Regolamento ICAAP - Banca di Cagliari
Transcript
Regolamento ICAAP - Banca di Cagliari
Progetto Basilea 2 REGOLAMENTO DEL PROCESSO INTERNO DI VALUTAZIONE DELL’ADEGUATEZZA PATRIMONIALE ATTUALE E PROSPETTICA (ICAAP) Approvato dal Consiglio di Amministrazione il 06/12/2013 INDICE 1. 2. PREMESSA........................................................................................................................ 3 RUOLO DEGLI ORGANI DI GOVERNO E CONTROLLO.............................................. 7 2.1 Consiglio di Amministrazione ......................................................................................... 7 2.2 Direzione Generale .......................................................................................................... 9 2.3 Collegio Sindacale.......................................................................................................... 11 3. ARTICOLAZIONE DEL PROCESSO ICAAP.................................................................. 12 3.1 Le fasi del processo ICAAP........................................................................................... 12 3.1.1 Dichiarazione della propensione al rischio ............................................................ 12 3.1.2 Individuazione dei rischi da sottoporre a valutazione............................................. 12 3.1.3 Misurazione/valutazione dei singoli rischi e del relativo capitale interno............... 13 3.1.4 Determinazione del capitale interno complessivo .................................................. 14 3.1.5 Determinazione del capitale complessivo e riconciliazione con il Patrimonio di Vigilanza ....................................................................................................................... 14 3.1.6 Valutazione dell’adeguatezza patrimoniale............................................................ 14 3.2 Le attività del processo ICAAP........................................................................................ 17 3.2.1 Dichiarazione della propensione al rischio ............................................................ 17 3.2.2 Individuazione dei rischi da sottoporre a valutazione............................................. 18 3.2.3 Misurazione/valutazione dei singoli rischi e del relativo capitale interno............... 20 3.2.4 Determinazione del capitale interno complessivo .................................................. 23 3.2.5 Determinazione del capitale complessivo e riconciliazione con il Patrimonio di Vigilanza ....................................................................................................................... 24 3.2.6 Valutazione dell’adeguatezza patrimoniale............................................................ 24 4. RUOLI E RESPONSABILITÀ DELLE FUNZIONI AZIENDALI NEL PROCESSO ICAAP ...................................................................................................................................... 29 2 1. PREMESSA La Circolare 263/06 della Banca d’Italia, coerentemente con quanto stabilito dalla Direttiva 2006/48/CE che ha recepito nell’ordinamento comunitario il Nuovo Accordo sul Capitale (c.d. Basilea 2), si articola in tre Pilastri relativi a: (I) determinazione dei requisiti patrimoniali minimi; (II) processo di controllo prudenziale; e (III) informativa al pubblico. In particolare, il Il Pilastro della nuova disciplina prudenziale “disegna” un processo di controllo prudenziale articolato in due fasi integrate. La prima fase ICAAP (Internal Capital Adequacy Assessment Process) richiede che le banche svolgano un’autonoma valutazione della propria adeguatezza patrimoniale, attuale e prospettica, in relazione ai rischi ai quali sono esposte e alle proprie scelte strategiche. La seconda fase SREP (Supervisory Review and Evaluation Process), di pertinenza della Vigilanza, prevede il riesame di tale processo e la formulazione di un giudizio complessivo sulle banche stesse. Il processo ICAAP, in particolare, ha l’obiettivo di far verificare alle banche l’adeguatezza del proprio capitale rispetto all’esposizione ai rischi che ne caratterizzano l’operatività. Per conseguire tale obiettivo, conformemente al principio di proporzionalità che informa tutta la disciplina del processo di controllo prudenziale, è necessario, in generale, predisporre un solido sistema di governo societario, dotarsi di un’idonea e chiaramente definita struttura organizzativa, definire e implementare processi per un’efficace identificazione, gestione, monitoraggio e segnalazione dei rischi e disporre di adeguati meccanismi di controllo interno. In tale ambito, il presente Regolamento definisce i principi guida, i ruoli e le responsabilità delle funzioni organizzative coinvolte nel processo interno di determinazione dell’adeguatezza patrimoniale. Il suo principale obiettivo consiste, quindi, nell’assicurare la regolare ed efficace esecuzione delle attività di valutazione del capitale complessivo relativamente alla sua adeguatezza, attuale e prospettica, in relazione ai rischi assunti e alle strategie aziendali. La Circolare 263/06 con il proposito di circoscrivere con chiarezza i concetti alla base del dialogo tra la Vigilanza e gli intermediari in materia di adeguatezza patrimoniale, fornisce le seguenti definizioni per indicare i requisiti di capitale calcolati internamente (a fronte del singolo rischio o a livello complessivo) e le risorse patrimoniali utilizzate per la copertura dei singoli rischi o di tutte le esigenze aziendali: capitale interno: il capitale a rischio, ovvero il fabbisogno di capitale relativo ad un determinato rischio che la banca ritiene necessario per coprire le perdite eccedenti un dato livello atteso; 3 capitale interno complessivo: il capitale interno riferito a tutti i rischi rilevanti assunti dalla banca incluse le eventuali eccedenze di capitale interno dovute a considerazioni di carattere strategico; capitale e capitale complessivo: gli elementi patrimoniali che la banca ritiene possano essere utilizzati rispettivamente a copertura del capitale interno e del capitale interno complessivo. Con riferimento alla richiamata nuova regolamentazione prudenziale, la Banca, esercitando la facoltà prevista dalla Direttiva 2006/48/CE del 14 giugno 2006 (art.152, paragrafo 8), ha optato per il mantenimento del previgente regime prudenziale fino al 31 dicembre 2007; pertanto le nuove disposizioni di vigilanza prudenziale si applicano a partire dal 1° gennaio 2008. In proposito, sulla base di un’accurata analisi costi/benefici, tenuto conto delle proprie caratteristiche organizzative e operative nonché dei requisiti quantitativi ed organizzativi richiesti per l’adozione di metodologie più avanzate e in attuazione dei principi di proporzionalità e gradualità che informano la nuova disciplina prudenziale, la Banca ha deliberato di adottare, almeno inizialmente, l’applicazione di metodologie standardizzate relativamente alla determinazione del requisito prudenziale a fronte dei rischi di Primo Pilastro. In considerazione di tale aspetto ed avendo un attivo inferiore ai 3,5 miliardi di euro, la Banca rientra fra i soggetti di classe 3, relativamente ai quali la normativa indica specifici approcci semplificati. Partendo da tali premesse, la Banca intende avvalersi delle metodologie semplificate indicate dalla Vigilanza per la misurazione e valutazione dei rischi di Secondo Pilastro e per le prove di stress da condurre; il principio di proporzionalità previsto dalla nuova disciplina è applicato anche in sede di redazione della rendicontazione sull’ICAAP resa alla Banca d’Italia. Il presente Regolamento - che è approvato dal Consiglio di Amministrazione e costituisce, con riguardo all’ICAAP, l'indirizzo cui il Direttore Generale della Banca dovrà attenersi per l’emanazione delle relative “disposizioni attuative”- si inquadra all’interno dell’approccio progettuale adottato per il disegno, l’implementazione e la gestione del processo interno di valutazione dell’adeguatezza patrimoniale di Basilea 2. In tale ambito, è parte integrante del quadro di riferimento relativo all’insieme dei presidi (politiche, processi, disposizioni interne,…) predisposti per il governo dei rischi. L’applicazione di tutti i cennati presidi si incardina nell’ambito del complessivo Sistema dei Controlli Interni della Banca, configurato sulla base dei livelli di controllo definiti dall’Organo di Vigilanza: o I livello: 4 Controlli di Linea sono effettuati dalle stesse strutture produttive che hanno posto in - essere le operazioni o incorporati nelle procedure. I Controlli di Linea sono diretti ad assicurare il corretto svolgimento delle operazioni; o II livello: Valutazione dei Rischi condotte a cura di strutture diverse da quelle produttive, con il compito di definire le metodologie di misurazione dei rischi, di verificare il rispetto dei limiti assegnati alle varie funzioni operative e di controllare la coerenza dell’operatività delle singole aree produttive con gli obiettivi di rischio/rendimento, quantificando il grado di esposizione ai rischi e gli eventuali impatti economici; Funzione di Conformità: esternalizzata alla Federazione Lazio Umbria e Sardegna: funzione indipendente di controllo di secondo livello, costituita con il compito specifico di promuovere il rispetto delle leggi, delle norme, dei codici interni di comportamento per minimizzare il rischio di non conformità normativa e i rischi reputazionali a questo collegati, coadiuvando, per gli aspetti di competenza, nella realizzazione del modello aziendale di monitoraggio e gestione dei rischi; o III livello: - Revisione Interna a cura dell’Internal Auditing, esternalizzato alla Federazione Lazio Umbria e Sardegna, con la responsabilità di valutare l’adeguatezza e la funzionalità del complessivo Sistema dei Controlli Interni. Tale attività è condotta sulla base del piano annuale delle attività di auditing approvato dal Consiglio di Amministrazione o attraverso verifiche puntuali sull’operatività delle funzioni coinvolte, richieste in corso d’anno. La Direzione Generale cura la supervisione dei processi di gestione dei rischi, riportando in proposito al Consiglio di Amministrazione, e ha, in tale ambito, il compito di coadiuvarlo nelle eventuali attività di modifica o aggiornamento delle Politiche, generali e specifiche, di gestione dei rischi. In tali attività la Direzione Generale é supportata dal Comitato di Direzione/Rischi e dalle funzioni aziendali che concorrono alla gestione dei rischi. Il presente Regolamento è strutturato nelle seguenti sezioni: o Ruolo degli organi di governo e controllo, in cui sono delineate le responsabilità degli organi aziendali in relazione al processo ICAAP. o Articolazione del processo ICAAP, in cui è delineato il flusso delle attività necessarie al completamento dello stesso, indicando i relativi responsabili ed i risultati intermedi e finale. La sezione è suddivisa in una prima parte di inquadramento e una seconda di dettaglio: 5 1) le fasi del processo ICAAP; 2) le attività del processo ICAAP. o Ruoli e responsabilità delle funzioni aziendali nel processo ICAAP, in cui sono schematicamente presentate le principali responsabilità assegnate agli organi e alle funzioni aziendali in relazione a ciascuna delle fasi del processo ICAAP. o Flussi informativi, in cui sono schematicamente rappresentati i flussi informativi destinati agli organi e alle funzioni aziendali in relazione al funzionamento del processo ICAAP. o Allegati: Normativa interna di riferimento per la gestione dei rischi; Sintesi delle Metodologie per la misurazione dei rischi e l’esecuzione degli stress test; Modello di riferimento del processo di controllo prudenziale. La Direzione Generale è responsabile della manutenzione del presente Regolamento (in attuazione e sulla base dell’evoluzione delle decisioni assunte, in materia di disegno, implementazione e gestione del processo interno di valutazione dell’adeguatezza del capitale, dal Consiglio di Amministrazione). All’uopo comunica alla funzione organizzativa designata dalla Banca la necessità di aggiornare il Regolamento e i relativi allegati. La funzione Organizzazione di concerto con la funzione di conformità è responsabile dell’effettuazione dell’aggiornamento del Regolamento stesso in stretto accordo con la Funzione di Conformità e con la Funzione di Risk Controlling. Tali ultime funzioni curano, in accordo con la funzione Organizzazione, la conformità del Regolamento alla normativa interna ed esterna di riferimento e all’evoluzione operativa della Banca. La funzione Organizzazione è chiamata a verificare l’aggiornamento del presente Regolamento almeno con cadenza annuale. 