11

BASILEA 2 E IL RISCHIO OPERATIVO

Verona, 24 Novembre 2008

Corso di Sistemi Informativi Corso di Sistemi Informativi per gli Intermediari Finanziariper gli Intermediari Finanziari

2

COMITATO DI BASILEA

Nel 1974 nasce, per iniziativa dei paesi più

industrializzati (G10), il Comitato di Basilea per la vigilanza bancaria, il quale

si riunisce periodicamente presso la Banca dei Regolamenti Internazionali con sede a Basilea.

Gli obiettivi del Comitato sono: formulare linee guida per la cooperazione internazionale in materia di vigilanza bancaria e regolamentare l’attività

bancaria internazionale.

Il Comitato non ha potere legislativo, ma definisce linee guida che sono sottoscritte dai governatori dei paesi membri e che a tutti gli effetti diventano vincolanti.

Nel 1988 il Comitato di Basilea ha introdotto il sistema di misurazione del capitale comunemente chiamato Accordo di Basilea sul Capitale (Basilea 1).

Nel corso degli anni Novanta il Comitato di Basilea si è

cimentato nella revisione dell’Accordo sul Capitale che ha portato, nel 2004, alla pubblicazione del Nuovo Accordo sul Capitale noto con il nome di Basilea 2.

3

BASILEA I

L’Accordo di Basilea 1definiva l'obbligo per le banche di accantonare capitale nella misura dell'8% del capitale erogato.

PatrimonioVigilanza ≥RiskWeightedAsset*8%

PRO CONTRO

Determinazione di requisiti patrimoniali basati su una regola semplice e di immediata applicabilitàRafforzamento della solidità patrimoniale del sistema creditizio globaleStimolo alla crescita della capitalizzazione

delle banchePrevenire fenomeni di concorrenza sleale tra le banche tramite un’omogeneitànormativa

Classi di ponderazione non sufficientemente disarticolateNon si considera il merito creditizio della controparteNon viene tenuta in debita considerazione la

struttura a termine del portafoglio creditiTendenza a privilegiare i clienti più rischiosi

Copertura forfetaria dei rischi

4

BASILEA II

Il Nuovo Accordo di Basilea sul Capitale fornisce la nuova struttura della regolamentazione prudenziale e viene descritto come un’architettura basata su tre pilastri

REQUISITI PATRIMONIALI

MINIMICONTROLLO

PRUDENZIALEDISCIPLINA DI

MERCATO

5

BASILEA II - I TRE PILASTRI

PRIMO PILASTRO TERZO PILASTROSECONDO PILASTROMira a riformare la regola di determinazione del capitale rendendola più sensibile al rischio dei singoli prestiti

Viene fornita per la prima volta una definizione di rischio operativo

Approccio alla misurazione del rischio differenziato e flessibile con facoltà di utilizzo di metodi con livello di complessitàcrescente, associati a livelli attesi di assorbimento di capitale minori

Il requisito totale di capitale è la somma dei requisiti de tre rischi: rischio di credito, rischio di mercato e rischio operativo

Riguarda la disciplina del mercato, con particolare attenzione al problema della trasparenza informativa delle bancheNecessità di rendere pubbliche

informazioni dettagliate sui processi utilizzati dalle banche per misurare e gestire i rischi affinchè il mercato sia in grado di valutare correttamente l’effettivo profilo di rischio assunto dalla banca stessa.

Mira ad accrescere i poteri ispettivi delle autorità di vigilanza nazionali, che sono chiamate ad esprimere un giudizio qualitativo sull’adeguatezza dei sistemi di controllo dei rischi adottati da ciascuna banca, con la possibilità di effettuare interventi correttivi al verificarsi di situazioni di squilibrio

Le Banche Centrali avranno una maggiore discrezionalità nel valutare l’adeguatezza patrimoniale delle banche, potendo imporre una copertura superiore ai requisiti minimi

6

I PILASTRO - REQUISITI PATRIMONIALI

Il primo pilastro introduce nuove metodologie per una misurazione più

accurata dei rischi da parte degli intermediari e per la definizione di requisiti patrimoniali più

sensibili al rischio.Prevede un ampio ventaglio di opzioni per i sistemi di misurazione e gestione dei rischi anche diversificati per comparto di attività

e la possibilità

di articolare nel tempo l’accesso a metodologie e processi più

avanzati

RISCHIO DI MERCATO

Metodo Base (Basic Indicator Approach)Metodo Standardizzato (The Standardized ApproachMetodo Avanzato (Advanced Measurement Approach)

