16.6.2012   

IT

Gazzetta ufficiale dell'Unione europea

C 173/1

RELAZIONE

sull’audit della gestione dei rischi della Banca centrale europea per l’esercizio finanziario 2010, corredata delle risposte della BCE

2012/C 173/01

INDICE

 

Paragrafi

Pagina

INTRODUZIONE …

1-4

3

ESTENSIONE E APPROCCIO DELL’AUDIT …

5-6

3

RISULTANZE DELL’AUDIT …

7-91

3

La BCE ha posto in essere una struttura di governance adeguata e completa per la gestione dei rischi? …

7-18

3

Quadro generale di gestione dei rischi …

8-14

3

Informazioni sul quadro di gestione dei rischi della BCE rese note a terze parti …

15-18

4

La BCE ha gestito i propri rischi operativi in maniera efficace? …

19-66

5

Gestione dei rischi operativi …

20-39

5

Gestione della continuità operativa presso la BCE …

40-66

7

La BCE ha gestito i propri rischi finanziari in maniera efficace? …

67-91

10

Il quadro di gestione dei rischi finanziari per gli investimenti e le attività relative alle politiche …

69-74

10

Metodologia di gestione dei rischi finanziari …

75-83

11

Applicazione della metodologia di gestione dei rischi finanziari …

84-88

12

Adeguatezza del reporting sui rischi finanziari …

89-91

12

CONCLUSIONI E RACCOMANDAZIONI …

92-100

13

La BCE ha posto in essere una struttura di governance adeguata ed esaustiva per la gestione dei rischi? …

92-93

13

La BCE ha gestito i propri rischi operativi in maniera efficace? …

94-98

13

La BCE ha gestito i propri rischi finanziari in maniera efficace? …

99-100

13

Risposta della Banca centrale europea

15

ABBREVIAZIONI

BCE

Banca centrale europea

BCM

Business Continuity Management (gestione della continuità operativa)

BCN

Banche centrali nazionali

BCP

Business Continuity Plan (piano di continuità operativa)

BIA

Business Impact Analysis (analisi dell'impatto sull’attività operativa)

BRI

Banca dei regolamenti internazionali

BPH

Business Practice Handbook (manuale per la gestione delle attività)

CBPP

Covered Bonds Purchase Programme (programma per l’acquisto di obbligazioni garantite)

CRO

Chief Risk Officer (Direttore rischi)

D-CO

Direzione Comunicazione

DG-A

Direzione Generale Amministrazione

DG-H

Direzione Generale Risorse umane, bilancio di previsione e strutture organizzative

DG-IS

Direzione Generale Sistemi informatici

DG-M

Direzione Generale Operazioni di mercato

DG-P

Direzione Generale Pagamenti e infrastrutture di mercato

DG-S

Direzione Generale Statistiche

EB

Executive Board (Comitato esecutivo)

FOS

Financial Operations Services (Servizi operazioni finanziarie)

GFP

Gestione dei fondi propri

GIPS

Global Investment Performance Standards (Standard globali di presentazione delle performance degli investimenti)

IAS

International Accounting Standards (Principi contabili internazionali)

IASB

International Accounting Standards Board (Organismo internazionale di normalizzazione contabile)

IFRS

International Financial Reporting Standards (Principi internazionali d’informativa finanziaria)

INV

Divisione investimenti

MOS

Market Operations Systems (Sistemi delle operazioni di mercato)

ORC

Operational Risk Committee (Comitato rischi operativi)

ORM

Operational Risk Management (gestione dei rischi operativi)

RMA

Divisione Gestione dei rischi (della DG-H)

SEBC

Sistema europeo delle banche centrali

SMP

Securities Markets Programme (Programma per il mercato dei titoli finanziari)

VaR

Value at Risk (valore a rischio)

INTRODUZIONE

1.

La Banca centrale europea (BCE) e le banche centrali nazionali di tutti gli Stati membri dell'Unione europea (UE) costituiscono, nel loro insieme, il Sistema europeo delle Banche centrali (SEBC). L'obiettivo principale del SEBC è il mantenimento della stabilità dei prezzi. Il SEBC sostiene inoltre le politiche economiche generali nell’UE al fine di contribuire alla realizzazione degli obiettivi dell’Unione (1). A tal fine, la BCE svolge i compiti indicati nel proprio statuto (2) ed è responsabile per la gestione delle proprie attività e finanze.

2.

L'audit sull'efficienza operativa della BCE espletato dalla Corte dei conti europea (in appresso «la Corte») trova la sua base giuridica nell'articolo 27, paragrafo 2, del protocollo sullo statuto del SEBC e della BCE (3). L’audit 2010 ha riguardato le procedure ed i sistemi stabiliti dalla BCE per la gestione dei rischi e la loro applicazione.

3.

Gli organi decisionali della BCE sono il Consiglio direttivo ed il Comitato esecutivo (4). Il Comitato esecutivo attua la politica monetaria secondo le decisioni e gli indirizzi stabiliti dal Consiglio direttivo (5) ed è responsabile della gestione degli affari correnti della BCE e delle sue risorse. Il Comitato esecutivo è anche responsabile in ultima istanza della gestione dei rischi presso la BCE.

4.

Alla BCE, i rischi sono gestiti tramite due distinte strutture. L’unità Gestione del rischio operativo [ORM (6)/BCM] si occupa di tutti i rischi operativi (cfr. nota 22), compresa la continuità operativa. La Divisione Gestione dei rischi (RMA) si occupa della gestione del rischio finanziario (cfr. paragrafo 70), comprese le attività di investimento della BCE e le operazioni di credito.

ESTENSIONE E APPROCCIO DELL’AUDIT

5.

L’audit della Corte relativo all’esercizio 2010 aveva lo scopo di valutare l’adeguatezza del quadro di gestione dei rischi operativi e finanziari della BCE (7). La gestione dei rischi presso la BCE è stata valutata sulla base dei seguenti principali quesiti di audit:

La BCE ha posto in essere una struttura di governance adeguata e completa per la gestione dei rischi?

La BCE ha gestito i propri rischi operativi in maniera efficace?

La BCE ha gestito i propri rischi finanziari in maniera efficace?

6.

L’audit della gestione dei rischi della BCE (8) ha incluso i seguenti elementi:

a)

esame del quadro generale di gestione dei rischi presso la BCE, compreso l’esame delle migliori pratiche nell'area della gestione dei rischi presso altre organizzazioni internazionali simili (9);

b)

esame del quadro di gestione dei rischi operativi e controllo di sei aree operative (Direzioni generali) selezionate, al fine di valutare l’attuazione del quadro di gestione dei rischi. Le aree operative sono state selezionate in base ai seguenti criteri: i) assicurare la copertura di rischi operativi significativi; ii) coprire sia le attività primarie che quelle non primarie della BCE; iii) coprire le attività che richiedono una gestione dei rischi orizzontali. Sono state prescelte le seguenti Direzioni generali (DG): Operazioni di mercato (DG-M), Pagamenti e infrastruttura di mercato (DG-P), Statistiche (DG-S), Amministrazione (DG-A), Sistemi informatici (DG-IS) nonché la Direzione Comunicazioni (D-CO);

c)

esame del quadro di gestione dei rischi finanziari e verifica dettagliata riguardante la Divisione Gestione dei rischi (RMA), facente parte della Direzione Generale Risorse umane, bilancio di previsione e strutture organizzative (DG-H), e le Divisioni Sistemi delle operazioni di mercato (MOS), Servizi operazioni finanziarie (FOS) e Investimenti (INV) facenti parte della DG-M. La valutazione della metodologia di gestione del rischio della BCE, nonché della sua applicazione, è stata operata con l’assistenza tecnica di un’équipe di esperti di rischi finanziari proveniente da Ernst and Young, Lussemburgo.

RISULTANZE DELL’AUDIT

La BCE ha posto in essere una struttura di governance adeguata e completa per la gestione dei rischi?

7.

L’obiettivo che si prefigge la BCE è quello di applicare le migliori pratiche alla propria gestione dei rischi: «La Banca centrale europea ha, sin dall’inizio, prestato particolare attenzione alla gestione dei rischi. Come nuovo membro della comunità delle banche centrali, la BCE ambiva a soddisfare i più alti standard di governance nell’organizzare la propria funzione di gestione dei rischi all’interno dell’istituzione, e ad utilizzare strumenti d’avanguardia» (10).

Quadro generale di gestione dei rischi

8.

«Una solida cultura del rischio diffusa in tutta l’istituzione è uno degli elementi principali per una efficace gestione dei rischi. Uno dei prerequisiti della creazione di detta cultura del rischio è l’introduzione di una funzione di gestione dei rischi che sia omnicomprensiva (che copra cioè tutti i tipi di rischio, tutte le aree di attività e tutti i rischi significativi) ed indipendente, sotto la diretta responsabilità del Direttore rischi (Chief Risk Officer, CRO), o degli alti dirigenti, qualora non sia stato nominato un CRO, seguendo il principio di proporzionalità» (11).

9.

Alla BCE, ogni unità organizzativa (12) è responsabile della gestione dei propri rischi e controlli. Due funzioni/divisioni assistono le unità organizzative nel processo di gestione dei rischi:

la funzione ORM/BCM (13), responsabile della metodologia, del coordinamento di tutte le attività connesse a rischi operativi, nonché di fornire consulenza in modo proattivo alle aree operative (14),

la Divisione Gestione dei rischi (RMA), che si occupa dei rischi finanziari (15). A quest’ultima compete proporre politiche e procedure e fornire sostegno organizzativo in merito alla gestione dei rischi per tutte le operazioni sul mercato finanziario condotte dalla BCE o dall’Eurosistema per conto della BCE. La Divisione Gestione dei rischi è composta da due unità: la Sezione Analisi dei rischi e la Sezione Strategia in materia di rischio.

