SEZIONI
1. PREMESSA
2. COMPITI DEL CDA,DELL’ALTA DIREZIONE E DEL COLLEGIO SINDACALE
3. SISTEMA DEI CONTROLLI INTERNI
4. CONTROLLO DEI RISCHI
5. SISTEMI INFORMATIVI
6. ESTERNALIZZAZIONE DI FUNZIONI AZIENDALI (OUTSOURCING)
7. DISTRIBUZIONE DI PRODOTTI E SERVIZI
8. RISCHI CONNESSI ALL’ATTIVITÀ DI CONCESSIONE DI FINANZIAMENTI SOTTO QUALSIASI FORMA (RISCHIO DI CREDITO)
9. RELAZIONE SULLA STRUTTURA ORGANIZZATIVA DELL’INTERMEDIARIO 107 TUB

Bankitalia per gli intermediari finanziari iscritti ex art. 107 tub ha disposto quanto segue:

 una gestione aziendale sana e prudente dipende anche da un assetto organizzativo adeguato alla dimensione ed alla vocazione operativa degli intermediari finanziari. La struttura aziendale deve pertanto rispondere a criteri di coerenza con le linee strategiche gestionali indicate dagli organi amministrativi.

 I soggetti che svolgono funzioni di amministrazione e direzione presso gli intermediari finanziari assumono un ruolo fondamentale ai fini della definizione di un adeguato sistema organizzativo e del conseguimento di un efficiente sistema dei controlli interni.

 La ripartizione di competenze tra gli organi aziendali deve garantire in ogni caso una costante dialettica interna tra gli organi, evitando sovrapposizioni di competenze che possano incidere sulla funzionalità aziendale.

 L’operato degli organi amministrativi deve essere sempre documentato, al fine di consentire un controllo sugli atti gestionali e sulle decisioni assunte. La documentazione dell’azione amministrativa e la presenza di una dialettica costante con l’alta direzione e il collegio sindacale assumono particolare rilevanza nel caso in cui vi sia un amministratore unico.

 Gli organi amministrativi - in proporzione con la dimensione e complessità operativa che caratterizza l’intermediario - si attengono alle seguenti indicazioni e principi.

 assume la responsabilità delle scelte strategiche aziendali;

 approva le politiche di gestione del rischio, nonché le relative procedure e modalità di rilevazione;

 definisce la struttura organizzativa, assicurandosi che i compiti e le responsabilità, formalizzati in un apposito regolamento interno, siano allocati in modo chiaro e appropriato e che siano separate le funzioni operative da quelle di controllo;

 determina un’articolazione delle deleghe dei poteri decisionali e di rappresentanza coerente con le linee strategiche e l’orientamento al rischio stabiliti e ne verifica l’esercizio;

 si assicura che venga definito un sistema informativo completo e in grado di rilevare tempestivamente l’effettiva situazione aziendale;

 si assicura che venga verificata periodicamente

o l’efficienza,

o l’efficacia,

o la funzionalità del sistema dei controlli interni anche in relazione all’evoluzione dell’attività svolta;

 adotta tempestivamente le misure necessarie nel caso in cui emergano carenze o anomalie dall’insieme delle verifiche svolte sul sistema dei controlli.

L’alta direzione (al cui vertice è posto di norma il Direttore generale) deve:

 garantire un’efficace gestione dell’operatività aziendale e dei rischi cui l’intermediario si espone, definendo procedure di controllo adeguate;

 individuare e valutare i fattori di rischio;

 verificare la funzionalità, l’efficacia e l’efficienza del sistema dei controlli interni, provvedendo al suo adeguamento alla luce dell’evoluzione dell’operatività;

 definire i compiti delle strutture dedicate alle funzioni di controllo, assicurandosi che le medesime siano dirette da personale qualificato in relazione alle attività da svolgere;

 definire i canali per la comunicazione a tutto il personale delle procedure relative ai propri compiti e responsabilità nonché i flussi informativi necessari a garantire al CdA piena conoscenza dei fatti aziendali;

 attuare le direttive del CdA per la realizzazione e la verifica della funzionalità dei sistemi informativi aziendali.

