Gazzetta n. 260 del 6 novembre 2002 (vai al sommario) BANCA D'ITALIA COMUNICATO Istruzioni di vigilanza per gli intermediari finanziari iscritti nell'elenco speciale (6o aggiornamento) La capacita' degli intermediari finanziari di governare la propria operativita' adottando presidi organizzativi idonei a censire, prevenire e monitorare costantemente le varie tipologie di rischi assunti riveste importanza fondamentale in uno scenario caratterizzato da una crescente complessita' e da rapidi cambiamenti, che moltiplicano le opportunita' di sviluppo ma anche i rischi per gli intermediari. Sul punto, l'art. 107 del testo unico bancario prevede che la Banca d'Italia, in conformita' delle deliberazioni del CICR, detti regole aventi ad oggetto l'organizzazione amministrativa e contabile e i controlli interni degli intermediari finanziari iscritti nell'elenco speciale previsto dal medesimo articolo. Con il presente aggiornamento alle "Istruzioni di vigilanza per gli intermediari finanziari iscritti nell'elenco speciale" (circolare n. 216 del 5 agosto 1996) vengono individuati i presidi minimi che gli intermediari finanziari dovranno assicurare nella definizione dei propri assetti organizzativi. Le istruzioni si articolano in: una parte "generale", applicabile a tutti gli intermediari iscritti nell'elenco speciale, nella quale sono richiamati i compiti del Consiglio di amministrazione, dell'alta direzione e del collegio sindacale sulla materia, le caratteristiche del sistema di controlli interni, i requisiti minimi per un efficace funzionamento dei sistemi informativi, le regole da osservare per l'esternalizzazione di funzioni aziendali e per la distribuzione di prodotti e servizi attraverso soggetti terzi; una parte "speciale" in cui sono indicati i presidi da adottare a fronte dei rischi collegati alle specifiche attivita' esercitate (concessione di finanziamenti sotto qualsiasi forma, assunzione di partecipazioni, emissione e gestione di carte di credito e di debito, ecc.). E' inoltre previsto che gli intermediari inviino periodicamente alla Banca d'Italia una relazione sulla struttura organizzativa adottata. Le presenti disposizioni entrano in vigore il giorno successivo a quello di pubblicazione nella Gazzetta Ufficiale. La prima relazione sulla struttura organizzativa deve essere trasmessa entro il 30 aprile 2004. Gli intermediari che all'entrata in vigore delle presenti disposizioni hanno gia' esternalizzato funzioni aziendali ne danno tempestiva comunicazione alla Banca d'Italia, precisando le motivazioni delle scelte compiute. (Omissis). Roma, 15 ottobre 2002 Il Governatore: Fazio   ORGANIZZAZIONE AMMINISTRATIVA E CONTABILE E CONTROLLI INTERNI Sezione I 1. Fonti normative. art. 107, commi 2 e 3 del T.U.; art. 112 del T.U.; delibera del C.I.C.R. del 25 luglio 2000. Si rammenta altresi' che l'art. 144 del testo unico prevede meccanismi sanzionatori per l'inosservanza, tra l'altro, dei provvedimenti emanati dall'organo di vigilanza. 2. Premessa. Una gestione aziendale sana e prudente dipende anche da un assetto organizzativo adeguato alla dimensione ed alla vocazione operativa degli intermediari finanziari. La struttura aziendale deve pertanto rispondere a criteri di coerenza con le linee strategiche gestionali indicate dagli organi amministrativi. Il testo unico ha affidato alla Banca d'Italia, in conformita' con le deliberazioni del C.I.C.R., il compito di dettare disposizioni aventi ad oggetto l'organizzazione amministrativa e contabile e i controlli interni degli intermediari iscritti nell'elenco speciale. Il C.I.C.R., con delibera del 25 luglio 2000, ha enunciato i principi organizzativi generali sui quali devono basarsi le istruzioni della Banca d'Italia con riferimento ai controlli interni, alle specifiche attivita' esercitabili e ai rischi aziendali. La stessa delibera ha anche stabilito che la Banca d'Italia deve tenere conto delle norme applicabili agli altri intermediari vigilati e dei principi definiti in sede internazionale. Le presenti istruzioni prevedono norme di carattere generale che devono essere rispettate da tutti gli intermediari iscritti nell'elenco speciale (Sezione II) coerentemente con la dimensione e la complessita' operativa, nonche' indicazioni specifiche, relative alle diverse attivita' esercitabili dagli intermediari medesimi, che devono essere osservate qualora dette attivita' siano effettivamente svolte (Sezione III). In ogni caso, i principi indicati costituiscono requisiti organizzativi minimi che non esauriscono gli interventi adottabili dai competenti organi aziendali. Sezione II PRINCIPI GENERALI 1. Compiti del Consiglio di amministrazione, dell'alta direzione e del collegio sindacale. I soggetti che svolgono funzioni di amministrazione e direzione presso gli intermediari finanziari assumono un ruolo fondamentale ai fini della definizione di un adeguato sistema organizzativo e del conseguimento di un efficiente sistema dei controlli interni. La ripartizione di competenze tra gli organi aziendali deve garantire in ogni caso una costante