Progetto Basilea 2 REGOLAMENTO DEL PROCESSO INTERNO DI VALUTAZIONE DELL ADEGUATEZZA PATRIMONIALE ATTUALE E PROSPETTICA (ICAAP) Approvato dal Consiglio di Amministrazione il 06/12/2013
INDICE 1. PREMESSA... 3 2. RUOLO DEGLI ORGANI DI GOVERNO E CONTROLLO... 7 2.1 Consiglio di Amministrazione... 7 2.2 Direzione Generale... 9 2.3 Collegio Sindacale... 11 3. ARTICOLAZIONE DEL PROCESSO ICAAP... 12 3.1 Le fasi del processo ICAAP... 12 3.1.1 Dichiarazione della propensione al rischio... 12 3.1.2 Individuazione dei rischi da sottoporre a valutazione... 12 3.1.3 Misurazione/valutazione dei singoli rischi e del relativo capitale interno... 13 3.1.4 Determinazione del capitale interno complessivo... 14 3.1.5 Determinazione del capitale complessivo e riconciliazione con il Patrimonio di Vigilanza... 14 3.1.6 Valutazione dell adeguatezza patrimoniale... 14 3.2 Le attività del processo ICAAP... 17 3.2.1 Dichiarazione della propensione al rischio... 17 3.2.2 Individuazione dei rischi da sottoporre a valutazione... 18 3.2.3 Misurazione/valutazione dei singoli rischi e del relativo capitale interno... 20 3.2.4 Determinazione del capitale interno complessivo... 23 3.2.5 Determinazione del capitale complessivo e riconciliazione con il Patrimonio di Vigilanza... 24 3.2.6 Valutazione dell adeguatezza patrimoniale... 24 4. RUOLI E RESPONSABILITÀ DELLE FUNZIONI AZIENDALI NEL PROCESSO ICAAP... 29 2
1. PREMESSA La Circolare 263/06 della Banca d Italia, coerentemente con quanto stabilito dalla Direttiva 2006/48/CE che ha recepito nell ordinamento comunitario il Nuovo Accordo sul Capitale (c.d. Basilea 2), si articola in tre Pilastri relativi a: (I) determinazione dei requisiti patrimoniali minimi; (II) processo di controllo prudenziale; e (III) informativa al pubblico. In particolare, il Il Pilastro della nuova disciplina prudenziale disegna un processo di controllo prudenziale articolato in due fasi integrate. La prima fase ICAAP (Internal Capital Adequacy Assessment Process) richiede che le banche svolgano un autonoma valutazione della propria adeguatezza patrimoniale, attuale e prospettica, in relazione ai rischi ai quali sono esposte e alle proprie scelte strategiche. La seconda fase SREP (Supervisory Review and Evaluation Process), di pertinenza della Vigilanza, prevede il riesame di tale processo e la formulazione di un giudizio complessivo sulle banche stesse. Il processo ICAAP, in particolare, ha l obiettivo di far verificare alle banche l adeguatezza del proprio capitale rispetto all esposizione ai rischi che ne caratterizzano l operatività. Per conseguire tale obiettivo, conformemente al principio di proporzionalità che informa tutta la disciplina del processo di controllo prudenziale, è necessario, in generale, predisporre un solido sistema di governo societario, dotarsi di un idonea e chiaramente definita struttura organizzativa, definire e implementare processi per un efficace identificazione, gestione, monitoraggio e segnalazione dei rischi e disporre di adeguati meccanismi di controllo interno. In tale ambito, il presente Regolamento definisce i principi guida, i ruoli e le responsabilità delle funzioni organizzative coinvolte nel processo interno di determinazione dell adeguatezza patrimoniale. Il suo principale obiettivo consiste, quindi, nell assicurare la regolare ed efficace esecuzione delle attività di valutazione del capitale complessivo relativamente alla sua adeguatezza, attuale e prospettica, in relazione ai rischi assunti e alle strategie aziendali. La Circolare 263/06 con il proposito di circoscrivere con chiarezza i concetti alla base del dialogo tra la Vigilanza e gli intermediari in materia di adeguatezza patrimoniale, fornisce le seguenti definizioni per indicare i requisiti di capitale calcolati internamente (a fronte del singolo rischio o a livello complessivo) e le risorse patrimoniali utilizzate per la copertura dei singoli rischi o di tutte le esigenze aziendali: capitale interno: il capitale a rischio, ovvero il fabbisogno di capitale relativo ad un determinato rischio che la banca ritiene necessario per coprire le perdite eccedenti un dato livello atteso; 3
capitale interno complessivo: il capitale interno riferito a tutti i rischi rilevanti assunti dalla banca incluse le eventuali eccedenze di capitale interno dovute a considerazioni di carattere strategico; capitale e capitale complessivo: gli elementi patrimoniali che la banca ritiene possano essere utilizzati rispettivamente a copertura del capitale interno e del capitale interno complessivo. Con riferimento alla richiamata nuova regolamentazione prudenziale, la Banca, esercitando la facoltà prevista dalla Direttiva 2006/48/CE del 14 giugno 2006 (art.152, paragrafo 8), ha optato per il mantenimento del previgente regime prudenziale fino al 31 dicembre 2007; pertanto le nuove disposizioni di vigilanza prudenziale si applicano a partire dal 1 gennaio 2008. In proposito, sulla base di un accurata analisi costi/benefici, tenuto conto delle proprie caratteristiche organizzative e operative nonché dei requisiti quantitativi ed organizzativi richiesti per l adozione di metodologie più avanzate e in attuazione dei principi di proporzionalità e gradualità che informano la nuova disciplina prudenziale, la Banca ha deliberato di adottare, almeno inizialmente, l applicazione di metodologie standardizzate relativamente alla determinazione del requisito prudenziale a fronte dei rischi di Primo Pilastro. In considerazione di tale aspetto ed avendo un attivo inferiore ai 3,5 miliardi di euro, la Banca rientra fra i soggetti di classe 3, relativamente ai quali la normativa indica specifici approcci semplificati. Partendo da tali premesse, la Banca intende avvalersi delle metodologie semplificate indicate dalla Vigilanza per la misurazione e valutazione dei rischi di Secondo Pilastro e per le prove di stress da condurre; il principio di proporzionalità previsto dalla nuova disciplina è applicato anche in sede di redazione della rendicontazione sull ICAAP resa alla Banca d Italia. Il presente Regolamento - che è approvato dal Consiglio di Amministrazione e costituisce, con riguardo all ICAAP, l'indirizzo cui il Direttore Generale della Banca dovrà attenersi per l emanazione delle relative disposizioni attuative - si inquadra all interno dell approccio progettuale adottato per il disegno, l implementazione e la gestione del processo interno di valutazione dell adeguatezza patrimoniale di Basilea 2. In tale ambito, è parte integrante del quadro di riferimento relativo all insieme dei presidi (politiche, processi, disposizioni interne, ) predisposti per il governo dei rischi. L applicazione di tutti i cennati presidi si incardina nell ambito del complessivo Sistema dei Controlli Interni della Banca, configurato sulla base dei livelli di controllo definiti dall Organo di Vigilanza: o I livello: 4
