La capacita' degli intermediari finanziari di governare la
propria operativita' adottando presidi organizzativi idonei a
censire, prevenire e monitorare costantemente le varie tipologie di
rischi assunti riveste importanza fondamentale in uno scenario
caratterizzato da una crescente complessita' e da rapidi cambiamenti,
che moltiplicano le opportunita' di sviluppo ma anche i rischi per
gli intermediari.
Sul punto, l'art. 107 del testo unico bancario prevede che la
Banca d'Italia, in conformita' delle deliberazioni del CICR, detti
regole aventi ad oggetto l'organizzazione amministrativa e contabile
e i controlli interni degli intermediari finanziari iscritti
nell'elenco speciale previsto dal medesimo articolo.
Con il presente aggiornamento alle "Istruzioni di vigilanza per
gli intermediari finanziari iscritti nell'elenco speciale" (circolare
n. 216 del 5 agosto 1996) vengono individuati i presidi minimi che
gli intermediari finanziari dovranno assicurare nella definizione dei
propri assetti organizzativi.
Le istruzioni si articolano in:
una parte "generale", applicabile a tutti gli intermediari
iscritti nell'elenco speciale, nella quale sono richiamati i compiti
del Consiglio di amministrazione, dell'alta direzione e del collegio
sindacale sulla materia, le caratteristiche del sistema di controlli
interni, i requisiti minimi per un efficace funzionamento dei sistemi
informativi, le regole da osservare per l'esternalizzazione di
funzioni aziendali e per la distribuzione di prodotti e servizi
attraverso soggetti terzi;
una parte "speciale" in cui sono indicati i presidi da adottare
a fronte dei rischi collegati alle specifiche attivita' esercitate
(concessione di finanziamenti sotto qualsiasi forma, assunzione di
partecipazioni, emissione e gestione di carte di credito e di debito,
ecc.).
E' inoltre previsto che gli intermediari inviino periodicamente
alla Banca d'Italia una relazione sulla struttura organizzativa
adottata.
Le presenti disposizioni entrano in vigore il giorno successivo a
quello di pubblicazione nella Gazzetta Ufficiale.
La prima relazione sulla struttura organizzativa deve essere
trasmessa entro il 30 aprile 2004.
Gli intermediari che all'entrata in vigore delle presenti
disposizioni hanno gia' esternalizzato funzioni aziendali ne danno
tempestiva comunicazione alla Banca d'Italia, precisando le
motivazioni delle scelte compiute.
(Omissis).
Roma, 15 ottobre 2002
Il Governatore: Fazio
ORGANIZZAZIONE AMMINISTRATIVA E CONTABILE E CONTROLLI INTERNI
Sezione I
1. Fonti normative.
art. 107, commi 2 e 3 del T.U.;
art. 112 del T.U.;
delibera del C.I.C.R. del 25 luglio 2000.
Si rammenta altresi' che l'art. 144 del testo unico prevede
meccanismi sanzionatori per l'inosservanza, tra l'altro, dei
provvedimenti emanati dall'organo di vigilanza.
2. Premessa.
Una gestione aziendale sana e prudente dipende anche da un
assetto organizzativo adeguato alla dimensione ed alla vocazione
operativa degli intermediari finanziari. La struttura aziendale deve
pertanto rispondere a criteri di coerenza con le linee strategiche
gestionali indicate dagli organi amministrativi.
Il testo unico ha affidato alla Banca d'Italia, in conformita'
con le deliberazioni del C.I.C.R., il compito di dettare disposizioni
aventi ad oggetto l'organizzazione amministrativa e contabile e i
controlli interni degli intermediari iscritti nell'elenco speciale.
Il C.I.C.R., con delibera del 25 luglio 2000, ha enunciato i
principi organizzativi generali sui quali devono basarsi le
istruzioni della Banca d'Italia con riferimento ai controlli interni,
alle specifiche attivita' esercitabili e ai rischi aziendali.
La stessa delibera ha anche stabilito che la Banca d'Italia deve
tenere conto delle norme applicabili agli altri intermediari vigilati
e dei principi definiti in sede internazionale.
Le presenti istruzioni prevedono norme di carattere generale che
devono essere rispettate da tutti gli intermediari iscritti
nell'elenco speciale (Sezione II) coerentemente con la dimensione e
la complessita' operativa, nonche' indicazioni specifiche, relative
alle diverse attivita' esercitabili dagli intermediari medesimi, che
devono essere osservate qualora dette attivita' siano effettivamente
svolte (Sezione III).
In ogni caso, i principi indicati costituiscono requisiti
organizzativi minimi che non esauriscono gli interventi adottabili
dai competenti organi aziendali.
Sezione II
PRINCIPI GENERALI
1. Compiti del Consiglio di amministrazione, dell'alta direzione e
del collegio sindacale.