 Il collegio sindacale contribuisce ad assicurare la regolarità e la legittimità della gestione. In particolare, nell’effettuare il controllo sull’amministrazione e sulla direzione, si afferma sulle eventuali anomalie che siano sintomatiche di disfunzioni degli organi medesimi.
 Valuta il grado di adeguatezza e il regolare funzionamento delle principali aree organizzative nonché l’efficienza del sistema dei controlli interni ed in particolare del controllo dei rischi, del funzionamento dell’internal audit (ove previsto), del sistema informativo contabile.
 Il collegio sindacale mantiene un coordinamento con le strutture preposte allo svolgimento di funzioni di controllo interno nonché con la società di revisione al fine di incrementare il grado di conoscenza sull’andamento della gestione aziendale, avvalendosi anche delle risultanze degli accertamenti effettuati da tali unità operative.
 Il collegio sindacale informa tempestivamente la Banca d'Italia di tutti gli atti o fatti, di cui venga a conoscenza nell'esercizio dei propri compiti, che possano costituire una irregolarità nella gestione o una violazione delle norme che disciplinano l'attività dell’intermediario.

Il sistema dei controlli interni è costituito dall’insieme delle regole, delle procedure e delle strutture organizzative che mirano ad assicurare il rispetto delle strategie aziendali e il conseguimento dell’efficacia ed efficienza dei processi aziendali, della salvaguardia del valore delle attività e protezione dalle perdite, dell’affidabilità e integrità delle informazioni contabili e gestionali, della conformità delle operazioni con la legge, la normativa di vigilanza, le disposizioni interne dell’intermediario.

Si descrivono di seguito alcune tipologie di controllo degli intermediari, indipendentemente dalle strutture organizzative in cui sono collocate:

1. Controlli di I livello

Controlli di linea, diretti ad assicurare il corretto svolgimento delle operazioni. Essi sono effettuati dalle stesse strutture produttive (es. controlli di tipo gerarchico sistematici e a campione) o incorporati nelle procedure – anche automatizzate - ovvero eseguiti nell’ambito dell’attività di back office;

2. Controlli di II livello

Controlli sulla gestione dei rischi (cfr. anche successivo paragrafo 1.3), che hanno l’obiettivo di concorrere alla definizione delle metodologie di misurazione del rischio, di verificare il rispetto dei limiti assegnati alle varie funzioni operative e di controllare la coerenza dell’operatività delle singole aree produttive con gli obiettivi di rischio-rendimento assegnati. Essi sono affidati a strutture diverse da quelle produttive. Deve essere sempre assicurato un coordinamento tra l’eventuale unità operativa di gestione del rischio interna all’intermediario e quella che svolge l’analoga funzione per tutto il gruppo d’appartenenza;

3. Controlli di III livello

Attività di revisione interna (internal audit), in tale ambito rientra la valutazione periodica della completezza, della funzionalità e dell’adeguatezza del sistema dei controlli interni.

Con cadenza prefissata, coerentemente con le specificità dimensionali e operative dell’impresa, e comunque in relazione a discontinuità nell’attività aziendale vanno valutate la completezza, la funzionalità e l’adeguatezza del sistema dei controlli interni, in relazione alla natura e all’intensità dei rischi e delle complessive esigenze aziendali.

L’attività è condotta da strutture diverse e indipendenti da quelle produttive, anche attraverso verifiche in loco. Il CdA, l’alta direzione e il collegio sindacale sono regolarmente informati sull’attività svolta.

Il CdA – nell’ambito della propria funzione di indirizzo organizzativo, oltre che strategico - ha il compito di assicurarsi della completezza, della funzionalità e dell’adeguatezza del sistema dei controlli interni disegnato dall’alta direzione, anche in ragione della complessità dimensionale ed operativa e dell’intensità dei rischi assunti.

