Requisiti Organizzativi Mediatori Creditizi

Requisiti Organizzativi

PREMESSE
Il Regolamento stabilisce che "le società di mediazione creditizia si dotano di un sistema di controllo interno ("S.C.I.") proporzionato alla propria complessità organizzativa, dimensionale ed operativa".

In base al Regolamento, "il sistema dei controlli interni" deve quindi assicurare:
  • un'efficace gestione e controllo dei rischi derivanti dall'inosservanza e dal mancato adeguamento alle norme di legge, regolamentari e statutarie applicabili all'attività svolta a cui la società è esposta anche in relazione alla rete di soggetti che operano per suo conto;
  • la riservatezza e l'integrità delle informazioni e l'affidabilità e sicurezza delle procedure per il loro trattamento;
  • la verifica della conformità dell'attività svolta con norme di legge, regolamentari e statutarie ad essa applicabili e con le procedure interne che la società ha definito per osservarle".

Il 17 marzo 2014 è stato pubblicato, nella Gazzetta Ufficiale, il Decreto del Ministero dell'Economia e delle Finanze 22 gennaio 2014, n. 31 con cui è stato emanato il Regolamento recante attuazione dell'art. 29 del D.lgs. 13 agosto 2010, n. 141 (di seguito "Regolamento").
Il decreto regola il contenuto dei requisiti organizzativi (del sistema dei controlli interni) per l'iscrizione nell'Elenco dei mediatori creditizi di cui all'art. 128-sexies, comma 2, del D.lgs. 1 settembre 1993, n. 385 (di seguito "TUB").
Lo stesso Regolamento, all'art. 8 statuisce che le società di mediazione creditizia, con decorrenza 1 ottobre 2014, devono adempiere alle previsioni Regolamentari.
Nella società di mediazione creditizia, come negli intermediari finanziari, intervengono 3 funzioni:
  • La funzione di supervisione strategica (ndr);
  • La funzione di gestione;
  • La funzione di controllo.
Queste funzioni hanno compiti direttamente connessi con il sistema dei controlli interni.

Lo stesso OAM quale organo di controllo delle società di mediazione ha emanato con effetto 1 ottobre 2014 disposizioni specifiche sul controllo interno:
  • le società di mediazione creditizia con un numero di dipendenti o collaboratori superiori a 20 sono tenute a costituire una funzione di controllo interno come disciplinato dall'art. 7 del decreto n°31/2014 e al punto 3 dispone he "rimane fermo l'obbligo per le società di mediazione creditizia di adempiere a quanto previsto dal decreto 22 gennaio 2014 n° 141 entro 6 mesi dall'entrata in vigore dello stesso, ovvero il 1° Ottobre 2014;
  • le linee guida concernenti il contenuto dei requisiti organizzativi per l'esecuzione nell'elenco dei mediatori creditizi.
IL SISTEMA DEI CONTROLLI
Il sistema dei controlli interni si articola in n.ro 3 livelli di controllo:
  • I "controlli di primo livello" ovvero i controlli di linea diretti ad assicurare il corretto svolgimento delle operazioni (sistematiche ndr) connesse con l'attività di mediazione creditizia. Essi sono effettuati dalle stesse strutture operative e per quanto possibile gli stessi controlli sono incorporati nelle procedure informatiche;
  • I "controlli di secondo livello" ovvero controlli sui rischi e sulla conformità che hanno l'obiettivo di assicurare, tra l'altro:
    • la coerenza dell'operatività delle aree operative con gli obiettivi assegnati e con l'attuazione del processo di gestione dei rischi;
    • la conformità dell'operatività aziendale alle norme, incluse quelle interne della società di mediazione creditizia.
  • I "controlli di terzo livello" ovvero di revisione interna, volti a individuare le violazioni delle procedure e della regolamentazione, e a valutare periodicamente la completezza, l'adeguatezza, la funzionalità (in termini di efficienza ed efficacia) e l'affidabilità del sistema dei controlli interni.
Nello specifico, la società di mediazione creditizia avente oltre 20 dipendenti/collaboratori deve costituire una vera e propria funzione di controllo interno e quindi nominare l'internal auditor ancorchè esternalizzato; conseguenzialmente qualora collaboratori/dipendenti non raggiungano le 20 unità non sussisterebbe tale obbligo ( vedasi il successivo paragrafo 3.4).
Si evidenzia che la società di mediazione creditizia è particolarmente esposto a rilievo i rischi operativi, che includono i rischi di natura legale, i quali possono discendere dai rapporti con la clientela; a tal fine, la società di mediazione è tenuta, ad approntare adeguati presidi organizzativi per assicurare il rispetto delle norme secondarie di settore e dei regolamenti interni. In particolare saranno oggetto di adeguata valutazione il rischio connesso all'operato dei propri dipendenti e collaboratori che entrano in contatto con il pubblico (sub sez. 3.7) ed il rischio Antiriciclaggio (sez. 4).
Nella predisposizione dei presidi organizzativi, la società di mediazione creditizia tiene inoltre conto dell'esigenza di prevenire fenomeni di usura, riciclaggio (Rif. Sez. 4)e di finanziamento al terrorismo, nel rispetto delle disposizioni primarie e secondarie di settore.

