La Funzione di Compliance e i Modelli di Governo – i ... · Disposizioni di vigilanza in materia di organizzazione e governo societario delle banche (1/2) Sistemi di amministrazione

Torino, 25 settembre 2008

La Funzione di Compliance e i Modelli di Governo – i mpatti organizzativi

Anna Maria Capolongo

Barbara Stampalia

2

© 2008 Protiviti S.r.l. ConfidenzialeQuesto documento è destinato esclusivamente ad uso interno della Vostra Società e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.

Contenuti

Quadro normativo

Possibili soluzioni organizzative

Il processo di Compliance

Un possibile approccio progettuale

3


26 marzo 2008

Regolamento ISVAP n.20 - La funzione di compliance

Regolamento congiunto Banca d’Italia – Consob ai sensi dell’art. 6, co. 2-bis del TUF

“…le imprese si dotano di specifici presidi volti a prevenire il rischio di incorrere in sanzioni (...) o perdite

patrimoniali o danni di reputazione, in conseguenza di violazioni di Leggi …”

(art. 22)

29 febbraio 2008

29 ottobre 2007

1°gennaio 2009

4 marzo 2008

Disposizioni di Vigilanza BdI su governo societario e organizzazione banche

Funzione Compliance

Regolamento congiuntoBdI - Consob

Regolamento congiuntoBdI - Consob

“Gli intermediari adottano, applicano e mantengono funzioni permanenti,

efficaci e indipendenti di controllo di conformità alle norme …” (obbligo previsto dalla direttiva 2006/73/CE)

Disposizioni di Vigilanza –Regolamento ISVAP n. 20Disposizioni di Vigilanza –Regolamento ISVAP n. 20

“Le banche devono porre specifica cura nello strutturare forme di comunicazione e di scambio di informazioni complete, tempestive e accurate tra gli organi con funzioni di supervisione strategica, di

gestione e di controllo …”

Disposizioni di Vigilanza BdIGoverno societario

Disposizioni di Vigilanza BdIGoverno societario

Quadro normativo (1/6)

4


Il Regolamento Congiunto Banca d’Italia - Consob

Il Regolamento congiunto Banca d’Italia –Consob pone particolare attenzione al controllo di conformità alle norme , volto a verificare l’osservanza del rispetto degli obblighi in materia di prestazione dei servizi

“Gli intermediari adottano, applicano e mantengono funzioni permanenti, efficaci e indipendenti di controllo di conformità alle norme e, se in linea con il principio di proporzionalità , di gestione del rischio dell’impresa e di audit interno”

Fermo restando l’obbligo (previsto dalla Direttiva 2006/73/CE) di istituire in ogni caso la Funzione di Compliance alle norme, èconsentita l’individuazione di un unico responsabile per lo svolgimento dell’attività di compliance e di gestione del rischio o di non istituire le funzioni di gestione del rischio e di audit interno

Per garantire la correttezza e l’indipendenza della Funzione di Compliance (e delle altre funzioni di controllo) il Regolamento precisa che:

� la funzione di Compliance debba disporre dell’autorità, delle risorse e delle competenze necessarie per lo svolgimento dei compiti che le sono stati attribuiti

� i soggetti rilevanti che partecipano alla funzione di controllo non partecipino alla prestazione dei servizi che essi sono chiamati a co ntrollare

� sia separata dalle altre funzioni di controllo , sotto un profilo organizzativo

� il metodo per la determinazione della remunerazione dei soggetti rilevanti che partecipano alla funzione di controllo non ne comprometta l’obiettività

La banca può derogare ai suddetti requisiti, qualora dimostri che, “…in applicazione del principio di proporzionalità , gli obblighi in questione non sono proporzionati e che la Funzione di Compliance continui ad essere efficace”

Alla Funzione di Compliance spettano i seguenti compiti :

� controllare e valutare regolarmente l’adeguatezza e l’efficacia delle procedure volte a prevenire e individuare le ipotesi di mancata osservanza degli obblighi posti dalla Direttiva MiFID;

� fornire consulenza e assistenza ai soggetti rilevanti incaricati dei servizi ai fini dell’adempimento degli obblighi posti dal recepimento della Direttiva MiFID;

