Contribuisco volentieri alla discussione, su questa newsletter, sulle recenti “Istruzioni di vigilanza” in ambito compliance per riassumere le particolarità che, a riguardo, hanno le SGR.
Lo scorso 14 aprile 2005 la Banca D’Italia ha emanato il “Regolamento sulla gestione collettiva del risparmio”(pdf [1], 1 M) che ha introdotto (in anteprima!) per tali società l’obbligo di dotarsi di una struttura di “compliance”.
Recita infatti il provvedimento: “Il sistema dei controlli interni è costituito dall’insieme delle regole, delle procedure e delle strutture organizzative che mirano ad assicurare il rispetto delle strategie aziendali, l’efficacia ed efficienza dei processi aziendali, la salvaguardia del valore del patrimonio aziendale e la buona gestione di quello detenuto per conto della clientela, l’affidabilità e integrità delle informazioni contabili e gestionali, nonché la conformità delle operazioni con la legge, la normativa di vigilanza, le norme di autoregolamentazione e le disposizioni interne dell’intermediario.”
Il testo continua definendo le tipologie essenziali dei controlli da prevedere:
- controlli di linea, che consistono nelle verifiche svolte sia da chi mette in atto una determinata attività sia da chi ne ha la responsabilità di supervisione(…);
- controlli dei rischi, affidati a strutture diverse da quelle di gestione degli investimenti, che hanno il compito di concorrere alla definizione dei limiti operativi e delle metodologie di misurazione dei rischi e di controllare la coerenza dell’operatività con gli obiettivi di rischio-rendimento definiti dai competenti organi aziendali;
- controlli sulla conformità alle disposizioni di legge, ai provvedimenti delle autorità di vigilanza e alle norme di autoregolamentazione (es.: protocolli di autonomia, codici di autodisciplina) nonché a qualsiasi altra norma applicabile alla SGR (“compliance”);
- attività di revisione interna (Internal Auditing – I.A.); in tale ambito, rientra la valutazione periodica della completezza, della funzionalità e dell’adeguatezza del sistema dei controlli interni in relazione alla natura e al livello dei rischi assunti.
Successivamente, descrivendo l’attività di revisione interna si chiarisce che questa deve essere autonoma, anche gerarchicamente, rispetto alle unità operative e che agli incaricati di I.A. deve essere garantito – per lo svolgimento delle verifiche di competenza – l’accesso a tutte le strutture aziendali nonché alle informazioni utili per il controllo sul corretto svolgimento delle funzioni aziendali esternalizzate.
La dotazione di idonei strumenti tecnici e informatici costituisce un ulteriore requisito.
La revisione interna assume, tra l’altro, compiti di controllo in ordine al buon funzionamento:
- dell’attività di compliance (che nelle SGR di minore complessità, scrive Bankit, può essere svolta dall’I.A. stessa);
- dei controlli di linea e dei rischi;
- (…)
- dell’adeguatezza delle dotazioni tecnologiche e delle capacità professionali degli addetti ai sistemi informativi aziendali, anche nel caso in cui tali sistemi siano esternalizzati;
- della rispondenza dell’operato degli outsourcer agli standard stabiliti con la convenzione di conferimento dell’incarico.
I sistemi informativi
Molto interessante quello che Banca D’Italia scrive sui sistemi informativi delle SGR che “devono essere caratterizzati da elevati livelli di sicurezza. Sotto questo profilo, (l’ I.A.) rileva l’idoneità dei presidi tecnico-organizzativi posti a tutela del patrimonio informativo aziendale, tra i quali:- la correttezza delle procedure operative e l’adeguata documentazione delle stesse;
- la predisposizione dell’accesso controllato agli archivi per l’imputazione delle operazioni e un’adeguata documentazione;
- la possibilità di ripristino delle condizioni antecedenti a un evento accidentale e l’esistenza di apposite procedure di back up e di recovery;
- misure di tutela della riservatezza e dell’integrità delle informazioni, che vanno assicurate mediante presidi sia di tipo fisico (previsione di criteri di accesso alle apparecchiature e ai documenti, modalità di conservazione e di distribuzione dei supporti, ecc.), sia di tipo logico (livelli di abilitazione degli utenti,
- assegnazione di password, eventuale uso di codici crittografici, tecniche di autenticazione delle informazioni teletrasmesse, ecc.).
(Ivi, pag. 86)
Le scadenze
Le SGR e le SICAV autorizzate alla data di entrata in vigore del presente Regolamento si adeguano alle disposizioni in materia di organizzazione amministrativa e contabile e controlli interni (Titolo IV, Capitolo III) entro il 31 dicembre 2006.(Ivi, Titolo VIII – Disposizioni finali e transitorie, Capitolo II Disposizioni transitorie VIII.2.1 - (pag. 201)
Compliance: le nuove istruzioni di vigilanza di Bankit
Come è noto, a fine agosto 2006 la Banca d’Italia ha pubblicato sul proprio sito il “Documento di consultazione concernente la normativa di vigilanza in materia di conformità alle norme (Compliance)” (pdf [2], 145 K) che estende a tutte le banche gli obblighi di “conformità” già anticipati nel Regolamento del 2005 per le SGR con alcune differenze significative, prima tra tutte la chiara indicazione che la funzione di “compliance” deve essere separata da quella di I.A.“L’adeguatezza ed efficacia della funzione di conformità devono essere sottoposte a revisione periodica da parte della revisione interna. Per l’efficacia e l’imparzialità della revisione è necessario che la funzione di conformità non sia affidata alla funzione di revisione interna. (…)
Riguardo alla separatezza delle due funzioni si è rilevato che alcune banche si sono già dotate di strutture incaricate della conformità, collocando organizzativamente i relativi compiti nella funzione di revisione interna. In proposito, si fa presente che l’adeguamento alle nuove istruzioni di vigilanza potrà avvenire in modo graduale, fermo restando che entro 12 mesi dalla pubblicazione delle istruzioni stesse le due funzioni dovranno essere rese organizzativamente e operativamente separate e indipendenti.”
(Fonte: Banca d’Italia,Documento di consultazione concernente la normativa di vigilanza in materia di conformità alle norme (Compliance), pdf [3], 145 K, pag. 7).
Chi è Cristina Cellucci?
Cristina è Internal Audit presso un primario gruppo bancario nazionale.IsacaRoma Neswletter link
- Sicurezza e Compliance – l’analisi dei rischi [4]
- Sicurezza e Compliance – prima parte: il quadro di riferimento [5]
- Compliance:
primo schema di Istruzioni di vigilanza di Banca d’Italia [6]
- Incontro sulla Compliance – resoconto (prima parte) [7]
- Sicurezza e Compliance: quando il gioco si fa duro [8]
- Incontro sulla Compliance [9]
- KPMG: nuove sfide per la sicurezza delle informazioni [10]