Evoluzione del SCI e del processo di gestione dei rischi nel Gruppo BPB Antonio Zullo Chief Risk Officer Gruppo Banca Popolare di Bari 12 dicembre 2014 1 Il sistema dei controlli interni La nuova normativa ■ La crisi finanziaria ha messo fortemente alla prova la capacità delle banche di gestire efficacemente le diverse tipologie di rischio e di reagire prontamente a situazioni di criticità; in tale contesto, è emerso con chiarezza che assetti di governo efficienti e funzioni di controllo autorevoli, attive ed indipendenti, consentono di evitare o limitare le perdite conseguenti a situazioni di crisi intense e diffuse ■ Il Sistema dei Controlli Interni (SCI) è un elemento fondamentale del complessivo sistema di governo delle banche; esso assicura che l’attività aziendale sia in linea con le strategie e le politiche aziendali e sia improntata a canoni di sana e prudente gestione. La nuova normativa in tema di SCI fa leva su alcuni principi di fondo – maggior coinvolgimento dei Vertici aziendali – visione integrata e trasversale dei rischi e attenzione ai temi dell’efficienza e dell’efficacia dei controlli – la valorizzazione del principio di proporzionalità, con graduale applicazione delle norme in funzione della dimensione e della complessità operativa delle banche ■ Le principali novità introdotte dalla nuova normativa riguardano – i compiti degli Organi aziendali – la definizione del Risk Appetite Framework – il rafforzamento dei controlli di primo, secondo e terzo livello 2 Principali novità introdotte I compiti degli Organi aziendali ■ La nuova normativa ha delineato in maniera puntuale i compiti e le responsabilità degli Organi aziendali nella definizione del sistema dei controlli interni delle banche – All’Organo con Funzione di Supervisione Strategica spetta la definizione del modello di business, degli indirizzi strategici, dei livelli di rischio accettati e l’approvazione dei processi aziendali più rilevanti (es. approvazione nuovi prodotti/servizi) – All’Organo con Funzione di Gestione (cui spetta la gestione corrente della banca) è richiesto di attuare gli indirizzi strategici, avendo piena comprensione di tutti i rischi aziendali e delle loro interrelazioni BANCA POPOLARE DI BARI – All’Organo con Funzione di Controllo spetta, invece, il compito di vigilare sulla completezza, adeguatezza, funzionalità e affidabilità del sistema dei controlli interni e del RAF Modello Tradizionale Assemblea dei soci Legenda: elegge controlla Collegio Sindacale Organo con funzione di supervisione strategica Cda Organo con funzione di gestione Organo con funzione di controllo 3 Principali novità introdotte I compiti degli Organi aziendali ■ In coerenza anche con quanto previsto dal 1° aggiornamento della Circolare Bankit n. 285/2013 del 6 maggio 2014, si è proceduto alla revisione del Regolamento dei Comitati di Governance al fine di pervenire ad un quadro razionalizzato, maggiormente sinergico e proteso a favorire e ad efficientare il dibattito all’interno del Consiglio ■ I Comitati previsti sono 13 e si suddividono in – Comitato a livello degli Organi Amministrativi (endo-consiliari) – Comitati di Direzione – Organismi tecnico-specialistici – Comitati interfunzionali Focus Comitati endo-consiliari Assetti di Governance e Nomine Controlli Interni e Rischi Remunerazioni Comitato Pianif.ne Strategica 4 Parti Correlate Principali novità introdotte Il Risk Appetite Framework ■ Tra le principali novità introdotte, vi è l’obbligo per le banche di definire il Risk Appetite Framework (RAF), ossia quell’insieme di politiche, processi, controlli e sistemi che consente di stabilire, formalizzare, comunicare e monitorare gli obiettivi di rischio che una banca intende assumere ■ Il RAF è articolato in soglie e limiti di rischio che consentono di individuare, a priori, i livelli e le tipologie di rischio che una banca intende assumere, e individua i ruoli e le responsabilità di tutte le strutture aziendali coinvolte nel processo di gestione dei rischi ■ È richiesto che il RAF sia coerente con il piano strategico e con le risultanze del processo interno di autovalutazione dell’adeguatezza patrimoniale (c.d. ICAAP). Le disposizioni indicano il contenuto minimale