CONTROLLI PRIMO LIVELLO
Tutte le società di mediazione creditizia devono definire forme di controllo di "primo livello" che, nell'esecuzione dell'attività operativa sono correlate al sistema informativo aziendale e all'interno di questo, investono il sistema informatico.

CONTROLLI SECONDO LIVELLO
Tutte le società di mediazione creditizia devono implementare forme di controllo di "secondo livello". Tali controlli si identificano ne:
  • i controlli di conformità alle norme (compliance);
  • il controllo di gestione dei "rischi (risk management)";
  • i "controlli sul rischio antiriciclaggio già previsti come obbligatori per i mediatori creditizi dal Provvedimento Antiriciclaggio odi Bankitalia del 2011.
Si precisa altresì che la società di mediazione creditizia, nel rispetto del principio di proporzionalità e, quindi,in funzione alla propria complessità organizzativa, dimensionale ed operativa, non ha l'obbligo di istituire le "funzioni" di compliance e di Risk Management ma, deve definire ed implementarne i controlli rappresentativi delle funzioni medesime e all'interno del sistema di controllo interno. I suddetti controlli sono connessi alle procedure, regole, protocolli etc.; degli stessi controlli va data apposita evidenza nella relazione sui requisiti organizzativi prevista dall'art. 6 del Regolamento.
Le società di mediazione creditizia devono quindi definire ed implementare i controlli sulla gestione dei rischi, in quanto controlli di secondo livello e includono:
  • La verifica nel continuo dell'adeguatezza del processo di gestione dei rischi (rischio legale, rischio reputazionale, rischio operativo, rischio di liquidità) nell'ambito del "principio della proporzionalità";
  • Il monitoraggio costante dell'evoluzione dei rischi aziendali;
  • la predisposizione dei flussi informativi agli organi aziendali
CONTROLLI TERZO LIVELLO
Il responsabile della funzione di revisione interna (internal audit), ove istituita, dovrà:
  • possedere requisiti di professionalità adeguati;
  • essere collocato alle dirette dipendenze dell'organo con funzione di gestione;
  • essere nominato o revocato dall'organo con funzione di gestione, sentito l'organo con funzione di controllo (se esistente);
  • riferire direttamente agli organi con funzione di gestione e di controllo (se esistente);
  • non svolgere mansioni operative.
In coerenza con il principio di proporzionalità, il responsabile della funzione di revisione interna potrà, eventualmente, identificarsi in un componente dell'organo con funzioni di gestione, in quanto destinatario di specifiche deleghe in materia di controlli, il quale a sua volta, non dovrà essere destinatario di ulteriori deleghe che ne pregiudichino l'autonomia.
In particolare l'Internal Audit, in quanto responsabile dai controlli di III livello, ha l'obiettivo di valutare:
  • la completezza, l'adeguatezza, la funzionalità (in termini di efficacia ed efficienza) e l'affidabilità del sistema dei controlli interni e, in generale, della struttura organizzativa;
  • l'adeguatezza, l'affidabilità complessiva e la sicurezza del sistema informativo.
Si rileva che in caso di assenza dell'organo di controllo (collegio sindacale o sindaco unico), nelle società con organo di gestione collegiale, la responsabilità dei controlli di terzo livello può essere affidata ad un componente dell'organo amministrativo, purchè non esecutivo e purchè diverso dal soggetto a cui viene affidata la responsabilità dei controlli di secondo livello.
Diversamente, nelle società con organo di gestione monocratico (amministratore unico), il responsabile dei controlli di terzo livello non potrà coincidere con l'amministratore medesimo, e quindi, solo per le aziende di piccole dimensioni, potrà essere individuato come referente interno rispetto della funzione esternalizzata.