di Fabio Musso e Agatino Grillo
Nella prima parte di questa serie di articoli dedicati alle nuove ''Nuove disposizioni di vigilanza prudenziale per le banche'' emanate da Banca D’Italia abbiamo presentato il quadro di riferimento generale ed i possibili impatti in ordine alle problematiche sulla Compliance. Nella seconda parte abbiamo descritto il processo di determinazione dell’adeguatezza patrimoniale (Internal Capital Adequacy Assessment Process - ICAAP) richiesto alla banche. In questa terza parte vedremo il processo con cui la Banca d’Italia riesamina e valuta l’ICAAP.

Il nuovo processo di controllo prudenziale

Come già anticipato nella precedente puntata, il nuovo processo di controllo prudenziale (Supervisory Review Process - SRP) richiesto al Titolo III (pdf, 344 K) delle nuove ''Nuove disposizioni di vigilanza prudenziale per le banche'' emanate da Banca D’Italia in attuazione alle direttive comunitarie in materia di adeguatezza patrimoniale degli intermediari si articola in due parti:

1. il processo interno di determinazione dell’adeguatezza patrimoniale (Internal Capital Adequacy Assessment Process - ICAAP) di pertinenza delle banche ( di cui abbiamo già parlato);
2. il processo di revisione e valutazione prudenziale (Supervisory Review and Evaluation Process - SREP) che è di competenza dell’Autorità di vigilanza, la quale riesamina l’ICAAP, formula un giudizio complessivo sulla banca e attiva, ove necessario, misure correttive e che vedremo in quest’articolo.

Supervisory Review and Evaluation Process - SREP

Lo SREP è il processo con cui la Banca d’Italia riesamina e valuta l’ICAAP, analizza il profilo di rischio della banca, valuta il sistema di governo aziendale, la funzionalità degli organi, la struttura organizzativa e il sistema dei controlli interni e verifica, infine, l’osservanza del complesso delle regole prudenziali.

Fasi dello SREP

Il processo di revisione e valutazione prudenziale si articola nelle seguenti fasi principali:

• analisi dell’esposizione a tutti i rischi rilevanti assunti e dei relativi sistemi di controllo;
• verifica del rispetto dei requisiti patrimoniali e delle altre regole prudenziali;
• valutazione del procedimento aziendale di determinazione del capitale interno complessivo e dell’adeguatezza del capitale complessivo rispetto al profilo di rischio della banca;
• attribuzione di giudizi specifici relativi a ciascuna tipologia di rischio e di un giudizio complessivo sulla situazione aziendale;
• individuazione degli eventuali interventi di vigilanza da porre in essere.

Il sistema di analisi aziendale

Per lo SREP, la Banca d’Italia utilizza un sistema di analisi delle banche, definito “Sistema di analisi aziendale”, che consente di effettuare, sia a livello individuale che consolidato, le analisi e le valutazioni degli aspetti sopra richiamati. Il sistema analizza – attraverso la razionalizzazione e la standardizzazione di tutte le informazioni disponibili – i rischi rilevanti assunti dalle banche, secondo criteri, metodologie e cadenze prestabilite.
Il sistema di analisi aziendale utilizza controlli a distanza e controlli ispettivi.
Controlli a distanza
I controlli a distanza utilizzano un insieme articolato di informazioni: le segnalazioni di vigilanza periodiche, il bilancio ufficiale, le informazioni fornite dalle banche in relazione al processo di valutazione aziendale dell’adeguatezza patrimoniale, la documentazione rassegnata a vario titolo (ad esempio, le informative su accertamenti ispettivi interni), gli elementi conoscitivi acquisiti tramite le audizioni degli esponenti aziendali ed i controlli ispettivi.

Modelli di analisi

Il sistema di analisi aziendale prevede un "percorso di analisi" strutturato attraverso il quale sono svolte le varie fasi previste dallo SREP. I "modelli di analisi" sono il principale strumento a supporto del percorso di analisi. Essi si riferiscono a cinque profili principali:

1. l’adeguatezza patrimoniale,
2. la redditività,
3. la rischiosità creditizia,
4. l’organizzazione
5. la liquidità

La valutazione complessiva sulla situazione aziendale è basata sui punteggi parziali assegnati ai profili sopra indicati e tiene conto anche di tutte le altre informazioni disponibili sull’azienda, acquisite anche nell’ambito del confronto con quest’ultima relativo all’ICAAP.
Nell’Allegato F delle disposizioni si illustrano le principali caratteristiche del sistema di analisi aziendale, con particolare riferimento ai criteri di valutazione seguiti per le diverse tipologie di rischio, la redditività, i profili organizzativi e l’adeguatezza patrimoniale.

I controlli ispettivi

I controlli ispettivi consistono nell’accesso di addetti alla Vigilanza direttamente presso le banche. L’ambito dei controlli è differenziato: le ispezioni possono avere uno spettro di indagine esteso, quando sono finalizzate all’analisi della complessiva situazione aziendale, ovvero natura "mirata", se riferite a circoscritti comparti di attività, aree di rischio, profili gestionali, aspetti tecnici o filoni tematici, secondo le specifiche esigenze conoscitive emerse nel corso dell’attività condotta a distanza.