10.

Per assistere la presa delle decisioni da parte del Comitato esecutivo, sono stati istituiti diversi comitati che si occupano dei vari aspetti della gestione dei rischi; tra questi, il Comitato rischi operativi, il Comitato investimenti, il Comitato attività e passività ed il Comitato credito.

11.

Esiste una completa struttura organizzativa, con ruoli e responsabilità chiaramente assegnati. Tuttavia, alla BCE vi è una netta separazione tra la gestione dei rischi finanziari e la gestione di quelli operativi, che accresce il rischio che la visione delle esposizioni riguardanti l’intera BCE possa non essere completa.

12.

Tra il Comitato esecutivo e le due funzioni/unità che si occupano di rischi (la ORM/BCM e la RMA) non è stato istituito alcun organo unico, indipendente, come un Direttore rischi o un Comitato per la gestione globale dei rischi. Al momento dell’audit, il membro del Comitato esecutivo incaricato della gestione dei rischi aveva anche una serie di altre aree di responsabilità, mentre un Direttore rischi si concentrerebbe esclusivamente sulla gestione dei rischi.

13.

Inoltre, l’assenza di una funzione di gestione dei rischi gerarchicamente indipendente accresce il rischio che le tematiche concernenti la gestione dei rischi non ricevano sufficiente priorità, ad esempio in termini di assegnazione di risorse umane a compiti di gestione dei rischi, dal momento che tali tematiche sono soggette alle decisioni della DG-H.

14.

Un esame delle migliori pratiche in altre organizzazioni internazionali simili ha mostrato che la Bank of Canada ha adottato una struttura di gestione integrata dei rischi, che comprende un Direttore rischi ed un Gruppo di lavoro sulla gestione dei rischi. Entrambi si occupano di determinare un profilo di rischio esaustivo per la Bank of Canada, che includa rischi connessi all’attività, i rischi operativi e i rischi finanziari, come descritto nel riquadro 1. La struttura di gestione dei rischi della Bank of Canada è pienamente integrata nei suoi processi di pianificazione strategica, di elaborazione del bilancio, e di valutazione della performance a fine esercizio.

Riquadro 1

Un esempio di gestione integrata dei rischi — la Bank of Canada

Il Direttore rischi ha le seguenti responsabilità:

guida l’elaborazione ed il miglioramento del quadro della politica di gestione integrata dei rischi, con l’autorizzazione dei dirigenti,

fornisce orientamenti in materia di gestione dei rischi e consulenza ad altri alti dirigenti, e presiede il Gruppo di lavoro sulla gestione dei rischi,

assieme al Dipartimento Finanza, presiede il Comitato rischi del Comitato gestione fondi.

Il Gruppo di lavoro sulla gestione dei rischi ha i seguenti compiti:

facilita il completo aggiornamento dell’auto-valutazione dei rischi della Bank of Canada e l’elaborazione della relazione semestrale e annuale sulla gestione dei rischi,

si riunisce da tre a quattro volte l’anno per esaminare il profilo di rischio della Bank of Canada e per discutere delle iniziative in materia di gestione dei rischi in corso nei dipartimenti/nelle funzioni dei membri del Gruppo.

Informazioni sul quadro di gestione dei rischi della BCE rese note a terze parti

15.

 Le informazioni dovrebbero essere rese pubbliche in maniera sufficiente da consentire a soggetti esterni di valutare l’approccio della BCE alla gestione dei rischi.

16.

La BCE pubblica una relazione annuale, che comprende i conti annuali e le relative note informative (16). Le informazioni sulla gestione dei rischi contenute nei conti annuali sono piuttosto limitate, e le informazioni sui principi di gestione dei rischi della BCE e sulle cifre non sono rese pubbliche, tranne che per la cifra relativa al valore a rischio (VaR) consolidato (17). La relazione annuale della BCE contiene brevi informazioni su alcuni aspetti di gestione dei rischi, ma non rende pubblico il quadro d’insieme del processo di gestione dei rischi nell’organizzazione, i rischi cui essa fa fronte o l’approccio dei dirigenti nei confronti di detti rischi.

17.

L’utilizzo dei principi internazionali d’informativa finanziaria (IFRS) (18) costituisce buona prassi per quanto riguarda la presentazione dei conti di un’entità. L’IFRS 7 («Strumenti finanziari: informazioni integrative») tratta della presentazione, nei conti di un’organizzazione, dei rischi cui essa fa fronte. Tuttavia, tale principio non è stato applicato dalla BCE.

18.

Altre organizzazioni internazionali o banche centrali nazionali, come la Banca dei regolamenti internazionali (BRI) e la Bank of Canada, riportano informazioni sulla gestione dei rischi nei loro stati finanziari annuali, sebbene una di esse non applichi gli IFRS (cfr. riquadro 2).

Riquadro 2

Esempi concreti di informativa in materia di gestione dei rischi

Organizzazione

Informazioni sulla gestione dei rischi contenute nei conti annuali

Quadro di riferimento sull’informativa finanziaria

Banca dei regolamenti internazionali (BRI)

I conti annuali contengono informazioni sui rischi cui fa fronte la BRI, sull’approccio e sull’organizzazione in tema di gestione dei rischi, ed un dettagliato quadro d’insieme del rischio di credito, del rischio di mercato, del rischio di liquidità e del rischio operativo.

Specifico quadro di riferimento sull’informativa finanziaria disposto dallo statuto della BRI.

Bank of Canada

I conti annuali forniscono un quadro d’insieme del processo di gestione dei rischi, informazioni sulla struttura di governance dei rischi, sul ruolo del Direttore Rischi finanziari, sui rischi finanziari cui fa fronte la Bank of Canada, ed un dettagliato quadro d’insieme del rischio di credito, del rischio di mercato e del rischio di liquidità.

IFRS (19)

La BCE ha gestito i propri rischi operativi in maniera efficace?

19.

La gestione della continuità operativa fa da complemento alla struttura di gestione dei rischi operativi (ORM) della BCE, ed entrambe formano una componente importante della governance della Banca (20).

Gestione dei rischi operativi

20.

Un efficace quadro di gestione dei rischi operativi include chiare strategie e sorveglianza da parte del consiglio di amministrazione e degli alti dirigenti, una solida cultura dei rischi operativi ed una cultura di controllo interno (comprendente chiare linee di responsabilità e separazione dei compiti), nonché un’efficace comunicazione interna.

21.

Per valutare la gestione dei rischi operativi alla BCE, la Corte ha esaminato:

le politiche di gestione dei rischi operativi (ORM) stabilite alla BCE,

la struttura organizzativa e le responsabilità per la gestione dei rischi operativi,

il collegamento alla pianificazione strategica e finanziaria (il ciclo del bilancio annuale), e

l’individuazione e la valutazione dei rischi nonché la risposta agli stessi; le informazioni, il monitoraggio ed il seguito dato in materia di rischi nelle aree operative ed a livello centrale.

Politiche in materia di rischi operativi

22.

 Le politiche ORM dovrebbero fornire una definizione di rischio operativo chiara ed applicabile a tutta la Banca, nonché stabilire le politiche delineanti l’approccio della Banca all’individuazione, valutazione, monitoraggio e controllo/mitigazione dei rischi.

23.

Il quadro di gestione dei rischi operativi della BCE è stato approvato dal Comitato esecutivo nell’ ottobre 2007 (21) ed è descritto nel Manuale per la gestione delle attività (BPH) pubblicato sull’Intranet e consultabile da tutto il personale. Esso illustra la definizione di ORM della BCE (22), la politica di tolleranza del rischio, i ruoli e le responsabilità, nonché le politiche di valutazione, risposta, informazione e monitoraggio.

24.

Le politiche ORM stabilite forniscono una definizione di rischio operativo chiara ed applicabile a tutta la Banca, e fissano le politiche delineanti l’approccio della Banca alla valutazione, al monitoraggio ed al controllo/mitigazione dei rischi. Tuttavia, il BPH non fornisce dettagli in merito all’approccio della Banca in tema di individuazione dei rischi.

Struttura organizzativa e responsabilità

25.

 I dirigenti delle Aree operative dovrebbero avere il compito di attuare le politiche, i processi e le procedure per la gestione del rischio operativo in tutte le attività materiali, processi e sistemi della Banca. La Banca dovrebbe inoltre disporre di un sistema di gestione dei rischi operativi con chiare responsabilità assegnate ad una funzione di gestione rischi.

26.

Il Comitato esecutivo è il responsabile ultimo della gestione dei rischi operativi alla BCE. Il Comitato rischi operativi (ORC) si occupa di questioni strategiche ed a medio termine, nonché di importanti questioni a breve termine e ad hoc (23). Il Comitato è composto da un membro del Comitato esecutivo (in qualità di presidente) e sette alti dirigenti della Banca (24). Ha poteri decisionali quanto all’accettazione del rischio di livello medio, mentre i rischi di alto livello devono sempre essere accettati dal Comitato esecutivo. Si riunisce ogni due mesi o, se necessario, più frequentemente.

27.

