WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12


WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca
www.dirittobancario.it
Approfondimenti

Il sistema dei controlli interni nei gruppi bancari alla luce dell’aggiornamento delle “Nuove disposizioni di vigilanza prudenziale per le banche”

13 Dicembre 2013

Roberto Della Vecchia e Serena Spedicati, Studio Legale Carbonetti

Di cosa si parla in questo articolo

1. Premessa

Val la pena ricordare preliminarmente che la disciplina dei controlli interni nell’ambito del gruppo bancario – la cui fonte legislativa risiede nell’art. 67, comma 1, lett. d), del TUB – risale alla Circolare n. 229 del 21 aprile 1999, recante “Istruzioni di vigilanza per le banche”, titolo IV, cap. 11.

Tale disciplina è stata aggiornata il 3 luglio 2013 ed inserita nell’ambito delle “Nuove disposizioni di vigilanza prudenziale per le banche” (cfr. Circolare n. 263 del 27 dicembre 2006, titolo V, capitolo 7, come da suo 15° aggiornamento).

Tale aggiornamento è entrato in vigore il giorno di pubblicazione sul sito internet della Banca d’Italia (lo stesso 3 luglio 2013), ma le previsioni in esso contenute non sono ancora divenute efficaci; lo diverranno – con alcune eccezioni1 – il 1° luglio 2014 (data di efficacia), data entro la quale le banche sono tenute a conformarsi alle relative disposizioni.

In merito alla nuova disciplina la Banca d’Italia ha evidenziato che essa introduce “un quadro normativo organico e coerente con le migliori prassi internazionali e con le raccomandazioni dei principali organismi internazionali” anticipando “anche il recepimento di principi e regole contenuti nella direttiva comunitaria CRD IV”, ispirandosi “ad alcuni principi di fondo: il coinvolgimento dei vertici aziendali; la visione integrata dei rischi; lefficienza e lefficacia dei controlli; lapplicazione delle norme in funzione della dimensione e della complessità operativa delle banche2.

E’, inoltre, previsto che le banche applichino le nuove disposizioni secondo il principio di proporzionalità, “cioè tenuto conto della dimensione complessità operative, della natura dellattività svolta, della tipologia dei servizi prestati” (cfr. titolo V, capitolo 7, sezione I, par. 4).

La nuova disciplina, che si rivolge espressamente, tra l’altro, alle “capogruppo di gruppi bancari” (cfr. titolo V, capitolo 7, sezione I, par. 1) presenta, dunque, diverse novità che, per quanto specificamente riguarda il gruppo bancario3, possono essere come di seguito sintetizzate:

  • adozione del c.d. risk appetite framework di gruppo;
  • adozione di un documento di coordinamento dei controlli nell’ambito del gruppo;
  • rafforzamento del concetto di “unitarietà”, nell’ambito del gruppo, del sistema dei controlli interni;
  • estensione del controllo della capogruppo anche alle controllate estere, indipendentemente dalla normativa locale ad esse applicabile;
  • differenziazione della disciplina in materia di esternalizzazione delle funzioni aziendali, a seconda che si tratti di esternalizzazione all’interno o all’esterno del gruppo bancario.

2. Il c.d. risk appetite framework (il RAF) nei gruppi bancari

Nell’ambito del gruppo bancario è prescritto che la capogruppo definisca ed approvi il c.d. risk appetite framework (di seguito, il “RAF”) di gruppo (cfr. titolo V, capitolo 7, sezione V, par. 1).

L’adozione del RAF di gruppo rappresenta un’assoluta novità, non solo rispetto alla preesistente disciplina, ma anche rispetto alla prima versione del citato 15° aggiornamento diffusa nella fase di consultazione.

Il documento di consultazione non si sofferma nel fornire spiegazioni in merito alla natura del RAF ed alla sua funzione nel sistema dei controlli. Appare, tuttavia, evidente l’intento dell’Autorità di far sì che l’adozione di tale documento favorisca l’acquisizione di una maggior consapevolezza, da parte della capogruppo, dei rischi assunti dalle controllate e dal gruppo nel suo complesso.

Invero, quelli trattati nelle disposizioni in commento sono temi ai quali l’Autorità di vigilanza ha sempre prestato particolare attenzione, come reso evidente anche dai numerosi procedimenti sanzionatori aventi ad oggetto sempre più spesso “Rischio strategico, sistemi di governo e controllo”, “Rischi operativi e reputazionali”, ecc., anche con riferimento alla complessiva articolazione del gruppo bancario.

A titolo meramente esemplificativo, nell’esercizio delle proprie funzioni di vigilanza, la Banca d’Italia ha avuto modo di stigmatizzare situazioni nelle qualila “debolecapacità di elaborazione strategica” è riconducibile alla “assenza di un piano sostenibile e di una chiara definizione della propensione al rischio…”.

