Gazzetta n. 172 del 24 luglio 2013 (vai al sommario) BANCA D'ITALIA COMUNICATO Nuove disposizioni di vigilanza prudenziale per le banche - Circolare n. 263 del 27 dicembre 2006 - 15° aggiornamento del 2 luglio 2013. Con il presente aggiornamento sono inseriti nel Titolo V della Circolare n. 263 del 27 dicembre 2006 «Nuove disposizioni di vigilanza prudenziale per le banche» il Capitolo 7 «Il sistema dei controlli interni», il Capitolo 8 «Il sistema informativo» e il Capitolo 9 «La continuita' operativa». Il Capitolo 7 definisce un quadro organico di principi e regole cui deve essere ispirato il sistema dei controlli interni, senza tuttavia esaurire le disposizioni organizzative applicabili alle banche. Le disposizioni ivi contenute, infatti, rappresentano la cornice di riferimento nella quale si inquadrano le regole sui controlli dettate all'interno di specifici ambiti disciplinari (ad es., regole organizzative in materia di gestione di singoli profili di rischio, di sistemi interni di misurazione dei rischi per il calcolo dei requisiti patrimoniali, di processo ICAAP, di prevenzione del rischio di riciclaggio) (c.d. modello «hub and spokes»). Le disposizioni introducono alcune novita' di rilievo rispetto al vigente quadro normativo, al fine di dotare le banche di un sistema dei controlli interni completo, adeguato, funzionale e affidabile. In particolare, le nuove norme enfatizzano il ruolo dell'organo con funzione di supervisione strategica nella definizione del modello di business e del Risk Appetite Framework; a tale organo e' richiesto anche di favorire la diffusione di una cultura dei controlli attraverso l'approvazione di un codice etico al quale sono tenuti a uniformarsi i componenti degli organi aziendali e i dipendenti. All'organo con funzione di gestione e' invece richiesto di avere un'approfondita comprensione di tutti i rischi aziendali e, nell'ambito di una gestione integrata, delle loro interrelazioni reciproche e con l'evoluzione del contesto esterno (incluso il rischio macroeconomico). Le disposizioni richiedono ai vertici delle banche di porre particolare attenzione alla definizione delle politiche e dei processi aziendali di maggiore rilievo, quali quelli riguardanti: la gestione dei rischi; la valutazione delle attivita' aziendali; l'approvazione di nuovi prodotti/servizi o dell'avvio di nuove attivita' nonche' dell'inserimento in nuovi mercati; lo sviluppo e la convalida dei modelli interni di misurazione dei rischi non utilizzati a fini regolamentari. La disciplina delle funzioni aziendali di controllo (internal audit, compliance e risk management) e' stata profondamente rivisitata; in particolare: - la nomina e la revoca dei responsabili delle funzioni aziendali di controllo sono di competenza esclusiva dell'organo con funzione di supervisione strategica, sentito l'organo con funzione di controllo; - i responsabili della funzione di controllo dei rischi (c.d. Chief Risk Officer) e della funzione di conformita' alle norme sono posti, almeno, alle dipendenze dell'organo con funzione di gestione, ferma restando la loro prerogativa di avere accesso diretto all'organo con funzione di supervisione strategica e all'organo con funzione di controllo. Il responsabile della funzione di revisione interna e', invece, sempre collocato a riporto gerarchico dell'organo con funzione di supervisione strategica; - le tre funzioni aziendali di controllo sono indipendenti dalle aree di business e fra loro separate. Se coerente con il principio di proporzionalita', e' consentito alle banche di istituire un'unica funzione di conformita' alle norme e di controllo dei rischi, ferma restando l'esigenza di mantenere in ogni caso separata la funzione di revisione interna per assicurare l'imparzialita' dei controlli di audit sulle altre funzioni di controllo; - i poteri della funzione di risk management sono stati rafforzati. La funzione, oltre a collaborare alla definizione del RAF, e' chiamata, tra l'altro, a fornire pareri preventivi sulla coerenza delle operazioni di maggiore rilievo con il RAF stesso. In caso di parere negativo, la decisione sull'operazione e' rimessa all'organo con funzione di gestione; - nell'ambito della disciplina sulla conformita' alle norme - fermo restando che il presidio sul rischio di non conformita' svolto dalla funzione di compliance si riferisce a tutte le disposizioni applicabili alle banche, incluse quelle di natura fiscale - il coinvolgimento della funzione e' graduato in relazione sia al rilievo che le singole norme hanno per l'attivita' svolta e per le conseguenze della loro violazione sia all'esistenza all'interno della banca di altre forme di presidio specializzato a fronte del rischio di non conformita' relativo a specifiche normative. Per assicurare il coordinamento e l'interazione tra le varie funzioni e organi con compiti di controllo (previsti dalla normativa societaria, contabile o di vigilanza), l'organo con funzione di supervisione strategica approva uno specifico documento in cui sono precisati compiti, responsabilita' e modalita' di coordinamento/collaborazione tra le varie funzioni di controllo coinvolte. E' stata, poi, introdotta una disciplina organica in materia di esternalizzazione. Le banche sono tenute a presidiare attentamente i rischi derivanti dall'esternalizzazione, mantenendo la capacita' di controllo e la responsabilita' delle attivita' esternalizzate nonche' le competenze essenziali per re-internalizzare le stesse in caso di necessita'. Disposizioni specifiche riguardano le condizioni per esternalizzare funzioni aziendali importanti o di controllo. Requisiti meno stringenti sono invece previsti nel caso di esternalizzazione all'interno di un gruppo bancario. Due specifici procedimenti amministrativi sono stati definiti per il divieto dell'esternalizzazione di funzioni operative importanti o di controllo, rispettivamente, al di fuori o all'interno del gruppo bancario (cfr. Sezioni IV e V); tali procedimenti integrano il Provvedimento del 25 giugno 2008, in materia di individuazione dei termini e delle unita' organizzative responsabili dei procedimenti amministrativi di competenza della Banca d'Italia. Il Capitolo 8 contiene la disciplina del sistema informativo che e' stata integralmente rivista, anche per recepire le principali evoluzioni emerse nel panorama internazionale. Sono stati, tra l'altro, disciplinati: la governance e l'organizzazione del sistema informativo; la gestione del rischio informatico; i requisiti per assicurare la sicurezza informatica e il sistema di gestione dei dati. Le disposizioni, inoltre, prevedono che nella definizione dei presidi di sicurezza per l'accesso a sistemi e servizi critici tramite il canale internet trovino applicazione le Raccomandazioni della BCE in materia di sicurezza dei pagamenti in internet. Il Capitolo 9 disciplina la materia della continuita' operativa, riorganizzando le disposizioni attualmente contenute in diverse fonti. Tra le novita' di maggiore rilievo, vi e' la formalizzazione del ruolo del CODISE, struttura per il coordinamento della gestione delle crisi operative della piazza finanziaria italiana presieduta dalla Banca d'Italia. Inoltre, e' stato definito un processo di rapida escalation da incidente a emergenza in modo da assicurare che la dichiarazione dello stato di crisi avvenga nel minor tempo possibile dalla rilevazione dell'incidente. Il tempo complessivo di ripristino non dovra' superare le quattro ore, inclusi i tempi per le fasi di analisi, decisionali, intervento tecnico e verifica. Le presenti disposizioni sono state sottoposte a consultazione pubblica e ad analisi di impatto della regolamentazione. Nel sito internet della Banca d'Italia sono pubblicati il resoconto della consultazione, la relazione sull'analisi di impatto e le osservazioni pervenute nella fase di consultazione. Il presente aggiornamento entra in vigore il giorno di pubblicazione sul sito internet della Banca d'Italia. Le banche si conformano alle disposizioni contenute nel Capitolo 7 (Il sistema dei controlli interni) entro il 1° luglio 2014 (data di efficacia), fatto salvo quanto segue: - con riferimento alle funzioni aziendali di controllo di secondo livello (risk management e compliance), le banche si conformano entro il 1° luglio 2015 (data di efficacia) a quanto previsto dalla Sezione III, par. 1, lett. b), secondo alinea, secondo periodo («linee di riporto dei responsabili di tali funzioni»); - con riferimento all'esternalizzazione di funzioni aziendali (Sezioni IV e V), le banche adeguano i contratti di esternalizzazione in essere alla data di entrata in vigore delle presenti disposizioni alla prima scadenza contrattuale e comunque entro tre anni dall'entrata in vigore (1° luglio 2016). Le banche si conformano alle disposizioni contenute nel Capitolo 8 (Il sistema informativo), incluse le raccomandazioni della BCE in materia di sicurezza dei pagamenti in internet, entro il 1° febbraio 2015 (data di efficacia). Le banche adeguano i contratti di esternalizzazione del sistema informativo (Sezione VI) in essere alla data di entrata in vigore delle presenti disposizioni alla prima scadenza contrattuale e comunque entro tre anni dall'entrata in vigore (1° luglio 2016). Le banche si conformano alle disposizioni contenute nel Capitolo 9 (La continuita' operativa) entro il 1° luglio 2014 (data di efficacia). Entro il 31 dicembre 2013 i destinatari della presente disciplina inviano alla Banca d'Italia una relazione recante un'autovalutazione della propria situazione aziendale rispetto alle previsioni della nuova normativa (gap analysis). La relazione indica altresi' le misure da adottare e la relativa scansione temporale per assicurare il pieno rispetto delle presenti disposizioni. Entro la stessa data, le banche comunicano alla Banca d'Italia i contratti di esternalizzazione in essere alla data di entrata in vigore delle presenti disposizioni e la relativa durata. Dalla data di efficacia delle norme contenute nei Capitoli 7 (Il sistema dei controlli interni), 8 (Il sistema informativo) e 9 (La continuita' operativa) sono abrogate le seguenti disposizioni: - Sistema dei controlli interni, compiti del collegio sindacale, contenute nelle «Istruzioni di vigilanza per le banche», Circolare n. 229 del 21 aprile 1999, Titolo IV, Capitolo 11, ad eccezione della Sezione V (Emissione e gestione di assegni bancari e postali); - Continuita' operativa in casi di emergenza (Comunicazione del luglio 2004, cfr. Bollettino di vigilanza n. 7 - luglio 2004); - La gestione e il controllo dei rischi. Ruolo degli organi aziendali, contenute nelle «Nuove disposizioni di vigilanza prudenziale per le banche», Circolare n. 263 del 27 dicembre 2006, Titolo I, Capitolo I, Parte Quarta; - Disposizioni di vigilanza - Requisiti particolari per la continuita' operativa dei processi a rilevanza sistemica (Comunicazione del marzo 2007, cfr. Bollettino di vigilanza n. 3 - marzo 2007); - Disposizioni di vigilanza - Esternalizzazione del trattamento del contante (Comunicazione del 7 maggio 2007), limitatamente agli aspetti concernenti le banche e le capogruppo di gruppi bancari; - Disposizioni di vigilanza - la funzione di conformita' (compliance) (Comunicazione del luglio 2007, cfr. Bollettino di vigilanza n. 7 - luglio 2007); - Comunicazione del 30 dicembre 2008 - Valutazione del merito di credito (cfr. Bollettino di vigilanza n. 12 - dicembre 2008), limitatamente agli aspetti concernenti le banche e le capogruppo di gruppi bancari. Il testo dell'aggiornamento e' disponibile sul sito informatico della Banca d'Italia all'indirizzo: http://www.bancaditalia.it/vigilanza/banche/normativa/disposizion i/vigprud. TITOLO V Capitolo 7 IL SISTEMA DEI CONTROLLI INTERNI Sezione I DISPOSIZIONI PRELIMINARI E PRINCIPI GENERALI 1. Premessa. Il sistema dei controlli interni e' un elemento fondamentale del complessivo sistema di governo delle banche; esso assicura che l'attivita' aziendale sia in linea con le strategie e le politiche aziendali e sia improntata a canoni di sana e prudente gestione. Le presenti disposizioni definiscono i principi e le linee guida cui il sistema dei controlli interni delle banche si deve uniformare; in quest'ambito, sono definiti i principi generali di organizzazione, indicati il ruolo e i compiti degli organi aziendali, delineate le caratteristiche e i compiti delle funzioni aziendali di controllo. La presente disciplina: - rappresenta la cornice generale del sistema dei controlli aziendali. In materia di istituti di vigilanza prudenziale, essa e' integrata e completata dalle specifiche disposizioni previste in materia (tecniche di attenuazione del rischio di credito ed operazioni di cartolarizzazione, processo ICAAP, informativa al pubblico, concentrazione dei rischi, gestione e controllo del rischio di liquidita', obbligazioni bancarie garantite, partecipazioni detenibili, attivita' di rischio e conflitti di interesse nei confronti di soggetti collegati, ecc.). Inoltre, alle banche che utilizzano, a fini prudenziali, sistemi interni di misurazione dei rischi diversi da quelli di base o standardizzati, si applicano anche le norme in materia di organizzazione e controlli interni previste dai rispettivi capitoli; - forma parte integrante del complesso di norme concernenti gli assetti di governo e controllo delle banche, quali le disposizioni di natura organizzativa in materia di: governo societario; information and communication technology; assetti proprietari; requisiti degli esponenti aziendali; trasparenza e correttezza delle relazioni tra banche e clienti; attivita' e servizi di investimento (1) ; prevenzione dell'utilizzo degli intermediari e degli altri soggetti che svolgono attivita' finanziaria a fini di riciclaggio e di finanziamento del terrorismo; usura. I presidi relativi al sistema dei controlli interni devono coprire ogni tipologia di rischio aziendale. La responsabilita' primaria e' rimessa agli organi aziendali, ciascuno secondo le rispettive competenze. L'articolazione dei compiti e delle responsabilita' degli organi e delle funzioni aziendali deve essere chiaramente definita. Le banche applicano le disposizioni secondo il principio di proporzionalita', cioe' tenuto conto della dimensione e complessita' operative, della natura dell'attivita' svolta, della tipologia dei servizi prestati. La Banca d'Italia, nell'ambito del processo di revisione e valutazione prudenziale, verifica la completezza, la adeguatezza, la funzionalita' (in termini di efficienza ed efficacia), la affidabilita' del sistema dei controlli interni delle banche. 2. Fonti normative. La materia e' regolata: - dalla direttiva del Parlamento europeo e del Consiglio 2013/36/UE del 26 giugno 2013, sull'accesso all'attivita' degli enti creditizi e sulla vigilanza prudenziale sugli enti creditizi e sulle imprese di investimento, che modifica la direttiva 2002/87/CE e abroga le direttive 2006/48/CE e 2006/49/CE; - dal Regolamento del Parlamento europeo e del Consiglio 2013/575/UE del 26 giugno 2013, relativo ai requisiti prudenziali per gli enti creditizi e le imprese di investimento e che modifica il regolamento (UE) n. 648/2012; - dai seguenti articoli del TUB: • art. 51, il quale prevede che le banche inviino alla Banca d'Italia, con le modalita' e i tempi da essa stabiliti, le segnalazioni periodiche nonche' ogni dato e documento richiesti; • art. 53, comma 1, lett. d), che attribuisce alla Banca d'Italia, in conformita' delle delibere del CICR, il potere di emanare disposizioni di carattere generale in materia di organizzazione amministrativa e contabile e controlli interni delle banche; • art. 67, comma 1, lett. d), che attribuisce alla Banca d'Italia, in conformita' delle delibere del CICR, il potere di impartire alla capogruppo di un gruppo bancario disposizioni concernenti il gruppo complessivamente considerato o i suoi componenti aventi ad oggetto l'organizzazione amministrativa e contabile e i controlli interni; - dalla delibera del CICR del 2 agosto 1996, come modificata dalla delibera del 23 marzo 2004, in materia di organizzazione amministrativa e contabile e controlli interni delle banche e dei gruppi bancari; - dal decreto del Ministro dell'Economia e delle finanze, Presidente del CICR del 5 agosto 2004 in materia, tra l'altro, di compiti e poteri degli organi sociali delle banche e dei gruppi bancari; - dalla decisione della BCE del 16 settembre 2010, n. 14, relativa al controllo dell'autenticita' e dell'idoneita' delle banconote in euro e al loro ricircolo; Si tiene anche conto dei seguenti documenti pubblicati da istituzioni comunitarie e organismi internazionali: EBA/CEBS: «Guidelines on the Application of the Supervisory Review Process under Pillar 2», 25 gennaio 2006; «Guidelines on outsourcing», 14 dicembre 2006; «Guidelines on the management of operational risks in market-related activities», 12 ottobre 2010; «Guidelines on Internal Governance», 27 settembre 2011; Basel Committee on Banking Supervision: «Fair value measurement and modelling: An assessment of challenges and lessons learned from market stress», giugno 2008; «Principle for enhancing corporate governance», ottobre 2010; «The internal audit function in banks», giugno 2012; «Core Principles for Effective Banking Supervision», settembre 2012; Financial Stability Board: «Enhancing Market and Institutional Resilience», 7 aprile 2008; «Thematic Review on Risk Governance», 12 febbraio 2013; European Systemic Risk Board (ESRB): «Raccomandazione in materia di prestiti in valuta estera (ESRB/2011/1)», 21 settembre 2011. 3. Definizioni. Ai fini delle presenti disposizioni si intendono per: a) «organo con funzione di supervisione strategica»: l'organo aziendale a cui - ai sensi del codice civile o per disposizione statutaria - sono attribuite funzioni di indirizzo della gestione dell'impresa, mediante, tra l'altro, esame e delibera in ordine ai piani industriali o finanziari ovvero alle operazioni strategiche; b) «organo con funzione di gestione»: l'organo aziendale o i componenti di esso a cui - ai sensi del codice civile o per disposizione statutaria - spettano o sono delegati compiti di gestione corrente, intesa come attuazione degli indirizzi deliberati nell'esercizio della funzione di supervisione strategica. Il direttore generale rappresenta il vertice della struttura interna e come tale partecipa alla funzione di gestione; c) «organo con funzione di controllo»: il collegio sindacale, il consiglio di sorveglianza o il comitato per il controllo sulla gestione; d) «organi aziendali»: il complesso degli organi con funzioni di supervisione strategica, di gestione e di controllo. La funzione di supervisione strategica e quella di gestione attengono, unitariamente, alla gestione dell'impresa e possono quindi essere incardinate nello stesso organo aziendale. Nei sistemi dualistico e monistico, in conformita' delle previsioni legislative, l'organo con funzione di controllo puo' svolgere anche quella di supervisione strategica; e) «funzione aziendale»: l'insieme dei compiti e delle responsabilita' assegnate per l'espletamento di una determinata fase dell'attivita' aziendale. Sulla base della rilevanza della fase svolta, la funzione e' incardinata presso una specifica unita' organizzativa; f) «funzione antiriciclaggio»: la funzione definita dal Provvedimento della Banca d'Italia del 10 marzo 2011 recante disposizioni attuative in materia di organizzazione, procedure e controlli interni volti a prevenire l'utilizzo degli intermediari e degli altri soggetti che svolgono attivita' finanziaria a fini di riciclaggio e di finanziamento del terrorismo, ai sensi dell'art. 7 comma 2 del Decreto Legislativo 21 novembre 2007, n. 231, Capitolo II, Sezione I; g) «funzioni aziendali di controllo»: la funzione di conformita' alle norme (compliance), la funzione di controllo dei rischi (risk management function) e la funzione di revisione interna (internal audit) (2) ; h) «funzioni di controllo»: l'insieme delle funzioni che per disposizione legislativa, regolamentare, statutaria o di autoregolamentazione hanno compiti di controllo; i) «funzione operativa importante»: una funzione operativa per la quale risulta verificata almeno una delle seguenti condizioni: • un'anomalia nella sua esecuzione o la sua mancata esecuzione possono compromettere gravemente: a) i risultati finanziari, la solidita' o la continuita' dell'attivita' della banca; ovvero b) la capacita' della banca di conformarsi alle condizioni e agli obblighi derivanti dalla sua autorizzazione o agli obblighi previsti dalla disciplina di vigilanza; • riguarda attivita' sottoposte a riserva di legge; • riguarda processi operativi delle funzioni aziendali di controllo o ha un impatto significativo sulla gestione dei rischi aziendali; j) «processo di gestione dei rischi»: l'insieme delle regole, delle procedure, delle risorse (umane, tecnologiche e organizzative) e delle attivita' di controllo volte a identificare, misurare o valutare, monitorare, prevenire o attenuare nonche' comunicare ai livelli gerarchici appropriati tutti i rischi assunti o assumibili (3) nei diversi segmenti, a livello di portafoglio di impresa e di gruppo, cogliendone, in una logica integrata, anche le interrelazioni reciproche e con l'evoluzione del contesto esterno; k) «risk appetite framerwork» - «RAF» (sistema degli obiettivi di rischio): il quadro di riferimento che definisce - in coerenza con il massimo rischio assumibile, il business model e il piano strategico - la propensione al rischio, le soglie di tolleranza, i limiti di rischio, le politiche di governo dei rischi, i processi di riferimento necessari per definirli e attuarli (cfr. Allegato C). Si forniscono, di seguito, le definizioni dei concetti rilevanti ai fini del RAF: • risk capacity (massimo rischio assumibile): il livello massimo di rischio che una banca e' tecnicamente in grado di assumere senza violare i requisiti regolamentari o gli altri vincoli imposti dagli azionisti o dall'autorita' di vigilanza; • risk appetite (obiettivo di rischio o propensione al rischio): il livello di rischio (complessivo e per tipologia) che la banca intende assumere per il perseguimento dei suoi obiettivi strategici; • risk tolerance (soglia di tollerenza): la devianza massima dal risk appetite consentita; la soglia di tolleranza e' fissata in modo da assicurare in ogni caso alla banca margini sufficienti per operare, anche in condizioni di stress, entro il massimo rischio assumibile. Nel caso in cui sia consentita l'assunzione di rischio oltre l'obiettivo di rischio fissato, fermo restando il rispetto della soglia di tolleranza, sono individuate le azioni gestionali necessarie per ricondurre il rischio assunto entro l'obiettivo prestabilito; • risk profile (rischio effettivo): il rischio effettivamente assunto, misurato in un determinato istante temporale; • risk limits (limiti di rischio): l'articolazione degli obiettivi di rischio in limiti operativi, definiti, in linea con il principio di proporzionalita', per tipologie di rischio, unita' e o linee di business, linee di prodotto, tipologie di clienti; l) «esternalizzazione»: l'accordo in qualsiasi forma tra una banca e un fornitore di servizi in base al quale il fornitore realizza un processo, un servizio o un'attivita' della stessa banca. 4. Destinatari della disciplina. Le presenti disposizioni si applicano, secondo quanto stabilito nel Titolo I, Capitolo 1, Parte Seconda: - alle banche autorizzate in Italia, ad eccezione delle succursali di banche extracomunitarie aventi sede nei paesi del Gruppo dei Dieci o in quelli inclusi in un elenco pubblicato dalla Banca d'Italia (4) ; - alle capogruppo di gruppi bancari; - alle imprese di riferimento, secondo quanto previsto dalla Sezione VI; - alle succursali di banche comunitarie e alle succursali di banche extracomunitarie aventi sede nei paesi del Gruppo dei Dieci o in quelli inclusi in un elenco pubblicato dalla Banca d'Italia, secondo quanto previsto dalla Sezione VII. 5. Unita' organizzative responsabili dei procedimenti amministrativi. Si indicano di seguito le unita' organizzative responsabili dei procedimenti amministrativi di cui al presente Capitolo, ai sensi dell'art. 9 del Regolamento della Banca d'Italia del 25 giugno 2008: - divieto dell'esternalizzazione di funzioni operative importanti o di controllo: Servizio Supervisione gruppi bancari, Servizio Supervisione intermediari specializzati, Filiale competente per territorio; - divieto dell'esternalizzazione di funzioni operative importanti o di controllo nell'ambito del gruppo di appartenenza: Servizio Supervisione gruppi bancari, Servizio Supervisione intermediari specializzati, Filiale competente per territorio. 6. Principi generali. Il sistema dei controlli interni e' costituito dall'insieme delle regole, delle funzioni, delle strutture, delle risorse, dei processi e delle procedure che mirano ad assicurare, nel rispetto della sana e prudente gestione, il conseguimento delle seguenti finalita': - verifica dell'attuazione delle strategie e delle politiche aziendali; - contenimento del rischio entro i limiti indicati nel quadro di riferimento per la determinazione della propensione al rischio della banca (Risk Appetite Framework - «RAF») (cfr. Allegato C); - salvaguardia del valore delle attivita' e protezione dalle perdite; - efficacia ed efficienza dei processi aziendali; - affidabilita' e sicurezza delle informazioni aziendali e delle procedure informatiche (5) ; - prevenzione del rischio che la banca sia coinvolta, anche involontariamente, in attivita' illecite (con particolare riferimento a quelle connesse con il riciclaggio, l'usura ed il finanziamento al terrorismo); - conformita' delle operazioni con la legge e la normativa di vigilanza, nonche' con le politiche, i regolamenti e le procedure interne. Il sistema dei controlli interni riveste un ruolo centrale nell'organizzazione aziendale: rappresenta un elemento fondamentale di conoscenza per gli organi aziendali in modo da garantire piena consapevolezza della situazione ed efficace presidio dei rischi aziendali e delle loro interrelazioni; orienta i mutamenti delle linee strategiche e delle politiche aziendali e consente di adattare in modo coerente il contesto organizzativo; presidia la funzionalita' dei sistemi gestionali e il rispetto degli istituti di vigilanza prudenziale; favorisce la diffusione di una corretta cultura dei rischi, della legalita' e dei valori aziendali. Per queste caratteristiche, il sistema dei controlli interni ha rilievo strategico; la cultura del controllo deve avere una posizione di rilievo nella scala dei valori aziendali: non riguarda solo le funzioni aziendali di controllo, ma coinvolge tutta l'organizzazione aziendale (organi aziendali, strutture, livelli gerarchici, personale), nello sviluppo e nell'applicazione di metodi, logici e sistematici, per identificare, misurare, comunicare, gestire i rischi. Per poter realizzare questo obiettivo, il sistema dei controlli interni deve in generale: - assicurare la completezza, l'adeguatezza, la funzionalita' (in termini di efficienza ed efficacia), l'affidabilita' del processo di gestione dei rischi e la sua coerenza con il RAF; - prevedere attivita' di controllo diffuse a ogni segmento operativo e livello gerarchico (6) ; - garantire che le anomalie riscontrate siano tempestivamente portate a conoscenza di livelli appropriati dell'impresa (agli organi aziendali, se significative) in grado di attivare tempestivamente gli opportuni interventi correttivi; - incorporare specifiche procedure per far fronte all'eventuale violazione di limiti operativi. A prescindere dalle strutture dove sono collocate, si possono individuare le seguenti tipologie di controllo: - controlli di linea (c.d. «controlli di primo livello»), diretti ad assicurare il corretto svolgimento delle operazioni. Essi sono effettuati dalle stesse strutture operative (ad es., controlli di tipo gerarchico, sistematici e a campione), anche attraverso unita' dedicate esclusivamente a compiti di controllo che riportano ai responsabili delle strutture operative, ovvero eseguiti nell'ambito del back office; per quanto possibile, essi sono incorporati nelle procedure informatiche. Le strutture operative sono le prime responsabili del processo di gestione dei rischi: nel corso dell'operativita' giornaliera tali strutture devono identificare, misurare o valutare, monitorare, attenuare e riportare i rischi derivanti dall'ordinaria attivita' aziendale in conformita' con il processo di gestione dei rischi; esse devono rispettare i limiti operativi loro assegnati coerentemente con gli obiettivi di rischio e con le procedure in cui si articola il processo di gestione dei rischi; - controlli sui rischi e sulla conformita' (c.d. «controlli di secondo livello»), che hanno l'obiettivo di assicurare, tra l'altro: a) la corretta attuazione del processo di gestione dei rischi; b) il rispetto dei limiti operativi assegnati alle varie funzioni; c) la conformita' dell'operativita' aziendale alle norme, incluse quelle di autoregolamentazione. Le funzioni preposte a tali controlli sono distinte da quelle produttive; esse concorrono alla definizione delle politiche di governo dei rischi e del processo di gestione dei rischi; - revisione interna (c.d. «controlli di terzo livello»), volta a individuare violazioni delle procedure e della regolamentazione nonche' a valutare periodicamente la completezza, l'adeguatezza, la funzionalita' (in termini di efficienza ed efficacia) e l'affidabilita' del sistema dei controlli interni e del sistema informativo (ICT audit), con cadenza prefissata in relazione alla natura e all'intensita' dei rischi. Presupposto di un sistema dei controlli interni completo e funzionale e' l'esistenza di una organizzazione aziendale adeguata per assicurare la sana e prudente gestione delle banche e l'osservanza delle disposizioni loro applicabili. A tal fine, rileva, in primo luogo, il corretto funzionamento del governo societario, le cui caratteristiche devono essere in linea con quanto previsto nelle disposizioni di vigilanza in materia di organizzazione e governo societario delle banche (7) . Inoltre, le banche rispettano i seguenti principi generali di organizzazione: - i processi decisionali e l'affidamento di funzioni al personale sono formalizzati e consentono l'univoca individuazione di compiti e responsabilita' e sono idonei a prevenire i conflitti di interessi. In tale ambito, deve essere assicurata la necessaria separatezza tra le funzioni operative e quelle di controllo; - le politiche e le procedure di gestione delle risorse umane assicurano che il personale sia provvisto delle competenze e della professionalita' necessarie per l'esercizio delle responsabilita' a esso attribuite; - il processo di gestione dei rischi e' efficacemente integrato. Sono considerati parametri di integrazione, riportati a titolo esemplificativo e non esaustivo: la diffusione di un linguaggio comune nella gestione dei rischi a tutti i livelli della banca; l'adozione di metodi e strumenti di rilevazione e valutazione tra di loro coerenti (ad es., un'unica tassonomia dei processi e un'unica mappa dei rischi); la definizione di modelli di reportistica dei rischi, al fine di favorirne la comprensione e la corretta valutazione, anche in una logica integrata; l'individuazione di momenti formalizzati di coordinamento ai fini della pianificazione delle rispettive attivita'; la previsione di flussi informativi su base continuativa tra le diverse funzioni in relazione ai risultati delle attivita' di controllo di propria pertinenza; la condivisione nella individuazione delle azioni di rimedio; - i processi e le metodologie di valutazione, anche a fini contabili, delle attivita' aziendali sono affidabili e integrati con il processo di gestione del rischio. A tal fine: la definizione e la convalida delle metodologie di valutazione sono affidate a unita' differenti; le metodologie di valutazione sono robuste, testate sotto scenari di stress e non fanno affidamento eccessivo su un'unica fonte informativa; la valutazione di uno strumento finanziario e' affidata a un'unita' indipendente rispetto a quella che negozia detto strumento; - le procedure operative e di controllo devono: minimizzare i rischi legati a frodi o infedelta' dei dipendenti; prevenire o, laddove non sia possibile, attenuare i potenziali conflitti d'interesse; prevenire il coinvolgimento, anche inconsapevole, in fatti di riciclaggio, usura o di finanziamento al terrorismo; - il sistema informativo rispetta la disciplina del Capitolo 8 (Il sistema informativo); - i livelli di continuita' operativa garantiti sono adeguati e conformi a quanto stabilito dal Capitolo 9 (La continuita' operativa). Le banche verificano regolarmente, con frequenza almeno annuale, il grado di aderenza ai requisiti del sistema dei controlli interni e dell'organizzazione e adottano le misure adeguate per rimediare a eventuali carenze. Sezione II IL RUOLO DEGLI ORGANI AZIENDALI 1. Premessa. Le banche assicurano la completezza, l'adeguatezza, la funzionalita' e l'affidabilita' del sistema dei controlli interni. In tale ambito, formalizzano il quadro di riferimento per la determinazione della propensione al rischio (Risk Appetite Framework - «RAF»), le politiche di governo dei rischi, il processo di gestione dei rischi, ne assicurano l'applicazione e procedono al loro riesame periodico per garantirne l'efficacia nel tempo. La responsabilita' primaria e' rimessa agli organi aziendali, ciascuno secondo le rispettive competenze. Nei successivi paragrafi si forniscono indicazioni minime circa il ruolo di ciascun organo aziendale nell'ambito del sistema dei controlli interni, anche al fine di chiarire i relativi compiti e responsabilita'. Tali indicazioni non esauriscono, pertanto, le cautele che possono essere adottate dai competenti organi aziendali nell'ambito della loro autonomia gestionale. 