Nel caso in cui non vengano istituite le funzioni di gestione del rischio e di audit interno, la banca deve “…assicurare comunque l’efficacia delle attività di gestione del rischio e di audit, la cui responsabilità, in assenza di un responsabile della funzione, farebbe capo direttamente agli organi aziendali”


5


� Il progetto di governo societario deve:

� illustrare le ragioni che rendono il modello prescelto il più idoneo;

� descrivere le specifiche scelte attinenti alla struttura organizzativa, ai diritti degli azionisti, alla struttura finanziaria e alle modalità di gestione dei conflitti di interesse;

� fornire, nel caso della Capogruppo, la rappresentazione e la motivazione delle modalità di raccordo tra organi e funzioni azi endali ;

� essere redatto ed inviato alla Banca d’Italia in fase di costituzione della banca;

� essere redatto da tutte le banche entro il 30 giugno 2009 ed aggiornato ogni qual volta vi siano modifiche organizzative di rilievo ed essere sottoposto, ove richiesto, alla Banca d’Italia.

� L’Organo con funzioni di controllo deve:

� vigilare sulla funzionalità del sistema dei controlli interni. A tal proposito riceve dalle strutture di controllo adeguati flussi informativi periodici o relativi a specifiche situazioni o andamenti aziendali ;

� partecipare alle decisioni riguardanti la nomina dei responsabili delle funzioni di controllo interno e la definizione degli elementi essenziali dell’architettura del sistema dei controlli;

� vigilare sull’adeguatezza del sistema di gestione e controllo dei rischi , a tal fine, esso deve avere una idonea conoscenza dei sistemi adottati dall’intermediario, del loro funzionamento, della loro capacità di coprire ogni aspetto dell’operatività aziendale.


Disposizioni di vigilanza in materia di organizzazi one e governo societario delle banche (1/2)

� Sistemi di amministrazione e controllo e progetto di governo societario - Sulla base di un approfondito processo di autovalutazione le banche dovranno individuare il modello di amministrazione e controllo più idoneo ad assicurare l’efficienza della gestione e l’efficacia dei controlli.

� Compiti e poteri degli organi sociali -Compiti e poteri di amministrazione e di controllo devono essere ripartiti in modo chiaro ed equilibrato tra i diversi organi e all’interno di ciascuno di essi, evitando concentrazioni di potere che possano impedire una corretta dialettica interna

6


� Accertare ed assicurare l’idoneità degli esponenti a svolgere le proprie funzioni, sotto il profilo della professionalità, della disponibilità di tempo e dell’indipendenza

� I limiti al cumulo degli incarichi devono essere oggetto di specifiche previsioni dello statuto o di regolamenti interni

� Nell’organo con funzione di supervisione strategica devono essere presenti componenti indipendenti in numero adeguato

� La composizione degli organi, la nomina e la revoca dei relativi componenti devono essere disciplinate nello statuto in modo chiaro e trasparente

� Relativamente alla gestione dei flussi informativi, redazione di appositi regolamenti contenenti:

� Tempistica, forme e contenuti della documentazione da trasmettere ai singoli componenti degli organi, necessaria ai fini dell’adozione delle delibere sulle materie all’ordine del giorno; documentazione e verbalizzazione del processo decisionale; disponibilità ex post di detta documentazione; trasmissione delle delibere all’Autorità di Vigilanza;

� Individuazione dei soggetti tenuti a inviare , su base regolare, i flussi informativi agli organi aziendali ;

� Determinazione del contenuto minimo dei flussi info rmativi includendo il livello e l’andamento dell’esposizione della banca a tutte le tipologie di rischio rilevanti, gli eventuali scostamenti rispetto alle politiche approvate dall’organo di supervisione strategica, tipologie di operazioni innovative e i rispettivi rischi.


� Composizione degli Organi Sociali - la suddivisione di compiti e responsabilitàall’interno degli organi aziendali deve essere coerente con il ruolo ad essi attribuito dal sistema di amministrazione e controllo prescelto. Il numero dei componenti degli organi sociali deve essere adeguato alle dimensioni e alla complessità dell’assetto organizzativo della banca.

� Flussi informativi - La circolazione di informazioni tra gli organi sociali e all’interno degli stessi rappresenta una condizione imprescindibile affinché siano effettivamente realizzati gli obiettivi di efficienza della gestione ed efficacia dei controlli.

