Visualizza presentazione

Evoluzione del SCI e del processo di
gestione dei rischi nel Gruppo BPB
Antonio Zullo
Chief Risk Officer
Gruppo Banca Popolare di Bari
12 dicembre 2014
1
Il sistema dei controlli interni
La nuova normativa
■ La crisi finanziaria ha messo fortemente alla prova la capacità delle banche di gestire
efficacemente le diverse tipologie di rischio e di reagire prontamente a situazioni di criticità;
in tale contesto, è emerso con chiarezza che assetti di governo efficienti e funzioni di
controllo autorevoli, attive ed indipendenti, consentono di evitare o limitare le
perdite conseguenti a situazioni di crisi intense e diffuse
■ Il Sistema dei Controlli Interni (SCI) è un elemento fondamentale del complessivo
sistema di governo delle banche; esso assicura che l’attività aziendale sia in linea con
le strategie e le politiche aziendali e sia improntata a canoni di sana e prudente
gestione. La nuova normativa in tema di SCI fa leva su alcuni principi di fondo
– maggior coinvolgimento dei Vertici aziendali
– visione integrata e trasversale dei rischi e attenzione ai temi dell’efficienza e dell’efficacia dei controlli
– la valorizzazione del principio di proporzionalità, con graduale applicazione delle norme in funzione
della dimensione e della complessità operativa delle banche
■ Le principali novità introdotte dalla nuova normativa riguardano
– i compiti degli Organi aziendali
– la definizione del Risk Appetite Framework
– il rafforzamento dei controlli di primo, secondo e terzo livello
2
Principali novità introdotte
I compiti degli Organi aziendali
■ La nuova normativa ha delineato in maniera puntuale i compiti e le responsabilità degli
Organi aziendali nella definizione del sistema dei controlli interni delle banche
– All’Organo con Funzione di Supervisione Strategica spetta la definizione del modello di business,
degli indirizzi strategici, dei livelli di rischio accettati e l’approvazione dei processi aziendali più
rilevanti (es. approvazione nuovi prodotti/servizi)
– All’Organo con Funzione di Gestione (cui spetta la gestione corrente della banca) è richiesto di
attuare gli indirizzi strategici, avendo piena comprensione di tutti i rischi aziendali e delle loro
interrelazioni
BANCA POPOLARE DI BARI
– All’Organo con Funzione di Controllo spetta, invece, il compito di vigilare sulla completezza,
adeguatezza, funzionalità e affidabilità del sistema dei controlli interni e del RAF
Modello Tradizionale
Assemblea dei soci
Legenda:
elegge
controlla
Collegio
Sindacale
Organo con funzione di supervisione strategica
Cda
Organo con funzione di gestione
Organo con funzione di controllo
3
Principali novità introdotte
I compiti degli Organi aziendali
■ In coerenza anche con quanto previsto dal 1° aggiornamento della Circolare Bankit n.
285/2013 del 6 maggio 2014, si è proceduto alla revisione del Regolamento dei Comitati
di Governance al fine di pervenire ad un quadro razionalizzato, maggiormente sinergico e
proteso a favorire e ad efficientare il dibattito all’interno del Consiglio
■ I Comitati previsti sono 13 e si suddividono in
– Comitato a livello degli Organi Amministrativi (endo-consiliari)
– Comitati di Direzione
– Organismi tecnico-specialistici
– Comitati interfunzionali
Focus Comitati endo-consiliari
Assetti di
Governance e
Nomine
Controlli Interni
e Rischi
Remunerazioni
Comitato
Pianif.ne
Strategica
4
Parti Correlate
Principali novità introdotte
Il Risk Appetite Framework
■ Tra le principali novità introdotte, vi è l’obbligo per le banche di definire il Risk Appetite
Framework (RAF), ossia quell’insieme di politiche, processi, controlli e sistemi che
consente di stabilire, formalizzare, comunicare e monitorare gli obiettivi di rischio che una
banca intende assumere
■ Il RAF è articolato in soglie e limiti di rischio che consentono di individuare, a priori, i livelli e
le tipologie di rischio che una banca intende assumere, e individua i ruoli e le responsabilità
di tutte le strutture aziendali coinvolte nel processo di gestione dei rischi
■ È richiesto che il RAF sia coerente con il piano strategico e con le risultanze del processo
interno di autovalutazione dell’adeguatezza patrimoniale (c.d. ICAAP). Le disposizioni
indicano il contenuto minimale del RAF, la cui articolazione dipende dalle dimensioni e
dalla complessità operativa di ciascuna banca
– Per declinare in concreto gli obiettivi e i limiti di rischio, in base alla tipologia (rischio di mercato
piuttosto che rischio di non conformità) e alla natura (quantificabile o meno) del rischio, sono utilizzati
sia parametri quantitativi, quali ad esempio misure di capitale e di liquidità, sia parametri qualitativi
5
Principali novità introdotte
Il Risk Appetite Framework
Quanto e quale
rischio ho oggi ?