Ove la complessità organizzativa, dimensionale e operativa dell’intermediario lo richieda, il CdA si avvale della funzione di revisione interna, dotata di specifiche competenze. In tal caso l’organo amministrativo è chiamato a approvare il regolamento della funzione e a verificare che alle strutture di controllo siano assegnate risorse adeguate e assicurata la necessaria autonomia rispetto alle strutture operative. Alternativamente, gli intermediari ricorrono all’esternalizzazione dell’attività di revisione interna. In tal caso restano fermi tutti i principi in materia di outsourcing di funzioni aziendali definiti nel successivo paragrafo 5.

Il sistema dei controlli interni deve coprire tutte le tipologie di rischio (di credito, di mercato, di liquidità, legali, di frode e infedeltà dei dipendenti, di reputazione, ecc.) che vanno individuati e - ove possibile – quantificati. Le politiche di assunzione di rischio devono essere approvate dal CdA, che deve essere periodicamente informato dei risultati effettivamente conseguiti.

Nell’ambito delle politiche di assunzione e gestione del rischio, devono essere individuati adeguati limiti operativi, monitorati su base con¬tinua e sottoposti a periodiche revisioni.
Devono inoltre essere attentamente valutate le implicazioni derivanti dall'ingresso in nuovi mercati o settori operativi, dall’offerta di nuovi prodotti, dall’utilizzo di canali distributivi innovativi, con preventiva individuazione dei rischi e definizione di procedure di controllo adeguate, approvate dal CdA.

Nella predisposizione dei presidi organizzativi volti a prevenire il coinvolgimento anche inconsapevole in operazioni di riciclaggio, gli intermediari si attengono alle “Istruzioni operative per l’individuazione di operazioni sospette” emanate dalla Banca d’Italia. Le istruzioni contengono regole organizzative e procedurali utili ad accrescere la conoscenza della clientela, assicurare l'integrità e l'autonomia gestionale, prevenire episodi di infedeltà dei dipendenti e dei collaboratori e individuare prontamente l’operatività anomala della clientela.

SEZIONE V
5.  Sistemi informativi

I sistemi informativi, devono assicurare a tutti i livelli della struttura un flusso informativo che consenta di adempiere agli obblighi previsti dai regolamenti interni e dalla normativa che richiede di produrre informazioni all'esterno.

L’affidabilità dei medesimi rappresenta un pre-requisito essenziale per il buon funzionamento degli intermediari e consente agli organi amministrativi di assumere decisioni consapevoli e coerenti con gli obiettivi aziendali.

Il sistema delle rilevazioni contabili e gestionali interne deve avere un elevato grado di attendibilità, registrare correttamente e con la massima tempestività i fatti di gestione, consentire di ricostruire la complessiva esposizione dell’intermediario a qualsiasi data.

La circostanza che l’intermediario utilizzi diverse procedure settoriali (contabilità, impieghi, segnalazioni, antiriciclaggio, ecc.) non deve inficiare la qualità e integrità dei dati né comportare la creazione di archivi non coerenti.

I sistemi informativi devono garantire elevati livelli di sicurezza; a tal fine devono essere individuati e documentati adeguati presidi volti a garantire la sicurezza fisica e logica dell’hardware e del software comprendenti procedure di back-up dei dati e di disaster recovery, individuazione dei soggetti autorizzati ad accedere ai sistemi e relative abilitazioni, possibilità di risalire agli autori degli inserimenti o delle modifiche dei dati, di ricostruire la serie storica dei dati modificati.

SEZIONE VI
6. Esternalizzazione di funzioni aziendali (outsourcing)

Gli intermediari possono delegare a soggetti terzi lo svolgimento della funzione di internal audit o di altre funzioni aziendali. La delega non esime gli organi aziendali dalle responsabilità loro assegnate da leggi, regolamenti, disposizioni dell’Autorità di Vigilanza.

L'incarico va formalizzato in un contratto scritto, che definisce, tra l'altro, l'oggetto e i limiti della delega conferita e individua le linee guida dell'attività. Il CdA:

a) definisce gli obiettivi assegnati all’esternalizzazione, sia in rap¬porto alla complessiva strategia aziendale sia in relazione agli standard quali quantitativi attesi dal processo;

b) individua i criteri e le procedure per orientare la fase di valuta¬zione e selezione dei potenziali fornitori (tenendo conto - con riferimento a talune funzioni quali ad es. l'internal audit dei problemi relativi a potenziali conflitti d’interesse) e quella successiva di relazione con l’outsourcer prescelto;

c) valuta le modalità organizzative e le risorse dedicate all’attività da parte del soggetto che offre il servizio;

d) individua gli strumenti e le procedure (anche contrattuali) per intervenire tempestivamente nel caso di inadeguatezza dei servizi forniti.