- Controlli di Linea sono effettuati dalle stesse strutture produttive che hanno posto in essere le operazioni o incorporati nelle procedure. I Controlli di Linea sono diretti ad assicurare il corretto svolgimento delle operazioni; o II livello: Valutazione dei Rischi condotte a cura di strutture diverse da quelle produttive, con il compito di definire le metodologie di misurazione dei rischi, di verificare il rispetto dei limiti assegnati alle varie funzioni operative e di controllare la coerenza dell operatività delle singole aree produttive con gli obiettivi di rischio/rendimento, quantificando il grado di esposizione ai rischi e gli eventuali impatti economici; Funzione di Conformità: esternalizzata alla Federazione Lazio Umbria e Sardegna: funzione indipendente di controllo di secondo livello, costituita con il compito specifico di promuovere il rispetto delle leggi, delle norme, dei codici interni di comportamento per minimizzare il rischio di non conformità normativa e i rischi reputazionali a questo collegati, coadiuvando, per gli aspetti di competenza, nella realizzazione del modello aziendale di monitoraggio e gestione dei rischi; o III livello: - Revisione Interna a cura dell Internal Auditing, esternalizzato alla Federazione Lazio Umbria e Sardegna, con la responsabilità di valutare l adeguatezza e la funzionalità del complessivo Sistema dei Controlli Interni. Tale attività è condotta sulla base del piano annuale delle attività di auditing approvato dal Consiglio di Amministrazione o attraverso verifiche puntuali sull operatività delle funzioni coinvolte, richieste in corso d anno. La Direzione Generale cura la supervisione dei processi di gestione dei rischi, riportando in proposito al Consiglio di Amministrazione, e ha, in tale ambito, il compito di coadiuvarlo nelle eventuali attività di modifica o aggiornamento delle Politiche, generali e specifiche, di gestione dei rischi. In tali attività la Direzione Generale é supportata dal Comitato di Direzione/Rischi e dalle funzioni aziendali che concorrono alla gestione dei rischi. Il presente Regolamento è strutturato nelle seguenti sezioni: o Ruolo degli organi di governo e controllo, in cui sono delineate le responsabilità degli organi aziendali in relazione al processo ICAAP. o Articolazione del processo ICAAP, in cui è delineato il flusso delle attività necessarie al completamento dello stesso, indicando i relativi responsabili ed i risultati intermedi e finale. La sezione è suddivisa in una prima parte di inquadramento e una seconda di dettaglio: 5
1) le fasi del processo ICAAP; 2) le attività del processo ICAAP. o Ruoli e responsabilità delle funzioni aziendali nel processo ICAAP, in cui sono schematicamente presentate le principali responsabilità assegnate agli organi e alle funzioni aziendali in relazione a ciascuna delle fasi del processo ICAAP. o Flussi informativi, in cui sono schematicamente rappresentati i flussi informativi destinati agli organi e alle funzioni aziendali in relazione al funzionamento del processo ICAAP. o Allegati: Normativa interna di riferimento per la gestione dei rischi; Sintesi delle Metodologie per la misurazione dei rischi e l esecuzione degli stress test; Modello di riferimento del processo di controllo prudenziale. La Direzione Generale è responsabile della manutenzione del presente Regolamento (in attuazione e sulla base dell evoluzione delle decisioni assunte, in materia di disegno, implementazione e gestione del processo interno di valutazione dell adeguatezza del capitale, dal Consiglio di Amministrazione). All uopo comunica alla funzione organizzativa designata dalla Banca la necessità di aggiornare il Regolamento e i relativi allegati. La funzione Organizzazione di concerto con la funzione di conformità è responsabile dell effettuazione dell aggiornamento del Regolamento stesso in stretto accordo con la Funzione di Conformità e con la Funzione di Risk Controlling. Tali ultime funzioni curano, in accordo con la funzione Organizzazione, la conformità del Regolamento alla normativa interna ed esterna di riferimento e all evoluzione operativa della Banca. La funzione Organizzazione è chiamata a verificare l aggiornamento del presente Regolamento almeno con cadenza annuale. 6
2. RUOLO DEGLI ORGANI DI GOVERNO E CONTROLLO Nelle disposizioni emanate dalla Banca d Italia con la Circolare 263/06 non si fa riferimento ad organi aziendali nominativamente individuati ma, piuttosto, a funzioni quali quelle di supervisione strategica, di gestione e di controllo. Con l obiettivo di definire puntualmente i diversi compiti e le connesse responsabilità, la menzionata normativa introduce una distinzione tra organi con funzioni di supervisione strategica, organi con funzioni di gestione e organi con funzione di controllo, distinzione, questa, che deve essere valutata e inquadrata in base all attuale attribuzione delle competenze prevista nello statuto della Banca. Pur nella consapevolezza che l identificazione delle funzioni sopra richiamate rispetto all articolazione delle competenze dei diversi organi della Banca renderà opportuni prossimi approfondimenti in considerazione delle Istruzioni di Vigilanza sul governo societario di recente emanazione, si ritiene che, ai fini della Circolare 263/06, sia la funzione di supervisione strategica sia quella di gestione siano attualmente incardinate nel Consiglio di Amministrazione della Banca. Con riferimento alla funzione di gestione si segnala un attiva partecipazione anche della Direzione Generale in virtù dell assegnazione alla stessa di deleghe esecutive. Con riguardo all organo con funzione di controllo, lo stesso va identificato con il Collegio Sindacale. Tale ripartizione delle citate funzioni è, peraltro, contemplata dalla stessa Circolare 263/06 (Tit. I, Cap. 1, Parte quarta, par. 1, p. 23). Gli organi aziendali, come emerge chiaramente nel corpo del Regolamento, svolgono congiuntamente un ruolo di indirizzo, attuazione e controllo del complessivo processo ICAAP, costituendone il fondamento e realizzandone l impianto. 