Come ha inteso sottolineare il Governatore della Banca d’Italia, in un recente intervento all’Assemblea Ordinaria dell’ABI:

  • la stabilità delle banche si fonda anche su sistemi di governo e controllo dei rischi adeguati: carenze negli assetti organizzativi impediscono una corretta allocazione del capitale; favoriscono lassunzione inconsapevole di rischi; rendono la struttura aziendale permeabile a violazioni di norme e di procedure interne; espongono lintermediario a potenziali, elevati danni reputazionali”;
  • i sistemi di controllo interni delle banche “… richiedono il pieno coinvolgimento degli organi aziendali nella definizione del sistema di controllo e di governo dei rischi; nellindividuazione del rischio tollerato” (cfr. Associazione Bancaria Italiana – Assemblea Ordinaria – Intervento del Governatore della Banca d’Italia Ignazio Visco; 10 luglio 2013).

Operativamente, il RAF va redatto secondo le indicazioni contenutistiche fornite dalla Banca d’Italia (cfr. titolo V, capitolo 7, allegato C); si tratta, invero, di indicazioni fornite relativamente alle banche individualmente considerate e che necessitano, pertanto, di un’analisi di compatibilità ed eventualmente di adeguamento alla realtà del gruppo bancario.

In pratica, nel RAF la capogruppo deve definire gli obiettivi di rischio che intende raggiungere, la relativa soglia di tolleranza e le connesse politiche di governo dei rischi, tenendo conto del piano strategico del gruppo, dell’operatività delle sue componenti nonché della complessità e delle dimensioni dello stesso.

Anche per quanto riguarda l’iter di approvazione e la successiva attuazione del RAF, v’è da ritenere che valgano – anche se l’affermazione non è in questo caso specificamente esplicitata4 – gli stessi criteri previsti per le banche individualmente considerate.

Di talché:

  • il RAF di gruppo dovrebbe essere definito dall’organo con funzione di supervisione strategica (i.e., il Consiglio di Amministrazione) della capogruppo, chiamato altresì ad approvarlo, a verificare che la sua attuazione sia coerente con gli obiettivi di rischio e con la soglia di tolleranza individuata ed a valutarne periodicamente l’adeguatezza; a tale definizione dovrebbe collaborare la funzione di risk management della capogruppo (cfr. titolo V, capitolo 7, rispettivamente sezione II, par. 2 e sezione III, par. 3.3);
  • l’attuazione del RAF spetterebbe all’organo di gestione (i.e., Amministratore Delegato e, ove del caso, Direttore Generale) della capogruppo, chiamato altresì a definire i flussi informativi interni per assicurare che gli organi aziendali e le funzioni di controllo siano in grado di verificarne il rispetto e ad individuare le azioni gestionali da intraprendere al raggiungimento della soglia di tolleranza (cfr. titolo V, capitolo 7, sezione II, par. 3).

Quanto alle modalità di diffusione del RAF presso le società controllate, le disposizioni in commento si limitano a prevedere che la capogruppo “renda partecipi, nei modi ritenuti più opportuni, gli organi aziendali delle controllate, delle scelte effettuate in materia di RAF” (cfr. titolo V, sezione V, par. 1).

Di norma, ciò avverrà ad opera dell’organo con funzione di gestione, che a tal fine potrà avvalersi delle modalità ritenute più efficienti in ragione della tipologia – ad es. per dimensione o complessità operativa – di gruppo; in tale contesto, è ragionevole ipotizzare che la diffusione del RAF avvenga mediante l’invio di apposita comunicazione direttamente all’organo con funzione di supervisione strategica delle società controllate (che, a sua volta, è chiamato ad adottare il RAF della stessa), ove del caso, anche accompagnato da incontri di natura più operativa e che coinvolgano anche le funzioni competenti.

Quanto, infine, ai controlli in ordine alla concreta attuazione del RAF, non potrà – ancora una volta – che considerarsi quanto previsto in relazione alle singole banche: all’organo con funzione di controllo (i.e., Collegio Sindacale) della capogruppo spetterà quindi la responsabilità di vigilare sulla completezza, adeguatezza, funzionalità e affidabilità del RAF, avvalendosi di adeguati flussi informativi da parte degli altri organi aziendali e delle funzioni di controllo (in particolare della funzione di risk management, chiamata a verificare l’adeguatezza del RAF, e della funzione di internal audit, chiamata a verificare l’efficacia del processo di definizione del RAF nonché la conformità dell’operatività aziendale allo stesso – cfr. titolo V, capitolo 7, sezione II, par. 4).

3. Il sistema dei controlli interni nei gruppi bancari e il ruolo della capogruppo

La sezione V, descrive anzitutto, al par. 2, cpv. 1, le tipologie di controllo che la capogruppo deve svolgere nell’esercizio dell’attività di direzione e coordinamento delle società appartenenti al gruppo bancario.

In argomento, non si registrano novità rispetto al preesistente quadro normativo.