Risk
profile
Rischio effettivamente assunto, misurato in un determinato istante
temporale (rischio effettivo)
Quanto e quale
rischio voglio
avere (obiettivo) ?
Risk
appetite
Livello di rischio che la banca intende assumere per il conseguimento
dei suoi obiettivi strategici (obiettivo di rischio o propensione al rischio)
Quanto rischio al
massimo posso
avere ?
Risk
capacity
Livello massimo di rischio che una banca è tecnicamente in grado di
assumere senza violare i requisiti regolamentari o altri vincoli imposti
dagli azionisti o dalla Autorità di Vigilanza (massimo rischio assumibile)
Quanto posso e
voglio scostarmi
dal mio obiettivo di
rischio ?
Come faccio a
raggiungere il mio
obiettivo di
rischio ?
Risk
tolerance
Risk
limits
Devianza massima dal Risk Appetite consentita in modo da assicurare,
anche in condizioni di stress, margini sufficienti per operare entro il
massimo rischio assumibile (soglia di tolleranza)
Articolazione degli obiettivi di rischio in limiti operativi, definiti per
tipologia di rischio, unità e o linee di business, linee di prodotto,
tipologia di clienti (limiti di rischio)
6
Principali novità introdotte
Il Risk Appetite Framework del Gruppo Banca Popolare di Bari
Area strategica
Livello
Redditività corretta
per il rischio
1° Livello
Capitale Interno e
Patrimonio di
Vigilanza
Indicatore
Risk
Profile
Utile Lordo / Requisiti I Pilastro
Risk
Appetite
Risk
Tolerance
Risk
Capacity
> 10,0%
> 7,0%
> 5,0%
Risultato lordo di gestione / RWA
1° Livello
…
Common Equity Ratio
> 9,0%
> 8,0%
> 7,0%
Tier 1 Ratio
> 9,0%
> 8,0%
> 7,0%
Total Capital Ratio
> 11,0%
> 10,5%
> 10,0%
Buffer di Capitale
…
...
…
…
…
…
< 2,0%
< 2,5%
< 3,0%
Leverage Ratio
2° Livello
Credit Spread Sens. AFS / PdV
VaR di Mercato
LCR
Liquidità e Funding
1° Livello
NSFR
Buffer di Liquidità
Raccolta / Impieghi
Coverage performing loans
Qualità creditizia
degli asset
1° Livello
…
Coverage deteriorati
Altre aree
strategiche di
rischio
Delta PV (ICAAP) / PdV
1° Livello
Concentr. credito (primi 10 Gruppi)
Perdite operative / Margine Intermed.
7
Principali novità introdotte
Il Risk Appetite Framework del Gruppo Banca Popolare di Bari
Sviluppare e
implementare
il RAF
Monitorare
l’andamento
del RAF
Azioni
correttive
RUOLO DEL RISK MANAGEMENT
RUOLO DELLA PIANIFICAZIONE e CdG
Definizione metriche, coerenza complessiva e
regolamentare, monitoraggio RAF statement
Sviluppo del piano strategico e del budget
secondo logiche risk based
Sviluppare metriche di misurazione del rischio
Sviluppare piano strategico e budget in coerenza
con il RAF
Stabilire le soglie di tolleranza, tenuto conto anche di
scenari di stress test
Incorporare il RAF nei processi decisionali (insieme
ai diversi attori coinvolti)
Garantire l’integrità metodologica
Modificare / simulare impatti di variazione del RAF
su strategia e obiettivi di ML periodo
Monitorare e gestire il processo di reporting sul RAF
statement
Monitorare gli scostamenti dagli obiettivi strategici
Presentare e comunicare al Board
Individuazione azioni correttive
8
Principali novità introdotte
Il rafforzamento dei controlli di primo, secondo e terzo livello (1/2)
■ La nuova disciplina pone molto rilievo sull’articolazione e sul corretto funzionamento dei
controlli
– Sono stati potenziati i requisiti alla base dei controlli di primo livello, che prevedono il
coinvolgimento delle stesse unità di business
– È stata rivista la disciplina delle funzioni aziendali responsabili dei controlli di secondo livello
(Risk Management e Compliance) e di terzo livello (Internal Audit), con l’obiettivo di renderle più
incisive e di assicurarne la vicinanza agli organi aziendali
– È stata prestata massima attenzione al coordinamento dell’attività dei vari Organi e funzioni di
controllo, in modo da sfruttarne le sinergie ed evitare lacune nei controlli; le banche devono
predisporre un documento che formalizzi le modalità di coordinamento
■ Per assicurare l’indipendenza e l’autorevolezza del Risk Management, della
Compliance e dell’Internal Audit, sono state previste rigorose procedure di nomina e