I soggetti che svolgono funzioni di amministrazione e direzione
presso gli intermediari finanziari assumono un ruolo fondamentale ai
fini della definizione di un adeguato sistema organizzativo e del
conseguimento di un efficiente sistema dei controlli interni. La
ripartizione di competenze tra gli organi aziendali deve garantire in
ogni caso una costante dialettica interna tra gli organi, evitando
sovrapposizioni di competenze che possano incidere sulla
funzionalita' aziendale. L'operato degli organi amministrativi deve
essere sempre documentato, al fine di consentire un controllo sugli
atti gestionali e sulle decisioni assunte. La documentazione
dell'azione amministrativa e la presenza di una dialettica costante
con l'alta direzione e il collegio sindacale assumono particolare
rilevanza nel caso in cui vi sia un amministratore unico.
Gli organi amministrativi - coerentemente con la dimensione e
complessita' operativa che caratterizza l'intermediario - si
attengono alle seguenti indicazioni e principi.
Il Consiglio d'amministrazione:
assume la responsabilita' delle scelte strategiche aziendali;
approva le politiche di gestione del rischio, nonche' le
relative procedure e modalita' di rilevazione;
definisce la struttura organizzativa, assicurandosi che i
compiti e le responsabilita', formalizzati in un apposito regolamento
interno, siano allocati in modo chiaro e appropriato e che siano
separate le funzioni operative da quelle di controllo;
determina un'articolazione delle deleghe dei poteri decisionali
e di rappresentanza coerente con le linee strategiche e
l'orientamento al rischio stabiliti e ne verifica l'esercizio;
si assicura che venga definito un sistema informativo completo
e in grado di rilevare tempestivamente l'effettiva situazione
aziendale;
si assicura che venga verificata periodicamente l'efficienza,
l'efficacia e la funzionalita' del sistema dei controlli interni
anche in relazione all'evoluzione dell'attivita' svolta;
adotta tempestivamente le misure necessarie nel caso in cui
emergano carenze o anomalie dall'insieme delle verifiche svolte sul
sistema dei controlli.
L'alta direzione (al cui vertice e' posto di norma il Direttore
generale) deve:
garantire un'efficace gestione dell'operativita' aziendale e
dei rischi cui l'intermediario si espone, definendo procedure di
controllo adeguate;
individuare e valutare i fattori di rischio;
verificare la funzionalita', l'efficacia e l'efficienza del
sistema dei controlli interni, provvedendo al suo adeguamento alla
luce dell'evoluzione dell'operativita';
definire i compiti delle strutture dedicate alle funzioni di
controllo, assicurandosi che le medesime siano dirette da personale
qualificato in relazione alle attivita' da svolgere;
definire i canali per la comunicazione a tutto il personale
delle procedure relative ai propri compiti e responsabilita' nonche'
i flussi informativi necessari a garantire al CdA piena conoscenza
dei fatti aziendali;
attuare le direttive del CdA per la realizzazione e la verifica
della funzionalita' dei sistemi informativi aziendali.
Il collegio sindacale, nel rispetto delle attribuzioni degli
altri organi e collaborando con essi, contribuisce ad assicurare la
regolarita' e la legittimita' della gestione nonche' a preservare
l'autonomia dell'impresa. In particolare, nell'effettuare il
controllo sull'amministrazione e sulla direzione, deve soffermarsi
sulle eventuali anomalie che siano sintomatiche di disfunzioni degli
organi medesimi.
Valuta il grado di adeguatezza e il regolare funzionamento delle
principali aree organizzative nonche' l'efficienza del sistema dei
controlli interni ed in particolare del controllo dei rischi, del
funzionamento dell'internal audit (ove previsto), del sistema
informativo contabile. Puo' avvalersi per lo svolgimento delle
proprie funzioni di tutte le unita' delle strutture organizzative che
assolvono funzioni di controllo. L'attivita' di controllo puo'
determinare la formulazione da parte del collegio sindacale di
osservazioni e proposte di modifica volte alla rimozione di eventuali
anomalie riscontrate. Di tali osservazioni e proposte, nonche' della
successiva attivita' di verifica del collegio sull'attuazione di
eventuali provvedimenti, deve essere conservata adeguata evidenza.
Il collegio sindacale mantiene un coordinamento con le strutture
preposte allo svolgimento di funzioni di controllo interno nonche'
con la societa' di revisione al fine di incrementare il grado di
conoscenza sull'andamento della gestione aziendale, avvalendosi anche
delle risultanze degli accertamenti effettuati da tali unita'
operative.
L'interazione tra l'attivita' di controllo posta in essere dal
collegio e l'attivita' di vigilanza contribuisce al rafforzamento del
complessivo sistema di supervisione sull'intermediario. A tal fine,
la Banca d'Italia puo' richiedere informazioni sui controlli svolti e
sul funzionamento dei sistemi di controllo aziendali.
Il collegio sindacale informa inoltre tempestivamente la Banca
d'Italia di tutti gli atti o fatti, di cui venga a conoscenza
nell'esercizio dei propri compiti, che possano costituire una
irregolarita' nella gestione o una violazione delle norme che
disciplinano l'attivita' dell'intermediario.
Il CdA, l'alta direzione e il collegio sindacale si attengono,
ciascuno nell'ambito delle rispettive competenze, alle indicazioni e
ai principi contenuti nelle presenti disposizioni, coerentemente con
le dimensioni, la complessita' e le specificita' operative
dell'intermediario.