del RAF, la cui articolazione dipende dalle dimensioni e dalla complessità operativa di ciascuna banca – Per declinare in concreto gli obiettivi e i limiti di rischio, in base alla tipologia (rischio di mercato piuttosto che rischio di non conformità) e alla natura (quantificabile o meno) del rischio, sono utilizzati sia parametri quantitativi, quali ad esempio misure di capitale e di liquidità, sia parametri qualitativi 5 Principali novità introdotte Il Risk Appetite Framework Quanto e quale rischio ho oggi ? Risk profile Rischio effettivamente assunto, misurato in un determinato istante temporale (rischio effettivo) Quanto e quale rischio voglio avere (obiettivo) ? Risk appetite Livello di rischio che la banca intende assumere per il conseguimento dei suoi obiettivi strategici (obiettivo di rischio o propensione al rischio) Quanto rischio al massimo posso avere ? Risk capacity Livello massimo di rischio che una banca è tecnicamente in grado di assumere senza violare i requisiti regolamentari o altri vincoli imposti dagli azionisti o dalla Autorità di Vigilanza (massimo rischio assumibile) Quanto posso e voglio scostarmi dal mio obiettivo di rischio ? Come faccio a raggiungere il mio obiettivo di rischio ? Risk tolerance Risk limits Devianza massima dal Risk Appetite consentita in modo da assicurare, anche in condizioni di stress, margini sufficienti per operare entro il massimo rischio assumibile (soglia di tolleranza) Articolazione degli obiettivi di rischio in limiti operativi, definiti per tipologia di rischio, unità e o linee di business, linee di prodotto, tipologia di clienti (limiti di rischio) 6 Principali novità introdotte Il Risk Appetite Framework del Gruppo Banca Popolare di Bari Area strategica Livello Redditività corretta per il rischio 1° Livello Capitale Interno e Patrimonio di Vigilanza Indicatore Risk Profile Utile Lordo / Requisiti I Pilastro Risk Appetite Risk Tolerance Risk Capacity > 10,0% > 7,0% > 5,0% Risultato lordo di gestione / RWA 1° Livello … Common Equity Ratio > 9,0% > 8,0% > 7,0% Tier 1 Ratio > 9,0% > 8,0% > 7,0% Total Capital Ratio > 11,0% > 10,5% > 10,0% Buffer di Capitale … ... … … … … < 2,0% < 2,5% < 3,0% Leverage Ratio 2° Livello Credit Spread Sens. AFS / PdV VaR di Mercato LCR Liquidità e Funding 1° Livello NSFR Buffer di Liquidità Raccolta / Impieghi Coverage performing loans Qualità creditizia degli asset 1° Livello … Coverage deteriorati Altre aree strategiche di rischio Delta PV (ICAAP) / PdV 1° Livello Concentr. credito (primi 10 Gruppi) Perdite operative / Margine Intermed. 7 Principali novità introdotte Il Risk Appetite Framework del Gruppo Banca Popolare di Bari Sviluppare e implementare il RAF Monitorare l’andamento del RAF Azioni correttive RUOLO DEL RISK MANAGEMENT RUOLO DELLA PIANIFICAZIONE e CdG Definizione metriche, coerenza complessiva e regolamentare, monitoraggio RAF statement Sviluppo del piano strategico e del budget secondo logiche risk based Sviluppare metriche di misurazione del rischio Sviluppare piano strategico e budget in coerenza con il RAF Stabilire le soglie di tolleranza, tenuto conto anche di scenari di stress test Incorporare il RAF nei processi decisionali (insieme ai diversi attori coinvolti) Garantire l’integrità metodologica Modificare / simulare impatti di variazione del RAF su strategia e obiettivi di ML periodo Monitorare e gestire il processo di reporting sul RAF statement Monitorare gli scostamenti dagli obiettivi strategici Presentare e comunicare al Board Individuazione azioni correttive 8 Principali novità introdotte Il rafforzamento dei controlli di primo, secondo e terzo livello (1/2) ■ La nuova disciplina pone molto rilievo sull’articolazione e sul corretto funzionamento dei controlli – Sono stati potenziati i requisiti alla base dei controlli di primo livello, che prevedono il coinvolgimento delle stesse unità di business – È stata rivista la disciplina delle funzioni aziendali responsabili dei controlli di secondo livello (Risk Management e Compliance) e di terzo livello (Internal Audit), con l’obiettivo di renderle più incisive e di assicurarne la vicinanza agli organi aziendali – È stata prestata massima attenzione al coordinamento dell’attività