Pertanto, i controlli che la capogruppo deve svolgere sono i seguenti:

  • un controllo di natura strategica, che attiene alla verifica ed al monitoraggio dell’evoluzione dei diversi settori di operatività in cui il gruppo opera e dei rischi ad essi connessi, al fine di verificare i margini e le prospettive di crescita del gruppo. Esso avviene, solitamente, mediante la predisposizione di piani industriali, il cui andamento viene tempo per tempo verificato attraverso appositi strumenti di controllo (quali balanced scorecard, key perfomer indicator, key financial indicator, etc.);
  • un controllo di natura gestionale, che ha ad oggetto il mantenimento dell’equilibrio economico, finanziario e patrimoniale delle singole componenti del gruppo e del gruppo nel suo insieme. Tale tipologia di controllo passa generalmente attraverso la predisposizione – sia con riguardo alle singole componenti sia con riguardo al gruppo nella sua interezza – di apposita documentazione gestionale (di prassi rappresentata da budget, revised budget, etc.) ed il successivo raffronto della stessa con i risultati in concreto perseguiti risultanti dalla documentazione contabile periodica tempo per tempo approvata (ad es., situazioni contabili trimestrali, semestrali, bilanci d’esercizio);
  • un controllo tecnico – operativo, che è volto a verificare i rischi cui le singole componenti del gruppo ed il gruppo stesso sono esposti.

È appena il caso di notare che tali controlli ricalcano quelli previsti dal regolamento ISVAP n. 20 del 26.3.2008 in capo alle società capogruppo del gruppo assicurativo (cfr. art. 26)5. Con detto regolamento, l’ISVAP (oggi IVASS) ebbe a introdurre l’istituzione della funzione di compliance nelle imprese di assicurazione e la disciplina dell’esternalizzazione delle attività delle imprese di assicurazione. Come quella bancaria, anche la regolamentazione assicurativa “è ispirata al principio di proporzionalità, per consentire implementazioni dei principi calibrate sulle dimensioni e sulla natura delle attività svolte dalle imprese di assicurazione” (cfr. Relazione ISVAP di accompagnamento al regolamento ISVAP n. 20 del 26.3.2008).

Tornando nel settore bancario, l’Autorità di Vigilanza aveva già da tempo manifestato la propria attenzione sull’importanza dei controlli della capogruppo; significativo – ad esempio – quanto evidenziato in occasione di un procedimento ispettivo nell’ambito del quale la Banca d’Italia ha rilevato una “… debole …capacità di elaborazione strategica, data lassenza di un piano sostenibile e di una chiara definizione della propensione al rischio … Solo in corso dispezione il Consiglio di Amministrazione ha incaricato lAmministratore delegato di aggiornare il quadro complessivo della pianificazione strategica, elaborato in sede di costituzione della società, per tener conto delle avverse condizioni di mercato …. I controlli interni non hanno rilevato con sistematicità, profondità di analisi e tempestività, le criticità gestionali e amministrative”; ed ancora “in particolare, la funzione di conformità alle norme non ha mostrato la necessaria indipendenza di giudizio e sensibilità ai rischi, mentre limpianto del risk management non coglie ancora del tutto lesposizione alle alee operative , anche per la mancanza di chiari indirizzi strategici e della definizione di propensione al rischio”.

Lo svolgimento dei suddetti controlli rientra nell’ambito dell’attività di direzione e coordinamento della capogruppo bancaria. In tale contesto, la capogruppo emana “disposizioni alle componenti del gruppo” (cfr. in particolare, art. 62, comma 4 del TUB).

Per altro verso, in base al diritto comune, l’esercizio dell’attività di direzione e coordinamento implica che la capogruppo è direttamente responsabile nei confronti dei soci e dei creditori delle società controllate qualora agisca nell’interesse imprenditoriale proprio o altrui in violazione dei principi di corretta gestione societaria e imprenditoriale delle società medesime (cfr. art. 2497, comma 1, c.c.).

Un cenno meritano, poi, le disposizioni di vigilanza in materia di “Poteri di direzione e coordinamento della capogruppo di un gruppo bancario nei confronti delle società di gestione del risparmio appartenenti al gruppo” (emanate dalla Banca d’Italia in data 23 ottobre 2009 – e non menzionate ma neppure abrogate dal 15° aggiornamento in commento) che disciplinano l’articolazione dell’attività di direzione e coordinamento e, conseguentemente, dei controlli sulle società di gestione del risparmio che facciano parte del gruppo bancario.

In esse, la Banca d’Italia, tenuto conto del fatto che “le strategie e le politiche perseguite dai gruppi bancari nel settore della gestione collettiva del risparmio devono bilanciare linteresse del gruppo con lesigenza di salvaguardare e valorizzare la capacità delle società di gestione di agire nellesclusivo interesse degli investitori (c.d. autonomia della SGR)…”, ha richiamato l’attenzione della capogruppo sull’esigenza che “… le SGR dispong[a]no autonomamente delle risorse loro assegnate, venga assicurato che “… eventuali strutture organizzative di gruppo a carattere integrato non limitino la piena autonomia gestionale delle SGR, venga riconosciuta “… nellambito delle strategie generali perseguite nel comparto, lindipendenza delle SGR in materia di sviluppo dei prodotti, definizione di processi e strategie di investimento, modalità di esercizio dei diritti di voto relativi agli strumenti finanziari dei fondi gestiti, scelte di investimento …6.