2. Sistema dei controlli interni.
Il sistema dei controlli interni e' costituito dall'insieme delle
regole, delle procedure e delle strutture organizzative che mirano ad
assicurare il rispetto delle strategie aziendali e il conseguimento
dell'efficacia ed efficienza dei processi aziendali, della
salvaguardia del valore delle attivita' e protezione dalle perdite,
dell'affidabilita' e integrita' delle informazioni contabili e
gestionali, della conformita' delle operazioni con la legge, la
normativa di vigilanza, le disposizioni interne dell'intermediario.
Si descrivono di seguito alcune tipologie di controllo degli
intermediari, indipendentemente dalle strutture organizzative in cui
sono collocate:
controlli di linea, diretti ad assicurare il corretto
svolgimento delle operazioni. Essi sono effettuati dalle stesse
strutture produttive (es. controlli di tipo gerarchico sistematici e
a campione) o incorporati nelle procedure - anche automatizzate -
ovvero eseguiti nell'ambito dell'attivita' di back office;
controlli sulla gestione dei rischi (cfr. anche successivo
paragrafo 1.3), che hanno l'obiettivo di concorrere alla definizione
delle metodologie di misurazione del rischio, di verificare il
rispetto dei limiti assegnati alle varie funzioni operative e di
controllare la coerenza dell'operativita' delle singole aree
produttive con gli obiettivi di rischio-rendimento assegnati. Essi
sono affidati a strutture diverse da quelle produttive. Deve essere
sempre assicurato un coordinamento tra l'eventuale unita' operativa
di gestione del rischio interna all'intermediario e quella che svolge
l'analoga funzione per tutto il gruppo d'appartenenza;
attivita' di revisione interna (internal audit), in tale ambito
rientra la valutazione periodica della completezza, della
funzionalita' e dell'adeguatezza del sistema dei controlli interni.
Con cadenza prefissata, coerentemente con le specificita'
dimensionali e operative dell'impresa, e comunque in relazione a
discontinuita' nell'attivita' aziendale (ingresso in nuovi mercati,
lancio di nuovi prodotti) andranno valutate la completezza, la
funzionalita' e l'adeguatezza del sistema dei controlli interni, in
relazione alla natura e all'intensita' dei rischi e delle complessive
esigenze aziendali. L'attivita' e' condotta da strutture diverse e
indipendenti da quelle produttive, anche attraverso verifiche in
loco. Il CdA, l'alta direzione e il collegio sindacale devono essere
regolarmente informati sull'attivita' svolta.
Il CdA - nell'ambito della propria funzione di indirizzo
organizzativo, oltre che strategico - ha il compito di assicurarsi
della completezza, della funzionalita' e dell'adeguatezza del sistema
dei controlli interni disegnato dall'alta direzione, anche in ragione
della complessita' dimensionale ed operativa e dell'intensita' dei
rischi assunti.
In particolare, fermo restando che la sorveglianza del sistema
dei controlli interni compete all'organo amministrativo nella sua
globalita', possono essere attribuiti specifici compiti di verifica
ad uno o piu' amministratori, privi di deleghe operative.
Ove la complessita' organizzativa, dimensionale e operativa
dell'intermediario lo richieda, il CdA si avvale della funzione di
revisione interna, dotata di specifiche competenze. In tal caso
l'organo amministrativo e' chiamato a approvare il regolamento della
funzione e a verificare che alle strutture di controllo siano
assegnate risorse adeguate e assicurata la necessaria autonomia
rispetto alle strutture operative. Alternativamente, gli intermediari
ricorrono all'esternalizzazione dell'attivita' di revisione interna.
In tal caso restano fermi tutti i principi in materia di outsourcing
di funzioni aziendali definiti nel successivo paragrafo 5.
L'organo amministrativo approva il piano di auditing che deve
essere proporzionato alla complessita' aziendale e operativa e alla
natura e all'intensita' dei rischi aziendali. Esso e' chiamato a
promuovere una cultura aziendale che valorizzi la funzione di
controllo e renda tutti i livelli del personale consapevoli e
pienamente coinvolti nel ruolo ad essi attribuito nel sistema dei
controlli.
3. Controllo dei rischi.
Il sistema dei controlli interni deve coprire tutte le tipologie
di rischio (di credito, di mercato, di liquidita', legali, di frode e
infedelta' dei dipendenti, di reputazione, ecc.) che vanno
individuati e - ove possibile - quantificati.
Le politiche di assunzione di rischio devono essere approvate dal
CdA, che deve essere periodicamente informato dei risultati
effettivamente conseguiti.
Nell'ambito delle politiche di assunzione e gestione del rischio,
devono essere individuati adeguati limiti operativi, monitorati su
base continua e sottoposti a periodiche revisioni.
Devono inoltre essere attentamente valutate le implicazioni
derivanti dall'ingresso in nuovi mercati o settori operativi,
dall'offerta di nuovi prodotti, dall'utilizzo di canali distributivi
innovativi, con preventiva individuazione dei rischi e definizione di
procedure di controllo adeguate, approvate dal CdA.