RISCHIO OPERATIVO

RISCHIO DI CREDITO

-

Metodologie di calcolo del requisito patrimoniale -

Metodo StandardizzatoMetodo dei Rating Interni (Internal Rating Based Approach )

Metodo StandardizzatoMetodo dei Modelli Interni

7

II PILASTRO - CONTROLLO PRUDENZIALE (segue…)

Il

2°

pilastro “disegna”

un processo di controllo prudenziale che si articolerà

in due fasi integrate:

ICAAP: Internal Capital Adequacy Assessment Process

Il processo si svolgerà attraverso un confronto continuo tra intermediari e

organo di vigilanza.

SREP: Supervisory

Review and Evaluation Process

8

II PILASTRO - CONTROLLO PRUDENZIALE

La prima fase è rappresentata dall’auto-valutazione della banca della propria adeguatezza patrimoniale attuale eprospettica considerando tutti i rischi aziendaliL’auto-valutazione tiene conto anche dei rischi non fronteggiati dai requisiti minimi prudenziali, della possibilità che si verifichino situazioni congiunturali avverse, degli obiettivi strategici aziendali e della capacità della strutturaorganizzativa e del sistema di controlli interni di gestire

i rischi rilevanti per l’impresa

ICAAP: Internal Capital

Adequacy Assessment

Process

SREP: Supervisory Review and Evaluation Process

La seconda fase consiste nel processo di revisione e valutazione prudenziale ed è di competenza dell’Autorità diVigilanzaL’Autorità di Vigilanza, attraverso un sistema integrato di controlli a distanza e verifiche in loco (focalizzate sugli aspetti organizzativi), riesamina l’ICAAP ed esprime un giudizio complessivo circa l’affidabilità

degli strumenti di misurazione e di controllo dei rischi, l’adeguatezza del capitale destinato a fronteggiarli, gli assetti organizzativi e i sistemi di controllo. Ove necessario, la Vigilanza attiva misure correttive

-

Principali caratteristiche del secondo pilastro -

9

III PILASTRO – INFORMATIVA AL MERCATO

Il terzo pilastro rafforza la disciplina esercitata dal mercato

sui comportamenti delle banche nel promuovere la solidità

delle singole banche.

Il terzo pilastro parte da una considerazione molto semplice: il

pubblico degli investitori ha un interesse forte edimmediato a monitorare la quantità

di rischi insiti nel bilancio di una banca.

L’accordo obbliga dunque gli istituti creditizi a fornire più

informazioni al mercato e contempla la necessità

di rendere pubbliche informazioni dettagliate sui processi utilizzati dalle banche per gestire e controllare i rischi assunti, affinché

il mercato sia in grado di valutare correttamente l’effettivo profilo di rischio assunto dalla banca stessa.

Il nuovo Accordo definisce un livello minimo di informazioni che

le banche devono fornire, sia per quanto riguarda gli aspetti quantitativi che quelli qualitativi, e un’informativa supplementare, connessa agli aspetti peculiari relativi a specifiche istituzioni.

10

BASILEA II – NOVITA’ RISPETTO A BASILEA I

Rispetto all’

Accordo del 1988, pur rimanendo invariati i criteri di misurazione del patrimonio di vigilanza e del rischio dimercato, vengono inseriti significativi elementi di novità

per il calcolo del requisito patrimoniale del rischio di credito e soprattutto viene introdotto un requisito patrimoniale specifico

per il rischio operativo

Rischio di CreditoL’accordo prevede la possibile adozione di metodologie dal grado di complessità crescente (dal metodo standard ai metodi basati sui rating interni nella versione base ed avanzata)

L’accordo prevede la possibile adozione di metodologie dal grado di complessità crescente (dal metodo standard ai metodi basati sui rating interni nella versione base ed avanzata)

