Il sistema dei controlli interni delle banche, già sufficientemente complesso ed articolato, si arricchisce di un nuovo presidio: la funzione di controllo dei rischi ICT e di sicurezza.
Infatti, la Banca d’Italia, nel mese di ottobre 2022, nel dare attuazione agli “Orientamenti sulla gestione dei rischi relativi alle tecnologie dell’informazione (ICT) e di sicurezza” dell’EBA (EBA/GL/2019/04), ha previsto tra l’altro – con il 40° Aggiornamento della Circolare 285 – che le banche si dotino di una funzione di controllo di secondo livello per la gestione e il controllo dei rischi ICT e di sicurezza.
Dunque, accanto alle funzioni aziendali di controllo già esistenti di secondo livello (compliance, risk management, antiriciclaggio) e di terzo livello (internal audit), dovrà essere costituita questa nuova funzione, responsabile della gestione e della supervisione dei rischi ICT e di sicurezza.
A detta funzione deve essere attribuita la responsabilità sia del monitoraggio e del controllo dei rischi ICT e di sicurezza, sia della verifica dell’aderenza delle operazioni ICT al sistema di gestione dei rischi ICT e di sicurezza. Più specificamente, i compiti assegnati alla funzione consistono nel:
- concorrere alla definizione della policy di sicurezza dell’informazione;
- concorrere nello svolgimento del processo di analisi dei rischi ICT e di sicurezza;
- partecipare attivamente nei progetti di modifica sostanziale del sistema informativo e, in particolare, nei processi di controllo dei rischi relativi a tali progetti.
A tal fine, la funzione di controllo dei rischi ICT e di sicurezza deve essere informata su: i) qualsiasi attività o evento che influenzi in modo rilevante il profilo di rischio della banca; ii) incidenti operativi o di sicurezza significativi; iii) qualsiasi modifica sostanziale ai sistemi e ai processi ICT.
La funzione di controllo dei rischi ICT e di sicurezza non va confusa con la funzione ICT che è invece responsabile dello svolgimento dei processi operativi del sistema informativo e della pianificazione dei progetti informatici della banca. Diversamente, la funzione di controllo deve assicurare che i rischi ICT e di sicurezza siano individuati, misurati, valutati, gestiti, monitorati nonché riportati e mantenuti entro i limiti della propensione al rischio della banca.
Come detto sopra, le banche dovranno attivarsi per adeguare la propria struttura organizzativa al mutato contesto normativo. Invero, le nuove disposizioni della Banca d’Italia lasciano aperta la possibilità di adottare scelte diverse, anche sulla base dei principi di proporzionalità e di autonomia organizzativa.
In particolare, le banche – come già accennato – potranno assegnare la responsabilità di questi compiti ad una specifica funzione appositamente costituita, che soddisfi i requisiti previsti dalle norme europee e nazionali per le funzioni aziendali di controllo di secondo livello, assicurando opportuni livelli di raccordo e coordinamento con le altre funzioni aziendali di controllo; in alternativa, le banche potranno anche assegnare tali compiti alle già esistenti funzioni aziendali di controllo dei rischi (risk management) e di conformità (compliance), in relazione ai ruoli, alle responsabilità e alle competenze proprie di ciascuna delle due funzioni. In questa seconda ipotesi, dovranno essere assicurati il corretto svolgimento dei compiti e le necessarie competenze tecniche affinché non si alteri l’efficacia dei controlli sui profili ICT.
Va pertanto evidenziato che, qualora la banca facesse ricorso a questa seconda soluzione organizzativa, analogamente a quanto già avviene per la funzione internal audit chiamata ormai da tempo a verificare – tra l’altro – l’adeguatezza, l’affidabilità complessiva e la sicurezza del sistema informativo (mediante l’esecuzione di cd. ICT audit), la funzione compliance e quella risk management dovranno integrare le proprie attività di controllo ed i relativi programmi per includere anche le verifiche in tema di rischi ICT e sicurezza. Considerate le competenze tecniche specialistiche necessarie per assolvere a questi compiti, le suddette funzioni di controllo possono anche fare ricorso a risorse esterne.
Inoltre, sempre sotto un profilo organizzativo e per le medesime necessità legate alle competenze specialistiche, si ritiene che anche per la funzione di controllo dei rischi ICT e di sicurezza sia ammessa la sua esternalizzazione, nel rispetto del principio di proporzionalità e dei principi generali in tema di outsourcing.
Il termine per il completo adeguamento delle banche al contenuto delle nuove disposizioni, quindi anche per la costituzione della nuova funzione o per l’assegnazione dei relativi compiti, è stato fissato dalla Banca d’Italia nel 30 giugno 2023. Inoltre, le banche dovranno trasmettere alla stessa Autorità di Vigilanza entro il 1° settembre 2023 una relazione che descrive gli interventi effettuati per assicurare il rispetto delle stesse disposizioni.
In conclusione, la costituzione di una ulteriore funzione di controllo interno non può non richiamare l’attenzione sulla necessità di un adeguato raccordo con gli altri controlli già esistenti. La presenza, infatti, di numerosi protagonisti coinvolti nei controlli interni di una banca rende ancora più importante l’azione di coordinamento tra organi, soggetti e funzioni di controllo interno. È la stessa Banca d’Italia ad elencarli: oltre all’organo con funzioni di controllo (tipicamente il collegio sindacale), i comitati endoconsiliari (es. comitato controllo e rischi), l’organismo di vigilanza 231, i soggetti incaricati della revisione legale dei conti, la funzione di revisione interna, la funzione di conformità alle norme, la funzione di gestione del rischio, la funzione antiriciclaggio, la funzione di convalida, il dirigente preposto alla redazione dei documenti contabili societari (per le banche con le azioni quotate). La raccomandazione non può che essere sempre la stessa: in presenza di tutti questi organi, soggetti e funzioni con compiti di controllo, che sia assicurata una corretta interazione per evitare sovrapposizioni o lacune.