A fronte di ciò, è richiesto che la capogruppo:

  • verifichi la funzionalità della governance della SGR; a tal fine, l’organo di controllo nonché le funzioni compliance e di internal audit della capogruppo svolgano specifiche verifiche su base annuale informandone con relazione scritta i competenti organi aziendali;
  • conduca una valutazione circa la coerenza delle strategie e delle politiche del gruppo nel settore della gestione collettiva del risparmio rispetto a quanto sopra indicato; al riguardo deve essere predisposta apposita relazione, da approvarsi dall’organo di supervisione strategica, con il parere dell’organo di controllo, da inviare alla Banca d’Italia. Al riguardo, resta da chiarire se, a seguito dell’emanazione del 15 aggiornamento, detta relazione possa essere prodotta nell’ambito della più ampia relazione – di cui si dirà al par. successivo – concernente gli accertamenti effettuati sulle società controllate e i risultati dagli stessi emersi, anch’essa da inviarsi alla Banca d’Italia.

4. Il sistema dei controlli interni nei gruppi bancari: il rinvio ai principi generali e le specificità del gruppo bancario

Al fine di consentire l’effettivo svolgimento dei suddetti controlli, la capogruppo deve predisporre un sistema di controlli interni unitario, rispettando – sempre nei limiti della compatibilità – le prescrizioni dettate con riguardo alle banche individualmente considerate (cfr. titolo V, capitolo 7, sezione V, par. 2).

Ne consegue che si ripercuotono anche a livello di capogruppo le novità che, sotto il profilo organizzativo, il 15° aggiornamento della Circolare n. 263 del 27 dicembre 2006 ha introdotto nei principi generali dettati per le banche individualmente considerate.

Queste, sinteticamente, le principali previsioni di cui la capogruppo deve tener conto:

  • gli organi aziendali della capogruppo devono agire secondo la ripartizione di competenze che vede: a) l’organo con funzione di supervisione strategica deputato alla definizione degli indirizzi di business e strategici e degli obiettivi di rischio nonché alla definizione delle linee di indirizzo del sistema dei controlli ed alla promozione all’interno del gruppo della c.d. cultura dei controlli (cfr. titolo V, capitolo 7, sezioneII, par. 2); b) l’organo con funzione di gestione chiamato ad attuare gli indirizzi strategici indicati e ad adottare le misure necessarie per assicurare l’aderenza dell’organizzazione interna e del sistema dei controlli alle prescrizioni normative (cfr. titolo V, capitolo 7, sezione II, par. 3); c) l’organo con funzione di controllo chiamato a vigilare sulla completezza, l’adeguatezza, la funzionalità e l’affidabilità del sistema dei controlli (cfr. titolo V, capitolo 7, sezioneII, par. 4);
  • devono essere istituite, nell’ambito della capogruppo, funzioni di controllo (compliance, risk management ed internal audit) permanenti ed indipendenti, dotate di idonei requisiti di professionalità e collocate in posizione gerarchico funzionale adeguata (cfr. titolo V, capitolo 7, sezione III, par. 1) e chiamate a svolgere con riguardo alla capogruppo le stesse attività che svolgono nelle singole banche;
  • tali funzioni devono essere adeguatamente coordinate con altri organismi di controllo previsti dall’ordinamento o da fonti di autoregolamentazione (ad es., l’organismo di vigilanza ai sensi del d. lgs. n. 231/2001, il dirigente preposto alla redazione dei documenti contabili societari previsto per le società quotate, etc. – sul punto, cfr. titolo V, capitolo 7, sezione II, par. 5);
  • deve essere predisposta un’apposita regolamentazione che, con riferimento alla sola capogruppo, rechi l’indicazione di responsabilità, compiti, modalità operative, flussi informativi e modalità di coordinamento tra le varie funzioni di controllo e tra queste e gli altri organismi di controllo eventualmente previsti (cfr. titolo V, capitolo 7, sezione III, par. 2); in tale contesto assume particolare rilievo la previsione che impone all’organo con funzione di supervisione strategica, la predisposizione di un apposito documento nel quale vanno definiti i compiti e le responsabilità dei vari organi e funzioni di controllo, i flussi informativi tra gli stessi e tra questi e le funzioni e gli organi aziendali nonché, nell’ipotesi in cui vi siano possibili sovrapposizioni di competenze o emerga la possibilità di sinergie, le relative modalità di coordinamento (cfr. titolo V, capitolo 7, sezione II, par. 5).