6 2. RUOLO DEGLI ORGANI DI GOVERNO E CONTROLLO Nelle disposizioni emanate dalla Banca d’Italia con la Circolare 263/06 non si fa riferimento ad organi aziendali nominativamente individuati ma, piuttosto, a funzioni quali quelle di “supervisione strategica”, di “gestione” e di “controllo”. Con l’obiettivo di definire puntualmente i diversi compiti e le connesse responsabilità, la menzionata normativa introduce una distinzione tra “organi con funzioni di supervisione strategica”, “organi con funzioni di gestione” e “organi con funzione di controllo”, distinzione, questa, che deve essere valutata e inquadrata in base all’attuale attribuzione delle competenze prevista nello statuto della Banca. Pur nella consapevolezza che l’identificazione delle funzioni sopra richiamate rispetto all’articolazione delle competenze dei diversi organi della Banca renderà opportuni prossimi approfondimenti in considerazione delle Istruzioni di Vigilanza sul governo societario di recente emanazione, si ritiene che, ai fini della Circolare 263/06, sia la “funzione di supervisione strategica” sia quella “di gestione” siano attualmente incardinate nel Consiglio di Amministrazione della Banca. Con riferimento alla funzione “di gestione” si segnala un’attiva partecipazione anche della Direzione Generale in virtù dell’assegnazione alla stessa di deleghe esecutive. Con riguardo all’organo con “funzione di controllo”, lo stesso va identificato con il Collegio Sindacale. Tale ripartizione delle citate funzioni è, peraltro, contemplata dalla stessa Circolare 263/06 (Tit. I, Cap. 1, Parte quarta, par. 1, p. 23). Gli organi aziendali, come emerge chiaramente nel corpo del Regolamento, svolgono congiuntamente un ruolo di indirizzo, attuazione e controllo del complessivo processo ICAAP, costituendone il fondamento e realizzandone l’impianto. 2.1 Consiglio di Amministrazione Il Consiglio di Amministrazione è responsabile del Sistema dei Controlli Interni e, pertanto, nell’ambito della governance dei rischi, è responsabile della definizione, approvazione e revisione degli orientamenti strategici e delle linee guida di gestione dei rischi, nonché degli indirizzi per la loro applicazione e supervisione. Nell’ambito del processo di valutazione dell’adeguatezza del capitale interno complessivo disciplinato dalla Circolare Banca d’Italia 263/06, il Consiglio di Amministrazione: o formula la dichiarazione della propensione al rischio complessiva della Banca; o definisce e approva il processo per la determinazione del capitale complessivo adeguato in termini attuali e prospettici a fronteggiare tutti rischi rilevanti; 7 o assicura l’aggiornamento tempestivo di tale processo in relazione a modifiche significative delle linee strategiche, dell’assetto organizzativo o del contesto operativo di riferimento; o promuove il pieno utilizzo delle risultanze dell’ICAAP a fini strategici e nelle decisioni d’impresa. In particolare, con specifico riferimento ai rischi contemplati nell’ambito del Secondo Pilastro della nuova disciplina prudenziale, il Consiglio di Amministrazione: o individua e approva gli orientamenti strategici e le politiche di gestione dei rischi (generali e specifiche) nonché gli indirizzi per la loro applicazione e supervisione; individua e approva le eventuali modifiche o aggiornamenti delle stesse; o verifica che la Direzione Generale definisca l’assetto dei controlli interni (strutture organizzative, regole e procedure) in modo coerente con la propensione al rischio stabilita, anche con riferimento all’indipendenza ed adeguatezza delle funzioni di controllo dei rischi; o assicura che i compiti e le responsabilità siano definiti in modo chiaro ed appropriato, con particolare riguardo ai meccanismi di delega; o individua i limiti operativi e i relativi meccanismi di monitoraggio e controllo, coerentemente con il profilo di rischio accettato; o approva le modalità, definite dalle Funzioni competenti, attraverso le quali le diverse tipologie di rischi sono rilevati, analizzati e misurati/valutati e provvede al riesame periodico delle stesse al fine di assicurarne l’efficacia nel tempo; o nel caso emergano carenze o anomalie, promuove con tempestività idonee misure correttive; o assicura che venga definito un sistema di flussi informativi in materia di gestione e controllo dei rischi, volto a consentire la piena conoscenza e governabilità degli stessi, accurato, completo e tempestivo; o assicura l’affidabilità, la completezza e l’efficacia funzionale dei sistemi informativi, che costituiscono un elemento fondamentale per assicurare una corretta e puntuale gestione dei rischi. Nell’ambito del processo ICAAP, il Consiglio di Amministrazione, nel rispetto delle tempistiche di seguito indicate: o approva, in fase di definizione dell’intero processo, le responsabilità delle unità organizzative aziendali da coinvolgere nell’ICAAP; o approva l’elenco che dettaglia le tipologie di rischi significativi individuati; 8 o approva, con frequenza annuale, i piani di fabbisogno di capitale predisposti, in stretto raccordo con la funzione all’uopo designata , previa determinazione del capitale interno complessivo; o delibera, su proposta della Direzione Generale, eventuali misure correttive straordinarie volte all’aumento della capitalizzazione della Banca, qualora dall’attività di riconciliazione emerga l’insufficienza del capitale complessivo a fronte dei fabbisogni di capitale interno complessivo; o in sede di prima applicazione del processo ICAAP, e ogni qualvolta intervengano cambiamenti rilevanti nelle modalità di determinazione del capitale interno a fronte dei singoli rischi, delibera – a seguito delle valutazioni condotte dalle competenti funzioni aziendali - in merito all’approvazione dell’impianto ICAAP complessivo; o valuta, con periodicità individuata sulla base delle stesse disposizioni prudenziali, l’adeguatezza dell’ICAAP; o delibera, sulla base delle risultanze prodotte in fase di autovalutazione dell’ICAAP, eventuali misure correttive in tema di ruoli e responsabilità del processo, procedure sottostanti, modalità di rilevazione, analisi, misurazione/valutazione e controllo/mitigazione dei rischi e dei presidi patrimoniali a fronte degli stessi; o delibera, annualmente, sulla base del termine previsto dalle stesse disposizioni prudenziali l’approvazione del Resoconto ICAAP da inviare alla Banca d’Italia. Nelle attività sopra riportate, il Consiglio di Amministrazione viene supportato operativamente dalla Direzione Generale. 2.2 Direzione Generale La Direzione Generale é responsabile dell’attuazione degli orientamenti strategici e delle linee guida definiti dal Consiglio di Amministrazione cui riporta direttamente in proposito. In tale ambito, è responsabile della definizione, implementazione e supervisione di un efficace sistema di gestione e controllo dei rischi. Con riferimento all’ICAAP, la Direzione Generale dà attuazione al processo stesso, curando che lo stesso sia rispondente agli indirizzi strategici e alle politiche in materia di gestione dei rischi definiti dal Consiglio di Amministrazione e che soddisfi i seguenti requisiti: o consideri tutti i rischi rilevanti; o incorpori valutazioni prospettiche; o utilizzi appropriate metodologie; 9 o sia conosciuto e condiviso dalle strutture interne; o sia adeguatamente formalizzato e documentato (assicurando la formalizzazione e la documentazione delle fasi del processo di identificazione, misurazione/valutazione, gestione e controllo dei rischi); o individui i ruoli e le responsabilità assegnate alle funzioni e alle strutture aziendali (evitando potenziali conflitti di interesse); o sia affidato a risorse adeguate per qualità e quantità e dotate dell’autorità necessaria a far rispettare la pianificazione (assegnando le mansioni a personale qualificato, con adeguato grado di autonomia di giudizio ed in possesso di esperienze e conoscenze proporzionate ai compiti da svolgere); o sia parte integrante dell’attività gestionale. In tale contesto, la Direzione Generale nell’ambito delle deleghe alla stessa attribuite è responsabile di: o supportare il Consiglio di Amministrazione nelle definizione delle strategie di esposizione ai rischi; o analizzare le tematiche afferenti tutti i rischi aziendali ai fini di definire e mantenere aggiornate le politiche, generali e specifiche, di gestione, controllo e mitigazione dei rischi; o definire i processi di gestione, controllo e mitigazione dei rischi, individuando compiti e responsabilità delle strutture coinvolte; o istituire e mantenere un efficace sistema di gestione, controllo e mitigazione dei rischi; o definire l’assetto dei controlli interni (strutture organizzative, regole e procedure) in modo coerente con la propensione al rischio stabilita, anche con riferimento all’indipendenza e adeguatezza delle funzioni di controllo dei rischi; o verificare nel continuo la funzionalità, l’efficienza e l’efficacia del sistema di gestione e controllo dei rischi provvedendo al suo adeguamento in relazione ad eventuali anomalie riscontrate, ai cambiamenti del contesto di riferimento esterno o interno o derivanti dell’introduzione di nuovi prodotti, attività o processi rilevanti; o definire i criteri del sistema di reporting direzionale e verso le funzioni di controllo interno, individuandone finalità, periodicità e funzioni responsabili; o assicurare che le unità organizzative competenti definiscano ed applichino metodologie e strumenti adeguati per l’analisi, la misurazione/valutazione ed il controllo/mitigazione dei rischi individuati; o coordinare, con il supporto del Comitato di Direzione/Rischi, le attività delle unità organizzative coinvolte nella gestione, valutazione e controllo dei singoli rischi; 10 o curare l’affidabilità, la completezza e l’efficacia funzionale dei sistemi informativi; o riportare al Consiglio di Amministrazione ed al Collegio Sindacale sull’andamento dei rischi e su eventuali anomalie relative ad aspetti organizzativi ed operativi. 