Il nuovo ruolo del Risk Management nel sistema dei controlli interni delle banche

Il 15° aggiornamento della Circlare 263 (Nuove disposizioni di vigilanza prudenziale per le banche) del 2 luglio 2013 ha ridisegnato la geografia del sistema dei controlli interni delle banche, attribuendo nuovi compiti e funzioni alla funzione di Risk Management. Dal punto di vista della struttura organizzativa, è stato innanzitutto precisato che la funzione, il cui responsabile è nominato attraverso un meccanismo che vede coinvolti l’Organo di supervisione strategica e l’Organo di controllo, è collocata in posizione di dipendenza gerarchico-funzionale dell’Organo con funzioni di gestione, intendendosi tale organo come quello che cura l’attuazione degli indirizzi strategici, del RAF e delle politiche di governo dei rischi definiti dall’Organo di supervisione strategica ed escludendosi che, nelle banche di minore dimensione, sia possibile identificare l’organo di gestione con il Direttore Generale. Inoltre, la funzione di Risk Management è ora tenuta alla redazione di un programma di attività e di una relazione (almeno su base annuale e da trasmettersi alla Banca d’Italia) sull’attività svolta e deve godere, nell’ambito della propria attività di un’ampia autonomia rispetto alle funzioni operative; autonomia assicurata dal meccanismo di nomina, dalla collocazione di dipendenza gerarchico-funzionale, dai meccanismi di remunerazione, dal divieto di assumere responsabilità diretta di aree operative, dalla formalizzazione del ruolo e delle responsabilità e dalla separatezza dalle altre funzioni di controllo (Compliance, Internal Audit, Antiriciclaggio). Nelle banche di minori dimensioni, è stata data attuazione al principio di proporzionalità, consentendo alcune deroghe ai principi sopra enunciati attraverso la possibilità di nomina di un componente dell’Organo amministrativo, privo di deleghe operative, quale responsabile delle funzioni aziendali di controllo (tra le quali rientra il Risk Management), la possibilità di accorpare in unica struttura le funzioni di controllo di Risk Management e Compliance, la possibilità di affidare lo svolgimento della funzione all’esterno (outsourcing). Importanti novità hanno interessato i compiti affidati alla funzione di Risk Management che ora vede ampliata la propria sfera di attività estesa dal monitoraggio nel continuo della rischiosità aziendale, all’ausilio che è tenuta a fornire all’Organo di supervisione strategica nella definizione del RAF, al potere di vagliare preventivamente le operazioni di maggior rilievo, al ruolo di verifica sul monitoraggio andamentale e sul processo di recupero delle esposizioni creditizie con il vaglio sui criteri di classificazione e sulla congruità degli accantonamenti.