Gli intermediari che intendono esternalizzare, in tutto o in parte, lo svolgimento della funzione di internal audit o di altre funzioni aziendali ne danno comunicazione alla Banca d'Italia almeno sessanta giorni prima del perfezionamento del contratto, illustrando le motivazioni che hanno determinato la scelta, le modalità con le quali il delegato opererà, e quelle che il delegante seguirà per verificare l’operato del delegato.

SEZIONE VII
7.  Distribuzione di prodotti e servizi

La selezione dei soggetti cui viene affidata la distribuzione dei prodotti e dei servizi riveste particolare importanza in quanto, se da un lato consente di allargare la capillarità ed incrementare la tempestività dell’offerta, dall’altro comporta una serie di rischi aggiuntivi.

L’intermediario esegue una valutazione della coerenza delle scelte effettuate con le strategie aziendali e con i profili di rischio prescelti, la valutazione del merito creditizio è di esclusiva competenza dell’intermediario.

L’incarico deve essere formalizzato in un contratto scritto che ne definisca, fra l’altro, l’oggetto e i limiti, e individui le linee guida dell’attività. Devono inoltre essere assicurati i presidi indicati nel precedente paragrafo 5 ai punti a), b), c) e d).

Ove l'intermediario si avvalga di mediatori creditizi, l'attività di mediazione potrà essere svolta nel rispetto della specifica disciplina che la regola anche sulla base di apposite convenzioni con gli intermediari, a condizione che il contenuto delle medesime sia tale da non compromettere il requisito di neutralità e indipendenza del mediatore (andranno, ad esempio, evitate clausole che impongano al mediatore di operare in via esclusiva con un intermediario).

Dovranno comunque essere osservate le disposizioni che disciplinano lo svolgimento di attività finanziarie attraverso soggetti terzi. In particolare, rientra tra i compiti dell’intermediario accertarsi che i soggetti terzi siano abilitati all’esercizio dell’attività svolta.

Dovrà altresì essere definito un flusso informativo tale da garantire all’intermediario la possibilità di monitorare costantemente l’attività del soggetto di cui si avvale e i rischi connessi con l'attività delegata.

 Finanziamenti per cassa

I processi decisionali e operativi connessi con l’assunzione, la misurazione e la gestione del rischio di credito costituiscono un momento fondamentale per garantire l’equilibrio economico e la stabilità degli intermediari finanziari.

L’intero processo riguardante il credito: 1) istruttoria; 2) erogazione; 3) monitoraggio delle posizioni; 4) interventi in caso di anomalia; 5) revisione delle linee di credito; deve risultare dal regolamento interno e deve essere periodicamente sottoposto a verifica.

Tutti gli affidamenti sono concessi al termine di un procedimento istruttorio documentato, ancorché basato su procedure automatizzate.

Nella fase istruttoria, deve essere acquisita tutta la documentazione necessaria per effettuare una adeguata valutazione del merito creditizio del prenditore, sotto il profilo patrimoniale e reddituale, e per assicurare una corretta remunerazione del rischio assunto.

La documentazione deve consentire di valutare la coerenza tra importo, forma tecnica e progetto finanziato; essa deve inoltre permettere l'individuazione delle caratteristiche e della qualità del prenditore, anche alla luce del complesso delle relazioni con lo stesso intrattenute.

Le deleghe in materia di erogazione del credito devono risultare da una delibera dell’organo amministrativo e vi devono essere idonei controlli sull’esercizio delle deleghe medesime.

Nell’ambito dei regolamenti interni sono precisate le procedure e gli adempimenti riferiti alla fase di monitoraggio del credito nonché le modalità e i tempi di attivazione in caso di rilevazione di crediti anomali.