Disposizioni di vigilanza in materia di organizzazi one e governo societario delle banche (2/2)

7


� Nell’identificazione e valutazione del rischio di non conformità alle norme , le imprese devono porre particolare attenzione al rispetto delle norme relative alla trasparenza ed alla correttezza dei comportamenti nei confronti degli assicurati e danneggiati, all’informativa precontrattuale e contrattuale, alla corretta esecuzione dei contratti, con particolare riferimento alla gestione dei sinistri e, più in generale, alla tutela del consumatore

� Il Regolamento prevede la costituzione di una specifica funzione di Complianc e, incaricata di verificare che l’organizzazione e le procedure aziendali siano adeguate a tali obiettivi, dettando alcuni principi per l’istituzione e l’operatività della funzione

� Alla funzione di Compliance deve essere garantita l’indipendenza , il libero accesso a tutte le attività dell’impresa ed a tutte le informazioni pertinenti , professionalitàe autorevolezza della funzione, nonché la separatezza dalle funzioni operative e dalle altre funzioni di controllo, attraverso la definizione espressa dei rispettivi ruoli e competenze

� Il Regolamento prevede che le Compagnie di assicurazione , nella propria autonomia, organizzino la funzione di Compliance valutando se costruirla in una specifica unità organizzativa o se avvalersi di risorse appartenenti ad altre funzioni aziendali, ricondotte ad unitarietà attraverso l’individuazione di un unico responsabile della funzione

� In considerazione alle esigenze delle piccole imprese ed in applicazione del principio di proporzionalità , si prevede che, nel caso in cui l’istituzione di una specifica funzione di Compliance non risponda a criteri di economicità, le imprese possano esternalizzare tale funzione nel rispetto delle condizioni di cui al Capo VIII

� Le attività relative alla funzione di Compliance possono essere accentrate all’interno del gruppo assicurativo , attraverso la costituzione di un’unità specializzata


Disposizioni di Vigilanza – Regolamento ISVAP n. 20 (1/2)

� Art. 23, comma 1, “Le imprese istituiscono una funzione di compliance , proporzionata alla natura, dimensione e complessità dell’attivitàsvolta, cui è affidato il compito di valutare che l’organizzazione e le procedure interne siano adeguate al raggiungimento degli obiettivi di cui all’articolo 22”

� Art. 23, comma 4, “La funzione di compliance deve possedere adeguati requisiti di indipendenza (…) e disporre delle risorse quantitativamente e professionalmente adeguate per lo svolgimento delle attività”

� Art. 23, comma 5, “Le imprese organizzano la funzione di compliance valutando se costituirla in forma di specifica unità organizzativa omediante il ricorso a risorse appartenenti ad altre unità aziendali …”

� Art. 23, comma 6, “…è garantita la separatezza della funzione di compliance dalle funzioni operative e dalle altre funzioni di controllo, attraverso la definizione espressa dei rispettivi ruoli e competenze ”

8



� Art. 29, “Le imprese possono concludere accordi di esternalizzazione a condizione che la natura e la quantitàdelle attività esternalizzate e le modalitàdella cessione non determinino lo svuotamento dell’attività dell’impresa cedente.”

� “Non può in ogni caso essere esternalizzata l’attività di assunzione dei rischi ”

� Art. 35, comma 1, “Nel caso di esternalizzazione di attività essenziali o importanti, le imprese ne danno preventiva comunicazione all’ISVAP , almeno quarantacinque giorni prima della esecuzione del contratto, comunicando i dati relativi all’attivitàceduta, al fornitore, alla durata dell’esternalizzazione e al luogo in cui si svolge l’attività esternalizzata...”

� Art 23, comma 7, “Il collegamento tra la funzione di compliance e le funzioni di revisione interna e di risk management èdefinito e formalizzato dall’organo amministrativo.”

