Regolamento ICAAP - Banca di Cagliari

Transcript

Progetto Basilea 2
REGOLAMENTO DEL PROCESSO
INTERNO DI VALUTAZIONE
DELL’ADEGUATEZZA PATRIMONIALE
ATTUALE E PROSPETTICA
(ICAAP)
Approvato dal Consiglio di Amministrazione il 06/12/2013
INDICE
1.
2.
PREMESSA........................................................................................................................ 3
RUOLO DEGLI ORGANI DI GOVERNO E CONTROLLO.............................................. 7
2.1 Consiglio di Amministrazione ......................................................................................... 7
2.2 Direzione Generale .......................................................................................................... 9
2.3 Collegio Sindacale.......................................................................................................... 11
3. ARTICOLAZIONE DEL PROCESSO ICAAP.................................................................. 12
3.1 Le fasi del processo ICAAP........................................................................................... 12
3.1.1 Dichiarazione della propensione al rischio ............................................................ 12
3.1.2 Individuazione dei rischi da sottoporre a valutazione............................................. 12
3.1.3 Misurazione/valutazione dei singoli rischi e del relativo capitale interno............... 13
3.1.4 Determinazione del capitale interno complessivo .................................................. 14
3.1.5 Determinazione del capitale complessivo e riconciliazione con il Patrimonio di
Vigilanza ....................................................................................................................... 14
3.1.6 Valutazione dell’adeguatezza patrimoniale............................................................ 14
3.2 Le attività del processo ICAAP........................................................................................ 17
3.2.1 Dichiarazione della propensione al rischio ............................................................ 17
3.2.2 Individuazione dei rischi da sottoporre a valutazione............................................. 18
3.2.3 Misurazione/valutazione dei singoli rischi e del relativo capitale interno............... 20
3.2.4 Determinazione del capitale interno complessivo .................................................. 23
3.2.5 Determinazione del capitale complessivo e riconciliazione con il Patrimonio di
Vigilanza ....................................................................................................................... 24
3.2.6 Valutazione dell’adeguatezza patrimoniale............................................................ 24
4. RUOLI E RESPONSABILITÀ DELLE FUNZIONI AZIENDALI NEL PROCESSO
ICAAP ...................................................................................................................................... 29
2
1. PREMESSA
La Circolare 263/06 della Banca d’Italia, coerentemente con quanto stabilito dalla Direttiva 2006/48/CE
che ha recepito nell’ordinamento comunitario il Nuovo Accordo sul Capitale (c.d. Basilea 2), si articola in
tre Pilastri relativi a: (I) determinazione dei requisiti patrimoniali minimi; (II) processo di controllo
prudenziale; e (III) informativa al pubblico.
In particolare, il Il Pilastro della nuova disciplina prudenziale “disegna” un processo di controllo
prudenziale articolato in due fasi integrate.
La prima fase ICAAP (Internal Capital Adequacy Assessment Process) richiede che le banche svolgano
un’autonoma valutazione della propria adeguatezza patrimoniale, attuale e prospettica, in relazione ai
rischi ai quali sono esposte e alle proprie scelte strategiche.
La seconda fase SREP (Supervisory Review and Evaluation Process), di pertinenza della Vigilanza,
prevede il riesame di tale processo e la formulazione di un giudizio complessivo sulle banche stesse.
Il processo ICAAP, in particolare, ha l’obiettivo di far verificare alle banche l’adeguatezza del proprio
capitale rispetto all’esposizione ai rischi che ne caratterizzano l’operatività. Per conseguire tale obiettivo,
conformemente al principio di proporzionalità che informa tutta la disciplina del processo di controllo
prudenziale, è necessario, in generale, predisporre un solido sistema di governo societario, dotarsi di
un’idonea e chiaramente definita struttura organizzativa, definire e implementare processi per
un’efficace identificazione, gestione, monitoraggio e segnalazione dei rischi e disporre di adeguati
meccanismi di controllo interno.
In tale ambito, il presente Regolamento definisce i principi guida, i ruoli e le responsabilità delle funzioni
organizzative coinvolte nel processo interno di determinazione dell’adeguatezza patrimoniale. Il suo
principale obiettivo consiste, quindi, nell’assicurare la regolare ed efficace esecuzione delle attività di
valutazione del capitale complessivo relativamente alla sua adeguatezza, attuale e prospettica, in
relazione ai rischi assunti e alle strategie aziendali.
La Circolare 263/06 con il proposito di circoscrivere con chiarezza i concetti alla base del dialogo tra la
Vigilanza e gli intermediari in materia di adeguatezza patrimoniale, fornisce le seguenti definizioni per
indicare i requisiti di capitale calcolati internamente (a fronte del singolo rischio o a livello complessivo) e
le risorse patrimoniali utilizzate per la copertura dei singoli rischi o di tutte le esigenze aziendali:

capitale interno: il capitale a rischio, ovvero il fabbisogno di capitale relativo ad un determinato
rischio che la banca ritiene necessario per coprire le perdite eccedenti un dato livello atteso;
3

capitale interno complessivo: il capitale interno riferito a tutti i rischi rilevanti assunti dalla banca
incluse le eventuali eccedenze di capitale interno dovute a considerazioni di carattere strategico;

capitale e capitale complessivo: gli elementi patrimoniali che la banca ritiene possano essere
utilizzati rispettivamente a copertura del capitale interno e del capitale interno complessivo.
Con riferimento alla richiamata nuova regolamentazione prudenziale, la Banca, esercitando la facoltà
prevista dalla Direttiva 2006/48/CE del 14 giugno 2006 (art.152, paragrafo 8), ha optato per il
mantenimento del previgente regime prudenziale fino al 31 dicembre 2007; pertanto le nuove
disposizioni di vigilanza prudenziale si applicano a partire dal 1° gennaio 2008.
In proposito, sulla base di un’accurata analisi costi/benefici, tenuto conto delle proprie caratteristiche
organizzative e operative nonché dei requisiti quantitativi ed organizzativi richiesti per l’adozione di
metodologie più avanzate e in attuazione dei principi di proporzionalità e gradualità che informano la
nuova disciplina prudenziale, la Banca ha deliberato di adottare, almeno inizialmente, l’applicazione di
metodologie standardizzate relativamente alla determinazione del requisito prudenziale a fronte dei
rischi di Primo Pilastro.
In considerazione di tale aspetto ed avendo un attivo inferiore ai 3,5 miliardi di euro, la Banca rientra fra
i soggetti di classe 3, relativamente ai quali la normativa indica specifici approcci semplificati.
Partendo da tali premesse, la Banca intende avvalersi delle metodologie semplificate indicate dalla
Vigilanza per la misurazione e valutazione dei rischi di Secondo Pilastro e per le prove di stress da
condurre; il principio di proporzionalità previsto dalla nuova disciplina è applicato anche in sede di
redazione della rendicontazione sull’ICAAP resa alla Banca d’Italia.
Il presente Regolamento - che è approvato dal Consiglio di Amministrazione e costituisce, con riguardo
all’ICAAP, l'indirizzo cui il Direttore Generale della Banca dovrà attenersi per l’emanazione delle relative
“disposizioni attuative”- si inquadra all’interno dell’approccio progettuale adottato per il disegno,
l’implementazione e la gestione del processo interno di valutazione dell’adeguatezza patrimoniale di
Basilea 2. In tale ambito, è parte integrante del quadro di riferimento relativo all’insieme dei presidi
(politiche, processi, disposizioni interne,…) predisposti per il governo dei rischi.
L’applicazione di tutti i cennati presidi si incardina nell’ambito del complessivo Sistema dei Controlli
Interni della Banca, configurato sulla base dei livelli di controllo definiti dall’Organo di Vigilanza:
o I livello:
4
Controlli di Linea sono effettuati dalle stesse strutture produttive che hanno posto in
-
essere le operazioni o incorporati nelle procedure. I Controlli di Linea sono diretti ad
assicurare il corretto svolgimento delle operazioni;
o II livello:

Valutazione dei Rischi condotte a cura di strutture diverse da quelle produttive, con il
compito di definire le metodologie di misurazione dei rischi, di verificare il rispetto dei limiti
assegnati alle varie funzioni operative e di controllare la coerenza dell’operatività delle
singole aree produttive con gli obiettivi di rischio/rendimento, quantificando il grado di
esposizione ai rischi e gli eventuali impatti economici;

Funzione di Conformità: esternalizzata alla Federazione Lazio Umbria e Sardegna:
funzione indipendente di controllo di secondo livello, costituita con il compito specifico di
promuovere il rispetto delle leggi, delle norme, dei codici interni di comportamento per
minimizzare il rischio di non conformità normativa e i rischi reputazionali a questo
collegati, coadiuvando, per gli aspetti di competenza, nella realizzazione del modello
aziendale di monitoraggio e gestione dei rischi;
o III livello:
-
Revisione Interna a cura dell’Internal Auditing, esternalizzato alla Federazione Lazio
Umbria e Sardegna, con la responsabilità di valutare l’adeguatezza e la funzionalità del
complessivo Sistema dei Controlli Interni. Tale attività è condotta sulla base del piano
annuale delle attività di auditing approvato dal Consiglio di Amministrazione o attraverso
verifiche puntuali sull’operatività delle funzioni coinvolte, richieste in corso d’anno.
La Direzione Generale cura la supervisione dei processi di gestione dei rischi, riportando in proposito al
Consiglio di Amministrazione, e ha, in tale ambito, il compito di coadiuvarlo nelle eventuali attività di
modifica o aggiornamento delle Politiche, generali e specifiche, di gestione dei rischi. In tali attività la
Direzione Generale é supportata dal Comitato di Direzione/Rischi e dalle funzioni aziendali che
concorrono alla gestione dei rischi.
Il presente Regolamento è strutturato nelle seguenti sezioni:
o Ruolo degli organi di governo e controllo, in cui sono delineate le responsabilità degli organi
aziendali in relazione al processo ICAAP.
o Articolazione del processo ICAAP, in cui è delineato il flusso delle attività necessarie al
completamento dello stesso, indicando i relativi responsabili ed i risultati intermedi e finale. La
sezione è suddivisa in una prima parte di inquadramento e una seconda di dettaglio:
5
1) le fasi del processo ICAAP;
2) le attività del processo ICAAP.
o Ruoli e responsabilità delle funzioni aziendali nel processo ICAAP, in cui sono
schematicamente presentate le principali responsabilità assegnate agli organi e alle funzioni
aziendali in relazione a ciascuna delle fasi del processo ICAAP.
o Flussi informativi, in cui sono schematicamente rappresentati i flussi informativi destinati agli
organi e alle funzioni aziendali in relazione al funzionamento del processo ICAAP.
o Allegati:

Normativa interna di riferimento per la gestione dei rischi;

Sintesi delle Metodologie per la misurazione dei rischi e l’esecuzione degli
stress test;