I criteri di valutazione, gestione e classificazione dei crediti anomali, nonché le relative unità responsabili, devono essere fissati con delibera del consiglio di amministrazione, nella quale sono indicate le modalità di raccordo fra tali criteri e quelli previsti per le segnalazioni di vigilanza. Il consiglio di amministrazione deve essere regolarmente informato sull'an­damento dei crediti anomali e delle relative procedure di recupero.

È indispensabile che gli intermediari abbiano in ogni momento una corretta percezione della propria esposizione nei confronti di ogni cliente o gruppo di clienti connessi, anche al fine di procedere, se del caso, ad una tempestiva revisione delle linee di credito.

A tal fine occorre una ba­se informativa continuamente aggiornata dalla quale risultino i dati identificativi della clientela, le connessioni giuridiche ed economiche con altri clienti, l'esposizione complessiva del singolo affidato e del gruppo di clienti connessi, le forme tecniche da cui deriva l'esposizione, il valore aggiornato delle garanzie.

1. Organi sociali

 i compiti assegnati a CdA, alta direzione e collegio sindacale.

 la periodicità abituale delle riunioni del CdA e del collegio sindacale.

 i processi che conducono alle decisioni di ingresso in nuovi settori o all’introduzione di nuovi prodotti.

 la tempistica ed il contenuto dei “report” predisposti per le verifiche di competenza del CdA e dell’alta direzione.

 

2. Struttura organizzativa e sistema dei controlli interni

 l’organigramma / funzionigramma aziendale (includendo anche l’eventuale rete periferica e indicando i nominativi dei preposti alle varie unità nonché il tipo di rapporto esistente con detti preposti o altri collaboratori della società).

 le deleghe attribuite ai vari livelli dell’organizzazione aziendale, i relativi limiti operativi, le modalità di controllo del delegante sull’azione del delegato.

 Per le unità che hanno compiti di controllo, le risorse umane e tecnologiche a disposizione, il contenuto e la periodicità delle attività di controllo (controlli interni, gestione dei rischi, revisione interna), specificando i ruoli e le responsabilità connesse con lo svolgimento dei processi di controllo.

 le modalità di distribuzione dei prodotti finanziari dell’intermediario.

 

Gestione dei rischi

 Rischio di credito

• le politiche di credito seguite (selezione degli affidati, fissazione dei tassi, ecc.). Il processo che presiede all’erogazione dei crediti ed al successivo monitoraggio, nonché le procedure informatiche di supporto utilizzate.

• i criteri utilizzati per la misurazione del rischio di credito e le fonti informative e tecniche di supporto alla valutazione del merito di credito.

• le procedure di recupero crediti utilizzate.

 

 Rischio di mercato

• le tipologie di rischio di mercato rilevanti per l’intermediario.

• le procedure di controllo utilizzate con riferimento alle diverse tipologie di prodotto (azioni, titoli di debito, derivati, ecc.) ed al rischio di cambio.

• i limiti operativi imposti, i criteri per la loro determinazione e le procedure previste in caso di supero dei medesimi.

 

 Altri Rischi

• le diverse tipologie di rischi censite (es. rischio strategico, rischio tecnologico, rischio legale, rischio reputazionale, rischio di outsourcing, ecc.).

• i presidi organizzativi approntati e i contratti di assicurazione stipulati per mitigare i diversi rischi operativi.

• le specifiche procedure poste in essere nel caso di utilizzo di reti distributive informatiche (es. Internet).

 

Sistemi informativi

 le procedure informatiche utilizzate nei vari comparti (contabilità, fidi, segnalazioni, etc.), il processo di alimentazione, evidenziando le operazioni automatizzate e quelle effettuate manualmente, il grado di integrazione tra le procedure.

 i controlli (compresi quelli generati automaticamente dalle procedure) effettuati sulla qualità dei dati.

 i presidi logici e fisici approntati per garantire la sicurezza del sistema informatico e la riservatezza dei dati (individuazione dei soggetti abilita¬ti, gestione di userid e password, sistemi di back-up e di recovery, etc.).