dialettica interna tra gli organi, evitando sovrapposizioni di competenze che possano incidere sulla funzionalita' aziendale. L'operato degli organi amministrativi deve essere sempre documentato, al fine di consentire un controllo sugli atti gestionali e sulle decisioni assunte. La documentazione dell'azione amministrativa e la presenza di una dialettica costante con l'alta direzione e il collegio sindacale assumono particolare rilevanza nel caso in cui vi sia un amministratore unico. Gli organi amministrativi - coerentemente con la dimensione e complessita' operativa che caratterizza l'intermediario - si attengono alle seguenti indicazioni e principi. Il Consiglio d'amministrazione: assume la responsabilita' delle scelte strategiche aziendali; approva le politiche di gestione del rischio, nonche' le relative procedure e modalita' di rilevazione; definisce la struttura organizzativa, assicurandosi che i compiti e le responsabilita', formalizzati in un apposito regolamento interno, siano allocati in modo chiaro e appropriato e che siano separate le funzioni operative da quelle di controllo; determina un'articolazione delle deleghe dei poteri decisionali e di rappresentanza coerente con le linee strategiche e l'orientamento al rischio stabiliti e ne verifica l'esercizio; si assicura che venga definito un sistema informativo completo e in grado di rilevare tempestivamente l'effettiva situazione aziendale; si assicura che venga verificata periodicamente l'efficienza, l'efficacia e la funzionalita' del sistema dei controlli interni anche in relazione all'evoluzione dell'attivita' svolta; adotta tempestivamente le misure necessarie nel caso in cui emergano carenze o anomalie dall'insieme delle verifiche svolte sul sistema dei controlli. L'alta direzione (al cui vertice e' posto di norma il Direttore generale) deve: garantire un'efficace gestione dell'operativita' aziendale e dei rischi cui l'intermediario si espone, definendo procedure di controllo adeguate; individuare e valutare i fattori di rischio; verificare la funzionalita', l'efficacia e l'efficienza del sistema dei controlli interni, provvedendo al suo adeguamento alla luce dell'evoluzione dell'operativita'; definire i compiti delle strutture dedicate alle funzioni di controllo, assicurandosi che le medesime siano dirette da personale qualificato in relazione alle attivita' da svolgere; definire i canali per la comunicazione a tutto il personale delle procedure relative ai propri compiti e responsabilita' nonche' i flussi informativi necessari a garantire al CdA piena conoscenza dei fatti aziendali; attuare le direttive del CdA per la realizzazione e la verifica della funzionalita' dei sistemi informativi aziendali. Il collegio sindacale, nel rispetto delle attribuzioni degli altri organi e collaborando con essi, contribuisce ad assicurare la regolarita' e la legittimita' della gestione nonche' a preservare l'autonomia dell'impresa. In particolare, nell'effettuare il controllo sull'amministrazione e sulla direzione, deve soffermarsi sulle eventuali anomalie che siano sintomatiche di disfunzioni degli organi medesimi. Valuta il grado di adeguatezza e il regolare funzionamento delle principali aree organizzative nonche' l'efficienza del sistema dei controlli interni ed in particolare del controllo dei rischi, del funzionamento dell'internal audit (ove previsto), del sistema informativo contabile. Puo' avvalersi per lo svolgimento delle proprie funzioni di tutte le unita' delle strutture organizzative che assolvono funzioni di controllo. L'attivita' di controllo puo' determinare la formulazione da parte del collegio sindacale di osservazioni e proposte di modifica volte alla rimozione di eventuali anomalie riscontrate. Di tali osservazioni e proposte, nonche' della successiva attivita' di verifica del collegio sull'attuazione di eventuali provvedimenti, deve essere conservata adeguata evidenza. Il collegio sindacale mantiene un coordinamento con le strutture preposte allo svolgimento di funzioni di controllo interno nonche' con la societa' di revisione al fine di incrementare il grado di conoscenza sull'andamento della gestione aziendale, avvalendosi anche delle risultanze degli accertamenti effettuati da tali unita' operative. L'interazione tra l'attivita' di controllo posta in essere dal collegio e l'attivita' di vigilanza contribuisce al rafforzamento del complessivo sistema di supervisione sull'intermediario. A tal fine, la Banca d'Italia puo' richiedere informazioni sui controlli svolti e sul funzionamento dei sistemi di controllo aziendali. Il collegio sindacale informa inoltre tempestivamente la Banca d'Italia di tutti gli atti o fatti, di cui venga a conoscenza nell'esercizio dei propri compiti, che possano costituire una irregolarita' nella gestione o una violazione delle norme che disciplinano l'attivita' dell'intermediario. Il CdA, l'alta direzione e il collegio sindacale si attengono, ciascuno nell'ambito delle rispettive competenze, alle indicazioni e ai principi contenuti nelle presenti disposizioni, coerentemente con le dimensioni, la complessita' e le specificita' operative dell'intermediario. 