Le esigenze di reporting dei CDA e degli organismi di

FUNZIONI AZIENDALI DI CONTROLLO E REPORTING NORMATIVO
LE ESIGENZE DI REPORTING DEI CDA E DEGLI ORGANISMI DI
VIGILANZA DELLE AZIENDE PER UNA GESTIONE EFFICACE
DELLE RESPONSABILITÀ
Vincenzo Dispinzeri
Partner di Studio Vietti e Associati
AC Hotel Milano - 14 Novembre 2016
AGENDA

L’effettiva supervisione della Risk Tollerance

Le Guidelines EBA sull’Internal Governance

Efficace aggregazione e reportistica dei dati di rischio

Infrastruttura e governo societario

capacità di aggregazione dei dati di rischio

Prassi di reportistica del rischio

Verifica, strumenti e cooperazione degli organi di vigilanza

Il 1°aggiornamento della circolare Bankit

Guideline bcbs on corporate governance principles for banks

Vigilanza bancaria della bce: priorità dell’mvu per il 2016

Bce: ssm supervisory statement on governance and risk appetite 1/2 (giugno 2016)
2
L’EFFETTIVA SUPERVISIONE DELLA RISK TOLERANCE
 La lezione della crisi del 2008: l’azione degli organi di vertice dev’essere guidata dalla
conoscenza della rischiosità attuale e prospettica.
Il tema delle asimmetrie informative
 E’ possibile (per non dire frequente) che all’interno del board il grado di conoscenza del rischio
non sia uniforme. Possono nascere pericolose situazioni di trade off tra obiettivi personali dei
consiglieri esecutivi e condivisione delle informazioni.
 L’allocazione verso l’alto delle responsabilità presuppone il superamento delle asimmetrie
informative.
 E’ quindi necessario un sistema di reporting adeguatamente strutturato, reso robusto da un
Sistema dei Controlli Interni indipendente ed efficace.
3
LE GUIDELINES EBA SULL’INTERNAL GOVERNANCE (2011- in fase di revisione)
 Regular and transparent reporting mechanisms should be established so that the management
body and all relevant units in an institution are provided with reports in a timely, accurate, concise,
understandable and meaningful manner and can share relevant information about the identification,
measurement or assessment and monitoring of risks.
 The reporting framework should be well defined, documented and approved by the management
body.
[…]
 Effective communication of risk information is crucial for the whole risk management process,
facilitates review and decision-making processes and helps prevent decisions that may
unknowingly increase risk. Effective risk reporting involves sound internal consideration and
communication of risk strategy and relevant risk data (e.g. exposures and key risk indicators) both
horizontally across the institution and up and down the management chain.
4
EFFICACE AGGREGAZIONE E REPORTISTICA DEI DATI DI RISCHIO
 Nel gennaio 2013 il Comitato di Basilea ha pubblicato il documento Principi per un’efficace
aggregazione e reportistica dei dati di rischio
 Sintesi dei Principi
I Principi coprono quattro ambiti strettamente collegati:
I. infrastruttura e governo societario complessivi; II. capacità di aggregazione dei dati di rischio; III. prassi di reportistica in materia di rischio; IV. verifica, strumenti e cooperazione delle autorità di vigilanza
5
INFRASTRUTTURA E GOVERNO SOCIETARIO
Principio 1
 Governo societario – Le capacità di aggregazione dei dati di rischio e le relative prassi di
reportistica di una banca dovrebbero essere sottoposte a solidi dispositivi di governance,
coerenti con gli altri principi e orientamenti emanati dal Comitato di Basilea.
Principio 2
 Architettura dei dati e infrastruttura informatica – Una banca dovrebbe progettare, realizzare
e mantenere un’architettura dei dati e un’infrastruttura informatica in grado di sostenere appieno
le capacità di aggregazione dei dati di rischio e le prassi di reportistica non solo in condizioni
normali, ma anche in situazioni di tensione o di crisi, nel rispetto degli altri Principi.
6
CAPACITÀ DI AGGREGAZIONE DEI DATI DI RISCHIO
Principio 3
 Accuratezza e integrità – Le banche dovrebbero essere in grado di generare dati di rischio precisi e affidabili, al fine di soddisfare i requisiti di accuratezza
della reportistica sia in condizioni normali, sia in caso di tensione/crisi. L’aggregazione dei dati dovrebbe essere ampiamente automatizzata, così da ridurre al
minimo la probabilità di errori.
Principio 4
 Completezza – Le banche dovrebbero essere in grado di individuare e aggregare tutti i dati sui rischi rilevanti dell’intero gruppo bancario. Tali dati