2.3 Collegio Sindacale Nell’ambito del proprio ruolo istituzionale, il Collegio Sindacale vigila sull’adeguatezza e sulla rispondenza dell’intero processo ICAAP e del sistema di gestione e controllo dei rischi ai requisiti stabiliti dalla normativa. Per lo svolgimento delle proprie funzioni, il Collegio Sindacale si avvale delle evidenze e delle segnalazioni delle funzioni di controllo (Internal Auditing, Funzione di Conformità, Risk Controlling). Nell’effettuare il controllo il Collegio Sindacale valuta le eventuali anomalie che siano sintomatiche di disfunzioni degli organi responsabili. Con specifico riferimento al processo ICAAP, il Collegio Sindacale: o riceve e analizza le politiche, generali e specifiche, definite e approvate dal Consiglio di Amministrazione per la gestione dei rischi proponendone l’eventuale modifica o aggiornamento; o supporta il Consiglio di Amministrazione nella periodica valutazione del processo; o valuta il grado di efficienza e di adeguatezza del sistema dei controlli interni, con particolare riguardo al controllo dei rischi, al funzionamento dell’Internal Auditing e delle altre funzioni di controllo aziendali, al sistema informativo – contabile; o analizza i flussi informativi messi a disposizione da parte degli altri organi aziendali e delle funzioni di controllo interno; o formula osservazioni e proposte agli organi competenti, qualora nell’ambito delle attività di verifica delle procedure operative e di riscontro rilevi che i relativi assetti richiedano modifiche non marginali. 11 3. ARTICOLAZIONE DEL PROCESSO ICAAP Di seguito sono illustrati gli aspetti organizzativi, definiti in coerenza con le indicazioni fornite dalla citata disciplina, necessari a garantire il presidio dell’ICAAP da parte della Banca. Nella prima parte del capitolo si fornisce un inquadramento generale del processo ICAAP, elencandone le fasi ed i relativi obiettivi; nella seconda parte, si descrivono in dettaglio le attività in cui si articola ciascuna fase, indicando le unità organizzative responsabili, la periodicità di svolgimento delle stesse e gli strumenti a supporto. 3.1 Le fasi del processo ICAAP L’ICAAP può essere articolato in specifiche fasi, individuate anche a livello regolamentare, delle quali sono responsabili diverse unità organizzative della Banca. Nell’Allegato 1 al presente Regolamento, “Modello di riferimento del processo di controllo prudenziale” è riportato lo schema di sintesi del processo. Di seguito, si riportano le sei principali fasi del processo ICAAP ed i relativi obiettivi. 3.1.1 Dichiarazione della propensione al rischio In questa fase la banca dichiara, coerentemente con la mission aziendale e lo statuto, la propria propensione al rischio in termini complessivi, sia qualitativamente, sia quantitativamente, identificando opportuni indicatori di sorveglianza, vincolandoli sia alle soglie regolamentari, sia eventualmente a valori più prudenziali. 3.1.2 Individuazione dei rischi da sottoporre a valutazione Tale fase è finalizzata all’identificazione, in maniera strutturata, di tutti i rischi che potrebbero ostacolare o limitare la Banca nel pieno raggiungimento dei propri obiettivi strategici e, pertanto, da sottoporre a misurazione o valutazione. Può essere declinata nella: 12 - identificazione dei rischi ai quali la Banca risulta esposta rispetto all’operatività e ai mercati di riferimento nonché ai fattori di contesto derivanti dalla propria natura cooperativa; - individuazione, per ciascuna tipologia di rischio identificata, delle relative fonti di generazione (ad esempio, portafogli, unità operative, condizioni di mercato), delle strutture responsabili della gestione, degli strumenti e delle metodologie a presidio della loro misurazione e gestione. La fase in argomento guida tutti i successivi step del processo permettendo di gestire e controllare i rischi identificati. Al fine di individuare i rischi rilevanti, la Banca, durante le attività di assessment, prende in considerazione almeno tutti i rischi contenuti nell’elenco di cui all’Allegato A della Circolare 263/061. Tale elenco viene ampliato durante l’analisi al fine di meglio comprendere e riflettere il business e l’operatività aziendale. 3.1.3 Misurazione/valutazione dei singoli rischi e del relativo capitale interno Tale fase è finalizzata al calcolo del capitale interno, applicando le metodologie definite e mediante l’utilizzo di strumenti dedicati, per i rischi di: o I Pilastro: credito, controparte, mercato, operativo; o II Pilastro: concentrazione, tasso d’interesse sul portafoglio bancario; ed alla valutazione del rischio di liquidità – sulla base delle linee guida in materia indicate dalla Circolare 263/06 – e delle altre tipologie di rischio di II Pilastro difficilmente quantificabili (tra i quali, rischio residuo, rischio derivante da cartolarizzazione, rischio reputazionale e rischio strategico). Nello stesso contesto, tenuto conto delle indicazioni previste dalla citata disciplina prudenziale, sono definite ed eseguite prove di stress in termini di analisi di sensitività riguardo ai principali rischi assunti. I relativi risultati, opportunamente analizzati, conducono, tra l’altro, ad una migliore valutazione dell’esposizione della banca ai rischi stessi. 1 Cfr Allegato 3, Rischi di II Pilastro. 13 3.1.4 Determinazione del capitale interno complessivo Tale fase del processo ha come obiettivo l’acquisizione dei singoli valori di assorbimento patrimoniale determinati a fronte di ciascuna classe di rischio e la loro aggregazione, secondo un approccio definito a building block, ai fini della determinazione del capitale interno complessivo. Rientra in tale fase del processo la valutazione dell’esigenza di mantenere una porzione di capitale aggiuntivo, a sostegno di iniziative di carattere strategico. I relativi risultati vanno a confluire in una reportistica appositamente predisposta per l’invio agli organi societari ed alle strutture aziendali interessate. 3.1.5 Determinazione del capitale complessivo e riconciliazione con il Patrimonio di Vigilanza L’obiettivo di tale fase del processo ICAAP è determinare le componenti del capitale complessivo, riconciliandolo con la definizione di Patrimonio di Vigilanza. Pertanto: - sono individuate le componenti patrimoniali a copertura del capitale interno complessivo (capitale complessivo). - è effettuata la riconciliazione del capitale complessivo con l’ammontare del Patrimonio di Vigilanza e formalizzate le motivazioni che hanno condotto all’eventuale inclusione degli elementi patrimoniali non computabili nel Patrimonio di Vigilanza. 3.1.6 Valutazione dell’adeguatezza patrimoniale L’obiettivo di tale fase del processo ICAAP è verificare la copertura del fabbisogno di capitale interno complessivo con il capitale complessivo disponibile, riconciliato con il Patrimonio di Vigilanza. Qualora si rilevi un fabbisogno di capitale interno eccedente il capitale complessivo disponibile gli organi aziendali vengono tempestivamente informati per l’assunzione delle conseguenti iniziative. La normativa di vigilanza richiede, inoltre, lo svolgimento di alcune attività che consentono il completamento del processo ICAAP e sono volte a garantirne il corretto funzionamento. In particolare, la Banca pone in essere le attività di: o Auto-valutazione della solidità del processo per la determinazione del capitale interno: consiste in un’analisi critica, volta ad identificare le aree del processo suscettibili di 14 miglioramento ed a pianificare i necessari interventi sul piano patrimoniale e/o organizzativo. Gli esiti di tale valutazione sono sottoposti all’approvazione degli organi aziendali ed entrano a far parte della documentazione trasmessa alla Banca d’Italia. L’Auto-valutazione svolge una funzione particolarmente significativa nei primi anni di impianto del processo ICAAP, consentendone un progressivo affinamento nel tempo. o Revisione interna del processo ICAAP: la funzione di Internal Auditing esercita la propria attività di analisi e controllo del processo ICAAP nell’ambito del normale piano di audit. L’attività si sostanzia nell’analisi dei flussi informativi provenienti e diretti agli organi e funzioni aziendali, nell’individuazione di andamenti anomali, violazioni delle procedure e della regolamentazione e nella verifica dell’attivazione degli interventi individuati. Gli esiti del lavoro di revisione interna sono formalizzati e sottoposti agli organi aziendali. o Analisi ed approvazione da parte degli organi societari: gli organi aziendali, oltre a fornire gli orientamenti strategici ed indicare le politiche di gestione del rischio, analizzano e approvano il modello organizzativo, le metodologie ed i sistemi utilizzati ai fini ICAAP, eventuali proposte per la copertura del fabbisogno di capitale, le linee strategiche per l’evoluzione del business, attribuendo missione e responsabilità a ciascuna unità organizzative coinvolta. L’analisi comprende, fra le altre cose, la documentazione relativa a: - classi di rischio cui la banca è esposta; - quantificazione o valutazione di ciascuna classe di rischio e del fabbisogno di capitale interno complessivo; - monitoraggio dei profili di manifestazione di tutte le classi di rischio e valutazione dell’adeguatezza dei presidi inerenti. o Predisposizione della documentazione ICAAP: ai fini del completamento del processo ICAAP è necessario compendiare i documenti di dettaglio esistenti e predisporre annualmente un resoconto. Relativamente alle aree informative dello stesso per le quali sono disponibili già documenti che forniscono le relative informazioni, è sufficiente fare rinvio alla documentazione esistente senza predisporre documenti appositi ai fini di rendicontazione sull’ICAAP. Il resoconto deve essere condiviso con le strutture aziendali interessate e sottoposto all’approvazione del Consiglio di Amministrazione. Gli output attesi per ogni singola fase all’interno del processo, gestito annualmente in maniera iterativa e continuativa, costituiscono gli input della fase immediatamente successiva. In particolare, i rischi identificati come significativi nell’ assessment svolto nella prima fase costituiscono 15 la base relativamente alla quale viene impostata l’attività di misurazione o valutazione dei singoli rischi e del relativo capitale interno. Il Capitale interno rilevato a fronte dei singoli rischi costituisce la base sulla quale viene impostata l’attività di misurazione, secondo il già cennato schema a building block, del Capitale interno complessivo. A copertura del Capitale interno complessivo, in linea con quanto previsto dalla citata disciplina prudenziale, la Banca determina il Capitale complessivo e procede alla riconciliazione dello stesso con il Patrimonio di Vigilanza. Tutti gli output previsti nelle attività precedenti costituiscono, infine, il presupposto dell’informativa alla Banca d’Italia formalizzata nel rendiconto annuale ICAAP. Il documento di autovalutazione del processo ICAAP, allegato al Rendiconto cennato, redatto nell’anno t precedente, costituisce un supporto all’impostazione dell’ICAAP nell’anno t+1. In tale ottica, le attività di aggiornamento a “regime”, prendono in considerazione anche quei rischi che, identificati inizialmente come “non significativi”, sono diventati rilevanti a seguito dell’attivazione di nuove attività o servizi. 