Evoluzione del SCI e del processo di gestione dei rischi nel Gruppo BPB

Transcript

1 Evoluzione del SCI e del processo di gestione dei rischi nel Gruppo BPB Antonio Zullo Chief Risk Officer Gruppo Banca Popolare di Bari 12 dicembre

2 Il sistema dei controlli interni La nuova normativa La crisi finanziaria ha messo fortemente alla prova la capacità delle banche di gestire efficacemente le diverse tipologie di rischio e di reagire prontamente a situazioni di criticità; in tale contesto, è emerso con chiarezza che assetti di governo efficienti e funzioni di controllo autorevoli, attive ed indipendenti, consentono di evitare o limitare le perdite conseguenti a situazioni di crisi intense e diffuse Il Sistema dei Controlli Interni (SCI) è un elemento fondamentale del complessivo sistema di governo delle banche; esso assicura che l attività aziendale sia in linea con le strategie e le politiche aziendali e sia improntata a canoni di sana e prudente gestione. La nuova normativa in tema di SCI fa leva su alcuni principi di fondo maggior coinvolgimento dei Vertici aziendali visione integrata e trasversale dei rischi e attenzione ai temi dell efficienza e dell efficacia dei controlli la valorizzazione del principio di proporzionalità, con graduale applicazione delle norme in funzione della dimensione e della complessità operativa delle banche Le principali novità introdotte dalla nuova normativa riguardano i compiti degli Organi aziendali la definizione del Risk Appetite Framework il rafforzamento dei controlli di primo, secondo e terzo livello 2

3 I compiti degli Organi aziendali La nuova normativa ha delineato in maniera puntuale i compiti e le responsabilità degli Organi aziendali nella definizione del sistema dei controlli interni delle banche All Organo con Funzione di Supervisione Strategica spetta la definizione del modello di business, degli indirizzi strategici, dei livelli di rischio accettati e l approvazione dei processi aziendali più rilevanti (es. approvazione nuovi prodotti/servizi) All Organo con Funzione di Gestione (cui spetta la gestione corrente della banca) è richiesto di attuare gli indirizzi strategici, avendo piena comprensione di tutti i rischi aziendali e delle loro interrelazioni All Organo con Funzione di Controllo spetta, invece, il compito di vigilare sulla completezza, adeguatezza, funzionalità e affidabilità del sistema dei controlli interni e del RAF BANCA POPOLARE DI BARI Collegio Sindacale Modello Tradizionale Assemblea dei soci Cda Legenda: elegge controlla Organo con funzione di supervisione strategica Organo con funzione di gestione Organo con funzione di controllo 3

4 I compiti degli Organi aziendali In coerenza anche con quanto previsto dal 1 aggiornamento della Circolare Bankit n. 285/2013 del 6 maggio 2014, si è proceduto alla revisione del Regolamento dei Comitati di Governance al fine di pervenire ad un quadro razionalizzato, maggiormente sinergico e proteso a favorire e ad efficientare il dibattito all interno del Consiglio I Comitati previsti sono 13 e si suddividono in Comitato a livello degli Organi Amministrativi (endo-consiliari) Comitati di Direzione Organismi tecnico-specialistici Comitati interfunzionali Focus Comitati endo-consiliari Controlli Interni e Rischi Assetti di Governance e Nomine Comitato Pianif.ne Strategica Remunerazioni Parti Correlate 4

5 Il Risk Appetite Framework Tra le principali novità introdotte, vi è l obbligo per le banche di definire il Risk Appetite Framework (RAF), ossia quell insieme di politiche, processi, controlli e sistemi che consente di stabilire, formalizzare, comunicare e monitorare gli obiettivi di rischio che una banca intende assumere Il RAF è articolato in soglie e limiti di rischio che consentono di individuare, a priori, i livelli e le tipologie di rischio che una banca intende assumere, e individua i ruoli e le responsabilità di tutte le strutture aziendali coinvolte nel processo di gestione dei rischi È richiesto che il RAF sia coerente con il piano strategico e con le risultanze del processo interno di autovalutazione dell adeguatezza patrimoniale (c.d. ICAAP). Le disposizioni indicano il contenuto minimale del RAF, la cui articolazione dipende dalle dimensioni e dalla complessità operativa di ciascuna banca Per declinare in concreto gli obiettivi e i limiti di rischio, in base alla tipologia (rischio di mercato piuttosto che rischio di non conformità) e alla natura (quantificabile o meno) del rischio, sono utilizzati sia parametri quantitativi, quali ad esempio misure di capitale e di liquidità, sia parametri qualitativi 5