Nella predisposizione dei presidi organizzativi volti a prevenire
il coinvolgimento anche inconsapevole in operazioni di riciclaggio,
gli intermediari si attengono alle "Istruzioni operative per
l'individuazione di operazioni sospette" emanate dalla Banca
d'Italia. Le istruzioni contengono regole organizzative e procedurali
utili ad accrescere la conoscenza della clientela, assicurare
l'integrita' e l'autonomia gestionale, prevenire episodi di
infedelta' dei dipendenti e dei collaboratori e individuare
prontamente l'operativita' anomala della clientela.
4. Sistemi informativi.
L'affidabilita' dei sistemi informativi, che devono assicurare a
tutti i livelli della struttura un flusso informativo che consenta di
adempiere agli obblighi previsti dai regolamenti interni e dalla
normativa che richiede di produrre informazioni all'esterno,
rappresenta un pre-requisito essenziale per il buon funzionamento
degli intermediari e consente agli organi amministrativi di assumere
decisioni consapevoli e coerenti con gli obiettivi aziendali.
Il sistema delle rilevazioni contabili e gestionali interne deve
avere un elevato grado di attendibilita', registrare correttamente e
con la massima tempestivita' i fatti di gestione, consentire di
ricostruire la complessiva esposizione dell'intermediario a qualsiasi
data.
La circostanza che l'intermediario utilizzi diverse procedure
settoriali (contabilita', impieghi, segnalazioni, antiriciclaggio,
ecc.) non deve inficiare la qualita' e integrita' dei dati ne'
comportare la creazione di archivi non coerenti.
Per le attivita' (quali, ad esempio, le operazioni di
cartolarizzazione) che possono comportare la disponibilita', anche
solo in via transitoria, di valori di terzi, il sistema deve essere
strutturato in modo da tenere costantemente distinti i valori di
terzi da quelli dell'intermediario.
I sistemi informativi devono garantire elevati livelli di
sicurezza; a tal fine devono essere individuati e documentati
adeguati presidi volti a garantire la sicurezza fisica e logica
dell'hardware e del software, comprendenti procedure di back up dei
dati e di disaster recovery, individuazione dei soggetti autorizzati
ad accedere ai sistemi e relative abilitazioni, possibilita' di
risalire agli autori degli inserimenti o delle modifiche dei dati, di
ricostruire la serie storica dei dati modificati.
5. Esternalizzazione di funzioni aziendali (outsourcing).
Salvo quanto previsto nella successiva Sezione III, gli
intermediari possono delegare a soggetti terzi lo svolgimento della
funzione di internal audit o di altre funzioni aziendali. La delega
non esime gli organi aziendali dalle responsabilita' loro assegnate
da leggi, regolamenti, disposizioni dell'Autorita' di vigilanza. La
delega non deve pregiudicare la possibilita' per l'Autorita' di
vigilanza di disporre senza ritardo della documentazione tenuta dai
delegati.
L'incarico deve essere formalizzato in un contratto scritto, che
definisce, tra l'altro, l'oggetto e i limiti della delega conferita e
individua le linee guida dell'attivita'.
Il CdA:
a) definisce gli obiettivi assegnati all'esternalizzazione, sia
in rapporto alla complessiva strategia aziendale sia in relazione
agli standard quali-quantitativi attesi dal processo;
b) individua i criteri e le procedure per orientare la fase di
valutazione e selezione dei potenziali fornitori (tenendo conto, con
riferimento a talune funzioni quali ad es. l'internal audit, dei
problemi relativi a potenziali conflitti d'interesse) e quella
successiva di relazione con l'outsourcer prescelto;
c) valuta le modalita' organizzative e le risorse dedicate
all'attivita' da parte del soggetto che offre il servizio;
d) individua gli strumenti e le procedure (anche contrattuali)
per intervenire tempestivamente nel caso di inadeguatezza dei servizi
forniti.
Gli intermediari che intendono esternalizzare, in tutto o in
parte, lo svolgimento della funzione di internal audit o di altre
funzioni aziendali ne danno comunicazione alla Banca d'Italia almeno
sessanta giorni prima del perfezionamento del contratto, illustrando
le motivazioni che hanno determinato la scelta, le modalita' con le
quali il delegato operera', e quelle che il delegante seguira' per
verificare l'operato del delegato.
6. Distribuzione di prodotti e servizi.
La selezione dei soggetti cui viene affidata la distribuzione dei
prodotti e dei servizi riveste particolare importanza in quanto, se
da un lato consente di allargare la capillarita' ed incrementare la
tempestivita' dell'offerta, dall'altro comporta una serie di rischi
aggiuntivi. Sara' quindi necessaria una valutazione della coerenza
delle scelte effettuate con le strategie aziendali e con i profili di
rischio prescelti. Salvo quanto stabilito nella successiva Sezione
III, par. 1.1., in materia di deleghe di poteri deliberativi, la
valutazione del merito creditizio e' di esclusiva competenza
dell'intermediario.
L'incarico deve essere formalizzato in un contratto scritto che
ne definisca, fra l'altro, l'oggetto e i limiti, e individui le linee
guida dell'attivita'. Devono inoltre essere assicurati i presidi
indicati nel precedente paragrafo 5 ai punti a), b), c) e d).