16 3.2 Le attività del processo ICAAP Nel seguito del documento, per ciascuna fase del processo ICAAP, sono illustrate le principali attività, i relativi responsabili, le informazioni e gli strumenti necessari per il loro svolgimento ed i connessi risultati. 3.2.1 Dichiarazione della propensione al rischio Il Consiglio di Amministrazione è responsabile della dichiarazione della propensione al rischio della banca, in coerenza con lo statuto e la mission aziendale. Tale fase del processo ICAAP si compone delle seguenti attività: o dichiarazione di propensione al rischio complessivo qualitativo; o scelta degli indicatori da utilizzare per il monitoraggio della propensione al rischio complessiva; o determinazione / revisione delle soglie di attenzione da attribuire a ciascun indicatore. La dichiarazione della propensione al rischio complessivo qualitativo è un’attività svolta “una tantum” dal Consiglio di Amministrazione, formalizzata tramite delibera, non soggetta a variazione, a meno di modifiche nello statuto, nella mission aziendale o per scelte strategiche. Gli indicatori da utilizzare per il monitoraggio dell’aderenza dell’operatività della banca alla propensione al rischio complessivo dichiarata sono proposti dal .Risk Controlling. Possono essere variati e/o incrementati nel tempo, su proposta del Risk Controlling e approvati dal Consiglio di Amministrazione. Analogamente, il Risk Controlling propone, dopo un esame di serie storiche opportunamente approfondite, le soglie di attenzione da associare a ciascun indicatore utilizzato. I livelli delle soglie sono approvati dal Consiglio di Amministrazione e rimangono in vigore fino a quando non se ne rilevi l’esigenza di una revisione, proposta sempre dal Risk Controlling. 17 3.2.2 Individuazione dei rischi da sottoporre a valutazione Il Risk Controlling è responsabile dell’individuazione dei rischi rilevanti per la banca e delle relative fonti di generazione. Nello svolgimento di tale attività tiene conto: o del contesto normativo di riferimento; o dell’operatività della banca in termini di prodotti e mercati di riferimento; o delle specificità dell’esercizio dell’attività bancaria nel contesto del Credito Cooperativo; o degli obiettivi strategici della banca, definiti dal Consiglio di Amministrazione, utili per individuare gli eventuali rischi prospettici. Ai fini dell’esecuzione di tali compiti il Risk Controlling si avvale della collaborazione di altre funzioni aziendali, attraverso interviste dirette ai responsabili o tramite l’attivazione di un tavolo di lavoro dedicato. Nello svolgimento delle proprie valutazioni il Risk Controlling, per ogni tipologia di rischio, elabora ed utilizza una o più delle seguenti fonti informative: o indicatori di rilevanza, definiti – distintamente per le diverse tipologie di rischio - nelle politiche e procedure interne alla banca; o assessment qualitativi sulla significatività dei rischi, condotti con le Unità di Business anche sulla base delle evidenze emerse dagli indicatori; o analisi qualitativa del grado di rilevanza effettuata sulla base dell’impatto potenziale e della probabilità di accadimento. I dati necessari al calcolo degli indicatori di rilevanza sono messi a disposizione dalle Unità di Business, volta per volta competenti. I risultati delle analisi e valutazioni condotte sono discussi e condivisi con le Unità di Business titolari dei singoli rischi. Il Risk Controlling elabora un’evidenza sintetica del grado di rilevanza di tutte le tipologie di rischi cui la banca è esposta, utile all’identificazione di quelli verso i quali devono essere posti in essere adeguati presidi patrimoniali e/o organizzativi, nonché definite le connesse priorità di intervento. 18 Gli indicatori hanno lo scopo ulteriore di fornire un’indicazione gestionale dell’esposizione della banca ad un determinato rischio e possono, pertanto, essere utilizzati anche, nelle fasi successive del processo, per: o riscontrare l’opportunità di integrare il capitale determinato a fronte dei rischi misurabili con una porzione aggiuntiva; o monitorare i profili di manifestazione dei rischi sia oggetto di quantificazione sia non quantificabili; o valutare l’esposizione aziendale ai rischi non facilmente quantificabili. L’elenco dei rischi individuati come rilevanti per la banca deve essere riscontrato con l’elenco riveniente dalla circolare 263/06 di Banca d’Italia. Il confronto ha l’obiettivo di: o verificare la completezza dell’elenco interno, rispetto all’elenco minimo regolamentare; o motivare l’eventuale assenza nell’elenco interno di alcuni dei rischi menzionati dalla Circolare 263/06; o motivare l’eventuale presenza nell’elenco interno di rischi non menzionati dalla Circolare 263/06. Il risultato dell’attività è costituito dall’elencazione dei rischi che impattano sull’operatività aziendale e delle relative fonti. Nell’individuazione delle fonti dei rischi, il Risk Controlling identifica anche le strutture più adatte alla gestione di ciascuna classe di rischio in quanto detentrici delle relative informazioni. La mappa dei rischi e dei relativi attributi viene definita in sede di prima applicazione del processo ICAAP ed è oggetto di manutenzione nel tempo, sottoponendola ad un riesame critico almeno una volta l’anno in occasione della stesura del resoconto ICAAP per la Banca d’Italia, ovvero ogniqualvolta subentri una significativa variazione del contesto operativo o del mercato di riferimento della banca. Il documento finale, risultante dalle attività sopra descritte, viene sottoposto all’approvazione del Consiglio di Amministrazione e portato a conoscenza di tutte le strutture operative che possono essere direttamente o indirettamente interessate. 19 3.2.3 Misurazione/valutazione dei singoli rischi e del relativo capitale interno Con riferimento all’elenco dei rischi significativi individuato nella fase precedente, il Risk Controlling, tenuto conto della natura di ciascuno di essi e della disponibilità da parte della banca di metodologie e competenze adeguate per determinare il relativo capitale interno, classifica gli stessi in rischi quantificabili e in rischi difficilmente quantificabili da assoggettare ad opportuni sistemi di attenuazione e controllo. Il Risk Controlling associa, quindi, a ciascuno dei rischi le metodologie e gli strumenti da utilizzare ai fini della loro quantificazione o valutazione qualitativa, o definiti nelle politiche e procedure interne della banca. L’elenco viene sottoposto all’approvazione preventiva della Direzione Generale che assegna formalmente, ove ritenuto necessario, le relative responsabilità alle strutture. Ai fini della misurazione/valutazione dei singoli rischi e del relativo capitale interno, il Risk Controlling, in collaborazione con le Unità di Business coinvolte secondo le responsabilità individuate, procura i dati necessari ad alimentare i modelli e gli strumenti individuati per ciascun rischio. Sulla base delle indicazioni fornite dalla Circolare 263/06, ai fini ICAAP la determinazione del capitale interno a fronte dei rischi contemplati dal I Pilastro è effettuata secondo le medesime metodologie regolamentari. Il Risk Controlling, in collaborazione con le Unità di Business coinvolte secondo le responsabilità individuate, è responsabile dell’effettuazione del calcolo, secondo le metodologie definite dal Consiglio di Amministrazione ai fini regolamentari, del capitale interno attuale per i rischi definiti nel Primo Pilastro della nuova disciplina prudenziale: o rischio di credito; o rischio di controparte; o rischio di mercato; o rischio operativo Con gli strumenti ed i dati disponibili e sulla base delle metodologie adottate dal Consiglio di Amministrazione, tenuto conto delle indicazioni fornite dalla Circolare 263/06, il Risk Controlling, in stretto raccordo con le Unità di Business coinvolte secondo le responsabilità individuate, procede alla quantificazione del capitale interno attuale anche a fronte degli altri rischi misurabili (ossia di quelli 20 diversi da quelli contemplati dal I Pilastro) tra i quali, perlomeno, il rischio di concentrazione e il rischio di tasso d’interesse sul portafoglio bancario. Al fine di determinare le misure di capitale interno prospettico per ciascuno dei rischi misurabili, il Risk Controlling, in stretto raccordo con le Unità di Business coinvolte secondo le responsabilità individuate, effettua i medesimi calcoli sopra menzionati definendo le ipotesi di base in funzione delle informazioni derivanti dal processo di budget e di pianificazione strategica, reperendo i dati ed approntando gli strumenti/ambienti da utilizzare. L’ottica previsionale di tale calcolo tiene conto della prevedibile evoluzione dei rischi e dell’operatività in un lasso temporale che porti fino alla conclusione dell’esercizio in corso al momento del calcolo. I dati di budget utilizzati devono essere coerenti con le assunzioni effettuate in sede di definizione della pianificazione strategica. Per il calcolo relativo al rischio di credito, il Risk Controlling, in collaborazione con il responsabile dell’Area Crediti, stabilisce se è necessario effettuare anche una specifica valutazione della dinamica evolutiva delle insolvenze. Con riguardo ai rischi rilevanti che risultano difficilmente quantificabili, il Risk Controlling provvede alla relativa valutazione alla luce del grado di rischio determinato sulla base degli indicatori di rilevanza (già oggetto di precedente definizione) e dei presidi interni di controllo e mitigazione . In particolare, il Risk Controlling utilizza gli indicatori di rischio calcolati nonché gli elementi utilizzati per l’analisi qualitativa del grado di rilevanza dei rischi (funzione dell’impatto potenziale e della probabilità di accadimento relativi) ed effettua direttamente il risk assessment, con il supporto delle Unità di business coinvolte, esprimendo il valore del rischio residuo aziendale attraverso: l’individuazione delle attività aziendali che possono originare ogni singola tipologia di tali rischi; le azioni volte a ridurre la probabilità di accadimento degli eventi dannosi, definite sulla base della struttura dei controlli inerenti (di linea e di II livello) e del modello di reporting relativo. Con l’obiettivo di affinare la valutazione dell’esposizione ai rischi identificati dal Consiglio di Amministrazione come maggiormente rilevanti, il Risk Controlling, con il supporto delle Unità di Business, predispone specifiche prove di stress sulla determinazione del capitale interno attuale e prospettico, in applicazione delle metodologie specificamente