Modello di riferimento del processo di controllo prudenziale.
La Direzione Generale è responsabile della manutenzione del presente Regolamento (in attuazione e
sulla base dell’evoluzione delle decisioni assunte, in materia di disegno, implementazione e gestione del
processo interno di valutazione dell’adeguatezza del capitale, dal Consiglio di Amministrazione).
All’uopo comunica alla funzione organizzativa designata dalla Banca la necessità di aggiornare il
Regolamento e i relativi allegati.
La funzione Organizzazione di concerto con la funzione di conformità è responsabile dell’effettuazione
dell’aggiornamento del Regolamento stesso in stretto accordo con la Funzione di Conformità e con la
Funzione di Risk Controlling. Tali ultime funzioni curano, in accordo con la funzione Organizzazione, la
conformità del Regolamento alla normativa interna ed esterna di riferimento e all’evoluzione operativa
della Banca.
La funzione Organizzazione è chiamata a verificare l’aggiornamento del presente Regolamento almeno
con cadenza annuale.
6
2. RUOLO DEGLI ORGANI DI GOVERNO E CONTROLLO
Nelle disposizioni emanate dalla Banca d’Italia con la Circolare 263/06 non si fa riferimento ad organi
aziendali nominativamente individuati ma, piuttosto, a funzioni quali quelle di “supervisione strategica”,
di “gestione” e di “controllo”. Con l’obiettivo di definire puntualmente i diversi compiti e le connesse
responsabilità, la menzionata normativa introduce una distinzione tra “organi con funzioni di
supervisione strategica”, “organi con funzioni di gestione” e “organi con funzione di controllo”,
distinzione, questa, che deve essere valutata e inquadrata in base all’attuale attribuzione delle
competenze prevista nello statuto della Banca.
Pur nella consapevolezza che l’identificazione delle funzioni sopra richiamate rispetto all’articolazione
delle competenze dei diversi organi della Banca renderà opportuni prossimi approfondimenti in
considerazione delle Istruzioni di Vigilanza sul governo societario di recente emanazione, si ritiene che,
ai fini della Circolare 263/06, sia la “funzione di supervisione strategica” sia quella “di gestione” siano
attualmente incardinate nel Consiglio di Amministrazione della Banca. Con riferimento alla funzione “di
gestione” si segnala un’attiva partecipazione anche della Direzione Generale in virtù dell’assegnazione
alla stessa di deleghe esecutive. Con riguardo all’organo con “funzione di controllo”, lo stesso va
identificato con il Collegio Sindacale. Tale ripartizione delle citate funzioni è, peraltro, contemplata dalla
stessa Circolare 263/06 (Tit. I, Cap. 1, Parte quarta, par. 1, p. 23).
Gli organi aziendali, come emerge chiaramente nel corpo del Regolamento, svolgono congiuntamente
un ruolo di indirizzo, attuazione e controllo del complessivo processo ICAAP, costituendone il
fondamento e realizzandone l’impianto.
2.1 Consiglio di Amministrazione
Il Consiglio di Amministrazione è responsabile del Sistema dei Controlli Interni e, pertanto, nell’ambito
della governance dei rischi, è responsabile della definizione, approvazione e revisione degli orientamenti
strategici e delle linee guida di gestione dei rischi, nonché degli indirizzi per la loro applicazione e
supervisione.
Nell’ambito del processo di valutazione dell’adeguatezza del capitale interno complessivo disciplinato
dalla Circolare Banca d’Italia 263/06, il Consiglio di Amministrazione:
o formula la dichiarazione della propensione al rischio complessiva della Banca;
o definisce e approva il processo per la determinazione del capitale complessivo adeguato in
termini attuali e prospettici a fronteggiare tutti rischi rilevanti;
7
o assicura l’aggiornamento tempestivo di tale processo in relazione a modifiche significative
delle linee strategiche, dell’assetto organizzativo o del contesto operativo di riferimento;
o promuove il pieno utilizzo delle risultanze dell’ICAAP a fini strategici e nelle decisioni
d’impresa.
In particolare, con specifico riferimento ai rischi contemplati nell’ambito del Secondo Pilastro della nuova
disciplina prudenziale, il Consiglio di Amministrazione:
o individua e approva gli orientamenti strategici e le politiche di gestione dei rischi (generali e
specifiche) nonché gli indirizzi per la loro applicazione e supervisione; individua e approva le
eventuali modifiche o aggiornamenti delle stesse;
o verifica che la Direzione Generale definisca l’assetto dei controlli interni (strutture
organizzative, regole e procedure) in modo coerente con la propensione al rischio stabilita,
anche con riferimento all’indipendenza ed adeguatezza delle funzioni di controllo dei rischi;
o assicura che i compiti e le responsabilità siano definiti in modo chiaro ed appropriato, con
particolare riguardo ai meccanismi di delega;
o individua i limiti operativi e i relativi meccanismi di monitoraggio e controllo, coerentemente
con il profilo di rischio accettato;
o approva le modalità, definite dalle Funzioni competenti, attraverso le quali le diverse tipologie
di rischi sono rilevati, analizzati e misurati/valutati e provvede al riesame periodico delle
stesse al fine di assicurarne l’efficacia nel tempo;
o nel caso emergano carenze o anomalie, promuove con tempestività idonee misure correttive;
o assicura che venga definito un sistema di flussi informativi in materia di gestione e controllo
dei rischi, volto a consentire la piena conoscenza e governabilità degli stessi, accurato,
completo e tempestivo;
o assicura l’affidabilità, la completezza e l’efficacia funzionale dei sistemi informativi, che
costituiscono un elemento fondamentale per assicurare una corretta e puntuale gestione dei
rischi.
Nell’ambito del processo ICAAP, il Consiglio di Amministrazione, nel rispetto delle tempistiche di seguito
indicate:
o approva, in fase di definizione dell’intero processo, le responsabilità delle unità organizzative
aziendali da coinvolgere nell’ICAAP;
o approva l’elenco che dettaglia le tipologie di rischi significativi individuati;
8
o approva, con frequenza annuale, i piani di fabbisogno di capitale predisposti, in stretto
raccordo con la funzione all’uopo designata , previa determinazione del capitale interno
complessivo;
o delibera, su proposta della Direzione Generale, eventuali misure correttive straordinarie volte
all’aumento della capitalizzazione della Banca, qualora dall’attività di riconciliazione emerga
l’insufficienza del capitale complessivo a fronte dei fabbisogni di capitale interno complessivo;
o in sede di prima applicazione del processo ICAAP, e ogni qualvolta intervengano cambiamenti
rilevanti nelle modalità di determinazione del capitale interno a fronte dei singoli rischi,
delibera – a seguito delle valutazioni condotte dalle competenti funzioni aziendali - in merito
all’approvazione dell’impianto ICAAP complessivo;
o valuta, con periodicità individuata sulla base delle stesse disposizioni prudenziali,
l’adeguatezza dell’ICAAP;
o delibera, sulla base delle risultanze prodotte in fase di autovalutazione dell’ICAAP, eventuali
misure correttive in tema di ruoli e responsabilità del processo, procedure sottostanti, modalità
di rilevazione, analisi, misurazione/valutazione e controllo/mitigazione dei rischi e dei presidi
patrimoniali a fronte degli stessi;
o delibera, annualmente, sulla base del termine previsto dalle stesse disposizioni prudenziali
l’approvazione del Resoconto ICAAP da inviare alla Banca d’Italia.
Nelle attività sopra riportate, il Consiglio di Amministrazione viene supportato operativamente dalla
Direzione Generale.
2.2 Direzione Generale
La Direzione Generale é responsabile dell’attuazione degli orientamenti strategici e delle linee guida
definiti dal Consiglio di Amministrazione cui riporta direttamente in proposito. In tale ambito, è
responsabile della definizione, implementazione e supervisione di un efficace sistema di gestione e
controllo dei rischi.
Con riferimento all’ICAAP, la Direzione Generale dà attuazione al processo stesso, curando che lo
stesso sia rispondente agli indirizzi strategici e alle politiche in materia di gestione dei rischi definiti dal
Consiglio di Amministrazione e che soddisfi i seguenti requisiti:
o consideri tutti i rischi rilevanti;
o incorpori valutazioni prospettiche;
o utilizzi appropriate metodologie;
9
o sia conosciuto e condiviso dalle strutture interne;
o sia adeguatamente formalizzato e documentato (assicurando la formalizzazione e la
documentazione delle fasi del processo di identificazione, misurazione/valutazione, gestione e
controllo dei rischi);
o individui i ruoli e le responsabilità assegnate alle funzioni e alle strutture aziendali (evitando
potenziali conflitti di interesse);
o sia affidato a risorse adeguate per qualità e quantità e dotate dell’autorità necessaria a far
rispettare la pianificazione (assegnando le mansioni a personale qualificato, con adeguato
grado di autonomia di giudizio ed in possesso di esperienze e conoscenze proporzionate ai
compiti da svolgere);
o sia parte integrante dell’attività gestionale.
In tale contesto, la Direzione Generale nell’ambito delle deleghe alla stessa attribuite è responsabile di:
o supportare il Consiglio di Amministrazione nelle definizione delle strategie di esposizione ai
rischi;
o analizzare le tematiche afferenti tutti i rischi aziendali ai fini di definire e mantenere aggiornate
le politiche, generali e specifiche, di gestione, controllo e mitigazione dei rischi;
o definire i processi di gestione, controllo e mitigazione dei rischi, individuando compiti e
responsabilità delle strutture coinvolte;
o istituire e mantenere un efficace sistema di gestione, controllo e mitigazione dei rischi;
o definire l’assetto dei controlli interni (strutture organizzative, regole e procedure) in modo
coerente con la propensione al rischio stabilita, anche con riferimento all’indipendenza e
adeguatezza delle funzioni di controllo dei rischi;
o verificare nel continuo la funzionalità, l’efficienza e l’efficacia del sistema di gestione e
controllo dei rischi provvedendo al suo adeguamento in relazione ad eventuali anomalie
riscontrate, ai cambiamenti del contesto di riferimento esterno o interno o derivanti
dell’introduzione di nuovi prodotti, attività o processi rilevanti;
o definire i criteri del sistema di reporting direzionale e verso le funzioni di controllo interno,
individuandone finalità, periodicità e funzioni responsabili;
o assicurare che le unità organizzative competenti definiscano ed applichino metodologie e
strumenti adeguati per l’analisi, la misurazione/valutazione ed il controllo/mitigazione dei rischi
individuati;
o coordinare, con il supporto del Comitato di Direzione/Rischi, le attività delle unità
organizzative coinvolte nella gestione, valutazione e controllo dei singoli rischi;