dovrebbero essere disponibili per ciascuna linea operativa, entità giuridica, tipo di attività, settore economico, area geografica e altre categorie, come
opportuno a seconda del rischio in questione, in modo da permettere l’individuazione e la reportistica delle posizioni di rischio, delle concentrazioni e dei
rischi emergenti.
Principio 5
 Tempestività – Le banche dovrebbero essere in grado di generare in tempi brevi dati di rischio aggregati e aggiornati, rispettando al tempo stesso i principi
di accuratezza e integrità, completezza e adattabilità. I tempi esatti dipenderanno dalla natura e dalla potenziale volatilità dei rischi oggetto di misurazione,
nonché dalla loro rilevanza per il profilo di rischio complessivo della banca. Essi dipenderanno altresì dai requisiti in termini di periodicità della reportistica per
la gestione dei rischi, sia in situazione normale sia in caso di tensione/crisi, definiti in base alle caratteristiche e al profilo di rischio complessivo delle singole
banche.
Principio 6
 Adattabilità – Le banche dovrebbero essere in grado di generare dati aggregati per soddisfare un’ampia gamma di richieste puntuali, ad hoc, di informazioni
sui rischi, comprese le richieste in situazioni di tensione/crisi, nonché quelle formulate in relazione all’evoluzione delle esigenze interne o per rispondere a
quesiti delle autorità di vigilanza.
7
PRASSI DI REPORTISTICA DEL RISCHIO
Principio 7
 Accuratezza – La reportistica sui rischi dovrebbe veicolare i dati aggregati in maniera accurata e precisa, e fornire una fedele rappresentazione dei rischi.
Essa dovrebbe inoltre essere oggetto di raccordo e convalida.
Principio 8
 Esaustività – La reportistica sui rischi dovrebbe coprire tutte le aree di rischio rilevanti all’interno dell’organizzazione. Essa dovrebbe avere un livello di
approfondimento e di copertura commisurato alle dimensioni e alla complessità delle operazioni e del profilo di rischio della banca, nonché ai requisiti dei
destinatari.
Principio 9
 Chiarezza e utilità – La reportistica sui rischi dovrebbe segnalare le informazioni in maniera chiara e concisa. Essa dovrebbe essere di facile
comprensione e al tempo stesso esauriente, così da favorire un processo decisionale informato. I singoli report dovrebbero contenere informazioni
significative adattate alle esigenze dei destinatari.
Principio 10
 Periodicità – Il consiglio di amministrazione e l’alta direzione (o altri destinatari, se del caso) dovrebbero definire la frequenza della produzione e della
distribuzione della reportistica sui rischi. I requisiti di periodicità dovrebbero riflettere le esigenze dei destinatari, la natura dei rischi segnalati, la rapidità
della loro evoluzione, nonché l’importanza della reportistica stessa ai fini di una corretta gestione dei rischi e di un processo decisionale efficace ed
efficiente nell’intera banca. La frequenza della reportistica dovrebbe aumentare nei periodi di tensione/crisi.
Principio 11
 Diffusione – La reportistica sui rischi dovrebbe essere distribuita alle parti interessate nel rispetto degli obblighi di riservatezza.
8
VERIFICA, STRUMENTI E COOPERAZIONE DELLE AUTORITÀ DI VIGILANZA
Principio 12
 Verifica – Le autorità di vigilanza dovrebbero verificare e valutare periodicamente il rispetto degli undici Principi sopraelencati da parte delle
banche.
Principio 13
 Interventi correttivi e misure prudenziali – Le autorità di vigilanza dovrebbero disporre e fare uso delle risorse e degli strumenti idonei per
esigere dalle banche interventi correttivi efficaci e tempestivi volti a colmare le carenze riscontrate nelle capacità di aggregazione dei dati di
rischio e nelle relative prassi di reportistica. Le autorità di vigilanza dovrebbero essere in grado di ricorrere a una serie di strumenti, incluso al
secondo pilastro.
Principio 14
 Cooperazione tra autorità del paese di origine e del paese ospitante – Le autorità di vigilanza dovrebbero cooperare con le
corrispondenti autorità di altre giurisdizioni ai fini della sorveglianza e della verifica del rispetto dei Principi e, se del caso, ai fini dell’attuazione
di eventuali interventi correttivi.
9
IL 1°AGGIORNAMENTO DELLA CIRC.BANKIT 285
(parte prima, titolo iv, capitolo 1 – governo societario – sezione v – funzionamento degli organi, flussi informativi e ruolo
del presidente)
 Con appositi regolamenti devono essere disciplinati almeno i seguenti aspetti:

tempistica, forme e contenuti della documentazione da trasmettere ai singoli componenti degli organi necessaria ai fini dell’adozione delle
delibere sulle materie all'ordine del giorno; i regolamenti definiscono anche i compiti e i doveri attribuiti ai presidenti degli organi stessi, in punto
di: formazione dell'ordine del giorno; informazione preventiva ai componenti degli organi in relazione agli argomenti all'ordine del giorno;
documentazione e verbalizzazione del processo decisionale; disponibilità ex post di detta documentazione; trasmissione delle delibere
all’Autorità di vigilanza, quando previsto dalla normativa;

individuazione dei soggetti tenuti a inviare, su base regolare, flussi informativi agli organi aziendali, prevedendo in particolare che,
nell’ambito della struttura organizzativa della banca, i responsabili delle funzioni aziendali di controllo devono riferire direttamente agli organi
aziendali;

determinazione del contenuto minimo dei flussi informativi, includendo, tra l'altro, il livello e l'andamento dell'esposizione della banca a tutte
le tipologie di rischio rilevanti (creditizi, di mercato, operativi, reputazionali, ecc.), gli eventuali scostamenti rispetto alle politiche approvate
dall’organo con funzione di supervisione strategica, le tipologie di operazioni innovative e i rispettivi rischi;