di revoca dei responsabili, che coinvolgono gli organi aziendali. È richiesto che il personale
addetto sia adeguato in termini quali - quantitativi; vengono richiesti presidi organizzativi
per garantirne l’indipendenza dalle aree di business; sono delineate modalità di
riporto, gerarchico e funzionale, verso gli Organi aziendali
9
Principali novità introdotte
Il rafforzamento dei controlli di primo, secondo e terzo livello (2/2)
■ Il ruolo del responsabile del Risk Management (Chief Risk Officer - CRO) è stato significativamente
ampliato. Al CRO sono, infatti, affidati
–
Compiti di ausilio all’Organo con funzione di supervisione strategica nella definizione del RAF, di monitoraggio nel
continuo dell’andamento della rischiosità aziendale e il potere di vagliare preventivamente le operazioni di maggior
rilievo con possibilità di attivare procedure di escalation verso l’esecutivo aziendale (c.d. potere di veto)
–
Al Risk Management è stato anche affidato un importante ruolo di verifica sul monitoraggio delle esposizioni
creditizie, sui criteri di classificazione, sulla congruità degli accantonamenti e sul processo di recupero
■ Le disposizioni chiariscono che la funzione di
Compliance assicura, secondo un approccio
risk based, il presidio del rischio di non
conformità con riferimento a tutte le norme
applicabili alle banche
–
Il suo coinvolgimento è graduato in relazione al
rilievo che le singole norme hanno per l’attività
svolta, alle conseguenze della loro violazione e
all’esistenza all’interno della banca di altre forme
di presidio specializzato
–
È stato inoltre introdotto un riferimento esplicito al
presidio del rischio di non conformità alla
normativa fiscale
Programmazione e
rendicontazione
dell’attività di controllo
Operazioni di
Maggiore Rilievo
Principali
novità
normative
Policy SCI
Presidi specialistici
di compliance
Monitoraggio andamentale
singole esposizioni creditizie
10
Principali novità introdotte
Il rafforzamento dei controlli di primo, secondo e terzo livello in BPB
CdA
Internal Auditing
Antiriciclaggio
(Chief Internal Auditor)
(Chief Anti-money
laundering Offficer)
Risk Management
Compliance
(Chief Risk Officer)
(Chief Compliance Officer)
■ L’indipendenza e l’autorevolezza
delle funzioni di controllo, dal punto
di vista organizzativo, è assicurata
attraverso il riporto diretto delle
stesse al CdA
■ Principali caratteristiche delle funzioni di controllo
– Accesso ai dati aziendali e informazioni esterne
– Nessun coinvolgimento del personale delle funzioni di controllo nelle attività di business
– Separatezza delle funzioni e formalizzazione di ruoli e responsabilità
– Competenze trasversali da acquisire anche con programmi di rotazione tra funzioni aziendali di
controllo
– Risorse economiche eventualmente attivabili in autonomia
– Le funzioni di controllo di secondo livello sono sottoposte a verifiche periodiche da parte dell’Internal
Auditing
11
Principali novità introdotte
Il rafforzamento dei controlli di primo, secondo e terzo livello in BPB
L’analisi ex ante delle operazioni di maggior rilievo da parte della Funzione Risk
Management consente da una lato una valutazione integrata rispetto a tutti i rischi
e dall’altro la verifica della coerenza dell’operazione stessa rispetto al Risk Appetite
Framework definito dal Gruppo
Operazioni di
Maggior
Rilievo
(OMR)
Non sono considerate “operazioni di maggiore rilievo” quelle operazioni che
rientrano nelle competenze del Consiglio di Amministrazione. Per tale tipologia di
operazioni la Funzione Risk Management può essere chiamata dall’ Organo
Amministrativo ad esprimere un parere consultivo, che integri le valutazioni già
svolte nell’ambito dei Comitati Consiliari
Definiti criteri quantitativi e qualitativi per l’individuazione delle OMR, in funzione
della tipologia di operazione (es. affidamenti creditizi per cassa e firma, operazioni su
ptf Held For Trading, su ptf AFS, esternalizzazioni)
Opinion
negativa da
parte del Risk
Mgt
In caso di risk opinion negativa rilasciata dalla Funzione Risk Management, la Banca