10
o curare l’affidabilità, la completezza e l’efficacia funzionale dei sistemi informativi;
o riportare al Consiglio di Amministrazione ed al Collegio Sindacale sull’andamento dei rischi e
su eventuali anomalie relative ad aspetti organizzativi ed operativi.
2.3 Collegio Sindacale
Nell’ambito del proprio ruolo istituzionale, il Collegio Sindacale vigila sull’adeguatezza e sulla
rispondenza dell’intero processo ICAAP e del sistema di gestione e controllo dei rischi ai requisiti stabiliti
dalla normativa.
Per lo svolgimento delle proprie funzioni, il Collegio Sindacale si avvale delle evidenze e delle
segnalazioni delle funzioni di controllo (Internal Auditing, Funzione di Conformità, Risk Controlling).
Nell’effettuare il controllo il Collegio Sindacale valuta le eventuali anomalie che siano sintomatiche di
disfunzioni degli organi responsabili.
Con specifico riferimento al processo ICAAP, il Collegio Sindacale:
o riceve e analizza le politiche, generali e specifiche, definite e approvate dal Consiglio di
Amministrazione per la gestione dei rischi proponendone l’eventuale modifica o
aggiornamento;
o supporta il Consiglio di Amministrazione nella periodica valutazione del processo;
o valuta il grado di efficienza e di adeguatezza del sistema dei controlli interni, con particolare
riguardo al controllo dei rischi, al funzionamento dell’Internal Auditing e delle altre funzioni di
controllo aziendali, al sistema informativo – contabile;
o analizza i flussi informativi messi a disposizione da parte degli altri organi aziendali e delle
funzioni di controllo interno;
o formula osservazioni e proposte agli organi competenti, qualora nell’ambito delle attività di
verifica delle procedure operative e di riscontro rilevi che i relativi assetti richiedano modifiche
non marginali.
11
3. ARTICOLAZIONE DEL PROCESSO ICAAP
Di seguito sono illustrati gli aspetti organizzativi, definiti in coerenza con le indicazioni fornite dalla citata
disciplina, necessari a garantire il presidio dell’ICAAP da parte della Banca.
Nella prima parte del capitolo si fornisce un inquadramento generale del processo ICAAP, elencandone
le fasi ed i relativi obiettivi; nella seconda parte, si descrivono in dettaglio le attività in cui si articola
ciascuna fase, indicando le unità organizzative responsabili, la periodicità di svolgimento delle stesse e
gli strumenti a supporto.
3.1 Le fasi del processo ICAAP
L’ICAAP può essere articolato in specifiche fasi, individuate anche a livello regolamentare, delle quali
sono responsabili diverse unità organizzative della Banca.
Nell’Allegato 1 al presente Regolamento, “Modello di riferimento del processo di controllo prudenziale” è
riportato lo schema di sintesi del processo.
Di seguito, si riportano le sei principali fasi del processo ICAAP ed i relativi obiettivi.
3.1.1 Dichiarazione della propensione al rischio
In questa fase la banca dichiara, coerentemente con la mission aziendale e lo statuto, la propria
propensione al rischio in termini complessivi, sia qualitativamente, sia quantitativamente, identificando
opportuni indicatori di sorveglianza, vincolandoli sia alle soglie regolamentari, sia eventualmente a valori
più prudenziali.
3.1.2 Individuazione dei rischi da sottoporre a valutazione
Tale fase è finalizzata all’identificazione, in maniera strutturata, di tutti i rischi che potrebbero
ostacolare o limitare la Banca nel pieno raggiungimento dei propri obiettivi strategici e, pertanto, da
sottoporre a misurazione o valutazione.
Può essere declinata nella:
12
-
identificazione dei rischi ai quali la Banca risulta esposta rispetto all’operatività e ai mercati di
riferimento nonché ai fattori di contesto derivanti dalla propria natura cooperativa;
-
individuazione, per ciascuna tipologia di rischio identificata, delle relative fonti di generazione
(ad esempio, portafogli, unità operative, condizioni di mercato), delle strutture responsabili
della gestione, degli strumenti e delle metodologie a presidio della loro misurazione e
gestione.
La fase in argomento guida tutti i successivi step del processo permettendo di gestire e controllare i
rischi identificati.
Al fine di individuare i rischi rilevanti, la Banca, durante le attività di assessment, prende in
considerazione almeno tutti i rischi contenuti nell’elenco di cui all’Allegato A della Circolare 263/061. Tale
elenco viene ampliato durante l’analisi al fine di meglio comprendere e riflettere il business e l’operatività
aziendale.
3.1.3 Misurazione/valutazione dei singoli rischi e del relativo capitale interno
Tale fase è finalizzata al calcolo del capitale interno, applicando le metodologie definite e mediante
l’utilizzo di strumenti dedicati, per i rischi di:
o I Pilastro: credito, controparte, mercato, operativo;
o II Pilastro: concentrazione, tasso d’interesse sul portafoglio bancario;
ed alla valutazione del rischio di liquidità – sulla base delle linee guida in materia indicate dalla Circolare
263/06 – e delle altre tipologie di rischio di II Pilastro difficilmente quantificabili (tra i quali, rischio
residuo, rischio derivante da cartolarizzazione, rischio reputazionale e rischio strategico).
Nello stesso contesto, tenuto conto delle indicazioni previste dalla citata disciplina prudenziale, sono
definite ed eseguite prove di stress in termini di analisi di sensitività riguardo ai principali rischi assunti.
I relativi risultati, opportunamente analizzati, conducono, tra l’altro, ad una migliore valutazione
dell’esposizione della banca ai rischi stessi.
1
Cfr Allegato 3, Rischi di II Pilastro.
13
3.1.4 Determinazione del capitale interno complessivo
Tale fase del processo ha come obiettivo l’acquisizione dei singoli valori di assorbimento patrimoniale
determinati a fronte di ciascuna classe di rischio e la loro aggregazione, secondo un approccio definito a
building block, ai fini della determinazione del capitale interno complessivo.
Rientra in tale fase del processo la valutazione dell’esigenza di mantenere una porzione di capitale
aggiuntivo, a sostegno di iniziative di carattere strategico.
I relativi risultati vanno a confluire in una reportistica appositamente predisposta per l’invio agli organi
societari ed alle strutture aziendali interessate.
3.1.5 Determinazione del capitale complessivo e riconciliazione con il Patrimonio di Vigilanza
L’obiettivo di tale fase del processo ICAAP è determinare le componenti del capitale complessivo,
riconciliandolo con la definizione di Patrimonio di Vigilanza.
Pertanto:
-
sono individuate le componenti patrimoniali a copertura del capitale interno
complessivo (capitale complessivo).
-
è effettuata la riconciliazione del capitale complessivo con l’ammontare del Patrimonio
di Vigilanza e formalizzate le motivazioni che hanno condotto all’eventuale inclusione
degli elementi patrimoniali non computabili nel Patrimonio di Vigilanza.
3.1.6 Valutazione dell’adeguatezza patrimoniale
L’obiettivo di tale fase del processo ICAAP è verificare la copertura del fabbisogno di capitale interno
complessivo con il capitale complessivo disponibile, riconciliato con il Patrimonio di Vigilanza.
Qualora si rilevi un fabbisogno di capitale interno eccedente il capitale complessivo disponibile gli organi
aziendali vengono tempestivamente informati per l’assunzione delle conseguenti iniziative.
La normativa di vigilanza richiede, inoltre, lo svolgimento di alcune attività che consentono il
completamento del processo ICAAP e sono volte a garantirne il corretto funzionamento.
In particolare, la Banca pone in essere le attività di:
o Auto-valutazione della solidità del processo per la determinazione del capitale interno:
consiste in un’analisi critica, volta ad identificare le aree del processo suscettibili di
14
miglioramento ed a pianificare i necessari interventi sul piano patrimoniale e/o organizzativo.
Gli esiti di tale valutazione sono sottoposti all’approvazione degli organi aziendali ed entrano a
far parte della documentazione trasmessa alla Banca d’Italia. L’Auto-valutazione svolge una
funzione particolarmente significativa nei primi anni di impianto del processo ICAAP,
consentendone un progressivo affinamento nel tempo.
o Revisione interna del processo ICAAP: la funzione di Internal Auditing esercita la propria
attività di analisi e controllo del processo ICAAP nell’ambito del normale piano di audit.
L’attività si sostanzia nell’analisi dei flussi informativi provenienti e diretti agli organi e funzioni
aziendali, nell’individuazione di andamenti anomali, violazioni delle procedure e della
regolamentazione e nella verifica dell’attivazione degli interventi individuati. Gli esiti del lavoro
di revisione interna sono formalizzati e sottoposti agli organi aziendali.
o Analisi ed approvazione da parte degli organi societari: gli organi aziendali, oltre a fornire gli
orientamenti strategici ed indicare le politiche di gestione del rischio, analizzano e approvano
il modello organizzativo, le metodologie ed i sistemi utilizzati ai fini ICAAP, eventuali proposte
per la copertura del fabbisogno di capitale, le linee strategiche per l’evoluzione del business,
attribuendo missione e responsabilità a ciascuna unità organizzative coinvolta. L’analisi
comprende, fra le altre cose, la documentazione relativa a:
-
classi di rischio cui la banca è esposta;
-
quantificazione o valutazione di ciascuna classe di rischio e del fabbisogno di capitale
interno complessivo;
-
monitoraggio dei profili di manifestazione di tutte le classi di rischio e valutazione
dell’adeguatezza dei presidi inerenti.
o Predisposizione della documentazione ICAAP: ai fini del completamento del processo ICAAP
è necessario compendiare i documenti di dettaglio esistenti e predisporre annualmente un
resoconto. Relativamente alle aree informative dello stesso per le quali sono disponibili già
documenti che forniscono le relative informazioni, è sufficiente fare rinvio alla documentazione
esistente senza predisporre documenti appositi ai fini di rendicontazione sull’ICAAP. Il
resoconto deve essere condiviso con le strutture aziendali interessate e sottoposto
all’approvazione del Consiglio di Amministrazione.
Gli output attesi per ogni singola fase all’interno del processo, gestito annualmente in maniera iterativa e
continuativa, costituiscono gli input della fase immediatamente successiva.
In particolare, i rischi identificati come significativi nell’ assessment svolto nella prima fase costituiscono
15
la base relativamente alla quale viene impostata l’attività di misurazione o valutazione dei singoli rischi e
del relativo capitale interno.
Il Capitale interno rilevato a fronte dei singoli rischi costituisce la base sulla quale viene impostata
l’attività di misurazione, secondo il già cennato schema a building block, del Capitale interno