2.1 Consiglio di Amministrazione Il Consiglio di Amministrazione è responsabile del Sistema dei Controlli Interni e, pertanto, nell ambito della governance dei rischi, è responsabile della definizione, approvazione e revisione degli orientamenti strategici e delle linee guida di gestione dei rischi, nonché degli indirizzi per la loro applicazione e supervisione. Nell ambito del processo di valutazione dell adeguatezza del capitale interno complessivo disciplinato dalla Circolare Banca d Italia 263/06, il Consiglio di Amministrazione: o formula la dichiarazione della propensione al rischio complessiva della Banca; o definisce e approva il processo per la determinazione del capitale complessivo adeguato in termini attuali e prospettici a fronteggiare tutti rischi rilevanti; 7
o assicura l aggiornamento tempestivo di tale processo in relazione a modifiche significative delle linee strategiche, dell assetto organizzativo o del contesto operativo di riferimento; o promuove il pieno utilizzo delle risultanze dell ICAAP a fini strategici e nelle decisioni d impresa. In particolare, con specifico riferimento ai rischi contemplati nell ambito del Secondo Pilastro della nuova disciplina prudenziale, il Consiglio di Amministrazione: o individua e approva gli orientamenti strategici e le politiche di gestione dei rischi (generali e specifiche) nonché gli indirizzi per la loro applicazione e supervisione; individua e approva le eventuali modifiche o aggiornamenti delle stesse; o verifica che la Direzione Generale definisca l assetto dei controlli interni (strutture organizzative, regole e procedure) in modo coerente con la propensione al rischio stabilita, anche con riferimento all indipendenza ed adeguatezza delle funzioni di controllo dei rischi; o assicura che i compiti e le responsabilità siano definiti in modo chiaro ed appropriato, con particolare riguardo ai meccanismi di delega; o individua i limiti operativi e i relativi meccanismi di monitoraggio e controllo, coerentemente con il profilo di rischio accettato; o approva le modalità, definite dalle Funzioni competenti, attraverso le quali le diverse tipologie di rischi sono rilevati, analizzati e misurati/valutati e provvede al riesame periodico delle stesse al fine di assicurarne l efficacia nel tempo; o nel caso emergano carenze o anomalie, promuove con tempestività idonee misure correttive; o assicura che venga definito un sistema di flussi informativi in materia di gestione e controllo dei rischi, volto a consentire la piena conoscenza e governabilità degli stessi, accurato, completo e tempestivo; o assicura l affidabilità, la completezza e l efficacia funzionale dei sistemi informativi, che costituiscono un elemento fondamentale per assicurare una corretta e puntuale gestione dei rischi. Nell ambito del processo ICAAP, il Consiglio di Amministrazione, nel rispetto delle tempistiche di seguito indicate: o approva, in fase di definizione dell intero processo, le responsabilità delle unità organizzative aziendali da coinvolgere nell ICAAP; o approva l elenco che dettaglia le tipologie di rischi significativi individuati; 8
o approva, con frequenza annuale, i piani di fabbisogno di capitale predisposti, in stretto raccordo con la funzione all uopo designata, previa determinazione del capitale interno complessivo; o delibera, su proposta della Direzione Generale, eventuali misure correttive straordinarie volte all aumento della capitalizzazione della Banca, qualora dall attività di riconciliazione emerga l insufficienza del capitale complessivo a fronte dei fabbisogni di capitale interno complessivo; o in sede di prima applicazione del processo ICAAP, e ogni qualvolta intervengano cambiamenti rilevanti nelle modalità di determinazione del capitale interno a fronte dei singoli rischi, delibera a seguito delle valutazioni condotte dalle competenti funzioni aziendali - in merito all approvazione dell impianto ICAAP complessivo; o valuta, con periodicità individuata sulla base delle stesse disposizioni prudenziali, l adeguatezza dell ICAAP; o delibera, sulla base delle risultanze prodotte in fase di autovalutazione dell ICAAP, eventuali misure correttive in tema di ruoli e responsabilità del processo, procedure sottostanti, modalità di rilevazione, analisi, misurazione/valutazione e controllo/mitigazione dei rischi e dei presidi patrimoniali a fronte degli stessi; o delibera, annualmente, sulla base del termine previsto dalle stesse disposizioni prudenziali l approvazione del Resoconto ICAAP da inviare alla Banca d Italia. Nelle attività sopra riportate, il Consiglio di Amministrazione viene supportato operativamente dalla Direzione Generale. 2.2 Direzione Generale La Direzione Generale é responsabile dell attuazione degli orientamenti strategici e delle linee guida definiti dal Consiglio di Amministrazione cui riporta direttamente in proposito. In tale ambito, è responsabile della definizione, implementazione e supervisione di un efficace sistema di gestione e controllo dei rischi. Con riferimento all ICAAP, la Direzione Generale dà attuazione al processo stesso, curando che lo stesso sia rispondente agli indirizzi strategici e alle politiche in materia di gestione dei rischi definiti dal Consiglio di Amministrazione e che soddisfi i seguenti requisiti: o consideri tutti i rischi rilevanti; o incorpori valutazioni prospettiche; o utilizzi appropriate metodologie; 9