2. Organo con funzione di supervisione strategica. L'organo con funzione di supervisione strategica: - definisce e approva: a) il modello di business avendo consapevolezza dei rischi cui tale modello espone la banca e comprensione delle modalita' attraverso le quali i rischi sono rilevati e valutati; b) gli indirizzi strategici e provvede al loro riesame periodico, in relazione all'evoluzione dell'attivita' aziendale e del contesto esterno, al fine di assicurarne l'efficacia nel tempo; c) gli obiettivi di rischio, la soglia di tolleranza (ove identificata) e le politiche di governo dei rischi; d) le linee di indirizzo del sistema dei controlli interni, verificando che esso sia coerente con gli indirizzi strategici e la propensione al rischio stabiliti nonche' sia in grado di cogliere l'evoluzione dei rischi aziendali e l'interazione tra gli stessi; e) i criteri per individuare le operazioni di maggiore rilievo da sottoporre al vaglio preventivo della funzione di controllo dei rischi (cfr. Sezione III, par. 3.3.); - approva: a) la costituzione delle funzioni aziendali di controllo, i relativi compiti e responsabilita', le modalita' di coordinamento e collaborazione, i flussi informativi tra tali funzioni e tra queste e gli organi aziendali (cfr. anche par. 5); b) il processo di gestione del rischio e ne valuta la compatibilita' con gli indirizzi strategici e le politiche di governo dei rischi; c) le politiche e i processi di valutazione delle attivita' aziendali, e, in particolare, degli strumenti finanziari, verificandone la costante adeguatezza; stabilisce altresi' i limiti massimi all'esposizione della banca verso strumenti o prodotti finanziari di incerta o difficile valutazione; d) il processo per lo sviluppo e la convalida dei sistemi interni di misurazione dei rischi non utilizzati a fini regolamentari (8) (9) e ne valuta periodicamente il corretto funzionamento; e) il processo per l'approvazione di nuovi prodotti e servizi, l'avvio di nuove attivita', l'inserimento in nuovi mercati; f) la politica aziendale in materia di esternalizzazione di funzioni aziendali (cfr. Sezioni IV e V); g) al fine di attenuare i rischi operativi e di reputazione della banca e favorire la diffusione di una cultura dei controlli interni, un codice etico cui sono tenuti a uniformarsi i componenti degli organi aziendali e i dipendenti. Il codice definisce i principi di condotta (ad es., regole deontologiche e regole da osservare nei rapporti con i clienti) a cui deve essere improntata l'attivita' aziendale; - assicura che: a) la struttura della banca sia coerente con l'attivita' svolta e con il modello di business adottato, evitando la creazione di strutture complesse non giustificate da finalita' operative; b) il sistema dei controlli interni e l'organizzazione aziendale siano costantemente uniformati ai principi indicati nella Sezione I e che le funzioni aziendali di controllo possiedano i requisiti e rispettino le previsioni della Sezione III. Nel caso emergano carenze o anomalie, promuove con tempestivita' l'adozione di idonee misure correttive e ne valuta l'efficacia; c) l'attuazione del RAF sia coerente con gli obiettivi di rischio e la soglia di tolleranza (ove identificata) approvati; valuta periodicamente l'adeguatezza e l'efficacia del RAF e la compatibilita' tra il rischio effettivo e gli obiettivi di rischio; d) il piano strategico, il RAF, l'ICAAP, i budget e il sistema dei controlli interni siano coerenti, avuta anche presente l'evoluzione delle condizioni interne ed esterne in cui opera la banca; e) la quantita' e l'allocazione del capitale e della liquidita' detenuti siano coerenti con la propensione al rischio, le politiche di governo dei rischi e il processo di gestione dei rischi; - nel caso in cui la banca operi in giurisdizioni poco trasparenti o attraverso strutture particolarmente complesse, valuta i relativi rischi operativi, in particolare di natura legale, reputazionali e finanziari, individua i presidi per attenuarli e ne assicura il controllo effettivo; - con cadenza almeno annuale, approva il programma di attivita', compreso il piano di audit predisposto dalla funzione di revisione interna (cfr. Sezione III, par. 2), ed esamina le relazioni annuali predisposte dalle funzioni aziendali di controllo. Approva altresi' il piano di audit pluriennale. Si indicano, infine, i compiti dell'organo con funzione di supervisione strategica con riguardo a taluni profili specifici: - con riferimento al processo ICAAP, definisce e approva le linee generali del processo, ne assicura la coerenza con il RAF e l'adeguamento tempestivo in relazione a modifiche significative delle linee strategiche, dell'assetto organizzativo, del contesto operativo di riferimento; promuove il pieno utilizzo delle risultanze dell'ICAAP a fini strategici e nelle decisioni d'impresa; - riguardo ai rischi di credito e di controparte, approva le linee generali del sistema di gestione delle tecniche di attenuazione del rischio che presiede all'intero processo di acquisizione, valutazione, controllo e realizzo degli strumenti di attenuazione del rischio utilizzati. Nel caso di banche che adottano sistemi interni di misurazione dei rischi per la determinazione dei requisiti patrimoniali, l'organo con funzione di supervisione strategica svolge anche i seguenti compiti: - approva l'adozione dei suddetti sistemi. In particolare, approva la scelta del sistema ritenuto idoneo e il relativo progetto in cui sono pianificate le attivita' connesse con la sua predisposizione e messa in opera, individuate le responsabilita', definiti i tempi di realizzazione, determinati gli investimenti previsti in termini di risorse umane, finanziarie e tecnologiche; - verifica periodicamente che le scelte effettuate mantengano nel tempo la loro validita', approvando i cambiamenti sostanziali al sistema e provvedendo alla complessiva supervisione sul corretto funzionamento dello stesso; - vigila, con il supporto delle competenti funzioni, sull'effettivo utilizzo dei sistemi interni a fini gestionali (use test) e sulla loro rispondenza agli altri requisiti previsti dalla normativa; - con cadenza almeno annuale, esamina i riferimenti forniti dalla funzione di convalida e assume, col parere dell'organo con funzione di controllo, formale delibera con la quale attesta il rispetto dei requisiti previsti per l'utilizzo dei sistemi. 3. Organo con funzione di gestione. L'organo con funzione di gestione ha la comprensione di tutti i rischi aziendali, inclusi i possibili rischi di malfunzionamento dei sistemi interni di misurazione (c.d. «rischio di modello»), e, nell'ambito di una gestione integrata, delle loro interrelazioni reciproche e con l'evoluzione del contesto esterno. In tale ambito, e' in grado di individuare e valutare i fattori, inclusa la complessita' della struttura organizzativa, da cui possono scaturire rischi per la banca. Tale organo cura l'attuazione degli indirizzi strategici, del RAF e delle politiche di governo dei rischi definiti dall'organo con funzione di supervisione strategica ed e' responsabile per l'adozione di tutti gli interventi necessari ad assicurare l'aderenza dell'organizzazione e del sistema dei controlli interni ai principi e requisiti di cui alle Sezioni I e III, monitorandone nel continuo il rispetto. In particolare, l'organo con funzione di gestione: - definisce e cura l'attuazione del processo di gestione dei rischi. In tale ambito: a) stabilisce limiti operativi all'assunzione delle varie tipologie di rischio, coerenti con la propensione al rischio, tenendo esplicitamente conto dei risultati delle prove di stress e dell'evoluzione del quadro economico. Inoltre, nell'ambito della gestione dei rischi, limita l'affidamento sui rating esterni, assicurando che, per ciascuna tipologia di rischio, siano condotte adeguate e autonome analisi interne; b) agevola lo sviluppo e la diffusione a tutti i livelli di una cultura del rischio integrata in relazione alle diverse tipologie di rischi ed estesa a tutta la banca. In particolare, sono sviluppati e attuati programmi di formazione per sensibilizzare i dipendenti in merito alle responsabilita' in materia di rischi in modo da non confinare il processo di gestione del rischio agli specialisti o alle funzioni di controllo; c) stabilisce le responsabilita' delle strutture e delle funzioni aziendali coinvolte nel processo di gestione dei rischi, in modo che siano chiaramente attribuiti i relativi compiti e siano prevenuti potenziali conflitti d'interessi; assicura, altresi', che le attivita' rilevanti siano dirette da personale qualificato, con adeguato grado di autonomia di giudizio e in possesso di esperienze e conoscenze adeguate ai compiti da svolgere; d) esamina le operazioni di maggior rilievo oggetto di parere negativo da parte della funzione di controllo dei rischi e, se del caso, le autorizza (cfr. Sezione III, par. 3.3.); di tali operazioni informa l'organo con funzione di supervisione strategica e l'organo con funzione di controllo; - definisce e cura l'attuazione del processo (responsabili, procedure, condizioni) per approvare gli investimenti in nuovi prodotti, la distribuzione di nuovi prodotti o servizi ovvero l'avvio di nuove attivita' o l'ingresso in nuovi mercati. Il processo: a) assicura che vengano pienamente valutati i rischi derivanti dalla nuova operativita', che detti rischi siano coerenti con la propensione al rischio e che la banca sia in grado di gestirli; b) definisce le fasce di clientela a cui si intendono distribuire nuovi prodotti o servizi in relazione alla complessita' degli stessi e a eventuali vincoli normativi esistenti; c) consente di stimare gli impatti della nuova operativita' in termini di costi, ricavi, risorse (umane, organizzative e tecnologiche) nonche' di valutare gli impatti sulle procedure amministrative e contabili della banca; d) individua le eventuali modifiche da apportare al sistema dei controlli interni; - definisce e cura l'attuazione della politica aziendale in materia di esternalizzazione di funzioni aziendali (cfr. Sezioni IV e V); - definisce e cura l'attuazione dei processi e delle metodologie di valutazione delle attivita' aziendali, e, in particolare, degli strumenti finanziari; ne cura il loro costante aggiornamento; - definisce i flussi informativi interni volti ad assicurare agli organi aziendali e alle funzioni aziendali di controllo la piena conoscenza e governabilita' dei fattori di rischio e la verifica del rispetto del RAF; - nell'ambito del RAF, se e' stata definita la soglia di tolleranza, autorizza il superamento della propensione al rischio entro il limite rappresentato dalla soglia di tolleranza e provvede a darne pronta informativa all'organo con funzione di supervisione strategica, individuando le azioni gestionali necessarie per ricondurre il rischio assunto entro l'obiettivo prestabilito; - pone in essere le iniziative e gli interventi necessari per garantire nel continuo la completezza, l'adeguatezza, la funzionalita' e l'affidabilita' del sistema dei controlli interni e porta i risultati delle verifiche effettuate a conoscenza dell'organo con funzione di supervisione strategica; - predispone e attua i necessari interventi correttivi o di adeguamento nel caso emergano carenze o anomalie, o a seguito dell'introduzione di nuovi prodotti, attivita', servizi o processi rilevanti; - assicura: a) la coerenza del processo di gestione dei rischi con la propensione al rischio e le politiche di governo dei rischi, avuta anche presente l'evoluzione delle condizioni interne ed esterne in cui opera la banca; b) una corretta, tempestiva e sicura gestione delle informazioni a fini contabili, gestionali e di reporting. Si indicano, infine, i compiti dell'organo con funzione di gestione con riguardo a taluni profili specifici: - con riferimento al processo ICAAP, da' attuazione a tale processo curando che lo stesso sia rispondente agli indirizzi strategici e la RAF e che soddisfi i seguenti requisiti: consideri tutti i rischi rilevanti; incorpori valutazioni prospettiche; utilizzi appropriate metodologie; sia conosciuto e condiviso dalle strutture interne; sia adeguatamente formalizzato e documentato; individui i ruoli e le responsabilita' assegnate alle funzioni e alle strutture aziendali; sia affidato a risorse competenti, sufficienti sotto il profilo quantitativo, collocate in posizione gerarchica adeguata a far rispettare la pianificazione; sia parte integrante dell'attivita' gestionale; - con specifico riferimento ai rischi di credito e di controparte, in linea con gli indirizzi strategici, approva specifiche linee guida volte ad assicurare l'efficacia del sistema di gestione delle tecniche di attenuazione del rischio e a garantire il rispetto dei requisiti generali e specifici di tali tecniche. Nel caso di banche che adottano sistemi interni di misurazione dei rischi per la determinazione dei requisiti patrimoniali, l'organo con funzione di gestione svolge anche i seguenti compiti: - e' responsabile dell'impianto e del funzionamento del sistema prescelto; per svolgere tale compito i componenti dell'organo possiedono un'adeguata conoscenza degli aspetti rilevanti; - impartisce le disposizioni necessarie affinche' il sistema prescelto sia realizzato secondo le linee strategiche individuate, assegnando compiti e responsabilita' alle diverse funzioni aziendali e assicurando la formalizzazione e la documentazione delle fasi del processo di gestione del rischio; - cura che i sistemi di misurazione dei rischi siano integrati nei processi decisionali e nella gestione dell'operativita' aziendale (use test); - tiene conto, nello svolgimento dei compiti assegnati, delle osservazioni emerse a seguito del processo di convalida e delle verifiche condotte dalla revisione interna. 4. Organo con funzione di controllo. L'organo con funzione di controllo ha la responsabilita' di vigilare sulla completezza, adeguatezza, funzionalita' e affidabilita' del sistema dei controlli interni e del RAF. Nell'espletamento di tale compito, l'organo con funzione di controllo vigila sul rispetto delle previsioni di cui i) alla presente Sezione, ii) alle Sezioni I e III e iii) al processo ICAAP. Per lo svolgimento delle proprie attribuzioni, tale organo dispone di adeguati flussi informativi da parte degli altri organi aziendali e delle funzioni di controllo. L'organo con funzione di controllo svolge, di norma, le funzioni dell'organismo di vigilanza - eventualmente istituito ai sensi del d.lgs. n. 231/2001, in materia di responsabilita' amministrativa degli enti - che vigila sul funzionamento e l'osservanza dei modelli di organizzazione e di gestione di cui si dota la banca per prevenire i reati rilevanti ai fini del medesimo decreto legislativo (10) . Le banche possono affidare tali funzioni a un organismo appositamente istituito dandone adeguata motivazione. Considerata la pluralita' di funzioni aventi, all'interno dell'azienda, compiti e responsabilita' di controllo, l'organo con funzione di controllo e' tenuto ad accertare l'adeguatezza di tutte le funzioni coinvolte nel sistema dei controlli, il corretto assolvimento dei compiti e l'adeguato coordinamento delle medesime, promuovendo gli interventi correttivi delle carenze e delle irregolarita' rilevate (11) . Nelle banche che adottano sistemi interni di misurazione dei rischi per la determinazione dei requisiti patrimoniali, l'organo con funzione di controllo, avvalendosi dell'apporto delle funzioni aziendali di controllo, vigila - nell'ambito della piu' generale attivita' di verifica del processo di gestione dei rischi - sulla completezza, adeguatezza, funzionalita', affidabilita', dei sistemi stessi e sulla loro rispondenza ai requisiti previsti dalla normativa. 5. Il coordinamento delle funzioni di controllo. Il corretto funzionamento del sistema dei controlli interni si basa sulla proficua interazione nell'esercizio dei compiti (d'indirizzo, di attuazione, di verifica, di valutazione) fra gli organi aziendali, gli eventuali comitati costituiti all'interno di questi ultimi (12) , i soggetti incaricati della revisione legale dei conti, le funzioni di controllo. L'ordinamento e le fonti di autoregolamentazione attribuiscono, poi, compiti di controllo a specifiche funzioni - diverse dalle funzioni aziendali di controllo - o a comitati interni all'organo amministrativo, la cui attivita' va inquadrata in modo coerente nel sistema dei controlli interni. In particolare, rilevano: - l'organismo di vigilanza eventualmente istituito ai sensi del d.lgs. n. 231/2001; - per le banche con azioni quotate, il dirigente preposto alla redazione dei documenti contabili societari (art. 154-bis del TUF), il quale, tra l'altro, ha il compito di stabilire adeguate procedure amministrative e contabili per la predisposizione del bilancio e di ogni altra comunicazione di carattere finanziario. Inoltre, il Codice di autodisciplina della Borsa Italiana, a cui le banche quotate possono aderire su base volontaria, introduce principi e criteri applicativi riguardo al sistema di controllo interno e di gestione dei rischi, che prevedono, tra l'altro, la designazione di uno o piu' amministratori incaricati del sistema di controllo interno e di gestione dei rischi e l'istituzione, in seno all'organo amministrativo, di un comitato controllo e rischi. Per assicurare una corretta interazione tra tutte le funzioni e organi con compiti di controllo, evitando sovrapposizioni o lacune, l'organo con funzione di supervisione strategica approva un documento, diffuso a tutte le strutture interessate, nel quale sono definiti i compiti e le responsabilita' dei vari organi e funzioni di controllo, i flussi informativi tra le diverse funzioni/organi e tra queste/i e gli organi aziendali e, nel caso in cui gli ambiti di controllo presentino aree di potenziale sovrapposizione o permettano di sviluppare sinergie, le modalita' di coordinamento e di collaborazione. A titolo esemplificativo, nell'attivita' dell'organismo di vigilanza, che attiene in generale all'adempimento di leggi e regolamenti, puo' essere proficuo uno stretto raccordo, in termini sia di suddivisione di attivita' che di condivisione di informazioni, con le funzioni di conformita' alle norme e di revisione interna. Nel definire le modalita' di raccordo, ferme restando le attribuzioni previste dalla legge per le funzioni di controllo, le banche prestano attenzione a non alterare, anche nella sostanza, le responsabilita' primarie degli organi aziendali sul sistema dei controlli interni. Sezione III FUNZIONI AZIENDALI DI CONTROLLO 1. Istituzione delle funzioni aziendali di controllo. Ferma restando l'autonoma responsabilita' aziendale per le scelte effettuate in materia di assetto dei controlli interni, le banche istituiscono, secondo quanto di seguito indicato, funzioni aziendali di controllo permanenti e indipendenti: i) di conformita' alle norme (compliance); ii) di controllo dei rischi (risk management); iii) di revisione interna (internal audit). Le prime due funzioni attengono ai controlli di secondo livello, la revisione interna ai controlli di terzo livello. Per assicurare l'indipendenza delle funzioni aziendali di controllo: a) tali funzioni dispongono dell'autorita', delle risorse e delle competenze necessarie per lo svolgimento dei loro compiti. Alle funzioni e' consentito di avere accesso ai dati aziendali e a quelli esterni necessari per svolgere in modo appropriato i propri compiti. Le risorse economiche, eventualmente attivabili in autonomia, permettono, tra l'altro, alle funzioni aziendali di controllo di ricorrere a consulenze esterne. Il personale e' adeguato per numero, competenze tecnico-professionali, aggiornamento, anche attraverso l'inserimento di programmi di formazione nel continuo. Al fine di garantire la formazione di competenze trasversali e di acquisire una visione complessiva e integrata dell'attivita' di controllo svolta dalla funzione, la banca formalizza e incentiva programmi di rotazione delle risorse, tra le funzioni aziendali di controllo; b) i responsabili: • possiedono requisiti di professionalita' adeguati; • sono collocati in posizione gerarchico-funzionale adeguata. In particolare, i responsabili delle funzioni di controllo dei rischi e di conformita' alle norme sono collocati alle dirette dipendenze dell'organo con funzione di gestione o dell'organo con funzione di supervisione strategica; il responsabile della funzione di revisione interna e' collocato sempre alle dirette dipendenze dell'organo con funzione di supervisione strategica; • non hanno responsabilita' diretta di aree operative sottoposte a controllo ne' sono gerarchicamente subordinati ai responsabili di tali aree; • sono nominati e revocati (motivandone le ragioni) dall'organo con funzione di supervisione strategica, sentito l'organo con funzione di controllo (13) . Il responsabile di funzioni aziendali di controllo puo' essere un componente dell'organo amministrativo, purche' sia destinatario di specifiche deleghe in materia di controlli e non sia destinatario di altre deleghe che ne pregiudichino l'autonomia; • riferiscono direttamente agli organi aziendali. In particolare, i responsabili della funzione di controllo dei rischi e della funzione di conformita' alle norme hanno, in ogni caso, accesso diretto all'organo con funzione di supervisione strategica e all'organo con funzione di controllo e comunicano con essi senza restrizioni o intermediazioni; il responsabile della funzione di revisione interna ha accesso diretto all'organo con funzione di controllo e comunica con esso senza restrizioni o intermediazioni; c) il personale che partecipa alle funzioni aziendali di controllo non e' coinvolto in attivita' che tali funzioni sono chiamate a controllare. Nel rispetto di tale principio, nelle banche di dimensioni contenute o caratterizzate da una limitata complessita' operativa, il personale incaricato di compiti attinenti al controllo di conformita' alle norme o al controllo dei rischi, qualora non sia inserito nelle relative funzioni aziendali di controllo, puo' essere integrato in aree operative diverse; in questi casi, tale personale riferisce direttamente ai responsabili delle funzioni aziendali di controllo per le questioni attinenti ai compiti di tali funzioni; d) le funzioni aziendali di controllo sono tra loro separate, sotto un profilo organizzativo. I rispettivi ruoli e responsabilita' sono formalizzati; e) i criteri di remunerazione del personale che partecipa alle funzioni aziendali di controllo non ne compromettono l'obiettivita' e concorrono a creare un sistema di incentivi coerente con le finalita' della funzione svolta (14) . Se coerente con il principio di proporzionalita', le banche possono, a condizione che i controlli sulle diverse tipologie di rischio continuino ad essere efficaci: - affidare a un'unica struttura lo svolgimento della funzione di conformita' alle norme e della funzione di controllo dei rischi; - affidare lo svolgimento delle funzioni aziendali di controllo all'esterno, secondo quanto previsto dalle disposizioni in materia di esternalizzazione previste nella Sezione IV e, per quanto riguarda l'esternalizzazione all'interno dei gruppi bancari, nella Sezione V. Tenuto conto che le funzioni di conformita' alle norme e di controllo dei rischi devono essere sottoposte a verifica periodica da parte della funzione di revisione interna (controllo di terzo livello), per assicurare l'imparzialita' delle verifiche, le funzioni di conformita' alle norme e di gestione dei rischi non possono essere affidate alla funzione di revisione interna. 2. Programmazione e rendicontazione dell'attivita' di controllo. Per ciascuna funzione aziendale di controllo, la regolamentazione interna indica responsabilita', compiti, modalita' operative, flussi informativi, programmazione dell'attivita' di controllo. In particolare: - le funzioni di conformita' alle norme e di controllo dei rischi presentano annualmente agli organi aziendali, ciascuna in base alle rispettive competenze, un programma di attivita', in cui sono identificati e valutati i principali rischi a cui la banca e' esposta e sono programmati i relativi interventi di gestione. La programmazione degli interventi tiene conto sia delle eventuali carenze emerse nei controlli, sia di eventuali nuovi rischi identificati; - la funzione di revisione interna presenta annualmente agli organi aziendali un piano di audit, che indica le attivita' di controllo pianificate, tenuto conto dei rischi delle varie attivita' e strutture aziendali; il piano contiene una specifica sezione relativa all'attivita' di revisione del sistema informativo (ICT auditing). Al termine del ciclo gestionale, con cadenza quindi annuale, le funzioni aziendali di controllo: - presentano agli organi aziendali una relazione dell'attivita' svolta, che illustra le verifiche effettuate, i risultati emersi, i punti di debolezza rilevati e propongono gli interventi da adottare per la loro rimozione; - riferiscono, ciascuna per gli aspetti di rispettiva competenza, in ordine alla completezza, adeguatezza, funzionalita' e affidabilita' del sistema dei controlli interni. In ogni caso, le funzioni aziendali di controllo informano tempestivamente gli organi aziendali su ogni violazione o carenza rilevante riscontrate (ad es., violazioni che possono comportare un alto rischio di sanzioni regolamentari o legali, perdite finanziarie di rilievo o significativi impatti sulla situazione finanziaria o patrimoniale, danni di reputazione, malfunzionamenti di procedure informatiche critiche). 3. Requisiti specifici delle funzioni aziendali di controllo. 3.1. Premessa. Nei paragrafi seguenti si stabiliscono, in via generale, le responsabilita' e i principali compiti di ciascuna delle funzioni aziendali di controllo (15) . Indicazioni piu' specifiche concernenti le responsabilita' e i compiti di tali funzioni relativamente a ciascuna singola categoria di rischio, ambiti operativi o attivita' particolari sono riportate nelle relative discipline (cfr. Sezione I, par. 1). 