complessivo.
A copertura del Capitale interno complessivo, in linea con quanto previsto dalla citata disciplina
prudenziale, la Banca determina il Capitale complessivo e procede alla riconciliazione dello stesso con il
Patrimonio di Vigilanza.
Tutti gli output previsti nelle attività precedenti costituiscono, infine, il presupposto dell’informativa alla
Banca d’Italia formalizzata nel rendiconto annuale ICAAP. Il documento di autovalutazione del processo
ICAAP, allegato al Rendiconto cennato, redatto nell’anno t precedente, costituisce un supporto
all’impostazione dell’ICAAP nell’anno t+1. In tale ottica, le attività di aggiornamento a “regime”,
prendono in considerazione anche quei rischi che, identificati inizialmente come “non significativi”, sono
diventati rilevanti a seguito dell’attivazione di nuove attività o servizi.
16
3.2 Le attività del processo ICAAP
Nel seguito del documento, per ciascuna fase del processo ICAAP, sono illustrate le principali attività, i
relativi responsabili, le informazioni e gli strumenti necessari per il loro svolgimento ed i connessi
risultati.
3.2.1 Dichiarazione della propensione al rischio
Il Consiglio di Amministrazione è responsabile della dichiarazione della propensione al rischio della
banca, in coerenza con lo statuto e la mission aziendale.
Tale fase del processo ICAAP si compone delle seguenti attività:
o dichiarazione di propensione al rischio complessivo qualitativo;
o scelta degli indicatori da utilizzare per il monitoraggio della propensione al rischio
complessiva;
o determinazione / revisione delle soglie di attenzione da attribuire a ciascun indicatore.
La dichiarazione della propensione al rischio complessivo qualitativo è un’attività svolta “una tantum” dal
Consiglio di Amministrazione, formalizzata tramite delibera, non soggetta a variazione, a meno di
modifiche nello statuto, nella mission aziendale o per scelte strategiche.
Gli indicatori da utilizzare per il monitoraggio dell’aderenza dell’operatività della banca alla propensione
al rischio complessivo dichiarata sono proposti dal .Risk Controlling. Possono essere variati e/o
incrementati nel tempo, su proposta del Risk Controlling e approvati dal Consiglio di Amministrazione.
Analogamente, il Risk Controlling propone, dopo un esame di serie storiche opportunamente
approfondite, le soglie di attenzione da associare a ciascun indicatore utilizzato. I livelli delle soglie sono
approvati dal Consiglio di Amministrazione e rimangono in vigore fino a quando non se ne rilevi
l’esigenza di una revisione, proposta sempre dal Risk Controlling.
17
3.2.2 Individuazione dei rischi da sottoporre a valutazione
Il Risk Controlling è responsabile dell’individuazione dei rischi rilevanti per la banca e delle relative fonti
di generazione.
Nello svolgimento di tale attività tiene conto:
o del contesto normativo di riferimento;
o dell’operatività della banca in termini di prodotti e mercati di riferimento;
o delle specificità dell’esercizio dell’attività bancaria nel contesto del Credito Cooperativo;
o degli obiettivi strategici della banca, definiti dal Consiglio di Amministrazione, utili per
individuare gli eventuali rischi prospettici.
Ai fini dell’esecuzione di tali compiti il Risk Controlling si avvale della collaborazione di altre funzioni
aziendali, attraverso interviste dirette ai responsabili o tramite l’attivazione di un tavolo di lavoro
dedicato.
Nello svolgimento delle proprie valutazioni il Risk Controlling, per ogni tipologia di rischio, elabora ed
utilizza una o più delle seguenti fonti informative:
o indicatori di rilevanza, definiti – distintamente per le diverse tipologie di rischio - nelle politiche
e procedure interne alla banca;
o assessment qualitativi sulla significatività dei rischi, condotti con le Unità di Business anche
sulla base delle evidenze emerse dagli indicatori;
o analisi qualitativa del grado di rilevanza effettuata sulla base dell’impatto potenziale e della
probabilità di accadimento.
I dati necessari al calcolo degli indicatori di rilevanza sono messi a disposizione dalle Unità di Business,
volta per volta competenti.
I risultati delle analisi e valutazioni condotte sono discussi e condivisi con le Unità di Business titolari dei
singoli rischi.
Il Risk Controlling elabora un’evidenza sintetica del grado di rilevanza di tutte le tipologie di rischi cui la
banca è esposta, utile all’identificazione di quelli verso i quali devono essere posti in essere adeguati
presidi patrimoniali e/o organizzativi, nonché definite le connesse priorità di intervento.
18
Gli indicatori hanno lo scopo ulteriore di fornire un’indicazione gestionale dell’esposizione della banca
ad un determinato rischio e possono, pertanto, essere utilizzati anche, nelle fasi successive del
processo, per:
o riscontrare l’opportunità di integrare il capitale determinato a fronte dei rischi misurabili con
una porzione aggiuntiva;
o monitorare i profili di manifestazione dei rischi sia oggetto di quantificazione sia non
quantificabili;
o valutare l’esposizione aziendale ai rischi non facilmente quantificabili.
L’elenco dei rischi individuati come rilevanti per la banca deve essere riscontrato con l’elenco riveniente
dalla circolare 263/06 di Banca d’Italia. Il confronto ha l’obiettivo di:
o verificare la completezza dell’elenco interno, rispetto all’elenco minimo regolamentare;
o motivare l’eventuale assenza nell’elenco interno di alcuni dei rischi menzionati dalla Circolare
263/06;
o motivare l’eventuale presenza nell’elenco interno di rischi non menzionati dalla Circolare
263/06.
Il risultato dell’attività è costituito dall’elencazione dei rischi che impattano sull’operatività aziendale e
delle relative fonti.
Nell’individuazione delle fonti dei rischi, il Risk Controlling identifica anche le strutture più adatte alla
gestione di ciascuna classe di rischio in quanto detentrici delle relative informazioni.
La mappa dei rischi e dei relativi attributi viene definita in sede di prima applicazione del processo
ICAAP ed è oggetto di manutenzione nel tempo, sottoponendola ad un riesame critico almeno una volta
l’anno in occasione della stesura del resoconto ICAAP per la Banca d’Italia, ovvero ogniqualvolta
subentri una significativa variazione del contesto operativo o del mercato di riferimento della banca.
Il documento finale, risultante dalle attività sopra descritte, viene sottoposto all’approvazione del
Consiglio di Amministrazione e portato a conoscenza di tutte le strutture operative che possono essere
direttamente o indirettamente interessate.
19
3.2.3 Misurazione/valutazione dei singoli rischi e del relativo capitale interno
Con riferimento all’elenco dei rischi significativi individuato nella fase precedente, il Risk Controlling,
tenuto conto della natura di ciascuno di essi e della disponibilità da parte della banca di metodologie e
competenze adeguate per determinare il relativo capitale interno, classifica gli stessi in rischi
quantificabili e in rischi difficilmente quantificabili da assoggettare ad opportuni sistemi di attenuazione e
controllo.
Il Risk Controlling associa, quindi, a ciascuno dei rischi le metodologie e gli strumenti da utilizzare ai fini
della loro quantificazione o valutazione qualitativa, o definiti nelle politiche e procedure interne della
banca.
L’elenco viene sottoposto all’approvazione preventiva della Direzione Generale che assegna
formalmente, ove ritenuto necessario, le relative responsabilità alle strutture.
Ai fini della misurazione/valutazione dei singoli rischi e del relativo capitale interno, il Risk Controlling, in
collaborazione con le Unità di Business coinvolte secondo le responsabilità individuate, procura i dati
necessari ad alimentare i modelli e gli strumenti individuati per ciascun rischio.
Sulla base delle indicazioni fornite dalla Circolare 263/06, ai fini ICAAP la determinazione del capitale
interno a fronte dei rischi contemplati dal I Pilastro è effettuata secondo le medesime metodologie
regolamentari.
Il Risk Controlling, in collaborazione con le Unità di Business coinvolte secondo le responsabilità
individuate, è responsabile dell’effettuazione del calcolo, secondo le metodologie definite dal Consiglio
di Amministrazione ai fini regolamentari, del capitale interno attuale per i rischi definiti nel Primo
Pilastro della nuova disciplina prudenziale:
o rischio di credito;
o rischio di controparte;
o rischio di mercato;
o rischio operativo
Con gli strumenti ed i dati disponibili e sulla base delle metodologie adottate dal Consiglio di
Amministrazione, tenuto conto delle indicazioni fornite dalla Circolare 263/06, il Risk Controlling, in
stretto raccordo con le Unità di Business coinvolte secondo le responsabilità individuate, procede alla
quantificazione del capitale interno attuale anche a fronte degli altri rischi misurabili (ossia di quelli
20
diversi da quelli contemplati dal I Pilastro) tra i quali, perlomeno, il rischio di concentrazione e il rischio di
tasso d’interesse sul portafoglio bancario.
Al fine di determinare le misure di capitale interno prospettico per ciascuno dei rischi misurabili, il Risk
Controlling, in stretto raccordo con le Unità di Business coinvolte secondo le responsabilità individuate,
effettua i medesimi calcoli sopra menzionati definendo le ipotesi di base in funzione delle informazioni
derivanti dal processo di budget e di pianificazione strategica, reperendo i dati ed approntando gli
strumenti/ambienti da utilizzare.
L’ottica previsionale di tale calcolo tiene conto della prevedibile evoluzione dei rischi e dell’operatività in
un lasso temporale che porti fino alla conclusione dell’esercizio in corso al momento del calcolo.
I dati di budget utilizzati devono essere coerenti con le assunzioni effettuate in sede di definizione della
pianificazione strategica. Per il calcolo relativo al rischio di credito, il Risk Controlling, in collaborazione
con il responsabile dell’Area Crediti, stabilisce se è necessario effettuare anche una specifica
valutazione della dinamica evolutiva delle insolvenze.
Con riguardo ai rischi rilevanti che risultano difficilmente quantificabili, il Risk Controlling provvede alla
relativa valutazione alla luce del grado di rischio determinato sulla base degli indicatori di rilevanza (già
oggetto di precedente definizione) e dei presidi interni di controllo e mitigazione . In particolare, il Risk
Controlling utilizza gli indicatori di rischio calcolati nonché gli elementi utilizzati per l’analisi qualitativa
del grado di rilevanza dei rischi (funzione dell’impatto potenziale e della probabilità di accadimento
relativi) ed effettua direttamente il risk assessment, con il supporto delle Unità di business coinvolte,
esprimendo il valore del rischio residuo aziendale attraverso:

l’individuazione delle attività aziendali che possono originare ogni singola tipologia di tali
rischi;

le azioni volte a ridurre la probabilità di accadimento degli eventi dannosi, definite sulla base
della struttura dei controlli inerenti (di linea e di II livello) e del modello di reporting relativo.
Con l’obiettivo di affinare la valutazione dell’esposizione ai rischi identificati dal Consiglio di
Amministrazione come maggiormente rilevanti, il Risk Controlling, con il supporto delle Unità di
Business, predispone specifiche prove di stress sulla determinazione del capitale interno attuale e
prospettico, in applicazione delle metodologie specificamente individuate dal Consiglio di
Amministrazione, definendo le ipotesi di base, reperendo i dati relativi ed approntando gli strumenti e
21
ambienti da utilizzare. Le relative tecniche di conduzione sono oggetto di illustrazione nel rendiconto
ICAAP.
Le prove di stress, in considerazione della posizione assunta dalla Banca rispetto alle indicazioni fornite
dalle Istruzioni di Vigilanza per le banche di Classe 3, vengono effettuate con riguardo ai seguenti rischi:
o rischio di credito;
o rischio di concentrazione del portafoglio crediti;
o rischio di tasso di interesse sul portafoglio bancario.
Per effettuare le prove di stress su questi ultimi due rischi la Banca fa riferimento alle metodologie
semplificate illustrate negli Allegati B e C alla Circ.263/06 della Banca d’Italia.
Con particolare riferimento al rischio di liquidità, in considerazione delle pecurialità del rischio stesso e
delle esigenze di dare attuazione a un adeguato sistema di attenuazione e controllo, il Consiglio di
Amministrazione ha deliberato il documento “Politiche per la gestione del rischio di liquidità” che
persegue la finalità di formalizzare e “modellizzare” il processo di gestione e controllo della liquidità
attribuendo le specifiche responsabilità in materia. In attuazione di tale modello il Risk Controlling
effettua prove di stress anche per quest’ultimo rischio, in aggiunta a quelle sopra citate, avvalendosi
della metodologia appositamente sviluppata e delineata nell’ambito della richiamata disposizione interna
della banca.
Nel caso in cui dai risultati degli stress test si evidenzi l’inadeguatezza dei presidi di natura diversa posti
in essere a fronte dei rischi stessi, viene valutata l’opportunità di adottare appropriate misure
organizzative e/o di integrare con un ulteriore quota l’ammontare di capitale stimato a ulteriore presidio.
Analogamente, per i rischi difficilmente quantificabili, i risultati del risk self assessment sopra richiamato
oltre a supportare l’individuazione di criticità e problematiche legate ai connessi rischi, se ritenuti
particolarmente significativi possono condurre alla definizione di presidi organizzativi e/o di una porzione
di capitale interno (capital buffer).
Il risultato finale di tali calcoli, incluse le prove di stress, è costituito dalle singole misure di capitale
interno a fronte di tutti i rischi rilevanti per la banca, in ottica attuale e prospettica, e come tale
costituisce l’elemento di partenza per la determinazione del capitale interno complessivo.
Tali risultati sono discussi e condivisi dal Risk Controlling, ai fini della approvazione preventiva degli
stessi, con la Direzione Generale.
22
Ai fini dell’adeguato monitoraggio e gestione dei profili di manifestazione di ogni singola tipologia di
rischio significativo individuato, le Unità di business titolari, sotto il coordinamento e la supervisione del
Risk Controlling, elaborano e analizzano gli indicatori di rilevanza dei rischi definiti dal Consiglio di
Amministrazione e specificati nelle politiche di gestione dei rischi stessi o nei regolamenti di processo
inerenti. Tale attività viene effettuata con cadenza coerente con le caratteristiche dei rischi stessi e
comunque almeno su base trimestrale. Il Risk Controlling valuta i risultati ottenuti dall’elaborazione degli
indicatori ed eventualmente, in caso di valori particolarmente significativi e anche con riferimento ai
rischi misurabili, propone, in un’ottica estremamente prudenziale la definizione di presidi organizzativi
e/o di un’ulteriore quota di capitale interno a fronte dei rischi.
In ogni caso verifica che venga sfruttata la valenza gestionale delle informazioni ricavate per monitorare
i rischi ed eventualmente individuare e avviare le azioni di mitigazione degli stessi.
3.2.4 Determinazione del capitale interno complessivo
Il Risk Controlling è responsabile della quantificazione del capitale interno complessivo in ottica sia
attuale sia prospettica.
La determinazione del capitale interno complessivo è effettuata aggregando i requisiti patrimoniali dei
rischi di I Pilastro con i capitali interni dei rischi di II Pilastro, misurati nella fase precedente, secondo un
approccio building block semplificato, come indicato dalla normativa per le banche di Classe 3.
L’approccio building block consiste nella somma algebrica dei singoli capitali interni per addivenire al
capitale interno complessivo.
Il Risk Controlling effettua separatamente il calcolo per la determinazione del capitale interno
complessivo attuale e prospettico e verifica la coerenza con il piano strategico, con lo specifico obiettivo
di accertarsi che l’impatto sul fabbisogno di capitale derivante da eventuali operazioni straordinarie sia
correttamente valutato. Parimenti, attraverso l’analisi dei flussi netti di cassa attesi - anche in scenari
avversi -, verifica la coerenza del piano strategico con l’obiettivo di garantire una gestione sana,
prudente ed equilibrata della liquidità della banca.
In tale contesto viene determinata anche l’eventuale misura aggiuntiva di capitale a sostegno di
iniziative di natura mutualistica o puramente strategica.
23
3.2.5 Determinazione del capitale complessivo e riconciliazione con il Patrimonio di Vigilanza
L’Area Amministrazione Bilancio e Segnalazioni predispone le informazioni contabili e di vigilanza per la
determinazione della struttura del capitale complessivo in ottica attuale e prospettica e determina, in
stretto raccordo con il Risk Controlling, l’ammontare del capitale complessivo individuando gli elementi
patrimoniali che ritiene più appropriati per la copertura del capitale interno complessivo in ottica attuale
e prospettica.
A tale proposito, tenuto conto anche delle specificità normative e operative della banca in materia, il
Patrimonio di Vigilanza costituisce l’aggregato principale di riferimento in quanto oltre a rappresentare
un archetipo dettato da prassi consolidate e condivise, agevola la dialettica con l’Organo di Vigilanza
relativamente a tale fase del ICAAP.
Infine, procede alla riconciliazione del capitale complessivo con il patrimonio di vigilanza, individuando,
fra gli elementi patrimoniali ritenuti appropriati per la copertura del capitale interno, le poste riconducibili
al patrimonio di vigilanza.
Individua, inoltre, separatamente le poste non riconducibili, ma utilizzate a fronte del capitale interno
complessivo; per queste ultime procede ad un’adeguata formalizzazione delle motivazioni che hanno
condotto alla loro inclusione.
3.2.6 Valutazione dell’adeguatezza patrimoniale
Il Risk Controlling effettua il raffronto fra il capitale interno complessivo ed il capitale complessivo –
separatamente in ottica attuale e prospettica – e, in caso di scostamenti:
o identifica, di concerto con le unità di business interessate, le azioni correttive da intraprendere;
o stima gli oneri connessi con il reperimento di eventuali risorse patrimoniali aggiuntive rispetto
a quelle correnti o a quelle già pianificate;
o informa prontamente il Direttore Generale, e per esso il CdA, sugli scostamenti,
relazionandolo in merito alle possibili soluzioni.
24
Di seguito sono descritte le attività che consentono il completamento del processo ICAAP e sono volte a
garantirne il corretto funzionamento.
Autovalutazione del processo ICAAP
Il Consiglio di Amministrazione è responsabile dell’effettuazione, non solo in sede di primo applicazione
ma anche annualmente, di una valutazione della robustezza e dell’adeguatezza del processo ICAAP
rispetto ai suoi obiettivi di quantificazione del rischio e del capitale a copertura. Scopo di tale attività è
anche definire una sintesi sullo stato corrente dei processi di gestione dei rischi all’interno della Banca,
per poter confrontare, in modo omogeneo, i diversi processi e definire le priorità di intervento sulla base
delle maggiori criticità rilevate.
A tal fine sono, tra l’altro, oggetto di valutazione:
o gli elementi, i modelli e le metodologie utilizzate in ambito ICAAP e l’impianto, anche
organizzativo, dello stesso;
o la normativa interna;
o il livello di coinvolgimento delle strutture aziendali;
o i processi, i dati e le informazioni utilizzate e gli eventuali applicativi di supporto;
o la struttura e articolazione del reporting inerente i risultati del processo e la sottostante
documentazione di dettaglio;
o i risultati del self assessment sull’adeguatezza dei processi di gestione dei rischi, anche alla
luce del posizionamento della Banca per ogni tipologia di rischio rilevante.
La Direzione Generale supporta il Consiglio di Amministrazione nella conduzione dell’autovalutazione.
In tale ambito:
o riferisce al Consiglio di Amministrazione e al Collegio Sindacale, con periodicità perlomeno
annuale, sull’adeguatezza del processo e della complessiva gestione dei rischi;
o sottopone il piano degli interventi migliorativi definiti sia con riferimento ad eventuali carenze
operative ed organizzative sia a seguito dell’identificazione di nuovi fattori di rischio emersi in
fase di valutazione o di mutamenti del contesto normativo, operativo, organizzativo di
riferimento, all’approvazione del Consiglio di Amministrazione;
o assicura la programmazione degli interventi migliorativi;
25
o coordina le strutture della banca coinvolte nell’implementazione degli interventi necessari
all’irrobustimento e perfezionamento del processo ICAAP, fornendo al Consiglio di
Amministrazione periodica informativa sullo stato di avanzamento degli stessi;
o fornisce tempestiva informazione al Consiglio di Amministrazione su ogni criticità emersa che
possa comportare un alto rischio di non conseguire gli obiettivi strategici aziendali.
Il Risk Controlling è responsabile dell’esecuzione delle attività strumentali all’autovalutazione, in
particolare:
o analizza, anche sulla base delle eventuali evidenze rappresentate dalle altre Funzioni:
-
gli elementi, i modelli e le metodologie utilizzate in ambito ICAAP, nonché
l’impianto organizzativo dello stesso in termini di rispondenza al conseguimento
degli obiettivi assegnati;
-
i processi e gli eventuali applicativi di supporto nonché i dati e le informazioni
utilizzate;
-
il livello di formalizzazione delle disposizioni normative interne;
-
i report riportanti i risultati e la documentazione di dettaglio inerente;
o individua eventuali aree critiche o da migliorare e le ordina in base alla loro gravità;
o definisce di conseguenza, di concerto con le Unità di Business coinvolte, gli interventi
correttivi da porre in essere;
o formalizza tali interventi in un piano che dettaglia tempi e costi degli stessi.
Il piano viene condiviso con la Direzione Generale.
L’Auto-valutazione deve essere adeguatamente rappresentata in un documento, approvato dal
Consiglio di Amministrazione, che entra a far parte del Resoconto ICAAP, inviato annualmente alla
Banca d’Italia.
Ad eccezione di quella redatta in sede di prima applicazione, l’Auto-valutazione deve ogni anno fornire
un riscontro in merito alle carenze individuate nell’anno precedente e all’attuazione degli interventi
programmati, al fine di dare un senso di continuità alle iniziative della Banca relative al processo
ICAAP.
Ai fini della valutazione dei vari aspetti menzionati, il Risk Controlling può avvalersi del contributo
fornito dall’Internal Auditing, tenendo in considerazione gli esiti di eventuali attività di verifica condotte
26
sul processo ICCAP o componenti dello stesso.
Revisione interna
La Funzione di Internal Auditing sottopone a revisione interna l’intero processo, valutando la funzionalità
del complessivo assetto di gestione, misurazione e controllo dei rischi e del capitale della Banca.
In tale contesto fa riferimento anche alle informazioni provenienti dall’Auto-valutazione condotta
annualmente da parte del Risk Controlling.
L’Internal Auditing, in particolare, svolge le seguenti attività:
o analizza i flussi informativi rivenienti da altri organi/funzioni aziendali, dalle Autorità di
Vigilanza o dal sistema dei controlli interni;
o individua gli andamenti anomali e le violazioni delle procedure o dei regolamenti;
o identifica le aree del processo suscettibili di miglioramento.
Le evidenze rivenienti dall’attività di revisione interna possono condurre a:
o integrare il resoconto da inviare alla Banca d’Italia;
o proporre degli interventi di dettaglio sul piano patrimoniale e organizzativo.
È cura della Funzione di Internal Auditing verificare, nel tempo, l’attivazione degli interventi individuati.
Le relazioni di revisione interna devono essere formalizzate e sottoposte agli organi aziendali.
Approvazione da parte degli organi societari
Il Consiglio di Amministrazione analizza:
o il processo ICAAP e i connessi processi di gestione dei rischi;
o la documentazione relativa alle classi di rischio cui la banca è esposta;
o la documentazione relativa alla quantificazione/valutazione di ciascuna classe di rischio e alla
definizione del capitale complessivo a presidio degli stessi;
o i piani di fabbisogno di capitale predisposti, le azioni correttive da intraprendere e la stima
degli oneri connessi con il reperimento di eventuali risorse patrimoniali aggiuntive rispetto a
quelle correnti;
o le risultanze dell’autovalutazione sull’adeguatezza dell’ICAAP e dei processi di gestione dei
rischi nonché il piano degli interventi conseguente.
L’analisi deve essere effettuata in sede di prima applicazione dell’ICAAP ed ogni volta in cui
intervengano modifiche significative nell’operatività della banca o nel contesto normativo o di mercato.
27
Nel caso in cui gli organi aziendali individuino degli elementi da modificare o migliorare, forniscono il loro
ritorno alle strutture richiedendo i chiarimenti o gli interventi del caso.
Diversamente, il Consiglio di Amministrazione approva con delibera il complessivo impianto di
determinazione del capitale interno complessivo e ne delibera l’invio alla Banca d’Italia.
Documentazione ICAAP
Il Risk Controlling è responsabile della predisposizione o rilevazione della documentazione per le aree
informative relative a:
o metodologie e criteri utilizzati per identificazione, misurazione/valutazione, aggregazione delle
risultanze determinate per i singoli rischi e conduzione delle prove di stress;
o individuazione e stima delle componenti del capitale interno complessivo relativo alla fine
dell’esercizio precedente e dell’esercizio in corso;
Deve, inoltre, raccogliere la documentazione predisposta dalle altre Funzioni ed in particolare:
o documentazione delle linee strategiche e dell’orizzonte previsivo considerato;
o determinazione del capitale complessivo attuale e prospettico;
o raccordo tra capitale interno complessivo e requisiti regolamentari e tra capitale complessivo
e patrimonio di vigilanza;
o documentazione del governo societario e degli assetti organizzativi e dei sistemi di controllo
interno connessi con l’ICAAP;
o risultanze del risk self assessment predisposto, anche mediante l’elaborazione e analisi degli
indicatori di rilevanza;
o risultanze delle attività di verifica condotte dalla Funzione di Conformità;
o relazioni dell’Internal Auditing e documentazione correlata.
I documenti esistenti, in caso di incompletezza o incongruenze, devono essere finalizzati da ciascuna
delle Funzioni in base alle proprie competenze.
Il Risk Controlling coordina la predisposizione dell’informativa ICAAP e la condivide con le strutture
interessate per l’approvazione preventiva da parte della Direzione Generale.
Il pacchetto informativo così consolidato costituisce la base del dialogo fra la Banca e l’Autorità di
Vigilanza nel corso dello svolgimento del citato SREP.
28
4. RUOLI E RESPONSABILITÀ DELLE FUNZIONI AZIENDALI NEL PROCESSO ICAAP
Nella seguente tabella sono schematicamente presentate le principali responsabilità assegnate agli organi e alle funzioni aziendali in relazione a ciascuna delle fasi
del processo ICAAP.
Funzione / Organo
Aziendale
Principali responsabilità nell’ambito del processo ICAAP