Il manuale di gestione delle attività (BPH) indica chiaramente che le aree operative sono responsabili della gestione dei propri rischi operativi (25). Quindi, ogni Area operativa dovrebbe nominare (almeno) un coordinatore rischi che assista i dirigenti dell'Area operativa nella gestione dei rischi operativi (ORM) e funga da primo punto di contatto per le questioni di ORM all’interno dell’area operativa. I dirigenti dell’Area operativa devono inoltre far sì che il personale acquisisca e mantenga le necessarie competenze per assumere responsabilità e assolva all’obbligo di rendere conto per quanto riguarda la gestione dei rischi operativi. La funzione ORM/BCM dovrebbe elaborare e curare il quadro di gestione dei rischi operativi, nonché coordinare l’approccio delle Aree operative in tema di ORM.

28.

Degli otto addetti alla funzione ORM/BCM, solo quattro erano impiegati con contratto a tempo indeterminato al momento dell’audit. Gli altri erano distaccati dalle banche centrali nazionali o lavoravano con contratti a tempo determinato che andavano da tre mesi a due anni. Ciò significa che vi è un elevato tasso di avvicendamento del personale, che provoca una perdita di continuità in una funzione importante, accrescendo il rischio che il quadro ORM non venga adeguatamente attuato alla BCE.

29.

La consapevolezza, da parte del personale, del quadro di gestione dei rischi operativi è stata oggetto di sondaggi tra il personale nel 2009 e nel 2010. L’indagine del 2009 ha mostrato che circa il 40 % di coloro che avevano risposto affermava di non aver ricevuto sufficienti informazioni in merito all’ORM; il 56 % non sapeva chi era stato nominato Coordinatore rischi per la propria Area operativa ed il 45 % non sapeva dove trovare informazioni sull'ORM sull’Intranet. In base al sondaggio del 2010, il 40 % del personale continuava a non sapere dove trovare informazioni sull’ORM.

Collegamento alla pianificazione strategica e finanziaria (il ciclo del bilancio annuale)

30.

 La gestione dei rischi dovrebbe essere incorporata nella governance della BCE come parte integrante della pianificazione strategica, operativa e finanziaria della Banca.

31.

Per stabilire il profilo di rischio della BCE, un elemento importante è la valutazione annuale dei rischi operativi condotta dalle Aree operative e dalla funzione ORM/BCM. Le valutazioni relative al 2009 sono state svolte dalle Aree operative dal giugno all’agosto 2009, ed in seguito ha avuto luogo una riunione di calibrazione del rischio con i Coordinatori rischi. La relazione di sintesi è stata finalizzata nel gennaio 2010.

32.

Il profilo di rischio dovrebbe essere uno degli input per il processo di pianificazione strategica, che a sua volta guida il piano finanziario. Tuttavia, dall’audit è emerso che non vi è integrazione tra la valutazione annuale dei rischi operativi ed il ciclo di programmazione strategica e finanziaria della BCE. La gestione dei rischi operativi potrebbe quindi divenire un esercizio isolato, ed il piano finanziario potrebbe non dirigere le risorse in modo appropriato per conseguire gli obiettivi strategici (26).

33.

Un esempio di buona prassi è la Bank of Canada, dove il profilo di rischio della banca forma parte integrante del ciclo di pianificazione strategica e finanziaria generale della banca stessa (27).

Il processo di gestione dei rischi operativi: individuazione e valutazione dei rischi e risposta agli stessi; informazione, monitoraggio e follow-up in tema di rischi

Individuazione e valutazione dei rischi e risposta agli stessi

34.

 Qualunque rischio operativo insito in attività, processi e sistemi dovrebbe essere individuato e valutato. I rischi dovrebbero essere valutati sulla base della politica e del livello di tolleranza esistenti, al fine di determinare una risposta adeguata basata su sufficienti calcoli di costo. Ci dovrebbe essere un regolare flusso di informazioni pertinenti verso gli alti dirigenti ed il Comitato esecutivo, a sostegno di una gestione proattiva dei rischi operativi.

35.

Il quadro di gestione dei rischi operativi è stato attuato principalmente tramite valutazioni dall’alto verso il basso. In base alla politica della BCE in tema di rischi, le Aree operative dovrebbero inoltre operare continue valutazioni dal basso verso l’alto dei processi delle Aree operative, ed i rischi così individuati dovrebbero essere approvati (28).

36.

La BCE ha svolto valutazioni dei rischi dall’alto verso il basso nel 2008 e nel 2009. La funzione ORM/BCM ha fornito alle Aree operative alcuni rischi predefiniti di livello elevato, che hanno costituito la base delle loro valutazioni di rischio. Nella relazione finale è stato incluso un piano di azione per ciascuna delle Aree operative. Il BPH dispone che le Aree operative debbano analizzare e definire strategie di risposta ai rischi e svolgere un'analisi costi-benefici delle possibili soluzioni.

37.

Tutte le Aree operative avevano individuato rischi e risposte in relazione all’esercizio di valutazione dal basso verso l’alto del 2009. La conseguente relazione di valutazione del 2009 elencava in punti alcune azioni di follow-up per ogni Area operativa. Tuttavia, non vi era documentazione relativa ad analisi costi-benefici nelle Aree operative incluse nel campione.

38.

Per alcuni rischi, la procedura di accettazione da parte del Comitato rischi operativi/Comitato esecutivo è stata molto lenta dopo che il rischio era stato individuato dall’Area operativa. Ad esempio, due rischi individuati nel luglio-agosto 2009 non erano ancora stati accettati al dicembre 2010. L’elenco delle azioni di follow-up ancora non attuate esaminato alle riunioni dell’ORC mostra altresì che alcune di esse sono rimaste inattuate per più di un anno e certe per periodi che vanno fino a due anni.

39.

Soltanto per tre delle sei Aree operative incluse nel campione è stato possibile individuare nel programma di lavoro specifiche risorse assegnate alle attività di gestione dei rischi operativi, ma tali attività erano descritte in termini vaghi e non è stato possibile documentare se e come i punti dell’esercizio valutativo ORM dall’alto verso il basso del 2009 contenenti azioni di follow-up fossero recepiti nei programmi di lavoro delle Aree operative.

Gestione della continuità operativa presso la BCE

40.

La gestione della continuità operativa (BCM) è una componente importante della gestione dei rischi operativi. Essa richiede piani di emergenza e di ripristino per i peggiori scenari, per assicurare la continuità delle attività e dei processi critici in caso di crisi.

41.

La Corte ha valutato se:

i)

il quadro complessivo della gestione della continuità operativa sia adeguato ed in linea con le migliori pratiche;

ii)

i processi critici siano stati adeguatamente individuati;

iii)

i singoli piani di continuità operativa (BCP) delle Aree operative selezionate tengano conto in modo adeguato dei rischi per assicurare la continuità delle operazioni critiche;

iv)

i dispositivi di continuità operativa siano stati adeguatamente testati; e se

v)

il personale sia stato informato e abbia ricevuto una formazione in merito ai dispositivi di continuità operativa.

Il quadro di gestione della continuità operativa

42.

La gestione della continuità operativa è un approccio operativo globale che include politiche, norme e procedure per assicurare che determinate attività possano essere mantenute o ripristinate in modo tempestivo in caso di perturbazione (disruption). Essa mira a minimizzare le conseguenze operative, finanziarie, giuridiche, in termini di reputazione ed altre conseguenze rilevanti che derivano da una perturbazione  (29).

43.

La BCM mira a far sì che i dispositivi e le soluzioni di continuità operativa siano conformi agli obiettivi, agli obblighi e ai compiti istituzionali della BCE, nonché alla sua politica di tolleranza del rischio (30).

44.

L’audit ha compreso un esame dei principali documenti che costituiscono il quadro di gestione della continuità operativa:

il capitolo 26 del Manuale di gestione delle attività stabilisce il quadro generale, definisce gli ulteriori processi e realizzazioni da produrre e definisce ruoli e responsabilità,

la strategia formativa e di verifica della BCE in tema di continuità operativa,

il programma di verifica della continuità operativa, e

il manuale di gestione delle crisi.

45.

La BCE ha elaborato un manuale di gestione delle crisi che definisce ruoli, responsabilità e processi in caso di crisi, e fornisce informazioni su come contattare la squadra di gestione delle crisi. Ogni Area operativa è interamente responsabile dell’elaborazione del proprio piano di continuità operativa (BCP). Tuttavia, il modello del BCP di livello elevato non richiede un BCP generale a livello BCE e non ne è stato preparato alcuno.

46.

La BCE ha istituito un quadro di riferimento solido che fornisce orientamento sulle politiche, i processi e le responsabilità in tema di BCM all’interno dell'istituzione. Tuttavia, l’approccio decentrato adottato crea anche il rischio che, in mancanza di uno stretto coordinamento, la gestione della continuità operativa possa non essere attuata in maniera coerente in seno all’organizzazione.

Individuazione dei processi critici

47.

L’analisi dell’impatto operativo (BIA) è un processo dinamico volto a individuare le operazioni ed i servizi critici, le primarie dipendenze interne ed esterne e i livelli appropriati di resilienza. Essa valuta i rischi ed il potenziale impatto di vari scenari perturbativi sulle operazioni e sulla reputazione di un’organizzazione  (31).

48.

L’analisi completa più recente dell’impatto operativo è stata effettuata nel 2006 (32) per individuare le prestazioni ed i servizi della BCE critici per la continuità delle principali attività della Banca. Le principali aree su cui è stata incentrata detta analisi includevano quanto segue:

individuazione dei processi operativi critici,

categorizzazione dei requisiti critici,

orientamenti su come trattare processi non ricorrenti o non frequenti,

individuazione di requisiti di supporto aggiuntivi.

49.