2. Sistema dei controlli interni. Il sistema dei controlli interni e' costituito dall'insieme delle regole, delle procedure e delle strutture organizzative che mirano ad assicurare il rispetto delle strategie aziendali e il conseguimento dell'efficacia ed efficienza dei processi aziendali, della salvaguardia del valore delle attivita' e protezione dalle perdite, dell'affidabilita' e integrita' delle informazioni contabili e gestionali, della conformita' delle operazioni con la legge, la normativa di vigilanza, le disposizioni interne dell'intermediario. Si descrivono di seguito alcune tipologie di controllo degli intermediari, indipendentemente dalle strutture organizzative in cui sono collocate: controlli di linea, diretti ad assicurare il corretto svolgimento delle operazioni. Essi sono effettuati dalle stesse strutture produttive (es. controlli di tipo gerarchico sistematici e a campione) o incorporati nelle procedure - anche automatizzate - ovvero eseguiti nell'ambito dell'attivita' di back office; controlli sulla gestione dei rischi (cfr. anche successivo paragrafo 1.3), che hanno l'obiettivo di concorrere alla definizione delle metodologie di misurazione del rischio, di verificare il rispetto dei limiti assegnati alle varie funzioni operative e di controllare la coerenza dell'operativita' delle singole aree produttive con gli obiettivi di rischio-rendimento assegnati. Essi sono affidati a strutture diverse da quelle produttive. Deve essere sempre assicurato un coordinamento tra l'eventuale unita' operativa di gestione del rischio interna all'intermediario e quella che svolge l'analoga funzione per tutto il gruppo d'appartenenza; attivita' di revisione interna (internal audit), in tale ambito rientra la valutazione periodica della completezza, della funzionalita' e dell'adeguatezza del sistema dei controlli interni. Con cadenza prefissata, coerentemente con le specificita' dimensionali e operative dell'impresa, e comunque in relazione a discontinuita' nell'attivita' aziendale (ingresso in nuovi mercati, lancio di nuovi prodotti) andranno valutate la completezza, la funzionalita' e l'adeguatezza del sistema dei controlli interni, in relazione alla natura e all'intensita' dei rischi e delle complessive esigenze aziendali. L'attivita' e' condotta da strutture diverse e indipendenti da quelle produttive, anche attraverso verifiche in loco. Il CdA, l'alta direzione e il collegio sindacale devono essere regolarmente informati sull'attivita' svolta. Il CdA - nell'ambito della propria funzione di indirizzo organizzativo, oltre che strategico - ha il compito di assicurarsi della completezza, della funzionalita' e dell'adeguatezza del sistema dei controlli interni disegnato dall'alta direzione, anche in ragione della complessita' dimensionale ed operativa e dell'intensita' dei rischi assunti. In particolare, fermo restando che la sorveglianza del sistema dei controlli interni compete all'organo amministrativo nella sua globalita', possono essere attribuiti specifici compiti di verifica ad uno o piu' amministratori, privi di deleghe operative. Ove la complessita' organizzativa, dimensionale e operativa dell'intermediario lo richieda, il CdA si avvale della funzione di revisione interna, dotata di specifiche competenze. In tal caso l'organo amministrativo e' chiamato a approvare il regolamento della funzione e a verificare che alle strutture di controllo siano assegnate risorse adeguate e assicurata la necessaria autonomia rispetto alle strutture operative. Alternativamente, gli intermediari ricorrono all'esternalizzazione dell'attivita' di revisione interna. In tal caso restano fermi tutti i principi in materia di outsourcing di funzioni aziendali definiti nel successivo paragrafo 5. L'organo amministrativo approva il piano di auditing che deve essere proporzionato alla complessita' aziendale e operativa e alla natura e all'intensita' dei rischi aziendali. Esso e' chiamato a promuovere una cultura aziendale che valorizzi la funzione di controllo e renda tutti i livelli del personale consapevoli e pienamente coinvolti nel ruolo ad essi attribuito nel sistema dei controlli. 3. Controllo dei rischi. Il sistema dei controlli interni deve coprire tutte le tipologie di rischio (di credito, di mercato, di liquidita', legali, di frode e infedelta' dei dipendenti, di reputazione, ecc.) che vanno individuati e - ove possibile - quantificati. Le politiche di assunzione di rischio devono essere approvate dal CdA, che deve essere periodicamente informato dei risultati effettivamente conseguiti. Nell'ambito delle politiche di assunzione e gestione del rischio, devono essere individuati adeguati limiti operativi, monitorati su base continua e sottoposti a periodiche revisioni. Devono inoltre essere attentamente valutate le implicazioni derivanti dall'ingresso in nuovi mercati o settori operativi, dall'offerta di nuovi prodotti, dall'utilizzo di canali distributivi innovativi, con preventiva individuazione dei rischi e definizione di procedure di controllo adeguate, approvate dal CdA. Nella predisposizione dei presidi organizzativi volti a prevenire il coinvolgimento anche inconsapevole in operazioni di riciclaggio, gli intermediari si attengono alle "Istruzioni operative per l'individuazione di operazioni sospette" emanate dalla Banca d'Italia. Le istruzioni contengono regole organizzative e procedurali utili ad accrescere la conoscenza della clientela, assicurare l'integrita' e l'autonomia gestionale, prevenire episodi di infedelta' dei dipendenti e dei collaboratori e individuare prontamente l'operativita' anomala della clientela. 