Recenti importanti convegni hanno inserito, fra i grandi temi trattati, questa norma. Che cosa ha introdotto che già non si conosce? Perché questa attenzione alle banche? Oltretutto la disposizione è un po’ datata!
In realtà, a luglio del 2013 è stato pubblicato un aggiornamento, il numero 15, che introduce molte novità.
E’ ora conosciuta come “Nuove disposizioni di vigilanza prudenziale per le banche”.
La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.Il 15º aggiornamento ha una portata considerevole in termini di miglioramento della sicurezza, vuoi ICT, vuoi per la continuità operativa per quanto attiene i parametri di continuità e la gestione del rischio. Infatti, come vedremo, di particolare interesse è l’approccio al rischio, chiave, questo, per ogni decisione in merito alla protezione dei beni aziendali.
Questo nuovo aggiornamento pone anche delle ben precise date entro le quali le banche si devono uniformare ai contenuti delle disposizioni impartite dall’Organo di Vigilanza.
Queste riguardano: i controlli interni, il sistema informativo, la continuità operativa.
L’aspetto che appare più importante per coloro che si occupano di sicurezza, in senso ampio del termine, è che questo aggiornamento chiede alle banche di dotarsi di un sistema dei controlli interni completo, adeguato, funzionale e affidabile.
In particolare, come sottolineato dalla Banca d’Italia, viene enfatizzato il ruolo dell’organo con funzione di supervisione strategica al quale è richiesto anche di favorire la diffusione di una cultura dei controlli attraverso l’approvazione di un codice etico al quale sono tenuti ad uniformarsi i componenti degli organi aziendali ed i dipendenti.
Per organo con funzione di supervisione strategica si intende, come definito dalla disposizione, “l’organo aziendale a cui – ai sensi del codice civile o per disposizione statutaria – sono attribuite funzioni di indirizzo della gestione dell’impresa, mediante, tra l’altro, esame e delibera in ordine ai piani industriali o finanziari, ovvero, alle operazioni strategiche”.
Si intende generalmente il consiglio di amministrazione. A questo organo, si chiede anche di definire il modello di business e il risk appetite framework (come cita la disposizione: è “il quadro di riferimento che definisce – in coerenza con il massimo rischio assumibile, il business model e il piano strategico – la propensione al rischio, le soglie di tolleranza, i limiti di rischio, le politiche di governo dei rischi, i processi di riferimento necessari per definirli e attuarli”).
Quante organizzazioni hanno chiaro il loro “risk appetite”? Come fanno a definire la rilevanza dell’impatto di una eventuale minaccia (necessaria ad individuare i processi critici) se non è stato formalizzato dal Vertice aziendale il livello di rischio (complessivo e per tipologia) che l’organizzazione intende assumere per il perseguimento dei suoi obiettivi strategici? E cosa dire se non è stata approvata la soglia di tolleranza (“risk tolerance”) di un rischio, ossia, la devianza massima dal risk appetite consentita?
In assenza di queste informazioni, come si possono definire i valori per ciascun processo, quali l’RTO (Recovery Time Objective) e il MAO (Maximum Acceptable Outage)/MTPD, se non sappiamo dove mettere l’asticella del massimo rischio accettabile? I processi aziendali diventano quindi tutti critici? Dobbiamo alzare difese (costose) per tutti? O in sede di decisione sul trattamento dei rischi ci concentriamo su quei (in genere) pochi processi veramente critici?
Dicevamo che ci sono delle precise scadenze: per il sistema dei controlli interni e la continuità operativa le banche hanno avuto tempo fino a luglio 2014 per provvedere.
Ma la definizione del Risk Appetite Framework è solo una piccola parte degli adempimenti.
La parte più importante è quella che fa gioire chi si occupa di Sicurezza: il coinvolgimento del Vertice Aziendale e di tutta l’organizzazione.