6 Il Risk Appetite Framework Quanto e quale rischio ho oggi? Risk profile Rischio effettivamente assunto, misurato in un determinato istante temporale (rischio effettivo) Quanto e quale rischio voglio avere (obiettivo)? Risk appetite Livello di rischio che la banca intende assumere per il conseguimento dei suoi obiettivi strategici (obiettivo di rischio o propensione al rischio) Quanto rischio al massimo posso avere? Risk capacity Livello massimo di rischio che una banca è tecnicamente in grado di assumere senza violare i requisiti regolamentari o altri vincoli imposti dagli azionisti o dalla Autorità di Vigilanza (massimo rischio assumibile) Quanto posso e voglio scostarmi dal mio obiettivo di rischio? Risk tolerance Devianza massima dal Risk Appetite consentita in modo da assicurare, anche in condizioni di stress, margini sufficienti per operare entro il massimo rischio assumibile (soglia di tolleranza) Come faccio a raggiungere il mio obiettivo di rischio? Risk limits Articolazione degli obiettivi di rischio in limiti operativi, definiti per tipologia di rischio, unità e o linee di business, linee di prodotto, tipologia di clienti (limiti di rischio) 6

7 Il Risk Appetite Framework del Gruppo Banca Popolare di Bari Area strategica Livello Indicatore Risk Profile Redditività corretta per il rischio Capitale Interno e Patrimonio di Vigilanza Liquidità e Funding Qualità creditizia degli asset Altre aree strategiche di rischio 1 Livello 1 Livello 2 Livello 1 Livello 1 Livello 1 Livello Risk Appetite Risk Tolerance Risk Capacity Utile Lordo / Requisiti I Pilastro > 10,0% > 7,0% > 5,0% Risultato lordo di gestione / RWA Common Equity Ratio > 9,0% > 8,0% > 7,0% Tier 1 Ratio > 9,0% > 8,0% > 7,0% Total Capital Ratio > 11,0% > 10,5% > 10,0% Buffer di Capitale... Leverage Ratio Credit Spread Sens. AFS / PdV VaR di Mercato LCR NSFR Buffer di Liquidità Raccolta / Impieghi Coverage performing loans Coverage deteriorati Delta PV (ICAAP) / PdV 7 Concentr. credito (primi 10 Gruppi) Perdite operative / Margine Intermed. < 2,0% < 2,5% < 3,0%

8 Il Risk Appetite Framework del Gruppo Banca Popolare di Bari RUOLO DEL RISK MANAGEMENT RUOLO DELLA PIANIFICAZIONE e CdG Definizione metriche, coerenza complessiva e regolamentare, monitoraggio RAF statement Sviluppo del piano strategico e del budget secondo logiche risk based Sviluppare e implementare il RAF Sviluppare metriche di misurazione del rischio Stabilire le soglie di tolleranza, tenuto conto anche di scenari di stress test Garantire l integrità metodologica Sviluppare piano strategico e budget in coerenza con il RAF Incorporare il RAF nei processi decisionali (insieme ai diversi attori coinvolti) Modificare / simulare impatti di variazione del RAF su strategia e obiettivi di ML periodo Monitorare l andamento del RAF Monitorare e gestire il processo di reporting sul RAF statement Presentare e comunicare al Board Monitorare gli scostamenti dagli obiettivi strategici Azioni correttive Individuazione azioni correttive 8