Gli intermediari finanziari possono avvalersi, nel rispetto della
specifica disciplina prevista per le singole categorie di soggetti,
di agenti in attivita' finanziarie, mediatori creditizi, promotori
finanziari, banche, SIM, altri intermediari finanziari, imprese ed
enti di assicurazione e rispettivi agenti assicurativi, nonche' di
esercizi convenzionati(1).
Ove l'intermediario si avvalga di mediatori creditizi,
l'attivita' di mediazione potra' essere svolta, nel rispetto della
specifica disciplina che la regola, anche sulla base di apposite
convenzioni con gli intermediari, a condizione che il contenuto delle
medesime sia tale da non compromettere il requisito di neutralita' e
indipendenza del mediatore (andranno, ad esempio, evitate clausole
che impongano al mediatore di operare in via esclusiva con un
intermediario).
Dovranno comunque essere osservate le disposizioni che
disciplinano lo svolgimento di attivita' finanziarie attraverso
soggetti terzi. In particolare, rientra tra i compiti
dell'intermediario accertarsi che i soggetti terzi siano abilitati
all'esercizio dell'attivita' svolta.
Dovra' altresi' essere definito un flusso informativo tale da
garantire all'intermediario la possibilita' di monitorare
costantemente l'attivita' del soggetto di cui si avvale e i rischi
connessi con l'attivita' delegata.
-----
(1) Nel caso di ricorso ad esercizi convenzionati, gli
intermediari verificano il rispetto degli adempimenti previsti in
materia di antiriciclaggio e trasparenza.
Sezione III
PRINCIPI ORGANIZZATIVI DA OSSERVARE IN RELAZIONE
A SPECIFICHE ATTIVITA'
1. Rischi connessi all'attivita' di concessione di finanziamenti
sotto qualsiasi forma (rischio di credito).
1.1. Finanziamenti per cassa.
I processi decisionali e operativi connessi con l'assunzione, la
misurazione e la gestione del rischio di credito costituiscono un
momento fondamentale per garantire l'equilibrio economico e la
stabilita' degli intermediari finanziari.
L'intero processo riguardante il credito: 1) istruttoria; 2)
erogazione; 3) monitoraggio delle posizioni; 4) interventi in caso di
anomalia; 5) revisione delle linee di credito; deve risultare dal
regolamento interno e deve essere periodicamente sottoposto a
verifica.
Tutti gli affidamenti sono concessi al termine di un procedimento
istruttorio documentato, ancorche' basato su procedure automatizzate.
Deleghe di poteri deliberativi circa la valutazione del merito di
credito della clientela potranno essere attribuite - ove lo statuto
dell'intermediario lo preveda - sulla base di un contratto scritto,
solo a banche e intermediari finanziari iscritti nell'elenco
speciale. Il contratto dovra' indicare criteri e limiti
dell'attivita' nonche' le modalita' di controllo del delegante
sull'operato del delegato.
Nella fase istruttoria, deve essere acquisita tutta la
documentazione necessaria per effettuare una adeguata valutazione del
merito creditizio del prenditore, sotto il profilo patrimoniale e
reddituale, e per assicurare una corretta remunerazione del rischio
assunto.
La documentazione deve consentire di valutare la coerenza tra
importo, forma tecnica e progetto finanziato; essa deve inoltre
permettere l'individuazione delle caratteristiche e della qualita'
del prenditore, anche alla luce del complesso delle relazioni con lo
stesso intrattenute.
Nel caso di affidamenti ad imprese, ad esempio, sono acquisiti i
bilanci (anche consolidati, se disponibili) nonche' ogni altra
informazione utile per valutare la situazione attuale e prospettica
dell'azienda. Al fine di conoscere la valutazione complessiva degli
affidati da parte dell'intero sistema creditizio, gli intermediari
utilizzano, anche nella successiva fase di monitoraggio, informazioni
fornite dalla Centrale dei rischi.
Per le forme di credito non aventi durata determinata, il rinnovo
degli affidamenti e' disciplinato secondo criteri stabiliti da
regolamenti interni.
Le deleghe in materia di erogazione del credito devono risultare
da una delibera dell'organo amministrativo e vi devono essere idonei
controlli sull'esercizio delle deleghe medesime.
Eventuali operazioni di finanziamento, diretto o indiretto, a
favore di esponenti aziendali dovranno essere deliberate dal CdA,
reso edotto di tale circostanza dall'esponente medesimo, con
decisione presa all'unanimita' e con l'astensione dell'esponente
interessato.
Nell'ambito dei regolamenti interni sono precisate le procedure e
gli adempimenti riferiti alla fase di monitoraggio del credito
nonche' le modalita' e i tempi di attivazione in caso di rilevazione
di crediti anomali.
I criteri di valutazione, gestione e classificazione dei crediti
anomali, nonche' le relative unita' responsabili, devono essere
fissati con delibera del consiglio di amministrazione, nella quale
sono indicate le modalita' di raccordo fra tali criteri e quelli
previsti per le segnalazioni di vigilanza. Il consiglio di
amministrazione deve essere regolarmente informato sull'andamento dei
crediti anomali e delle relative procedure di recupero.