3.2. Funzione di conformita' alle norme (compliance). Il rischio di non conformita' alle norme e' il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (leggi, regolamenti) ovvero di autoregolamentazione (ad es., statuti, codici di condotta, codici di autodisciplina). Poiche' il rischio di non conformita' alle norme e' diffuso a tutti livelli dell'organizzazione aziendale, soprattutto nell'ambito delle linee operative, l'attivita' di prevenzione deve svolgersi in primo luogo dove il rischio viene generato: e' pertanto necessaria un'adeguata responsabilizzazione di tutto il personale. La funzione di conformita' alle norme presiede, secondo un approccio risk based, alla gestione del rischio di non conformita' con riguardo a tutta l'attivita' aziendale, verificando che le procedure interne siano adeguate a prevenire tale rischio. A tal fine, e' necessario che la funzione di conformita' alle norme abbia accesso a tutte le attivita' della banca, centrali e periferiche, e a qualsiasi informazione a tal fine rilevante, anche attraverso il colloquio diretto con il personale. I principali adempimenti che la funzione di conformita' alle norme e' chiamata a svolgere sono: - l'ausilio alle strutture aziendali per la definizione delle metodologie di valutazione dei rischi di non conformita' alle norme; - l'individuazione di idonee procedure per la prevenzione del rischio rilevato, con possibilita' di richiederne l'adozione; la verifica della loro adeguatezza e corretta applicazione; - l'identificazione nel continuo delle norme applicabili alla banca e la misurazione/valutazione del loro impatto su processi e procedure aziendali; - la proposta di modifiche organizzative e procedurali finalizzate ad assicurare un adeguato presidio dei rischi di non conformita' identificati; - la predisposizione di flussi informativi diretti agli organi aziendali e alle strutture coinvolte (ad es.: gestione del rischio operativo e revisione interna); - la verifica dell'efficacia degli adeguamenti organizzativi (strutture, processi, procedure anche operative e commerciali) suggeriti per la prevenzione del rischio di non conformita' alle norme. Per le norme piu' rilevanti ai fini del rischio di non conformita', quali quelle che riguardano l'esercizio dell'attivita' bancaria e di intermediazione, la gestione dei conflitti di interesse, la trasparenza nei confronti della clientela e, piu' in generale, la disciplina posta a tutela del consumatore, e per quelle norme per le quali non siano gia' previste forme di presidio specializzato all'interno della banca, la funzione e' direttamente responsabile della gestione del rischio di non conformita'. Con riferimento ad altre normative per le quali siano gia' previste forme specifiche di presidio specializzato (ad es.: normativa sulla sicurezza sul lavoro, in materia di trattamento dei dati personali), la banca, in base a una valutazione dell'adeguatezza dei controlli specialistici a gestire i profili di rischio di non conformita', puo' graduare i compiti della compliance, che comunque e' responsabile, in collaborazione con le funzioni specialistiche incaricate, almeno della definizione delle metodologie di valutazione del rischio di non conformita' e della individuazione delle relative procedure, e procede alla verifica dell'adeguatezza delle procedure medesime a prevenire il rischio di non conformita'. La banca puo' adottare tale approccio anche con riferimento al presidio del rischio di non conformita' alle normative di natura fiscale (16) , che richiede almeno: (i) la definizione di procedure (17) volte a prevenire violazioni o elusioni di tale normativa e ad attenuare i rischi connessi a situazioni che potrebbero integrare fattispecie di abuso del diritto, in modo da minimizzare le conseguenze sia sanzionatorie, sia reputazionali derivanti dalla non corretta applicazione della normativa fiscale; (ii) la verifica dell'adeguatezza di tali procedure e della loro idoneita' a realizzare effettivamente l'obiettivo di prevenire il rischio di non conformita'. Ferme restando le responsabilita' della funzione di compliance per l'espletamento dei compiti previsti da normative specifiche (quali, ad es., le discipline in materia di politiche e prassi di remunerazione e incentivazione, di trasparenza delle operazioni e correttezza delle relazioni tra intermediari e clienti e di attivita' di rischio e conflitti di interesse nei confronti di soggetti collegati), altre aree di intervento sono: - il coinvolgimento nella valutazione ex ante della conformita' alla regolamentazione applicabile di tutti i progetti innovativi (inclusa l'operativita' in nuovi prodotti o servizi) che la banca intenda intraprendere nonche' nella prevenzione e nella gestione dei conflitti di interesse sia tra le diverse attivita' svolte dalla banca, sia con riferimento ai dipendenti e agli esponenti aziendali; - la consulenza e assistenza nei confronti degli organi aziendali della banca in tutte le materie in cui assume rilievo il rischio di non conformita' nonche' la collaborazione nell'attivita' di formazione del personale sulle disposizioni applicabili alle attivita' svolte, al fine di diffondere una cultura aziendale improntata ai principi di onesta', correttezza e rispetto dello spirito e della lettera delle norme. Sotto il profilo organizzativo, tenuto conto dei molteplici profili professionali richiesti per l'espletamento di tali adempimenti, le varie fasi in cui si articola l'attivita' della funzione di conformita' alle norme possono essere affidate a risorse appartenenti ad altre strutture organizzative (ad es., legale, organizzazione, gestione del rischio operativo), purche' il processo di gestione del rischio e l'operativita' della funzione siano ricondotti ad unita' mediante la nomina di un responsabile che coordini e sovrintenda alle diverse attivita'. 3.3. Funzione di controllo dei rischi (risk management function). La funzione di controllo dei rischi ha la finalita' di collaborare alla definizione e all'attuazione del RAF e delle relative politiche di governo dei rischi, attraverso un adeguato processo di gestione dei rischi (18) . La funzione di controllo dei rischi deve essere organizzata in modo da perseguire in maniera efficiente ed efficace tale obiettivo. Essa puo' essere variamente articolata, ad esempio in relazione ai singoli profili di rischio (di credito, di mercato, operativo, modello, ecc.), purche' la banca mantenga una visione d'insieme dei diversi rischi e della loro reciproca interazione. Le banche che adottano sistemi interni per la misurazione dei rischi, se coerente con la natura, la dimensione e la complessita' dell'attivita' svolta, individuano all'interno della funzione di controllo dei rischi unita' preposte alla convalida di detti sistemi indipendenti dalle unita' responsabili dello sviluppo degli stessi. Specie nelle banche piu' complesse, puo' essere prevista la costituzione di specifici comitati di gestione dei diversi profili di rischio (ad es., comitati per i rischi di credito e operativi, comitato di liquidita', comitato finanza, comitato per l'asset and liability management), definendo in modo chiaro le diverse responsabilita' e le modalita' di intervento e di partecipazione della funzione, in modo da garantirne la completa indipendenza dal processo di assunzione dei rischi; va inoltre evitato che l'istituzione di tali comitati possa depotenziare le prerogative della funzione di controllo dei rischi. Al tempo stesso, vanno individuate soluzioni organizzative che non determinino una eccessiva distanza dal contesto operativo. Per la piena consapevolezza dei rischi e' necessario che vi sia una continua interazione critica con le unita' di business. La funzione di controllo dei rischi: - e' coinvolta nella definizione del RAF, delle politiche di governo dei rischi e delle varie fasi che costituiscono il processo di gestione dei rischi nonche' nella fissazione dei limiti operativi all'assunzione delle varie tipologie di rischio. In tale ambito, ha, tra l'altro, il compito di proporre i parametri quantitativi e qualitativi necessari per la definizione del RAF, che fanno riferimento anche a scenari di stress e, in caso di modifiche del contesto operativo interno ed esterno della banca, l'adeguamento di tali parametri; - verifica l'adeguatezza del RAF; - verifica nel continuo l'adeguatezza del processo di gestione dei rischi e dei limiti operativi; - fermo restando quanto previsto nell'ambito della disciplina dei sistemi interni per il calcolo dei requisiti patrimoniali, e' responsabile dello sviluppo, della convalida e del mantenimento dei sistemi di misurazione e controllo dei rischi assicurando che siano sottoposti a backtesting periodici, che vengano analizzati un appropriato numero di scenari e che siano utilizzate ipotesi conservative sulle dipendenze e sulle correlazioni; nella misurazione dei rischi tiene conto in generale del rischio di modello e dell'eventuale incertezza nella valutazione di alcune tipologie di strumenti finanziari e informa di queste incertezze l'organo con funzione di gestione; - definisce metriche comuni di valutazione dei rischi operativi coerenti con il RAF, coordinandosi con la funzione di conformita' alle norme, con la funzione ICT e con la funzione di continuita' operativa; - definisce modalita' di valutazione e controllo dei rischi reputazionali, coordinandosi con la funzione di conformita' alle norme e le funzioni aziendali maggiormente esposte; - coadiuva gli organi aziendali nella valutazione del rischio strategico monitorando le variabili significative; - assicura la coerenza dei sistemi di misurazione e controllo dei rischi con i processi e le metodologie di valutazione delle attivita' aziendali, coordinandosi con le strutture aziendali interessate; - sviluppa e applica indicatori in grado di evidenziare situazioni di anomalia e di inefficienza dei sistemi di misurazione e controllo dei rischi; - analizza i rischi dei nuovi i prodotti e servizi e di quelli derivanti dall'ingresso in nuovi segmenti operativi e di mercato; - da' pareri preventivi sulla coerenza con il RAF delle operazioni di maggiore rilievo eventualmente acquisendo, in funzione della natura dell'operazione, il parere di altre funzioni coinvolte nel processo di gestione dei rischi; - monitora costantemente il rischio effettivo assunto dalla banca e la sua coerenza con gli obiettivi di rischio nonche' il rispetto dei limiti operativi assegnati alle strutture operative in relazione all'assunzione delle varie tipologie di rischio; - verifica il corretto svolgimento del monitoraggio andamentale sulle singole esposizioni creditizie (cfr. Allegato A, par. 2); - verifica l'adeguatezza e l'efficacia delle misure prese per rimediare alle carenze riscontrate nel processo di gestione del rischio. 3.4. Funzione di revisione interna (internal audit). La funzione di revisione interna e' volta, da un lato, a controllare, in un'ottica di controlli di terzo livello, anche con verifiche in loco, il regolare andamento dell'operativita' e l'evoluzione dei rischi, e, dall'altro, a valutare la completezza, l'adeguatezza, la funzionalita' e l'affidabilita' della struttura organizzativa e delle altre componenti del sistema dei controlli interni, portando all'attenzione degli organi aziendali i possibili miglioramenti, con particolare riferimento al RAF, al processo di gestione dei rischi nonche' agli strumenti di misurazione e controllo degli stessi. Sulla base dei risultati dei propri controlli formula raccomandazioni agli organi aziendali. In tale ambito, coerentemente con il piano di audit, la funzione di revisione interna: - valuta la completezza, l'adeguatezza, la funzionalita', l'affidabilita' delle altre componenti del sistema dei controlli interni, del processo di gestione dei rischi e degli altri processi aziendali, avendo riguardo anche alla capacita' di individuare errori ed irregolarita'. In tale contesto, sottopone, tra l'altro, a verifica le funzioni aziendali di controllo dei rischi e di conformita' alle norme; - valuta l'efficacia del processo di definizione del RAF, la coerenza interna dello schema complessivo e la conformita' dell'operativita' aziendale al RAF e, in caso di strutture finanziarie particolarmente complesse, la conformita' di queste alle strategie approvate dagli organi aziendali; - verifica, anche attraverso accertamenti di natura ispettiva: a) la regolarita' delle diverse attivita' aziendali, incluse quelle esternalizzate, e l'evoluzione dei rischi sia nella direzione generale della banca, sia nelle filiali. La frequenza delle ispezioni e' coerente con l'attivita' svolta e la propensione al rischio; tuttavia sono condotti anche accertamenti ispettivi casuali e non preannunciati; b) il monitoraggio della conformita' alle norme dell'attivita' di tutti i livelli aziendali; c) il rispetto, nei diversi settori operativi, dei limiti previsti dai meccanismi di delega, e il pieno e corretto utilizzo delle informazioni disponibili nelle diverse attivita'; d) l'efficacia dei poteri della funzione di controllo dei rischi di fornire pareri preventivi sulla coerenza con il RAF delle operazioni di maggior rilievo; e) l'adeguatezza e il corretto funzionamento dei processi e delle metodologie di valutazione delle attivita' aziendali e, in particolare, degli strumenti finanziari; f) l'adeguatezza, l'affidabilita' complessiva e la sicurezza del sistema informativo (ICT audit); g) la rimozione delle anomalie riscontrate nell'operativita' e nel funzionamento dei controlli (attivita' di «follow-up»); - effettua test periodici sul funzionamento delle procedure operative e di controllo interno; - espleta compiti d'accertamento anche con riguardo a specifiche irregolarita'; - controlla regolarmente il piano aziendale di continuita' operativa. In tale ambito, prende visione dei programmi di verifica, assiste alle prove e ne controlla i risultati, propone modifiche al piano sulla base delle mancanze riscontrate. La funzione di revisione interna controlla altresi' i piani di continuita' operativa dei fornitori di servizi e dei fornitori critici; essa puo' decidere di fare affidamento sulle strutture di questi ultimi se ritenute professionali e indipendenti quanto ai risultati dei controlli ed esamina i contratti per accertare che il livello di tutela sia adeguato agli obiettivi e agli standard aziendali; - qualora nell'ambito della collaborazione e dello scambio di informazioni con il soggetto incaricato della revisione legale dei conti, viene a conoscenza di criticita' emerse durante l'attivita' di revisione legale dei conti, si attiva affinche' le competenti funzioni aziendali adottino i presidi necessari per superare tali criticita'. Con specifico riferimento al processo di gestione dei rischi, la funzione di revisione interna valuta anche: - l'organizzazione, i poteri e le responsabilita' della funzione di controllo dei rischi, anche con riferimento alla qualita' e alla adeguatezza delle risorse a questa assegnate; - l'appropriatezza delle ipotesi utilizzate nelle analisi di sensitivita' e di scenario e negli stress test; - l'allineamento con le best practice diffuse nel settore. Nello svolgimento dei propri compiti la funzione di revisione interna tiene conto di quanto previsto dagli standard professionali diffusamente accettati. L'organizzazione della funzione di revisione interna e' coerente con l'articolazione ed il grado di complessita' della banca. Fermo restando che la funzione va posta alle dirette dipendenze dell'organo con funzione di supervisione strategica, vanno, tuttavia, preservati i raccordi con l'organo con funzione di gestione. Indipendentemente dalle scelte organizzative, e fermo restando che i destinatari delle comunicazioni delle attivita' di verifica sono gli organi aziendali e le unita' sottoposte a controllo, nella regolamentazione interna e' espressamene previsto il potere per la funzione di revisione interna di comunicare in via diretta i risultati degli accertamenti e delle valutazioni agli organi aziendali. Gli esiti degli accertamenti conclusisi con giudizi negativi o che evidenzino carenze di rilievo sono trasmessi integralmente, tempestivamente e direttamente agli organi aziendali. Per svolgere adeguatamente i propri compiti, la funzione di revisione interna ha accesso a tutte le attivita', comprese quelle esternalizzate, della banca svolte sia presso gli uffici centrali sia presso le strutture periferiche. In caso di attribuzione a soggetti terzi di attivita' rilevanti per il funzionamento del sistema dei controlli interni (ad es., dell'attivita' di elaborazione dei dati), la funzione di revisione interna deve poter accedere anche alle attivita' svolte da tali soggetti. 3.5. Rapporti tra le funzioni aziendali di controllo e altre funzioni aziendali. Fermo restando la reciproca indipendenza e i rispettivi ruoli, le funzioni aziendali di controllo collaborano tra loro e con le altre funzioni (ad es., funzione legale, organizzazione, sicurezza) allo scopo di sviluppare le proprie metodologie di controllo in modo coerente con le strategie e l'operativita' aziendale. Tenuto conto delle forti interrelazioni tra le diverse funzioni aziendali di controllo, specie tra le attivita' di controllo di conformita' alle norme, di controllo dei rischi operativi e di revisione interna, e' necessario che i compiti e le responsabilita' delle diverse funzioni siano comunicati all'interno dell'organizzazione aziendale, in particolare per quanto attiene alla suddivisione delle competenze relative alla misurazione dei rischi, alla consulenza in materia di adeguatezza delle procedure di controllo nonche' alle attivita' di verifica delle procedure medesime. Specifica attenzione e' posta nell'articolazione dei flussi informativi tra le funzioni aziendali di controllo; in particolare, i responsabili della funzione di controllo dei rischi e della funzione di conformita' alle norme informano il responsabile della funzione di revisione interna delle criticita' rilevate nelle proprie attivita' di controllo che possano essere di interesse per l'attivita' di audit. Il responsabile della revisione interna informa i responsabili delle altre funzioni aziendali di controllo per le eventuali inefficienze, punti di debolezza o irregolarita' emerse nel corso delle attivita' di verifica di propria competenza e riguardanti specifiche aree o materie di competenza di queste ultime. Sezione IV ESTERNALIZZAZIONE DI FUNZIONI AZIENDALI (OUTSOURCING) AL DI FUORI DEL GRUPPO BANCARIO 1. Principi generali e requisiti particolari. Le banche che ricorrono all'esternalizzazione di funzioni aziendali presidiano i rischi derivanti dalle scelte effettuate e mantengono la capacita' di controllo e la responsabilita' sulle attivita' esternalizzate nonche' le competenze tecniche e gestionali essenziali per re-internalizzare, in caso di necessita', il loro svolgimento. La decisione di ricorrere all'outsourcing per lo svolgimento di determinate funzioni aziendali (anche non importanti) e' coerente con la politica aziendale in materia di esternalizzazione. In linea con il principio di proporzionalita', tale politica stabilisce almeno: - il processo decisionale per esternalizzare funzioni aziendali (livelli decisionali; funzioni coinvolte; valutazione dei rischi, inclusi quelli connessi con potenziali conflitti di interesse del fornitore di servizi, e l'impatto sulle funzioni aziendali; valutazione dell'impatto in termini di continuita' operativa; criteri per la scelta e la due diligence del fornitore); - il contenuto minimo dei contratti di outsourcing e i livelli di servizio attesi delle attivita' esternalizzate; - le modalita' di controllo, nel continuo e con il coinvolgimento della funzione di revisione interna, delle funzioni esternalizzate; - i flussi informativi interni volti ad assicurare agli organi aziendali e alle funzioni aziendali di controllo la piena conoscenza e governabilita' dei fattori di rischio relativi alle funzioni esternalizzate; - i piani di continuita' operativa (clausole contrattuali, piani operativi, ecc.) in caso di non corretto svolgimento delle funzioni esternalizzate da parte del fornitore di servizi. La banca, attraverso il ricorso all'esternalizzazione, non puo': - delegare le proprie responsabilita', ne' la responsabilita' degli organi aziendali. In linea con questo principio, a titolo esemplificativo, non e' ammessa l'esternalizzazione di attivita' che rientrano tra i compiti degli organi aziendali (cfr. Sezione II) o che riguardano aspetti nevralgici del processo di erogazione del credito (ad es., il processo di valutazione del merito di credito e di monitoraggio delle relazioni creditizie); l'esternalizzazione delle funzioni aziendali di controllo e' consentita nei limiti e alle condizioni previsti nel par. 2; - alterare il rapporto e gli obblighi nei confronti dei suoi clienti; - mettere a repentaglio la propria capacita' di rispettare gli obblighi previsti dalla disciplina di vigilanza ne' mettersi in condizione di violare le riserve di attivita' previste dalla legge; - pregiudicare la qualita' del sistema dei controlli interni; - ostacolare la vigilanza. Ferma restando l'esigenza di assicurare, per ogni tipologia di esternalizzazione, il corretto svolgimento della stessa da parte del fornitore, il buon funzionamento del sistema dei controlli interni e il monitoraggio continuo dell'attivita' svolta dal fornitore di servizi, nel caso in cui intendano esternalizzare funzioni operative importanti le banche assicurano che siano soddisfatte le seguenti condizioni: - nell'accordo scritto tra la banca e il fornitore di servizi sono formalizzati e chiaramente definiti: a) i rispettivi diritti e obblighi; i livelli di servizio attesi, espressi in termini oggettivi e misurabili, nonche' le informazioni necessarie per la verifica del loro rispetto; gli eventuali conflitti di interesse e le opportune cautele per prevenirli o, se non possibile, attenuarli; le condizioni al verificarsi delle quali possono essere apportate modifiche all'accordo; la durata dell'accordo e le modalita' di rinnovo nonche' gli impegni reciproci connessi con l'interruzione del rapporto; b) i livelli di servizio assicurati in caso di emergenza e le soluzioni di continuita' compatibili con le esigenze aziendali e coerenti con le prescrizioni dell'Autorita' di vigilanza. Sono altresi' stabilite le modalita' di partecipazione, diretta o per il tramite di comitati utente, alle verifiche dei piani di continuita' operativa dei fornitori. Sono inoltre previste clausole risolutive espresse che consentano alla banca di porre termine all'accordo di esternalizzazione in presenza di eventi che possano compromettere la capacita' del fornitore di garantire il servizio oppure quando si verifichi il mancato rispetto del livello di servizio concordato; - il fornitore di servizi: a) dispone della competenza, della capacita' e delle autorizzazioni richieste dalla legge per esercitare, in maniera professionale e affidabile, le funzioni esternalizzate; b) informa la banca di qualsiasi evento che potrebbe incidere sulla sua capacita' di svolgere le funzioni esternalizzate in maniera efficace e in conformita' con la normativa vigente; in particolare, comunica tempestivamente il verificarsi di incidenti di sicurezza, anche al fine di consentire la pronta attivazione delle relative procedure di gestione o di emergenza; c) garantisce la sicurezza delle informazioni relative all'attivita' della banca, sotto l'aspetto della disponibilita', integrita' e riservatezza; in quest'ambito, assicura il rispetto delle norme sulla protezione dei dati personali; - la banca: a) conserva la competenza richiesta per controllare efficacemente le funzioni esternalizzate e per gestire i rischi connessi con l'esternalizzazione, inclusi quelli derivanti da potenziali conflitti di interessi del fornitore di servizi; in tale ambito, individua, all'interno della propria organizzazione, un responsabile del controllo delle singole funzioni esternalizzate dotato di adeguati requisiti di professionalita' («referente per le attivita' esternalizzate»); b) acquisisce i piani di continuita' operativa del fornitore di servizi o dispone di informazioni adeguate, al fine di valutare la qualita' delle misure previste e di integrarle con le soluzioni di continuita' realizzate all'interno; - la banca, i suoi soggetti incaricati della revisione legale dei conti e le Autorita' di vigilanza hanno effettivo accesso ai dati relativi alle attivita' esternalizzate e ai locali in cui opera il fornitore di servizi. Il diritto di accesso per l'Autorita' di vigilanza deve risultare espressamente nel contratto, senza oneri aggiuntivi per l'intermediario; - la sub-esternalizzazione (ovverosia la possibilita' del fornitore di esternalizzare a sua volta una parte delle attivita' oggetto del contratto di esternalizzazione) non deve mettere a repentaglio il rispetto dei principi e delle condizioni per l'esternalizzazione previste nella presente disciplina; a tal fine, il contratto con il fornitore di servizi prevede che eventuali rapporti di sub-esternalizzazione siano preventivamente concordati con la banca e siano definiti in modo da consentire il pieno rispetto di tutte le condizioni sopra elencate relative al contratto primario, inclusa la possibilita' per l'Autorita' di vigilanza di avere accesso ai dati relativi alle attivita' esternalizzate e ai locali in cui opera il sub-fornitore di servizi. 2. Esternalizzazione delle funzioni aziendali di controllo. L'esternalizzazione delle funzioni aziendali di controllo a soggetti terzi (19) dotati di requisiti idonei in termini di professionalita' e indipendenza e' ammessa, di norma, per le sole banche classificate, a fini SREP, nella macro-categoria 4 (20) . In aggiunta a quanto previsto dal par. 1 e dalla Sezione III, le banche che intendono esternalizzare, in tutto o in parte, le funzioni aziendali di controllo definiscono nell'accordo di esternalizzazione: - gli obiettivi, la metodologia e la frequenza dei controlli; - le modalita' e la frequenza della reportistica dovuta al referente per l'attivita' esternalizzata e agli organi aziendali sulle verifiche effettuate. Resta fermo l'obbligo di dare riscontro tempestivamente a qualsiasi richiesta di informazioni e consulenza da parte di questi ultimi che in ogni caso rimangono responsabili del corretto espletamento delle attivita' di controllo esternalizzate; - gli obblighi di riservatezza delle informazioni acquisite nell'esercizio della funzione; - i collegamenti con le attivita' svolte dall'organo con funzione di controllo; - la possibilita' di richiedere specifiche attivita' di controllo al verificarsi di esigenze improvvise; - la proprieta' esclusiva della banca dei risultati dei controlli. In linea con quanto previsto dal par. 1, la banca nomina specifici referenti per ciascuna delle singole funzioni aziendali di controllo esternalizzate Ai referenti per le funzioni aziendali di controllo esternalizzate si applicano le disposizioni previste dalla Sezione III, par. 1, lett. b). Puo' essere nominato un unico referente per le funzioni aziendali di controllo di secondo livello esternalizzate. Il fornitore di servizi presso cui si intendono esternalizzare le funzioni aziendali di controllo rispetta le seguenti condizioni (21) : - e' indipendente rispetto alla banca presso la quale assume l'incarico; - non cumula incarichi relativi a funzioni aziendali di controllo di secondo e di terzo livello per una stessa banca o gruppo bancario; - non svolge contemporaneamente, per la stessa banca o gruppo bancario, incarichi relativi a funzioni aziendali di controllo e attivita' che sarebbe chiamato a controllare in qualita' di fornitore di servizi; - non svolge la funzione di revisione legale dei conti per la banca che esternalizza o per altre societa' del gruppo di appartenenza. Nel rispetto delle medesime condizioni, inoltre, le banche, se in linea con il principio di proporzionalita', possono esternalizzare specifici controlli, che richiedono conoscenze professionali specializzate, in aree operative di contenute dimensioni e/o rischiosita'. 3. Comunicazioni alla Banca d'Italia. Le banche che intendono esternalizzare, in tutto o in parte, lo svolgimento di funzioni operative importanti o di controllo ne danno comunicazione preventiva alla Banca d'Italia. La comunicazione, corredata di tutte le indicazioni utili a verificare il rispetto dei criteri indicati nella presente Sezione, e' effettuata almeno 60 giorni prima di conferire l'incarico e specifica le esigenze aziendali che hanno determinato la scelta. Entro 60 giorni dal ricevimento della comunicazione la Banca d'Italia puo' avviare un procedimento amministrativo d'ufficio di divieto dell'esternalizzazione che si conclude entro 60 giorni. Entro il 30 aprile di ogni anno le banche trasmettono alla Banca d'Italia una relazione, redatta dalla funzione di revisione interna - o, se esternalizzata, dal referente aziendale - con le considerazioni dell'organo con funzione di controllo e approvata dall'organo con funzione di supervisione strategica, relativa ai controlli svolti sulle funzioni operative importanti o di controllo esternalizzate, alle carenze eventualmente riscontrate e alle conseguenti azioni correttive adottate. 