Un esaustivo aggiornamento della BIA effettuato nel 2007 ha individuato delle lacune in termini di continuità operativa e dei dispositivi validi a quel tempo. È stata definita una strategia di follow-up, che includeva opzioni per colmare le lacune individuate oppure accettarne i rischi e i costi. Tuttavia, sebbene detto documento presentasse i costi in termini di soluzioni per l’infrastruttura IT e logistica, esso non mostrava l'impatto sui costi ripartito in base ai diversi livelli di rischio.

50.

Il più recente aggiornamento della BIA, volto a colmare le lacune individuate nel 2007, è stato completato nel 2010. Dall’inizio della crisi finanziaria non è stata effettuata nessuna analisi completa dell’impatto operativo.

Piani di continuità operativa

Attività critiche

51.

I piani di continuità operativa (BCP) dovrebbero essere concepiti in modo da individuare le attività critiche per far sì che la BCE sia in grado di adempiere ai propri compiti istituzionali, come definiti nel pertinente Protocollo sullo statuto della BCE  (33). I BCP dovrebbero essere elaborati attorno al «peggior scenario possibile», tenendo presente che la risposta può essere ridimensionata in modo appropriato per rispondere alla crisi effettivamente verificatasi  (34).

52.

La BCE ha fissato criteri primari per la determinazione della criticità relativamente ad una serie di rischi e sulla base dei propri compiti istituzionali (cfr. riquadro 3).

Riquadro 3

Criteri primari per la determinazione della criticità

L’assolvimento dei compiti istituzionali, tra cui:

definire e attuare la politica monetaria della zona euro,

svolgere le operazioni sui cambi,

detenere e gestire le riserve ufficiali in valuta estera dei paesi della zona euro, e

promuovere il regolare funzionamento dei sistemi di pagamento.

L’impatto dell’interruzione di uno specifico processo in termini di:

instabilità del mercato,

perdita di credibilità/immagine/reputazione,

perdita finanziaria per la BCE,

perdita finanziaria per altre istituzioni,

potenziali problemi legali,

altri tipi di impatto non elencati sopra.

Fonte: BCE, Analisi dell’impatto operativo, revisione 2006.

53.

Sulla base dell’esame condotto dalla Corte su questi criteri primari, nonché di una valutazione preliminare del potenziale livello di attività non interrotte negli scenari prestabiliti (35), si può ritenere che i piani elaborati siano stati concepiti per garantire l’assolvimento dei compiti istituzionali. Tuttavia, in seguito all’esame dei BCP, la Corte ha constatato l’assenza di piani per affrontare una grave perdita di risorse umane (36) in caso di incidente (disaster). Sebbene le Aree operative responsabili dei processi avessero definito il personale di continuità operativa ed individuato i rispettivi sostituti, nessuna di esse disponeva di un piano alternativo in caso di indisponibilità di personale su vasta scala.

Conformità al modello di BCP di alto livello

54.

 Secondo il modello di BCP di alto livello, i singoli BCP delle Aree operative dovrebbero coprire:

aspetti organizzativi  (37),

processi essenziali  (38),

requisiti  (39), e

elenco di attori coinvolti.

Un’organizzazione deve confrontare i propri benefici diretti derivanti da misure volte ad aumentare la propria resilienza a perturbazioni delle attività con i costi di tali misure  (40).

55.

Il modello generale del piano di continuità operativa (BCP) di alto livello della BCE mostra la forma ed i contenuti obbligatori dei BCP delle singole Aree operative. In quanto tale, detto modello include solo la struttura dei BCP, che devono essere redatti dalle Aree operative.

56.

I BCP sono preparati al livello di Area operativa, Dipartimento o Divisione. Il modello di BCP di alto livello viene generalmente rispettato in termini di contenuto obbligatorio, ma vi sono grandi differenze quanto al grado di dettaglio. Sebbene la funzione ORM/BCM svolga un ruolo centrale di coordinamento, la qualità dei singoli BCP dipende dalla persona responsabile a livello di Area operativa. Non vi erano elementi comprovanti che i singoli BCP venissero riesaminati in modo sufficiente dalla funzione ORM/BCM.

57.

Delle cinque Aree operative (41) prescelte per una dettagliata verifica, quattro hanno redatto un BCP in linea con i requisiti, e tre di questi quattro piani affrontavano in modo completo i processi critici individuati tramite l'analisi d'impatto operativo.

58.

Nella maggior parte dei casi, nelle Aree operative controllate non vi era documentazione relativa all’analisi costi-benefici in merito alle opzioni di continuità operativa, comprendente la valutazione dei vari livelli di rischio.

Verifica

59.

Le organizzazioni dovrebbero testare i propri piani di continuità operativa, valutare la loro efficacia, e aggiornare la propria gestione della continuità operativa, come necessario  (42). La norma BS 25999  (43) richiede che l’organizzazione si assicuri che i propri dispositivi di BCM siano verificati tramite test e riesame, e che vengano tenuti aggiornati.

60.

Sono stati presi in esame i seguenti documenti:

la strategia di verifica della continuità operativa (44),

i programmi ed i calendari di verifica per il periodo 2008-2010, e

le relazioni di verifica.

61.

La strategia di verifica è incentrata sui piani di continuità operativa e sui piani di ripristino dei sistemi informatici, sviluppati per verificare i processi che, in seguito alla BIA, sono stati ritenuti essenziali. Il quadro di verifica include una chiara assegnazione di responsabilità, stabilendo l’ambito della verifica, i requisiti di reporting, la frequenza dei test nonché pertinenti programmi di verifica a medio termine. L’esame condotto dalla Corte ha indicato che era stato posto in essere un adeguato quadro di verifica, in linea con i requisiti della norma BS 25999.

62.

I test effettuati hanno fatto emergere che, sebbene gli esercizi di verifica riguardassero personale chiave e fossero effettuati periodicamente, non sempre simulavano le circostanze cui la BCE dovrebbe far fronte in caso di grave perturbazione delle attività. Le verifiche programmate nel 2009 e nel 2010 non coprivano tutti gli scenari stabiliti dalla BCE, e non tutte le verifiche originariamente programmate sono state effettuate.

Formazione e consapevolezza

63.

Le squadre di gestione della crisi e di risposta dovrebbero essere istruite circa le loro responsabilità ed i loro doveri. Le squadre dovrebbero ricevere formazione almeno annualmente ed i nuovi membri dovrebbero essere formati nel momento in cui entrano a far parte della squadra. Tutto il personale dovrebbe essere formato per assolvere le proprie responsabilità individuali in caso di crisi. Esso dovrebbe inoltre venire informato circa le componenti chiave del Piano di continuità operativa  (45).

64.

La strategia formativa adottata dalla BCE specifica che tutto il personale dovrebbe beneficiare di un programma di sensibilizzazione in tema di BCM (46). Per quanto riguarda le verifiche, la strategia formativa prevede la creazione di un programma formativo che dovrà fornire dettagli sull’attuazione delle stesse.

65.

Nel 2010, sono stati tenuti cinque programmi formativi di gestione delle crisi, ognuno della durata di mezza giornata, per fornire un excursus del Manuale di crisi adottato dalla BCE. Nel complesso, sia l’introduzione del manuale che la sessione formativa sono state valutate positivamente dai partecipanti al corso, ma è stato anche osservato che una verifica tramite simulazione sarebbe molto apprezzata.

66.

L’audit ha individuato chiari elementi comprovanti che il personale addetto alla continuità operativa riceve formazione, specie sotto forma di verifica dei BCP. Tuttavia, non è stato possibile trovare prova che ci si sia occupati in modo attivo dell’informazione del rimanente personale in merito al quadro ed ai processi di continuità operativa. Diversi documenti di riferimento interni (47) riconoscono che, sebbene le verifiche svolgano una parte molto importante nella formazione del personale, vi è l’esigenza di rivolgersi a tutto il personale tramite un programma di sensibilizzazione dello stesso. Tale programma non è stato sviluppato fino a questo momento, dal momento che la funzione centrale ORM/BCM ritiene che la consapevolezza dei dispositivi di continuità operativa tra il personale sia soddisfacente. Ad ogni modo, una indagine interna (48) indica che più del 12 % (20 % nel 2009) di coloro che hanno risposto non sono a conoscenza dei dispositivi di continuità per la loro area operativa e non saprebbero dove reperire informazioni su come comportarsi in caso di crisi.

La BCE ha gestito i propri rischi finanziari in maniera efficace?

67.

La gestione del rischio finanziario è un processo che riguarda le incertezze risultanti dai mercati finanziari. Include la valutazione dei rischi finanziari cui deve far fronte un’organizzazione, nonché l’elaborazione di strategie di gestione che siano coerenti con le priorità e le politiche interne.

68.

La Corte ha verificato:

se il quadro generale di gestione del rischio finanziario per gli investimenti e le attività relative alle politiche sia adeguato ed in linea con le migliori pratiche,

se la metodologia del rischio finanziario usata dalla BCE sia adeguata per gestire i rischi finanziari,

se la metodologia del rischio finanziario sia applicata in modo efficace dalla BCE, e

se la comunicazione in materia di gestione del rischio finanziario sia periodica e attendibile.

Il quadro di gestione dei rischi finanziari per gli investimenti e le attività relative alle politiche

69.

Il quadro dovrebbe fornire una definizione di rischio finanziario applicabile a tutta l’impresa e stabilire i principi in base ai quali i rischi finanziari devono essere individuati, valutati, monitorati e controllati/mitigati  (49). La banca deve disporre di un sistema di gestione del rischio finanziario, con chiare responsabilità assegnate.

70.