dei vari Organi e funzioni di controllo, in modo da sfruttarne le sinergie ed evitare lacune nei controlli; le banche devono predisporre un documento che formalizzi le modalità di coordinamento ■ Per assicurare l’indipendenza e l’autorevolezza del Risk Management, della Compliance e dell’Internal Audit, sono state previste rigorose procedure di nomina e di revoca dei responsabili, che coinvolgono gli organi aziendali. È richiesto che il personale addetto sia adeguato in termini quali - quantitativi; vengono richiesti presidi organizzativi per garantirne l’indipendenza dalle aree di business; sono delineate modalità di riporto, gerarchico e funzionale, verso gli Organi aziendali 9 Principali novità introdotte Il rafforzamento dei controlli di primo, secondo e terzo livello (2/2) ■ Il ruolo del responsabile del Risk Management (Chief Risk Officer - CRO) è stato significativamente ampliato. Al CRO sono, infatti, affidati – Compiti di ausilio all’Organo con funzione di supervisione strategica nella definizione del RAF, di monitoraggio nel continuo dell’andamento della rischiosità aziendale e il potere di vagliare preventivamente le operazioni di maggior rilievo con possibilità di attivare procedure di escalation verso l’esecutivo aziendale (c.d. potere di veto) – Al Risk Management è stato anche affidato un importante ruolo di verifica sul monitoraggio delle esposizioni creditizie, sui criteri di classificazione, sulla congruità degli accantonamenti e sul processo di recupero ■ Le disposizioni chiariscono che la funzione di Compliance assicura, secondo un approccio risk based, il presidio del rischio di non conformità con riferimento a tutte le norme applicabili alle banche – Il suo coinvolgimento è graduato in relazione al rilievo che le singole norme hanno per l’attività svolta, alle conseguenze della loro violazione e all’esistenza all’interno della banca di altre forme di presidio specializzato – È stato inoltre introdotto un riferimento esplicito al presidio del rischio di non conformità alla normativa fiscale Programmazione e rendicontazione dell’attività di controllo Operazioni di Maggiore Rilievo Principali novità normative Policy SCI Presidi specialistici di compliance Monitoraggio andamentale singole esposizioni creditizie 10 Principali novità introdotte Il rafforzamento dei controlli di primo, secondo e terzo livello in BPB CdA Internal Auditing Antiriciclaggio (Chief Internal Auditor) (Chief Anti-money laundering Offficer) Risk Management Compliance (Chief Risk Officer) (Chief Compliance Officer) ■ L’indipendenza e l’autorevolezza delle funzioni di controllo, dal punto di vista organizzativo, è assicurata attraverso il riporto diretto delle stesse al CdA ■ Principali caratteristiche delle funzioni di controllo – Accesso ai dati aziendali e informazioni esterne – Nessun coinvolgimento del personale delle funzioni di controllo nelle attività di business – Separatezza delle funzioni e formalizzazione di ruoli e responsabilità – Competenze trasversali da acquisire anche con programmi di rotazione tra funzioni aziendali di controllo – Risorse economiche eventualmente attivabili in autonomia – Le funzioni di controllo di secondo livello sono sottoposte a verifiche periodiche da parte dell’Internal Auditing 11 Principali novità introdotte Il rafforzamento dei controlli di primo, secondo e terzo livello in BPB L’analisi ex ante delle operazioni di maggior rilievo da parte della Funzione Risk Management consente da una lato una valutazione integrata rispetto a tutti i rischi e dall’altro la verifica della coerenza dell’operazione stessa rispetto al Risk Appetite Framework definito dal Gruppo Operazioni di Maggior Rilievo (OMR) Non sono considerate “operazioni di maggiore rilievo” quelle operazioni che rientrano nelle competenze del Consiglio di Amministrazione. Per tale tipologia di operazioni la Funzione Risk Management può essere chiamata dall’ Organo Amministrativo ad esprimere un parere consultivo, che integri le valutazioni già svolte nell’ambito dei Comitati Consiliari Definiti criteri quantitativi e qualitativi per l’individuazione delle OMR, in funzione della tipologia di operazione (es. affidamenti creditizi per cassa e firma, operazioni