individuate dal Consiglio di Amministrazione, definendo le ipotesi di base, reperendo i dati relativi ed approntando gli strumenti e 21 ambienti da utilizzare. Le relative tecniche di conduzione sono oggetto di illustrazione nel rendiconto ICAAP. Le prove di stress, in considerazione della posizione assunta dalla Banca rispetto alle indicazioni fornite dalle Istruzioni di Vigilanza per le banche di Classe 3, vengono effettuate con riguardo ai seguenti rischi: o rischio di credito; o rischio di concentrazione del portafoglio crediti; o rischio di tasso di interesse sul portafoglio bancario. Per effettuare le prove di stress su questi ultimi due rischi la Banca fa riferimento alle metodologie semplificate illustrate negli Allegati B e C alla Circ.263/06 della Banca d’Italia. Con particolare riferimento al rischio di liquidità, in considerazione delle pecurialità del rischio stesso e delle esigenze di dare attuazione a un adeguato sistema di attenuazione e controllo, il Consiglio di Amministrazione ha deliberato il documento “Politiche per la gestione del rischio di liquidità” che persegue la finalità di formalizzare e “modellizzare” il processo di gestione e controllo della liquidità attribuendo le specifiche responsabilità in materia. In attuazione di tale modello il Risk Controlling effettua prove di stress anche per quest’ultimo rischio, in aggiunta a quelle sopra citate, avvalendosi della metodologia appositamente sviluppata e delineata nell’ambito della richiamata disposizione interna della banca. Nel caso in cui dai risultati degli stress test si evidenzi l’inadeguatezza dei presidi di natura diversa posti in essere a fronte dei rischi stessi, viene valutata l’opportunità di adottare appropriate misure organizzative e/o di integrare con un ulteriore quota l’ammontare di capitale stimato a ulteriore presidio. Analogamente, per i rischi difficilmente quantificabili, i risultati del risk self assessment sopra richiamato oltre a supportare l’individuazione di criticità e problematiche legate ai connessi rischi, se ritenuti particolarmente significativi possono condurre alla definizione di presidi organizzativi e/o di una porzione di capitale interno (capital buffer). Il risultato finale di tali calcoli, incluse le prove di stress, è costituito dalle singole misure di capitale interno a fronte di tutti i rischi rilevanti per la banca, in ottica attuale e prospettica, e come tale costituisce l’elemento di partenza per la determinazione del capitale interno complessivo. Tali risultati sono discussi e condivisi dal Risk Controlling, ai fini della approvazione preventiva degli stessi, con la Direzione Generale. 22 Ai fini dell’adeguato monitoraggio e gestione dei profili di manifestazione di ogni singola tipologia di rischio significativo individuato, le Unità di business titolari, sotto il coordinamento e la supervisione del Risk Controlling, elaborano e analizzano gli indicatori di rilevanza dei rischi definiti dal Consiglio di Amministrazione e specificati nelle politiche di gestione dei rischi stessi o nei regolamenti di processo inerenti. Tale attività viene effettuata con cadenza coerente con le caratteristiche dei rischi stessi e comunque almeno su base trimestrale. Il Risk Controlling valuta i risultati ottenuti dall’elaborazione degli indicatori ed eventualmente, in caso di valori particolarmente significativi e anche con riferimento ai rischi misurabili, propone, in un’ottica estremamente prudenziale la definizione di presidi organizzativi e/o di un’ulteriore quota di capitale interno a fronte dei rischi. In ogni caso verifica che venga sfruttata la valenza gestionale delle informazioni ricavate per monitorare i rischi ed eventualmente individuare e avviare le azioni di mitigazione degli stessi. 3.2.4 Determinazione del capitale interno complessivo Il Risk Controlling è responsabile della quantificazione del capitale interno complessivo in ottica sia attuale sia prospettica. La determinazione del capitale interno complessivo è effettuata aggregando i requisiti patrimoniali dei rischi di I Pilastro con i capitali interni dei rischi di II Pilastro, misurati nella fase precedente, secondo un approccio building block semplificato, come indicato dalla normativa per le banche di Classe 3. L’approccio building block consiste nella somma algebrica dei singoli capitali interni per addivenire al capitale interno complessivo. Il Risk Controlling effettua separatamente il calcolo per la determinazione del capitale interno complessivo attuale e prospettico e verifica la coerenza con il piano strategico, con lo specifico obiettivo di accertarsi che l’impatto sul fabbisogno di capitale derivante da eventuali operazioni straordinarie sia correttamente valutato. Parimenti, attraverso l’analisi dei flussi netti di cassa attesi - anche in scenari avversi -, verifica la coerenza del piano strategico con l’obiettivo di garantire una gestione sana, prudente ed equilibrata della liquidità della banca. In tale contesto viene determinata anche l’eventuale misura aggiuntiva di capitale a sostegno di iniziative di natura mutualistica o puramente strategica. 23 3.2.5 Determinazione del capitale complessivo e riconciliazione con il Patrimonio di Vigilanza L’Area Amministrazione Bilancio e Segnalazioni predispone le informazioni contabili e di vigilanza per la determinazione della struttura del capitale complessivo in ottica attuale e prospettica e determina, in stretto raccordo con il Risk Controlling, l’ammontare del capitale complessivo individuando gli elementi patrimoniali che ritiene più appropriati per la copertura del capitale interno complessivo in ottica attuale e prospettica. A tale proposito, tenuto conto anche delle specificità normative e operative della banca in materia, il Patrimonio di Vigilanza costituisce l’aggregato principale di riferimento in quanto oltre a rappresentare un archetipo dettato da prassi consolidate e condivise, agevola la dialettica con l’Organo di Vigilanza relativamente a tale fase del ICAAP. Infine, procede alla riconciliazione del capitale complessivo con il patrimonio di vigilanza, individuando, fra gli elementi patrimoniali ritenuti appropriati per la copertura del capitale interno, le poste riconducibili al patrimonio di vigilanza. Individua, inoltre, separatamente le poste non riconducibili, ma utilizzate a fronte del capitale interno complessivo; per queste ultime procede ad un’adeguata formalizzazione delle motivazioni che hanno condotto alla loro inclusione. 3.2.6 Valutazione dell’adeguatezza patrimoniale Il Risk Controlling effettua il raffronto fra il capitale interno complessivo ed il capitale complessivo – separatamente in ottica attuale e prospettica – e, in caso di scostamenti: o identifica, di concerto con le unità di business interessate, le azioni correttive da intraprendere; o stima gli oneri connessi con il reperimento di eventuali risorse patrimoniali aggiuntive rispetto a quelle correnti o a quelle già pianificate; o informa prontamente il Direttore Generale, e per esso il CdA, sugli scostamenti, relazionandolo in merito alle possibili soluzioni. 24 Di seguito sono descritte le attività che consentono il completamento del processo ICAAP e sono volte a garantirne il corretto funzionamento. Autovalutazione del processo ICAAP Il Consiglio di Amministrazione è responsabile dell’effettuazione, non solo in sede di primo applicazione ma anche annualmente, di una valutazione della robustezza e dell’adeguatezza del processo ICAAP rispetto ai suoi obiettivi di quantificazione del rischio e del capitale a copertura. Scopo di tale attività è anche definire una sintesi sullo stato corrente dei processi di gestione dei rischi all’interno della Banca, per poter confrontare, in modo omogeneo, i diversi processi e definire le priorità di intervento sulla base delle maggiori criticità rilevate. A tal fine sono, tra l’altro, oggetto di valutazione: o gli elementi, i modelli e le metodologie utilizzate in ambito ICAAP e l’impianto, anche organizzativo, dello stesso; o la normativa interna; o il livello di coinvolgimento delle strutture aziendali; o i processi, i dati e le informazioni utilizzate e gli eventuali applicativi di supporto; o la struttura e articolazione del reporting inerente i risultati del processo e la sottostante documentazione di dettaglio; o i risultati del self assessment sull’adeguatezza dei processi di gestione dei rischi, anche alla luce del posizionamento della Banca per ogni tipologia di rischio rilevante. La Direzione Generale supporta il Consiglio di Amministrazione nella conduzione dell’autovalutazione. In tale ambito: o riferisce al Consiglio di Amministrazione e al Collegio Sindacale, con periodicità perlomeno annuale, sull’adeguatezza del processo e della complessiva gestione dei rischi; o sottopone il piano degli interventi migliorativi definiti sia con riferimento ad eventuali carenze operative ed organizzative sia a seguito dell’identificazione di nuovi fattori di rischio emersi in fase di valutazione o di mutamenti del contesto normativo, operativo, organizzativo di riferimento, all’approvazione del Consiglio di Amministrazione; o assicura la programmazione degli interventi migliorativi; 25 o coordina le strutture della banca coinvolte nell’implementazione degli interventi necessari all’irrobustimento e perfezionamento del processo ICAAP, fornendo al Consiglio di Amministrazione periodica informativa sullo stato di avanzamento degli stessi; o fornisce tempestiva informazione al Consiglio di Amministrazione su ogni criticità emersa che possa comportare un alto rischio di non conseguire gli obiettivi strategici aziendali. Il Risk Controlling è responsabile dell’esecuzione delle attività strumentali all’autovalutazione, in particolare: o analizza, anche sulla base delle eventuali evidenze rappresentate dalle altre Funzioni: - gli elementi, i modelli e le metodologie utilizzate in ambito ICAAP, nonché l’impianto organizzativo dello stesso in termini di rispondenza al conseguimento degli obiettivi assegnati; - i processi e gli eventuali applicativi di supporto nonché i dati e le informazioni utilizzate; - il livello di formalizzazione delle disposizioni normative interne; - i report riportanti i risultati e la documentazione di dettaglio inerente; o individua eventuali aree critiche o da migliorare e le ordina in base alla loro gravità; o definisce di conseguenza, di concerto con le Unità di Business coinvolte, gli interventi correttivi da porre in essere; o formalizza tali interventi in un piano che dettaglia tempi e costi degli stessi. Il piano viene condiviso con la Direzione Generale. L’Auto-valutazione deve essere adeguatamente rappresentata in un documento, approvato dal Consiglio di Amministrazione, che entra a far parte del Resoconto ICAAP, inviato annualmente alla Banca d’Italia. Ad eccezione di quella redatta in sede di prima applicazione, l’Auto-valutazione deve ogni anno fornire un riscontro in merito alle carenze individuate nell’anno precedente e all’attuazione degli interventi programmati, al fine di dare un senso di continuità alle iniziative della Banca relative al processo