4. Esternalizzazione del trattamento del contante. Fatta salva l'applicazione delle disposizioni in materia di esternalizzazione di funzioni operative importanti della presente Sezione e al fine di minimizzare i rischi operativi, in particolare di natura legale, e reputazionali connessi con l'eventuale erogazione alla clientela di banconote false o di qualita' tale da non renderle idonee alla circolazione, le banche che esternalizzano l'attivita' di trattamento del contante adottano specifiche cautele nella gestione dei rapporti con i soggetti cui l'attivita' e' esternalizzata sia all'atto della scelta del contraente, che deve fondarsi sull'accertamento della sua piena affidabilita', della correttezza della gestione e dell'adeguatezza delle strutture e dei processi organizzativi, sia nell'esercizio di efficaci controlli successivi, da svolgere nel continuo per verificare l'ordinato e corretto svolgimento dell'attivita', nel pieno rispetto delle norme vigenti. In particolare, le funzioni aziendali di controllo effettuano, ciascuna per i profili di competenza, una specifica valutazione delle procedure seguite per l'allacciamento e la gestione dei rapporti con i soggetti cui e' esternalizzata l'attivita' di trattamento del contante nonche' del complessivo assetto dei controlli sulle attivita' esternalizzate. Inoltre, tali funzioni assicurano il rispetto degli obblighi previsti dalla Decisione della Banca Centrale Europea del 16 settembre 2010, n. 14 relativa al controllo dell'autenticita' e idoneita' delle banconote in euro e al loro ricircolo. La banca che intende esternalizzare l'attivita' di trattamento del contante stipula con il fornitore di servizi un contratto concluso in forma scritta che, oltre a rispettare i requisiti previsti nel paragrafo precedente, prevede: - l'obbligo di attenersi alle disposizioni comunitarie sopra richiamate, con particolare riguardo: (i) all'utilizzo esclusivo di apparecchiature conformi a detta disciplina; (ii) alle procedure di verifica delle apparecchiature; (iii) alle attivita' di monitoraggio che possono essere condotte dalla Banca d'Italia; - la possibilita' per le banche di verificare la performance del servizio reso e di richiedere eventuali misure correttive; - il diritto per la banca di recedere, senza penalita', nel caso in cui la controparte violi gli obblighi contrattuali e non vi ponga rimedio entro il periodo di tempo indicato nel contratto stesso. Sezione V IL RAF, IL SISTEMA DEI CONTROLLI INTERNI E L'ESTERNALIZZAZIONE NEI GRUPPI BANCARI 1. Il RAF nei gruppi bancari. La capogruppo definisce e approva il RAF di gruppo secondo le indicazioni contenute nell'Allegato C, in quanto compatibili, assicurando la coerenza tra l'operativita', la complessita' e le dimensioni del gruppo e il RAF stesso. Il RAF di gruppo tiene conto delle specifiche operativita' e dei connessi profili di rischio di ciascuna delle societa' componenti il gruppo in modo da risultare integrato e coerente. Per il conseguimento di tale obiettivo e' necessario che gli organi aziendali della capogruppo svolgano i compiti loro affidati con riferimento non soltanto alla propria realta' aziendale ma anche valutando l'operativita' complessiva del gruppo e i rischi cui esso e' esposto. Gli organi aziendali delle societa' componenti il gruppo, secondo le rispettive competenze, agiscono in coerenza con il RAF di gruppo e sono responsabili della sua attuazione per quanto concerne gli aspetti relativi alla propria realta' aziendale. A tal fine, e' necessario che la capogruppo renda partecipi, nei modi ritenuti piu' opportuni, gli organi aziendali delle controllate delle scelte effettuate in materia di RAF. 2. Controlli interni di gruppo. La capogruppo, nel quadro dell'attivita' di direzione e coordinamento del gruppo, esercita: a) un controllo strategico sull'evoluzione delle diverse aree di attivita' in cui il gruppo opera e dei rischi incombenti sulle attivita' esercitate. Si tratta di un controllo sia sull'andamento delle attivita' svolte dalle societa' appartenenti al gruppo (crescita o riduzione per via endogena), sia sulle politiche di acquisizione e dismissione da parte delle societa' del gruppo (crescita o riduzione per via esogena); b) un controllo gestionale volto ad assicurare il mantenimento delle condizioni di equilibrio economico, finanziario e patrimoniale sia delle singole societa', sia del gruppo nel suo insieme. Queste esigenze di controllo vanno soddisfatte preferibilmente attraverso la predisposizione di piani, programmi e budget (aziendali e di gruppo), e mediante l'analisi delle situazioni periodiche, dei conti infra-annuali, dei bilanci di esercizio delle singole societa' e di quelli consolidati; cio' sia per settori omogenei di attivita' sia con riferimento all'intero gruppo; c) un controllo tecnico-operativo finalizzato alla valutazione dei vari profili di rischio apportati al gruppo dalle singole controllate e dei rischi complessivi del gruppo. La capogruppo che esercita l'attivita' di direzione e coordinamento in violazione dei principi di corretta gestione societaria e imprenditoriale e' responsabile ai sensi degli artt. 2497 e ss. del codice civile. La capogruppo dota il gruppo di un sistema unitario di controlli interni che consenta l'effettivo controllo sia sulle scelte strategiche del gruppo nel suo complesso sia sull'equilibrio gestionale delle singole componenti. Per definire il sistema dei controlli interni del gruppo bancario, la capogruppo applica, per quanto compatibili, le disposizioni previste nelle precedenti Sezioni. A livello di gruppo - tenendo conto delle disposizioni in materia di organizzazione e controllo dei soggetti diversi dalle banche - vanno anche stabiliti e definiti: - procedure formalizzate di coordinamento e collegamento fra le societa' appartenenti al gruppo e la capogruppo per tutte le aree di attivita'; - compiti e responsabilita' degli organi e delle funzioni di controllo all'interno del gruppo, le procedure di coordinamento, i riporti organizzativi, i flussi informativi e i relativi raccordi; a tali fini, l'organo con funzione di supervisione strategica della capogruppo approva un apposito documento di coordinamento dei controlli nell'ambito del gruppo. La relazione che le funzioni aziendali di controllo della capogruppo devono presentare agli organi aziendali (cfr. Sezione III, par. 2) illustra le verifiche effettuate, i risultati emersi, i punti di debolezza rilevati con riferimento, oltre che alla capogruppo medesima, anche al gruppo bancario nel suo complesso e propone gli interventi da adottare per la rimozione delle carenze rilevate; - meccanismi di integrazione dei sistemi informativi e dei processi di gestione dei dati (specie per le societa' appartenenti al gruppo aventi sede in paesi che adottano diversi schemi/criteri contabili o di rilevazione), anche al fine di garantire l'affidabilita' delle rilevazioni su base consolidata; - flussi informativi periodici che consentano l'effettivo esercizio delle varie forme di controllo su tutte le componenti del gruppo; - procedure che garantiscano, a livello accentrato, un efficace processo unitario di gestione dei rischi del gruppo a livello consolidato. In particolare, vi deve essere un'anagrafe unica, o piu' anagrafi che siano facilmente raccordabili, presso le diverse societa' del gruppo in modo da consentire l'univoca identificazione, da parte delle diverse entita', dei singoli clienti e controparti, dei gruppi di clienti connessi e dei soggetti collegati e rilevare correttamente, a livello consolidato, la loro esposizione complessiva ai diversi rischi; - sistemi per monitorare i flussi finanziari, le relazioni di credito (in particolare le prestazioni di garanzie) e le altre relazioni fra i soggetti componenti il gruppo; - controlli sul raggiungimento degli obiettivi di sicurezza informatica e di continuita' operativa definiti per l'intero gruppo e le singole componenti. L'organo con funzione di controllo della societa' capogruppo vigila anche sul corretto esercizio delle attivita' di controllo svolte dalla capogruppo sulle societa' del gruppo. La capogruppo formalizza e rende noti a tutte le societa' del gruppo i criteri che presiedono le diverse fasi che costituiscono il processo di gestione dei rischi. Essa, inoltre, convalida i processi di gestione dei rischi all'interno del gruppo. Per quanto riguarda in particolare il rischio di credito, la capogruppo fissa i criteri di valutazione delle posizioni e crea una base informativa comune che consenta a tutte le societa' appartenenti al gruppo di conoscere l'esposizione dei clienti nei confronti del gruppo nonche' le valutazioni inerenti alle posizioni dei soggetti affidati. La capogruppo decide, infine, in merito all'adozione dei sistemi interni di misurazione dei rischi per la determinazione dei requisiti patrimoniali e ne determina le caratteristiche essenziali, assumendosi la responsabilita' della realizzazione del progetto nonche' della supervisione sul corretto funzionamento di tali sistemi e sul loro costante adeguamento sotto il profilo metodologico, organizzativo e procedurale. Ciascuna societa' del gruppo si dota di un sistema dei controlli interni che sia coerente con la strategia e la politica del gruppo in materia di controlli, fermo restando il rispetto della disciplina eventualmente applicabile su base individuale. Nel caso di controllate estere, e' necessario che la capogruppo, nel rispetto dei vincoli locali, adotti tutte le iniziative atte a garantire standard di controllo e presidi comparabili a quelli previsti dalle disposizioni di vigilanza italiane, anche nei casi in cui la normativa dei paesi in cui sono insediate le filiazioni non preveda analoghi livelli di attenzione. Per verificare la rispondenza dei comportamenti delle societa' appartenenti al gruppo agli indirizzi della capogruppo nonche' l'efficacia del sistema dei controlli interni, la capogruppo si attiva affinche', nei limiti dell'ordinamento, la funzione di revisione interna a livello consolidato effettui periodicamente verifiche in loco sulle componenti del gruppo, tenuto conto della rilevanza delle diverse tipologie di rischio assunte dalle diverse entita'. 3. Esternalizzazione di funzioni aziendali all'interno del gruppo bancario. La capogruppo definisce la politica aziendale in materia di esternalizzazione all'interno del gruppo bancario. La politica stabilisce almeno: - il processo decisionale per esternalizzare funzioni aziendali presso la capogruppo o altre componenti del gruppo; - i presidi adottati per assicurare una adeguata tutela degli interessi di eventuali soci di minoranza; - i criteri per individuare il fornitore di servizi all'interno del gruppo, e gli obblighi previsti per tale soggetto; in particolare, con riferimento alle funzioni operative importanti, il fornitore di servizi: a) dispone della competenza, della capacita' e delle autorizzazioni richieste dalla legge per esercitare, in maniera professionale e affidabile, le funzioni esternalizzate; b) informa la capogruppo e la banca che esternalizza di qualsiasi evento che potrebbe incidere sulla sua capacita' di svolgere le funzioni esternalizzate in maniera efficace e in conformita' con la normativa vigente; c) comunica tempestivamente il verificarsi di incidenti di sicurezza, anche al fine di consentire la pronta attivazione delle relative procedure di gestione o di emergenza; d) garantisce la sicurezza delle informazioni relative all'attivita' della banca che esternalizza, sotto l'aspetto della disponibilita', integrita' e riservatezza; in quest'ambito, assicura il rispetto delle norme sulla protezione dei dati personali; - il contenuto minimo dei contratti di outsourcing e i livelli di servizio attesi delle attivita' esternalizzate; - i livelli di servizio assicurati in caso di emergenza e le soluzioni di continuita' compatibili con le esigenze aziendali e coerenti con le prescrizioni dell'Autorita' di vigilanza; - i flussi informativi volti ad assicurare agli organi aziendali della capogruppo e della banca che esternalizza e alle funzioni aziendali di controllo di tali soggetti la piena conoscenza e governabilita' dei fattori di rischio relativi alle funzioni esternalizzate. La banca appartenente a un gruppo bancario, ferma restando la responsabilita' per le attivita' esternalizzate, puo' derogare alle disposizioni in materia di esternalizzazione previste alla Sezione IV se rispetta la politica aziendale in materia di esternalizzazione all'interno del gruppo. Attraverso il ricorso all'esternalizzazione, la banca non puo': - delegare le proprie responsabilita', ne' la responsabilita' degli organi aziendali. In linea con questo principio, a titolo esemplificativo, non e' ammessa l'esternalizzazione di attivita' che rientrano tra i compiti degli organi aziendali (cfr. Sezione II); - alterare il rapporto e gli obblighi nei confronti dei suoi clienti; - mettere a repentaglio la propria capacita' di rispettare gli obblighi previsti dalla disciplina di vigilanza ne' mettersi in condizione di violare le riserve di attivita' previste dalla legge; - pregiudicare la qualita' del sistema dei controlli interni, tenuto conto dell'assetto complessivo dei controlli del gruppo di appartenenza; - ostacolare la vigilanza. 3.1. L'esternalizzazione nell'ambito del gruppo delle funzioni aziendali di controllo. Fermo restando quanto previsto nel par. 3, al fine di assicurare l'effettivita' e l'integrazione dei controlli, l'esternalizzazione delle funzioni aziendali di controllo presso la capogruppo o le altre componenti del gruppo e' consentita, indipendentemente dalle dimensioni e dalla complessita' operativa della banca, nel rispetto dei seguenti criteri: - sono valutati e documentati, in una logica di gruppo, i costi, i benefici e i rischi alla base della soluzione adottata; tale analisi deve essere periodicamente aggiornata; - gli organi aziendali delle componenti del gruppo sono consapevoli delle scelte effettuate dalla capogruppo e sono responsabili, ciascuno secondo le proprie competenze, dell'attuazione, nell'ambito delle rispettive realta' aziendali, delle strategie e politiche perseguite in materia di controlli, favorendone l'integrazione nell'ambito dei controlli di gruppo; - all'interno delle banche del gruppo e delle altre entita' che, a giudizio della capogruppo, assumono rischi considerati rilevanti per il gruppo nel suo complesso, vengono nominati appositi referenti i quali: i) svolgono compiti di supporto per la funzione aziendale di controllo esternalizzata; ii) riportano funzionalmente alla funzione aziendale di controllo esternalizzata; iii) segnalano tempestivamente eventi o situazioni particolari, suscettibili di modificare i rischi generati dalla controllata (22) . A tali referenti si applicano le disposizioni previste dalla Sezione III, par. 1, lett. b). Puo' essere nominato un unico referente per le sole funzioni aziendali di controllo di secondo livello esternalizzate. 4. Comunicazioni alla Banca d'Italia. Le banche che intendono esternalizzare, in tutto o in parte, lo svolgimento di funzioni operative importanti o di controllo nell'ambito del gruppo di appartenenza ne danno comunicazione preventiva alla Banca d'Italia, tramite la propria capogruppo. La comunicazione, corredata di tutte le indicazioni utili a verificare il rispetto dei criteri indicati nella presente Sezione, e' effettuata almeno 60 giorni prima di conferire l'incarico e specifica le esigenze aziendali che hanno determinato la scelta. Entro 60 giorni dal ricevimento della comunicazione la Banca d'Italia puo' avviare un procedimento amministrativo d'ufficio di divieto dell'esternalizzazione che si conclude entro 60 giorni. La capogruppo, sulla base delle relazioni delle funzioni aziendali di controllo (cfr. Sezione III, par. 2 e par. 2 della presente Sezione), invia annualmente alla Banca d'Italia una relazione riguardante gli accertamenti effettuati sulle societa' controllate e i risultati emersi, i punti di debolezza rilevati con riferimento sia al gruppo bancario nel suo complesso sia alle singole entita' e la descrizione degli interventi da adottare per la rimozione delle carenze rilevate. Sezione VI IMPRESE DI RIFERIMENTO Le imprese di riferimento sono responsabili del calcolo dei requisiti patrimoniali e del rispetto delle disposizioni prudenziali applicabili su base consolidata (23) ; a tali fini, il sistema di controlli interni nel suo complesso assicura la correttezza, l'adeguatezza e la tempestivita' dei flussi informativi con le altre societa' bancarie, finanziarie e strumentali controllate dalla societa' di partecipazione finanziaria madre nell'UE necessari per rispettare gli obblighi imposti dalle disposizioni prudenziali. Sezione VII SUCCURSALI DI BANCHE COMUNITARIE E DI BANCHE EXTRACOMUNITARIE AVENTI SEDE NEI PAESI DEL GRUPPO DEI DIECI O IN QUELLI INCLUSI IN UN ELENCO PUBBLICATO DALLA BANCA D'ITALIA Nel caso delle succursali di banche comunitarie e delle succursali di banche extracomunitarie aventi sede nei paesi del Gruppo dei Dieci ovvero in quelli inclusi in un elenco pubblicato e periodicamente aggiornato dalla Banca d'Italia, il legale rappresentante attesta annualmente che e' stata condotta una verifica di conformita' della condotta aziendale rispetto alle norme italiane applicabili alla succursale e riferisce sinteticamente alla Banca d'Italia in merito all'esito di tale verifica (24) . A tal fine, la banca verifica che le procedure interne adottate dalla succursale stessa siano adeguate rispetto all'obiettivo di prevenire la violazione delle norme italiane applicabili alla succursale. Nel caso delle succursali di banche extracomunitarie aventi sede nei paesi del Gruppo dei Dieci ovvero in quelli inclusi in un elenco pubblicato e periodicamente aggiornato dalla Banca d'Italia, il legale rappresentante attesta altresi' che la completezza, l'adeguatezza, la funzionalita', l'affidabilita' del sistema dei controlli interni e' stata verificata attraverso un processo di revisione interna. Sezione VIII INFORMATIVA ALLA BANCA D'ITALIA Le banche comunicano tempestivamente alla Banca d'Italia la nomina e l'eventuale revoca dei responsabili delle funzioni aziendali di controllo. Nel caso di gruppi bancari tale comunicazione e' eseguita dalla capogruppo. Le banche non appartenenti a gruppi bancari trasmettono inoltre alla Banca d'Italia: - tempestivamente, le relazioni sull'attivita' svolta redatte annualmente dalle funzioni di controllo dei rischi, di conformita' alle norme e di revisione interna (cfr. Sezione III, par. 2). Se una o piu' di queste funzioni sono esternalizzate, la relazione e' redatta dal referente aziendale; - entro il 30 aprile di ogni anno, una relazione, redatta dalla funzione di revisione interna - o, se esternalizzata, dal referente aziendale - con le considerazioni dell'organo con funzione di controllo e approvata dall'organo con funzione di supervisione strategica, relativa ai controlli svolti sulle funzioni operative importanti esternalizzate, alle carenze eventualmente riscontrate e alle conseguenti azioni correttive adottate (cfr. Sezione IV, par. 3); - qualora ve ne siano le condizioni, la relazione di cui al punto 2.1 dell'Allegato A. Le banche non appartenenti a gruppi che intendono esternalizzare, in tutto o in parte, lo svolgimento di funzioni operative importanti o di controllo ne danno comunicazione preventiva alla Banca d'Italia (cfr. Sezione IV, par. 3). Nel caso di gruppi bancari, le capogruppo coordinano e trasmettono alla Banca d'Italia, per tutte le banche del gruppo, la stessa documentazione richiesta nel caso delle banche non appartenenti a gruppi bancari, ad eccezione delle relazioni delle funzioni aziendali di controllo delle societa' controllate (Sezione III, par. 2). In luogo di queste ultime, inviano annualmente alla Banca d'Italia la relazione di cui alla Sezione V, par. 4, riguardante gli accertamenti effettuati sulle societa' controllate e i risultati emersi, i punti di debolezza rilevati con riferimento sia al gruppo bancario nel suo complesso sia alle singole entita' e la descrizione degli interventi da adottare per la rimozione delle carenze rilevate. Le capogruppo danno comunicazione preventiva alla Banca d'Italia dell'intenzione delle banche di esternalizzare, in tutto o in parte, lo svolgimento di funzioni operative importanti o di controllo nell'ambito del gruppo bancario di appartenenza (cfr. Sezione V, par. 4). Nel caso delle succursali di banche comunitarie e delle succursali di banche extracomunitarie aventi sede nei paesi del Gruppo dei Dieci ovvero in quelli inclusi in un elenco pubblicato e periodicamente aggiornato dalla Banca d'Italia, il legale rappresentante attesta annualmente che e' stata condotta una verifica di conformita' della condotta aziendale rispetto alle norme italiane applicabili alla succursale e riferisce sinteticamente alla Banca d'Italia in merito all'esito di tale verifica (cfr. Sezione VII). Nel caso delle succursali di banche extracomunitarie aventi sede nei paesi del Gruppo dei Dieci ovvero in quelli inclusi in un elenco pubblicato e periodicamente aggiornato dalla Banca d'Italia, il legale rappresentante attesta altresi' che la completezza, l'adeguatezza, la funzionalita', l'affidabilita' del sistema dei controlli interni e' stata verificata attraverso un processo di revisione interna (cfr. Sezione VII). Le succursali di banche extracomunitarie non aventi sede nei paesi del Gruppo dei Dieci ovvero in quelli inclusi in un elenco pubblicato e periodicamente aggiornato dalla Banca d'Italia, individuano un referente per ciascuna funzione aziendale di controllo della succursale. I nominativi dei referenti e le eventuali variazioni sono comunicati alla Banca d'Italia. Allegato A DISPOSIZIONI SPECIALI RELATIVE A PARTICOLARI CATEGORIE DI RISCHIO 1. Premessa. Vengono in questa sede individuate disposizioni speciali in materia di controlli interni, che assumono valenza per la generalita' delle banche e dei gruppi bancari, relativamente a specifiche categorie di rischio. Nel caso in cui la banca utilizzi sistemi interni di misurazione dei rischi per la determinazione dei requisiti patrimoniali (credito, controparte, mercato, operativi), queste indicazioni devono essere integrate con i principi di carattere organizzativo previsti dalle rispettive discipline, i quali costituiscono una delle condizioni per il riconoscimento, a fini prudenziali, di tali sistemi. 2. Rischio di credito e di controparte. L'intero processo di gestione del rischio di credito e di controparte (misurazione del rischio, istruttoria, erogazione, controllo andamentale e monitoraggio delle esposizioni, revisione delle linee di credito, classificazione delle posizioni di rischio, interventi in caso di anomalia, criteri di classificazione, valutazione e gestione delle esposizioni deteriorate) deve risultare dal regolamento interno ed essere periodicamente sottoposto a verifica. Nel definire i criteri per l'erogazione dei crediti, il regolamento interno assicura che la diversificazione dei vari portafogli esposti al rischio di credito sia coerente con gli obiettivi di mercato e la strategia complessiva della banca. La corretta misurazione del rischio di credito presuppone che le banche abbiano in ogni momento conoscenza della propria esposizione verso ciascun cliente e verso ciascun gruppo di clienti connessi (con rilevanza sia delle connessioni di carattere giuridico sia di quelle di tipo economico-finanziario). A tale fine, e' indispensabile la disponibilita' di basi dati complete ed aggiornate, di un sistema informativo che ne consenta lo sfruttamento ai fini richiesti, di un'anagrafe clienti attraverso cui generare ed aggiornare, a livello individuale e, nel caso di un gruppo bancario, consolidato, i dati identificativi della clientela, le connessioni giuridiche ed economico-finanziarie tra clienti diversi, le forme tecniche da cui deriva l'esposizione, il valore aggiornato delle tecniche di attenuazione dei rischi. La corretta rilevazione e gestione di tutte le informazioni necessarie riveste particolare importanza nelle procedure per l'assunzione di grandi rischi. A tal fine, le banche sono tenute al rispetto della disciplina dettata nel Titolo V, Capitolo 1, Sezione V. Nella fase istruttoria, le banche acquisiscono tutta la documentazione necessaria per effettuare un'adeguata valutazione del merito di credito del prenditore, sotto il profilo patrimoniale e reddituale, e una corretta remunerazione del rischio assunto. La documentazione deve consentire di valutare la coerenza tra importo, forma tecnica e progetto finanziato; essa deve inoltre permettere l'individuazione delle caratteristiche e della qualita' del prenditore, anche alla luce del complesso delle relazioni intrattenute. Nel caso di affidamenti ad imprese, sono acquisiti i bilanci (individuali e, se disponibili, consolidati), le altre informazioni desumibili dalla Centrale dei Bilanci e ogni altra informazione, significativa e rilevante, per valutare la situazione aziendale attuale e prospettica dell'impresa, anche di carattere qualitativo (validita' del progetto imprenditoriale, assetti proprietari, esame della situazione del settore economico di appartenenza, situazione dei mercati di sbocco e di fornitura, ecc.). Le procedure di sfruttamento delle informazioni devono fornire indicazioni circostanziate sul livello di affidabilita' del cliente (ad es., attraverso sistemi di credit scoring e/o di rating). Nel caso in cui l'affidato faccia parte di un gruppo, la valutazione tiene conto anche della situazione e delle prospettive del gruppo nel suo complesso. Al fine di conoscere la valutazione degli affidati da parte del sistema bancario le banche utilizzano, anche nella successiva fase di controllo andamentale e monitoraggio delle esposizioni, le informazioni fornite dalla Centrale dei Rischi. Le deleghe in materia di erogazione del credito devono risultare da apposita delibera dell'organo con funzione di supervisione strategica e devono essere commisurate alle caratteristiche dimensionali della banca. Nel caso di fissazione di limiti «a cascata» (quando, cioe', il delegato delega a sua volta entro i limiti a lui attribuiti), la griglia dei limiti risultanti deve essere documentata. Il soggetto delegante deve inoltre essere periodicamente informato sull'esercizio delle deleghe, al fine di poter effettuare le necessarie verifiche. Il controllo andamentale e il monitoraggio delle singole esposizioni devono essere svolti con sistematicita', avvalendosi di procedure efficaci in grado di segnalare tempestivamente l'insorgere di anomalie e di assicurare l'adeguatezza delle rettifiche di valore e dei passaggi a perdita. I criteri di classificazione, valutazione e gestione delle esposizioni deteriorate (25) , nonche' le relative unita' responsabili devono essere stabiliti dall'organo con funzione di supervisione strategica con apposita delibera che indichi anche le modalita' di raccordo tra tali criteri e quelli previsti per le segnalazioni di vigilanza. La deroga all'applicazione dei criteri prefissati e' consentita esclusivamente in casi predeterminati e seguendo procedure rafforzate, che prevedano il coinvolgimento dell'organo con funzione di gestione. Devono essere altresi' stabilite procedure atte a individuare, in dettaglio, gli interventi da attuare in presenza di deterioramento delle posizioni di rischio. In particolare, la determinazione del valore di recupero dei crediti deteriorati tiene conto dei seguenti fattori: i) tipologia di procedura esecutiva attivata ed esito delle fasi gia' esperite; ii) valore di pronto realizzo delle garanzie (calcolando per i beni immobili haircut in funzione dell'aggiornamento della perizia e del contesto di mercato; per le attivita' finanziarie scarti coerenti con la natura del prodotto e la situazione di mercato); iii) criteri per la stima del periodo di recupero e dei tassi di attualizzazione dei flussi attesi. Le suddette indicazioni sono periodicamente aggiornate sulla base dell'evoluzione del quadro di riferimento. La verifica del corretto svolgimento del monitoraggio andamentale sulle singole esposizioni, in particolare di quelle deteriorate, e la valutazione della coerenza delle classificazioni, della congruita' degli accantonamenti e dell'adeguatezza del processo di recupero e' svolta, a livello centrale e periferico, dalla funzione di controllo dei rischi o, per le banche di maggiore dimensione e complessita' operativa, da una specifica unita', che riporta al responsabile della funzione di controllo dei rischi. Tali unita' verificano, tra l'altro, l'operato delle unita' operative e di recupero crediti, assicurando la corretta classificazione delle esposizioni deteriorate e l'adeguatezza del relativo grado di irrecuperabilita' (26) . Nel caso di valutazioni discordanti, si applicano le valutazioni formulate dalla funzione di controllo dei rischi. L'internal audit assicura periodiche verifiche sull'affidabilita' ed efficacia del complessivo processo. Gli organi aziendali, nell'ambito delle rispettive competenze, sono costantemente aggiornati dei risultati conseguiti nell'applicazione dei criteri e delle procedure individuate e valutano l'esigenza di definire interventi di miglioramento di tali criteri e procedure. Il sistema dei controlli interni deve, infine, garantire che l'intero processo di gestione del rischio ricomprenda l'esposizione al rischio di credito derivante dall'operativita' diversa dalla tipica attivita' di finanziamento, costituita dai derivati finanziari e di credito, dalle operazioni SFT («securities financing transactions») e da quelle con regolamento a lungo termine, cosi' come definite nella disciplina relativa al trattamento prudenziale dei rischi di controparte. A tal fine, le banche sono tenute anche al rispetto dei requisiti organizzativi per l'operativita' in derivati di credito (27) . Nel caso di partecipazione ad accordi di compensazione, su base bilaterale o multilaterale, che misurano il rischio di controparte sulla base dell'esposizione netta anziche' lorda, le banche verificano che gli accordi abbiano fondamento giuridico. Nel caso in cui i predetti accordi intendano riconoscere anche a fini prudenziali l'effetto di riduzione del rischio devono attenersi al rispetto dei criteri previsti dalla normativa (cfr. Titolo II, Capitolo 3, Sezione II, par. 10). L'esigenza di assicurare idonei presidi non viene meno nei casi in cui i finanziamenti sono concessi nella forma del rilascio di garanzie, posto che il credito di firma concesso espone la banca al rischio di dover successivamente intervenire con una erogazione per cassa, attivando conseguentemente le azioni di recupero. Cio' in particolare quando il rilascio di garanzie costituisce l'attivita' esclusiva o prevalente della banca. I presidi organizzativi devono pertanto assicurare anche: - l'approfondita conoscenza - sin dall'inizio della relazione e per tutta la durata della stessa - della capacita' dei garantiti di adempiere le proprie obbligazioni (incluse quelle di fare); - il costante monitoraggio degli impegni assunti con riferimento sia al volume sia al grado di rischiosita' degli stessi, specie in situazioni di elevata rotazione delle garanzie rilasciate. Una particolare attenzione va inoltre posta nella definizione della contrattualistica, al fine di prevenire o limitare l'insorgere di contenziosi con riferimento sia all'attivazione delle garanzie rilasciate, sia alle successive eventuali azioni di rivalsa nei confronti dei garantiti. Le banche si astengono dal sottoscrivere i contratti relativi alle garanzie rilasciate prima della definizione di tutti gli elementi essenziali del rapporto (in particolare: indicazione del beneficiario, prestazione dovuta dal garantito, ammontare e durata della garanzia, modalita' di liberazione dall'obbligo di garanzia o di rinnovo della stessa). Al fine di assicurare il monitoraggio dell'esposizione, anche per il rispetto dei requisiti prudenziali in presenza elevata rotazione delle garanzie, il sistema delle rilevazioni contabili aziendali deve consentire di ricostruire la successione temporale delle operazioni effettuate. 