su ptf Held For Trading, su ptf AFS, esternalizzazioni) Opinion negativa da parte del Risk Mgt In caso di risk opinion negativa rilasciata dalla Funzione Risk Management, la Banca ha facoltà di procedere ugualmente all’approvazione dell’operazione. Spetta al Consiglio di Amministrazione esaminare le operazioni di maggiore rilievo oggetto di risk opinion negativa e, se del caso, di autorizzarle, sentito il parere del Comitato Controlli Interni e Rischi 12 Principali novità introdotte Il rafforzamento dei controlli di primo, secondo e terzo livello in BPB ■ È richiesto che la Funzione di Controllo dei Rischi svolga un’attività di «verifica del corretto svolgimento del monitoraggio andamentale sulle singole esposizioni, in particolare di quelle deteriorate e la valutazione della coerenza delle classificazioni, della congruità degli accantonamenti e dell’adeguatezza del processo di recupero» Monitoraggio andamentale sulle singole esposizioni in BPB Gli ambiti di applicazione (sia bonis che non performing) Le fasi del processo Applicazione diagnostico dei controlli Approvazione degli interventi Classificazione delle posizioni Analisi dei risultati e verifiche a campione Provisioning Discussione e condivisione piano interventi Processo di recupero 13 Principali novità introdotte Il rafforzamento dei controlli di primo, secondo e terzo livello in BPB ■ Ampliamento del perimetro normativo di competenza della Funzione Compliance (ora esteso a tutte le normative impattanti sull’operatività dell’Istituto e del Gruppo, seppur con differente livello di profondità in base al rischio ed alla rilevanza) – L’impianto adottato (“modello misto”) prevede che alcune normative “core” (es. trasparenza, MiFID, usura) siano a diretto presidio della Funzione mentre altre siano presidiate “indirettamente” per il tramite delle c.d. unità di presidio specialistico (UPS) ■ Le Funzioni Aziendali di Controllo si sono altresì attivate al fine di adempiere alle richieste della Banca d’Italia in tema di rendicontazione periodica (c.d. Tableau de bord), da sottoporre trimestralmente agli Organi aziendali e, successivamente, da trasmettere tempestivamente alla stessa Vigilanza 14 Verso il Single Supervisory Mechanism La ripartizione dei compiti tra BCE e Banche Centrali Locali SUPERVISIONE BANCHE “SIGNIFICANT” SUPERVISIONE BANCHE “LESS SIGNIFICANT” Vigilanza effettuata direttamente da team misti della BCE (JST, joint supervisory team) Vigilanza effettuata direttamente da team delle Banche Centrali Locali, nel rispetto di linee guida predisposte dalla BCE Vigilanza armonizzata su base europea in quanto ad intensità della supervisione e a metodologie applicate Le Banche Centrali Locali saranno costantemente aggiornate dalla BCE relativamente ai trend di settore e/o criticità riscontrate La BCE, alla luce del grande patrimonio informativo, potrà effettuare comparazioni fra differenti peer che operano in differenti Stati Membri La BCE potrà avocare a sé anche la responsabilità diretta su queste banche qualora ritenga che le Autorità Nazionali non siano in grado di garantire controlli efficaci Gruppo Banca Popolare di Bari 15 Verso il Single Supervisory Mechanism Principi di funzionamento Overview di funzionamento Classificazione iniziale Ciclo SREP Determinata dall’impatto sistemico dell’intermediario Vigilanza continua I rilievi degli ispettori e la vigilanza on- e off-site alimenteranno il ciclo di SREP successivo Processo di revisione e valutazione prudenziale: ciclo SREP Obiettivi dello SREP Fornire una valutazione oggettiva e coerente con il profilo di rischio dell’ente creditizio Strutturare il Supervisory Plan Porre in essere misure correttive Ambiti di analisi Business Model / Piano strategico Governance interna e Sistema dei controlli Rischi di capitale e adeguatezza del capitale Rischi di liquidità e adeguatezza della liquidità Frequenza SREP Monitoraggio indicatori: trimestrale Frequenza analisi SREP: da annuale a triennale Frequenza analisi overall SREP: annuale Approccio sostanziale e standardizzato della BCE, di tipo risk based e con limitate opzionalità di valutazione judgmental 16 GRAZIE PER L’ATTENZIONE AN.ZULLO@POPOLAREBARI.IT 17
© Copyright 2024 Paperzz