccomanda alle banche di eseguire un monitoraggio regolare dell’adeguatezza delle risorse, di definire i fabbisogni formativi con cadenza almeno annuale e di elaborare un piano per colmare eventuali lacune individuate;
• Il CdA o i Comitati interni allo stesso siano coinvolti nella nomina, rimozione e valutazione delle performance dei Responsabili delle Funzioni di Controllo Interno. La Guida, infatti, ribadisce l’importanza per le banche di disporre di adeguati processi documentati che definiscano tali aspetti. Altrettanta importanza è attribuita al tema della remunerazione delle Funzioni di Controllo Interno che non dovrebbero avere una componente variabile correlata ad obiettivi di business ma prevalentemente legati ai controlli.

In qualità di responsabile del Sistema dei Controlli Interni, il CdA deve essere informato regolarmente sulle attività svolte dalle Funzioni di Controllo Interno e, in particolare, sui rischi individuati, sulle misure correttive e le relative deadline per le azioni di remediation. Risulta pertanto fondamentale che le banche dispongano di adeguati canali di comunicazione e flussi di reporting. Sul medesimo tema la Guida prevede che sia garantito un accesso incondizionato e diretto del CdA nei confronti delle Funzioni di Controllo Interno e viceversa. La BCE raccomanda lo svolgimento di riunioni periodiche bilaterali tra i responsabili delle Funzioni di Controllo Interno e il Presidente del CdA o i Presidenti dei pertinenti Comitati interni. Tale facoltà dovrebbe essere esercitata nella pratica e adeguatamente documentata.

A conclusione della sezione, la Guida descrive le aspettative specifiche di BCE per ciascuna Funzioni di Controllo Interno individuando alcune buone prassi osservate nell’ambito delle proprie attività di vigilanza. In particolare, l’Autorità si focalizza sulle attività di individuazione, monitoraggio e gestione dei rischi, reporting periodico agli organi sociali, follow-up rispetto ai controlli svolti, nonché partecipazione ai processi decisionali.

5. RAF

La BCE sottolinea l’importanza cruciale per le banche di sviluppare un Risk Appetite Framework (RAF) ben strutturato e comprensivo, considerandolo come una base fondamentale per una solida governance bancaria e come uno strumento strategico per la gestione del rischio. In tal senso, l’Autorità suggerisce che il RAF sia integrato e allineato con altri processi strategici, quali la predisposizione del bilancio, la formulazione dei Piani di Risanamento, la definizione delle Politiche di Remunerazione, nonché i processi ICAAP (Internal Capital Adequacy Assessment Process) e ILAAP (Internal Liquidity Adequacy Assessment Process).

È pertanto indispensabile che il RAF sia sostenuto da un robusto quadro di governance, con ruoli ben definiti per tutti gli attori coinvolti ai vari livelli dell’organizzazione. In tale contesto, il CdA deve svolgere un ruolo centrale nella definizione e approvazione del RAF. Inoltre, con il supporto del Comitato Rischi, il CdA deve monitorare attivamente l’attuazione del RAF per assicurare la sua coerenza con la strategia e gli obiettivi aziendali. La Guida suggerisce che il monitoraggio avvenga su base trimestrale attraverso un’apposita dashboard, che rappresenti in forma aggregata la propensione al rischio e consenta un confronto tra esposizioni e limiti di rischio, includendo sia rischi finanziari che non finanziari.

Le Funzioni di Controllo Interno devono periodicamente verificare l’adeguatezza dei limiti di rischio imposti su specifiche attività aziendali o su determinati rischi. In particolare, la BCE si aspetta che la funzione di Internal Audit esegua una revisione indipendente del RAF, preferibilmente su base annuale, includendo una valutazione complessiva e dell’adeguatezza dei processi di identificazione, escalation e segnalazione delle violazioni dei limiti.

Inoltre, il RAF deve essere diffuso all’interno delle banche, e le dichiarazioni di propensione al rischio devono essere stabilite per ciascuna linea di business, garantendo un allineamento con la strategia generale e con i limiti di rischio stabiliti a livello globale.

La Guida fornisce ulteriori indicazioni metodologiche per la predisposizione del RAF, tra cui:

• L’inclusione di rischi sia finanziari che non finanziari. Il RAF dovrebbe riflettere i rischi pertinenti al modello di business dell’istituzione (ad esempio, rischio di business, di capitale, di liquidità, di credito, operativo, ecc.) e considerare anche rischi emergenti (come i rischi climatici e ambientali, i rischi geopolitici, ecc.). La banca deve valutare, ove rilevante, se il RAF include i rischi associati alle cripto-attività;
• L’allineamento con i risultati dell’esercizio di identificazione dei rischi effettuato dall’istituzione, generalmente su base annuale;
• La definizione di metriche che riflettano il modello di business, la dimensione e la complessità dell’istituzione, e un numero sufficiente di metriche per coprire tutte le dimensioni del rischio;
• La definizione di limiti di propensione al rischio, che stabiliscano il livello e i tipi di rischio che la banca è disposta ad assumere, assicurando che le attività commerciali rimangano entro la propria capacità di rischio. La BCE raccomanda l’adozione di Sistemi Informativi di gestione efficaci per segnalare tempestivamente eventuali violazioni dei limiti e per adottare azioni correttive;
• Il collegamento delle remunerazioni variabili a fattori di rischio e l’inclusione di meccanismi di correzione ex post ed ex ante.

6. Conclusioni

Sia la crisi finanziaria globale che i fallimenti bancari idiosincratici hanno evidenziato come le insufficienze nella governance interna e nella cultura del rischio possano comportare seri problemi per le istituzioni bancarie. Processi decisionali inadeguati possono generare squilibri tra l’assunzione e il controllo del rischio, con conseguenti ripercussioni sul capitale e sulla resilienza operativa delle banche.

In tale contesto, il documento attualmente in consultazione si configura come una risorsa preziosa per comprendere le aspettative di vigilanza riguardanti questo tema e per orientare verso comportamenti virtuosi le istituzioni bancarie.

L’approvazione del testo definitivo della Guida da parte della BCE è ora attesa dopo il 16 ottobre 2024, data di chiusura della consultazione, e sarà preceduta da un’audizione pubblica fissata per il 26 settembre 2024, che riunirà esperti di banche vigilate e altri portatori di interesse.