Alcune linee di evoluzione della governance di una banca in tempi di pandemia
Il SSM della BCE ha da poco rilasciato i risultati aggregati dello SREP 2020, tra i quali merita particolare attenzione l'analisi contenuta nella sezione dedicata alla governance interna ed al risk management (alla quale potete accedere cliccando qui).
Con riferimento alla governance delle banche durante la crisi Covid, la BCE rileva che debbono essere rinforzate le seguenti aree:
- flussi informativi al Consiglio di Amministrazione ed al Collegio Sindacale, e ciò sia sotto il profilo della rapidità dei tempi di produzione dei flussi, sia sotto quello della qualità dei dati in essi contenuti, alla luce della persistente carenza in termini di capacità di aggregazione e di reporting dei dati di rischio;
- carenze di coinvolgimento dei board nella gestione della crisi;
- insufficiente follow-up e supervisione delle decisioni concernenti la crisi assunte dal basso verso l'alto (e, quindi, dal management).
Le questioni concernenti le funzioni di controllo interno risalenti al 2019 – quali, ad esempio, la carenza di personale, le dotazioni di strumenti inadeguati e la insufficiente capacità di governo della capogruppo nei confronti delle controllate – sono state enfatizzate a causa della pandemia. In particolare:
- la gestione del rischio di credito ha subito un impatto negativo a causa dei seguenti fattori:
- la presenza di funzioni di controllo interno inadeguate sotto il profilo della identificazione e/o del monitoraggio del rischio di credito;
- la impossibilità di assicurare adeguati livelli di controllo di primo, secondo e terzo livello (dovuti, in particolare, alle carenze di personale nei controlli di primo livello);
- le carenze nei processi di digitalizzazione delle pratiche di affidamento;
- la carenza di informazioni sui differimenti relativi a COVID-19 nei portafogli crediti delle controllate;
- la gestione della crisi è avvenuta senza una adeguata partecipazione delle funzioni di controllo interno, dato che le funzioni di revisione interna e di conformità non sono state adeguatamente coinvolte nei comitati di crisi.
Per quanto concerne l’aggregazione ed il reporting dei dati di rischio, nel 70% dei casi gli Ispettori hanno segnalato problemi, con diversi livelli di gravità, quali la difficoltà di soddisfare in modo tempestivo esigenze informative standard e ad hoc, la scarsa capacità di aggregazione dei dati a livello di gruppo a causa della presenza di sistemi informativi distinti nelle controllate, la presenza di infrastrutture IT deboli e l'utilizzo di architetture dei dati di rischio obsolete.
Come noto, i problemi di aggregazione dei dati sono persistenti e strutturali e non poche banche avevano già subito, negli ultimi due anni: i) l’aggiunta di un requisito qualitativo SREP sull'aggregazione dei dati; ii) la richiesta di un intervento di OSI (Open System Interconnection); iii) un'immersione profonda, o azioni di follow-up, derivanti da una "revisione tematica BCBS 239".
Si consideri, infine, che le priorità di vigilanza della BCE per il 2021 riportano, in tema di governance, quanto segue:
“Solide prassi di governance e rigorosi controlli interni sono cruciali per mitigare i rischi fronteggiati dalle banche nei periodi di normalità e ancor di più in tempi di crisi.
Una robusta gestione organizzativa e amministrativa è un fattore essenziale per superare una crisi e in questo contesto l’attività di vigilanza si concentrerà sulla valutazione della governance. Inoltre, l’adeguatezza dei sistemi di gestione dei rischi in situazioni di crisi e la capacità delle banche di adeguarli e adottarli in modo appropriato nell’attuale crisi resteranno al centro dell’attenzione della Vigilanza.
Ci si attende che gli organi di amministrazione abbiano accesso alle informazioni sui rischi, le valutino e ne discutano criticamente ed efficacemente l’accuratezza, soprattutto in relazione alle prassi di gestione del rischio di credito, incluso con riferimento alla capacità operativa e all’adeguatezza dei meccanismi di accantonamento nel contesto attuale. La Vigilanza bancaria della BCE si confronterà in modo dialettico con le banche in merito alle capacità di aggregazione dei dati di rischio e alle informazioni sui rischi presentate agli organi di amministrazione.
Gli esperti di vigilanza effettueranno inoltre verifiche delle prassi di gestione dei rischi informatici e cibernetici e della relativa governance, incluso dei rischi derivanti dall’esternalizzazione di servizi a fornitori terzi.
Infine, la Vigilanza bancaria della BCE proseguirà la sua valutazione dell’impatto prudenziale dei rischi di riciclaggio di denaro e di finanziamento del terrorismo, in particolare in relazione ai sistemi di controllo interni delle banche.”