Qualche novità si rinviene, invece, con riguardo agli ulteriori aspetti di cui la capogruppo deve tener conto nella definizione di un adeguato sistema di controlli interni di gruppo:

  • anzitutto, è stata inserita la previsione per cui ciascuna funzione di controllo della capogruppo, nel produrre la propria relazione periodica agli organi aziendali deve illustrare le verifiche effettuate, i risultati emersi nonché i punti di debolezza rilevati anche con riguardo al gruppo nel suo complesso, nonché proporre gli interventi correttivi da adottare; tale previsione contribuisce a chiarire – ove mai vi fosse stato il dubbio – che tutte le funzioni di controllo della capogruppo, ciascuna per quanto di competenza, devono svolgere accertamenti non limitati alla capogruppo (cfr. titolo V, capitolo 7, sezione V, par. 2);
  • in secondo luogo, viene previsto ex novo che, nell’ottica di verificare la rispondenza dei comportamenti delle società appartenenti al gruppo agli indirizzi della capogruppo e l’efficacia del complessivo sistema dei controlli interni, la capogruppo si deve attivare affinché la funzione di internal audit a livello consolidato effettui periodiche verifiche in loco sulle componenti del gruppo (tenuto conto della rilevanza delle diverse tipologie di rischio assunte dalle diverse entità)7. Sebbene non sia precisato, deve ritenersi che gli esiti di tale verifica vadano rappresentati nella relazione annuale che la funzione di internal audit produce in favore degli organi aziendali della capogruppo (cfr. titolo V, capitolo 7, sezione V, par. 2);
  • viene chiarito che delle risultanze di tali relazioni la capogruppo è tenuta a dare comunicazione alla Banca d’Italia; a tal fine deve essere predisposta – resta da chiarire da parte di quale funzione nell’ambito della capogruppo – ed inviata annualmente alla Banca d’Italia una apposita relazione riguardante gli accertamenti effettuati sulle società controllate e i risultati emersi nonché i punti di debolezza riscontrati, sia con riferimento al gruppo bancario nel suo complesso, sia con riferimento alle singole entità e recante la descrizione degli interventi da adottare per la rimozione delle carenze riscontrate (cfr. titolo V, capitolo 7, sezione V, par. 4);
  • viene altresì chiarito che, ferma restando l’applicazione del principio di proporzionalità, i controlli della capogruppo devono riguardare tutto il perimetro del gruppo, ivi incluse le società strumentali o di servizi8;
  • viene ampliato il perimetro delle verifiche di competenza del collegio sindacale della capogruppo, che oggi comprende anche il corretto esercizio dell’attività di controllo tecnico – operativo svolta dalla capogruppo (cfr. titolo V, capitolo 7, sezione V, par. 2);
  • infine, viene estesa la responsabilità della capogruppo anche alle società controllate estere, relativamente alle quali la capogruppo deve adottare tutte le iniziative idonee a garantire standard di controllo e presidi in linea con quelli previsti dalla normativa italiana, anche nel caso in cui la normativa del paese in cui è localizzata la controllata estera non preveda un livello di attenzione analogo a quello previsto nell’ordinamento italiano (cfr. titolo V, capitolo 7, sezione V, par. 2).

Con riferimento alle capogruppo bancarie estere, invece, la Banca d’Italia, a seguito di specifica richiesta nell’ambito della consultazione, ha chiarito che l’Organo con funzioni di supervisione strategica della società controllata italiana, nel redigere il documento di coordinamento tra le varie funzioni di controllo, può tenere conto degli indirizzi della propria capogruppo estera, rispondenti a diversi ordinamenti giuridici, sempre che siano compatibili con la normativa italiana9.

5. Il sistema dei controlli interni nei gruppi bancari (segue): lunitarietà del sistema dei controlliil coordinamento tra le funzioni di controllo della capogruppo e le funzioni di controllo delle altre componenti del gruppo ed i flussi informativi

Il sistema di controlli interni che la capogruppo è chiamata a predisporre deve essere “unitario”.

Tale prescrizione rappresenta una delle novità introdotte nell’ambito del 15° aggiornamento alla Circolare n. 263 del 27 dicembre 2006; sebbene l’inserimento possa apparire scarsamente significativo, esso invece costituisce una novità degna di rilievo, in quanto volta a ribadire e rafforzare la rilevanza di un sistema integrato di controlli, in grado di consentire e garantire l’applicazione dei medesimi livelli di presidio a tutte le entità che compongono il gruppo.

A tal fine è anzitutto prescritto che la capogruppo definisca (cfr. titolo V, capitolo 7, sezione V, par. 2):

  • procedure formalizzate di coordinamento e collegamento fra le società appartenenti al gruppo e la capogruppo per tutte le aree di attività;
  • flussi informativi periodici che consentano l’effettivo esercizio delle varie forme di controllo su tutte le componenti del gruppo;
  • procedure che garantiscano, a livello accentrato, un efficace processo unitario di gestione dei rischi del gruppo a livello consolidato; al riguardo, è richiesta la predisposizione di un’anagrafe unica, o di più anagrafi ma che siano facilmente raccordabili, presso le diverse società del gruppo in modo da consentire l’univoca identificazione, da parte delle diverse entità, dei singoli clienti e controparti, dei gruppi di clienti connessi e dei soggetti collegati e rilevare correttamente, a livello consolidato, la loro esposizione complessiva ai diversi rischi;
  • sistemi per monitorare i flussi finanziari, le relazioni di credito (in particolare le prestazioni di garanzie) e le altre relazioni fra i soggetti componenti il gruppo.

Si tratta, naturalmente, di prescrizioni strumentali a che le funzioni di controllo dispongano degli strumenti informativi necessari per poter adeguatamente ed efficacemente svolgere la propria attività. Esse vanno ad aggiungersi alla facoltà – già garantita alle competenti funzioni della capogruppo nell’esercizio dei suoi poteri di direzione e coordinamento – di accedere ai dati delle società controllate.

Inoltre, la capogruppo ha il compito di definire compiti e responsabilità degli organi e delle funzioni di controllo all’interno del gruppo, procedure di coordinamento, riporti organizzativi, flussi informativi e raccordi tra le funzioni di controllo della capogruppo stessa e le corrispondenti funzioni delle società controllate.

A tal fine la capogruppo deve approvare un apposito documento di coordinamento dei controlli nell’ambito del gruppo; si tratta di un documento in cui vanno indicate in modo dettagliato le specifiche competenze di ciascuna funzione/organo di controllo della capogruppo e delle componenti del gruppo, definire le modalità ed i flussi informativi per una adeguata pianificazione delle attività di controllo a livello di gruppo, definire le modalità ed i flussi informativi per lo svolgimento delle attività di controllo sulle società controllate.

Tale precisazione – che invero non sarebbe stata strettamente necessaria, trattandosi di aspetti che potevano ritenersi impliciti nelle precedenti disposizioni – risponde con tutta probabilità alla volontà della Banca d’Italia di sottolineare l’esigenza che la capogruppo crei le condizioni affinché i controlli sul gruppo siano efficienti e tali da consentire alla capogruppo una visione d’insieme in merito all’andamento dell’operatività di tutte le sue componenti.

Anche in questo caso, la precisazione non fa che dare contenuto ad un’esigenza già da tempo manifestata dalla Banca d’Italia che, soprattutto nell’ambito dell’attività ispettiva condotta negli ultimi anni, ha più volte rilevato che l’assenza di una specifica normativa interna, soprattutto con riguardo al raccordo ed all’interazione delle diverse componenti ed ai flussi informativi, esponendo al rischio di livelli di presidio non omogenei, renda in definitiva inadeguata l’attività di direzione e coordinamento delle funzioni di controllo delle società del gruppo.

6. Le responsabilità per lattività di controllo

Quanto al tema delle responsabilità nello svolgimento delle attività di controllo il 15° aggiornamento alla Circolare n. 263 del 27 dicembre 2006 non apporta importanti novità rispetto al regime previgente. In sintesi, è previsto che:

  • la responsabilità primaria dei presidi relativi al sistema dei controlli interni sia rimessa agli organi aziendali, ciascuno secondo le rispettive competenze (cfr. titolo V, capitolo 7, sezione I, par. 1), esaminate al precedente par. 4 con riferimento alla capogruppo. In particolare, l’organo con funzione di controllo ha la responsabilità di vigilare sulla completezza, adeguatezza, funzionalità e affidabilità del sistema deicontrolli interni e del RAF. Più nello specifico, considerata la pluralità di funzioni aventi, all’interno dell’azienda, compiti e responsabilità di controllo, l’organo con funzione di controllo è tenuto ad accertare l’adeguatezza di tutte le funzioni coinvolte nel sistema dei controlli, il corretto assolvimento dei compiti e l’adeguato coordinamento delle medesime, promuovendo gli interventi correttivi delle carenze e delle irregolarità rilevate (cfr. titolo V, capitolo 7, sezione II, par. 4);
  • i responsabili delle funzioni aziendali di controllo, sia di secondo (compliance e risk management) che di terzo livello (internal audit) debbono: i) possedere requisiti di professionalità adeguati10; ii) essere collocati in posizione gerarchico-funzionale adeguata, intendendosi per tale il collocamento dei responsabili delle funzioni di controllo dei rischi e di conformità “alle dirette dipendenze dellorgano con funzione di gestione o dellorgano con funzione di supervisione strategica” ed il collocamento del responsabile della funzione di revisione “alle dirette dipendenze dellorgano con funzione di supervisione strategica”; iii) essere esclusi da responsabilità direttenelle aree operative sottoposte al loro controllo; iv) essere nominati e revocati, secondo procedure di selezione formalizzate e con indicazione delle motivazioni che hanno condotto alla nomina o alla revoca, dall’organo confunzione di supervisione strategica, sentito l’organo con funzione di controllo. Viene specificato che il responsabile di funzioni aziendali di controllo può essere un componente dell’organo amministrativo, purché sia destinatario di specifiche deleghe in materia di controlli e non sia destinatario di altre deleghe che ne pregiudichino l’autonomia; v) riferire direttamente agli organi aziendali. In particolare, è previsto che i responsabili della funzione di controllo dei rischi e della funzione di conformità alle norme abbiano, in ogni caso, accesso diretto all’organo con funzione di supervisione strategica e all’organo con funzione di controllo e comunichino con essi senza restrizioni o intermediazioni e che il responsabile della funzione di revisione interna abbia accesso diretto all’organo con funzione di controllo e comunica con esso senza restrizioni o intermediazioni.