2.1. Valutazione del merito di credito. Le disposizioni in materia di determinazione dei requisiti patrimoniali a fronte del rischio di credito nel metodo standardizzato, prevedono l'applicazione di coefficienti di ponderazione diversificati in funzione delle valutazioni del merito creditizio rilasciate dalle ECAI. Il riconoscimento di un'ECAI, effettuato dalla Banca d'Italia mediante la procedura di cui al Titolo II, Capitolo 1, Parte Prima, Sezione VIII, non implica una valutazione di merito sulla validita' dei giudizi attribuiti o un supporto alle metodologie utilizzate, di cui le ECAI restano le uniche responsabili; esso e' volto a consentire alle banche l'utilizzo dei rating esterni ai fini del calcolo dei requisiti patrimoniali. L'utilizzo dei rating esterni non esaurisce il processo di valutazione del merito di credito che le banche devono svolgere nei confronti della clientela sovvenuta; esso rappresenta soltanto uno degli elementi che possono contribuire alla definizione del quadro informativo sulla qualita' creditizia del cliente. Le banche si dotano, pertanto, di metodologie interne che consentano una valutazione del rischio di credito derivante da esposizioni nei confronti di singoli prenditori, titoli, posizioni verso le cartolarizzazioni nonche' del rischio di credito a livello di portafoglio (28) . Tali metodologie non devono basarsi meccanicamente sulle valutazioni espresse dalle ECAI. La valutazione del merito di credito svolta dalla banca in base alle risultanze dell'attivita' istruttoria e delle sue metodologie interne puo' discostarsi da quelle effettuate dalle ECAI. Divergenze frequenti nella valutazione del merito di credito possono essere indice di incompletezza e scarsa accuratezza del sistema di valutazione dell'agenzia esterna e costituiscono utili informazioni ai fini della periodica valutazione che la Banca d'Italia effettua sulla permanenza dei presupposti per il riconoscimento delle ECAI. Le banche, oltre ad analizzare la qualita' dei singoli prenditori nell'ambito del processo di gestione del rischio, sono tenute a effettuare, con periodicita' almeno annuale, una specifica valutazione della complessiva coerenza dei rating delle ECAI con le valutazioni elaborate in autonomia. I risultati dell'esame sono formalizzati in un documento approvato dall'organo con funzione di gestione e portato a conoscenza dell'organo con funzione di supervisione strategica e dell'organo con funzione di controllo. Ove dall'esame emergano frequenti e significativi disallineamenti fra valutazioni interne ed esterne, copia della citata relazione e' trasmessa alla Banca d'Italia. 3. Rischi derivanti dall'utilizzo di tecniche di attenuazione del rischio di credito. Requisiti organizzativi specifici per la gestione dei rischi derivanti dall'utilizzo di tecniche di attenuazione del rischio di credito sono contenute nel Titolo II, Capitolo 2, Parte Prima, Sezione II. 4. Concentrazione dei rischi. Regole organizzative specifiche in materia di grandi rischi sono contenute nel Titolo V, Capitolo 1, Sezione V. Inoltre, il sistema dei controlli interni assicura la gestione e il controllo, anche attraverso specifiche politiche e procedure aziendali, dei rischi di concentrazione derivanti dalle esposizioni nei confronti di clienti, incluse le controparti centrali, gruppi di clienti connessi, clienti operanti nel medesimo settore economico, nella medesima regione geografica o che esercitano la stessa attivita' o trattano la stessa merce nonche' dall'applicazione di tecniche di attenuazione del rischio di credito, compresi in particolare i rischi derivanti da esposizioni indirette come, ad esempio, nei confronti di singoli fornitori di garanzie (cfr. Titolo III, Capitolo 1, Allegato B). 5. Rischi derivanti da operazioni di cartolarizzazione. Regole organizzative specifiche in materia di operazioni di cartolarizzazione sono contenute nel Titolo II, Capitolo 2, Parte Seconda, Sezione VII. In particolare, il sistema dei controlli interni assicura che i rischi derivanti da tali operazioni inclusi i rischi reputazionali derivanti, ad esempio, dall'utilizzo di strutture o prodotti complessi, siano gestiti e valutati attraverso adeguate politiche e procedure volte a garantire che la sostanza economica di dette operazioni sia pienamente in linea con la loro valutazione di rischiosita' e con le decisioni degli organi aziendali. 6. Rischi di mercato. I principali requisiti relativi al processo di gestione dei rischi di mercato sono riportati nel Titolo II, Capitolo 4. Il sistema di controlli interni, in particolare, assicura l'attuazione di politiche e procedure volte a identificare, misurare e gestire tutte le fonti e gli effetti derivanti dall'esposizione a rischi di mercato. Nei casi in cui una posizione corta abbia scadenza inferiore rispetto alla relativa posizione lunga, la banca adotta adeguati presidi volti a prevenire il rischio di liquidita'. In ogni caso, le banche che non sono in grado di misurare e gestire correttamente i rischi associati a strumenti finanziari sensibili a piu' fattori di rischio devono astenersi dalla negoziazione di tali strumenti (cfr. Titolo II, Capitolo 4, Parte Seconda, Sezione II). 7. Rischio tasso di interesse derivante da attivita' non appartenenti al portafoglio di negoziazione a fini di vigilanza. Le banche predispongono adeguati sistemi volti a identificare, valutare e gestire i rischi derivanti da potenziali variazioni del livello dei tassi di interesse riguardanti attivita' non appartenenti al portafoglio di negoziazione a fini di vigilanza (cfr. Titolo III, Capitolo 1, Allegato C). 8. Rischi operativi. Diversamente dagli altri rischi di «primo pilastro», per i quali la banca, in base alla sua propensione al rischio, assume consapevolmente posizioni creditizie o finanziarie per raggiungere il desiderato profilo di rischio/rendimento, l'assunzione di rischi operativi risulta implicita nella decisione di intraprendere un determinato tipo di attivita' e, piu' in generale, nello svolgimento dell'attivita' d'impresa. In tale contesto, il sistema dei controlli interni deve costituire il presidio principale per la prevenzione ed il contenimento di tali rischi. In particolare, devono essere approvate e attuate politiche e procedure aziendali volte a definire, identificare, valutare e gestire l'esposizione ai rischi operativi, inclusi quelli derivanti da eventi caratterizzati da bassa frequenza e particolare gravita'. Le disposizioni in materia di governo e gestione dei rischi operativi sono riportate nel Titolo II, Capitolo 5. Esse si differenziano in relazione al tipo di trattamento prudenziale adottato dalla banca. Le banche, inoltre, applicano le linee guida del CEBS/EBA in materia di gestione dei rischi operativi derivanti dall'attivita' di trading (cfr. CEBS/EBA GL35, «Guidelines on management of operational risks in market-related activities»). 9. Rischio di liquidita'. Considerata l'importanza crescente che il rischio di liquidita' ha assunto nel corso del tempo, i principi e le linee guida del sistema dei controlli interni sono trattati nel piu' ampio contesto dei presidi organizzavi da predisporre a fronte di questa categoria di rischio (Titolo V, Capitolo 2, Sezione V). 10. Rischio di leva finanziaria eccessiva. Le banche si dotano di politiche e procedure aziendali volte a identificare, gestire e monitorare il rischio di eccessiva leva finanziaria. Indicatori di tale tipologia di rischio sono l'indice di leva finanziaria e i disallineamenti tra attivita' e passivita'. Le banche gestiscono conservativamente il rischio di eccessiva leva finanziaria considerando i potenziali incrementi di tale rischio dovuti alle riduzioni dei fondi propri della banca causate da perdite attese o realizzate derivanti dalle regole contabili applicabili. A tal fine, le banche devono essere in grado di far fronte a diverse situazioni di stress con riferimento al rischio di leva finanziaria eccessiva. 11. Rischi connessi con l'emissione di obbligazioni bancarie garantite. Regole di dettaglio in materia di responsabilita' degli organi aziendali e controlli sulle banche che emettono obbligazioni bancarie garantite sono riportate nel Titolo V, Capitolo 3, Sezione II, par. 5. 12. Rischi connessi con l'assunzione di partecipazioni. Al fine di gestire i rischi specifici connessi con l'assunzione di partecipazioni da parte di banche e gruppi bancari, specifiche regole organizzative e di governo societario sono contenute nel Titolo V, Capitolo 4, Sezione VII. 13. Attivita' di rischio e conflitti di interesse nei confronti di soggetti collegati. Con specifico riferimento alle operazioni con parti correlate si applicano specifiche disposizioni in materia di controlli interni e responsabilita' degli organi aziendali contenute nel Titolo V, Capitolo 5, Sezione IV. 14. Rischi connessi con l'attivita' di banca depositaria di OICR e fondi pensione. Le banche che assumono l'incarico di depositaria rispettano le regole specifiche in materia di controlli interni contenute nel Titolo V, Capitolo 6, Sezioni II e IV. 15. Rischio paese e rischio di trasferimento (Country and transfer risks). Le banche sono tenute a presidiare efficacemente, in linea con il principio di proporzionalita', il rischio paese (29) e il rischio di trasferimento (30) . In particolare, le banche, tengono conto di tali rischi nell'ambito del RAF, del processo per determinare il capitale complessivo adeguato in termini attuali e prospettici (ICAAP) (31) e del processo di gestione dei rischi. Le banche formalizzano criteri per la determinazione di accantonamenti adeguati a fronte delle singole esposizioni soggette ai rischi menzionati. Allegato B CONTROLLI SULLE SUCCURSALI ESTERE Le succursali estere di banche italiane presentano peculiari esigenze di controllo. Vengono di seguito formulate alcune indicazioni di carattere minimale cui le banche devono attenersi nell'orientare le proprie scelte in materia di controlli interni. In particolare, le banche devono: - verificare la coerenza dell'attivita' di ciascuna succursale o gruppo di succursali estere con gli obiettivi e le strategie aziendali; - adottare procedure informative e contabili uniformi o comunque pienamente raccordabili con il sistema centrale, in modo da assicurare flussi informativi adeguati e tempestivi nei confronti degli organi aziendali; - conferire poteri decisionali secondo criteri rapportati alle potenzialita' delle succursali e attribuire le competenze tra le diverse unita' operative di ciascuna succursale in modo da assicurare la necessaria dialettica nell'esercizio dell'attivita'; - prevedere l'esercizio dei poteri di firma in forma congiunta; qualora le caratteristiche e la rischiosita' delle operazioni lo richiedano, deve essere previsto l'intervento di dirigenti della succursale capo-area, ove esistente, o dell'organo con funzione di gestione. Eventuali deroghe per operazioni di importo e rischiosita' limitati devono essere disciplinate con apposito regolamento; - assoggettare le succursali estere ai controlli dell'internal audit, che devono essere effettuati da personale in possesso della necessaria specializzazione; - istituire presso le succursali con una operativita' significativa, tenuto conto sia della rischiosita' della succursale rispetto alla complessiva propensione al rischio della banca, sia della complessita' operativa/organizzativa della succursale stessa, un'unita' incaricata dei controlli di secondo livello e un'unita' avente funzioni di revisione interna. Gli addetti a tali unita', di norma gerarchicamente dipendenti dalle funzione aziendali di controllo centrali, riferiscono, oltre che ai responsabili di tali funzioni, attraverso specifiche relazioni direttamente al dirigente preposto alla succursale capo-area, ove esistente, e all'organo con funzione di gestione; - effettuare il controllo documentale su tutti gli aspetti dell'operativita' ed estenderlo anche al merito della gestione in modo da condurre a una valutazione complessiva dell'andamento delle succursali estere, sotto il profilo del reddito prodotto e dei rischi assunti; l'esito delle verifiche va sottoposto all'organo con funzione di gestione, che curera', almeno una volta all'anno, uno specifico riferimento all'organo con funzione di supervisione strategica. L'organo con funzione di gestione deve avere cura di intensificare, a fini di controllo sulla propria struttura periferica, i rapporti con le parallele strutture centrali delle principali banche corrispondenti, concordando tra l'altro idonee procedure per la verifica delle posizioni reciproche. Nella selezione dei dirigenti da preporre alla guida delle filiali estere, gli organi aziendali devono tenere conto della capacita' degli interessati di adeguarsi alla logica dell'organizzazione aziendale e alle regole di comportamento applicabili in generale alle banche italiane. Vanno previste verifiche, la cui frequenza deve essere coerente con la tipologia di rischi assunti dalla succursale estera, da parte dell'organo con funzione di controllo, della funzione di revisione interna e delle societa' di revisione esterne. Le verifiche in loco condotte dalla funzione di revisione interna devono essere estese e riguardare almeno i rischi assunti, l'affidabilita' delle strutture operative, i sistemi informativi, il funzionamento dei controlli interni, l'inserimento sul mercato. La periodicita' minima delle verifiche e' graduata in relazione all'operativita' svolta e ai mercati di insediamento. I risultati delle verifiche sono portati tempestivamente a conoscenza degli organi aziendali. Allegato C IL RISK APPETITE FRAMEWORK 1. Premessa. Le banche definiscono un quadro di riferimento per la determinazione della propensione al rischio (Risk Appetite Framework - «RAF»), che fissi ex ante gli obiettivi di rischio/rendimento che l'intermediario intende raggiungere e i conseguenti limiti operativi. La formalizzazione, attraverso la definizione del RAF, di obiettivi di rischio coerenti con il massimo rischio assumibile, il business model e gli indirizzi strategici e' un elemento essenziale per la determinazione di una politica di governo dei rischi e di un processo di gestione dei rischi improntati ai principi della sana e prudente gestione aziendale. Le banche, inoltre, coordinano il quadro di riferimento per la determinazione della propensione al rischio con il processo ICAAP (cfr. Titolo III, Capitolo 1) e ne assicurano la corretta attuazione attraverso una organizzazione e un sistema dei controlli interni adeguati. 2. Indicazioni sul contenuto del RAF. Nel presente paragrafo sono fornite indicazioni minimali per la definizione del Risk Appetite Framerwork, fermo restando che l'effettiva articolazione del RAF va calibrata in base alle caratteristiche dimensionali e di complessita' operativa di ciascuna banca. Le banche assicurano una stretta coerenza e un puntuale raccordo tra: il modello di business, il piano strategico, il RAF (e i parametri utilizzati per definirlo), il processo ICAAP, i budget, l'organizzazione aziendale e il sistema dei controlli interni. Il RAF, tenuto conto del piano strategico e dei rischi rilevanti ivi individuati, e definito il massimo rischio assumibile, indica le tipologie di rischio che la banca intende assumere; per ciascuna tipologia di rischio, fissa gli obiettivi di rischio, le eventuali soglie di tolleranza e i limiti operativi in condizioni sia di normale operativita', sia di stress. Sono, altresi', indicate le circostanze, inclusi gli esiti degli scenari di stress, al ricorrere delle quali l'assunzione di determinate categorie di rischio va evitata o contenuta rispetto agli obiettivi e ai limiti fissati. Gli obiettivi di rischio, le soglie di tolleranza e i limiti di rischio sono, di norma, declinati in termini di: a) misure espressive del capitale a rischio o capitale economico (VaR, expected shortfall, ecc); b) adeguatezza patrimoniale; c) liquidita'. Con riferimento ai rischi quantificabili, la declinazione degli elementi costituenti del RAF avviene attraverso l'utilizzo di opportuni parametri quantitativi e qualitativi, calibrati in funzione del principio di proporzionalita'; a tal fine, le banche possono fare riferimento alle metodologie di misurazione dei rischi utilizzate ai fini della valutazione aziendale dell'adeguatezza patrimoniale (ICAAP) (cfr. Titolo III, Capitolo 1, Sezione II). Con riferimento ai rischi difficilmente quantificabili (quali, ad es, il rischio strategico, il rischio reputazionale o il rischio di compliance), il RAF fornisce specifiche indicazioni di carattere qualitativo che siano in grado di orientare la definizione e l'aggiornamento dei processi e dei presidi del sistema dei controlli interni. Nel RAF sono definite le procedure e gli interventi gestionali da attivare nel caso in cui sia necessario ricondurre il livello di rischio entro l'obiettivo o i limiti prestabiliti. In particolare, sono definiti gli interventi gestionali da adottare al raggiungimento della soglia di tolleranza (ove definita). Sono precisate anche le tempistiche e le modalita' da seguire per l'aggiornamento del RAF. Il RAF, infine, precisa i compiti degli organi e di tutte le funzioni aziendali coinvolte nella definizione del processo. TITOLO V Capitolo 8 IL SISTEMA INFORMATIVO Sezione I DISPOSIZIONI DI CARATTERE GENERALE 1. Premessa. Il sistema informativo (inclusivo delle risorse tecnologiche - hardware, software, dati, documenti elettronici, reti telematiche - e delle risorse umane dedicate alla loro amministrazione) rappresenta uno strumento di primaria importanza per il conseguimento degli obiettivi strategici e operativi degli intermediari, in considerazione della criticita' dei processi aziendali che dipendono da esso. Infatti: - dal punto di vista strategico, un sistema informativo sicuro ed efficiente, basato su un'architettura flessibile, resiliente e integrata a livello di gruppo consente di sfruttare le opportunita' offerte dalla tecnologia per ampliare e migliorare i prodotti e i servizi per la clientela, accrescere la qualita' dei processi di lavoro, favorire la dematerializzazione dei valori, ridurre i costi anche attraverso la virtualizzazione dei servizi bancari; - nell'ottica della sana e prudente gestione, il sistema informativo consente al management di disporre di informazioni dettagliate, pertinenti e aggiornate per l'assunzione di decisioni consapevoli e tempestive e per la corretta attuazione del processo di gestione dei rischi (cfr. Capitolo 7); - con riguardo al contenimento del rischio operativo, il regolare svolgimento dei processi interni e dei servizi forniti alla clientela, l'integrita', la riservatezza e la disponibilita' delle informazioni trattate, fanno affidamento sulla funzionalita' dei processi e dei controlli automatizzati; - in tema di compliance, al sistema informativo e' affidato il compito di registrare, conservare e rappresentare correttamente i fatti di gestione e gli eventi rilevanti per le finalita' previste da norme di legge e da regolamenti interni ed esterni. Le previsioni contenute nel presente Capitolo rappresentano requisiti di carattere generale per lo sviluppo e la gestione del sistema informativo da parte degli intermediari; le concrete misure da adottare tengono conto degli specifici obiettivi strategici e, secondo il principio di proporzionalita', della dimensione e complessita' operative, della natura dell'attivita' svolta, della tipologia dei servizi prestati nonche' del livello di automazione dei processi e servizi della banca. A tal proposito, le banche valutano l'opportunita' di avvalersi degli standard e best practices definiti a livello internazionale in materia di governo, gestione, sicurezza e controllo del sistema informativo. 2. Fonti normative. La materia e' regolata: - dalla direttiva del Parlamento europeo e del Consiglio 2013/36/UE del 26 giugno 2013, sull'accesso all'attivita' degli enti creditizi e sulla vigilanza prudenziale sugli enti creditizi e sulle imprese di investimento, che modifica la direttiva 2002/87/CE e abroga le direttive 2006/48/CE e 2006/49/CE; - dai seguenti articoli del TUB: • art. 51, il quale prevede che le banche inviino alla Banca d'Italia, con le modalita' e i tempi da essa stabiliti, le segnalazioni periodiche nonche' ogni dato e documento richiesti; • art. 53, comma 1, lett. d), che attribuisce alla Banca d'Italia, in conformita' delle delibere del CICR, il potere di emanare disposizioni di carattere generale in materia di organizzazione amministrativa e contabile e controlli interni delle banche; • art. 67, comma 1, lett. d), che attribuisce alla Banca d'Italia, in conformita' delle delibere del CICR, il potere di impartire alla capogruppo di un gruppo bancario disposizioni concernenti il gruppo complessivamente considerato o i suoi componenti aventi ad oggetto l'organizzazione amministrativa e contabile e i controlli interni; - dalla delibera del CICR del 2 agosto 1996, come modificata dalla delibera del 23 marzo 2004, in materia di organizzazione amministrativa e contabile e controlli interni delle banche e dei gruppi bancari; - dal decreto del Ministro dell'Economia e delle finanze, Presidente del CICR del 5 agosto 2004 in materia, tra l'altro, di compiti e poteri degli organi sociali delle banche e dei gruppi bancari; - dalle Recommendations for the security of internet payments emanate dalla BCE il 31 gennaio 2013 (32) . Si e' anche tenuto conto del documento Principles for effective risk data aggregation and risk reporting, pubblicato dal Comitato di Basilea per la vigilanza bancaria nel gennaio 2013 (33) . 3. Definizioni. Ai fini della presente disciplina si definisce: - «accountability»: l'assegnazione della responsabilita' di un'attivita' o processo aziendale, con il conseguente compito di rispondere delle operazioni svolte e dei risultati conseguiti, a una determinata figura aziendale; in ambito tecnico, si intende la garanzia di poter attribuire ciascuna operazione a soggetti (utenti o applicazioni) univocamente identificabili; - «autenticazione»: la procedura di verifica dell'identita' di un utente da parte di un sistema o servizio; - «autorizzazione»: la procedura che verifica se un cliente o un altro soggetto interno o esterno ha il diritto di compiere una certa azione, ad es. di trasferire fondi o accedere a dati sensibili; - «componente critica del sistema informativo»: il sistema o l'applicazione per i quali un incidente di sicurezza informatica puo' pregiudicare il regolare e sicuro svolgimento di funzioni operative importanti (cfr. Capitolo 7, par. 3) per l'intermediario, tra cui l'efficace espletamento dei compiti degli organi aziendali e delle funzioni di controllo; l'analisi dei rischi definisce le funzioni aziendali e le componenti del sistema informativo che presentano rischi rilevanti per la banca; - «credenziali»: le informazioni - generalmente riservate - utilizzate da un utente a fini di autenticazione ad un sistema o servizio. Sono inclusi nella definizione gli strumenti fisici che forniscono o memorizzano le informazioni (ad es., generatori di password non riutilizzabili, smart card) o qualcosa che l'utente ricorda (ad es., password) o rappresenta (ad es., caratteristiche biometriche); - «incidente di sicurezza informatica»: ogni evento che implica la violazione o l'imminente minaccia di violazione delle norme e delle prassi aziendali in materia di sicurezza delle informazioni (ad es., frodi informatiche, attacchi attraverso internet e malfunzionamenti e disservizi); - «grave incidente di sicurezza informatica»: un incidente di sicurezza informatica da cui derivi almeno una delle seguenti conseguenze: a) perdite economiche elevate o prolungati disservizi per l'intermediario, anche a seguito di ripetuti incidenti di minore entita'; b) disservizi rilevanti sulla clientela e altri soggetti (ad es., intermediari o infrastrutture di pagamento); la valutazione della gravita' considera il numero dei clienti o controparti potenzialmente coinvolti e l'ammontare a rischio; c) il rischio di inficiare la capacita' della banca di conformarsi alle condizioni e agli obblighi di legge o previsti dalla disciplina di vigilanza; - «minimo privilegio (least privilege)»: il principio che stabilisce che a ciascun utente o amministratore di sistema siano assegnate le abilitazioni strettamente necessarie allo svolgimento dei compiti assegnati; - «no single point of failure»: il principio architetturale secondo il quale l'eventuale guasto di un singolo componente di un sistema non compromette il regolare funzionamento dell'intero sistema; - «operazioni critiche»: le operazioni relative a funzioni operative importanti effettuate in ambiente di produzione che, se errate o non effettuate, possono pregiudicare il regolare funzionamento di componenti critiche del sistema informativo (con riferimento a dati, a programmi o alla configurazione del sistema) nonche' quelle che possono alterare, direttamente o indirettamente, i valori aziendali; - «procedura di contingency»: una procedura che, in caso di indisponibilita' o grave malfunzionamento del sistema, prevede il ricorso in condizioni di emergenza a strumenti a bassa integrazione nei processi aziendali (ad es., ricorrendo ad attivita' manuali) al fine di completare un insieme limitato di operazioni di particolare criticita'; - «procedura di fallback»: una procedura attivata in occasione di gravi problemi in caso di aggiornamento tecnologico o migrazione a nuove piattaforme, volta a fornire modalita' alternative per lo svolgimento delle funzioni applicative non funzionanti; - «rischio informatico (o ICT)»: il rischio di incorrere in perdite economiche, di reputazione e di quote di mercato in relazione all'utilizzo di tecnologia dell'informazione e della comunicazione (Information and Communication Technology - ICT). Nella rappresentazione integrata dei rischi aziendali a fini prudenziali (ICAAP), tale tipologia di rischio e' considerata, secondo gli specifici aspetti, tra i rischi operativi, reputazionali e strategici; - «rischio informatico residuo»: il rischio informatico a cui l'intermediario e' esposto una volta applicate le misure di attenuazione individuate nel processo di analisi dei rischi; - «risorsa informatica (o ICT)»: un bene dell'azienda afferente all'ICT che concorre alla ricezione, archiviazione, elaborazione, trasmissione e fruizione dell'informazione gestita dall'intermediario; - «segregazione dei compiti (segregation of duties)»: il principio che stabilisce che l'esecuzione di operazioni di particolare criticita' sia svolta attraverso la cooperazione di piu' utenti o amministratori di sistema con responsabilita' formalmente ripartite; - «utente responsabile»: la figura aziendale identificata per ciascun sistema o applicazione e che ne assume formalmente la responsabilita', in rappresentanza degli utenti e nei rapporti con le funzioni preposte allo sviluppo e alla gestione tecnica; - «verificabilita'»: la garanzia di poter ricostruire, all'occorrenza e anche a distanza di tempo, eventi connessi all'utilizzo del sistema informativo e al trattamento di dati. 4. Destinatari della disciplina. Le presenti disposizioni si applicano, secondo quanto stabilito nel Titolo I, Capitolo 1, Parte Seconda: - alle banche autorizzate in Italia, ad eccezione delle succursali di banche extracomunitarie aventi sede nei paesi del Gruppo dei Dieci ovvero in quelli inclusi in un apposito elenco pubblicato e periodicamente aggiornato dalla Banca d'Italia (34) ; - alle capogruppo di gruppi bancari; - alle imprese di riferimento, secondo quanto previsto dalla Sezione VI del Capitolo 7. Sezione II GOVERNO E ORGANIZZAZIONE DEL SISTEMA INFORMATIVO 1. Premessa. Nell'ambito della generale disciplina dell'organizzazione e dei controlli interni, sono attribuiti agli organi e funzioni aziendali ruoli e responsabilita', relativi allo sviluppo e alla gestione del sistema informativo, nel rispetto del principio della separazione delle funzioni di controllo da quelle di supervisione e gestione. 2. Compiti dell'organo con funzione di supervisione strategica. L'organo con funzione di supervisione strategica assume la generale responsabilita' di indirizzo e controllo del sistema informativo, nell'ottica di un ottimale impiego delle risorse tecnologiche a sostegno delle strategie aziendali (ICT governance). In tale ambito esso: - approva le strategie di sviluppo del sistema informativo, in considerazione dell'evoluzione del settore di riferimento e in coerenza con l'articolazione in essere e a tendere dei settori di operativita', dei processi e dell'organizzazione aziendale; in tale contesto approva il modello di riferimento per l'architettura del sistema informativo; - approva la policy di sicurezza informatica (35) ; - approva le linee di indirizzo in materia di selezione del personale con funzioni tecniche e di acquisizione di sistemi, software e servizi, incluso il ricorso a fornitori esterni (cfr. Sezione VI); - promuove lo sviluppo, la condivisione e l'aggiornamento di conoscenze in materia di ICT all'interno dell'azienda; - e' informato con cadenza almeno annuale circa l'adeguatezza dei servizi erogati e il supporto di tali servizi all'evoluzione dell'operativita' aziendale, in rapporto ai costi sostenuti; e' informato tempestivamente in caso di gravi problemi per l'attivita' aziendale derivanti da incidenti e malfunzionamenti del sistema informativo. Con specifico riguardo all'esercizio della responsabilita' di supervisione della analisi del rischio informatico (cfr. Sezione III), lo stesso organo: - approva il quadro di riferimento organizzativo e metodologico per l'analisi del rischio informatico, promuovendo l'opportuna valorizzazione dell'informazione sul rischio tecnologico all'interno della funzione ICT e l'integrazione con i sistemi di misurazione e gestione dei rischi (in particolare quelli operativi, reputazionali e strategici); - approva la propensione al rischio informatico, avuto riguardo ai servizi interni e a quelli offerti alla clientela, in conformita' con gli obiettivi di rischio e il quadro di riferimento per la determinazione della propensione al rischio definiti a livello aziendale (cfr. Capitolo 7, Allegato C); - e' informato con cadenza almeno annuale sulla situazione di rischio informatico rispetto alla propensione al rischio. Nell'Allegato A, sono riportati i documenti che l'organo con funzione di supervisione strategica approva nell'ambito del suo ruolo e responsabilita' nella materia. 