Fase del processo ICAAP
Propone al Consiglio di Amministrazione gli indicatori da utilizzare per il monitoraggio della propensione al rischio e
le relative soglie di attenzione
Individuazione dei rischi

Individua i rischi e le relative fonti.
rilevanti

Riconcilia l’elenco interno dei rischi con quello regolamentare.

Suggerisce al Direttore Generale le strutture responsabili della gestione dei rischi.

Monitora puntualmente i livelli di esposizione.

Associa a ciascun rischio gli indicatori di rilevanza e misura attraverso specifici indicatori il grado di rilevanza degli
Risk Controlling
stessi.

Manutiene ed aggiorna la mappa dei rischi nel tempo.
Funzione / Organo
Aziendale

Sviluppa, manutiene e monitora le metodologie ed i tools di supporto per la valutazione dei rischi, assicurando la
stabilità e la robustezza dei modelli sottostanti e individuando, per ciascun rischio, la metodologia e gli strumenti di Misurazione / valutazione dei
Risk Controlling
valutazione.

Classifica i rischi in base alla possibilità di misurarli o semplicemente valutarli.

Coordina, supervisionandone l’esecuzione, i calcoli dell’assorbimento di capitale attuale e prospettico per ciascuno
rischi rilevanti
dei rischi di I Pilastro. Esegue direttamente le misurazioni dei rischi quantificabili di II Pilastro.

Effettua, anche avvalendosi della attività in tal senso condotte in autonomia dalle Unità di Business titolari, il calcolo
degli indicatori di rilevanza per tutti i rischi individuati come significativi per la banca. Effettua il risk self assessment
relativo ai rischi non quantificabili.

È responsabile dell’analisi e valutazione dei Rischi Operativi, garantendo un’efficace e puntuale valutazione dei
profili di manifestazione relativi, nel rispetto delle modalità operative di propria competenza.

Raccoglie e analizza i risultati del self assessment condotto, per quanto di competenza, dalle diverse Unità di
Business in merito al monitoraggio dei profili di manifestazione dei diversi rischi.

Predispone ed effettua direttamente le prove di stress sulla determinazione del capitale interno attuale e prospettico.

Confronta il capitale interno complessivo ed il capitale complessivo.

Propone azioni correttive a fronte di scostamenti derivanti dal punto precedente e stima gli eventuali oneri connessi

Propone alla Direzione Generale eventuali azioni di mitigazione dei rischi a fronte di gradi di esposizione calcolati
ritenuti critici.

Coordina per gli ambiti di propria competenza, l’implementazione e la gestione degli applicativi informatici a supporto
della rilevazione, del controllo e della misurazione dei rischi.

Sviluppa e produce la reportistica di competenza.
È responsabile, nel rispetto delle modalità operative di propria competenza nell’ambito degli indirizzi definiti dalla relativa
regolamentazione interna, dell’analisi e della valutazione del rischio strategico.
30
Funzione / Organo
Aziendale

Determina il capitale interno complessivo, attuale e prospettico, attraverso l’aggregazione dei requisiti patrimoniali a
fronte dei rischi di I Pilastro con i capitali interni determinati a fronte dei rischi di II Pilastro secondo un approccio Determinazione capitale
Risk Controlling
building block semplificato.

Verifica la coerenza del capitale interno complessivo prospettico con il piano strategico.

Verifica la coerenza del capitale interno complessivo prospettico con il piano strategico, con lo specifico obiettivo di
interno complessivo
accertarsi che l’impatto sul fabbisogno di capitale derivante dallo sviluppo degli obiettivi del piano sia correttamente
valutato.

Determina una misura aggiuntiva di capitale a sostegno di iniziative di natura mutualistica o puramente strategica.

Supporta la Funzione Contabilità Bilancio e Segnalazioni.
Determinazione del Capitale
Complessivo e Riconciliazione
con il Patrimonio di Vigilanza

Supporta la Direzione Generale nell’effettuazione annuale della valutazione della robustezza e dell’adeguatezza del
processo ICAAP e nella redazione del piano degli interventi necessari a colmare i gap individuati. Elabora e
Auto-valutazione
condivide la proposta del piano in argomento con le Unità di Business e la trasmette alla Direzione Generale.

Supporta la Direzione Generale nell’elaborazione del documento per illustrare l’auto-valutazione da sottoporre
all’approvazione del Consiglio di Amministrazione.

Predispone la documentazione metodologica per l’approvazione dell’impianto ICAAP.

Consolida il pacchetto informativo da inviare a Banca d’Italia.
Approvazione CdA
31
Funzione / Organo
Aziendale
Unità di Business 
Collaborano nell’individuazione degli indicatori di rilevanza da associare a ciascun rischio.

Producono e mettono a disposizione i dati necessari al calcolo degli indicatori di rilevanza.

Producono ed inoltrano i dati necessari ad alimentare i modelli e gli strumenti per la misurazione di ciascun rischio e Misurazione / valutazione dei
per l’esecuzione degli stress test.

rischi
Supportano il Risk Controlling nell’esecuzione delle misurazioni/valutazioni dei rischi .
In particolare:
-
Area Finanza: è responsabile dell’analisi, valutazione e mitigazione dei profili di manifestazione di:
1. rischi di mercato, di controparte, di tasso di interesse sul portafoglio bancario, nell’ambito e nel
rispetto degli indirizzi definiti dalle politiche in materia, dalla regolamentazione del processo finanza, dalla
struttura delle deleghe e dei limiti operativi deliberati dal Consiglio di amministrazione;
2. rischio di liquidità nell’ambito e nel rispetto degli indirizzi definiti dalle Politiche e processi di gestione del
rischio di liquidità;
3. rischio derivante da cartolarizzazione nell’ambito e nel rispetto degli indirizzi definiti dalle politiche in
materia e dalla regolamentazione del processo finanza.
-
Area Crediti é responsabile, nell’ambito e nel rispetto degli indirizzi e delle modalità operative di propria competenza
definiti dalla relativa regolamentazione interna del Processo del Credito, dalle politiche in materia e processi di
gestione del rischio di Credito, dalla struttura delle deleghe e dei limiti operativi, dell’analisi, valutazione e
mitigazione dei profili di manifestazione del rischio di credito. A tal fine si avvale degli indicatori e degli strumenti in
uso per il monitoraggio dei profili di insolvenza e del merito creditizio della controparte (CRC, …).
-
É, inoltre, responsabile della elaborazione e analisi degli indicatori inerenti l’esposizione al rischio residuo e delle
attività di monitoraggio e mitigazione dello stesso.
32
Funzione / Organo
Aziendale

Area
Produce ed inoltra i dati necessari ad alimentare i modelli e gli strumenti per la misurazione di ciascun rischio e per
l’esecuzione degli stress test.
Misurazione / valutazione dei
rischi
Amministrazione,

Produce e mette a disposizione i dati necessari al calcolo degli indicatori di rilevanza.
Bilancio e

È responsabile nel rispetto delle modalità operative di propria competenza e nell’ambito degli indirizzi e delle
Segnalazioni
metodologie definiti dal Consiglio di Amministrazione della misurazione:
-
del Rischio di Credito, a tal fine coordinandosi con l’Area Crediti e con il Risk Controlling;
-
del rischio di Mercato e del rischio di Controparte, a tal fine coordinandosi con l’Area Finanza e con il Risk
Controlling;
-
del Rischio Operativo.