� Il Capo VIII assume particolare rilievo, in quanto disciplina, per la prima volta in modo organico, l’esternalizzazione di attività e funzioni delle imprese di assicurazione

� Nel caso di esternalizzazione della funzione di Compliance , le imprese devono dare preventiva comunicazione all’ISVAP, allegando la bozza di contratto, a cui può essere data esecuzione trascorsi 60 giorni dalla ricezione

� L’ISVAP può imporre all’impresa di modificare il contratto di esternalizzazione, ovvero, nei casi più gravi, di recedere dal contratto

� L’esternalizzazione di funzioni non può in alcun modo esonerare gli organi sociali e l’alta direzione delle proprie responsabilità

� La Sezione II del Regolamento definisce gli obblighi di comunicazione nei confronti dell’ISVAP, diversificati a seconda che l’esternalizzazione riguardi:

� funzioni essenziali o importanti

� funzioni di revisione interna, di Risk Management e di Compliance

� altre attività

� L’organo amministrativo definisce e formalizza il collegamento tra la funzione di Compliance e le funzioni di Revisione Interna e di Risk Management

� Nell’istituire la funzione, comunque la si organizzi, deve essere pertanto garantita la separazione della funzione di Compliance dalle funzioni operative e dalle altre funzioni di controllo, attraverso la definizione espressa dei rispettivi ruoli e competenze

� La funzione di Compliance è comunque separata dalla funzione di Revisione Interna ed è sottoposta a verifica periodica da parte della stessa.

Disposizioni di Vigilanza – Regolamento ISVAP n. 20 (2/2)

9


Contenuti

Quadro normativo




10


Possibili soluzioni organizzativeIl sistema dei controlli

1

CONTROLLI DI LINEA

Consistono nelle verifiche svolte sia da chi mette in atto una determinata

attività, sia da chi ne ha la responsabilità di supervisione, generalmente nell’ambito della

stessa unità organizzativa o funzione

GESTIONE DEI RISCHI

E’ volta a individuare, misurare, controllare e

gestire tutti i rischi legati alle attività, ai processi e ai sistemi

dell’impresa in conformità con le

strategie e il profilo di rischio definiti dall’alta

dirigenza

CONTROLLI DI CONFORMITA’

Sono volti a verificare l’osservanza del

rispetto degli obblighi in materia di prestazione

dei servizi

CONTROLLO INTERNO

L’attività di audit interno è volta a valutare, in una prospettiva di terzo

livello, la completezza, la funzionalità e l’adeguatezza dei

sistemi e delle procedure, anche di controllo

FUNZIONE INTERNAL AUDIT

FUNZIONE DI RISK MANAGEMENT / COMPLIANCE

FUNZIONE DI LINEA

2 3

CONTROLLI DI PRIMO LIVELLO

CONTROLLI DI PRIMO LIVELLO CONTROLLI DI SECONDO LIVELLOCONTROLLI DI SECONDO LIVELLO CONTROLLI DI

TERZOLIVELLOCONTROLLI DI TERZOLIVELLO

11


DirezioneDirezione

Funzione di LineaFunzione di Linea Funzione di LineaFunzione di Linea Funzione di LineaFunzione di Linea Funzione di LineaFunzione di Linea

CDACDA

Funzione ComplianceFunzione Compliance

Risk ManagementRisk Management

� Le funzioni di controllo devono essere indipendenti sia rispetto alle attività controllate, sia tra loro

� L’approvazione delle politiche di gestione del rischio di non conformità e l’istituzione della Funzione di Compliance sono di competenza esclusiva e non delegabile del CdA

� Il responsabile della Funzione Compliance è nominato e revocato dal CdA, sentito l’organo con funzioni di controllo

� Il responsabile della Funzione Compliance riferisce direttamente agli organi aziendali

Possibili soluzioni organizzativePosizionamento delle Funzioni di Controllo

Internal AuditInternal Audit

12


Possibili soluzioni organizzativeEsempi di modelli organizzativi

FU

NZ

ION

E C

OM

PLI

AN

CE

POSSIBILI SCENARI

ACCENTRATA• Le attività di conformità sono svolte da

personale inserito in una struttura organizzativa dedicata e gerarchicamente dipendente dal responsabile della Funzione Compliance

DECENTRATA• Le attività di conformità sono svolte da

personale inserito in strutture operative diverse e coordinate dal responsabile della Funzione Compliance

ESTERNALIZZATA• Le attività di conformità sono svolte da

personale inserito in una società esterna e coordinate dal responsabile della Funzione Compliance

DI GRUPPO• Le attività di conformità sono svolte dalla

Funzione di Compliance della Capogruppo e coordinate dal responsabile della medesima