o sia conosciuto e condiviso dalle strutture interne; o sia adeguatamente formalizzato e documentato (assicurando la formalizzazione e la documentazione delle fasi del processo di identificazione, misurazione/valutazione, gestione e controllo dei rischi); o individui i ruoli e le responsabilità assegnate alle funzioni e alle strutture aziendali (evitando potenziali conflitti di interesse); o sia affidato a risorse adeguate per qualità e quantità e dotate dell autorità necessaria a far rispettare la pianificazione (assegnando le mansioni a personale qualificato, con adeguato grado di autonomia di giudizio ed in possesso di esperienze e conoscenze proporzionate ai compiti da svolgere); o sia parte integrante dell attività gestionale. In tale contesto, la Direzione Generale nell ambito delle deleghe alla stessa attribuite è responsabile di: o supportare il Consiglio di Amministrazione nelle definizione delle strategie di esposizione ai rischi; o analizzare le tematiche afferenti tutti i rischi aziendali ai fini di definire e mantenere aggiornate le politiche, generali e specifiche, di gestione, controllo e mitigazione dei rischi; o definire i processi di gestione, controllo e mitigazione dei rischi, individuando compiti e responsabilità delle strutture coinvolte; o istituire e mantenere un efficace sistema di gestione, controllo e mitigazione dei rischi; o definire l assetto dei controlli interni (strutture organizzative, regole e procedure) in modo coerente con la propensione al rischio stabilita, anche con riferimento all indipendenza e adeguatezza delle funzioni di controllo dei rischi; o verificare nel continuo la funzionalità, l efficienza e l efficacia del sistema di gestione e controllo dei rischi provvedendo al suo adeguamento in relazione ad eventuali anomalie riscontrate, ai cambiamenti del contesto di riferimento esterno o interno o derivanti dell introduzione di nuovi prodotti, attività o processi rilevanti; o definire i criteri del sistema di reporting direzionale e verso le funzioni di controllo interno, individuandone finalità, periodicità e funzioni responsabili; o assicurare che le unità organizzative competenti definiscano ed applichino metodologie e strumenti adeguati per l analisi, la misurazione/valutazione ed il controllo/mitigazione dei rischi individuati; o coordinare, con il supporto del Comitato di Direzione/Rischi, le attività delle unità organizzative coinvolte nella gestione, valutazione e controllo dei singoli rischi; 10
o curare l affidabilità, la completezza e l efficacia funzionale dei sistemi informativi; o riportare al Consiglio di Amministrazione ed al Collegio Sindacale sull andamento dei rischi e su eventuali anomalie relative ad aspetti organizzativi ed operativi. 2.3 Collegio Sindacale Nell ambito del proprio ruolo istituzionale, il Collegio Sindacale vigila sull adeguatezza e sulla rispondenza dell intero processo ICAAP e del sistema di gestione e controllo dei rischi ai requisiti stabiliti dalla normativa. Per lo svolgimento delle proprie funzioni, il Collegio Sindacale si avvale delle evidenze e delle segnalazioni delle funzioni di controllo (Internal Auditing, Funzione di Conformità, Risk Controlling). Nell effettuare il controllo il Collegio Sindacale valuta le eventuali anomalie che siano sintomatiche di disfunzioni degli organi responsabili. Con specifico riferimento al processo ICAAP, il Collegio Sindacale: o riceve e analizza le politiche, generali e specifiche, definite e approvate dal Consiglio di Amministrazione per la gestione dei rischi proponendone l eventuale modifica o aggiornamento; o supporta il Consiglio di Amministrazione nella periodica valutazione del processo; o valuta il grado di efficienza e di adeguatezza del sistema dei controlli interni, con particolare riguardo al controllo dei rischi, al funzionamento dell Internal Auditing e delle altre funzioni di controllo aziendali, al sistema informativo contabile; o analizza i flussi informativi messi a disposizione da parte degli altri organi aziendali e delle funzioni di controllo interno; o formula osservazioni e proposte agli organi competenti, qualora nell ambito delle attività di verifica delle procedure operative e di riscontro rilevi che i relativi assetti richiedano modifiche non marginali. 11
3. ARTICOLAZIONE DEL PROCESSO ICAAP Di seguito sono illustrati gli aspetti organizzativi, definiti in coerenza con le indicazioni fornite dalla citata disciplina, necessari a garantire il presidio dell ICAAP da parte della Banca. Nella prima parte del capitolo si fornisce un inquadramento generale del processo ICAAP, elencandone le fasi ed i relativi obiettivi; nella seconda parte, si descrivono in dettaglio le attività in cui si articola ciascuna fase, indicando le unità organizzative responsabili, la periodicità di svolgimento delle stesse e gli strumenti a supporto. 3.1 Le fasi del processo ICAAP L ICAAP può essere articolato in specifiche fasi, individuate anche a livello regolamentare, delle quali sono responsabili diverse unità organizzative della Banca. Nell Allegato 1 al presente Regolamento, Modello di riferimento del processo di controllo prudenziale è riportato lo schema di sintesi del processo. Di seguito, si riportano le sei principali fasi del processo ICAAP ed i relativi obiettivi. 3.1.1 Dichiarazione della propensione al rischio In questa fase la banca dichiara, coerentemente con la mission aziendale e lo statuto, la propria propensione al rischio in termini complessivi, sia qualitativamente, sia quantitativamente, identificando opportuni indicatori di sorveglianza, vincolandoli sia alle soglie regolamentari, sia eventualmente a valori più prudenziali. 3.1.2 Individuazione dei rischi da sottoporre a valutazione Tale fase è finalizzata all identificazione, in maniera strutturata, di tutti i rischi che potrebbero ostacolare o limitare la Banca nel pieno raggiungimento dei propri obiettivi strategici e, pertanto, da sottoporre a misurazione o valutazione. Può essere declinata nella: 12