4. Sistemi informativi. L'affidabilita' dei sistemi informativi, che devono assicurare a tutti i livelli della struttura un flusso informativo che consenta di adempiere agli obblighi previsti dai regolamenti interni e dalla normativa che richiede di produrre informazioni all'esterno, rappresenta un pre-requisito essenziale per il buon funzionamento degli intermediari e consente agli organi amministrativi di assumere decisioni consapevoli e coerenti con gli obiettivi aziendali. Il sistema delle rilevazioni contabili e gestionali interne deve avere un elevato grado di attendibilita', registrare correttamente e con la massima tempestivita' i fatti di gestione, consentire di ricostruire la complessiva esposizione dell'intermediario a qualsiasi data. La circostanza che l'intermediario utilizzi diverse procedure settoriali (contabilita', impieghi, segnalazioni, antiriciclaggio, ecc.) non deve inficiare la qualita' e integrita' dei dati ne' comportare la creazione di archivi non coerenti. Per le attivita' (quali, ad esempio, le operazioni di cartolarizzazione) che possono comportare la disponibilita', anche solo in via transitoria, di valori di terzi, il sistema deve essere strutturato in modo da tenere costantemente distinti i valori di terzi da quelli dell'intermediario. I sistemi informativi devono garantire elevati livelli di sicurezza; a tal fine devono essere individuati e documentati adeguati presidi volti a garantire la sicurezza fisica e logica dell'hardware e del software, comprendenti procedure di back up dei dati e di disaster recovery, individuazione dei soggetti autorizzati ad accedere ai sistemi e relative abilitazioni, possibilita' di risalire agli autori degli inserimenti o delle modifiche dei dati, di ricostruire la serie storica dei dati modificati. 5. Esternalizzazione di funzioni aziendali (outsourcing). Salvo quanto previsto nella successiva Sezione III, gli intermediari possono delegare a soggetti terzi lo svolgimento della funzione di internal audit o di altre funzioni aziendali. La delega non esime gli organi aziendali dalle responsabilita' loro assegnate da leggi, regolamenti, disposizioni dell'Autorita' di vigilanza. La delega non deve pregiudicare la possibilita' per l'Autorita' di vigilanza di disporre senza ritardo della documentazione tenuta dai delegati. L'incarico deve essere formalizzato in un contratto scritto, che definisce, tra l'altro, l'oggetto e i limiti della delega conferita e individua le linee guida dell'attivita'. Il CdA: a) definisce gli obiettivi assegnati all'esternalizzazione, sia in rapporto alla complessiva strategia aziendale sia in relazione agli standard quali-quantitativi attesi dal processo; b) individua i criteri e le procedure per orientare la fase di valutazione e selezione dei potenziali fornitori (tenendo conto, con riferimento a talune funzioni quali ad es. l'internal audit, dei problemi relativi a potenziali conflitti d'interesse) e quella successiva di relazione con l'outsourcer prescelto; c) valuta le modalita' organizzative e le risorse dedicate all'attivita' da parte del soggetto che offre il servizio; d) individua gli strumenti e le procedure (anche contrattuali) per intervenire tempestivamente nel caso di inadeguatezza dei servizi forniti. Gli intermediari che intendono esternalizzare, in tutto o in parte, lo svolgimento della funzione di internal audit o di altre funzioni aziendali ne danno comunicazione alla Banca d'Italia almeno sessanta giorni prima del perfezionamento del contratto, illustrando le motivazioni che hanno determinato la scelta, le modalita' con le quali il delegato operera', e quelle che il delegante seguira' per verificare l'operato del delegato. 