E' indispensabile che gli intermediari abbiano in ogni momento
una corretta percezione della propria esposizione nei confronti di
ogni cliente o gruppo di clienti connessi, anche al fine di
procedere, se del caso, ad una tempestiva revisione delle linee di
credito. A tal fine occorre una base informativa continuamente
aggiornata dalla quale risultino i dati identificativi della
clientela, le connessioni giuridiche ed economiche con altri clienti,
l'esposizione complessiva del singolo affidato e del gruppo di
clienti connessi, le forme tecniche da cui deriva l'esposizione, il
valore aggiornato delle garanzie.
Nel definire i processi di erogazione del credito, gli
intermediari adottano inoltre presidi organizzativi adeguati a
fronteggiare rischi connessi a specializzazioni operative, quali ad
esempio, i rischi legati ai beni oggetto di operazioni di leasing
nelle loro varie forme (affidabilita' del fornitore, validita'
tecnologica, congruita' del prezzo, fornitura di servizi accessori,
manutenzione, valutazione dello stato di usura, capacita' di
ripristino, rivendibilita', ecc.), alle vicende dei crediti acquisiti
nelle operazioni di factoring (situazione dei debitori ceduti,
congruita' del prezzo in relazione alla recuperabilita', alle
eccezioni opponibili, all'andamento dei contenziosi, ecc.), alla
situazione degli obbligati principali nel caso di finanziamenti
tramite concessione di garanzie, ecc.
1.2. Rilascio di garanzie.
L'esigenza di assicurare presidi quali quelli indicati nel
precedente paragrafo non viene meno nei casi in cui i finanziamenti
sono concessi nella forma del rilascio di garanzie, posto che il
credito di firma concesso espone l'intermediario al rischio di dover
successivamente intervenire con una erogazione per cassa, attivando
conseguentemente le azioni di rivalsa. Cio' in particolare quando il
rilascio di garanzie costituisce l'attivita' esclusiva o prevalente
dell'intermediario.
I presidi organizzativi devono pertanto assicurare anche:
l'approfondita conoscenza, sin dall'inizio della relazione e
per tutta la durata della stessa, della capacita' dei garantiti di
adempiere le proprie obbligazioni (incluse quelle di fare);
il costante monitoraggio degli impegni assunti con riferimento
sia al volume sia al grado di rischiosita' degli stessi, specie in
situazioni di elevata rotazione delle garanzie rilasciate.
Una particolare attenzione dovra' inoltre essere posta nella
definizione della contrattualistica al fine di prevenire o limitare
l'insorgere di contenziosi con riferimento sia all'attivazione delle
garanzie rilasciate, sia alle successive eventuali azioni di rivalsa
nei confronti dei garantiti.
Gli intermediari evitano di sottoscrivere i contratti relativi
alle garanzie rilasciate prima che siano stati definiti tutti gli
elementi essenziali del rapporto (in particolare: indicazione del
beneficiario, prestazione dovuta dal garantito, ammontare e durata
della garanzia, modalita' di liberazione dall'obbligo di garanzia o
di rinnovo della stessa).
Al fine di assicurare il monitoraggio dell'esposizione, anche per
il rispetto dei requisiti prudenziali in presenza elevata rotazione
delle garanzie, il sistema delle rilevazioni contabili aziendali deve
consentire di ricostruire la successione temporale delle operazioni
effettuate.
2. Rischi connessi all'attivita' di assunzione di partecipazioni.
Il CdA fissa con propria delibera i criteri generali di selezione
delle imprese di cui acquisire interessenze, in relazione alle
caratteristiche dell'intervento dell'intermediario (ad es. seed
financing, start up financing, ristrutturazione aziendale,
transizione del management, ecc.), di cui devono essere fissati gli
obiettivi dello stesso, in vista della successiva smobilizzazione
dell'investimento. Nell'attuazione delle singole operazioni, deve in
particolare essere valutata dal CdA la disponibilita' - tramite
risorse interne o esterne - di competenze e professionalita' adeguate
all'azione da svolgere, di basi informative idonee alla valutazione
anche prospettica degli specifici settori di mercato e aree
geografiche dove operano le partecipate, di un sistema di reporting
completo e tempestivo a supporto delle decisioni dei vertici
dell'intermediario relative alla governance delle partecipate.
3. Rischi connessi all'attivita' di emissione e gestione di carte di
credito e di debito e di trasferimento fondi.
Nello svolgimento dell'attivita' di emissione e gestione di carte
di credito, particolare attenzione deve essere prestata al corretto
trattamento delle informazioni relative alla clientela ed agli
esercenti convenzionati. Tali dati sono utili anche a fini di
monitoraggio del rischio di credito (che assume particolare rilievo
in presenza di crediti "revolving") e dei rischi di frode.
Con riferimento ai rischi operativi, derivanti ad esempio da
mancati controlli sulla sicurezza e integrita' dei dati o da
disfunzioni nelle strutture informatiche, gli intermediari dovranno
avere particolare cura del corretto funzionamento dei sistemi
informativi utilizzati, tenuto conto della considerevole incidenza
dei rischi della specie nello svolgimento della loro operativita'.