- identificazione dei rischi ai quali la Banca risulta esposta rispetto all operatività e ai mercati di riferimento nonché ai fattori di contesto derivanti dalla propria natura cooperativa; - individuazione, per ciascuna tipologia di rischio identificata, delle relative fonti di generazione (ad esempio, portafogli, unità operative, condizioni di mercato), delle strutture responsabili della gestione, degli strumenti e delle metodologie a presidio della loro misurazione e gestione. La fase in argomento guida tutti i successivi step del processo permettendo di gestire e controllare i rischi identificati. Al fine di individuare i rischi rilevanti, la Banca, durante le attività di assessment, prende in considerazione almeno tutti i rischi contenuti nell elenco di cui all Allegato A della Circolare 263/06 1. Tale elenco viene ampliato durante l analisi al fine di meglio comprendere e riflettere il business e l operatività aziendale. 3.1.3 Misurazione/valutazione dei singoli rischi e del relativo capitale interno Tale fase è finalizzata al calcolo del capitale interno, applicando le metodologie definite e mediante l utilizzo di strumenti dedicati, per i rischi di: o I Pilastro: credito, controparte, mercato, operativo; o II Pilastro: concentrazione, tasso d interesse sul portafoglio bancario; ed alla valutazione del rischio di liquidità sulla base delle linee guida in materia indicate dalla Circolare 263/06 e delle altre tipologie di rischio di II Pilastro difficilmente quantificabili (tra i quali, rischio residuo, rischio derivante da cartolarizzazione, rischio reputazionale e rischio strategico). Nello stesso contesto, tenuto conto delle indicazioni previste dalla citata disciplina prudenziale, sono definite ed eseguite prove di stress in termini di analisi di sensitività riguardo ai principali rischi assunti. I relativi risultati, opportunamente analizzati, conducono, tra l altro, ad una migliore valutazione dell esposizione della banca ai rischi stessi. 1 Cfr Allegato 3, Rischi di II Pilastro. 13
3.1.4 Determinazione del capitale interno complessivo Tale fase del processo ha come obiettivo l acquisizione dei singoli valori di assorbimento patrimoniale determinati a fronte di ciascuna classe di rischio e la loro aggregazione, secondo un approccio definito a building block, ai fini della determinazione del capitale interno complessivo. Rientra in tale fase del processo la valutazione dell esigenza di mantenere una porzione di capitale aggiuntivo, a sostegno di iniziative di carattere strategico. I relativi risultati vanno a confluire in una reportistica appositamente predisposta per l invio agli organi societari ed alle strutture aziendali interessate. 3.1.5 Determinazione del capitale complessivo e riconciliazione con il Patrimonio di Vigilanza L obiettivo di tale fase del processo ICAAP è determinare le componenti del capitale complessivo, riconciliandolo con la definizione di Patrimonio di Vigilanza. Pertanto: - sono individuate le componenti patrimoniali a copertura del capitale interno complessivo (capitale complessivo). - è effettuata la riconciliazione del capitale complessivo con l ammontare del Patrimonio di Vigilanza e formalizzate le motivazioni che hanno condotto all eventuale inclusione degli elementi patrimoniali non computabili nel Patrimonio di Vigilanza. 3.1.6 Valutazione dell adeguatezza patrimoniale L obiettivo di tale fase del processo ICAAP è verificare la copertura del fabbisogno di capitale interno complessivo con il capitale complessivo disponibile, riconciliato con il Patrimonio di Vigilanza. Qualora si rilevi un fabbisogno di capitale interno eccedente il capitale complessivo disponibile gli organi aziendali vengono tempestivamente informati per l assunzione delle conseguenti iniziative. La normativa di vigilanza richiede, inoltre, lo svolgimento di alcune attività che consentono il completamento del processo ICAAP e sono volte a garantirne il corretto funzionamento. In particolare, la Banca pone in essere le attività di: o Auto-valutazione della solidità del processo per la determinazione del capitale interno: consiste in un analisi critica, volta ad identificare le aree del processo suscettibili di 14
miglioramento ed a pianificare i necessari interventi sul piano patrimoniale e/o organizzativo. Gli esiti di tale valutazione sono sottoposti all approvazione degli organi aziendali ed entrano a far parte della documentazione trasmessa alla Banca d Italia. L Auto-valutazione svolge una funzione particolarmente significativa nei primi anni di impianto del processo ICAAP, consentendone un progressivo affinamento nel tempo. o Revisione interna del processo ICAAP: la funzione di Internal Auditing esercita la propria attività di analisi e controllo del processo ICAAP nell ambito del normale piano di audit. L attività si sostanzia nell analisi dei flussi informativi provenienti e diretti agli organi e funzioni aziendali, nell individuazione di andamenti anomali, violazioni delle procedure e della regolamentazione e nella verifica dell attivazione degli interventi individuati. Gli esiti del lavoro di revisione interna sono formalizzati e sottoposti agli organi aziendali. o Analisi ed approvazione da parte degli organi societari: gli organi aziendali, oltre a fornire gli orientamenti strategici ed indicare le politiche di gestione del rischio, analizzano e approvano il modello organizzativo, le metodologie ed i sistemi utilizzati ai fini ICAAP, eventuali proposte per la copertura del fabbisogno di capitale, le linee strategiche per l evoluzione del business, attribuendo missione e responsabilità a ciascuna unità organizzative coinvolta. L analisi comprende, fra le altre cose, la documentazione relativa a: - classi di rischio cui la banca è esposta; - quantificazione o valutazione di ciascuna classe di rischio e del fabbisogno di capitale interno complessivo; - monitoraggio dei profili di manifestazione di tutte le classi di rischio e valutazione dell adeguatezza dei presidi inerenti. o Predisposizione della documentazione ICAAP: ai fini del completamento del processo ICAAP è necessario compendiare i documenti di dettaglio esistenti e predisporre annualmente un resoconto. Relativamente alle aree informative dello stesso per le quali sono disponibili già documenti che forniscono le relative informazioni, è sufficiente fare rinvio alla documentazione esistente senza predisporre documenti appositi ai fini di rendicontazione sull ICAAP. Il resoconto deve essere condiviso con le strutture aziendali interessate e sottoposto all approvazione del Consiglio di Amministrazione. Gli output attesi per ogni singola fase all interno del processo, gestito annualmente in maniera iterativa e continuativa, costituiscono gli input della fase immediatamente successiva. In particolare, i rischi identificati come significativi nell assessment svolto nella prima fase costituiscono 15
