Strategie di esternalizzazione nella gestione delle Banche

Strategie di esternalizzazione nella gestione delle Banche

4 Marzo 2021 GRC News 0

Negli ultimi anni gli enti regolatori nazionali ed europei sono intervenuti a più battute sul tema dell’esternalizzazione delle attività e delle Funzioni aziendali. La normativa di II livello si è adeguata nel tempo attraverso diversi aggiornamenti della Circolare 285/13 di Banca d’Italia. A livello europeo la recente pubblicazione delle Linee Guida (EBA/GL/2019/02) in materia di esternalizzazione (di seguito anche le “Linee Guida”) hanno aggiornato le pre-esistenti linee guida CEBS sull’outsourcing, pubblicate nel 2006, e hanno incorporato le disposizioni in tema di cloud outsourcing di dicembre 2017. Le Linee Guida hanno l’obiettivo di istituire un quadro normativo armonizzato e più robusto relativamente agli accordi di outsourcing per tutti gli enti rientranti nel perimetro di azione dell’EBA – in particolare banche, imprese di investimento soggette alla CRD, istituti di pagamento e di moneta elettronica – e si applicano a tutti gli istituti, su base individuale e consolidata, a partire dal 30 settembre 2019.

Le Linee Guida rivolgono una particolare attenzione all’ambito connesso ai sistemi e meccanismi di governance del processo di outsourcing, con particolare riferimento alla necessità – da parte dei destinatari – di garantire la conservazione delle capacità necessarie a mantenere un presidio di monitoraggio interno in merito alla funzione oggetto di esternalizzazione. Pertanto:

  • richiedono di condurre una puntuale attività di identificazione, valutazione e gestione – da parte delle istituzioni finanziarie – dei rischi derivanti dalla stipula di accordi con parti terze, ai quali le stesse possono essere esposte;
  • individuano elementi minimi delle Politiche aziendali in materia di esternalizzazione predisposte dai destinatari (e.g. una puntuale formalizzazione delle principali fasi del processo di outsourcing e di redazione dei relativi contratti);
  • prevedono contenuti minimi degli accordi di esternalizzazione, finalizzati a preservare l’intermediari dai relativi rischi;
  • richiedono ai destinatari l’implementazione di strumenti e l’esecuzione di attività volte ad evitare potenziali conflitti di interesse, specie nell’ambito delle ipotesi di esternalizzazione infragruppo (e.g. le istituzioni devono verificare e assicurare che le condizioni contrattuali siano in linea con le condizioni di mercato);
  • richiedono un’attenta attività di vigilanza da parte degli intermediari lungo tutto il processo di esternalizzazione: l’assessment preliminare, il perfezionamento dell’accordo, il monitoraggio delle attività e funzioni esternalizzate sulla base di KPI individuati ad hoc, la previsione di exit strategy;
  • prevedono che i destinatari elaborino un Business Continuity Plan che tenga conto, tra gli altri, di possibili eventi che mettano a repentaglio l’adeguata gestione, da parte del provider, della funzione esternalizzata, testandone periodicamente la tenuta;
  • sottolineano la rilevanza, altresì, della Funzione di Internal Audit, ai fini del presidio in merito al processo di outsourcing, fornendo specifiche indicazioni circa le attività che detta Funzione è tenuta a svolgere in relazione alle attività esternalizzate (e.g. analisi indipendente in ottica risk based sulle esternalizzazioni);
  • prevedono l’implementazione di un Registro, nel quale catalogare e documentare tutti gli accordi di esternalizzazione stipulati dai destinatari.

I destinatari delle Linee Guida devono adeguare gli accordi di esternalizzazione in essere alla data del 30 settembre 2019 alla prima data di rinnovo contrattuale e in ogni caso non oltre il 31 dicembre 2021.

Per outsourcing si intende l’accordo in qualsiasi forma tra una banca e un fornitore di servizi in base al quale il fornitore realizza un processo, un servizio o un’attività che sarebbe altrimenti svolto dalla stessa banca

Tra i vari aspetti ancora una volta viene richiamata la necessità di diffondere un’adeguata cultura del rischio, intesa come l’insieme delle regole, degli atteggiamenti e dei comportamenti dell’intermediario che incidono sul grado di consapevolezza, sull’assunzione e gestione dei rischi, nonché sulle attività di controllo, che determinano le decisioni in materia di rischi. La cultura del rischio influenza le decisioni degli organi aziendali e del personale nello svolgimento quotidiano delle proprie attività e influisce sui rischi assunti dalla banca.

A cura della Divisione GRC

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *