Come funzionano i controlli interni nelle banche? Nell’organizzazione aziendale e bancaria sussiste uno stretto legame tra i concetti di rischio e controllo. In particolare la pratica dei controlli interni ha una correlazione diretta con i processi di risk assessment. Se da un lato il rischio è l’elemento che può avere conseguenze dannose per il raggiungimento degli obiettivi dell’organizzazione, dall’altro il controllo è la misura da adottare per evitare che i rischi si verifichino o comunque per contenerli.
Con i controlli interni, la governance esercita le necessarie azioni per garantire verifiche sull’attuazione delle strategie e delle politiche della banca, ma anche contenimento del rischio in base al Risk Appetite Framework, conformità alla normativa, efficienza delle procedure aziendali, sicurezza delle procedure digitali, controllo per evitare coinvolgimenti in attività illecite.
Più nel dettaglio, i controlli interni negli istituti di credito sono necessari per verificare che le attività operative e strategiche siano adeguate alle regole prudenziali (quelle stabilite per esempio dal Comitato di Basilea, l’organizzazione internazionale per la vigilanza bancaria istituita dai governatori delle Banche centrali dei dieci paesi più industrializzati). La sigla SCI-GR (Sistema di Controllo Interno e di Gestione dei Rischi), indica il legame tra questa pratica e la gestione del rischio, a ricordare quanto i due aspetti siano strettamente correlati per il raggiungimento degli obiettivi di business.
La Banca d’Italia nella Circolare 285 del 2013, in vigore attualmente, che ha assorbito le precedenti disposizioni tra cui la Circolare 263 del 2006, non più vigente, ha individuato tre modalità di svolgimento dei controlli interni. I controlli di primo livello, detti anche controlli di linea, servono per verificare che le operazioni siano svolte in modo corretto. La Banca d’Italia sottolinea che a effettuare questi controlli sono le strutture operative dell’istituto di credito, che sono anche responsabili del processo di gestione del rischio: infatti, nelle proprie attività quotidiane devono individuare, analizzare e ridurre i rischi che derivano dall’attività aziendale, rispettando la procedura di risk management e gli obiettivi di rischio fissati.
I controlli di secondo livello, o sui rischi e le conformità, hanno invece obiettivi legati alla conformità. Questi sono, riassumendo, l’obiettivo di garantire che il processo di risk assessment sia attuato in modo corretto, ma anche il fine di verificare che vengano rispettati i limiti operativi e l’adeguamento alle normative comprese quelle di autoregolamentazione. I controlli di terzo livello, con cui si intende la revisione interna, servono invece per rilevare l’eventuale violazione di regole e processi, ma anche per condurre verifiche su quanto siano affidabili il sistema informativo – ICT- e il sistema stesso dei controlli interni.
In questo contesto, la Banca d’Italia nel testo delle Nuove disposizioni ricorda anche che il processo di risk assessment dev’essere integrato e dunque indica i “parametri di integrazione”:
La Banca d’Italia sottolinea inoltre che le procedure e i metodi di valutazione delle operazioni devono essere integrati con il processo di risk assessment: per far ciò, l’ente spiega che è necessario che siano unità diverse a occuparsi della definizione e della metodologia delle valutazioni, così come viene ribadito che questa stessa metodologia dev’essere stata sottoposta a stress test (cioè applicata simulando un contesto di crisi).
In quest’ottica ricopre una certa importanza anche il monitoraggio del rischio legato al fattore umano. I controlli interni infatti, nell’ottica del risk assessment, sono svolti anche per attenuare i casi di frode o “dipendenti infedeli”, nonché di conflitto d’interesse, fino ad arrivare a prevenire casi limite come l’usura o il finanziamento a gruppi terroristici.
Topic: Sicurezza Informatica, Banking