la base relativamente alla quale viene impostata l attività di misurazione o valutazione dei singoli rischi e del relativo capitale interno. Il Capitale interno rilevato a fronte dei singoli rischi costituisce la base sulla quale viene impostata l attività di misurazione, secondo il già cennato schema a building block, del Capitale interno complessivo. A copertura del Capitale interno complessivo, in linea con quanto previsto dalla citata disciplina prudenziale, la Banca determina il Capitale complessivo e procede alla riconciliazione dello stesso con il Patrimonio di Vigilanza. Tutti gli output previsti nelle attività precedenti costituiscono, infine, il presupposto dell informativa alla Banca d Italia formalizzata nel rendiconto annuale ICAAP. Il documento di autovalutazione del processo ICAAP, allegato al Rendiconto cennato, redatto nell anno t precedente, costituisce un supporto all impostazione dell ICAAP nell anno t+1. In tale ottica, le attività di aggiornamento a regime, prendono in considerazione anche quei rischi che, identificati inizialmente come non significativi, sono diventati rilevanti a seguito dell attivazione di nuove attività o servizi. 16
3.2 Le attività del processo ICAAP Nel seguito del documento, per ciascuna fase del processo ICAAP, sono illustrate le principali attività, i relativi responsabili, le informazioni e gli strumenti necessari per il loro svolgimento ed i connessi risultati. 3.2.1 Dichiarazione della propensione al rischio Il Consiglio di Amministrazione è responsabile della dichiarazione della propensione al rischio della banca, in coerenza con lo statuto e la mission aziendale. Tale fase del processo ICAAP si compone delle seguenti attività: o dichiarazione di propensione al rischio complessivo qualitativo; o scelta degli indicatori da utilizzare per il monitoraggio della propensione al rischio complessiva; o determinazione / revisione delle soglie di attenzione da attribuire a ciascun indicatore. La dichiarazione della propensione al rischio complessivo qualitativo è un attività svolta una tantum dal Consiglio di Amministrazione, formalizzata tramite delibera, non soggetta a variazione, a meno di modifiche nello statuto, nella mission aziendale o per scelte strategiche. Gli indicatori da utilizzare per il monitoraggio dell aderenza dell operatività della banca alla propensione al rischio complessivo dichiarata sono proposti dal.risk Controlling. Possono essere variati e/o incrementati nel tempo, su proposta del Risk Controlling e approvati dal Consiglio di Amministrazione. Analogamente, il Risk Controlling propone, dopo un esame di serie storiche opportunamente approfondite, le soglie di attenzione da associare a ciascun indicatore utilizzato. I livelli delle soglie sono approvati dal Consiglio di Amministrazione e rimangono in vigore fino a quando non se ne rilevi l esigenza di una revisione, proposta sempre dal Risk Controlling. 17
3.2.2 Individuazione dei rischi da sottoporre a valutazione Il Risk Controlling è responsabile dell individuazione dei rischi rilevanti per la banca e delle relative fonti di generazione. Nello svolgimento di tale attività tiene conto: o del contesto normativo di riferimento; o dell operatività della banca in termini di prodotti e mercati di riferimento; o delle specificità dell esercizio dell attività bancaria nel contesto del Credito Cooperativo; o degli obiettivi strategici della banca, definiti dal Consiglio di Amministrazione, utili per individuare gli eventuali rischi prospettici. Ai fini dell esecuzione di tali compiti il Risk Controlling si avvale della collaborazione di altre funzioni aziendali, attraverso interviste dirette ai responsabili o tramite l attivazione di un tavolo di lavoro dedicato. Nello svolgimento delle proprie valutazioni il Risk Controlling, per ogni tipologia di rischio, elabora ed utilizza una o più delle seguenti fonti informative: o indicatori di rilevanza, definiti distintamente per le diverse tipologie di rischio - nelle politiche e procedure interne alla banca; o assessment qualitativi sulla significatività dei rischi, condotti con le Unità di Business anche sulla base delle evidenze emerse dagli indicatori; o analisi qualitativa del grado di rilevanza effettuata sulla base dell impatto potenziale e della probabilità di accadimento. I dati necessari al calcolo degli indicatori di rilevanza sono messi a disposizione dalle Unità di Business, volta per volta competenti. I risultati delle analisi e valutazioni condotte sono discussi e condivisi con le Unità di Business titolari dei singoli rischi. Il Risk Controlling elabora un evidenza sintetica del grado di rilevanza di tutte le tipologie di rischi cui la banca è esposta, utile all identificazione di quelli verso i quali devono essere posti in essere adeguati presidi patrimoniali e/o organizzativi, nonché definite le connesse priorità di intervento. 18
Gli indicatori hanno lo scopo ulteriore di fornire un indicazione gestionale dell esposizione della banca ad un determinato rischio e possono, pertanto, essere utilizzati anche, nelle fasi successive del processo, per: o riscontrare l opportunità di integrare il capitale determinato a fronte dei rischi misurabili con una porzione aggiuntiva; o monitorare i profili di manifestazione dei rischi sia oggetto di quantificazione sia non quantificabili; o valutare l esposizione aziendale ai rischi non facilmente quantificabili. L elenco dei rischi individuati come rilevanti per la banca deve essere riscontrato con l elenco riveniente dalla circolare 263/06 di Banca d Italia. Il confronto ha l obiettivo di: o verificare la completezza dell elenco interno, rispetto all elenco minimo regolamentare; o motivare l eventuale assenza nell elenco interno di alcuni dei rischi menzionati dalla Circolare 263/06; o motivare l eventuale presenza nell elenco interno di rischi non menzionati dalla Circolare 263/06. Il risultato dell attività è costituito dall elencazione dei rischi che impattano sull operatività aziendale e delle relative fonti. Nell individuazione delle fonti dei rischi, il Risk Controlling identifica anche le strutture più adatte alla gestione di ciascuna classe di rischio in quanto detentrici delle relative informazioni. La mappa dei rischi e dei relativi attributi viene definita in sede di prima applicazione del processo ICAAP ed è oggetto di manutenzione nel tempo, sottoponendola ad un riesame critico almeno una volta l anno in occasione della stesura del resoconto ICAAP per la Banca d Italia, ovvero ogniqualvolta subentri una significativa variazione del contesto operativo o del mercato di riferimento della banca. Il documento finale, risultante dalle attività sopra descritte, viene sottoposto all approvazione del Consiglio di Amministrazione e portato a conoscenza di tutte le strutture operative che possono essere direttamente o indirettamente interessate. 19