3. Compiti dell'organo con funzione di gestione. L'organo con funzione di gestione ha il compito di assicurare la completezza, l'adeguatezza, la funzionalita' (in termini di efficacia ed efficienza) e l'affidabilita' del sistema informativo. In particolare, tale organo: - definisce la struttura organizzativa della funzione ICT (ove presente) (36) assicurandone nel tempo la rispondenza alle strategie e ai modelli architetturali definiti dall'organo con funzione di supervisione strategica; garantisce il corretto dimensionamento quali-quantitativo delle risorse umane; - definisce l'assetto organizzativo, metodologico e procedurale per il processo di analisi del rischio informatico, perseguendo un opportuno livello di raccordo con la funzione di risk management per i processi di stima del rischio operativo; - tranne che nel caso di full outsourcing, approva il disegno dei processi di gestione del sistema informativo, garantendo l'efficacia ed efficienza dell'impianto nonche' la complessiva completezza e coerenza, con particolare riguardo ad una funzionale assegnazione di compiti e responsabilita', alla robustezza dei controlli, alla validita' del supporto metodologico e procedurale; - approva gli standard di data governance, le procedure di gestione dei cambiamenti e degli incidenti (ove del caso, in raccordo con le procedure del fornitore di servizi) e, di norma con cadenza annuale, il piano operativo delle iniziative informatiche, verificandone la coerenza con le esigenze informative e di automazione delle linee di business nonche' con le strategie aziendali; - valuta almeno annualmente le prestazioni della funzione ICT rispetto alle strategie e agli obiettivi fissati, in termini di rapporto costi / benefici o utilizzando sistemi integrati di misurazione delle prestazioni (37) , assumendo gli opportuni interventi e iniziative di miglioramento; - approva almeno annualmente la valutazione del rischio delle componenti critiche nonche' la relazione sull'adeguatezza e costi dei servizi ICT, informando a tale riguardo l'organo con funzione di supervisione strategica; in tale ambito, riscontra la complessiva situazione del rischio informatico in rapporto alla propensione al rischio definita, disponendo allo scopo di idonei flussi informativi concernenti, come minimo, il livello di rischio residuo per le diverse risorse informatiche, lo stato di implementazione dei presidi di attenuazione del rischio (cfr. Sezione III), l'evoluzione delle minacce connesse con l'utilizzo di ICT nonche' gli incidenti registratisi nel periodo di riferimento; - monitora il regolare svolgimento dei processi di gestione e di controllo dei servizi ICT e, a fronte di anomalie rilevate, pone in atto opportune azioni correttive; - assume decisioni tempestive in merito a gravi incidenti di sicurezza informatica (cfr. Sezione IV) e fornisce informazioni all'organo con funzione di supervisione strategica in caso di gravi problemi per l'attivita' aziendale derivanti da incidenti e malfunzionamenti. In relazione alla responsabilita' e ai compiti assegnati, l'organo con funzione di gestione e' dotato di competenze tecnico-manageriali, tenuto conto della dimensione, complessita' e articolazione organizzativa dell'intermediario nonche' delle strategie di sourcing. Nell'Allegato A sono riportati le procedure, gli standard e i piani soggetti all'approvazione dell'organo con funzione di gestione. 4. Organizzazione della funzione ICT. L'articolazione organizzativa della funzione ICT dipende da fattori quali la complessita' della struttura societaria, la dimensione, i settori di attivita', le strategie di business e gestionali. Essa si ispira a criteri di funzionalita', efficienza e sicurezza, definendo chiaramente compiti e responsabilita' e contemplando in particolare: - linee di riporto dirette a livello dell'organo con funzione di gestione (38) a garanzia dell'unitarieta' della visione gestionale e del rischio informatico nonche' dell'uniformita' di applicazione delle norme riguardanti il sistema informativo; eventuali unita' di sviluppo decentrato sotto il controllo delle linee di business sono comunque inquadrate nel piu' generale disegno architetturale e agiscono nell'ambito di regole definite a livello aziendale; - le responsabilita' e gli assetti connessi con la pianificazione e il controllo del portafoglio dei progetti informatici, con il governo dell'evoluzione dell'architettura e dell'innovazione tecnologica nonche' con le attivita' di gestione del sistema informativo (39) ; - la realizzazione degli opportuni meccanismi di raccordo con le linee di business, con particolare riguardo alle attivita' di individuazione e pianificazione delle iniziative informatiche (regolare rilevazione delle esigenze di servizi informatici e promozione delle opportunita' tecnologiche offerte dall'evoluzione del sistema informativo). 5. La sicurezza informatica. La funzione di sicurezza informatica e' deputata allo svolgimento dei compiti specialistici in materia di sicurezza delle risorse ICT. In particolare: - segue la redazione e l'aggiornamento delle policy di sicurezza e delle istruzioni operative; - assicura la coerenza dei presidi di sicurezza con le policy approvate; - partecipa alla progettazione, realizzazione e manutenzione dei presidi di sicurezza dei data center; - partecipa alla valutazione del rischio potenziale nonche' all'individuazione dei presidi di sicurezza nell'ambito del processo di analisi del rischio informatico (cfr. Sezione III); - assicura il monitoraggio nel continuo delle minacce applicabili alle diverse risorse informatiche (cfr. Sezione IV, par. 3); - segue lo svolgimento dei test di sicurezza prima dell'avvio in produzione di un sistema nuovo o modificato (cfr. Sezione IV, par. 5). Nelle realta' piu' complesse, l'indipendenza di giudizio rispetto alle funzioni operative e' assicurata da un'adeguata collocazione organizzativa. 6. Il controllo del rischio informatico e la compliance ICT. Nell'ambito del sistema dei controlli interni sono chiaramente assegnate responsabilita' in merito allo svolgimento dei seguenti compiti di controllo di secondo livello: - il controllo dei rischi, basato su flussi informativi continui in merito all'evoluzione del rischio informatico e sul monitoraggio dell'efficacia delle misure di protezione delle risorse ICT. La gestione del complessivo rischio informatico si raccorda con il processo di analisi sulle singole risorse ICT (cfr. Sezione III). Le valutazioni svolte sono documentate e riviste in rapporto ai risultati del monitoraggio e comunque almeno una volta l'anno. Con riferimento alle banche con un modello interno validato sul rischio operativo, i dati sulle perdite operative in ambito ICT sono integrati con i dati e gli scenari relativi alle altre funzioni aziendali, e ne sono presidiati la qualita' e completezza; - il rispetto dei regolamenti interni e delle normative esterne in tema di ICT (ICT compliance) garantendo, tra l'altro: • l'assistenza su aspetti tecnici in caso di questioni legali relative al trattamento dei dati personali; • la coerenza degli assetti organizzativi alle normative esterne, per le parti relative al sistema informativo; • l'analisi di conformita' dei contratti di outsourcing e con fornitori (inclusi i contratti infra-gruppo). 7. Compiti della funzione di revisione interna. L'internal audit dispone - al suo interno o mediante il ricorso a risorse esterne (40) - delle competenze specialistiche necessarie per assolvere ai propri compiti di assurance attinenti al sistema informativo aziendale (ICT audit). La pianificazione degli interventi ispettivi assicura nel tempo un'adeguata copertura delle varie applicazioni, infrastrutture e processi di gestione, incluse le eventuali componenti esternalizzate (41) . A prescindere dalla forma adottata per gli accertamenti (ad es., audit mirati ovvero verifiche sulle applicazioni e componenti del sistema informativo nell'ambito di ispezioni su strutture organizzative o processi produttivi), l'internal audit e' in grado di fornire valutazioni sui principali rischi tecnologici identificabili e sulla complessiva gestione del rischio informatico dell'intermediario. Sezione III L'ANALISI DEL RISCHIO INFORMATICO L'analisi del rischio informatico costituisce uno strumento a garanzia dell'efficacia ed efficienza delle misure di protezione delle risorse ICT, permettendo di graduare le misure di mitigazione nei vari ambienti in funzione del profilo di rischio dell'intermediario. Il processo di analisi e' svolto con il concorso dell'utente responsabile (42) , del personale della funzione ICT, delle funzioni di controllo dei rischi, di sicurezza informatica e, ove opportuno, dell'audit, secondo metodologie e responsabilita' formalmente definite dall'organo con funzione di gestione. Esso si compone delle seguenti fasi: - la valutazione del rischio potenziale cui sono esposte le risorse informatiche esaminate; tale attivita' interessa tutte le iniziative di sviluppo di nuovi progetti e di modifica rilevante del sistema informativo (43) . Tale fase prende l'avvio con la classificazione delle risorse ICT (44) in termini di rischio informatico (45) ; - il trattamento del rischio, volto a individuare, se necessario, misure di attenuazione - di tipo tecnico o organizzativo - idonee a contenere il rischio potenziale. L'analisi determina il rischio residuo da sottoporre ad accettazione formale dell'utente responsabile (46) . Qualora il rischio residuo ecceda la propensione al rischio informatico, approvato dall'organo con funzione di supervisione strategica (cfr. Sezione II, par. 2), l'analisi propone l'adozione di misure alternative o ulteriori di trattamento del rischio (47) , definite con il coinvolgimento della funzione di controllo dei rischi e sottoposte all'approvazione dell'organo con funzione di gestione. Per le procedure in esercizio, per le quali non e' stata svolta un'analisi del rischio in fase di sviluppo, e' comunque prevista una valutazione integrativa, al fine di individuare eventuali presidi in aggiunta a quelli gia' in essere, da attuare secondo uno specifico piano di implementazione. I tempi di attuazione del piano e i presidi compensativi di tipo organizzativo o procedurale nelle more dell'attuazione, sono documentati e sottoposti all'accettazione formale dell'utente responsabile. I risultati del processo (livelli di classificazione, rischi potenziali e residui, lista delle minacce considerate, elenco dei presidi individuati), ogni loro aggiornamento successivo, le assunzioni operate e le decisioni assunte, sono documentati e portati a conoscenza dell'organo con funzione di gestione. Il processo di analisi del rischio e' ripetuto con periodicita' adeguata alla tipologia delle risorse ICT e dei rischi e, comunque, in presenza di situazioni che possono influenzare il complessivo livello di rischio informatico (48) . Sezione IV LA GESTIONE DELLA SICUREZZA INFORMATICA 1. Premessa. La gestione della sicurezza informatica comprende i processi e le misure volti, in raccordo con la generale azione aziendale per preservare la sicurezza delle informazioni e dei beni aziendali, a garantire a ciascuna risorsa informatica una protezione, in termini di riservatezza, integrita', disponibilita', verificabilita' e accountability, appropriata e coerente lungo l'intero ciclo di vita. Obiettivo di tale processo e' anche di contribuire alla conformita' del sistema informativo alle norme di legge e a regolamenti interni ed esterni. La struttura dei processi e l'intensita' dei presidi da porre in atto dipende dalle risultanze del processo di analisi dei rischi (cfr. Sezione III). 2. Policy di sicurezza. La policy di sicurezza informatica e' approvata dall'organo con funzione di supervisione strategica e comunicata a tutto il personale e alle terze parti coinvolte nella gestione di informazioni e componenti del sistema informativo. Essa riporta: - gli obiettivi del processo di gestione della sicurezza informatica in linea con la propensione al rischio informatico definito a livello aziendale (cfr. Sezione II, par. 2); tali obiettivi sono espressi in termini di esigenze di protezione e di controllo del rischio tecnologico; - i principi generali di sicurezza sull'utilizzo e la gestione del sistema informativo da parte dei diversi profili aziendali; - i ruoli e le responsabilita' connessi alla funzione di sicurezza informatica nonche' all'aggiornamento e verifica delle policy; - il quadro di riferimento organizzativo e metodologico dei processi di gestione dell'ICT deputati a garantire l'appropriato livello di protezione; - le linee di indirizzo per le attivita' di comunicazione, formazione e sensibilizzazione delle diverse classi di utenti; - un richiamo alle norme interne che disciplinano le conseguenze di violazioni rilevate della policy da parte del personale; - un richiamo alle norme di legge e alle altre normative esterne applicabili inerenti alla sicurezza di informazioni e risorse ICT, incluse le norme riportate nella presente Sezione. La policy di sicurezza puo' fare riferimento a documenti di maggiore dettaglio, ad es. linee guida o manuali operativi in tema di configurazioni e procedure di sicurezza per particolari componenti e applicazioni; policy dedicata per i servizi di pagamento via internet; norme per il corretto utilizzo di applicazioni aziendali trasversali, quali la posta elettronica e la navigazione internet. La regolare revisione della policy di sicurezza tiene conto dell'evoluzione del campo di attivita', dei prodotti forniti, delle tecnologie e dei rischi fronteggiati dall'intermediario (cfr. Sezione III). 3. La sicurezza delle informazioni e delle risorse ICT. La sicurezza delle informazioni e delle risorse informatiche e' garantita attraverso misure di protezione a livello fisico e logico, la cui intensita' di applicazione e' graduata in relazione alle risultanze della valutazione del rischio (classificazione delle risorse informatiche in termini di sicurezza). Tali misure sono distribuite su diversi strati, cosi' che un'eventuale falla in una linea di difesa sia coperta dalla successiva («difesa in profondita'»), comprendendo: - i presidi fisici di difesa e le procedure di autorizzazione e controllo per l'accesso fisico a sistemi e dati (ad es., barriere perimetrali con punti di ingresso vigilati, locali ad accesso controllato con registrazione degli ingressi e delle uscite); - la regolamentazione dell'accesso logico a reti, sistemi, basi di dati sulla base delle effettive esigenze operative (principio del need to know); i diritti di accesso sono accordati, mediante ricorso ad opportuni profili abilitativi, previa formale autorizzazione; l'elenco degli utenti abilitati e' sottoposto a verifica con periodicita' definita; - la procedura di autenticazione per l'accesso alle applicazioni e ai sistemi; in particolare sono garantiti l'univoca associazione a ciascun utente delle proprie credenziali di accesso, il presidio della riservatezza dei fattori di autenticazione (49) , l'osservanza degli standard definiti all'interno nonche' delle normative applicabili, ad es. in materia di composizione e gestione della password, di limiti ai tentativi di accesso, di lunghezza di chiavi crittografiche; - la segmentazione della rete di telecomunicazione, con controllo dei flussi scambiati, in particolare tra domini connotati da diversi livelli di sicurezza (ad es., sistemi e utenti interni, applicazioni core, sistemi e utenti esterni); l'accesso a sistemi e servizi critici tramite canali pubblici (ad es., nel caso dell'e-banking tramite internet) sono presidiati in modo da soddisfare rigorosi requisiti di sicurezza e fornire un livello di protezione conforme ai rischi da fronteggiare (50) ; - l'adozione di metodologie e tecniche per lo sviluppo sicuro del software quale possibile presidio di difesa per componenti valutate nell'analisi del rischio informatico a un livello di rischio potenziale elevato; - la separazione degli ambienti di sviluppo, collaudo e produzione, con adeguata formalizzazione del passaggio di moduli software tra di essi (par. 5), al fine di evitare - di norma - l'accesso a dati riservati e componenti critiche da parte del personale addetto allo sviluppo (51) ; l'ambiente di produzione e' sottoposto a misure piu' restrittive di controllo degli accessi e delle modifiche; - i criteri per la selezione e la gestione del personale adibito al trattamento dei dati e allo svolgimento di operazioni critiche (amministratori di sistema e utenti privilegiati) con particolare riguardo alla valutazione delle competenze e dell'affidabilita' del personale, alla stipula di specifici impegni di riservatezza nonche' alla gestione nel continuo delle mansioni assegnate (ad es., per mezzo di verifiche periodiche degli elenchi del personale abilitato e di misure di job rotation); - le procedure per lo svolgimento delle operazioni critiche, garantendo il rispetto dei principi del minimo privilegio e della segregazione dei compiti (ad es., specifiche procedure di abilitazione e di autenticazione, controlli di tipo four eyes (52) , o di verifica giornaliera ex post); - il monitoraggio, anche attraverso l'analisi di log e tracce di audit, di accessi, operazioni e altri eventi al fine di prevenire e gestire gli incidenti di sicurezza informatica; le attivita' degli amministratori di sistema e altri utenti privilegiati delle componenti critiche sono sottoposte a stretto controllo; - il monitoraggio continuativo delle minacce e delle vulnerabilita' di sicurezza; - le regole di tracciabilita' delle azioni svolte, finalizzate a consentire la verifica a posteriori delle operazioni critiche, con l'archiviazione dell'autore, data e ora (53) , contesto operativo e altre caratteristiche salienti della transazione. Le tracce elettroniche sono conservate per un periodo non inferiore a 24 mesi in archivi non modificabili o le cui modifiche sono puntualmente registrate. 4. La sicurezza delle applicazioni sviluppate dalle unita' operative e di controllo. Lo sviluppo di applicazioni direttamente in carico alle unita' operative e di controllo e' sottoposto a misure di natura organizzativa e metodologica, tese a garantire un livello di sicurezza comparabile con le applicazioni sviluppate dalla funzione ICT. Un periodico monitoraggio censisce le applicazioni sviluppate con strumenti di informatica d'utente e ne verifica la rispondenza alla policy di sicurezza, in particolare se utilizzate in attivita' rilevanti quali la predisposizione dei dati di bilancio, del risk management, della finanza e del reporting direzionale, al fine di contenere il rischio operativo (54) . 5. La gestione dei cambiamenti. La procedura di gestione dei cambiamenti delle applicazioni e risorse ICT e' formalmente definita e garantisce il controllo su modifiche, sostituzioni o adeguamenti tecnologici, in particolare nell'ambiente di produzione. Il processo si svolge sotto la responsabilita' di una figura o struttura aziendale con elevato grado di indipendenza rispetto alla funzione di sviluppo e prevede, in modo proporzionato alla complessita' e al profilo di rischio tecnologico dell'intermediario: - la predisposizione e il costante aggiornamento nel tempo di un inventario o mappa del patrimonio ICT (hardware, software, dati, procedure) (55) ; - la valutazione dell'impatto dei cambiamenti sul sistema e dei rischi correlati con le proposte di modifica; - l'autorizzazione formale di ogni cambiamento in ambiente di produzione (56) ; tale procedura comprende l'accettazione, nei casi critici individuati nell'analisi dei rischi, nel nuovo rischio residuo; - la pianificazione, il coordinamento e la documentazione degli interventi di modifica, prevedendo attivita' di collaudo e test di sicurezza, in un ambiente deputato e distinto da quello di produzione; - il ricorso a un idoneo sistema di gestione della configurazione di sistema (hardware, software, procedure di gestione e utilizzo, modalita' di interconnessione), per il controllo dell'implementazione dei cambiamenti, inclusa la possibilita' di ripristino della situazione ex ante. Le modifiche in caso di emergenza possono essere gestite con presidi non pienamente conformi alle policy ordinarie ma comunque adeguati alla particolare situazione. Tali modifiche sono comunque sottoposte a tracciamento e notificate ex post all'utente responsabile. Le iniziative di ampio impatto sul sistema informativo (ad es., modifiche rilevanti sulle componenti critiche, adeguamenti in conseguenza di fusioni o scissioni, migrazione ad altre piattaforme informatiche) - che si inseriscono di norma in piani strategici all'attenzione dell'organo con funzione di supervisione strategica - sono preventivamente comunicate alla Banca d'Italia e prevedono, in aggiunta a quanto sopra specificato, idonee misure, tecniche, organizzative e procedurali, volte a garantire un avvio in esercizio controllato e con limitati impatti sui servizi forniti alla clientela (ad es., implementazione per stadi successivi, periodi di esercizio in parallelo con la precedente procedura, procedure di fallback e contingency). Flussi informativi verso i vari livelli manageriali e gli organi aziendali consentono il monitoraggio dell'avanzamento del progetto.   6. La gestione degli incidenti di sicurezza informatica. La gestione degli incidenti di sicurezza informatica segue procedure formalmente definite, con l'obiettivo di minimizzare l'impatto di eventi avversi e garantire il tempestivo ripristino del regolare funzionamento dei servizi e delle risorse ICT coinvolti. Le funzioni a cui comunicare l'incidente sono individuate secondo un'opportuna procedura di escalation; i casi piu' gravi che comportino rischi di interruzione della continuita' operativa sono segnalati alla struttura preposta a dichiarare lo stato di crisi (cfr. Capitolo 9). A seguito dell'analisi degli incidenti di sicurezza informatica e dei relativi rilievi delle funzioni di audit e della compliance sono definite e monitorate le azioni correttive. In ogni caso, le informazioni salienti dell'evento e i passi seguiti nella gestione dello stesso sono documentati. Il processo si raccorda con il monitoraggio di sistemi, accessi e operazioni (cfr. par. 3) nonche' con la gestione dei malfunzionamenti e delle segnalazioni di problemi da parte degli utenti interni ed esterni, favorendo l'assunzione di iniziative di prevenzione (57) . Le procedure definite per gravi incidenti di sicurezza informatica includono la cooperazione con le forze dell'ordine preposte e con gli altri operatori o enti coinvolti, anche in caso di fuoriuscite di informazioni. I gravi incidenti di sicurezza informatica sono comunicati tempestivamente alla Banca d'Italia, con l'invio di un rapporto sintetico recante una descrizione dell'incidente e dei disservizi provocati agli utenti interni e alla clientela nonche' i seguenti dati, accertati o presunti: i) data e ora dell'accadimento o della manifestazione dell'incidente; ii) risorse e servizi coinvolti; iii) cause, tempi e modalita' previsti per il pieno ripristino dei livelli di disponibilita' e sicurezza definiti e per il completo accertamento dei fatti connessi; iv) descrizione delle azioni intraprese e dei risultati ottenuti; v) una valutazione dei danni delle perdite economiche o danni d'immagine. 7. La disponibilita' delle informazioni e delle risorse ICT. La disponibilita' dell'accesso a dati e dei servizi telematici e' garantita agli utenti autorizzati in orari e con modalita' conformi alle esigenze (58) . A tal fine, i processi interessati (definizione dei modelli architetturali, sviluppo di applicazioni e infrastrutture, gestione dei problemi tecnici, monitoraggio e pianificazione della capacita' elaborativa e trasmissiva, gestione dei fornitori) tengono conto delle seguenti indicazioni: - con riguardo alle applicazioni di maggiore criticita' e ai servizi ICT rivolti alla clientela sono formalmente definiti i livelli di servizio che l'intermediario si impegna ad osservare; le prestazioni delle componenti critiche rispetto a tali livelli sono regolarmente monitorate e formano oggetto di sintetici rapporti disponibili periodicamente a tutte le parti interessate; e' assicurata la congruita' tra i livelli di servizio definiti per le componenti tra loro dipendenti; - in relazione alle esigenze di disponibilita' delle singole applicazioni, sono definite procedure di backup (di dati, software e configurazione) e di ripristino su sistemi alternativi, in precedenza individuati; - le architetture sono disegnate in considerazione dei profili di sicurezza informatica delle applicazioni ospitate, tenendo conto di tutte le risorse ICT e di supporto interessate (alimentazione elettrica, impianti di condizionamento, ecc.); a tale riguardo, l'intermediario valuta la necessita' di predisporre piattaforme particolarmente robuste e ridondate (ad es., applicando il principio del no single point of failure) volte a garantire l'alta disponibilita' delle applicazioni maggiormente critiche, in sinergia con le procedure e il sistema di disaster recovery; - in funzione dei profili di rischio delle comunicazioni, delle applicazioni e dei servizi acceduti, i collegamenti telematici interni alla banca o al gruppo sono opportunamente ridondati; in relazione al rischio di incidenti di sicurezza informatica che possono determinare l'interruzione dei servizi (ad es., mediante attacchi di tipo denial of service o distributed denial of service), oltre a soluzioni specifiche per l'individuazione e il blocco del traffico malevolo, la banca valuta l'opportunita' di sfruttare procedure e strumenti per l'allocazione dinamica di capacita' trasmissiva ed elaborativa; - la gestione del sistema informativo e' opportunamente automatizzata e si avvale, per quanto possibile, di procedure standardizzate; le operazioni di manutenzione ordinaria e straordinaria sono pianificate e comunicate con congruo anticipo agli utenti interessati; - le informazioni raccolte attraverso il processo di monitoraggio delle risorse ICT alimentano il regolare processo di capacity planning (59) e sono utilizzate nella progettazione dell'evoluzione del sistema informativo. Sezione V IL SISTEMA DI GESTIONE DEI DATI Il sistema di registrazione e reporting dei dati e' deputato a tracciare tempestivamente tutte le operazioni aziendali e i fatti di gestione al fine di fornire informazioni complete e aggiornate sulla attivita' aziendali e sull'evoluzione dei rischi. Esso assicura nel continuo l'integrita', completezza e correttezza dei dati conservati e delle informazioni rappresentate; inoltre, garantisce l'accountability e l'agevole verificabilita' (ad es., da parte delle funzioni di controllo) delle operazioni registrate. In particolare, il sistema di gestione dei dati soddisfa i seguenti requisiti: - la registrazione dei fatti aziendali e' completa, corretta e tempestiva, al fine di consentire la ricostruzione dell'attivita' svolta (60) ; - e' definito uno standard aziendale di data governance, che individua ruoli e responsabilita' delle funzioni coinvolte nell'utilizzo e nel trattamento, a fini operativi e gestionali delle informazioni aziendali (61) ; in considerazione della loro rilevanza nel sistema informativo, sono definite le misure atte a garantire e a misurare la qualita' (62) , ad es. attraverso key quality indicator riportati periodicamente agli utenti di business, alle funzioni di controllo e all'organo con funzione di gestione; - la identificazione, la misurazione o la valutazione, il monitoraggio, la prevenzione o l'attenuazione dei rischi connessi con la qualita' dei dati fa parte del processo di gestione dei rischi (cfr. Capitolo 7); in caso di acquisizione o incorporazione di soggetti esterni, la due diligence comprende la valutazione dell'impatto dell'operazione sulle procedure di gestione e aggregazione dei dati; l'utilizzo di procedure settoriali (contabilita', segnalazioni, antiriciclaggio, ecc.) non compromette la qualita' e la coerenza complessiva dei dati aziendali; a livello consolidato, il sistema di gruppo assicura l'integrazione tra le informazioni provenienti da tutte le componenti del gruppo; - nel caso di ricorso a un data warehouse aziendale a fini di analisi e reporting, le procedure di estrazione dei dati, di trasformazione, controllo e caricamento negli archivi accentrati - cosi' come le funzioni di sfruttamento dei dati - sono dettagliatamente documentate, al fine di consentire la verifica sulla qualita' dei dati; - le procedure di gestione e aggregazione dei dati sono documentate, con specifica previsione delle circostanze in cui e' ammessa l'immissione o la rettifica manuale di dati aziendali, registrando data, ora, autore e motivo dell'intervento, ambiente operativo interessato e i dati precedenti la modifica; - i processi di acquisizione di dati da information provider esterni sono documentati e presidiati; - i dati sono conservati con una granularita' adeguata a consentire le diverse analisi e aggregazioni richieste dalle procedure di sfruttamento; - i rapporti prodotti espongono le principali assunzioni e gli eventuali criteri di stima adottati (ad es., nell'ambito del monitoraggio dei rischi aziendali); - il sistema di reporting consente di produrre informazioni tempestive e di qualita' elevata per l'autorita' di vigilanza e per il mercato. Sezione VI L'ESTERNALIZZAZIONE DEL SISTEMA INFORMATIVO 1. Tipologie di esternalizzazione. L'esternalizzazione delle risorse e servizi ICT puo' assumere diverse forme a seconda del modello architetturale adottato: dall'outsourcing verticale (relativo a determinati processi operativi) all'outsourcing orizzontale di servizi trasversali come la gestione degli apparati hardware (facility management), lo sviluppo e la gestione del parco applicativo (application management), i collegamenti di rete, l'help desk tecnico e gli interventi di riparazione e manutenzione delle risorse ICT, fino al full outsourcing del complessivo sistema informativo aziendale. Le norme nella presente Sezione si applicano ai casi di full outsourcing o di esternalizzazione di componenti critiche del sistema informativo, a complemento di quanto disposto in materia di outsourcing di funzioni aziendali nel Capitolo 7, Sezioni IV e V. L'intermediario valuta la possibilita' di ricorrere all'esternalizzazione considerando attentamente tutti i rischi (tra cui: operativi, di compliance, strategici e reputazionali) inerenti tale opzione, e tenendo conto della necessita', nel caso, di mettere in atto le idonee misure di contenimento. Con particolare riferimento all'esternalizzazione di parte o tutto il sistema presso fornitori al di fuori del gruppo di appartenenza, la scelta e' basata su un'analisi del rischio, che considera in primo luogo la stima dei rischi delle risorse e servizi da esternalizzare (ad es., tiene conto della classificazione dei dati e della criticita' dell'operativita' interessata, valutando in particolare i rischi derivanti dalla perdita del controllo diretto su componenti del sistema informativo e personale critici, nonche' dei volumi delle operazioni) e quindi valuta i rischi dei possibili fornitori (ad es., condizioni finanziarie, posizionamento sul mercato, qualita' e turnover del management e del personale, capacita' di gestire la continuita' operativa e di fornire accurati e tempestivi report direzionali sull'attivita' svolta, competenza ed esperienza, qualita' e sicurezza nonche' economicita' e maturita', in un adeguato orizzonte temporale, della fornitura), la qualita' dei sub-fornitori, la ridondanza delle linee di comunicazione utilizzate nonche' l'affidabilita', la sicurezza e la scalabilita' delle tecnologie adottate. Nell'elaborazione del modello architetturale e delle strategie di esternalizzazione vanno considerati approcci tesi a contenere, per quanto possibile, il grado di dipendenza da specifici fornitori e partner tecnologici esterni al gruppo bancario (c.d. vendor lock-in), salvaguardando la possibilita' di sostituire la fornitura con un'altra funzionalmente equivalente (ad es., privilegiando il ricorso a standard aperti per le connessioni, la memorizzazione e lo scambio di dati, la cooperazione applicativa) e prevedendo opportune exit strategies (63) . Tali valutazioni tengono conto del principio di proporzionalita' e dell'opportunita', per le banche di maggiore dimensione, di mantenere all'interno della banca o del gruppo competenze professionali per gestire una transizione tra modelli di sourcing in caso di grave necessita'. Il mantenimento nel tempo da parte del fornitore delle condizioni necessarie a fornire un servizio rispondente alle esigenze e conforme alle norme e' assicurato attraverso idonei strumenti contrattuali e procedure di controllo. 