Quanto alle responsabilità nel caso di esternalizzazione delle funzioni aziendali dicontrollo, la Banca d’Italia ha chiarito che il referente interno della banca è responsabile del controllo delle singole attività esternalizzate e, di conseguenza, del corretto funzionamento della funzione esternalizzata, ferma restando, in ogni caso, la responsabilità degli organi aziendali11.

7. La c.d. gap analysis

Come sopra anticipato, la data di efficacia del 15° aggiornamento è fissata – salve le eccezioni di cui si è detto – al 1° luglio 2014.

Cionondimeno, i destinatari della disciplina sono chiamati sin d’ora a pianificare gli interventi da porre in essere ai fini dell’adeguamento alle nuove disposizioni; essi, infatti, entro il 31 dicembre 2013 dovranno inviare alla Banca d’Italia una relazione recante un’autovalutazione della propria situazione aziendale rispetto alle previsioni della nuova normativa (c.d. gap analysis) nonché le misure da adottare e la relativa scansione temporale per assicurare il pieno rispetto delle disposizioni in parola. Entro la stessa data, le banche dovranno comunicare alla Banca d’Italia i contratti di esternalizzazione in essere alla data di entrata in vigore delle disposizioni e la relativa durata.

 

1

Ci si riferisce, segnatamente, all’adeguamento alle nuove disposizioni in materia di collocamento gerarchico funzionale delle funzioni di risk management e compliance, da effettuarsi entro il 1° luglio 2015 ed all’adeguamento dei contratti di esternalizzazione in essere alla data di entrata in vigore della nuova normativa, che dovrà avvenire alla prima scadenza contrattuale e, comunque, non oltre tre anni dalla entrata in vigore (1° luglio 2016). In tal senso, cfr. il provvedimento che accompagna l’aggiornamento, disponibile sul sito della Banca d’Italia, www.bancaditalia.it, Bollettino di vigilanza n. 7, luglio 2013.


ritorna

2

Cfr. Comunicato stampa del 3 luglio 2013 pubblicato sul sito www.bancaditalia.it.


ritorna

3

Non è questa la sede per soffermarsi sul concetto di gruppo (di società, in generale e di gruppo bancario, in particolare). Qui val la pena solo accennare che, mentre non è presente nel nostro ordinamento una definizione generale di “gruppo di società”, la disciplina di settore offre, invece, la nozione di gruppo bancario (cfr. art. 60 e ss. del d.lgs. n. 385/1993 e Istruzioni di Vigilanza per le banche – circolare della Banca d’Italia n. 229 del 1999 e ss. modifiche), di gruppo assicurativo (cfr. art. 82 e ss. del d.lgs. n. 209/2005 e Regolamento ISVAP n. 15 del 2008) e di gruppo fra intermediari finanziari (art. 11 del d.lgs. n. 58/1998).

Secondo la definizione prevalente in dottrina e giurisprudenza, il gruppo di società è un’aggregazione di imprese societarie la cui attività d’impresa è soggetta alla direzione unitaria da parte di un’unica società (società capogruppo o società madre) per il perseguimento di uno scopo comune a tutte le società del gruppo (c.d. interesse di gruppo), fermo restando l’autonomia e indipendenza delle società controllate (Cfr. in dottrina, tra gli altri, G.F. CAMPOBASSO, op. cit., pag. 286; G. FERRI, “Manuale di diritto commerciale”, dodicesima edizione a cura di C. ANGELICI e G.B. FERRI, Milano, 2006, pag. 504. In giurisprudenza, Cass. Civ., sez. I, sent. n. 1439 del 26.2.1990; Cass. Civ., sez. I, sent. n. 12325 del 5.12.1998). Come è stato rilevato in dottrina “il motivo ispiratore di fondo dei gruppi di società … è quello di combinare i vantaggi dellunità economica della grande impresa con quelli offerti dallarticolazione in più strutture organizzative formalmente distinte e autonome: rapidità e (relativa) autonomia decisionale” (G.F. CAMPOBASSO, “Diritto commerciale”, Vol. 2, Milano, 2006, pag. 287).


ritorna

4

Il principio, tuttavia, si rintraccia in più parti delle disposizioni in commento: cfr. anche, ad esempio, la Sezione V, par. 2, ove viene precisato che “per definire il sistema dei controlli interni del gruppo bancario, la capogruppo applica, per quanto compatibili, le disposizioni” dettate, nelle precedenti sezioni, per le banche individualmente considerate.