gli obblighi di riservatezza cui sono tenuti i componenti e gli accorgimenti previsti per assicurarne il rispetto; la confidenzialità rappresenta un
elemento necessario a garantire che le informazioni possano essere date ai componenti con congruo anticipo e coprire tutti gli aspetti importanti
per l’assunzione delle decisioni.
10
GUIDELINE BCBS ON CORPORATE GOVERNANCE PRINCIPLES FOR BANKS 1/2 (luglio
2015)
Principle 8: Risk communication
‘An effective risk governance framework requires robust communication within the bank about risk, both across the
organisation and through reporting to the board and senior management’.
 Ongoing communication about risk issues, including the bank’s risk strategy, throughout the bank is a key tenet of a strong
risk culture. A strong risk culture should promote risk awareness and encourage open communication and challenge about
risk-taking across the organisation as well as vertically to and from the board and senior management. Senior management
should actively communicate and consult with the control functions on management’s major plans and activities so that the
control functions can effectively discharge their responsibilities.
 Information should be communicated to the board and senior management in a timely, accurate and understandable manner
so that they are equipped to take informed decisions. While ensuring that the board and senior management are sufficiently
informed, management and those responsible for the risk management function should avoid voluminous information that
can make it difficult to identify key issues. Rather, information should be prioritised and presented in a concise, fully
contextualised manner. The board should assess the relevance and the process for maintaining the accuracy of the
information it receives and determine if additional or less information is needed.
 Material risk-related ad hoc information that requires immediate decisions or reactions should be promptly presented to
senior management and, as appropriate, the board, the responsible officers and, where applicable, the heads of control
functions so that suitable measures and activities can be initiated at an early stage.
Segue…
11
GUIDELINE BCBS ON CORPORATE GOVERNANCE PRINCIPLES FOR BANKS 2/2 (luglio
2015)
…segue
 Risk reporting to the board requires careful design in order to convey bank-wide, individual portfolio and other risks in a
concise and meaningful manner. Reporting should accurately communicate risk exposures and results of stress tests or
scenario analyses and should provoke a robust discussion of, for example, the bank’s current and prospective exposures
(particularly under stressed scenarios), risk/return relationships and risk appetite and limits. Reporting should also
include information about the external environment to identify market conditions and trends that may have an impact on
the bank’s current or future risk profile.
 Risk reporting systems should be dynamic, comprehensive and accurate, and should draw on a range of underlying
assumptions. Risk monitoring and reporting should not only occur at the disaggregated level (including material risk
residing in subsidiaries) but should also be aggregated to allow for a bank-wide or integrated perspective of risk
exposures. Risk reporting systems should be clear about any deficiencies or limitations in risk estimates, as well as any
significant embedded assumptions (eg regarding risk dependencies or correlations).
 Banks should avoid organisational “silos” that can impede effective sharing of information across an organisation and can
result in decisions being taken in isolation from the rest of the bank.33 Overcoming these information-sharing obstacles
may require the board, senior management and control functions to re-evaluate established practices in order to
encourage greater communication.
12
VIGILANZA BANCARIA DELLA BCE: PRIORITÀ DELL’MVU PER IL 2016
Governo dei rischi e qualità dei dati
 Il governo dei rischi delle banche sarà valutato tenendo conto del contesto caratterizzato da scarsa redditività e dalla
conseguente ricerca di rendimento, nonché dell’abbondante offerta di finanziamento a costi contenuti da parte delle banche
centrali. Inoltre, come ha messo in luce la crisi finanziaria, gli organi di gestione delle banche non hanno sempre avuto a
disposizione le informazioni sui rischi necessarie ad assumere valide decisioni imprenditoriali e di gestione dei rischi. Una delle
priorità dell’MVU è definire chiaramente le aspettative di vigilanza che gli enti creditizi dovrebbero soddisfare al riguardo.
 Ci si attende che gli organi aziendali esigano e ottengano adeguate informazioni sui rischi, per poter valutare
approfonditamente se le decisioni imprenditoriali comportino livelli di rischio coerenti con gli standard di propensione al rischio
e i limiti all’assunzione dei rischi stabiliti dall’ente stesso. La qualità dei dati e la capacità di aggregazione dei rischi a livello di
impresa sono un presupposto essenziale per l’adozione di valide decisioni basate sul rischio e, di conseguenza, per un
adeguato governo dei rischi.
 L’MVU condurrà quindi un’analisi tematica sulla conformità degli enti creditizi ai principi per l’efficace aggregazione e
segnalazione dei dati sui rischi fissati dal Comitato di Basilea per la vigilanza bancaria (Basel Committee on Banking
Supervision, BCBS). L’analisi sarà anche di sostegno agli interventi varati a seguito dell’analisi tematica sul governo dei rischi e
sulla propensione al rischio condotta dall’MVU nel 2015. Infine, poiché la qualità e la sicurezza dei dati richiedono infrastrutture
informatiche all’avanguardia, l’analisi comprende anche i rischi informatici.
13
BCE: SSM SUPERVISORY STATEMENT ON GOVERNANCE AND RISK APPETITE 1/2
(giugno 2016)
The organisation of boards
 A board’s practices and organisation play a vital role in the quality of debate. On this topic, the thematic review identified that (i)
the time of debate is sometimes too limited, owing to the low frequency or length of meetings, (ii) the documentation is not sent
sufficiently far in advance to board members, (iii) board members are not sufficiently proactive in defining agendas, and (iv) there
are some information asymmetries among board members.
 First, time dedicated to debate should be sufficient, with agendas reflecting the size and complexity of the institution. It is
therefore essential that the full board and its main committees meet frequently and for a sufficient length of time. In sound
observed practice, the frequency of the meeting of the risk and audit committees ranges from 6 to 8 times per year for larger SIs
and is quarterly for smaller SIs.15
 Second, the SSM expects board members to prepare thoroughly for meetings and thus be in a position to identify areas in which
they can challenge the management body in its executive functions. In some institutions, board documentation is systematically
submitted at least five working days in advance so that board members have sufficient time to read and analyse it.
Segue…
14
BCE: SSM SUPERVISORY STATEMENT ON GOVERNANCE AND RISK APPETITE 2/2
(giugno 2016)
…segue
 Third, board members are expected to play a proactive role in preparing the agendas of meetings, suggesting topics to be
discussed rather than leaving it to senior management to set them. Furthermore, the board should regularly ensure that
agendas cover a comprehensive range of topics, reflecting the size, complexity, business model and risks of the institution.
For example, some institutions have implemented a process of agenda-setting across the year (albeit adjusted on a regular
basis) to ensure comprehensive coverage of all risks and material processes.
 Boards should also develop practices to facilitate interaction among the different committees and thereby reduce
information asymmetries among board members. Regular reports by the chairs of board committees to the full board can
facilitate information sharing among board members. In addition, it is recommended that all board members be granted
access to information discussed in all board committees.
 The SSM will also continue to assess the time commitment of board members in order to ensure they are in a position to
dedicate sufficient time to their function, which is a prerequisite for active involvement in board meetings.
15
CONCLUSIONI
Quali informative ?
-
Andamento gestionale (volumi operativi/P&L/delta su bgt ecc)
Rischio
Esiti verifiche funzioni di 2 e 3 livello
Adeguatezza SCI
Organizzazione
Deleghe
Assetto di gruppo
Strategia e analisi di mercato e competitors
Operazioni straordinarie
Rapporti con AA. di VV.
Come ?
Informazioni
- Strutturate (es.: template standard per singola materia/report; report periodico (es trimestrale) con il riepilogo della situazione aziendale (rischi;
patrimonio; reddito; volumi operativi; organizzazione e SCI)
- Facilmente accessibili (tipicamente mediante un data repository dove catalogare i report - ad es. per data; area; originator; destinatario per data;
area; ecc…)
- Modulari (nell’ordine: abstract con indicazioni di sintesi; dati più analitici in back up; indicazione di fonti e chiavi di lettura dei dati; possibilità di
raccordare i dati di report con dati sempre più di dettaglio; indicazione dei riferimenti procedurali interni e delle fonti normative esterne).
16
17
|