Il quadro di gestione del rischio finanziario della BCE è concepito per coprire i rischi derivanti da due attività della BCE: i) l’investimento e ii) il credito. Le attività di investimento riguardano i due portafogli d’investimento, le riserve ufficiali (50) (60 600 milioni di euro al 31 dicembre 2010) e i fondi propri (51) (13 300 milioni di euro al 31 dicembre 2010). Le attività di credito riguardano le operazioni di politica monetaria (52). Le attività di investimento della BCE includono la gestione delle riserve ufficiali della BCE (53), il portafoglio dei fondi propri della BCE, la gestione del fondo pensione e le attività relative ai due portafogli detenuti per scopi di politica monetaria (54).

71.

La Divisione Gestione dei rischi (RMA) è responsabile dell’aggiornamento del quadro generale di gestione dei rischi per le attività di investimento, nonché del monitoraggio, della valutazione e del controllo dei rischi derivanti da tali attività. La Divisione RMA verifica il rispetto delle politiche e dei processi concordati di gestione del rischio di mercato e del rischio di credito. I casi di violazione vengono segnalati seguendo procedure prestabilite per fasi.

72.

La Direzione Generale Operazioni di mercato (DG-M) è l’area operativa che conduce le attività di investimento alla BCE. Essa è anche responsabile dell’aggiornamento e dell’ulteriore sviluppo del software di gestione di portafoglio dell’Eurosistema (55). La Divisione investimenti della DG-M è responsabile della preparazione delle proposte del Comitato per gli investimenti in merito al portafoglio di riferimento (benchmark) tattico per i portafogli in valuta estera, nonché della gestione diretta del portafoglio dei fondi propri della BCE.

73.

Il Manuale di gestione del rischio finanziario (56), il documento essenziale per la gestione del rischio finanziario delle attività di investimento, fornisce un quadro d’insieme completo di ogni politica, processo e procedura applicabile, in particolare facendo riferimento ai documenti approvati dall’organo decisionale della BCE.

74.

Il quadro generale e la gestione del rischio finanziario posti in essere dalla BCE per la gestione delle attività di investimento e delle attività relative alle politiche forniscono una definizione di rischio finanziario applicabile a tutta la Banca e stabiliscono i principi in base ai quali i rischi finanziari devono essere individuati, valutati, monitorati e controllati/mitigati.

Metodologia di gestione dei rischi finanziari

75.

 Dovrebbero essere elaborate adeguate linee guida per gli investimenti, per determinare in modo sufficiente la propensione al rischio e fornire orientamenti esaustivi per le attività di investimento.

76.

Il Manuale di gestione del rischio finanziario della BCE fornisce una definizione dei seguenti elementi:

i)

la tolleranza al rischio della BCE;

ii)

gli strumenti e le operazioni approvate;

iii)

controparti ed emittenti idonei; fissazione di massimali;

iv)

ripartizione strategica dell’attivo;

v)

relazioni sul monitoraggio e valutazione dello stesso;

vi)

riesame del quadro (57).

77.

Il processo di investimento delle riserve ufficiali è diretto da una struttura a tre fasi, comprendente il benchmark strategico, il benchmark tattico ed i portafogli effettivi. Il benchmark strategico riflette le preferenze rischio/rendimento a lungo termine ed è deciso dal Consiglio direttivo.

78.

Il processo di investimento dei fondi propri si basa su una struttura a due livelli: il benchmark strategico ed il portafoglio effettivo. Il benchmark strategico è deciso dal Comitato esecutivo.

79.

I rendimenti sono massimizzati nel rispetto del vincolo consistente nell’evitare perdite e del vincolo relativo alla struttura di portafoglio, e sono ottenuti tramite una specifica ripartizione strategica dell’attivo (58).

80.

La Divisione Gestione rischi (RMA) amministra un elenco di paesi, emittenti e controparti idonei. I limiti per le controparti vengono fissati dalla RMA applicando la metodologia approvata dal Comitato esecutivo. Per la gestione delle riserve ufficiali, i limiti vengono assegnati alle banche centrali nazionali sulla base della metodologia approvata dal Consiglio direttivo. Una volta l’anno, viene effettuato un aggiornamento sistematico di tutti i limiti. Inoltre, si tiene immediatamente conto dell’impatto prodotto dai cambiamenti di rating sull’idoneità e sui limiti.

81.

La ripartizione strategica dell’attivo tiene conto dei seguenti requisiti di policy di alto livello:

i)

ragioni di detenzione delle riserve;

ii)

preferenze rischio/rendimento;

iii)

filosofia di modellizzazione;

iv)

orizzonte d’investimento e frequenza di revisione;

v)

divisione di responsabilità tra chi decide in merito al benchmark strategico e chi decide in merito a quello tattico nella catena d’investimento;

vi)

contenuto informativo che alimenta le decisioni d’investimento;

vii)

investimenti ammissibili; e

viii)

vincoli imposti agli investimenti.

Gli orizzonti di investimento e di rischio sono stabiliti ad un anno e a cinque anni per i fondi propri.

82.

L’audit espletato dalla Corte ha incluso un esame:

della completezza ed adeguatezza della definizione della propensione al rischio e della strategia di rischio,

delle linee guida per gli investimenti,

del processo decisionale volto a stabilire limiti agli investimenti,

delle misure prese per mitigare i seguenti rischi, nonché della loro coerenza: rischio di mercato, rischio di credito, rischio di controparte, rischio di liquidità e rischio operativo delle attività d’investimento.

83.

L’esame del quadro di gestione dei rischi finanziari indica che la metodologia di gestione dei rischi finanziari determina in modo sufficiente la propensione al rischio e fornisce orientamenti esaustivi per le attività d’investimento presso la BCE.

Applicazione della metodologia di gestione dei rischi finanziari

84.

 La metodologia di gestione dei rischi finanziari descritta nella sezione precedente dovrebbe essere efficacemente applicata nella pratica.

85.

L’audit espletato dalla Corte ha incluso:

i)

un esame dell’adeguatezza dei benchmark rispetto al profilo di rischio del portafoglio, comprese misure di rilevazione degli errori, qualità dei dati, gestione dei dati e integrità dei dati dei benchmark strategici e tattici;

ii)

un esame degli strumenti e del sistema che assistono il calcolo e l’aggiornamento dei portafogli e dei benchmark; e

iii)

un esame della gestione del cambio di benchmark.

86.

Per l’esame del quadro relativo al valore a rischio, sono stati considerati i seguenti aspetti:

i)

analisi della qualità dei dati e della gestione dei dati, esame dei dati di sicurezza e di controllo;

ii)

analisi della tecnica di modellizzazione, delle ipotesi su cui si basano i modelli, degli elementi essenziali della modellizzazione; e

iii)

verifiche di ragionevolezza, esame dei risultati dei test retrospettivi, analisi del reporting.

87.

Le verifiche hanno mostrato che la metodologia veniva applicata in modo adeguato. Tuttavia, non vi era documentazione comprovante l’applicazione del «principio del doppio controllo». Inoltre, l’esame dei modelli usati per il calcolo dei benchmark strategici e tattici, nonché per i calcoli del valore a rischio, compreso l’esame della convalida del modello, ha mostrato che, per alcuni modelli:

a)

recentemente, non erano stati effettuati né risultano documentati periodici test retrospettivi dei modelli;

b)

non era stata svolta una convalida indipendente né un aggiornamento recente dei modelli applicati;

c)

le ipotesi alla base dei modelli non sempre erano ricavabili in maniera sufficiente dalla documentazione.

88.

Una rassegna delle migliori pratiche in altre organizzazioni internazionali simili ha mostrato che, in seguito alla crisi finanziaria negli Stati Uniti e nell’ambito del rafforzamento della propria struttura di gestione dei rischi finanziari, la Federal Reserve Bank di New York ha creato una équipe di convalida dei modelli. I principali compiti di tale équipe sono descritti nel riquadro 4.

Riquadro 4

Équipe di convalida dei modelli presso la Federal Reserve Bank di New York

I principali compiti dell’équipe sono elencati di seguito:

inventario di tutti i modelli usati riguardo alla gestione dei rischi finanziari,

esame e convalida della documentazione dei modelli,

elaborazione di documentazione dettagliata nei casi in cui la documentazione viene ritenuta insufficiente,

test dei modelli.

Adeguatezza del reporting sui rischi finanziari

89.

 Ci dovrebbe essere un processo per il monitoraggio periodico dei profili di rischio e delle rilevanti esposizioni alle perdite. Si dovrebbe porre in essere un sistema di monitoraggio e segnalazione affidabile.

90.

Il rispetto di concordate politiche e processi di gestione del rischio di credito e del rischio di mercato viene monitorato dalla RMA, cui compete altresì segnalare le violazioni, secondo prestabilite procedure per fasi. La RMA della BCE riferisce periodicamente in merito al rischio, al rendimento e alla performance dei portafogli delle riserve ufficiali e dei fondi propri della BCE, nonché in merito agli associati benchmark strategici e tattici. Tali comunicazioni hanno luogo con frequenza giornaliera, settimanale, mensile, trimestrale ed annuale.

91.

Le verifiche ed i colloqui operati dagli auditor della Corte hanno confermato che il reporting della performance viene effettuato periodicamente ed è trasmesso ai dirigenti in modo tempestivo. Tuttavia, è stato notato che, ai fini del reporting della performance interno alla BCE, gli standard GIPS (59), ritenuti essere la migliore pratica, non sono stati pienamente rispettati.

CONCLUSIONI E RACCOMANDAZIONI

La BCE ha posto in essere una struttura di governance adeguata e completa per la gestione dei rischi?

92.