Predispone le informazioni contabili e di vigilanza per la determinazione della struttura del capitale complessivo

Determina l’ammontare del capitale complessivo individuando gli elementi patrimoniali più appropriati per la Determinazione del Capitale
copertura del capitale interno complessivo in ottica attuale e prospettica.

Riconcilia il capitale complessivo con il patrimonio di vigilanza, individuando le voci contabili riconducibili o meno a con il Patrimonio di Vigilanza
questo ultimo.

Motiva l’utilizzo di voci patrimoniali non riconducibili al patrimonio di vigilanza.
33
Funzione / Organo
Aziendale

È responsabile, nel rispetto delle modalità operative di propria competenza e degli indirizzi definiti dalla relativa
Funzione di
regolamentazione interna, dell’analisi e della valutazione dei rischi legali e dei rischi reputazionali agli stessi Misurazione / valutazione dei
Conformità
associati, come definito nelle “Politiche e processi per la gestione dei rischi di non conformità”.

Funzione
rischi
È responsabile dell’implementazione delle politiche generali e specifiche di gestione dei rischi nell’ambito della
definizione dei processi e delle procedure organizzative ed informatiche, atte a garantire la gestione dei rischi Auto-valutazione
Organizzazione
aziendali.

È responsabile dell’aggiornamento del Regolamento dell’ICAAP in stretto accordo con la funzione Controllo di
conformità e con la Funzione di Risk Controlling.

Internal Auditing
È responsabile dell’attività di revisione interna e sovraintende e verifica, in tale ambito, il corretto funzionamento del
sistema dei controlli, secondo quanto stabilito dalla normativa di riferimento. Individua andamenti anomali, violazioni Revisione processo ICAAP
delle procedure e della regolamentazione, interna ed esterna, per quanto attiene il complessivo processo di gestione
dei rischi.

Sottopone a revisione interna il processo valutando la funzionalità dei complessivo assetto di gestione, misurazione
e controllo dei rischi e del capitale della Banca.

Propone interventi correttivi.

Porta a conoscenza degli organi aziendali le evidenze dell’attività di revisione.
34
Funzione / Organo
Aziendale

Direzione
Generale
Condivide con il Risk Controlling l’elenco delle strutture responsabili della gestione di ciascun rischio e
all’individuazione delle responsabilità da assegnare.

Supporta il Risk Controlling nell’individuazione / revisione degli indicatori da utilizzare per il monitoraggio della
propensione al rischio e le relative soglie di attenzione

Collabora alla supervisione e coordinamento dei processi di gestione dei rischi attraverso:
-
Il monitoraggio dell’andamento dei rischi stessi, in coerenza con il modello di business e il grado di esposizione
definito dal Consiglio di Amministrazione;
rischi
La valutazione, sulla base delle evidenze elaborate dalle Unità di Business e dalle altre funzioni aziendali
incaricate della gestione dei singoli rischi, delle problematiche e delle criticità relative ad aspetti organizzativi ed
operativi;
-
Analizza e condivide le risultanze delle attività di misurazione/valutazione dei rischi e di self assessment
effettato con riguardo ai profili di manifestazione dei rischi;
-
In collaborazione con il Risk Controlling individua le iniziative di monitoraggio e mitigazione, sulla base delle
evidenze emerse dagli indicatori di rilevanza e dal self assessment di esposizione ai rischi;
-
Formula proposte di modifica o aggiornamento delle politiche in materia di gestione dei rischi;
-
Contribuisce alla promozione nell’azienda di una cultura dei rischi monitorando, tra l’altro le attività formative in
materia;
-
Effettua il monitoraggio sulla reportistica relativa all’analisi dei rischi, al fine di garantirne la puntualità,
completezza ed esaustività.

È responsabile del supporto all’Autorità di Vigilanza nello SREP.
SREP
35
Funzione / Organo
Aziendale
Direzione

Generale

È responsabile della definizione, implementazione e supervisione di un efficace sistema di gestione e controllo dei
rischi, in attuazione degli orientamenti e delle linee guida definite dal Consiglio di Amministrazione.
Verifica nel continuo la funzionalità, l’efficienza e l’efficacia del sistema di gestione e controllo. In tale ambito, cura
rischi
l’esecuzione dell’analisi delle tematiche afferenti tutti i rischi aziendali e propone l’eventuale modifica o
aggiornamento delle politiche generali e specifiche di gestione dei rischi, individua le eventuali criticità e pianifica i
relativi interventi correttivi, in base alle analisi svolte ed alla reportistica prodotta.

Assicura che le funzioni competenti definiscano ed applichino metodologie adeguate per l’analisi, la valutazione ed il
monitoraggio delle varie tipologie di rischio.

Coordina, per il tramite del Risk Controlling, le attività delle unità organizzative coinvolte nella gestione, valutazione e
Determinazione del Capitale
con il Patrimonio di Vigilanza
Auto-valutazione
controllo dei singoli rischi.

È responsabile della gestione e aggiornamento del processo ICAAP relativamente al quale approva in via
preliminare il piano degli interventi di miglioramento da sottoporre al Consiglio di Amministrazione.

Monitora lo stato di avanzamento e riporta i risultati al Consiglio di Amministrazione ed al Collegio Sindacale.

Coordina le strutture della banca coinvolte dai menzionati interventi.

È informato delle eventuali incongruenze tra capitale interno complessivo prospettico e piano strategico e prende
iniziative per l’adeguamento del fabbisogno di capitale da sottoporre all’approvazione del Consiglio di
Amministrazione.
36
Funzione / Organo
Aziendale

Analizza gli elementi costitutivi del complessivo processo ICAAP per l’adozione dell’impianto.
Consiglio di

E’ responsabile della dichiarazione di propensione al rischio qualitativa
Approvazione Consiglio di
Amministrazione

Approva gli indicatori, e le relative soglie, da utilizzare per il monitoraggio della propensione al rischio complessiva
Amministrazione

Nell’ambito della definizione delle politiche di gestione dei rischi, stabilisce gli indirizzi operativi dei processi di
gestione dei rischi con particolare riguardo a:
-
deleghe e responsabilità;
-
ruoli, processi e procedure;
-
tipologie di rischio cui la Banca è esposta e intende gestire;
-
esposizioni in termini di limiti operativi e relative modalità di controllo e gestione, coerentemente con il profilo di
rischio accettato;
-
finalità e frequenza del reporting sull’esposizione ai rischi;
-
affidabilità, completezza ed efficacia funzionale dei sistemi informativi che costituiscono un elemento
fondamentale per assicurare una corretta e puntuale gestione dei rischi;

adeguatezza del processo ICAAP.
Garantisce che le funzioni competenti definiscano ed applichino metodologie adeguate per l’analisi, la valutazione ed
il monitoraggio delle varie tipologie di rischio.

Approva le modifiche e gli aggiornamenti delle politiche generali e specifiche di gestione dei rischi ed il processo
ICAAP.

Assicura l’esecuzione dell’Auto-valutazione ICAAP e ne approva le risultanze.

Approva il Resoconto ICAAP e ne delibera l’inoltro a Banca d’Italia.
37
1) Flussi Informativi
Nella seguente tabella sono schematicamente rappresentati i flussi informativi destinati agli organi e alle funzioni aziendali in relazione al funzionamento del
processo ICAAP.
Per ciascun flusso informativo sono indicate:
o
la funzione aziendale che produce le informazioni;
o
la frequenza minima attesa per l’invio delle stesse.
Funzione aziendale
destinataria
CdA,
Funzione aziendale di
origine
Risk Controlling
Strutture operative interessate
CdA,
Unità di Business
Contenuto informativo
Elenco dei rischi rilevanti per la Banca, corredato dalle seguenti ulteriori Annuale e ad ogni variazione
informazioni:
Risk Controlling
Frequenza minima attesa

relative fonti informative;

riconciliazione con l’elenco minimo fornito da Banca d’Italia;

strutture responsabili per la gestione delle classi di rischio;

metodologie e strumenti di misurazione o valutazione dei rischi;