ICAAP. Ai fini della valutazione dei vari aspetti menzionati, il Risk Controlling può avvalersi del contributo fornito dall’Internal Auditing, tenendo in considerazione gli esiti di eventuali attività di verifica condotte 26 sul processo ICCAP o componenti dello stesso. Revisione interna La Funzione di Internal Auditing sottopone a revisione interna l’intero processo, valutando la funzionalità del complessivo assetto di gestione, misurazione e controllo dei rischi e del capitale della Banca. In tale contesto fa riferimento anche alle informazioni provenienti dall’Auto-valutazione condotta annualmente da parte del Risk Controlling. L’Internal Auditing, in particolare, svolge le seguenti attività: o analizza i flussi informativi rivenienti da altri organi/funzioni aziendali, dalle Autorità di Vigilanza o dal sistema dei controlli interni; o individua gli andamenti anomali e le violazioni delle procedure o dei regolamenti; o identifica le aree del processo suscettibili di miglioramento. Le evidenze rivenienti dall’attività di revisione interna possono condurre a: o integrare il resoconto da inviare alla Banca d’Italia; o proporre degli interventi di dettaglio sul piano patrimoniale e organizzativo. È cura della Funzione di Internal Auditing verificare, nel tempo, l’attivazione degli interventi individuati. Le relazioni di revisione interna devono essere formalizzate e sottoposte agli organi aziendali. Approvazione da parte degli organi societari Il Consiglio di Amministrazione analizza: o il processo ICAAP e i connessi processi di gestione dei rischi; o la documentazione relativa alle classi di rischio cui la banca è esposta; o la documentazione relativa alla quantificazione/valutazione di ciascuna classe di rischio e alla definizione del capitale complessivo a presidio degli stessi; o i piani di fabbisogno di capitale predisposti, le azioni correttive da intraprendere e la stima degli oneri connessi con il reperimento di eventuali risorse patrimoniali aggiuntive rispetto a quelle correnti; o le risultanze dell’autovalutazione sull’adeguatezza dell’ICAAP e dei processi di gestione dei rischi nonché il piano degli interventi conseguente. L’analisi deve essere effettuata in sede di prima applicazione dell’ICAAP ed ogni volta in cui intervengano modifiche significative nell’operatività della banca o nel contesto normativo o di mercato. 27 Nel caso in cui gli organi aziendali individuino degli elementi da modificare o migliorare, forniscono il loro ritorno alle strutture richiedendo i chiarimenti o gli interventi del caso. Diversamente, il Consiglio di Amministrazione approva con delibera il complessivo impianto di determinazione del capitale interno complessivo e ne delibera l’invio alla Banca d’Italia. Documentazione ICAAP Il Risk Controlling è responsabile della predisposizione o rilevazione della documentazione per le aree informative relative a: o metodologie e criteri utilizzati per identificazione, misurazione/valutazione, aggregazione delle risultanze determinate per i singoli rischi e conduzione delle prove di stress; o individuazione e stima delle componenti del capitale interno complessivo relativo alla fine dell’esercizio precedente e dell’esercizio in corso; Deve, inoltre, raccogliere la documentazione predisposta dalle altre Funzioni ed in particolare: o documentazione delle linee strategiche e dell’orizzonte previsivo considerato; o determinazione del capitale complessivo attuale e prospettico; o raccordo tra capitale interno complessivo e requisiti regolamentari e tra capitale complessivo e patrimonio di vigilanza; o documentazione del governo societario e degli assetti organizzativi e dei sistemi di controllo interno connessi con l’ICAAP; o risultanze del risk self assessment predisposto, anche mediante l’elaborazione e analisi degli indicatori di rilevanza; o risultanze delle attività di verifica condotte dalla Funzione di Conformità; o relazioni dell’Internal Auditing e documentazione correlata. I documenti esistenti, in caso di incompletezza o incongruenze, devono essere finalizzati da ciascuna delle Funzioni in base alle proprie competenze. Il Risk Controlling coordina la predisposizione dell’informativa ICAAP e la condivide con le strutture interessate per l’approvazione preventiva da parte della Direzione Generale. Il pacchetto informativo così consolidato costituisce la base del dialogo fra la Banca e l’Autorità di Vigilanza nel corso dello svolgimento del citato SREP. 28 4. RUOLI E RESPONSABILITÀ DELLE FUNZIONI AZIENDALI NEL PROCESSO ICAAP Nella seguente tabella sono schematicamente presentate le principali responsabilità assegnate agli organi e alle funzioni aziendali in relazione a ciascuna delle fasi del processo ICAAP. Funzione / Organo Aziendale Principali responsabilità nell’ambito del processo ICAAP Fase del processo ICAAP Propone al Consiglio di Amministrazione gli indicatori da utilizzare per il monitoraggio della propensione al rischio e le relative soglie di attenzione Individuazione dei rischi Individua i rischi e le relative fonti. rilevanti Riconcilia l’elenco interno dei rischi con quello regolamentare. Suggerisce al Direttore Generale le strutture responsabili della gestione dei rischi. Monitora puntualmente i livelli di esposizione. Associa a ciascun rischio gli indicatori di rilevanza e misura attraverso specifici indicatori il grado di rilevanza degli Risk Controlling stessi. Manutiene ed aggiorna la mappa dei rischi nel tempo. Funzione / Organo Aziendale Principali responsabilità nell’ambito del processo ICAAP Fase del processo ICAAP Sviluppa, manutiene e monitora le metodologie ed i tools di supporto per la valutazione dei rischi, assicurando la stabilità e la robustezza dei modelli sottostanti e individuando, per ciascun rischio, la metodologia e gli strumenti di Misurazione / valutazione dei Risk Controlling valutazione. Classifica i rischi in base alla possibilità di misurarli o semplicemente valutarli. Coordina, supervisionandone l’esecuzione, i calcoli dell’assorbimento di capitale attuale e prospettico per ciascuno rischi rilevanti dei rischi di I Pilastro. Esegue direttamente le misurazioni dei rischi quantificabili di II Pilastro. Effettua, anche avvalendosi della attività in tal senso condotte in autonomia dalle Unità di Business titolari, il calcolo degli indicatori di rilevanza per tutti i rischi individuati come significativi per la banca. Effettua il risk self assessment relativo ai rischi non quantificabili. È responsabile dell’analisi e valutazione dei Rischi Operativi, garantendo un’efficace e puntuale valutazione dei profili di manifestazione relativi, nel rispetto delle modalità operative di propria competenza. Raccoglie e analizza i risultati del self assessment condotto, per quanto di competenza, dalle diverse Unità di Business in merito al monitoraggio dei profili di manifestazione dei diversi rischi. Predispone ed effettua direttamente le prove di stress sulla determinazione del capitale interno attuale e prospettico. Confronta il capitale interno complessivo ed il capitale complessivo. Propone azioni correttive a fronte di scostamenti derivanti dal punto precedente e stima gli eventuali oneri connessi Propone alla Direzione Generale eventuali azioni di mitigazione dei rischi a fronte di gradi di esposizione calcolati ritenuti critici. Coordina per gli ambiti di propria competenza, l’implementazione e la gestione degli applicativi informatici a supporto della rilevazione, del controllo e della misurazione dei rischi. Sviluppa e produce la reportistica di competenza. È responsabile, nel rispetto delle modalità operative di propria competenza nell’ambito degli indirizzi definiti dalla relativa regolamentazione interna, dell’analisi e della valutazione del rischio strategico. 30 Funzione / Organo Aziendale Principali responsabilità nell’ambito del processo ICAAP Fase del processo ICAAP Determina il capitale interno complessivo, attuale e prospettico, attraverso l’aggregazione dei requisiti patrimoniali a fronte dei rischi di I Pilastro con i capitali interni determinati a fronte dei rischi di II Pilastro secondo un approccio Determinazione capitale Risk Controlling building block semplificato. Verifica la coerenza del capitale interno complessivo prospettico con il piano strategico. Verifica la coerenza del capitale interno complessivo prospettico con il piano strategico, con lo specifico obiettivo di interno complessivo accertarsi che l’impatto sul fabbisogno di capitale derivante dallo sviluppo degli obiettivi del piano sia correttamente valutato. Determina una misura aggiuntiva di capitale a sostegno di iniziative di natura mutualistica o puramente strategica. Supporta la Funzione Contabilità Bilancio e Segnalazioni. Determinazione del Capitale Complessivo e Riconciliazione con il Patrimonio di Vigilanza Supporta la Direzione Generale nell’effettuazione annuale della valutazione della robustezza e dell’adeguatezza del processo ICAAP e nella redazione del piano degli interventi necessari a colmare i gap individuati. Elabora e Auto-valutazione condivide la proposta del piano in argomento con le Unità di Business e la trasmette alla Direzione Generale. Supporta la Direzione Generale nell’elaborazione del documento per illustrare l’auto-valutazione da sottoporre all’approvazione del Consiglio di Amministrazione. Predispone la documentazione metodologica per l’approvazione dell’impianto ICAAP. Consolida il pacchetto informativo da inviare a Banca d’Italia. Approvazione CdA 31 Funzione / Organo Aziendale Unità di Business Collaborano nell’individuazione degli indicatori di rilevanza da associare a ciascun rischio. Producono e mettono a disposizione i dati necessari al calcolo degli indicatori di rilevanza. Producono ed inoltrano i dati necessari ad alimentare i modelli e gli strumenti per la misurazione di ciascun rischio e Misurazione / valutazione dei Principali responsabilità nell’ambito del processo ICAAP per l’esecuzione degli stress test. Fase del processo ICAAP Individuazione dei rischi rischi Supportano il Risk Controlling nell’esecuzione delle misurazioni/valutazioni dei rischi . In particolare: - Area Finanza: è responsabile dell’analisi, valutazione e mitigazione dei profili di manifestazione di: 1. rischi di mercato, di controparte, di tasso di interesse sul portafoglio bancario, nell’ambito e nel rispetto degli indirizzi definiti dalle politiche in materia, dalla regolamentazione del processo finanza, dalla struttura delle deleghe e dei limiti operativi deliberati dal Consiglio di amministrazione; 2. rischio di liquidità nell’ambito e nel rispetto degli indirizzi definiti dalle Politiche e processi di gestione del rischio di liquidità; 3. rischio derivante da cartolarizzazione nell’ambito e nel rispetto degli indirizzi definiti dalle politiche in materia e dalla regolamentazione del processo finanza. - Area Crediti é responsabile, nell’ambito e nel rispetto degli indirizzi e delle modalità operative di propria competenza definiti dalla relativa regolamentazione interna del Processo del Credito, dalle politiche in materia e processi di gestione del rischio di Credito, dalla struttura delle deleghe e dei limiti operativi, dell’analisi, valutazione e mitigazione dei profili di manifestazione del rischio di credito. A tal fine si avvale degli indicatori e degli strumenti in uso per il monitoraggio dei profili di insolvenza e del merito creditizio della controparte (CRC, …). - É, inoltre, responsabile della elaborazione e analisi degli indicatori inerenti l’esposizione al rischio residuo e delle attività di monitoraggio e mitigazione dello stesso. 