La BCE ha posto in essere una struttura organizzativa completa, con ruoli e responsabilità chiaramente assegnati. Tuttavia, vi è una rigida separazione fra le gestione dei rischi finanziari e quella dei rischi operativi, e ciò accresce il rischio che la visione delle esposizioni della Banca possa non essere completa. Non è stato istituito alcun organo indipendente, unico, quale un responsabile rischi o un comitato rischi, tra il Comitato esecutivo e le due unità/funzioni che si occupano di rischi, la ORM/BCM e la RMA.

93.

I conti annuali della BCE contengono solo succinte informazioni su certe questioni di gestione dei rischi invece di riportare un quadro d’insieme del processo di gestione dei rischi nell’organizzazione, i rischi cui essa fa fronte e l’approccio seguito dai dirigenti riguardo a detti rischi.

Raccomandazioni

1.

La BCE dovrebbe considerare la creazione di una funzione di gestione rischi gerarchicamente indipendente, unica, quale un Direttore rischi o un Comitato rischi, che si concentrerebbe unicamente sulla gestione dei rischi ed assicurerebbe una visione completa delle esposizioni della Banca.

2.

La BCE dovrebbe migliorare ulteriormente la divulgazione al pubblico delle proprie pratiche di gestione dei rischi nei propri conti annuali, applicando le migliori pratiche, quali il principio IFRS 7.

La BCE ha gestito i propri rischi operativi in maniera efficace?

94.

La BCE dispone di una chiara struttura organizzativa e ha definito adeguate politiche di gestione dei rischi operativi, le quali elencano l’approccio della Banca alla valutazione, al monitoraggio ed al controllo/mitigazione dei rischi.

95.

Sebbene nel 2008 e nel 2009 siano state condotte valutazioni dall’alto verso il basso, e siano stati individuati piani d’azione per ogni area operativa, non vi è documentazione comprovante lo svolgimento di analisi costi-benefici.

96.

È stato creato un sistema di reporting, monitoraggio e follow-up, ed è stato stabilito un calendario per il follow-up delle misure di mitigazione del rischio per i rischi medi ed elevati. Tuttavia, per alcuni rischi, la procedura di accettazione da parte del Comitato rischi operativi/Comitato esecutivo ha richiesto tempi molto lunghi. Non vi è integrazione fra i cicli di pianificazione e quelli di gestione dei rischi operativi. Inoltre, le attività di gestione dei rischi operativi non erano chiaramente indicate nei programmi di lavoro di alcune aree operative esaminate.

97.

La BCE ha elaborato un manuale di gestione delle crisi esaustivo, che definisce ruoli, responsabilità e processi in caso di crisi, nonché informazioni di contatto della squadra di gestione crisi. Ogni area operativa ha piena responsabilità quanto all’elaborazione del proprio piano di continuità operativa.

98.

La BCE ha stabilito un solido quadro che fornisce orientamenti in merito alle politiche, alle responsabilità e ai processi di gestione della continuità operativa al proprio interno. Tuttavia:

a)

sebbene un esaustivo aggiornamento dell’analisi dell’impatto sull’attività operativa sia stato effettuato nel 2007 e completato nel 2010, dall’inizio della crisi finanziaria non è stata svolta alcuna completa analisi dell’impatto sull’attività operativa;

b)

è stata rilevata la mancanza di piani che contemplino una grave perdita di risorse umane;

c)

i test programmati non riguardavano in modo esaustivo tutti gli scenari d’incidente (disaster) pianificati dalla BCE; e

d)

alcuni test previsti per il 2009 ed il 2010 non sono stati effettuati.

Raccomandazioni

3.

La valutazione annuale dei rischi operativi dovrebbe essere inclusa nel ciclo di pianificazione strategica e finanziaria della BCE e nei programmi di lavoro annuali delle singole aree operative.

4.

Le misure per far fronte ai rischi operativi medio-alti dovrebbero essere adottate velocemente.

5.

La BCE dovrebbe continuare a perfezionare i propri piani di continuità operativa ed i relativi programmi di verifica, e cercare di far sì che tutti i test previsti vengano svolti.

La BCE ha gestito i propri rischi finanziari in maniera efficace?

99.

Il quadro generale e la gestione dei rischi finanziari posti in essere dalla BCE per la gestione delle operazioni d’investimento e delle attività relative alle politiche sono adeguati. L’esame del quadro di gestione dei rischi finanziari ha indicato che la metodologia di gestione dei rischi finanziari è stata concepita in maniera solida ed adeguata alle operazioni d’investimento e alle attività relative alle politiche della BCE. Tuttavia, è necessario migliorare l’applicazione pratica della metodologia, ad esempio nell’ambito dei modelli usati per il calcolo dei benchmark strategici e tattici nonché per il calcolo del valore a rischio.

100.

Le relazioni interne sulla gestione dei rischi forniscono agli alti dirigenti e al Comitato esecutivo della BCE informazioni accurate, adeguate ed esaustive sui rischi finanziari. Il reporting della performance è periodico e tempestivo, ma non viene aggiornato con regolarità per riflettere i cambiamenti intervenuti negli standard GIPS.

Raccomandazioni

6.

La BCE dovrebbe continuare a perfezionare il riesame e la convalida dei modelli usati per il calcolo dei benchmark strategici e tattici, nonché per il calcolo del valore a rischio, compresa l’elaborazione di dettagliata documentazione laddove quest’ultima sia giudicata insufficiente, la verifica dei modelli ed un periodico riesame delle ipotesi sottese agli stessi.

7.

I cambiamenti intervenuti nei principi GIPS dovrebbero essere esaminati annualmente; la BCE dovrebbe considerare la loro piena applicazione al reporting della performance interno.

La presente relazione è stata adottata dalla Sezione IV, presieduta da Louis GALEA, Membro della Corte dei conti, a Lussemburgo nella riunione del 27 marzo 2012.

Per la Corte dei conti

Vítor Manuel da SILVA CALDEIRA

Presidente

(1)  Articolo 127, paragrafo 1, del trattato sul funzionamento dell’Unione europea.

(2)  Lo statuto del SEBC e della BCE è oggetto di un protocollo allegato al trattato.

(3)  L'articolo 27, paragrafo 2 del protocollo sullo statuto del SEBC e della BCE recita: «Le disposizioni dell'articolo 287 del trattato sul funzionamento dell’Unione europea si applicano soltanto ad un esame dell'efficienza operativa della gestione della BCE».

(4)  Articolo 9, paragrafo 3 del protocollo sullo statuto del SEBC e della BCE. Il Consiglio direttivo comprende i sei membri del Comitato esecutivo nonché i governatori delle banche centrali nazionali degli Stati membri la cui moneta è l’euro. Il Comitato esecutivo comprende il presidente, il vicepresidente e quattro altri membri.

(5)  Articolo 12, paragrafo 1, del protocollo sullo statuto del SEBC e della BCE.

(6)  L’ORM copre i rischi connessi alle attività della BCE, inclusi quelli relativi ai processi e progetti del SEBC/Eurosistema.

(7)  I criteri in base ai quali la Corte ha valutato il quadro di gestione dei rischi operativi e finanziari della BCE sono indicati nella presente relazione in corsivo. Tranne indicazione contraria, tali criteri sono stati elaborati dalla Corte.

(8)  L’audit non ha riguardato la gestione dei rischi a livello del Sistema europeo delle banche centrali (SEBC).

(9)  Sono state visitate, per raccogliere informazioni, la Federal Reserve Bank di New York e la Bank of Canada; sono stati inviati questionari alla Federal Reserve Bank di New York, alla Bank of Canada e alla Banca nazionale svizzera.

(10)  José Manuel González-Páramo (membro del Comitato esecutivo della BCE), Ulrich Bindseil e Evangelos Tabakis, prefazione a Risk Management for Central Banks and Other Public Investors, AA.VV., Cambridge University Press, 2009.

(11)  Comitato delle autorità europee di vigilanza bancaria (Committee of European Banking Supervisors, CEBS), High level principles for risk management (Principi di alto livello per la gestione dei rischi), febbraio 2010 (corsivo della Corte; testo originale in grassetto trascritto qui in carattere normale).

(12)  Sezione, Divisione, Direzione o Direzione generale.

(13)  Essa fa parte della DG-H.

(14)  La funzione ORM/BCM funge anche da Segretariato per il Comitato rischi operativi (ORC).

(15)  Dal punto di vista amministrativo, la Divisione RMA fa parte della DG-H, ma risponde direttamente al membro del Comitato esecutivo responsabile della gestione dei rischi finanziari.

(16)  La BCE applica il proprio quadro contabile ed informativo fissato dalla Decisione BCE/2006/17 sui conti annuali della Banca centrale europea, e successive modifiche.

(17)  Il valore a rischio (VaR) è un indicatore di rischio ampiamente utilizzato che misura il rischio di perdita per uno specifico portafoglio di attività finanziarie. Per un dato portafoglio, uno specifico orizzonte temporale ed una probabilità prefissata, il valore a rischio viene definito come un valore-limite tale che la probabilità che la perdita di valore di mercato del portafoglio in un dato orizzonte temporale ecceda tale valore, ipotizzando mercati normali e assenza di transazioni nel portafoglio, sia uguale al livello di probabilità dato (secondo Philippe Jorion, Value at Risk: The New Benchmark for Managing Financial Risk, 3a edizione, McGraw-Hill Professional, 2006).