2. Accordi con i fornitori e altri requisiti. Nel caso di esternalizzazione del sistema informativo e di risorse ICT critiche, la comunicazione preventiva alla Banca d'Italia (cfr. Capitolo 7, Sezioni IV e V) include i risultati dell'analisi dei rischi e - limitatamente agli intermediari delle macro-categorie 1 e 2 a fini SREP - la descrizione delle exit strategies previste. Il referente per l'attivita' esternalizzata possiede le competenze idonee per esercitare il proprio ruolo di controllo sulle componenti gestite dal fornitore di servizi. Nei contratti con i fornitori di sistemi e servizi ICT, in aggiunta alle richiamate disposizioni del Capitolo 7, sono disciplinati al minimo i seguenti aspetti: - l'obbligo per il fornitore di servizi di osservare la policy di sicurezza informatica aziendale, per quanto applicabile; il fornitore provvede al trattamento dei dati in accordo con il loro livello di classificazione, con particolare riferimento alla riservatezza; - la proprieta' di dati, software, documentazione tecnica e altre risorse ICT, con l'esclusiva per l'intermediario sui dati inerenti la clientela e i servizi ad essa forniti; - la periodica produzione delle copie di backup del sistema informativo (database, transazioni, log applicativi e di sistema); l'intermediario puo' accedere alle copie di backup su richiesta; - la ripartizione dei compiti e delle responsabilita' attinenti i presidi di sicurezza per la tutela di dati, applicazioni e sistemi; i presidi sono riferiti alle principali minacce interne ed esterne, anche attraverso internet; - le procedure di comunicazione e coordinamento in caso di incidenti di sicurezza informatica e di continuita' operativa; - la definizione di livelli di servizio coerenti con le esigenze delle applicazioni e dei processi aziendali che si avvalgono dei servizi esternalizzati; - la predisposizione di misure di tracciamento idonee a garantire l'accountability e la ricostruibilita' delle operazioni effettuate, almeno con riferimento alle operazioni critiche e agli accessi a dati riservati; - il raccordo con i ruoli e le procedure definite all'interno dell'intermediario per il processo di analisi dei rischi (cfr. Sezione III) e per il sistema di gestione dei dati (cfr. Sezione V); - la possibilita' per l'intermediario di conoscere l'ubicazione dei data center e una indicazione del numero di addetti con accesso ai dati riservati o alle componenti critiche; tali informazioni sono periodicamente aggiornate dal fornitore di servizi; - l'obbligo per il fornitore di servizi, una volta concluso il rapporto contrattuale e trascorso un periodo di tempo concordato, di eliminare - facendo uso di opportuni strumenti e capacita' tecniche, debitamente documentati - qualsiasi copia o stralcio di dati riservati di proprieta' dell'intermediario e presente su propri sistemi o supporti, in modo da escludere qualunque accesso successivo da parte del proprio personale o di terzi. 3. Indicazioni particolari. L'intermediario pone particolare cautela nella valutazione di offerte di servizi in outsourcing erogati secondo modelli innovativi che prevedono la fruizione delle risorse informatiche nella forma di servizi accessibili via rete e configurabili in modo flessibile dall'utente (cloud computing). Il cloud computing puo' essere implementato secondo diverse tipologie: - cloud privato: ambienti interni alla societa' o al gruppo che permettono la condivisione di risorse ICT tra piu' aree e realta' aziendali; questo caso non rientra nella definizione di servizio esternalizzato; - community: i servizi sono utilizzati da un ristretto numero di organizzazioni, tipicamente operanti nello stesso settore economico, che condividono analoghe necessita' e obiettivi. La condivisione delle risorse informatiche e' ristretta a dette organizzazioni; - cloud pubblico: i servizi sono erogati a un vasto numero di utenti con funzionalita' offerte in maniera aperta e condivisa. I fornitori in genere sfruttano la possibilita' di condividere in modo flessibile le proprie risorse tra i diversi utenti e applicano di norma tariffe proporzionali all'utilizzo (pay-per-use). Nel caso dell'acquisizione di servizi in community o in cloud pubblici i maggiori rischi potenziali possono richiedere una piu' elevata complessita' dei controlli da predisporre, in particolare in caso di esternalizzazione di componenti critiche. A causa della possibilita' tecnica per il fornitore di spostare rapidamente e in modo trasparente all'utente le risorse dedicate ai vari clienti, e' importante che le locazioni dei data center utilizzabili siano preventivamente comunicate. E' necessario prevedere adeguati meccanismi di isolamento dei dati di un intermediario rispetto agli altri clienti, a garanzia della loro riservatezza e integrita'. Il fornitore garantisce contrattualmente il rispetto dei livelli di servizio stabiliti, anche in casi di emergenza o di contesa delle risorse da parte di altri suoi clienti, e assicura la piena ricostruzione degli accessi e delle modifiche effettuate sui dati, anche per finalita' ispettive. Sono concordate con il fornitore di servizi modalita' di audit adeguate alla criticita' delle risorse esternalizzate e in considerazione dell'architettura del fornitore. Parte di provvedimento in formato grafico TITOLO V Capitolo 9 LA CONTINUITA' OPERATIVA 1. Destinatari. L'Allegato A, Sezione II (Requisiti per tutti gli operatori) si applica alle banche e ai gruppi bancari. L'Allegato A, Sezione III (Requisiti particolari per i processi a rilevanza sistemica) si applica, in aggiunta ai requisiti previsti nella Sezione II dell'Allegato A, ai soggetti, individuati nominativamente, con apposita comunicazione, fra i gruppi bancari e le banche non appartenenti a gruppi con una quota di mercato, calcolata sul totale attivo, superiore al 5 per cento del totale del sistema bancario. Nell'ambito dei gruppi bancari, i requisiti particolari si applicano alla capogruppo, alle singole controllate bancarie italiane con totale attivo superiore a 5 miliardi di euro e alle altre controllate bancarie, finanziarie e strumentali che, indipendentemente dalla dimensione e localizzazione, svolgono in misura rilevante i processi a rilevanza sistemica o danno un supporto essenziale a questi ultimi. Possono essere altresi' assoggettati ai requisiti particolari gli operatori, incluse le succursali italiane di banche estere, che, su base individuale, detengono una quota di mercato superiore al 5 per cento in almeno uno dei seguenti segmenti del sistema finanziario italiano: regolamento lordo in moneta di banca centrale, liquidazione di strumenti finanziari, servizi di controparte centrale, sistemi multilaterali di scambio di depositi interbancari in euro, aste BCE, operazioni di finanziamento del Tesoro effettuate tramite asta, mercato dei pronti contro termine all'ingrosso su titoli di Stato, pagamento delle pensioni sociali, bollettini postali. 2. Fonti normative. La materia e' regolata: - dalla direttiva del Parlamento europeo e del Consiglio 2013/36/UE del 26 giugno 2013, sull'accesso all'attivita' degli enti creditizi e sulla vigilanza prudenziale sugli enti creditizi e sulle imprese di investimento, che modifica la direttiva 2002/87/CE e abroga le direttive 2006/48/CE e 2006/49/CE; - dai seguenti articoli del TUB: • art. 51, il quale prevede che le banche inviino alla Banca d'Italia, con le modalita' e i tempi da essa stabiliti, le segnalazioni periodiche nonche' ogni dato e documento richiesti; • art. 53, comma 1, lett. d), che attribuisce alla Banca d'Italia, in conformita' delle delibere del CICR, il potere di emanare disposizioni di carattere generale in materia di organizzazione amministrativa e contabile e controlli interni delle banche; • art. 67, comma 1, lett. d), che attribuisce alla Banca d'Italia, in conformita' delle delibere del CICR, il potere di impartire alla capogruppo di un gruppo bancario disposizioni concernenti il gruppo complessivamente considerato o i suoi componenti aventi ad oggetto l'organizzazione amministrativa e contabile e i controlli interni; - dalla delibera del CICR del 2 agosto 1996, come modificata dalla delibera del 23 marzo 2004, in materia di organizzazione amministrativa e contabile e controlli interni delle banche e dei gruppi bancari. Si tiene anche conto delle Guidelines on Internal Governance, dell'EBA/CEBS del 27 settembre 2011. 3. Banche soggette ai requisiti applicabili a tutti gli operatori (Allegato A, Sezione II). Fermo restando quanto previsto nell'Allegato A, Sezione II, si precisa quanto segue: - i gruppi bancari - coerentemente con quanto previsto nel Capitolo 7, Sezione V (Il RAF, il sistema dei controlli interni e l'esternalizzazione nei gruppi bancari) - possono definire e gestire i piani di continuita' operativa in modo accentrato per l'intero gruppo o decentrato per singola societa'. In ogni caso la capogruppo assicura che tutte le controllate siano dotate di piani di continuita' operativa e verifica la coerenza degli stessi con gli obiettivi strategici del gruppo in tema di contenimento dei rischi. A livello di gruppo sono stabiliti controlli sul raggiungimento degli obiettivi di continuita' operativa definiti per l'intero gruppo e le singole componenti; - i compiti e le responsabilita' degli organi aziendali indicati ai punti a), b), c), d), ed e) dell'Allegato A, Sezione II, par. 3.1, rientrano nelle competenze dell'organo con funzione di supervisione strategica; i compiti e le responsabilita' indicati nei punti f) e g) del menzionato paragrafo, spettano all'organo con funzione di gestione; - le banche segnalano alla Banca d'Italia, tra le «cariche rilevanti a fini di Vigilanza» previste nella procedura «organi sociali» (Or.So.), il nome del responsabile del piano di continuita' operativa (cfr. Allegato A, Sezione II, par. 0); - la procedura per la dichiarazione dello stato di crisi (cfr. Allegato A, Sezione II, par. 3.1) e' definita in raccordo con il processo di gestione degli incidenti di sicurezza informatica (cfr. Capitolo 8, Sezione IV, par. 6) e delle altre tipologie di incidenti; - le verifiche annuali dei sistemi informativi (cfr. Allegato A, Sezione II, par. 3.5) prevedono anche l'operativita' on-line di almeno una succursale; - le previsioni in materia di Esternalizzazione, infrastrutture e controparti rilevanti (cfr. Allegato A, Sezione II, par. 3.7), si applicano coerentemente con quanto previsto dalle disposizioni in materia di esternalizzazione previste nei Capitoli 7 e 8; - in caso di situazione di crisi che non assumano rilevanza sistemica per il sistema finanziario, le banche e i gruppi bancari contattano, al fine di agevolare il coordinamento degli interventi, la Banca d'Italia. 4. Banche soggette ai requisiti particolari per i processi a rilevanza sistemica (Allegato A, Sezione III). Fermo restando quanto previsto nell'Allegato A, Sezione III, si precisa quanto segue: - per i gruppi bancari, la capogruppo promuove e coordina l'attuazione degli interventi di adeguamento dei piani di continuita' operativa relativi ai processi a rilevanza sistemica e garantisce nel continuo il rispetto da parte di tutte le controllate interessate dei requisiti previsti per i processi a rilevanza sistemica. Nomina un responsabile unico di tali attivita', con competenze estese all'intero gruppo (cfr. Allegato A, Sezione III, par. 2.2); - per le succursali italiane di intermediari esteri, il coordinamento del piano di continuita' operativa relativo ai processi a rilevanza sistemica e' assicurato dalle succursali stesse, in stretto raccordo con le strutture che gestiscono la continuita' operativa a livello centrale o di area geografica. Allegato A REQUISITI PER LA CONTINUITA' OPERATIVA Sezione I DISPOSIZIONI DI CARATTERE GENERALE 1. Premessa. La crescente complessita' dell'attivita' finanziaria, l'intenso utilizzo della tecnologia dell'informazione e i nuovi scenari di rischio richiedono che gli operatori rafforzino l'impegno a garantire adeguati livelli di continuita' operativa. A tal fine, essi adottano un approccio esteso che, partendo dalla identificazione dei processi aziendali critici, definisca per ciascuno di essi presidi organizzativi e misure di continuita' operativa commisurati ai livelli di rischio. Le concrete misure da adottare tengono conto degli standard e best practices definiti a livello internazionale e/o definiti nell'ambito degli organismi di categoria. 2. Definizioni. - «CODISE (continuita' di servizio)»: struttura per il coordinamento delle crisi operative della piazza finanziaria italiana presieduta dalla Banca d'Italia; - «crisi»: situazione formalmente dichiarata di interruzione o deterioramento di uno o piu' processi critici o a rilevanza sistemica in seguito a incidenti o catastrofi; - «escalation»: conduzione della gestione di un incidente caratterizzata da un aumento progressivo dei livelli aziendali coinvolti, fino a giungere, ove necessario, all'organo di amministrazione; - «emergenza»: situazione originata da incidenti o catastrofi che colpiscono l'operatore, caratterizzata dalla necessita' di adottare misure tecniche e gestionali eccezionali, finalizzate al tempestivo ripristino della normale operativita'; - «gestione della continuita' operativa»: insieme delle iniziative volte a ridurre a un livello ritenuto accettabile i danni conseguenti a incidenti o catastrofi che colpiscono direttamente o indirettamente un operatore; - «piano di continuita' operativa»: documento che formalizza i principi, fissa gli obiettivi, descrive le procedure e individua le risorse, per la gestione della continuita' operativa dei processi aziendali critici e a rilevanza sistemica. Esso e' generalmente articolato in piani settoriali; - «piano di disaster recovery»: documento che stabilisce le misure tecniche e organizzative per fronteggiare eventi che provochino la indisponibilita' dei centri di elaborazione dati. Il piano di disaster recovery, finalizzato a consentire il funzionamento delle procedure informatiche rilevanti in siti alternativi a quelli di produzione, costituisce parte integrante del piano di continuita' operativa; - «punto di ripristino»: istante di salvataggio dei dati fino al quale e' garantita l'integrita' degli stessi nei siti primari e alternativi; - «sito alternativo»: infrastruttura che consente all'operatore di continuare a svolgere i propri processi critici e a rilevanza sistemica, anche in caso di incidenti o disastri che rendano indisponibile il sito primario; - «sito primario»: infrastruttura presso la quale sono normalmente svolte le attivita' dell'operatore; - «tempo di ripristino di un processo»: periodo che intercorre fra il momento in cui l'operatore dichiara lo stato crisi e l'istante in cui il processo e' ripristinato a un livello di servizio predefinito. Esso e' costituito dai tempi di: • analisi degli eventi e decisione delle azioni da intraprendere, prima di effettuare gli interventi; • ripartenza del processo, attraverso l'attuazione degli interventi tecnici e organizzativi e la successiva verifica sulla possibilita' di rendere nuovamente disponibili i servizi senza danni e in condizioni di sicurezza. Sezione II REQUISITI PER TUTTI GLI OPERATORI 1. Ambito del piano di continuita' operativa. Gli operatori definiscono un piano di continuita' operativa per la gestione di situazioni di crisi conseguenti a incidenti di portata settoriale, aziendale ovvero a catastrofi estese che colpiscono l'operatore o le sue controparti rilevanti (altre societa' del gruppo; principali fornitori; clientela primaria; specifici mercati finanziari; sistemi di regolamento, compensazione e garanzia). I piani di continuita' operativa prevedono soluzioni, non solo basate su misure tecnico-organizzative finalizzate alla salvaguardia degli archivi elettronici e al funzionamento dei sistemi informativi, ma che considerino anche ipotesi di crisi estesa e blocchi prolungati delle infrastrutture essenziali in modo da assicurare la continuita' operativa dell'operatore in caso di eventi disastrosi. Laddove alcuni processi critici siano svolti da soggetti specializzati appartenenti al gruppo (ad es., allocazione della funzione informatica o del back-office presso una societa' strumentale), i relativi presidi di continuita' operativa costituiscono parte integrante dei piani di continuita' operativa degli operatori. Il piano di continuita' operativa si inquadra nella complessiva politica di governo dei rischi dell'operatore; esso tiene conto delle vulnerabilita' esistenti e delle misure preventive poste in essere per garantire il raggiungimento degli obiettivi aziendali. Il piano di continuita' operativa prende in considerazione diversi scenari di crisi basati almeno sui seguenti fattori di rischio, conseguenti a eventi naturali o attivita' umana, inclusi danneggiamenti gravi da parte di dipendenti: - distruzione o inaccessibilita' di strutture nelle quali sono allocate unita' operative o apparecchiature critiche; - indisponibilita' di sistemi informativi critici; - indisponibilita' di personale essenziale per il funzionamento dei processi aziendali; - interruzione del funzionamento delle infrastrutture (tra cui energia elettrica, reti di telecomunicazione, reti interbancarie, mercati finanziari); - alterazione o perdita di dati e documenti critici. Il piano di continuita' operativa indica le procedure per il rientro dall'emergenza, con particolare attenzione alla rilevazione dei danni, alla gestione di tutte le operazioni di rientro, alla verifica dell'operativita' per i servizi ripristinati. 2. Analisi di impatto. L'analisi di impatto, preliminare alla stesura del piano di continuita' operativa e periodicamente aggiornata, individua il livello di rischio relativo ai singoli processi aziendali e pone in evidenza le conseguenze della interruzione del servizio. I rischi residui, non gestiti dal piano di continuita' operativa, sono documentati ed esplicitamente accettati dagli organi aziendali competenti. L'allocazione delle risorse e le priorita' di intervento sono correlate al livello di rischio. L'analisi di impatto tiene conto dei parametri caratteristici della struttura organizzativa e dell'operativita' aziendale, tra cui: - le specificita' - in termini di probabilita' di catastrofe - connesse con la localizzazione dei siti rilevanti (ad es., sismicita' dell'area, dissesto idrogeologico del territorio, vicinanza ad insediamenti industriali pericolosi, prossimita' ad aeroporti o a istituzioni con alto valore simbolico); - i profili di concentrazione geografica (ad es., presenza di una pluralita' di operatori nei centri storici di grandi citta'); - la complessita' dell'attivita' tipica o prevalente e il grado di automazione raggiunto; - le dimensioni aziendali e l'articolazione territoriale dell'attivita'; - il livello di esternalizzazione di funzioni rilevanti (ad es., outsourcing del sistema informativo o del back-office); - l'assetto organizzativo in termini di accentramento o decentramento di processi critici; - i vincoli derivanti da interdipendenze, anche tra e con fornitori, clienti, altri operatori. L'analisi di impatto prende in considerazione, oltre ai rischi operativi, anche gli altri rischi (ad es., di mercato e di liquidita'). 3. Definizione del piano di continuita' operativa e gestione delle crisi. 3.1. Ruolo degli organi aziendali. Il tema della continuita' operativa e' adeguatamente valutato a tutti i livelli di responsabilita'. In tale ambito, l'organo di amministrazione: a) stabilisce gli obiettivi e le strategie di continuita' operativa del servizio; b) assicura risorse umane, tecnologiche e finanziarie adeguate per il conseguimento degli obiettivi fissati; c) approva il piano di continuita' operativa e le successive modifiche a seguito di adeguamenti tecnologici ed organizzativi, accettando i rischi residui non gestiti dal piano di continuita' operativa; d) e' informato, con frequenza almeno annuale, sugli esiti dei controlli sull'adeguatezza del piano nonche' delle verifiche delle misure di continuita' operativa; e) nomina il responsabile del piano di continuita' operativa; f) promuove lo sviluppo, il controllo periodico del piano di continuita' operativa e l'aggiornamento dello stesso a fronte di rilevanti innovazioni organizzative, tecnologiche e infrastrutturali nonche' nel caso di lacune o carenze riscontrate ovvero di nuovi rischi sopravvenuti; g) approva il piano annuale delle verifiche delle misure di continuita' operativa ed esamina i risultati delle prove documentati in forma scritta. L'organo con funzione di controllo ha la responsabilita' di vigilare sulla completezza, adeguatezza, funzionalita' e affidabilita' del piano di continuita' operativa. L'attivita' svolta e le decisioni assunte sono adeguatamente documentate. 3.2. I processi critici. Gli operatori identificano in modo circostanziato i processi relativi a funzioni aziendali di particolare rilevanza che, per l'impatto dei danni conseguenti alla loro indisponibilita', necessitano di elevati livelli di continuita' operativa da conseguire mediante misure di prevenzione e con soluzioni di continuita' operativa da attivare in caso di incidente. A tal fine, sono considerati con particolare attenzione i processi che attengono alla gestione dei rapporti con la clientela, ivi incluse imprese e pubbliche amministrazioni, e alla registrazione dei fatti contabili. Per ciascun processo critico sono individuati il responsabile, le procedure informatiche di supporto, il personale addetto, le strutture logistiche interessate, le infrastrutture tecnologiche e di comunicazione utilizzate. Il responsabile del processo individua, in accordo con gli indirizzi strategici e con le regole stabilite nel piano di continuita' operativa, il tempo di ripristino del processo e collabora attivamente alla realizzazione delle misure di continuita' operativa. 3.3. La responsabilita' del piano di continuita' operativa. Il responsabile del piano di continuita' operativa aziendale ha una posizione gerarchico-funzionale adeguata. Il responsabile cura lo sviluppo del piano di continuita' operativa, ne assicura l'aggiornamento nel continuo, a fronte di cambiamenti organizzativi o tecnologici rilevanti, e ne verifica l'adeguatezza, con cadenza almeno annuale. Tale figura tiene inoltre i contatti con la Banca d'Italia in caso di crisi. Laddove il piano di continuita' operativa sia articolato in piani settoriali, gli operatori individuano i referenti per ciascuno di essi. I referenti dei piani settoriali (64) coordinano, per gli aspetti di competenza, i lavori per la definizione e la manutenzione dei piani, per l'attuazione delle misure previste nello stesso e per la conduzione delle verifiche. Prima dell'attivazione di nuovi sistemi o processi operativi, essi definiscono le opportune modifiche dei piani. 3.4. Il contenuto del piano di continuita' operativa. Il piano di continuita' operativa documenta i presupposti e le modalita' per la dichiarazione dello stato di crisi, l'organizzazione e le procedure da seguire in situazione di crisi, l'iter per la ripresa della normale operativita'. Il piano di continuita' operativa attribuisce l'autorita' di dichiarare lo stato di crisi e stabilisce la catena di comando incaricata di gestire l'azienda in circostanze eccezionali. Sono previste misure di escalation rapide che consentano, una volta assunta consapevolezza della portata dell'incidente, di dichiarare lo stato di crisi in tempi brevi. I processi per la gestione degli incidenti e per la dichiarazione e gestione dello stato di crisi sono formalizzati e strettamente integrati fra loro. Anche a tal fine, sono esplicitamente individuati i membri della struttura preposta alla gestione della crisi (ad es., comitato di crisi), il responsabile della stessa struttura, la catena di comando, le modalita' interne di comunicazione e le responsabilita' attribuite alle funzioni aziendali interessate. Il piano di continuita' operativa stabilisce i tempi di ripristino dei processi critici. Il piano di continuita' operativa individua i siti alternativi, prevede spazi e infrastrutture logistiche e di comunicazione adeguate per il personale coinvolto nella crisi, stabilisce le regole di conservazione delle copie dei documenti importanti (ad es., i contratti) in luoghi remoti rispetto ai documenti originali. Con riferimento ai sistemi informativi centrali e periferici, il piano di continuita' operativa integra il piano di disaster recovery (65) . In quest'ultimo sono fornite indicazioni su modalita' e frequenza di generazione delle copie degli archivi di produzione, nonche' sulle procedure per il ripristino presso i siti alternativi. La frequenza dei back-up e' correlata alle dimensioni e alle funzioni (66) dell'operatore; gli archivi di produzione dei processi critici sono duplicati almeno giornalmente. Sono assunte cautele per il tempestivo trasporto e la conservazione delle copie elettroniche in siti a elevata sicurezza fisica posti in luoghi remoti rispetto ai sistemi di produzione (67) . Il piano di continuita' operativa definisce le modalita' di comunicazione con la clientela, le controparti rilevanti, le autorita' e i media. I siti alternativi possono dover essere utilizzati, in caso di necessita', anche per periodi prolungati. 3.5. Le verifiche. Le modalita' di verifica delle misure di continuita' operativa dipendono dalla criticita' dei processi e dai rischi ravvisati; di conseguenza sono ipotizzabili differenti frequenze e livelli di dettaglio delle prove. In alcuni casi puo' essere sufficiente la simulazione parziale dell'evento catastrofico; per i processi critici le verifiche prevedono il coinvolgimento degli utenti finali, dei fornitori di servizi e, qualora possibile, delle controparti rilevanti. Con frequenza almeno annuale sono svolte verifiche complessive, basate su scenari il piu' possibile realistici, del ripristino della operativita' dei processi critici in condizioni di crisi, riscontrando la capacita' dell'organizzazione di attuare nei tempi previsti le misure definite nel piano di continuita' operativa. In particolare, le verifiche annuali dei sistemi informativi prevedono l'attivazione dei collegamenti di rete presso il sito alternativo e l'esecuzione delle procedure batch con controllo della funzionalita' e delle prestazioni dei siti alternativi. Le prove sono preferibilmente realizzate con dati di produzione. I risultati delle verifiche sono documentati per iscritto, portati all'attenzione degli organi aziendali competenti e inviati, per le parti di competenza, alle unita' operative coinvolte e alla funzione di audit. A fronte di carenze riscontrate nelle prove sono tempestivamente avviate le opportune azioni correttive. 3.6. Le risorse umane. Il piano di continuita' operativa individua il personale essenziale per assicurare la continuita' operativa dei processi critici e fornisce allo stesso indicazioni dettagliate sulle attivita' da porre in essere in caso di crisi. Le procedure di continuita' operativa sono chiare e dettagliate, in modo da poter essere eseguite anche da risorse non impegnate nell'ordinaria attivita' nei processi cui si riferiscono. Il personale coinvolto nel piano di continuita' operativa e' addestrato sulle misure di continuita' operativa, accede alla lista di contatto e alla documentazione necessaria per operare in situazione di crisi, ha dimestichezza con i siti alternativi e con le apparecchiature in essi contenute, partecipa alle sessioni di verifica delle misure di continuita' operativa. Va valutata l'opportunita' di frazionare l'attivita' connessa con i processi critici in piu' siti ovvero di organizzare il lavoro del personale su turni. 