Specifiche cautele dovranno essere poste in essere nel caso in cui
l'intermediario consenta l'uso della carta su circuiti quali Internet
(al fine di evitare l'utilizzo da parte di soggetti non autorizzati,
l'accesso inconsapevole a falsi siti per l'impiego della carta,
ecc.).
Il processo di selezione della clientela puo' avvalersi di
sistemi automatici di scoring che utilizzino informazioni desunte da
information provider specializzati. Resta ferma comunque la
responsabilita' del CdA in merito alla selezione della clientela ed
ai limiti operativi imposti.
4. Disposizioni per gli intermediari coinvolti in operazioni di
cartolarizzazione.
4.1. Principi generali.
Le disposizioni di cui alla Sezione II (parte generale) si
applicano alle societa' cessionarie o emittenti i titoli nell'ambito
di operazioni di cartolarizzazione ai sensi della legge n. 130 del
30 aprile 1999 ("societa' per la cartolarizzazione"), nonche' ai
servicer, solo per quanto compatibili con le peculiarita' operative
di tali intermediari.
4.2. Societa' per la cartolarizzazione.
Le societa' per la cartolarizzazione devono predisporre misure
organizzative tali da assicurare costantemente la separatezza dei
patrimoni delle varie operazioni di cartolarizzazione tra loro e con
i beni della societa'; in particolare, e' necessario che le somme di
denaro relative alle operazioni siano depositate in appositi conti,
sottorubricati o distinti per ciascuna operazione di
cartolarizzazione.
Tali societa', inoltre, devono tenere evidenze contabili, anche
in forma elettronica, nelle quali sono annotate le operazioni
effettuate distinte per ciascuna operazione di cartolarizzazione.
Tali evidenze, da aggiornare in via continuativa, sono strutturate in
modo da consentire di:
ricostruire in qualsiasi momento con certezza il complesso
delle operazioni poste in essere relativamente a ciascuna operazione
di cartolarizzazione;
dare concreta attuazione alle disposizioni in materia di
separatezza patrimoniale, assicurando la distinzione dei patrimoni
delle singole operazioni di cartolarizzazione tra loro e da quelli
della societa'.
A tal fine, le societa' per la cartolarizzazione definiscono
adeguati flussi informativi con i soggetti a vario titolo coinvolti
nell'operazione.
4.3. Servicer.
In base alle previsioni della legge n. 130/1999, rientra tra i
compiti degli intermediari che svolgono attivita' di riscossione dei
crediti ceduti e i servizi di cassa e di pagamento nell'ambito di
operazioni di cartolarizzazione (c.d. servicer) verificare che dette
operazioni siano conformi alla legge e al prospetto informativo.
Al servicer fanno pertanto capo sia compiti di natura operativa,
sia funzioni di "garanzia" circa il corretto espletamento delle
operazioni di cartolarizzazione nell'interesse dei portatori dei
titoli e, in generale, del mercato.
Detti compiti vanno considerati in modo unitario. Per il corretto
espletamento degli stessi e' importante che il servicer assicuri un
costante presidio su tutti i movimenti concernenti il patrimonio
cartolarizzato.
In tale contesto, assume rilievo verificare che:
a) le somme rivenienti dagli attivi cartolarizzati affluiscano
nei conti della societa-veicolo dedicati all'operazione e che non si
creino situazioni di confusione con i beni della societa' stessa e
con i patrimoni relativi alle altre operazioni di cartolarizzazione;
b) nell'esecuzione delle singole fasi delle operazioni di
cartolarizzazione sia assicurata la tutela degli interessi dei
portatori dei titoli. In tale ambito andra' posta particolare
attenzione alle ipotesi di conflitto di interesse;
c) gli incassi avvengano nel rispetto delle scadenze
programmate.
Per assicurare continuita' ed efficacia nell'espletamento delle
funzioni svolte i servicer si dotano di strutture tecniche e
organizzative idonee a monitorare le diverse fasi in cui si articola
il processo di securitization. In particolare, i sistemi
informativo-contabili andranno strutturati tenendo conto
dell'esigenza di poter ricostruire in qualsiasi momento con certezza
il complesso delle operazioni poste in essere relativamente a
ciascuna operazione di cartolarizzazione.
Il servicer puo' avvalersi di altri soggetti a condizione che
cio' non limiti l'attivita' di verifica della correttezza delle
operazioni.
La delicatezza e la rilevanza per il buon funzionamento delle
operazioni di cartolarizzazione della funzione di controllo svolta
dal servicer implica che la stessa debba in ogni caso essere
esercitata in via diretta. Le altre attivita', ferma restando la
responsabilita' e il costante controllo del servicer, potranno essere
svolte da soggetti terzi, i quali dovranno impegnarsi a trasmettere
tempestivamente al servicer le informazioni necessarie per
consentirgli di conoscere in qualsiasi momento la situazione del
patrimonio delle singole linee di cartolarizzazione e assicurare alle
autorita' di controllo del servicer la possibilita' di effettuare
verifiche presso di se'.
Tenuto conto della complessita' che le operazioni di
cartolarizzazione possono presentare, assume rilievo la corretta
tenuta delle evidenze contabili e l'adeguatezza dei flussi
informativi e delle procedure adottate, che devono permettere alla
societa' di espletare con continuita' ed efficacia i compiti ad essa
attribuiti dalla legge n. 130/1999.