6. Distribuzione di prodotti e servizi. La selezione dei soggetti cui viene affidata la distribuzione dei prodotti e dei servizi riveste particolare importanza in quanto, se da un lato consente di allargare la capillarita' ed incrementare la tempestivita' dell'offerta, dall'altro comporta una serie di rischi aggiuntivi. Sara' quindi necessaria una valutazione della coerenza delle scelte effettuate con le strategie aziendali e con i profili di rischio prescelti. Salvo quanto stabilito nella successiva Sezione III, par. 1.1., in materia di deleghe di poteri deliberativi, la valutazione del merito creditizio e' di esclusiva competenza dell'intermediario. L'incarico deve essere formalizzato in un contratto scritto che ne definisca, fra l'altro, l'oggetto e i limiti, e individui le linee guida dell'attivita'. Devono inoltre essere assicurati i presidi indicati nel precedente paragrafo 5 ai punti a), b), c) e d). Gli intermediari finanziari possono avvalersi, nel rispetto della specifica disciplina prevista per le singole categorie di soggetti, di agenti in attivita' finanziarie, mediatori creditizi, promotori finanziari, banche, SIM, altri intermediari finanziari, imprese ed enti di assicurazione e rispettivi agenti assicurativi, nonche' di esercizi convenzionati(1). Ove l'intermediario si avvalga di mediatori creditizi, l'attivita' di mediazione potra' essere svolta, nel rispetto della specifica disciplina che la regola, anche sulla base di apposite convenzioni con gli intermediari, a condizione che il contenuto delle medesime sia tale da non compromettere il requisito di neutralita' e indipendenza del mediatore (andranno, ad esempio, evitate clausole che impongano al mediatore di operare in via esclusiva con un intermediario). Dovranno comunque essere osservate le disposizioni che disciplinano lo svolgimento di attivita' finanziarie attraverso soggetti terzi. In particolare, rientra tra i compiti dell'intermediario accertarsi che i soggetti terzi siano abilitati all'esercizio dell'attivita' svolta. Dovra' altresi' essere definito un flusso informativo tale da garantire all'intermediario la possibilita' di monitorare costantemente l'attivita' del soggetto di cui si avvale e i rischi connessi con l'attivita' delegata. ----- (1) Nel caso di ricorso ad esercizi convenzionati, gli intermediari verificano il rispetto degli adempimenti previsti in materia di antiriciclaggio e trasparenza. Sezione III PRINCIPI ORGANIZZATIVI DA OSSERVARE IN RELAZIONE A SPECIFICHE ATTIVITA' 1. Rischi connessi all'attivita' di concessione di finanziamenti sotto qualsiasi forma (rischio di credito). 1.1. Finanziamenti per cassa. I processi decisionali e operativi connessi con l'assunzione, la misurazione e la gestione del rischio di credito costituiscono un momento fondamentale per garantire l'equilibrio economico e la stabilita' degli intermediari finanziari. L'intero processo riguardante il credito: 1) istruttoria; 2) erogazione; 3) monitoraggio delle posizioni; 4) interventi in caso di anomalia; 5) revisione delle linee di credito; deve risultare dal regolamento interno e deve essere periodicamente sottoposto a verifica. Tutti gli affidamenti sono concessi al termine di un procedimento istruttorio documentato, ancorche' basato su procedure automatizzate. Deleghe di poteri deliberativi circa la valutazione del merito di credito della clientela potranno essere attribuite - ove lo statuto dell'intermediario lo preveda - sulla base di un contratto scritto, solo a banche e intermediari finanziari iscritti nell'elenco speciale. Il contratto dovra' indicare criteri e limiti dell'attivita' nonche' le modalita' di controllo del delegante sull'operato del delegato. Nella fase istruttoria, deve essere acquisita tutta la documentazione necessaria per effettuare una adeguata valutazione del merito creditizio del prenditore, sotto il profilo patrimoniale e reddituale, e per assicurare una corretta remunerazione del rischio assunto. La documentazione deve consentire di valutare la coerenza tra importo, forma tecnica e progetto finanziato; essa deve inoltre permettere l'individuazione delle caratteristiche e della qualita' del prenditore, anche alla luce del complesso delle relazioni con lo stesso intrattenute. Nel caso di affidamenti ad imprese, ad esempio, sono acquisiti i bilanci (anche consolidati, se disponibili) nonche' ogni altra informazione utile per valutare la situazione attuale e prospettica dell'azienda. Al fine di conoscere la valutazione complessiva degli affidati da parte dell'intero sistema creditizio, gli intermediari utilizzano, anche nella successiva fase di monitoraggio, informazioni fornite dalla Centrale dei rischi. Per le forme di credito non aventi durata determinata, il rinnovo degli affidamenti e' disciplinato secondo criteri stabiliti da regolamenti interni. Le deleghe in materia di erogazione del credito devono risultare da una delibera dell'organo amministrativo e vi devono essere idonei controlli sull'esercizio delle deleghe medesime. Eventuali operazioni di finanziamento, diretto o indiretto, a favore di esponenti aziendali dovranno essere deliberate dal CdA, reso edotto di tale circostanza dall'esponente medesimo, con decisione presa all'unanimita' e con l'astensione dell'esponente interessato. Nell'ambito dei regolamenti interni sono precisate le procedure e gli adempimenti riferiti alla fase di monitoraggio del credito nonche' le modalita' e i tempi di attivazione in caso di rilevazione di crediti anomali. I criteri di valutazione, gestione e classificazione dei crediti anomali, nonche' le relative unita' responsabili, devono essere fissati con delibera del consiglio di amministrazione, nella quale sono indicate le modalita' di raccordo fra tali criteri e quelli previsti per