32 Funzione / Organo Aziendale Principali responsabilità nell’ambito del processo ICAAP Area Produce ed inoltra i dati necessari ad alimentare i modelli e gli strumenti per la misurazione di ciascun rischio e per l’esecuzione degli stress test. Misurazione / valutazione dei rischi Amministrazione, Produce e mette a disposizione i dati necessari al calcolo degli indicatori di rilevanza. Bilancio e È responsabile nel rispetto delle modalità operative di propria competenza e nell’ambito degli indirizzi e delle Segnalazioni Fase del processo ICAAP metodologie definiti dal Consiglio di Amministrazione della misurazione: - del Rischio di Credito, a tal fine coordinandosi con l’Area Crediti e con il Risk Controlling; - del rischio di Mercato e del rischio di Controparte, a tal fine coordinandosi con l’Area Finanza e con il Risk Controlling; - del Rischio Operativo. Predispone le informazioni contabili e di vigilanza per la determinazione della struttura del capitale complessivo Determina l’ammontare del capitale complessivo individuando gli elementi patrimoniali più appropriati per la Determinazione del Capitale copertura del capitale interno complessivo in ottica attuale e prospettica. Complessivo e Riconciliazione Riconcilia il capitale complessivo con il patrimonio di vigilanza, individuando le voci contabili riconducibili o meno a con il Patrimonio di Vigilanza questo ultimo. Motiva l’utilizzo di voci patrimoniali non riconducibili al patrimonio di vigilanza. 33 Funzione / Organo Aziendale Principali responsabilità nell’ambito del processo ICAAP Fase del processo ICAAP È responsabile, nel rispetto delle modalità operative di propria competenza e degli indirizzi definiti dalla relativa Funzione di regolamentazione interna, dell’analisi e della valutazione dei rischi legali e dei rischi reputazionali agli stessi Misurazione / valutazione dei Conformità associati, come definito nelle “Politiche e processi per la gestione dei rischi di non conformità”. Funzione rischi È responsabile dell’implementazione delle politiche generali e specifiche di gestione dei rischi nell’ambito della definizione dei processi e delle procedure organizzative ed informatiche, atte a garantire la gestione dei rischi Auto-valutazione Organizzazione aziendali. È responsabile dell’aggiornamento del Regolamento dell’ICAAP in stretto accordo con la funzione Controllo di conformità e con la Funzione di Risk Controlling. Internal Auditing È responsabile dell’attività di revisione interna e sovraintende e verifica, in tale ambito, il corretto funzionamento del sistema dei controlli, secondo quanto stabilito dalla normativa di riferimento. Individua andamenti anomali, violazioni Revisione processo ICAAP delle procedure e della regolamentazione, interna ed esterna, per quanto attiene il complessivo processo di gestione dei rischi. Sottopone a revisione interna il processo valutando la funzionalità dei complessivo assetto di gestione, misurazione e controllo dei rischi e del capitale della Banca. Propone interventi correttivi. Porta a conoscenza degli organi aziendali le evidenze dell’attività di revisione. 34 Funzione / Organo Aziendale Principali responsabilità nell’ambito del processo ICAAP Direzione Generale Condivide con il Risk Controlling l’elenco delle strutture responsabili della gestione di ciascun rischio e all’individuazione delle responsabilità da assegnare. Fase del processo ICAAP Individuazione dei rischi Supporta il Risk Controlling nell’individuazione / revisione degli indicatori da utilizzare per il monitoraggio della propensione al rischio e le relative soglie di attenzione Collabora alla supervisione e coordinamento dei processi di gestione dei rischi attraverso: - Il monitoraggio dell’andamento dei rischi stessi, in coerenza con il modello di business e il grado di esposizione Misurazione / valutazione dei definito dal Consiglio di Amministrazione; rischi La valutazione, sulla base delle evidenze elaborate dalle Unità di Business e dalle altre funzioni aziendali incaricate della gestione dei singoli rischi, delle problematiche e delle criticità relative ad aspetti organizzativi ed operativi; - Analizza e condivide le risultanze delle attività di misurazione/valutazione dei rischi e di self assessment effettato con riguardo ai profili di manifestazione dei rischi; - In collaborazione con il Risk Controlling individua le iniziative di monitoraggio e mitigazione, sulla base delle evidenze emerse dagli indicatori di rilevanza e dal self assessment di esposizione ai rischi; - Formula proposte di modifica o aggiornamento delle politiche in materia di gestione dei rischi; - Contribuisce alla promozione nell’azienda di una cultura dei rischi monitorando, tra l’altro le attività formative in materia; - Effettua il monitoraggio sulla reportistica relativa all’analisi dei rischi, al fine di garantirne la puntualità, completezza ed esaustività. È responsabile del supporto all’Autorità di Vigilanza nello SREP. SREP 35 Funzione / Organo Aziendale Direzione Generale Principali responsabilità nell’ambito del processo ICAAP È responsabile della definizione, implementazione e supervisione di un efficace sistema di gestione e controllo dei rischi, in attuazione degli orientamenti e delle linee guida definite dal Consiglio di Amministrazione. Misurazione / valutazione dei Verifica nel continuo la funzionalità, l’efficienza e l’efficacia del sistema di gestione e controllo. In tale ambito, cura rischi l’esecuzione dell’analisi delle tematiche afferenti tutti i rischi aziendali e propone l’eventuale modifica o aggiornamento delle politiche generali e specifiche di gestione dei rischi, individua le eventuali criticità e pianifica i relativi interventi correttivi, in base alle analisi svolte ed alla reportistica prodotta. Assicura che le funzioni competenti definiscano ed applichino metodologie adeguate per l’analisi, la valutazione ed il monitoraggio delle varie tipologie di rischio. Fase del processo ICAAP Coordina, per il tramite del Risk Controlling, le attività delle unità organizzative coinvolte nella gestione, valutazione e Determinazione del Capitale Complessivo e Riconciliazione con il Patrimonio di Vigilanza Auto-valutazione controllo dei singoli rischi. È responsabile della gestione e aggiornamento del processo ICAAP relativamente al quale approva in via preliminare il piano degli interventi di miglioramento da sottoporre al Consiglio di Amministrazione. Monitora lo stato di avanzamento e riporta i risultati al Consiglio di Amministrazione ed al Collegio Sindacale. Coordina le strutture della banca coinvolte dai menzionati interventi. È informato delle eventuali incongruenze tra capitale interno complessivo prospettico e piano strategico e prende iniziative per l’adeguamento del fabbisogno di capitale da sottoporre all’approvazione del Consiglio di Amministrazione. 36 Funzione / Organo Aziendale Principali responsabilità nell’ambito del processo ICAAP Fase del processo ICAAP Analizza gli elementi costitutivi del complessivo processo ICAAP per l’adozione dell’impianto. Consiglio di E’ responsabile della dichiarazione di propensione al rischio qualitativa Approvazione Consiglio di Amministrazione Approva gli indicatori, e le relative soglie, da utilizzare per il monitoraggio della propensione al rischio complessiva Amministrazione Nell’ambito della definizione delle politiche di gestione dei rischi, stabilisce gli indirizzi operativi dei processi di gestione dei rischi con particolare riguardo a: - deleghe e responsabilità; - ruoli, processi e procedure; - tipologie di rischio cui la Banca è esposta e intende gestire; - esposizioni in termini di limiti operativi e relative modalità di controllo e gestione, coerentemente con il profilo di rischio accettato; - finalità e frequenza del reporting sull’esposizione ai rischi; - affidabilità, completezza ed efficacia funzionale dei sistemi informativi che costituiscono un elemento fondamentale per assicurare una corretta e puntuale gestione dei rischi; adeguatezza del processo ICAAP. Garantisce che le funzioni competenti definiscano ed applichino metodologie adeguate per l’analisi, la valutazione ed il monitoraggio delle varie tipologie di rischio. Approva le modifiche e gli aggiornamenti delle politiche generali e specifiche di gestione dei rischi ed il processo ICAAP. Assicura l’esecuzione dell’Auto-valutazione ICAAP e ne approva le risultanze. Approva il Resoconto ICAAP e ne delibera l’inoltro a Banca d’Italia. 37 1) Flussi Informativi Nella seguente tabella sono schematicamente rappresentati i flussi informativi destinati agli organi e alle funzioni aziendali in relazione al funzionamento del processo ICAAP. Per ciascun flusso informativo sono indicate: o la funzione aziendale che produce le informazioni; o la frequenza minima attesa per l’invio delle stesse. Funzione aziendale destinataria CdA, Funzione aziendale di origine Risk Controlling Strutture operative interessate CdA, Unità di Business Contenuto informativo Elenco dei rischi rilevanti per la Banca, corredato dalle seguenti ulteriori Annuale e ad ogni variazione informazioni: Risk Controlling Frequenza minima attesa relative fonti informative; riconciliazione con l’elenco minimo fornito da Banca d’Italia; strutture responsabili per la gestione delle classi di rischio; metodologie e strumenti di misurazione o valutazione dei rischi; indicatori di rilevanza. Sintesi dei risultati degli indicatori di rilevanza e degli assessment condotti da significativa dell’operatività aziendale Almeno annuale per gli organi presentarsi in forma analitica alle Unità di Business ed in forma più aggregata aziendali; almeno trimestrale per alla Direzione Generale e al CdA . le Unità di Business Funzione aziendale destinataria Risk Controlling Funzione aziendale di origine Unità di Business Contenuto informativo Frequenza minima attesa Indicatori di rilevanza elaborati a fini gestionali ed analizzati con riguardo ai Sulla base della cadenza profili di manifestazione di ogni singola tipologia di rischio. individuata per ogni tipologia di rischio e comunque, perlomeno trimestralmente CdA, Risk Controlling Monitoraggio indicatori di propensione al rischio complessivo Sulla base della cadenza individuata e comunque, perlomeno trimestralmente Risk Controlling Area Pianificazione Strategica Amministrazione, Bilancio e Informazioni contabili e di vigilanza per la misurazione / valutazione dei singoli Annuale rischi in ottica attuale e prospettica . Per determinate tipologie di Capitale interno attuale a fronte dei rischi di I Pilastro rischio (ad esempio liquidità) con Segnalazioni CdA, Risk Controlling cadenza trimestrale o inferiore Capitale interno e capitale interno complessivo attuale e prospettico. Annuale Capitale complessivo in ottica attuale e prospettica. Annuale Area Amministrazione, Bilancio e Segnalazioni Risk Controlling Area Amministrazione, Bilancio e Segnalazioni CdA, Risk Controlling Eventuali carenze che emergono dal confronto tra il capitale interno complessivo Annuale e ad ogni variazione ed il capitale complessivo. significativa dell’operatività Proposte di azioni correttive a fronte degli scostamenti di cui al punto precedente aziendale e stima gli eventuali oneri connessi. 