9 Il rafforzamento dei controlli di primo, secondo e terzo livello (1/2) La nuova disciplina pone molto rilievo sull articolazione e sul corretto funzionamento dei controlli Sono stati potenziati i requisiti alla base dei controlli di primo livello, che prevedono il coinvolgimento delle stesse unità di business È stata rivista la disciplina delle funzioni aziendali responsabili dei controlli di secondo livello (Risk Management e Compliance) e di terzo livello (Internal Audit), con l obiettivo di renderle più incisive e di assicurarne la vicinanza agli organi aziendali È stata prestata massima attenzione al coordinamento dell attività dei vari Organi e funzioni di controllo, in modo da sfruttarne le sinergie ed evitare lacune nei controlli; le banche devono predisporre un documento che formalizzi le modalità di coordinamento Per assicurare l indipendenza e l autorevolezza del Risk Management, della Compliance e dell Internal Audit, sono state previste rigorose procedure di nomina e di revoca dei responsabili, che coinvolgono gli organi aziendali. È richiesto che il personale addetto sia adeguato in termini quali - quantitativi; vengono richiesti presidi organizzativi per garantirne l indipendenza dalle aree di business; sono delineate modalità di riporto, gerarchico e funzionale, verso gli Organi aziendali 9

10 Il rafforzamento dei controlli di primo, secondo e terzo livello (2/2) Il ruolo del responsabile del Risk Management (Chief Risk Officer - CRO) è stato significativamente ampliato. Al CRO sono, infatti, affidati Compiti di ausilio all Organo con funzione di supervisione strategica nella definizione del RAF, di monitoraggio nel continuo dell andamento della rischiosità aziendale e il potere di vagliare preventivamente le operazioni di maggior rilievo con possibilità di attivare procedure di escalation verso l esecutivo aziendale (c.d. potere di veto) Al Risk Management è stato anche affidato un importante ruolo di verifica sul monitoraggio delle esposizioni creditizie, sui criteri di classificazione, sulla congruità degli accantonamenti e sul processo di recupero Le disposizioni chiariscono che la funzione di Compliance assicura, secondo un approccio risk based, il presidio del rischio di non conformità con riferimento a tutte le norme applicabili alle banche Il suo coinvolgimento è graduato in relazione al rilievo che le singole norme hanno per l attività svolta, alle conseguenze della loro violazione e all esistenza all interno della banca di altre forme di presidio specializzato È stato inoltre introdotto un riferimento esplicito al presidio del rischio di non conformità alla normativa fiscale Programmazione e rendicontazione dell attività di controllo Policy SCI Principali novità normative Operazioni di Maggiore Rilievo Presidi specialistici di compliance Monitoraggio andamentale singole esposizioni creditizie 10

11 Il rafforzamento dei controlli di primo, secondo e terzo livello in BPB CdA Internal Auditing (Chief Internal Auditor) Risk Management (Chief Risk Officer) Antiriciclaggio (Chief Anti-money laundering Offficer) Compliance (Chief Compliance Officer) L indipendenza e l autorevolezza delle funzioni di controllo, dal punto di vista organizzativo, è assicurata attraverso il riporto diretto delle stesse al CdA Principali caratteristiche delle funzioni di controllo Accesso ai dati aziendali e informazioni esterne Nessun coinvolgimento del personale delle funzioni di controllo nelle attività di business Separatezza delle funzioni e formalizzazione di ruoli e responsabilità Competenze trasversali da acquisire anche con programmi di rotazione tra funzioni aziendali di controllo Risorse economiche eventualmente attivabili in autonomia Le funzioni di controllo di secondo livello sono sottoposte a verifiche periodiche da parte dell Internal Auditing 11

12 Il rafforzamento dei controlli di primo, secondo e terzo livello in BPB L analisi ex ante delle operazioni di maggior rilievo da parte della Funzione Risk Management consente da una lato una valutazione integrata rispetto a tutti i rischi e dall altro la verifica della coerenza dell operazione stessa rispetto al Risk Appetite Framework definito dal Gruppo Operazioni di Maggior Rilievo (OMR) Non sono considerate operazioni di maggiore rilievo quelle operazioni che rientrano nelle competenze del Consiglio di Amministrazione. Per tale tipologia di operazioni la Funzione Risk Management può essere chiamata dall Organo Amministrativo ad esprimere un parere consultivo, che integri le valutazioni già svolte nell ambito dei Comitati Consiliari Definiti criteri quantitativi e qualitativi per l individuazione delle OMR, in funzione della tipologia di operazione (es. affidamenti creditizi per cassa e firma, operazioni su ptf Held For Trading, su ptf AFS, esternalizzazioni) Opinion negativa da parte del Risk Mgt In caso di risk opinion negativa rilasciata dalla Funzione Risk Management, la Banca ha facoltà di procedere ugualmente all approvazione dell operazione. Spetta al Consiglio di Amministrazione esaminare le operazioni di maggiore rilievo oggetto di risk opinion negativa e, se del caso, di autorizzarle, sentito il parere del Comitato Controlli Interni e Rischi 12