3.2.3 Misurazione/valutazione dei singoli rischi e del relativo capitale interno Con riferimento all elenco dei rischi significativi individuato nella fase precedente, il Risk Controlling, tenuto conto della natura di ciascuno di essi e della disponibilità da parte della banca di metodologie e competenze adeguate per determinare il relativo capitale interno, classifica gli stessi in rischi quantificabili e in rischi difficilmente quantificabili da assoggettare ad opportuni sistemi di attenuazione e controllo. Il Risk Controlling associa, quindi, a ciascuno dei rischi le metodologie e gli strumenti da utilizzare ai fini della loro quantificazione o valutazione qualitativa, o definiti nelle politiche e procedure interne della banca. L elenco viene sottoposto all approvazione preventiva della Direzione Generale che assegna formalmente, ove ritenuto necessario, le relative responsabilità alle strutture. Ai fini della misurazione/valutazione dei singoli rischi e del relativo capitale interno, il Risk Controlling, in collaborazione con le Unità di Business coinvolte secondo le responsabilità individuate, procura i dati necessari ad alimentare i modelli e gli strumenti individuati per ciascun rischio. Sulla base delle indicazioni fornite dalla Circolare 263/06, ai fini ICAAP la determinazione del capitale interno a fronte dei rischi contemplati dal I Pilastro è effettuata secondo le medesime metodologie regolamentari. Il Risk Controlling, in collaborazione con le Unità di Business coinvolte secondo le responsabilità individuate, è responsabile dell effettuazione del calcolo, secondo le metodologie definite dal Consiglio di Amministrazione ai fini regolamentari, del capitale interno attuale per i rischi definiti nel Primo Pilastro della nuova disciplina prudenziale: o rischio di credito; o rischio di controparte; o rischio di mercato; o rischio operativo Con gli strumenti ed i dati disponibili e sulla base delle metodologie adottate dal Consiglio di Amministrazione, tenuto conto delle indicazioni fornite dalla Circolare 263/06, il Risk Controlling, in stretto raccordo con le Unità di Business coinvolte secondo le responsabilità individuate, procede alla quantificazione del capitale interno attuale anche a fronte degli altri rischi misurabili (ossia di quelli 20
diversi da quelli contemplati dal I Pilastro) tra i quali, perlomeno, il rischio di concentrazione e il rischio di tasso d interesse sul portafoglio bancario. Al fine di determinare le misure di capitale interno prospettico per ciascuno dei rischi misurabili, il Risk Controlling, in stretto raccordo con le Unità di Business coinvolte secondo le responsabilità individuate, effettua i medesimi calcoli sopra menzionati definendo le ipotesi di base in funzione delle informazioni derivanti dal processo di budget e di pianificazione strategica, reperendo i dati ed approntando gli strumenti/ambienti da utilizzare. L ottica previsionale di tale calcolo tiene conto della prevedibile evoluzione dei rischi e dell operatività in un lasso temporale che porti fino alla conclusione dell esercizio in corso al momento del calcolo. I dati di budget utilizzati devono essere coerenti con le assunzioni effettuate in sede di definizione della pianificazione strategica. Per il calcolo relativo al rischio di credito, il Risk Controlling, in collaborazione con il responsabile dell Area Crediti, stabilisce se è necessario effettuare anche una specifica valutazione della dinamica evolutiva delle insolvenze. Con riguardo ai rischi rilevanti che risultano difficilmente quantificabili, il Risk Controlling provvede alla relativa valutazione alla luce del grado di rischio determinato sulla base degli indicatori di rilevanza (già oggetto di precedente definizione) e dei presidi interni di controllo e mitigazione. In particolare, il Risk Controlling utilizza gli indicatori di rischio calcolati nonché gli elementi utilizzati per l analisi qualitativa del grado di rilevanza dei rischi (funzione dell impatto potenziale e della probabilità di accadimento relativi) ed effettua direttamente il risk assessment, con il supporto delle Unità di business coinvolte, esprimendo il valore del rischio residuo aziendale attraverso: l individuazione delle attività aziendali che possono originare ogni singola tipologia di tali rischi; le azioni volte a ridurre la probabilità di accadimento degli eventi dannosi, definite sulla base della struttura dei controlli inerenti (di linea e di II livello) e del modello di reporting relativo. Con l obiettivo di affinare la valutazione dell esposizione ai rischi identificati dal Consiglio di Amministrazione come maggiormente rilevanti, il Risk Controlling, con il supporto delle Unità di Business, predispone specifiche prove di stress sulla determinazione del capitale interno attuale e prospettico, in applicazione delle metodologie specificamente individuate dal Consiglio di Amministrazione, definendo le ipotesi di base, reperendo i dati relativi ed approntando gli strumenti e 21