39 Funzione aziendale destinataria CdA, Funzione aziendale di origine Risk Controlling CdA, Risk Controlling CdA, Internal Audit Contenuto informativo Risultanze delle attività condotte ai fini dell’Auto-valutazione e della definizione Annuale e ad ogni variazione del relativo piano degli interventi per risolvere le criticità o apportare significativa dell’operatività miglioramenti. aziendale Relazione sull’Auto-valutazione. Annuale Relazioni sulle attività di revisione del processo ICAAP o di sue componenti. Su richiesta o secondo il piano Risk Controlling CdA, annuale Risk Controlling, Internal Audit CdA, Frequenza minima attesa Risk Controlling Documentazione su modelli e metodologie, aspetti organizzativi ed applicativi, Prima applicazione e variazioni sintesi delle attività di controllo condotte dall’Internal Audit. significative Resoconto ICAAP . Annualmente 40 Allegato 1 NORMATIVA INTERNA DI RIFERIMENTO PER LA GESTIONE DEI RISCHI Si elenca di seguito la normativa interna di riferimento per la gestione dei rischi Rischio di Credito - Regolamentazione del processo del Credito - Politiche e processi per la gestione dei rischio di Credito - Delibera inerente i limiti e le deleghe dell’operatività in materia creditizia - Regolamento d’uso del Sistema di classificazione del rischio di credito delle BCC-CR (CRC) Rischio Operativo - Piano di Continuità operativa Rischio di liquidità - Politiche e processi per la gestione del rischio di Liquidità - Contingency Fundig Plan Rischio di non conformità - Politiche e processi per la gestione del rischio di non conformità - Regolamento della Funzione di Conformità Rischi di Mercato, Rischio di Controparte, Rischio di Tasso - Regolamentazione del processo Finanza - Delibera inerente i limiti e le deleghe dell’operatività della Finanza - Politica di esecuzione e trasmissione degli ordini - Politica per la gestione dei conflitti di interesse - Politica per la rilevazione e la gestione degli incentivi - Politica per la gestione delle operazioni personali - Politica per la classificazione della clientela Allegato 2 SCHEMATIZZAZIONEDEL PROCESSO ICAAP La scomposizione dell’ICAAP Il processo ICAAP di autovalutazione dell’adeguatezza patrimoniale attuale e prospettica, assume come riferimento le seguenti principali fasi riportate nella figura sottostante. Accanto alle sei fasi che conducono alla stesura del Rendiconto ICAAP si configura logicamente una fase focalizzata sulle azioni di monitoraggio e reporting. B.1. Dichiarazione della propensione al rischio B.2. Individuazione dei rischi da sottoporre a valutazione B.3. Misurazione/ valutazione dei singoli rischi e del relativo capitale interno B.4. Misurazione del capitale interno complessivo B.5. Riconciliazione tra capitale interno e patrimonio di vigilanza B.6. Valutazione adeguatezza patrimoniale B.7. Monitoraggio e Reporting Rendiconto ICAAP Autovalutazione e revisione Unità organizzativa responsabile (banca/cassa) CdA Risk Controlling Risk Controlling Risk Controlling Risk Controlling Risk Controlling Risk Controlling Compliance Organizzazione Organizzazione Amministraz. e Bilancio Pianificazione e controllo Compliance Amministraz. e Bilancio Risk Controlling CDA, DIRETTORE GENERALE, INTERNAL AUDIT B.1. Dichiarazione della propensione al rischio Dichiarazione della propensione al rischio complessiva qualitativa Sottofasi • Dichiarazione al rischio Attività complessivo in termini qualitativi • Attività svolta “una tantum”, formalizzata tramite delibera, non soggetta a variazione, a meno di modifiche nello statuto, nella mission aziendale o per scelte strategiche Attori Coinvolti • Scelta / revisione indicatori di monitoraggio • Scelta degli indicatori da utilizzare per il monitoraggio dell’aderenza tra l’operatività della banca e la propensione al rischio complessivo dichiarata • Revisione periodica per Determinazione / revisione soglie di attenzione • Definizione, dopo un esame di serie storiche opportunamente approfondite, delle soglie di attenzione da associare a ciascun indicatore utilizzato. • Revisione periodica a seguito variazione e/o incremento esigenze specifiche • Risk Controlling • • CdA • Risk Controlling • Risk Controlling • (Comitato Rischi) Direttore Generale • (Comitato Rischi) Direttore Generale • (Comitato Rischi) Direttore Generale CdA CdA di 42 B.2. Individuazione dei rischi da sottoporre a valutazione Individuazione delle fonti informative dei rischi: unità organizzative e indicatori di rilevanza Definizione e classificazione dei rischi Sottofasi Attività • Elencazione e mappatura dei • Attivazione del confronto con i rischi ai quali la banca potrebbe essere esposta e definizione del glossario dei rischi responsabili delle Aree di business mediante interviste o tavoli di lavoro dedicati Definizione della posizione della banca rispetto al rischio di I e II Pilastro • Calcolo indicatori di rilevanza • Elaborazione dell’elenco dei rischi e del grado di rilevanza degli stessi • Mappatura dei rischi sulle unita • Confronto elenco rischi individuati dalla Banca con elenco rischi ex Circ. 263/2006 organizzative e sui processi della banca • Reimpostazione della definizione dei rischi rilevanti, anche sulla base della valutazione relativa ai processi di controllo e gestione dei rischi • Individuazione degli indicatori di rilevanza per ogni rischio • Censimento dei controlli • Allocazione dei rischi, controlli e • Verifica della coerenza tra il limiti sulle Unità Organizzative • • Attori Coinvolti • • • • • Risk Controlling Unità di Business (Crediti e Finanza) Direttore Generale Compliance Organizzazione • • Risk Controlling Unità di Business (Crediti e Finanza) Compliance Organizzazione livello atteso (ex-ante) del grado di sofisticazione dei controlli (da politiche) e considerazione expost • • • Risk Controlling Direttore Generale Compliance B.3. Misurazione/ valutazione dei singoli rischi e del relativo capitale interno Distinta individuazione dei rischi “misurabili” e dei rischi “difficilmente quantificabili” Sottofasi Attività • Individuazione dei rischi “misurabili” • Individuazione dei rischi “difficilmente quantificabili” Attori Coinvolti • • • • • Risk Controlling Unità di Business (Crediti e Finanza) Compliance Direzione Generale Organizzazione Quantificazione dei rischi “misurabili” • Produzione dati necessari alla quantificazione dei rischi “misurabili” • • • • Risk Controlling Unità di Business (Crediti e Finanza) Amministrazione, Bilancio e Segnalazioni Internal Audit Valutazione dei rischi difficilmente quantificabili alla luce del grado di rischio e dei presidi a mitigazione dello stesso Prove di stress • Valutazione dei rischi • Definizione delle “difficilmente quantificabili” sulla base del grado di rischio (frequenza/gravità) e dell’adeguatezza dei relativi sistemi di controllo e attenuazione(risultanze del risk assessment, analisi delle valutazioni delI’Internal Audit e dei relativi contenuti nei verbali d’ispezione della Banca d’Italia, etc…) • • Risk Controlling Pianificazione Strategica e Controllo di Gestione metodologie di stress testing • Definizione delle ipotesi di stress testing • Esecuzione delle prove di stress (analisi di sensitività) • Risk Controlling 43 B.4. Misurazione del capitale interno complessivo Quantificazione del capitale interno complessivo attuale Sottofasi Quantificazione del capitale interno complessivo prospettico • Valutazione delle esigenze di carattere • Aggregazione dei capitali interni in ottica Attività attuale relativi ai singoli rischi (approccio building block) strategico • Aggregazione dei capitali interni in ottica • Quantificazione del capitale interno prospettica relativi ai singoli rischi secondo l’approccio di Vigilanza (“building block”) complessivo attuale • Quantificazione del capitale interno complessivo prospettico • • Attori Coinvolti • • • Risk Controlling Pianificazione Strategica e Controllo di Gestione Risk Controlling Direzione Generale Pianificazione Strategica e Controllo di Gestione B.5. Riconciliazione tra capitale interno e patrimonio di vigilanza Determinazione dell’ammontare del capitale complessivo attuale Definizione della struttura del capitale complessivo Sottofasi • Determinazione delle Attività • Determinazione componenti patrimoniali a copertura del capitale interno complessivo Determinazione dell’ammontare del capitale complessivo prospettico Riconciliazione del capitale complessivo con il Patrimonio di Vigilanza • Determinazione • Determinazione dell’ammontare del capitale complessivo in ottica prospettica dell’ammontare del capitale complessivo in ottica attuale dell’ammontare del Patrimonio di Vigilanza • Raccordo del capitale interno complessivo con i requisiti regolamentari • Raccordo del capitale complessivo con il Patrimonio di Vigilanza • Formalizzazione delle motivazioni che hanno condotto all’inclusione degli elementi non computabili nel Patrimonio di Vigilanza Attori Coinvolti • • • Risk Controlling Amministrazione e Bilancio Organizzazione • • Risk Controlling Amministrazione e Bilancio • • Risk Controlling Amministrazione e Bilancio • • • Risk Controlling Amministrazione e Bilancio Direttore Generale 44 B.6. Valutazione dell’adeguatezza patrimoniale Confronto tra capitale complessivo e capitale interno complessivo attuali Sottofasi Confronto tra capitale complessivo e capitale interno complessivo prospettici • Confronto tra Attività • Confronto tra assorbimento e patrimonio attuali Valutazioni • Identificazione delle azioni correttive da intraprendere in caso di scostamenti rispetto agli obiettivi pianificati assorbimenti e patrimonio prospettici • Stima degli oneri connessi con il reperimento delle eventuali risorse patrimoniali aggiuntive rispetto a quelle correnti Attori Coinvolti • Risk Controlling • Risk Controlling • • • • Risk Controlling Amministrazione e Bilancio Pianificazione e Controllo di Gestione Direttore Generale B.7. Monitoraggio e reporting Attività Pianificazione ed attivazione degli interventi Definizione limiti su indicatori di rischio Sottofasi Monitoraggio Reporting • Monitoraggio • Definizione dei limiti • Produzione reporting dell’andamento degli interventi per ciascun indicatore interno • Produzione reporting • Valutazione • Definizione delle azioni esterno dell’adeguatezza degli indicatori di rischio e dei limiti correttive (interventi organizzativi e interventi sul capitale) • Valutazione dell’adeguatezza delle interventi attivati Attori Coinvolti • Risk Controlling • Risk Controlling • • Risk Controlling Direttore Generale • • Risk Controlling Direttore Generale 45