3.7. Esternalizzazione, infrastrutture e controparti rilevanti. In caso di esternalizzazione di funzioni aziendali connesse allo svolgimento di processi critici, il piano di continuita' operativa prevede le misure da attuare in caso di crisi con impatto rilevante sull'operatore o sul fornitore di servizi. Nel contratto sono formalizzati i livelli di servizio assicurati in caso di crisi e le soluzioni di continuita' operativa poste in atto dal fornitore di servizi, adeguati al conseguimento degli obiettivi aziendali e coerenti con le prescrizioni della Banca d'Italia. Sono altresi' stabilite le modalita' di partecipazione, diretta o per il tramite di comitati utente, alle verifiche dei piani di continuita' operativa dei fornitori. L'operatore acquisisce i piani di continuita' operativa del fornitore di servizi o dispone di informazioni adeguate, al fine di valutare la qualita' delle misure previste e di integrarle con le soluzioni di continuita' operativa realizzate all'interno. Il fornitore di servizi comunica tempestivamente all'operatore il verificarsi di incidenti al fine di consentire la pronta attivazione delle relative procedure di continuita' operativa. Il piano di continuita' operativa dell'operatore considera l'eventualita' che le principali infrastrutture tecnologiche e finanziarie e le controparti rilevanti siano colpite da un evento catastrofico e stabilisce le misure per gestire i problemi conseguenti; la capacita' di comunicare con i siti alternativi di tali soggetti e' verificata periodicamente. Per i servizi essenziali dell'operatore, va valutata la possibilita' di prevedere il ricorso, in casi di emergenza, a fornitori alternativi. Nel caso in cui il fornitore abbia impegnato le stesse risorse per fornire analoghi servizi ad altre aziende, in particolare se situate nella stessa zona, sono stabilite cautele contrattuali per evitare il rischio che, in caso di esigenze concomitanti di altre organizzazioni, le prestazioni degenerino o il servizio si renda di fatto indisponibile. 3.8. Controlli. Il piano di continuita' operativa e il relativo processo di aggiornamento sono oggetto di regolare verifica da parte della funzione di revisione interna. L'internal audit prende visione dei programmi di verifica, assiste alle prove e ne controlla i risultati, proponendo modifiche al piano di continuita' operativa sulla base delle mancanze riscontrate. In tale ambito, particolare attenzione e' posta all'analisi dei criteri di escalation. In caso di incidenti, la funzione di audit verifica la congruita' dei tempi rilevati per la dichiarazione dello stato di crisi. La funzione di revisione interna e' anche coinvolta nel controllo dei piani di continuita' operativa dei fornitori di servizi esternalizzati e degli altri fornitori critici; essa puo' decidere di fare affidamento sulle strutture di questi ultimi se ritenute professionali, indipendenti e trasparenti quanto ai risultati dei controlli. L'internal audit esamina i contratti per accertare che il livello di tutela sia adeguato agli obiettivi e agli standard aziendali. Gli operatori considerano l'opportunita' di sottoporre il piano di continuita' operativa alla revisione da parte di competenti terze parti indipendenti. 3.9. Comunicazioni alla Banca d'Italia. In caso di crisi, successivamente al ripristino dei processi critici, l'operatore fornisce alla Banca d'Italia valutazioni circa l'impatto dell'evento sulla operativita' delle strutture centrali e periferiche e sui rapporti con la clientela e le controparti. Sezione III REQUISITI PARTICOLARI PER I PROCESSI A RILEVANZA SISTEMICA 1. Premessa. L'operativita' del sistema finanziario nel suo complesso si basa sul corretto funzionamento dei maggiori operatori e sulla loro capacita' di erogare i servizi essenziali nei comparti dei sistemi di pagamento e dell'accesso ai mercati finanziari. A tali soggetti la Banca d'Italia puo' chiedere il rispetto di requisiti di continuita' operativa piu' stringenti rispetto a quelli previsti per la generalita' degli operatori, in particolare con riferimento ai tempi di ripristino per i processi a rilevanza sistemica (cfr. par. 2.1), alla localizzazione dei siti alternativi, alle risorse previste per gestire le situazioni di crisi. La Banca d'Italia individua nominativamente gli operatori ai quali si applicano i requisiti particolari, richiede adeguamenti dei piani di continuita' operativa, verifica le soluzioni adottate. Tali operatori partecipano alle iniziative per il coordinamento della continuita' operativa del sistema finanziario del CODISE. 2. Definizione del piano di continuita' operativa e gestione delle crisi. 2.1. Processi a rilevanza sistemica. I processi ad alta criticita' nel sistema finanziario italiano che, per un effetto di contagio, possono provocare il blocco dell'operativita' dell'intera piazza finanziaria nazionale si concentrano nei sistemi di pagamento e nelle procedure per l'accesso ai mercati finanziari. Tali processi sono denominati, ai fini delle presenti disposizioni, «processi a rilevanza sistemica» per la continuita' operativa del sistema finanziario italiano. La Banca d'Italia comunica a ciascun operatore i processi a rilevanza sistemica di pertinenza. Si tratta di un complesso strutturato di attivita' finalizzate all'erogazione dei seguenti servizi: - servizi connessi con i sistemi di regolamento lordo in moneta di banca centrale e con i sistemi di gestione accentrata, compensazione, garanzia e liquidazione degli strumenti finanziari. Sono inclusi: regolamento lordo in moneta di banca centrale (Target 2), liquidazione di strumenti finanziari (Express II), gestione accentrata di strumenti finanziari, sistemi di riscontro e rettifica giornalieri, servizi di controparte centrale; - servizi connessi con l'accesso ai mercati rilevanti per regolare la liquidita' del sistema finanziario. Sono inclusi: sistemi multilaterali di scambio di depositi interbancari in euro (e-Mid), aste BCE, operazioni di finanziamento del Tesoro effettuate tramite asta, Mercato dei pronti contro termine all'ingrosso su titoli di Stato (MTS comparto PCT); - servizi di pagamento al dettaglio a larga diffusione tra il pubblico. Sono inclusi: bollettini postali, pagamento delle pensioni sociali, erogazione del contante; - servizi strettamente funzionali al soddisfacimento di fondamentali esigenze di liquidita' degli operatori economici, il cui blocco ha rilevanti effetti negativi sull'operativita' degli stessi. Sono inclusi: gestione delle infrastrutture telematiche per l'erogazione del contante tramite terminale ATM, supporto ad applicazioni e servizi rientranti nell'ambito della «Convenzione per la partecipazione al Sistema per la trasmissione telematica di dati» (SITRAD). 2.2. Responsabilita'. L'operatore: - attua gli interventi di adeguamento dei piani di continuita' operativa relativi ai processi a rilevanza sistemica; - garantisce nel continuo il rispetto dei requisiti particolari; - nomina un responsabile unico di tali attivita'. 2.3. Scenari di rischio. Gli scenari di rischio rilevanti per la continuita' operativa dei processi a rilevanza sistemica sono documentati e costantemente aggiornati. Essi includono, in aggiunta a quanto previsto per tutti gli operatori: eventi catastrofici con distruzioni fisiche su larga scala, a dimensione metropolitana o superiore, che investano infrastrutture essenziali dell'operatore e di terzi; situazioni di crisi gravi anche non connesse ad eventi con distruzioni materiali (ad es., pandemie, attacchi biologici, attacchi informatici su larga scala). 2.4. Siti alternativi. I siti alternativi per i processi a rilevanza sistemica sono situati a congrua distanza dai siti primari in modo da assicurare un elevato grado di indipendenza tra i due insediamenti. In generale, i siti alternativi sono ubicati all'esterno dell'area metropolitana nella quale sono presenti i siti primari; inoltre, essi utilizzano servizi (telecomunicazioni, energia, acqua, ecc.) distinti da quelli impiegati in produzione. Laddove cio' non avvenga e' necessaria una valutazione rigorosa, supportata da pareri di parti terze qualificate (ad es., Protezione Civile, accademici, professionisti) e compiutamente documentata, che il rischio di indisponibilita' contemporanea dei siti primari e alternativi e' trascurabile. I siti alternativi dei sistemi informativi sono configurati con capacita' adeguata, all'occorrenza, a gestire volumi di attivita' attestati sui picchi massimi riscontrati nel corso dell'operativita' ordinaria. 2.5. Tempi di ripristino e percentuali di disponibilita'. Il tempo di ripristino per i processi a rilevanza sistemica non supera le quattro ore. Il tempo di ripartenza per i processi a rilevanza sistemica non supera le due ore. Se un evento catastrofico che colpisce un operatore determina un blocco dei processi a rilevanza sistemica di altri operatori, questi ultimi ripristinano i propri processi sistemici entro due ore dalla ripartenza dell'operatore colpito in prima istanza. Nel caso in cui gli scenari (cfr. par. 2.3) determinino impatti particolarmente gravi, gli obiettivi di ripristino indicati possono subire un adattamento che sara' segnalato agli operatori interessati dalla Banca d'Italia, tenuto conto delle indicazioni condivise nel CODISE. Con riferimento ai sistemi informativi, sono considerate adeguate le soluzioni basate su architetture tecnologiche che effettuino la duplicazione in linea dei dati operativi in modo da eliminare o ridurre al minimo la perdita di informazioni. A tal fine l'intervallo di tempo che intercorre fra il punto di ripristino e il momento dell'incidente e' pari o prossimo a zero. E' previsto, anche in caso di situazioni estreme, un ripristino quanto piu' possibile immediato dei processi a rilevanza sistemica, anche facendo ricorso a procedure a bassa integrazione nei processi aziendali, purche' presidiate dal punto di vista della sicurezza (ad es., mediante l'utilizzo di PC off-line, fax, contatti telefonici con controparti selezionate), in particolare per gestire le esigenze essenziali di liquidita'. 2.6. Risorse. Il piano di continuita' operativa individua le risorse - umane, tecnologiche e logistiche - necessarie per l'operativita' dei processi a rilevanza sistemica. Occorre garantire - con misure organizzative, mediante accordi con terzi, con la duplicazione del personale o con altri provvedimenti documentati - la presenza nei siti alternativi, all'occorrenza, del personale necessario per l'operativita' dei processi a rilevanza sistemica. Va evitata la concentrazione, nello stesso luogo e allo stesso tempo, del personale chiave. 2.7. Verifiche. Sono effettuate, con frequenza almeno annuale, verifiche accurate sui presidi delle misure di continuita' operativa dei processi a rilevanza sistemica. Viene assicurata la partecipazione attiva ai test e alle simulazioni di sistema organizzati o promossi dalle autorita', dai mercati e dalle principali infrastrutture finanziarie. 3. Comunicazioni alla Banca d'Italia. In caso di incidenti che possano avere impatti rilevanti sui processi a rilevanza sistemica, la dichiarazione dello stato di crisi prevede l'immediata richiesta di attivazione del CODISE con una prima valutazione degli operatori potenzialmente danneggiati. In caso di crisi, successivamente al ripristino dei processi a rilevanza sistemica, l'operatore fornisce con tempestivita' alla Banca d'Italia valutazioni circa l'impatto dell'evento sulla operativita' delle strutture centrali e periferiche e sui rapporti con la clientela e le controparti. Gli operatori sistemici inviano alla Banca d'Italia un'informativa annuale sulle principali caratteristiche del piano di continuita' operativa, sugli adeguamenti e integrazioni intervenuti in corso d'anno, sulle verifiche da parte dell'internal audit, sui principali incidenti e sulle criticita' ricorrenti. (1) Alle banche che prestano attivita' e servizi di investimento si applicano anche le disposizioni contenute nel Regolamento della Banca d'Italia e della Consob del 29 ottobre 2007, come successivamente modificato e integrato, in materia di organizzazione e procedure degli intermediari che prestano servizi di investimento o di gestione collettiva del risparmio. (2) Tra le funzioni aziendali di controllo rientrano anche la funzione antiriciclaggio e la funzione di convalida (cfr. Titolo II, Capitolo 1, Parte Seconda, Sezione III, par. 2.1, in materia di Rischio di credito - Metodologia basata sui rating interni (IRB)). Tali funzioni sono disciplinate dalle citate disposizioni e, in quanto compatibile, dal presente Capitolo. (3) Devono essere considerati, a titolo esemplificativo e non esaustivo, il rischio strategico, il rischio di credito, il rischio di controparte, il rischio di concentrazione, il rischio di mercato, il rischio di tasso di interesse, il rischio operativo, il rischio di liquidita', il rischio di reputazione, il rischio di modello, i rischi derivanti da prestiti in valuta estera, il rischio paese, il rischio di trasferimento nonche' i rischi derivanti dall'ambiente macroeconomico in cui la banca opera anche con riferimento all'andamento del ciclo economico. Si riportano, nell'Allegato A, le linee guida riferite a specifiche categorie di rischio, fermo restando quanto previsto nelle specifiche discipline relative alle singole tipologie di rischio. (4) Alle banche che prestano attivita' e servizi di investimento si applicano anche le disposizioni contenute nel Regolamento della Banca d'Italia e della Consob del 29 ottobre 2007, come successivamente modificato e integrato, in materia di organizzazione e procedure degli intermediari che prestano servizi di investimento o di gestione collettiva del risparmio. (5) Cfr. Capitolo 8 (Il sistema informativo). (6) Nell'Allegato B sono previsti specifici controlli per le succursali estere di banche italiane. (7) Cfr. «Disposizioni di vigilanza in materia di organizzazione e governo societario delle banche» del 4 marzo 2008 e le relative linee applicative dell'11 gennaio 2012. (8) Ai fini dell'utilizzo dei sistemi interni di misurazione dei rischi per la determinazione dei requisiti patrimoniali si applicano le specifiche disposizioni organizzative previste nei capitoli che disciplinano le varie tipologie di rischio rilevanti a fini prudenziali. (9) Per processo di convalida si intende l'insieme formalizzato di attivita', strumenti e procedure volti a valutare l'accuratezza delle stime di tutte le componenti rilevanti di rischio e a esprimere un giudizio in merito al regolare funzionamento, alla capacita' predittiva e alla performance di un sistema interno di misurazione dei rischi non utilizzato a fini regolamentari. (10) In particolare, i citati modelli organizzativi e di gestione sono volti a: i) individuare le attivita' nel cui ambito possono essere commessi reati; ii) prevedere specifici protocolli diretti a programmare la formazione e l'attuazione delle decisioni dell'ente in relazione ai reati da prevenire; iii) individuare modalita' di gestione delle risorse finanziarie idonee a impedire la commissione dei reati; iv) prevedere obblighi di informazione nei confronti dell'organismo di vigilanza; v) definire un sistema sanzionatorio per il mancato rispetto delle misure indicate nel citato modello. (11) Cfr. «Disposizioni di vigilanza in materia di organizzazione e governo societario delle banche» del 4 marzo 2008 e le relative linee applicative dell'11 gennaio 2012, cui si rimanda per la descrizione dettagliata dei compiti e poteri dell'organo con funzione di controllo. (12) Cfr. «Disposizioni di vigilanza in materia di organizzazione e governo societario delle banche» del 4 marzo 2008 e le relativa linee applicative dell'11 gennaio 2012, cui si rimanda per la descrizione dettagliata dei compiti e poteri dell'organo con funzione di controllo. (13) I responsabili delle funzioni aziendali di controllo sono nominati secondo procedure di selezione formalizzate. (14) Cfr. «Disposizioni in materia di politiche e prassi di remunerazione e incentivazione nelle banche e nei gruppi bancari» del 30 marzo 2011. (15) Con esclusivo riferimento alla prestazione di attivita' e servizi di investimento, si applica il riparto di competenze tra la funzione di conformita' alle norme e la funzione di revisione interna previsto dalla Comunicazione congiunta Banca d'Italia - Consob dell'8 marzo 2011. (16) Le banche devono altresi' tener conto dei rischi derivanti dal coinvolgimento in operazioni fiscalmente irregolari poste in essere dalla clientela. (17) Tali procedure possono prevedere il ricorso a figure interne alla banca esperte in materia fiscale oppure, nei casi piu' complessi, l'acquisizione del parere delle autorita' tributarie competenti. (18) La funzione di controllo dei rischi va tenuta distinta e indipendente dalle funzioni aziendali incaricate della «gestione operativa» dei rischi, che incidono sull'assunzione dei rischi da parte delle unita' di business e modificano il profilo di rischio della banca. (19) Per soggetti terzi si intendono altre banche, societa' di revisione, ovvero gli organismi associativi di categoria (ad es., Federazioni regionali delle banche di credito cooperativo). (20) Cfr. Circolare 269 del 7 maggio 2008, «Guida per l'attivita' di vigilanza», Sezione I, Capitolo I.5. (21) Nel caso di esternalizzazione presso associazioni di categoria, la Banca d'Italia puo' ammettere l'adozione di presidi organizzativi equivalenti alle condizioni elencate. (22) A seconda della funzione aziendale di controllo esternalizzata puo' trattarsi di responsabili di unita' di controllo del rischio locali, compliance officer, responsabili di unita' distaccate di internal audit. (23) Cfr. Titolo I, Capitolo 1, Sezione III, par. 1. (24) L'attestato contiene almeno la descrizione sintetica: i) dell'attivita' svolta dalla succursale; ii) delle soluzioni organizzative adottate. (25) Nei gruppi bancari i criteri di classificazione, valutazione e gestione devono essere applicati in maniera omogenea. (26) I controlli dovranno riguardare tra l'altro: la presenza di aggiornati valori peritali delle garanzie; la registrazione nelle procedure automatiche di tutte le informazioni necessarie per la valutazione dei crediti; la tracciabilita' del processo di recupero; le stime dei tempi di recupero e i tassi di attualizzazione utilizzati. (27) Cfr. Bollettino di vigilanza n. 4 - Aprile 2006 (http://www.bancaditalia.it/vigilanza/pubblicazioni/bollvig/06/B ollvig_04_06.pdf). (28) Le banche, in linea con il principio di proporzionalita', possono non sviluppare apposite metodologie per la valutazione interna del rischio di credito derivante dalle esposizioni verso amministrazioni centrali e banche centrali. (29) Il rischio paese e' il rischio di perdite causate da eventi che si verificano in un paese diverso dall'Italia. Il concetto di rischio paese e' piu' ampio di quello di rischio sovrano in quanto e' riferito a tutte le esposizioni indipendentemente dalla natura delle controparti, siano esse persone fisiche, imprese, banche o amministrazioni pubbliche. (30) Il rischio di trasferimento e' il rischio che una banca, esposta nei confronti di un soggetto che si finanzia in una valuta diversa da quella in cui percepisce le sue principali fonti di reddito, realizzi delle perdite dovute alle difficolta' del debitore di convertire la propria valuta nella valuta in cui e' denominata l'esposizione. (31) Cfr. Titolo III, Capitolo 1, Sezione II - La valutazione aziendale dell'adeguatezza patrimoniale (ICAAP). (32) http://www.ecb.europa.eu/pub/pdf/other/recommendationsforthesecu rityofinternetpaymentsen.pdf. (33) http://www.bis.org/publ/bcbs239.pdf (34) Alle banche che prestano attivita' e servizi di investimento si applicano anche le disposizioni contenute nel Regolamento della Banca d'Italia e della Consob del 29 ottobre 2007, come successivamente modificato e integrato, in materia di organizzazione e procedure degli intermediari che prestano servizi di investimento o di gestione collettiva del risparmio. (35) Nel caso di full outsourcing del sistema informativo l'organo di supervisione strategica, qualora non abbia le necessarie competenze al proprio interno, potra' avvalersi di risorse esterne indipendenti dal fornitore di servizi. Inoltre, nella definizione dei documenti richiesti (cfr. Allegato A), si puo' fare riferimento ad analoga documentazione prodotta dal fornitore. (36) Nel caso di gruppo bancario che abbia accentrato la funzione ICT in una societa' controllata del gruppo, il compito di definizione della funzione ICT puo' essere demandato all'organo con funzione di gestione di tale societa', previa individuazione di opportuni canali informativi verso gli organi aziendali della capogruppo. (37) I sistemi integrati di misurazione e reporting delle prestazioni sono procedure automatizzate, di norma basate su metodologie (ad es., balanced scorecards) volte a tracciare un profilo integrato del complessivo andamento dell'azienda o di una specifica funzione aziendale, attraverso il ricorso ad indicatori di prestazione (KPI - key performance indicators) e valori di riferimento (benchmark) opportunamente individuati. In caso di outsourcing e' opportuno definire nel contratto un insieme di report minimi, utili anche a verificare il rispetto delle SLA (Service level agreement). (38) Nel caso di gruppo bancario che abbia accentrato la funzione ICT in una societa' controllata, e' possibile individuare all'interno di questa l'organo responsabile di tale funzione per l'intero gruppo, purche' siano stabiliti canali informativi diretti tra esso e l'organo con funzione di gestione della capogruppo; in tale opzione, l'organo con funzione di gestione della capogruppo assume la responsabilita' di seguire la pianificazione delle iniziative ICT, garantendone la rispondenza alle esigenze e alle strategie del gruppo. (39) Nel caso di full outsourcing della funzione ICT, al «referente per l'attivita' esternalizzata» (cfr. Capitolo 7, Sezione IV, par. 1) e' assegnata la responsabilita' di seguire la pianificazione dei progetti informatici; la stessa figura garantisce, in collaborazione con il fornitore di servizi, la realizzazione degli opportuni meccanismi di raccordo con le linee di business. (40) Anche in caso di ricorso all'esterno, le risorse impegnate nell'audit mantengono l'indipendenza rispetto alle unita' assoggettate al controllo. (41) Tenuto conto del principio di proporzionalita', per le verifiche su componenti o servizi ICT esternalizzati, la funzione di audit dell'intermediario potra' scegliere, sotto la sua responsabilita', di fare affidamento sull'internal audit del fornitore di servizi, previa valutazione della sua professionalita' e indipendenza. (42) Per le componenti e applicazioni critiche l'utente responsabile e' individuato a un adeguato livello gerarchico. In caso di esternalizzazione del sistema, il referente per l'attivita' esternalizzata (cfr. Capitolo 7, Sezione IV, par. 1) partecipa, in qualita' di utente responsabile, all'analisi del rischio svolta dal fornitore di servizi, anche tramite «comitati utente»; nel caso di full outsourcing presso una societa' strumentale del gruppo di appartenenza, l'utente responsabile e' collocato all'esterno della funzione ICT (ad es., presso la capogruppo, secondo un modello accentrato, o presso i singoli intermediari, nell'approccio decentrato). (43) In sede di valutazione dei rischi su componenti del sistema informativo e applicazioni gia' in essere, la banca tiene conto dei dati disponibili in merito agli incidenti di sicurezza informatica verificatisi in passato (cfr. Sezione IV, par. 6). (44) La classificazione delle informazioni gestite mediante strumenti ICT e' opportunamente raccordata con il trattamento delle informazioni aziendali in formato diverso da quello elettronico, onde conseguire uniformi livelli di protezione indipendentemente dalle modalita' di trattamento. (45) Ad esempio, con riferimento alla sicurezza informatica, va assegnato un indicatore di criticita' in relazione al potenziale impatto di eventuali violazioni dei livelli di riservatezza, integrita', disponibilita' richiesti dall'utente responsabile e alla probabilita' di accadimento delle minacce che potrebbero causare tali violazioni. (46) Nel documento approvato dall'utente responsabile, il rischio residuo e' chiaramente espresso, perlomeno in termini qualitativi e con una descrizione non tecnica degli eventi dannosi che potrebbero comunque verificarsi in determinate circostanze. (47) Ad esempio, si potrebbe ritenere di non abilitare funzioni o operazioni troppo rischiose (risk avoidance), ovvero di acquisire una polizza assicurativa (risk transfer). (48) Tra le situazioni suscettibili di modificare gli scenari di rischio e il livello di rischio informatico valutato - e che quindi richiedono la revisione dell'analisi del rischio - ci sono il verificarsi di gravi incidenti, la rilevazione di carenze nei controlli, la diffusione di notizie su nuove vulnerabilita' o minacce. (49) La procedura di generazione e di gestione fattori delle credenziali di autenticazione (ad es., password, smart card, token) garantisce che essi siano unici e nella disponibilita' esclusiva del legittimo utente assegnatario, fatta salva la possibilita' di definire procedure sicure per permettere all'intermediario di accedere a dati aziendali in caso di necessita', in assenza degli utenti abilitati. (50) Con riferimento ai servizi di pagamento tramite internet si applicano le gia' citate Recommendations for the security of internet payments. emanate dalla BCE (http://www.ecb.europa.eu/pub/pdf/other/recommendationsforthesec urityofinternetpaymentsen.pdf). (51) Tale accesso puo' essere concesso agli sviluppatori in casi specificamente disciplinati, in via temporanea e previa autorizzazione dell'utente responsabile. (52) Si fa riferimento a controlli applicativi che richiedono l'inserimento di una stessa transazione da parte di due diversi utenti per procedere alla sua esecuzione. (53) Ai fini della possibilita' di una corretta e agevole ricostruzione di eventi e operazioni che coinvolgono piu' sistemi, inclusi eventualmente sistemi esterni, e' opportuno che l'intermediario si doti di un sistema unificato di riferimento temporale, ad es. basato sul protocollo standard NTP e sincronizzato con un segnale orario di riferimento ufficiale. (54) Tale censimento e' anche utile a verificare il grado di copertura delle esigenze garantito dalle procedure messe a disposizione dalla funzione ICT. (55) L'inventario aggiornato del sistema e delle risorse ICT e' funzionale anche alle attivita' di analisi del rischio informatico (cfr. Sezione III). (56) Il livello autorizzativo e' adeguato all'entita' dei rischi emersi nell'analisi. (57) Nel caso delle banche AMA il processo e' integrato con la rilevazione delle perdite operative. (58) Si tiene conto del profilo di utilizzo (noto o stimato) nell'arco del calendario e per l'orario di operativita', con particolare attenzione a eventuali picchi elaborativi. (59) Si intende per capacity planning il processo di gestione dell'ICT volto a stimare la quantita' di risorse informatiche necessarie a fronteggiare le esigenze delle applicazioni aziendali nell'arco di un determinato periodo futuro. (60) I controlli sulle registrazioni contabili verificano, tra l'altro, le procedure per l'individuazione e sistemazione delle divergenze tra saldi dei sottosistemi sezionali e quelli della contabilita' generale, i processi di quadratura tra i documenti di front-office e le registrazioni giornaliere; la conferma periodica dei rapporti con controparti e clienti. Le verifiche riguardano anche l'allineamento tra i dati utilizzati per la gestione dei rischi e per la rendicontazione finanziaria. (61) Le banche classificate, a fini SREP, nelle macro-categorie 1 e 2 (cfr. Circolare 269 del 7 maggio 2008, «Guida per l'attivita' di vigilanza», Sezione I, Capito I.5) individuano per i dati rilevanti (informazione al mercato, segnalazioni all'Organo di Vigilanza, valutazione dei rischi, ecc.) una o piu' figure aziendali responsabili di assicurare lo svolgimento dei controlli previsti e della validazione della qualita' dei dati (c.d. «data owner»). Le procedure di aggregazione dei dati a fini di valutazione dei rischi aziendali sono sottoposte a validazione indipendente (ad es., da parte dell'internal audit). (62) La qualita' dei dati e' valutata, in termini di completezza (registrazione di tutti gli eventi, operazioni e informazioni con i pertinenti attributi necessari per le elaborazioni), di accuratezza (assenza di distorsione nei processi di registrazione, raccolta e di successivo trattamento dei dati) e di tempestivita'. (63) Anche l'acquisizione di licenze software per prodotti installati sul proprio sistema, a supporto di importanti processi aziendali trasversali, puo' introdurre forme di dipendenza dal fornitore, a seguito di vincoli tecnologici o contrattuali che impongano il ricorso al fornitore o a societa' collegate per la manutenzione o rendano assai ardua la sostituzione del prodotto. Tali considerazioni rientrano tra gli elementi essenziali nel processo di selezione delle soluzioni software. (64) Ove il piano di continuita' operativa non sia articolato in piani settoriali, tali attivita' sono svolte dal responsabile del piano di continuita' operativa. (65) In caso di outsourcing di componenti critiche del sistema informativo si applica quanto indicato al par. 3.7. (66) Ad esempio, nel caso in cui svolga il ruolo di tramite per partecipanti indiretti. (67) Per i processi non critici sono comunque realizzati meccanismi per acquisire e gestire regolarmente copie di riserva dei dati e del software, al fine di assicurare l'integrita' e la disponibilita' delle informazioni. Per i siti alternativi off-line, in cui non siano presenti archivi di dati ovvero questi non siano allineati in tempo reale ai dati di produzione, sono definite modalita' e tempi per l'allineamento con i sistemi di produzione dopo il loro ripristino.