In questo momento di assoluta debolezza delle aziende (di qualunque dimensione, settore di attività e Nazione) di fronte al cybercrime, le organizzazioni devono fare squadra attorno al CISO ed al Business Continuity Manager. Infatti, sappiamo, che se dei criminali decidono di entrare per catturare informazioni all’interno di una organizzazione, ci riusciranno. E’ solo questione di tempo. Quante aziende – in un’ottica di risparmio – affidano i dati dei clienti e la loro stessa sopravvivenza a due o tre strumenti informatici, a qualche disposizione interna e, molto spesso, a qualche gruppo di giovanissimi brillanti consulenti? Ognuno di noi potrebbe citarne qualcuna in questa situazione.
Allora non si può non applaudire ad iniziative quali quella della Banca d’Italia, del resto in linea con le indicazioni della BCE.
Nel rimandare il lettore alla citata disposizione, riassumo alcuni punti che mi appaiono importanti.
Le norme prevedono per l’organo con funzione di gestione che esso debba avere una approfondita comprensione di tutti i rischi aziendali, delle loro interrelazioni reciproche e con l’evoluzione del contesto esterno. (Con organo di funzione di gestione si intende “l’organo aziendale o i componenti di esso a cui – ai sensi del codice civile o per disposizione statutaria – spettano o sono delegati compiti di gestione corrente, intesa come attuazione degli indirizzi deliberati nell’esercizio della funzione di supervisione strategica. Il direttore generale rappresenta il vertice della struttura interna e come tale partecipa alla funzione di gestione”).
Questa è, come si è compreso, la definizione data al paragrafo 3 del citato aggiornamento numero 15.
In aggiunta: “le disposizioni richiedono ai vertici delle banche di porre particolare attenzione alla definizione delle politiche e dei processi aziendali di maggiore rilievo, quali quelli riguardanti: la gestione dei rischi; la valutazione delle attività aziendali; l’approvazione di nuovi prodotti/servizi o dell’avvio di nuove attività nonché dell’inserimento in nuovi mercati; lo sviluppo e la convalida dei modelli interni di misurazione dei rischi non utilizzati a fini regolamentari”.
Altro punto importante riguarda le funzioni interne di controllo: risk management, compliance, internal audit. Infatti, viene stabilito che “la nomina e la revoca dei responsabili delle funzioni aziendali di controllo sono di competenza esclusiva dell’organo con funzione di supervisione strategica, sentito l’organo con funzione di controllo; i responsabili della funzione di controllo dei rischi (cosiddetto chief risk officer) e della funzione di conformità alle norme sono posti, almeno, alle dipendenze dell’organo con funzione di gestione, ferma restando la loro prerogativa di avere accesso diretto all’organo con funzione di supervisione strategica e all’organo con funzione di controllo. Il responsabile della funzione di revisione interna è, invece, sempre collocato a riporto gerarchico dell’organo con funzione di supervisione strategica; le tre funzioni aziendali di controllo sono indipendenti dalle aree di business e fra loro separate”.
Non ultimo, ai fini di migliorare la loro competenza, è previsto il passaggio delle risorse specialistiche coinvolte fra le tre funzioni di controllo. In quante organizzazioni italiane l’internal audit risponde al Vertice? O esiste una rotazione del personale ai fini del miglioramento delle competenze delle funzioni di internal auditing, risk e compliance management?
I precisi ruoli e responsabilità assegnati alle banche a partire dal Vertice Aziendale, fino agli organi di gestione e di controllo, facilita le strutture della banca a fare squadra, e, quindi, agevolare la sensazione di essere tutti in una stessa “barca”, tesi a difenderla dai persistenti attacchi ai prodotti, servizi e processi critici.
Come scritto all’inizio, altri due Capitoli delle disposizioni sono dedicati ai Sistemi Informativi e alla Continuità Operativa.
Ne parleremo la prossima settimana con un responsabile della continuità operativa di una grande realtà bancaria.