Il confronto con le banche

Il confronto con le banche costituisce parte integrante del processo di revisione e valutazione prudenziale svolto dalla Vigilanza. L’analisi dell’informativa sull’ICAAP che viene condotta unitamente alle altre attività in cui si articola il processo SREP, consente alla Banca d’Italia di individuare eventuali necessità di approfondimento, di chiarimento o di integrazione del quadro informativo disponibile. Tali esigenze possono essere soddisfatte attraverso l’acquisizione di ulteriore documentazione, incontri con gli esponenti aziendali, sopralluoghi ispettivi.

Gli interventi correttivi

La Banca d’Italia può richiedere alle banche gli interventi correttivi di seguito indicati:

• rafforzamento dei sistemi, delle procedure e dei processi relativamente alla gestione dei rischi, ai meccanismi di controllo ed alla valutazione aziendale dell’adeguatezza patrimoniale;
• contenimento del livello dei rischi, anche attraverso il divieto di effettuare determinate categorie di operazioni;
• riduzione dei rischi anche attraverso restrizioni ad attività o alla struttura territoriale;
• non distribuzione di utili o di altri elementi del patrimonio;
• detenzione di patrimonio di vigilanza in misura superiore al livello regolamentare previsto per i rischi di credito, di controparte, di mercato e operativi, anche attraverso l’applicazione agli aggregati di riferimento di un trattamento specifico con riferimento alle modalità di determinazione dei requisiti patrimoniali.

Fine terza parte
Leggi seconda parte 
Leggi prima parte 

Chi è Fabio Musso?

Fabio Musso, dottore commercialista e revisore dei conti, è responsabile dell’Ufficio "Compliance" di OASI. Precedentemente ha lavorato Ernst&Young SALT ed in primari studi professionali. Può essere contattato attraverso il sito web di OASI o via email: f.musso AT oasi-servizi.it (sostituire AT con @)
Fabio Musso è stato recentemente intervistato sui temi della Compliance per IsacaRoma Newsletter.

Chi è Agatino Grillo?

Agatino Grillo, CISA, CISM, CISSP, fa parte del comitato direttivo di IsacaRoma. Precedentemente è stato nel comitato direttivo di AIEA. Ha scritto diversi articoli per IsacaRoma Newsletter.

IsacaRoma Neswletter link

• Compliance: il processo di controllo alla luce delle nuove disposizioni di vigilanza prudenziale per le banche (terza parte)
• Compliance: il processo di controllo alla luce delle nuove disposizioni di vigilanza prudenziale per le banche (seconda parte) 
• Compliance: prime considerazioni sulle nuove disposizioni di vigilanza prudenziale per le banche (parte prima)
• Compliance: la regolamentazione basata sui principi
• Compliance: la vision di PricewaterhouseCoopers
• Compliance: resoconto del convegno "Etica e regole nella finanza: la funzione di Compliance" (parte prima seconda e terza)
  
• OASI: servizi per la Compliance
• KPMG: Compliance - Aspetti di Information Risk Management
• FSA's risk-based approach  (parte prima e seconda)
• Compliace: letture interessanti 
• Compliace: invito a collaborare
• KPMG: Compliance - Aspetti di Information Risk Management
• Compliance: il modello di FSA
• FSA: ARROW – risk assessment framework (parte prima, seconda e terza)
• Antiriciclaggio – un approccio per rischi
• Banca D’Italia: La banca del futuro (fiducia, trasparenza e compliance)
  
• Compliance e antiriciclaggio (parte prima,  seconda e terza)
• Compliance: convegno "Nuovi adempimenti normativi per società iscritte all'Ufficio Italiano Cambi" (anche via Internet)
• Compliance e Trasparenza
• Compliance e Market Abuse – parte prima  e seconda
• FSA – Industry Guidance
• FSA: proposta per passare ad una regulation basata sui principi
• Compliance: le proposte della FSA inglese
• FSA: Business Continuity Management - Practice Guide
• ABI: Position paper sulla Compliance
• MiFID: la Direttiva sui mercati degli strumenti finanziari
• Compliance: il quadro europeo
• ABI Lab: intervista a Matteo Lucchetti, coordinatore della Centrale d'Allarme per Attacchi Informatici
• Costi/benefici della funzione Compliance: intervista alla dottoressa Manuela Gallo dell'Università di Perugia
• ABI Lab: Business Continuity e Disaster Recovery, intervista a Romano Stasi
  AICOM: Linee guida per la funzione di Compliance
• ABI: "enciclopedia " online sulla Compliance
• Indagine AICOM sui costi/benefici della funzione Compliance
• Compliance: le osservazioni di AICOM alle Istruzioni di Vigilanza in materia di "conformità alle norme" di Banca d’Italia
• La Compliance in banca
• Compliace: linee guida ABI sul D. LGS. 231/2001 (parte prima e seconda)
• Compliance: le misure richieste per la Centrale d’Allarme Interbancaria (CAI)
• D. LGS. N. 231/2001: l’analisi dei rischi – parte prima e seconda
• Compliance: obblighi delle assicurazioni per la gestione dei rischi
• Compliance: gli obblighi per le SGR