Risorse DedicateRisorse Dedicate Risorse dedicateRisorse dedicate

Funzione ComplianceFunzione

Compliance

FunzioneOrganizzazione

FunzioneOrganizzazione

FunzioneLegale

FunzioneLegale

Funzione ComplianceFunzione

Compliance

RisorseSpecializzate








Responsabile Compliance

Responsabile Compliance

SpecialistiSpecialisti SpecialistiSpecialisti

SocietàEsternaSocietàEsterna

Società del Gruppo

Società del Gruppo

RisorsededicateRisorsededicate

RisorsededicateRisorsededicate

FunzioneComplianceFunzione

Compliance

CapogruppoCapogruppo

13


Possibili soluzioni organizzativeEsempio di flussi informativi tra le funzioni di controllo

INTERNAL AUDITCOMPLIANCERISK MANAGEMENT

� Esiti delle verifiche ispettive in loco e dei controlli a distanza sulle aree operative che presentino aspetti significativi in termini di compliance

� Esiti delle attività di follow-up per le verifiche sopra indicate

� Reclami della clientela che presentino aspetti legati alla compliance

� Invio della relazione periodica sul sistema dei controlli interni

Il contributo alla creazione di valore da parte della Funzione di Compliance risulterà tanto maggiore quanto più forti saranno le sinergie realizzate con gli altri attori del sistema dei controlliLa collaborazione tra tali funzioni consente di sviluppare metodologie di gestione del rischio in modo coerente con le strategie e l’operatività aziendale

� Contributo nella fase di aggiornamento e implementazione delle check-list adottate per lo svolgimento delle verifiche da parte della funzione internal audit

� Esiti delle verifiche ispettive condotte dalla Funzione Compliance

� Invio della relazione periodica nel quale è analizzato lo “stato di conformità” dell’organizzazione

�Invio del piano annuale di compliance

�Collaborazione per la messa a punto di metodologie unitarie per l’individuazione, misurazione, gestione e mitigazione dei rischi condivisi

� Invio della reportistica periodica di sintesi inerente le misurazioni effettuate da parte della Funzione Risk Management

14


L’esperienza di realtà di grandi dimensioni evidenzia la necessità di una gestione integrata delle informazioni e dei rischi, al fine di ridurre le problematiche legate alla c.d. “cacofonia informativa” all’alta direzione e all’organo amministrativo

Possibili soluzioni organizzativeUna eventuale evoluzione (1/3)

15



CT2 - Metodologia unica di risk assessment

CT1 – Infrastruttura globale dei controlli

CT3 – Infrastruttura organizzativa

CT4 – Razionalizzazione delle azioni correttive

CT5 – Integrazione dei sistemi

CT6 – Reportistica integrata

16



17


Contenuti

Quadro normativo




18


Processo di compliance

Il processo attraverso il quale la Funzione di Compliance verifica la coerenza delle procedure interne alle norme di eteroregolamentazione (leggi e regolamenti) e autoregolamentazione (codice etico, codice di condotta) può essere organizzato nei seguenti sottoprocessi

Valutazione impattonormativo

Indi

vidu

azio

ne

della

nor

mat

iva

Misurazione/Valutazione dei rischi su processi e procedure aziendali

Pianificazione interventiorganizzativi e

procedurali

Disegno del sistema di Reporting

Proposta di modifiche, definizione delle prioritàrelativamente ai gap individuati e predisposizione del milestone plan degli interventi

Sistema che includa verifiche da effettuare, traccia dei risultati delle stesse, misure adottate per rimediare a eventuali carenze, attività pianificate IM

PLE

ME

NT

AZ

ION

E

Controlli di efficacia di regole e procedure

operative

Def

iniz

ione

proc

edur

edi

ver

ifica Acquisizione e

risoluzione anomalie

Autocertificazione(self-assessment)

Notifiche di non compliance

agli Organi di Vertice

Controlli su procedureoperative

MO

NIT

OR

AG

GIO

Consulenza per progetti innovativi

Aggiornamento del sistema di gestione di non confor mità alle norme

Comunicazione e formazione sulla normativa

19


Contenuti

Quadro normativo




20


Un possibile approccio progettuale Obiettivi

Definire un sistema di governo delle strutture organizzative, delle infrastrutture e delle applicazioni IT al fine di coordinare e monitorare la conformità dei processi operativi alle normative interne e alle regolamentazioni esterne, supportando le Funzioni Aziendali nell’allineamento alle diverse esigenze di compliance