le segnalazioni di vigilanza. Il consiglio di amministrazione deve essere regolarmente informato sull'andamento dei crediti anomali e delle relative procedure di recupero. E' indispensabile che gli intermediari abbiano in ogni momento una corretta percezione della propria esposizione nei confronti di ogni cliente o gruppo di clienti connessi, anche al fine di procedere, se del caso, ad una tempestiva revisione delle linee di credito. A tal fine occorre una base informativa continuamente aggiornata dalla quale risultino i dati identificativi della clientela, le connessioni giuridiche ed economiche con altri clienti, l'esposizione complessiva del singolo affidato e del gruppo di clienti connessi, le forme tecniche da cui deriva l'esposizione, il valore aggiornato delle garanzie. Nel definire i processi di erogazione del credito, gli intermediari adottano inoltre presidi organizzativi adeguati a fronteggiare rischi connessi a specializzazioni operative, quali ad esempio, i rischi legati ai beni oggetto di operazioni di leasing nelle loro varie forme (affidabilita' del fornitore, validita' tecnologica, congruita' del prezzo, fornitura di servizi accessori, manutenzione, valutazione dello stato di usura, capacita' di ripristino, rivendibilita', ecc.), alle vicende dei crediti acquisiti nelle operazioni di factoring (situazione dei debitori ceduti, congruita' del prezzo in relazione alla recuperabilita', alle eccezioni opponibili, all'andamento dei contenziosi, ecc.), alla situazione degli obbligati principali nel caso di finanziamenti tramite concessione di garanzie, ecc. 1.2. Rilascio di garanzie. L'esigenza di assicurare presidi quali quelli indicati nel precedente paragrafo non viene meno nei casi in cui i finanziamenti sono concessi nella forma del rilascio di garanzie, posto che il credito di firma concesso espone l'intermediario al rischio di dover successivamente intervenire con una erogazione per cassa, attivando conseguentemente le azioni di rivalsa. Cio' in particolare quando il rilascio di garanzie costituisce l'attivita' esclusiva o prevalente dell'intermediario. I presidi organizzativi devono pertanto assicurare anche: l'approfondita conoscenza, sin dall'inizio della relazione e per tutta la durata della stessa, della capacita' dei garantiti di adempiere le proprie obbligazioni (incluse quelle di fare); il costante monitoraggio degli impegni assunti con riferimento sia al volume sia al grado di rischiosita' degli stessi, specie in situazioni di elevata rotazione delle garanzie rilasciate. Una particolare attenzione dovra' inoltre essere posta nella definizione della contrattualistica al fine di prevenire o limitare l'insorgere di contenziosi con riferimento sia all'attivazione delle garanzie rilasciate, sia alle successive eventuali azioni di rivalsa nei confronti dei garantiti. Gli intermediari evitano di sottoscrivere i contratti relativi alle garanzie rilasciate prima che siano stati definiti tutti gli elementi essenziali del rapporto (in particolare: indicazione del beneficiario, prestazione dovuta dal garantito, ammontare e durata della garanzia, modalita' di liberazione dall'obbligo di garanzia o di rinnovo della stessa). Al fine di assicurare il monitoraggio dell'esposizione, anche per il rispetto dei requisiti prudenziali in presenza elevata rotazione delle garanzie, il sistema delle rilevazioni contabili aziendali deve consentire di ricostruire la successione temporale delle operazioni effettuate. 2. Rischi connessi all'attivita' di assunzione di partecipazioni. Il CdA fissa con propria delibera i criteri generali di selezione delle imprese di cui acquisire interessenze, in relazione alle caratteristiche dell'intervento dell'intermediario (ad es. seed financing, start up financing, ristrutturazione aziendale, transizione del management, ecc.), di cui devono essere fissati gli obiettivi dello stesso, in vista della successiva smobilizzazione dell'investimento. Nell'attuazione delle singole operazioni, deve in particolare essere valutata dal CdA la disponibilita' - tramite risorse interne o esterne - di competenze e professionalita' adeguate all'azione da svolgere, di basi informative idonee alla valutazione anche prospettica degli specifici settori di mercato e aree geografiche dove operano le partecipate, di un sistema di reporting completo e tempestivo a supporto delle decisioni dei vertici dell'intermediario relative alla governance delle partecipate. 