ambienti da utilizzare. Le relative tecniche di conduzione sono oggetto di illustrazione nel rendiconto ICAAP. Le prove di stress, in considerazione della posizione assunta dalla Banca rispetto alle indicazioni fornite dalle Istruzioni di Vigilanza per le banche di Classe 3, vengono effettuate con riguardo ai seguenti rischi: o rischio di credito; o rischio di concentrazione del portafoglio crediti; o rischio di tasso di interesse sul portafoglio bancario. Per effettuare le prove di stress su questi ultimi due rischi la Banca fa riferimento alle metodologie semplificate illustrate negli Allegati B e C alla Circ.263/06 della Banca d Italia. Con particolare riferimento al rischio di liquidità, in considerazione delle pecurialità del rischio stesso e delle esigenze di dare attuazione a un adeguato sistema di attenuazione e controllo, il Consiglio di Amministrazione ha deliberato il documento Politiche per la gestione del rischio di liquidità che persegue la finalità di formalizzare e modellizzare il processo di gestione e controllo della liquidità attribuendo le specifiche responsabilità in materia. In attuazione di tale modello il Risk Controlling effettua prove di stress anche per quest ultimo rischio, in aggiunta a quelle sopra citate, avvalendosi della metodologia appositamente sviluppata e delineata nell ambito della richiamata disposizione interna della banca. Nel caso in cui dai risultati degli stress test si evidenzi l inadeguatezza dei presidi di natura diversa posti in essere a fronte dei rischi stessi, viene valutata l opportunità di adottare appropriate misure organizzative e/o di integrare con un ulteriore quota l ammontare di capitale stimato a ulteriore presidio. Analogamente, per i rischi difficilmente quantificabili, i risultati del risk self assessment sopra richiamato oltre a supportare l individuazione di criticità e problematiche legate ai connessi rischi, se ritenuti particolarmente significativi possono condurre alla definizione di presidi organizzativi e/o di una porzione di capitale interno (capital buffer). Il risultato finale di tali calcoli, incluse le prove di stress, è costituito dalle singole misure di capitale interno a fronte di tutti i rischi rilevanti per la banca, in ottica attuale e prospettica, e come tale costituisce l elemento di partenza per la determinazione del capitale interno complessivo. Tali risultati sono discussi e condivisi dal Risk Controlling, ai fini della approvazione preventiva degli stessi, con la Direzione Generale. 22
Ai fini dell adeguato monitoraggio e gestione dei profili di manifestazione di ogni singola tipologia di rischio significativo individuato, le Unità di business titolari, sotto il coordinamento e la supervisione del Risk Controlling, elaborano e analizzano gli indicatori di rilevanza dei rischi definiti dal Consiglio di Amministrazione e specificati nelle politiche di gestione dei rischi stessi o nei regolamenti di processo inerenti. Tale attività viene effettuata con cadenza coerente con le caratteristiche dei rischi stessi e comunque almeno su base trimestrale. Il Risk Controlling valuta i risultati ottenuti dall elaborazione degli indicatori ed eventualmente, in caso di valori particolarmente significativi e anche con riferimento ai rischi misurabili, propone, in un ottica estremamente prudenziale la definizione di presidi organizzativi e/o di un ulteriore quota di capitale interno a fronte dei rischi. In ogni caso verifica che venga sfruttata la valenza gestionale delle informazioni ricavate per monitorare i rischi ed eventualmente individuare e avviare le azioni di mitigazione degli stessi. 3.2.4 Determinazione del capitale interno complessivo Il Risk Controlling è responsabile della quantificazione del capitale interno complessivo in ottica sia attuale sia prospettica. La determinazione del capitale interno complessivo è effettuata aggregando i requisiti patrimoniali dei rischi di I Pilastro con i capitali interni dei rischi di II Pilastro, misurati nella fase precedente, secondo un approccio building block semplificato, come indicato dalla normativa per le banche di Classe 3. L approccio building block consiste nella somma algebrica dei singoli capitali interni per addivenire al capitale interno complessivo. Il Risk Controlling effettua separatamente il calcolo per la determinazione del capitale interno complessivo attuale e prospettico e verifica la coerenza con il piano strategico, con lo specifico obiettivo di accertarsi che l impatto sul fabbisogno di capitale derivante da eventuali operazioni straordinarie sia correttamente valutato. Parimenti, attraverso l analisi dei flussi netti di cassa attesi - anche in scenari avversi -, verifica la coerenza del piano strategico con l obiettivo di garantire una gestione sana, prudente ed equilibrata della liquidità della banca. In tale contesto viene determinata anche l eventuale misura aggiuntiva di capitale a sostegno di iniziative di natura mutualistica o puramente strategica. 23
3.2.5 Determinazione del capitale complessivo e riconciliazione con il Patrimonio di Vigilanza L Area Amministrazione Bilancio e Segnalazioni predispone le informazioni contabili e di vigilanza per la determinazione della struttura del capitale complessivo in ottica attuale e prospettica e determina, in stretto raccordo con il Risk Controlling, l ammontare del capitale complessivo individuando gli elementi patrimoniali che ritiene più appropriati per la copertura del capitale interno complessivo in ottica attuale e prospettica. A tale proposito, tenuto conto anche delle specificità normative e operative della banca in materia, il Patrimonio di Vigilanza costituisce l aggregato principale di riferimento in quanto oltre a rappresentare un archetipo dettato da prassi consolidate e condivise, agevola la dialettica con l Organo di Vigilanza relativamente a tale fase del ICAAP. Infine, procede alla riconciliazione del capitale complessivo con il patrimonio di vigilanza, individuando, fra gli elementi patrimoniali ritenuti appropriati per la copertura del capitale interno, le poste riconducibili al patrimonio di vigilanza. Individua, inoltre, separatamente le poste non riconducibili, ma utilizzate a fronte del capitale interno complessivo; per queste ultime procede ad un adeguata formalizzazione delle motivazioni che hanno condotto alla loro inclusione. 3.2.6 Valutazione dell adeguatezza patrimoniale Il Risk Controlling effettua il raffronto fra il capitale interno complessivo ed il capitale complessivo separatamente in ottica attuale e prospettica e, in caso di scostamenti: o identifica, di concerto con le unità di business interessate, le azioni correttive da intraprendere; o stima gli oneri connessi con il reperimento di eventuali risorse patrimoniali aggiuntive rispetto a quelle correnti o a quelle già pianificate; o informa prontamente il Direttore Generale, e per esso il CdA, sugli scostamenti, relazionandolo in merito alle possibili soluzioni. 24