Implementare il processo di Compliance tramite la definizione del perimetro normativo, l’individuazione dei gap nei processi as is e la pianificazione di interventi mirati alla risoluzione degli stessi

Definire gli aspetti organizzativi della Funzione di Compliance al fine di dotarla di adeguate policy e procedure e di definire i ruoli e le responsabilitàal suo interno e nei confronti delle altre funzioni aziendali

Sistemi informativi

Implementazione del processo

Governance

11

2 33

21


Un possibile approccio progettualeMacroattività

Gov

erna

nce

Impl

emen

tazi

one

del

cam

biam

ento

Disegno del Processo Attribuzione dei ruoli e

delle responsabilità

Disegno del sistema di reporting

Definizione della Policy

L’individuazione delle macroattività da svolgere per il corretto Set Up della Funzione di Compliance è realizzata alla luce dei risultati della Gap Analysis effettuata sull’attuale status della stessa

Compliance Risk Analysis su “normativa pilota”

preventivamente individuata

Piano delle azioni correttive su “normativa

pilota”Inventario della

normativaLinee guida per il

funzionamento del Processo di Compliance

L’approccio sopra delineato parte dal presupposto che sia stato definito il posizionamento organizzativo e gerarchico della Funzione di Compliance e si sia provveduto alla nomina del suo Responsabile

2 3 41

65 8

7

22


Un possibile approccio progettualeCantiere Governance

• Template reporting − interno alla Funzione di

Compliance− per l’Alta Direzione

Disegno del processo − Formalizzazione del processo di compliance e dei relativi sottoprocessi− Implementazione del processo e dei relativi sottoprocessi− Formalizzazione delle procedure operative della Funzione di

Compliance− Formalizzazione di procedure di revisione periodica

Attribuzione dei ruoli e delle responsabilità

– Definizione e formalizzazione di ruoli e responsabilità

– Definizione e formalizzazione delle interrelazioni

– Definizione e formalizzazione del mansionario della funzione

Disegno del sistema di reporting in termini di:

−Destinatari−Periodicità−Contenuti

• Policy di gestione del rischio di non conformità

• Charter Funzione di Compliance− Ruoli e responsabilità− Mansionario

Atti

vità

Del

iver

able

2 3 4

Definizione di una policy di gestione del rischio di non conformità ai requisiti normativi, sia in ambito Business che in ambito IT

1

• Modello concettuale del processo di compliance e relativi sottoprocessi

• Procedure operative della funzione di Compliance

A

A

B

B

C

D

C

D

• Template reporting − verso le altre funzioni di

controllo (Risk Management, Internal Audit)

E

E

23


Un possibile approccio progettualeCantiere Implementazione della fase cambiamento

Compliance Risk Analysis su una normativa pilota

− Identificazione della normativa pilota− Individuazione dei processi

compliance sensitive− Mappatura dei requisiti chiave sui

singoli processi in esame e sui sistemi informativi impattati

− Condivisione della mappatura con il GdL

− Analisi della situazione AS IS − Individuazione dei gap

Corrective Action Plan su una normativa pilota

−Definizione di un master plan degli interventi per la risoluzione dei gap individuati

• Definizione e formalizzazione del perimetro normativo

• Mappa dei requisiti chiave sul modello dei rischi del Gruppo

• Master plan implementativo

6

Legal Inventory − Definizione del

perimetro− Analisi del

contesto normativo

− Individuazione dei requisiti chiave da rispettare

5

• Mappatura dei requisiti sui processi

• Individuazione degli eventuali Gap regolamentari

F

H

F G H

Definizione e formalizzazione delle linee guida per la fase di Funzionamento del Processo di Compliance

8

7

I

I• Linee guida per il

funzionamento

G

Atti

vità

Del

iver

able

Individuazione e razionalizzazione delle sovrapposizioni

−Determinazione del set di informazioni provenienti dalle funzioni Risk Management e Internal Audit al fine di individuare e razionalizzare eventuali aree di sovrapposizione

9

• Overlap analysisL

• Documento di razionalizzazione dei flussi informativi

M

L

M

24


Domande?

Q&A

Documents

La Funzione di Compliance e i Modelli di Governo – i ... · Disposizioni di vigilanza in materia di organizzazione e governo societario delle banche (1/2) Sistemi di amministrazione