3. Rischi connessi all'attivita' di emissione e gestione di carte di credito e di debito e di trasferimento fondi. Nello svolgimento dell'attivita' di emissione e gestione di carte di credito, particolare attenzione deve essere prestata al corretto trattamento delle informazioni relative alla clientela ed agli esercenti convenzionati. Tali dati sono utili anche a fini di monitoraggio del rischio di credito (che assume particolare rilievo in presenza di crediti "revolving") e dei rischi di frode. Con riferimento ai rischi operativi, derivanti ad esempio da mancati controlli sulla sicurezza e integrita' dei dati o da disfunzioni nelle strutture informatiche, gli intermediari dovranno avere particolare cura del corretto funzionamento dei sistemi informativi utilizzati, tenuto conto della considerevole incidenza dei rischi della specie nello svolgimento della loro operativita'. Specifiche cautele dovranno essere poste in essere nel caso in cui l'intermediario consenta l'uso della carta su circuiti quali Internet (al fine di evitare l'utilizzo da parte di soggetti non autorizzati, l'accesso inconsapevole a falsi siti per l'impiego della carta, ecc.). Il processo di selezione della clientela puo' avvalersi di sistemi automatici di scoring che utilizzino informazioni desunte da information provider specializzati. Resta ferma comunque la responsabilita' del CdA in merito alla selezione della clientela ed ai limiti operativi imposti. 4. Disposizioni per gli intermediari coinvolti in operazioni di cartolarizzazione. 4.1. Principi generali. Le disposizioni di cui alla Sezione II (parte generale) si applicano alle societa' cessionarie o emittenti i titoli nell'ambito di operazioni di cartolarizzazione ai sensi della legge n. 130 del 30 aprile 1999 ("societa' per la cartolarizzazione"), nonche' ai servicer, solo per quanto compatibili con le peculiarita' operative di tali intermediari. 4.2. Societa' per la cartolarizzazione. Le societa' per la cartolarizzazione devono predisporre misure organizzative tali da assicurare costantemente la separatezza dei patrimoni delle varie operazioni di cartolarizzazione tra loro e con i beni della societa'; in particolare, e' necessario che le somme di denaro relative alle operazioni siano depositate in appositi conti, sottorubricati o distinti per ciascuna operazione di cartolarizzazione. Tali societa', inoltre, devono tenere evidenze contabili, anche in forma elettronica, nelle quali sono annotate le operazioni effettuate distinte per ciascuna operazione di cartolarizzazione. Tali evidenze, da aggiornare in via continuativa, sono strutturate in modo da consentire di: ricostruire in qualsiasi momento con certezza il complesso delle operazioni poste in essere relativamente a ciascuna operazione di cartolarizzazione; dare concreta attuazione alle disposizioni in materia di separatezza patrimoniale, assicurando la distinzione dei patrimoni delle singole operazioni di cartolarizzazione tra loro e da quelli della societa'. A tal fine, le societa' per la cartolarizzazione definiscono adeguati flussi informativi con i soggetti a vario titolo coinvolti nell'operazione. 4.3. Servicer. In base alle previsioni della legge n. 130/1999, rientra tra i compiti degli intermediari che svolgono attivita' di riscossione dei crediti ceduti e i servizi di cassa e di pagamento nell'ambito di operazioni di cartolarizzazione (c.d. servicer) verificare che dette operazioni siano conformi alla legge e al prospetto informativo. Al servicer fanno pertanto capo sia compiti di natura operativa, sia funzioni di "garanzia" circa il corretto espletamento delle operazioni di cartolarizzazione nell'interesse dei portatori dei titoli e, in generale, del mercato. Detti compiti vanno considerati in modo unitario. Per il corretto espletamento degli stessi e' importante che il servicer assicuri un costante presidio su tutti i movimenti concernenti il patrimonio cartolarizzato. In tale contesto, assume rilievo verificare che: a) le somme rivenienti dagli attivi cartolarizzati affluiscano nei conti della societa-veicolo dedicati all'operazione e che non si creino situazioni di confusione con i beni della societa' stessa e con i patrimoni relativi alle altre operazioni di cartolarizzazione; b) nell'esecuzione delle singole fasi delle operazioni di cartolarizzazione sia assicurata la tutela degli interessi dei portatori dei titoli. In tale ambito andra' posta particolare attenzione alle ipotesi di conflitto di interesse; c) gli incassi avvengano nel rispetto delle scadenze programmate. Per assicurare continuita' ed efficacia nell'espletamento delle funzioni svolte i servicer si dotano di strutture tecniche e organizzative idonee a monitorare le diverse fasi in cui si articola il processo di securitization. In particolare, i sistemi informativo-contabili andranno strutturati tenendo conto dell'esigenza di poter ricostruire in qualsiasi momento con certezza il complesso delle operazioni poste in essere relativamente a ciascuna operazione di cartolarizzazione. Il servicer puo' avvalersi di altri soggetti a condizione che cio' non limiti l'attivita' di verifica della correttezza delle operazioni. La delicatezza e la rilevanza per il buon funzionamento delle operazioni di cartolarizzazione della funzione di controllo svolta dal servicer implica che la stessa debba in ogni caso essere esercitata in via diretta. Le altre attivita', ferma restando la responsabilita' e il costante controllo del servicer, potranno essere svolte da soggetti terzi, i quali dovranno impegnarsi a trasmettere tempestivamente al servicer le informazioni necessarie per consentirgli di conoscere in qualsiasi momento