indicatori di rilevanza.
Sintesi dei risultati degli indicatori di rilevanza e degli assessment condotti da
significativa dell’operatività
aziendale
Almeno annuale per gli organi
presentarsi in forma analitica alle Unità di Business ed in forma più aggregata aziendali; almeno trimestrale per
alla Direzione Generale e al CdA .
le Unità di Business
Funzione aziendale
destinataria
Risk Controlling
origine
Unità di Business
Indicatori di rilevanza elaborati a fini gestionali ed analizzati con riguardo ai
Sulla base della cadenza
profili di manifestazione di ogni singola tipologia di rischio.
individuata per ogni tipologia di
rischio e comunque, perlomeno
trimestralmente
CdA,
Risk Controlling
Monitoraggio indicatori di propensione al rischio complessivo
Sulla base della cadenza
individuata e comunque,
perlomeno trimestralmente
Risk Controlling
Area
Pianificazione Strategica
Amministrazione,
Bilancio e
Informazioni contabili e di vigilanza per la misurazione / valutazione dei singoli Annuale
rischi in ottica attuale e prospettica .
Per determinate tipologie di
Capitale interno attuale a fronte dei rischi di I Pilastro
rischio (ad esempio liquidità) con
Segnalazioni
CdA,
Risk Controlling
cadenza trimestrale o inferiore
Capitale interno e capitale interno complessivo attuale e prospettico.
Annuale
Capitale complessivo in ottica attuale e prospettica.
Annuale
Area Amministrazione,
Bilancio e Segnalazioni
Risk Controlling
Area
Amministrazione,
Bilancio e
Segnalazioni
CdA,
Risk Controlling
Eventuali carenze che emergono dal confronto tra il capitale interno complessivo Annuale e ad ogni variazione
ed il capitale complessivo.
Proposte di azioni correttive a fronte degli scostamenti di cui al punto precedente aziendale
e stima gli eventuali oneri connessi.
39
Funzione aziendale
destinataria
CdA,
origine
Risk Controlling
CdA,
Risk Controlling
CdA,
Internal Audit
Risultanze delle attività condotte ai fini dell’Auto-valutazione e della definizione Annuale e ad ogni variazione
del relativo piano degli interventi per risolvere le criticità o apportare
miglioramenti.
aziendale
Relazione sull’Auto-valutazione.
Annuale
Relazioni sulle attività di revisione del processo ICAAP o di sue componenti.
Su richiesta o secondo il piano
Risk Controlling
CdA,
annuale
Risk Controlling,
Internal Audit
CdA,
Risk Controlling
Documentazione su modelli e metodologie, aspetti organizzativi ed applicativi, Prima applicazione e variazioni
sintesi delle attività di controllo condotte dall’Internal Audit.
significative
Resoconto ICAAP .
Annualmente
40
Allegato 1
NORMATIVA INTERNA DI RIFERIMENTO PER LA GESTIONE DEI RISCHI
Si elenca di seguito la normativa interna di riferimento per la gestione dei rischi
Rischio di Credito
-
Regolamentazione del processo del Credito
-
Politiche e processi per la gestione dei rischio di Credito
-
Delibera inerente i limiti e le deleghe dell’operatività in materia creditizia
-
Regolamento d’uso del Sistema di classificazione del rischio di credito delle BCC-CR (CRC)
Rischio Operativo
-
Piano di Continuità operativa
Rischio di liquidità
-
Politiche e processi per la gestione del rischio di Liquidità
-
Contingency Fundig Plan
Rischio di non conformità
-
Politiche e processi per la gestione del rischio di non conformità
-
Regolamento della Funzione di Conformità
Rischi di Mercato, Rischio di Controparte, Rischio di Tasso
-
Regolamentazione del processo Finanza
-
Delibera inerente i limiti e le deleghe dell’operatività della Finanza
-
Politica di esecuzione e trasmissione degli ordini
-
Politica per la gestione dei conflitti di interesse
-
Politica per la rilevazione e la gestione degli incentivi
-
Politica per la gestione delle operazioni personali
-
Politica per la classificazione della clientela
Allegato 2
SCHEMATIZZAZIONEDEL PROCESSO ICAAP
La scomposizione dell’ICAAP
Il processo ICAAP di autovalutazione dell’adeguatezza patrimoniale attuale e prospettica, assume come riferimento le
seguenti principali fasi riportate nella figura sottostante.
Accanto alle sei fasi che conducono alla stesura del Rendiconto ICAAP si configura logicamente una fase focalizzata
sulle azioni di monitoraggio e reporting.
B.1.
Dichiarazione
della
propensione
al rischio
B.2.
Individuazione
dei rischi da
sottoporre a
valutazione
B.3. Misurazione/
valutazione dei
singoli rischi e del
relativo capitale
interno
B.4. Misurazione
del capitale
interno
complessivo
B.5. Riconciliazione
tra capitale interno
e patrimonio di
vigilanza
B.6.
Valutazione
adeguatezza
patrimoniale
B.7.
Monitoraggio
e Reporting
Rendiconto
ICAAP
Autovalutazione e revisione
Unità organizzativa responsabile (banca/cassa)
CdA
Risk
Controlling
Risk
Controlling
Risk
Controlling
Risk
Controlling
Risk
Controlling
Risk
Controlling
Compliance
Organizzazione
Organizzazione
Amministraz. e
Bilancio
Pianificazione
e controllo
Compliance
Amministraz. e
Bilancio
Risk
Controlling
CDA, DIRETTORE GENERALE, INTERNAL AUDIT
B.1. Dichiarazione della propensione al rischio
Dichiarazione della propensione
al rischio complessiva
qualitativa
Sottofasi
• Dichiarazione al rischio
Attività
complessivo in termini
qualitativi
• Attività svolta “una tantum”,
formalizzata tramite delibera,
non soggetta a variazione, a
meno di modifiche nello
statuto, nella mission
aziendale o per scelte
strategiche
Attori
Coinvolti
•
Scelta / revisione indicatori di
monitoraggio
• Scelta degli indicatori da
utilizzare per il monitoraggio
dell’aderenza tra l’operatività
della banca e la propensione al
rischio complessivo dichiarata
• Revisione periodica per
Determinazione / revisione soglie
di attenzione
• Definizione,
dopo un esame di
serie storiche opportunamente
approfondite, delle soglie di
attenzione da associare a
ciascun indicatore utilizzato.
• Revisione periodica a seguito
variazione e/o incremento
esigenze specifiche
•
Risk Controlling
•
•
CdA
•
Risk Controlling
•
Risk Controlling
•
(Comitato Rischi)
Direttore Generale
•
(Comitato Rischi)
Direttore Generale
•
(Comitato Rischi)
Direttore Generale
CdA
CdA
di
42
B.2. Individuazione dei rischi da sottoporre a valutazione
Individuazione delle fonti
informative dei rischi: unità
organizzative e indicatori di
rilevanza
Definizione e classificazione
dei rischi
Sottofasi
Attività
• Elencazione e mappatura dei
• Attivazione del confronto con i
rischi ai quali la banca
potrebbe essere esposta e
definizione del glossario dei
rischi
responsabili delle Aree di
business mediante interviste o
tavoli di lavoro dedicati
Definizione della posizione della
banca rispetto al rischio di
I e II Pilastro
• Calcolo indicatori di rilevanza
• Elaborazione dell’elenco dei
rischi e del grado di rilevanza
degli stessi
• Mappatura dei rischi sulle unita
• Confronto elenco rischi
individuati dalla Banca con
elenco rischi ex Circ.
263/2006
organizzative e sui processi della
banca
• Reimpostazione della
definizione dei rischi rilevanti,
anche sulla base della
valutazione relativa ai processi
di controllo e gestione dei rischi
• Individuazione degli indicatori di
rilevanza per ogni rischio
• Censimento dei controlli
• Allocazione dei rischi, controlli e
• Verifica della coerenza tra il
limiti sulle Unità Organizzative
•
•
Attori
Coinvolti
•
•
•
•
•
Risk Controlling
Unità di Business
(Crediti e Finanza)
Direttore Generale
Compliance
Organizzazione
•
•
Risk Controlling
Unità di Business
(Crediti e Finanza)
Compliance
Organizzazione
livello atteso (ex-ante) del grado
di sofisticazione dei controlli (da
politiche) e considerazione expost
•
•
•
Risk Controlling
Direttore Generale
Compliance
B.3. Misurazione/ valutazione dei singoli rischi e del relativo
capitale interno
Distinta individuazione
dei rischi “misurabili” e
dei rischi “difficilmente
quantificabili”
Sottofasi
Attività
• Individuazione dei
rischi “misurabili”
• Individuazione dei
rischi “difficilmente
quantificabili”
Attori
Coinvolti
•
•
•
•
•
Risk Controlling
Unità di Business
(Crediti e Finanza)
Compliance
Direzione Generale
Organizzazione
Quantificazione dei
• Produzione dati
necessari alla
quantificazione dei
•
•
•
•
Risk Controlling
Unità di Business
(Crediti e Finanza)
Amministrazione,
Bilancio e Segnalazioni
Internal Audit
Valutazione dei rischi
difficilmente quantificabili
alla luce del grado di
rischio e dei presidi a
mitigazione dello stesso
Prove di stress
• Valutazione dei rischi
• Definizione delle
“difficilmente
quantificabili” sulla base
del grado di rischio
(frequenza/gravità) e
dell’adeguatezza dei
relativi sistemi di controllo
e attenuazione(risultanze
del risk assessment,
analisi delle valutazioni
delI’Internal Audit e dei
relativi contenuti nei
verbali d’ispezione della
Banca d’Italia, etc…)
•
•
Risk Controlling
Pianificazione
Strategica e Controllo
di Gestione
metodologie di stress
testing
• Definizione delle ipotesi
di stress testing
• Esecuzione delle prove
di stress (analisi di
sensitività)
•
Risk
Controlling
43
B.4. Misurazione del capitale interno complessivo
Quantificazione del capitale interno
complessivo attuale
Sottofasi
Quantificazione del capitale interno
complessivo prospettico
• Valutazione delle esigenze di carattere
• Aggregazione dei capitali interni in ottica
Attività
attuale relativi ai singoli rischi (approccio
building block)
strategico
• Aggregazione dei capitali interni in ottica
• Quantificazione del capitale interno
prospettica relativi ai singoli rischi secondo
l’approccio di Vigilanza (“building block”)
complessivo attuale
• Quantificazione del capitale interno
complessivo prospettico
•
•
Attori
Coinvolti
•
•
•
Risk Controlling
Pianificazione Strategica e Controllo di
Gestione
Risk Controlling
Direzione Generale
Pianificazione Strategica e Controllo di
Gestione
B.5. Riconciliazione tra capitale interno e patrimonio di vigilanza
Determinazione
dell’ammontare del
capitale complessivo
attuale
Definizione della
struttura del capitale
complessivo
Sottofasi
• Determinazione delle
Attività
• Determinazione
componenti
patrimoniali a copertura
del capitale interno
complessivo
Determinazione
prospettico
Riconciliazione del
con il Patrimonio di
Vigilanza
• Determinazione
• Determinazione
capitale complessivo in
ottica prospettica
in ottica attuale
dell’ammontare del Patrimonio
di Vigilanza
• Raccordo del capitale interno
complessivo con i requisiti
regolamentari
• Raccordo del capitale
complessivo con il Patrimonio
di Vigilanza
• Formalizzazione delle
motivazioni che hanno
condotto all’inclusione degli
elementi non computabili nel
Patrimonio di Vigilanza
Attori
Coinvolti
•
•
•
Risk Controlling
Amministrazione e
Bilancio
Organizzazione
•
•
Risk Controlling
Amministrazione e
Bilancio
•
•
Risk Controlling
Amministrazione e
Bilancio
•
•
•
Risk Controlling
Amministrazione e
Bilancio
Direttore Generale
44
B.6. Valutazione dell’adeguatezza patrimoniale
Confronto tra capitale
complessivo e capitale
interno complessivo
attuali
Sottofasi
Confronto tra capitale
complessivo e capitale
interno complessivo
prospettici
• Confronto tra
Attività
• Confronto tra
assorbimento e
patrimonio attuali
Valutazioni
• Identificazione delle
azioni correttive da
intraprendere in caso di
scostamenti rispetto agli
obiettivi pianificati
assorbimenti e
patrimonio prospettici
• Stima degli oneri
connessi con il
reperimento delle
eventuali risorse
patrimoniali aggiuntive
rispetto a quelle correnti
Attori
Coinvolti
•
Risk Controlling
•
Risk Controlling
•
•
•
•
Risk Controlling
Amministrazione e
Bilancio
Pianificazione e
Controllo di Gestione
Direttore Generale
B.7. Monitoraggio e reporting
Attività
Pianificazione ed
attivazione degli
interventi
Definizione limiti su
indicatori di rischio
Sottofasi
Monitoraggio
Reporting
• Monitoraggio
• Definizione dei limiti
• Produzione reporting
dell’andamento degli
interventi
per ciascun indicatore
interno
• Produzione reporting
• Valutazione
• Definizione delle azioni
esterno
dell’adeguatezza degli
indicatori di rischio e dei
limiti
correttive (interventi
organizzativi e
interventi sul capitale)
• Valutazione
dell’adeguatezza delle
interventi attivati
Attori
Coinvolti
•
Risk Controlling
•
Risk Controlling
•
•
Risk Controlling
Direttore Generale
•
•
Risk Controlling
Direttore Generale
45