ritorna

5

In particolare, ai sensi dell’art. 26 del regolamento ISVAP n. 20 del 26.3.2008, “la capogruppo, nel quadro dellattività di direzione e coordinamento del gruppo assicurativo, esercita:

a) un controllo strategico sullevoluzione delle diverse aree di attività in cui il gruppo assicurativo opera e dei rischi ad esse correlate. Il controllo verte sia sullespansione delle attività svolte dalle società appartenenti al gruppo assicurativosiasullepolitichedi acquisizione o dismissione da parte delle società del gruppo assicurativo;

b) un controllo gestionale volto ad assicurare il mantenimento delle condizioni di equilibrio economico, finanziario epatrimoniale, sia delle singole imprese che del gruppo assicurativo nel suo insieme;

c) un controllo tecnico operativo, finalizzato alla valutazione dei vari profili di rischio apportati al gruppo assicurativo dalle singole controllate”.


ritorna

6

Banca d’Italia – Disposizioni di vigilanza su “Poteri di direzione e coordinamento della capogruppo di un gruppo bancario nei confronti delle società di gestione del risparmio appartenenti al gruppo”, 23 ottobre 2009.


ritorna

7

Nell’ambito della consultazione, a seguito di specifica richiesta di chiarimenti in merito alle modalità e ai meccanismi di funzionamento e di governo dell’audit su base consolidata, la Banca d’Italia ha chiarito che “ferma restando la responsabilità degli organi aziendali delle singole componenti del gruppo sulladeguatezza, efficacia ed efficienza del sistema dei controlli interni a livello individuale, la capogruppo definisce le politiche e i principi di revisione interna per tutto il gruppo, incluse le metodologie e le misure per assicurare la qualità dei processi di audit”. È stato inoltre chiesto di valutare se la declinazione del principio di proporzionalità possa prevedere anche la possibilità di non istituire la funzione di revisione interna per quelle entità che, facendo parte di un gruppo bancario, sono comunque soggette/assoggettabili a controlli di revisione interna da parte della capogruppo sulla base di un sistema di controllo di terzo livello integrato e omogeneo per l’intero gruppo. Al riguardo la Banca d’Italia ha evidenziato che nell’ambito della “disciplina dellesternalizzazione allinterno dei gruppi è consentito laccentramento delle funzioni aziendali di controllo, fermo restando la responsabilità degli organi aziendali delle controllate circa il buon funzionamento dei controlli interni” (Cfr. Banca d’Italia “Disposizioni di vigilanza prudenziale per le banche – Sistema dei controlli interni, sistema informativo e continuità operativa – Resoconto della consultazione”, pagg. 60-61, sul sito www.bancaditalia.it).


ritorna

8

Cfr. Banca d’Italia “Disposizioni di vigilanza prudenziale per le banche – Sistema dei controlli interni, sistema informativo e continuità operativa – Resoconto della consultazione”, pag. 65, sul sito www.bancaditalia.it.


ritorna

9

Cfr. Banca d’Italia “Disposizioni di vigilanza prudenziale per le banche – Sistema dei controlli interni, sistema informativo e continuità operativa – Resoconto della consultazione”, pag. 29, sul sito www.bancaditalia.it.


ritorna

10

Alla richiesta, in ambito di consultazione, di esplicitare i requisiti di professionalità che dovrebbero avere i responsabili delle funzioni di controllo, la Banca d’Italia ha ritenuto di non indicarne, riconoscendo che “la valutazione della professionalità dei titolari delle funzioni di controllo è rimessa allautonomia organizzativa della banca che assume la responsabilità delle scelte effettuate”. Il riconoscimento dell’autonomia delle banche nell’organizzazione interna è stato sottolineato anche a fronte della richiesta, da parte di un partecipante alla consultazione, di integrare le previsioni in tema di nomina e revoca dei responsabili delle funzioni di controllo, prevedendo che all’interno del gruppo bancario si proceda con il parere delle omologhe funzioni di gruppo. Al riguardo, la Banca d’Italia pur ribadendo che “la nomina dei responsabili delle funzioni di controllo spetta agli organi aziendali secondo le rispettive competenze e nellinteresse della società” non ha accolto la richiesta di integrazione ma non ha neppure escluso che “eventuali pareri o proposte di altri soggetti appartenenti al gruppo” possano essere previsti “nellambito delle procedure di coordinamento formalizzate dalla capogruppo” (Banca d’Italia “Disposizioni di vigilanza prudenziale per le banche – Sistema dei controlli interni, sistema informativo e continuità operativa – Resoconto della consultazione”, pagg. 32-33, sul sito www.bancaditalia.it).


ritorna

11

Cfr. Banca d’Italia “Disposizioni di vigilanza prudenziale per le banche – Sistema dei controlli interni, sistema informativo e continuità operativa – Resoconto della consultazione”, pag. 33, sul sito www.bancaditalia.it.


ritorna

Di cosa si parla in questo articolo

WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12


WEBINAR / 06 Febbraio
AI Act: primi adempimenti per gli operatori


Presidi di governance e controllo per l'uso dell'Intelligenza Artificiale

ZOOM MEETING
offerte per iscrizioni entro il 17/01

Iscriviti alla nostra Newsletter