Gli esiti delle verifiche periodiche compiute dagli organi di
controllo interno del servicer sono portati a conoscenza del CdA che
li esamina nell'ambito di apposite riunioni cui partecipa il collegio
sindacale.
Gli amministratori dei servicer convocano periodicamente
riunioni, cui partecipano i componenti del collegio sindacale, per
verificare l'andamento delle operazioni di cartolarizzazione. Della
riunione e' redatto un verbale che va inviato alla filiale della
Banca d'Italia territorialmente competente.
Sezione IV
RELAZIONE SULLA STRUTTURA ORGANIZZATIVA
1. Comunicazioni alla Banca d'Italia.
Gli intermediari finanziari iscritti nell'elenco speciale di cui
all'art. 107 del testo unico, ad eccezione delle societa' per la
cartolarizzazione, devono inviare alla Banca d'Italia entro il
30 aprile di ogni anno una relazione sulla struttura organizzativa
redatta secondo lo schema indicato nell'allegato A.
La relazione non e' dovuta qualora non siano intervenute
variazioni rispetto alle informazioni comunicate con l'ultima
trasmessa.
----------
Allegato A
SCHEMA DELLA RELAZIONE SULLA STRUTTURA ORGANIZZATIVA
Parte I
Organi sociali
1. Descrivere sinteticamente i compiti assegnati a CdA, alta
direzione e collegio sindacale.
2. Indicare la periodicita' abituale delle riunioni del CdA e del
collegio sindacale.
3. Descrivere i processi che conducono alle decisioni di ingresso
in nuovi settori o all'introduzione di nuovi prodotti.
4. Indicare la tempistica ed il contenuto dei "report"
predisposti per le verifiche di competenza del CdA e dell'alta
direzione.
Parte II
Struttura organizzativa e sistema dei controlli interni
1. Descrivere (anche mediante grafico)
l'organigramma/funzionigramma aziendale (includendo anche l'eventuale
rete periferica e indicando i nominativi dei preposti alle varie
unita' nonche' il tipo di rapporto esistente con detti preposti o
altri collaboratori della societa).
2. Descrivere le deleghe attribuite ai vari livelli
dell'organizzazione aziendale, i relativi limiti operativi, le
modalita' di controllo del delegante sull'azione del delegato.
3. Per le unita' che hanno compiti di controllo, descrivere le
risorse umane e tecnologiche a disposizione, il contenuto e la
periodicita' delle attivita' di controllo (controlli interni,
gestione dei rischi, revisione interna), specificando i ruoli e le
responsabilita' connesse con lo svolgimento dei processi di
controllo.
4. Descrivere le modalita' di distribuzione dei prodotti
finanziari dell'intermediario.
Parte III
Gestione dei rischi
Rischio di credito.
1. Descrivere le politiche di credito seguite (selezione degli
affidati, fissazione dei tassi, ecc.).
2. Descrivere il processo che presiede all'erogazione dei crediti
ed al successivo monitoraggio, nonche' le procedure informatiche di
supporto utilizzate.
3. Descrivere i criteri utilizzati per la misurazione del rischio
di credito e le fonti informative e tecniche di supporto alla
valutazione del merito di credito.
4. Descrivere le procedure di recupero crediti utilizzate.
Rischio di mercato.
1. Indicare le tipologie di rischio di mercato rilevanti per
l'intermediario.
2. Descrivere le procedure di controllo utilizzate con
riferimento alle diverse tipologie di prodotto (azioni, titoli di
debito, derivati, ecc.) ed al rischio di cambio.
3. Indicare i limiti operativi imposti, i criteri per la loro
determinazione e le procedure previste in caso di supero dei
medesimi.
Altri rischi.
1. Indicare le diverse tipologie di rischi censite (es. rischio
strategico, rischio tecnologico, rischio legale, rischio
reputazionale, rischio di outsourcing, ecc.).
2. Descrivere i presidi organizzativi approntati e i contratti di
assicurazione stipulati per mitigare i diversi rischi operativi.
3. Descrivere le specifiche procedure poste in essere nel caso di
utilizzo di reti distributive informatiche (es. Internet).
Parte IV
Sistemi informativi
1. Descrivere sinteticamente le procedure informatiche utilizzate
nei vari comparti (contabilita', fidi, segnalazioni, ecc.), il
processo di alimentazione evidenziando le operazioni automatizzate e
quelle effettuate manualmente, il grado di integrazione tra le
procedure.
2. Descrivere i controlli (compresi quelli generati
automaticamente dalle procedure) effettuati sulla qualita' dei dati.
3. Descrivere i presidi logici e fisici approntati per garantire
la sicurezza del sistema informatico e la riservatezza dei dati
(individuazione dei soggetti abilitati, gestione di userid e
password, sistemi di back-up e di recovery, ecc.).
Il testo di questo provvedimento non riveste carattere di
ufficialità e non è sostitutivo in alcun modo della pubblicazione ufficiale
cartacea. La consultazione e' gratuita.
Fonte: Istituto poligrafico e Zecca dello Stato