(18)  I principi internazionali d'informativa finanziaria (International Financial Reporting Standards, IFRS) sono norme basate su principi, interpretazioni ed il quadro di riferimento adottato dall’Organismo internazionale di normalizzazione contabile (International Accounting Standards Board, IASB), e sono noti anche con il loro precedente nome di «principi contabili internazionali» (International Accounting Standards, IAS). Nel febbraio 2001, la Commissione europea ha proposto un regolamento che imponeva a tutte le società UE quotate su un mercato regolamentato, incluse le banche e le compagnie di assicurazione, di predisporre conti consolidati secondo i principi contabili internazionali al più tardi entro il 2005. Agli Stati membri dell’UE veniva lasciata l’opzione di estendere tale obbligo alle società non quotate e alle società private. È stato istituito un meccanismo di omologazione UE per vigilare, sia a livello tecnico che politico, sull’integrazione dei principi contabili internazionali nell’UE.

(19)  Sino al 31 dicembre 2010, la Bank of Canada applicava i Canadian generally accepted accounting principles (principi contabili canadesi generalmente accettati), riportando comunque informazioni sulla gestione dei rischi comparabili a quelle riportate da chi utilizza gli IFRS. Dal 1o gennaio 2011, la Bank of Canada applica gli IFRS.

(20)  Business Practices Handbook (Manuale per la gestione delle attività ), capitolo 26.

(21)  Nel 2008 il Comitato esecutivo ha deciso di allineare il quadro ORM della BCE al quadro adottato a livello del SEBC.

(22)  Il rischio operativo è definito come «il rischio di un impatto negativo di natura finanziaria, in termini di attività e/o di reputazione, risultante da processi operativi e di governance interna inadeguati o non funzionanti, nonché da persone, sistemi o eventi esterni».

(23)  Ha come mandato di stimolare e sorvegliare lo sviluppo, l’attuazione e la cura della gestione dei rischi operativi presso la BCE.

(24)  I membri sono alti dirigenti provenienti dalle DG Operazioni di mercato, Sistemi informatici, Amministrazione, Risorse umane, bilancio di previsione e strutture organizzative, e da due aree operative primarie (a rotazione annuale) ed includono il Consigliere del Direttore generale della DG-H.

(25)  L’Area operativa (il gestore del rischio) responsabile per il rischio orizzontale (un rischio che ha un impatto su diverse aree operative) dovrebbe raccomandare e/o attuare appropriate misure di trattamento del rischio applicabili a tutta la BCE.

(26)  Sulla base di quanto viene concluso nell'articolo di Jack Dorminey e Richard Mohn, «ERM at the Federal Reserve Bank of Richmond», Journal of government financial management, primavera 2007, pagg. 46-53.

(27)  Fonte: sito Internet della Bank of Canada (www.bankofcanada.ca), Medium-term plan 2010-12 (Piano a medio termine 2010-2012), al 13 luglio 2011.

(28)  Per i progetti, quali le tecnologie dell’informazione, esistono specifiche procedure, come indicato nelle Procedure di controllo e di organizzazione dei progetti. I rischi connessi a progetti sono oggetto di informativa separata, tramite il Comitato direttivo dei progetti/Comitato direttivo del progetto «nuova sede». La gestione dei rischi connessi a progetti specifici è stata esclusa dall’ambito del presente audit.

(29)  Comitato di Basilea per la vigilanza bancaria, High-level principles for business continuity, agosto 2006, paragrafo 9.

(30)  BCE, Manuale per la gestione delle attività (BPH), 5a edizione, 24.9.2010.

(31)  Comitato di Basilea per la vigilanza bancaria, High-level principles for business continuity, agosto 2006, paragrafo 10.

(32)  BCE, Direzione generale Risorse umane, bilancio e organizzazione, ECB Business Impact Analysis, Review 2006, 16 gennaio 2007.

(33)  L’articolo 3 del Protocollo (n. 4) sullo statuto del Sistema europeo di banche centrali e della Banca centrale europea definisce i compiti istituzionali della BCE.

(34)  ASIS international, Business Continuity Guideline: A Practical Approach for Emergency Preparedness, Crisis Management, and Disaster Recovery, 2005; paragrafo 11.3.

(35)  La BIA prende in esame l’impatto sulla capacità operativa di ogni Area operativa sulla base di sei scenari di incidente (disaster).

(36)  Come richiesto dal Comitato di Basilea per la vigilanza bancaria, High-level principles for business continuity, agosto 2006, paragrafo 23.

(37)  Ossia organi decisionali in caso di crisi, composizione della squadra di continuità operativa, relazioni con altre squadre, sede della squadra di continuità operativa.

(38)  Ossia quelli che sono stati individuati ed approvati nel corso della BIA, un elenco di compiti contenente le attività specifiche necessarie per assicurare la continuità dei processi essenziali di cui sopra.

(39)  Ossia attrezzatura informatica e materiale per ufficio, manuali.

(40)  Comitato di Basilea per la vigilanza bancaria, High-level principles for business continuity, agosto 2006, paragrafo 13.

(41)  La DG-IS ha un processo di continuità operativa separato. Essa è soggetta ad audit esterno per la verifica del rispetto della norma ISO 20000, e per tale ragione il BCP della DG-IS non è stato incluso nell’ambito del presente audit della Corte.

(42)  Comitato di Basilea per la vigilanza bancaria, High-level principles for business continuity, agosto 2006, principio 6.

(43)  Norma sviluppata dalla British Standards Institution e contenente un codice delle migliori pratiche in tema di BCM.

(44)  BCE, Comitato Rischi operativi, Business Continuity Testing and Training Strategy, 4 marzo 2008.

(45)  ASIS international, Business Continuity Guideline: A Practical Approach for Emergency Preparedness, Crisis Management, and Disaster Recovery, 2005; paragrafo 12.1.1.

(46)  BCE, Comitato Rischi operativi, Business Continuity Testing and Training Strategy, 4 marzo 2008.

(47)  Business Continuity Testing and Training Strategy, pag. 15; Manuale di gestione delle attività, paragrafo 26.1; Quadro di continuità operativa (Intranet della BCE); documento sulla politica di gestione della continuità operativa.

(48)  Relazione sulle indagini del 2010 e 2009 sulla soddisfazione dei clienti interni della BCE.

(49)  Gestione del rischio d’impresa – Quadro Integrato, Comitato delle organizzazioni sponsorizzatrici della commissione Treadway (Enterprise Risk Management — Integrated Framework, Committee of Sponsoring Organizations of the Treadway Commission, ERM COSO), Basilea.

(50)  Indirizzo della Banca centrale europea, del 20 giugno 2008, relativo alla gestione delle attività di riserva in valuta della Banca centrale europea da parte delle banche centrali nazionali e alla documentazione legale concernente le operazioni aventi per oggetto tali attività (rifusione), BCE/2008/5, 2008/596/CE.

(51)  Cfr. OFM Guideline, luglio 2010 e The ECB’s Own Funds Investment Guidelines, settembre 2010.

(52)  Indirizzo della Banca centrale europea, del 26 settembre 2002, sulle norme minime di comportamento applicabili alla Banca centrale europea e alle banche centrali nazionali nello svolgimento di operazioni di politica monetaria, di operazioni sui cambi con le riserve in valuta estera della BCE e nella gestione delle attività di riserva in valuta della BCE (BCE/2002/6).

(53)  Incluse le riserve in oro.

(54)  Portafogli del Programma per l’acquisto di obbligazioni garantite (CBPP) e portafoglio del Programma per il mercato dei titoli finanziari (SMP).

(55)  Applicazione usata per la gestione delle riserve ufficiali e dei fondi propri della BCE, e per ricavare i dati relativi al rendimento.

(56)  BCE, Manuale di gestione del rischio finanziario — Politiche e procedure, marzo 2008.

(57)  Un riesame dei punti da i) a v) viene effettuato periodicamente o almeno una volta l’anno dal Comitato esecutivo o dal Consiglio direttivo.

(58)  Decisa dal Consiglio direttivo (per le riserve ufficiali) o dal Comitato esecutivo (per i fondi propri) sulla base delle proposte della RMA.

(59)  I GIPS (Global Investment Performance Standards, «Standard globali di presentazione delle performance degli investimenti») sono un insieme di principi etici standard applicabili a tutto il settore, creati e gestiti dall’Istituto degli analisti finanziari abilitati (Istituto CFA, Chartered Financial Analyst Institute), che forniscono orientamento sulle modalità di calcolo e di divulgazione dei risultati degli investimenti. Essi hanno carattere volontario e si basano sui fondamentali principi della piena divulgazione e della corretta rappresentazione dei risultati di performance degli investimenti.

RISPOSTE DELLA BANCA CENTRALE EUROPEA

La Banca centrale europea (BCE) accoglie con favore la relazione della Corte dei conti europea per l’esercizio finanziario 2010 ed esprime apprezzamento per le osservazioni e le raccomandazioni in essa formulate in vista di promuovere miglioramenti. Rileva altresì come la Corte riconosca che la BCE: a) dispone di una chiara struttura organizzativa e ha posto in essere politiche appropriate in materia di gestione dei rischi operativi; b) ha definito un quadro adeguato di riferimento complessivo per la gestione dei rischi finanziari in relazione alle attività di investimento e alle operazioni di politica monetaria.

La BCE prende atto delle osservazioni e delle raccomandazioni formulate dalla Corte a fini di miglioramento e presenta qui di seguito le proprie considerazioni in merito a paragrafi specifici e alle sette raccomandazioni.

Paragrafi da 9 a 13 e 92

Riguardo alla descrizione del quadro di riferimento complessivo della BCE per la gestione dei rischi fornita dalla Corte, la Banca desidera rilevare quanto segue.