13 Il rafforzamento dei controlli di primo, secondo e terzo livello in BPB È richiesto che la Funzione di Controllo dei Rischi svolga un attività di «verifica del corretto svolgimento del monitoraggio andamentale sulle singole esposizioni, in particolare di quelle deteriorate e la valutazione della coerenza delle classificazioni, della congruità degli accantonamenti e dell adeguatezza del processo di recupero» Monitoraggio andamentale sulle singole esposizioni in BPB Le fasi del processo Applicazione diagnostico dei controlli Approvazione degli interventi Analisi dei risultati e verifiche a campione Discussione e condivisione piano interventi Gli ambiti di applicazione (sia bonis che non performing) Classificazione delle posizioni Provisioning Processo di recupero 13

14 Il rafforzamento dei controlli di primo, secondo e terzo livello in BPB Ampliamento del perimetro normativo di competenza della Funzione Compliance (ora esteso a tutte le normative impattanti sull operatività dell Istituto e del Gruppo, seppur con differente livello di profondità in base al rischio ed alla rilevanza) L impianto adottato ( modello misto ) prevede che alcune normative core (es. trasparenza, MiFID, usura) siano a diretto presidio della Funzione mentre altre siano presidiate indirettamente per il tramite delle c.d. unità di presidio specialistico (UPS) Le Funzioni Aziendali di Controllo si sono altresì attivate al fine di adempiere alle richieste della Banca d Italia in tema di rendicontazione periodica (c.d. Tableau de bord), da sottoporre trimestralmente agli Organi aziendali e, successivamente, da trasmettere tempestivamente alla stessa Vigilanza 14

15 Verso il Single Supervisory Mechanism La ripartizione dei compiti tra BCE e Banche Centrali Locali SUPERVISIONE BANCHE SIGNIFICANT Vigilanza effettuata direttamente da team misti della BCE (JST, joint supervisory team) Vigilanza armonizzata su base europea in quanto ad intensità della supervisione e a metodologie applicate La BCE, alla luce del grande patrimonio informativo, potrà effettuare comparazioni fra differenti peer che operano in differenti Stati Membri SUPERVISIONE BANCHE LESS SIGNIFICANT Vigilanza effettuata direttamente da team delle Banche Centrali Locali, nel rispetto di linee guida predisposte dalla BCE Le Banche Centrali Locali saranno costantemente aggiornate dalla BCE relativamente ai trend di settore e/o criticità riscontrate La BCE potrà avocare a sé anche la responsabilità diretta su queste banche qualora ritenga che le Autorità Nazionali non siano in grado di garantire controlli efficaci Gruppo Banca Popolare di Bari 15

16 Verso il Single Supervisory Mechanism Principi di funzionamento Overview di funzionamento Classificazione iniziale Ciclo SREP Vigilanza continua Determinata dall impatto sistemico dell intermediario I rilievi degli ispettori e la vigilanza on- e off-site alimenteranno il ciclo di SREP successivo Processo di revisione e valutazione prudenziale: ciclo SREP Obiettivi dello SREP Ambiti di analisi Frequenza SREP Fornire una valutazione oggettiva e coerente con il profilo di rischio dell ente creditizio Strutturare il Supervisory Plan Porre in essere misure correttive Business Model / Piano strategico Governance interna e Sistema dei controlli Rischi di capitale e adeguatezza del capitale Rischi di liquidità e adeguatezza della liquidità Monitoraggio indicatori: trimestrale Frequenza analisi SREP: da annuale a triennale Frequenza analisi overall SREP: annuale Approccio sostanziale e standardizzato della BCE, di tipo risk based e con limitate opzionalità di valutazione judgmental 16

17 GRAZIE PER L ATTENZIONE AN.ZULLO@POPOLAREBARI.IT 17