ha facoltà di procedere ugualmente all’approvazione dell’operazione. Spetta al
Consiglio di Amministrazione esaminare le operazioni di maggiore rilievo oggetto di
risk opinion negativa e, se del caso, di autorizzarle, sentito il parere del Comitato
Controlli Interni e Rischi
12
Principali novità introdotte
Il rafforzamento dei controlli di primo, secondo e terzo livello in BPB
■ È richiesto che la Funzione di Controllo dei Rischi svolga un’attività di «verifica del corretto svolgimento
del monitoraggio andamentale sulle singole esposizioni, in particolare di quelle deteriorate e la
valutazione della coerenza delle classificazioni, della congruità degli accantonamenti e dell’adeguatezza
del processo di recupero»
Monitoraggio andamentale sulle singole esposizioni in BPB
Gli ambiti di applicazione
(sia bonis che non performing)
Le fasi del processo
Applicazione
diagnostico dei
controlli
Approvazione degli
interventi
Classificazione delle posizioni
Analisi dei risultati
e verifiche a
campione
Provisioning
Discussione e
condivisione piano
interventi
Processo di recupero
13
Principali novità introdotte
Il rafforzamento dei controlli di primo, secondo e terzo livello in BPB
■ Ampliamento del perimetro normativo di competenza della Funzione Compliance (ora
esteso a tutte le normative impattanti sull’operatività dell’Istituto e del Gruppo, seppur con
differente livello di profondità in base al rischio ed alla rilevanza)
– L’impianto adottato (“modello misto”) prevede che alcune normative “core” (es. trasparenza,
MiFID, usura) siano a diretto presidio della Funzione mentre altre siano presidiate “indirettamente” per
il tramite delle c.d. unità di presidio specialistico (UPS)
■ Le Funzioni Aziendali di Controllo si sono altresì attivate al fine di adempiere alle richieste
della Banca d’Italia in tema di rendicontazione periodica (c.d. Tableau de bord), da
sottoporre trimestralmente agli Organi aziendali e, successivamente, da trasmettere
tempestivamente alla stessa Vigilanza
14
Verso il Single Supervisory Mechanism
La ripartizione dei compiti tra BCE e Banche Centrali Locali
SUPERVISIONE BANCHE
“SIGNIFICANT”
SUPERVISIONE BANCHE
“LESS SIGNIFICANT”
Vigilanza effettuata direttamente
da team misti della BCE (JST,
joint supervisory team)
Vigilanza effettuata direttamente
da team delle Banche Centrali
Locali, nel rispetto di linee guida
predisposte dalla BCE
Vigilanza armonizzata su base
europea in quanto ad intensità
della supervisione e a metodologie
applicate
Le Banche Centrali Locali saranno
costantemente aggiornate dalla
BCE relativamente ai trend di
settore e/o criticità riscontrate
La BCE, alla luce del grande
patrimonio
informativo,
potrà
effettuare
comparazioni
fra
differenti peer che operano in
differenti Stati Membri
La BCE potrà avocare a sé anche
la responsabilità diretta su queste
banche qualora ritenga che le
Autorità Nazionali non siano in
grado di garantire controlli efficaci
Gruppo Banca
Popolare di Bari
15
Verso il Single Supervisory Mechanism
Principi di funzionamento
Overview di funzionamento
Classificazione iniziale
Ciclo SREP
Determinata dall’impatto sistemico
dell’intermediario
Vigilanza continua
I rilievi degli ispettori e la vigilanza
on- e off-site alimenteranno il ciclo
di SREP successivo
Processo di revisione e valutazione prudenziale: ciclo SREP
Obiettivi dello SREP
Fornire una valutazione
oggettiva e coerente con il
profilo di rischio dell’ente
creditizio
Strutturare il Supervisory
Plan
Porre in essere misure
correttive
Ambiti di analisi
Business Model / Piano
strategico
Governance interna e
Sistema dei controlli
Rischi di capitale e
adeguatezza del capitale
Rischi di liquidità e
adeguatezza della liquidità
Frequenza SREP
Monitoraggio indicatori:
trimestrale
Frequenza analisi SREP:
da annuale a triennale
Frequenza analisi overall
SREP: annuale
Approccio sostanziale e standardizzato della BCE, di tipo risk based e con limitate
opzionalità di valutazione judgmental
16
GRAZIE PER
L’ATTENZIONE
AN.ZULLO@POPOLAREBARI.IT
17