la situazione del patrimonio delle singole linee di cartolarizzazione e assicurare alle autorita' di controllo del servicer la possibilita' di effettuare verifiche presso di se'. Tenuto conto della complessita' che le operazioni di cartolarizzazione possono presentare, assume rilievo la corretta tenuta delle evidenze contabili e l'adeguatezza dei flussi informativi e delle procedure adottate, che devono permettere alla societa' di espletare con continuita' ed efficacia i compiti ad essa attribuiti dalla legge n. 130/1999. Gli esiti delle verifiche periodiche compiute dagli organi di controllo interno del servicer sono portati a conoscenza del CdA che li esamina nell'ambito di apposite riunioni cui partecipa il collegio sindacale. Gli amministratori dei servicer convocano periodicamente riunioni, cui partecipano i componenti del collegio sindacale, per verificare l'andamento delle operazioni di cartolarizzazione. Della riunione e' redatto un verbale che va inviato alla filiale della Banca d'Italia territorialmente competente. Sezione IV RELAZIONE SULLA STRUTTURA ORGANIZZATIVA 1. Comunicazioni alla Banca d'Italia. Gli intermediari finanziari iscritti nell'elenco speciale di cui all'art. 107 del testo unico, ad eccezione delle societa' per la cartolarizzazione, devono inviare alla Banca d'Italia entro il 30 aprile di ogni anno una relazione sulla struttura organizzativa redatta secondo lo schema indicato nell'allegato A. La relazione non e' dovuta qualora non siano intervenute variazioni rispetto alle informazioni comunicate con l'ultima trasmessa. ---------- Allegato A SCHEMA DELLA RELAZIONE SULLA STRUTTURA ORGANIZZATIVA Parte I Organi sociali 1. Descrivere sinteticamente i compiti assegnati a CdA, alta direzione e collegio sindacale. 2. Indicare la periodicita' abituale delle riunioni del CdA e del collegio sindacale. 3. Descrivere i processi che conducono alle decisioni di ingresso in nuovi settori o all'introduzione di nuovi prodotti. 4. Indicare la tempistica ed il contenuto dei "report" predisposti per le verifiche di competenza del CdA e dell'alta direzione. Parte II Struttura organizzativa e sistema dei controlli interni 1. Descrivere (anche mediante grafico) l'organigramma/funzionigramma aziendale (includendo anche l'eventuale rete periferica e indicando i nominativi dei preposti alle varie unita' nonche' il tipo di rapporto esistente con detti preposti o altri collaboratori della societa). 2. Descrivere le deleghe attribuite ai vari livelli dell'organizzazione aziendale, i relativi limiti operativi, le modalita' di controllo del delegante sull'azione del delegato. 3. Per le unita' che hanno compiti di controllo, descrivere le risorse umane e tecnologiche a disposizione, il contenuto e la periodicita' delle attivita' di controllo (controlli interni, gestione dei rischi, revisione interna), specificando i ruoli e le responsabilita' connesse con lo svolgimento dei processi di controllo. 4. Descrivere le modalita' di distribuzione dei prodotti finanziari dell'intermediario. Parte III Gestione dei rischi Rischio di credito. 1. Descrivere le politiche di credito seguite (selezione degli affidati, fissazione dei tassi, ecc.). 2. Descrivere il processo che presiede all'erogazione dei crediti ed al successivo monitoraggio, nonche' le procedure informatiche di supporto utilizzate. 3. Descrivere i criteri utilizzati per la misurazione del rischio di credito e le fonti informative e tecniche di supporto alla valutazione del merito di credito. 4. Descrivere le procedure di recupero crediti utilizzate. Rischio di mercato. 1. Indicare le tipologie di rischio di mercato rilevanti per l'intermediario. 2. Descrivere le procedure di controllo utilizzate con riferimento alle diverse tipologie di prodotto (azioni, titoli di debito, derivati, ecc.) ed al rischio di cambio. 3. Indicare i limiti operativi imposti, i criteri per la loro determinazione e le procedure previste in caso di supero dei medesimi. Altri rischi. 1. Indicare le diverse tipologie di rischi censite (es. rischio strategico, rischio tecnologico, rischio legale, rischio reputazionale, rischio di outsourcing, ecc.). 2. Descrivere i presidi organizzativi approntati e i contratti di assicurazione stipulati per mitigare i diversi rischi operativi. 3. Descrivere le specifiche procedure poste in essere nel caso di utilizzo di reti distributive informatiche (es. Internet). Parte IV Sistemi informativi 1. Descrivere sinteticamente le procedure informatiche utilizzate nei vari comparti (contabilita', fidi, segnalazioni, ecc.), il processo di alimentazione evidenziando le operazioni automatizzate e quelle effettuate manualmente, il grado di integrazione tra le procedure. 2. Descrivere i controlli (compresi quelli generati automaticamente dalle procedure) effettuati sulla qualita' dei dati. 3. Descrivere i presidi logici e fisici approntati per garantire la sicurezza del sistema informatico e la riservatezza dei dati (individuazione dei soggetti abilitati, gestione di userid e password, sistemi di back-up e di recovery, ecc.).