Il quadro per la gestione dei rischi operativi, comprendente le attività di misurazione e monitoraggio degli stessi presso la BCE, rientra nell’ambito di competenza della funzione di gestione dei rischi operativi e della continuità operativa (Operational Risk Management & Business Continuity Management, ORM/BCM) in seno alla Direzione Generale Risorse umane, bilancio di previsione e strutture organizzative. Il quadro per la gestione dei rischi finanziari relativi alle operazioni di mercato, assieme alle attività di misurazione e monitoraggio dell’esposizione ai rischi derivante da tali operazioni, compete all’Ufficio Gestione dei rischi (Risk Management Office, RMO). Questa struttura organizzativa è comune tra le banche centrali e le organizzazioni affini. L’esistenza di una funzione e di un ufficio distinti per le due tipologie di rischio non andrebbe quindi interpretata come una separazione gestionale, bensì come una scelta organizzativa intesa a garantire la ripartizione efficiente dei compiti sotto la responsabilità collegiale del Comitato esecutivo per la gestione complessiva dei rischi presso la BCE.

Con riferimento agli sviluppi recenti intervenuti dopo l’audit della Corte, la BCE desidera comunicare quanto segue:

in merito ai rischi operativi, il Comitato rischi operativi (Operational Risk Committee, ORC), incaricato di promuovere e sorvegliare lo sviluppo, l’attivazione e la manutenzione dell’ORM, è ora presieduto dal Vicepresidente della BCE,

per quanto concerne i rischi finanziari, a luglio 2011 la BCE ha riorganizzato la Divisione Gestione dei rischi (Risk Management Division, RMA) ponendola in posizione di indipendenza e convertendola in Ufficio Gestione dei rischi (Risk Management Office, RMO), che risponde al Comitato esecutivo attraverso un membro diverso da quello competente per la Direzione Generale Operazioni di mercato. Tale modifica è riconducibile a due fattori: a) il ruolo più significativo svolto dalla gestione dei rischi finanziari nelle banche centrali in generale e presso la BCE in particolare; b) l’indicazione fornita dal Consiglio direttivo a tutte le banche centrali dell’Eurosistema in merito alla separazione tra le linee gerarchiche dei membri del consiglio di amministrazione ai quali fanno capo le strutture per le operazioni di mercato e quelle per la gestione dei rischi finanziari.

Cfr. anche la risposta alla Raccomandazione 1.

Paragrafi 16, 17 e 93

Informazioni in materia di gestione dei rischi sono contenute in diversi capitoli del Rapporto annuale della BCE, compreso il bilancio annuale predisposto in conformità dei principi e criteri contabili che il Consiglio direttivo della BCE ritiene adeguati per le attività di banca centrale. Tali principi e criteri sono applicati coerentemente alle operazioni dell’Eurosistema da tutte le banche centrali partecipanti e sono internazionalmente riconosciuti come standard di rendicontazione finanziaria appropriati per le banche centrali.

Le disposizioni normative della BCE in materia di rendicontazione finanziaria sono contenute nella decisione sul bilancio della Banca centrale europea (decisione BCE/2010/21). Se un trattamento contabile specifico non è previsto in tale decisione e il Consiglio direttivo della BCE non si è espresso in senso contrario, la Banca segue i principi di valutazione conformi agli standard internazionali di rendicontazione finanziaria (International Financial Reporting Standards, IFRS) così come adottati dall’Unione europea. Inoltre, conformemente alla suddetta decisione, la BCE predispone il bilancio sulla base della valutazione del Consiglio direttivo circa il livello appropriato di informazioni accluse e non è tenuta a soddisfare gli obblighi di informativa indicati nell’IFRS 7.

Cfr. anche la risposta alla Raccomandazione 2.

Paragrafo 24

La BCE desidera fare presente che le comunicazioni in materia di ORM fornite attraverso l’Intranet offrono ai coordinatori della gestione dei rischi e ai dirigenti tutte le informazioni pertinenti, anche riguardo alla classificazione degli eventi e delle cause di fondo. Ulteriori indicazioni alle aree operative circa le modalità di individuazione dei rischi sono fornite all’inizio di ogni aggiornamento annuale della valutazione dei rischi operativi concernente l’intera Banca.

Paragrafo 28

Il numero di membri del personale con contratto a tempo indeterminato assegnati alla funzione ORM/BCM è stato recentemente innalzato a cinque. La BCE ritiene che l’attuale composizione dell’organico dedicato a tale funzione consenta di beneficiare del distacco di personale delle banche centrali e non accresca il rischio di attuazione inadeguata del quadro di riferimento per l’ORM.

Paragrafi 29 e 66

Al fine di accrescere ulteriormente la consapevolezza del quadro per l’ORM e dei dispositivi di continuità operativa, la BCE presenterà in modo migliore le informazioni in materia di ORM/BCM fornite attraverso l’Intranet e inviterà i responsabili dei gruppi di gestione dei rischi a tenere regolarmente presentazioni al personale nelle rispettive aree operative.

Paragrafi 37, 58 e 95

L’analisi costi-benefici è consigliata dalla politica in materia di ORM al momento della definizione iniziale delle strategie di risposta ai possibili rischi per verificare l’efficacia delle stesse in termini di costi, mentre diventa essenziale prima di decidere le misure di contrasto dei rischi concreti. Ad esempio, è sempre richiesta all’avvio di un progetto presso la BCE.

Paragrafi 50 e 98, lettera a)

La BCE aggiorna di prassi la propria analisi di impatto operativo all’occorrenza, piuttosto che a intervalli regolari, in modo da tenere conto tempestivamente degli ulteriori requisiti di continuità operativa derivanti ad esempio da modifiche organizzative o sistemiche e dall’introduzione di nuovi processi o applicazioni. Di fatto, dopo l’analisi completa di impatto operativo presentata al Comitato esecutivo nel 2007, il quadro per la BCM è stato integrato in diverse occasioni da requisiti aggiuntivi.

Paragrafi 53 e 98, lettera b)

La BCE considera il proprio piano articolato per gli eventi pandemici sufficiente a fronteggiare una grave perdita di risorse umane. Ha inoltre predisposto piani alternativi per garantire la prosecuzione dei processi più importanti anche nel caso estremamente improbabile di indisponibilità di tutto il personale.

Paragrafi 62 e 98, lettere c) e d)

L’attuale crisi finanziaria, che ha richiesto la disponibilità delle funzioni essenziali della BCE quasi tutti i fine settimana, ha inevitabilmente limitato la portata e la frequenza delle verifiche della continuità operativa complessiva. Di conseguenza, mentre i test basati su scenari concreti sono condotti periodicamente dal gruppo di gestione delle crisi, quelli intesi a verificare i piani generali di continuità operativa e le strutture per il ripristino dei sistemi informativi della BCE sono stati oggetto di un approccio più prudente inteso a contenere il rischio di turbative alle attività in corso.

Cfr. anche la risposta alla Raccomandazione 5.

Paragrafi 91 e 100

La BCE non ha adottato il quadro di riferimento completo degli standard globali di presentazione delle performance degli investimenti (Global Investment Performance Standards, GIPS) in quanto non interamente applicabile alle proprie attività di banca centrale.

Cfr. anche la risposta alla Raccomandazione 7.

Raccomandazione 1

La BCE dimostra sempre considerazione e apprezzamento per le raccomandazioni intese a migliorare ulteriormente la propria gestione dei rischi e attuare le prassi più avanzate in uso presso le banche centrali. L’attuale struttura organizzativa per la gestione dei rischi presso la BCE offre un quadro efficiente per la ripartizione dei compiti sotto la responsabilità collegiale del Comitato esecutivo per la gestione complessiva dei rischi della Banca.

Raccomandazione 2

La BCE già soddisfa i requisiti legali relativi alla propria rendicontazione finanziaria enunciati nella decisione BCE/2010/21. Essa ha seguito e continuerà a seguire gli sviluppi degli IFRS, con particolare riferimento alla loro adeguatezza ai fini della rendicontazione finanziaria della Banca.

Raccomandazione 3

La BCE accoglie la raccomandazione in oggetto. Benché le singole aree operative della Banca abbiano sempre incluso le azioni e i costi relativi all’attuazione delle misure di mitigazione dei rischi nei programmi di lavoro annuali e nei rispettivi bilanci, la BCE ha di recente modificato la tempistica dei processi concernenti l’intera Banca in modo da garantire il pieno allineamento tra l’aggiornamento annuale della valutazione dei rischi operativi e il ciclo di programmazione strategica e finanziaria.

Raccomandazione 4

La BCE accoglie la raccomandazione in oggetto.

Raccomandazione 5

La BCE accoglie la raccomandazione in oggetto. Essa è pienamente impegnata a proseguire nel miglioramento dei propri piani di continuità operativa e si adopererà per garantire l’esecuzione tempestiva dei programmi di verifica di tutti i processi e le realizzazioni rilevanti. Al tempo stesso valuterà tuttavia la necessità urgente di effettuare i test programmati alla luce dell’esigenza di ridurre al minimo i rischi nello svolgimento delle proprie funzioni, soprattutto in questa fase cruciale per il superamento dell’attuale crisi finanziaria.

Raccomandazione 6

La BCE accoglie la raccomandazione in oggetto e ribadisce il proprio impegno a continuare l’esame, la verifica e la piena documentazione dei propri modelli di allocazione delle attività e di misurazione dei rischi con lo scopo di raggiungere i più elevati standard.

Raccomandazione 7

La BCE ha seguito e continuerà a seguire gli sviluppi dei GIPS, con particolare riferimento alla loro adeguatezza ai fini della comunicazione interna dei risultati degli investimenti.