Rischio Operativo

Introduzione di un requisito patrimoniale esplicito a fronte deirischi operativi.Viene quindi riconosciuta la crescente importanza di tale tipologia di rischio, dato lo sviluppo di attività

bancarie diverse da quelle tradizionali, il crescente ricorso all’automazione e il sempre piùfrequente “outsourcing“

di funzioni aziendali

Introduzione di un requisito patrimoniale esplicito a fronte deirischi operativi.Viene quindi riconosciuta la crescente importanza di tale tipologia di rischio, dato lo sviluppo di attività

bancarie diverse da quelle tradizionali, il crescente ricorso all’automazione e il sempre piùfrequente “outsourcing“

di funzioni aziendali

Nuove misure e

richiesta di capitale

Nuove misure e

richiesta di capitale

Nuove Metodologie

Nuove Metodologie

- Elementi innovativi di Basilea 2 -

11

BASILEA 2 – GLI OBIETTIVI

Il nuovo Accordo sul Capitale si prefigge una serie di obiettivi

quali:

Rafforzare la stabilità e la solidità del sistema finanziario internazionale attraverso un’accurata correlazione fra i rischi assunti dagli intermediari, la dotazione patrimoniale e la qualità degli assetti organizzativi;Incrementare l’efficienza del sistema bancario;Favorire la parità competitiva;Definire requisiti patrimoniali fondati su una misurazione più accurata e completa dei rischi;Favorire un approccio globale nell’affrontare i rischi;Creare incentivi per migliorare la misurazione e la gestione dei rischi;Consentire l’applicazione delle nuove regole ad una platea più ampia di intermediari rispetto alle grandi banche internazionali dei paesi G-10;

12

FRAMEWORK DEFINITORIO (segue…)

Rischio OperativoIl rischio operativo, secondo quanto previsto dal Comitato di Basilea, viene definito come ”il rischio di subire perdite derivanti dall’inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni. Nel rischio operativo è compreso il rischio legale, mentre non sono inclusi quelli strategici e di reputazione.

Perdita operativaLa perdita operativa è

l’impatto che un evento di rischio operativo ha sull’organizzazione tale da inficiarne la realizzazione degli obiettivi.

Gli impatti che un evento di rischio può determinare sono molteplici e vanno dalle perdite finanziarie dirette all’insoddisfazione dei clienti, alla demotivazione dello staff, al giudizio non favorevole dei media.

Tuttavia, per quanto riguarda la misurazione dei rischi operativi il termine “perdita”

fa esclusivamente riferimento all’impatto finanziario causato un evento di rischio.

13

FRAMEWORK DEFINITORIO

Entità

del danno

Il rischio di perdite viene generato sia da eventi di elevata frequenza ed impatto ridotto

... sia da eventi occasionali che possono provocare impatti considerevoli

Freq

uenz

a

rischi di businessrischio di reputazionerimborsi di natura commercialerischio di immaginemancati guadagniinefficienze operative, duplicazione di costi/risorse, ecc.

Non sono considerati Rischi Operativi:

14

FRAMEWORK DI ANALISI

EventoCausa(e) Effetto(i)

Al fine di facilitare le attività

di gestione dei rischi operativi è

indispensabile che tutte le informazioni caratterizzanti un rischio operativo siano opportunamente strutturate e classificate; Il modello logico di partenza per l’analisi dei rischi operativi si basa sul seguente schema logico

Causa/e: è

l’azione o l’insieme delle circostanze che conducono o contribuiscono al verificarsi dell’evento di rischio

Evento: è

il verificarsi di un accadimento che abbia come conseguenza lo scostamento tra l’esito atteso di un processo dal risultato definitivo; tale scostamento può essere riconducibile a inadeguatezza o errori di procedure, alle risorse umane, a disfunzioni di sistemi oppure a fatti o circostanze di origine esterna

Effetto/i: rappresenta l’impatto di un evento sull’organizzazione. Si distinguono effetti diretti ed indiretti:−

l’effetto diretto è

l’effetto che ha un impatto diretto sul Conto Economico;−

gli effetti indiretti possono essere di natura finanziaria o non

finanziaria. A differenza degli effetti diretti, essi non impattano direttamente sul Conto Economico

15

ATTRIBUTI DELL’EVENTO DI RISCHIO (segue…)

Per classificare correttamente le varie componenti di rischio operativo e ricreare la relazione causa/evento/effetto esiste una tassonomia delle cause, degli eventi e degli effetti coerente con quanto previsto dal Comitato di Basilea.Gli attributi caratterizzanti un evento di perdita sono:

Risk Factor, classe di causa a cui imputare l’evento dannoso;Event Type, categoria di evento a cui associare l’evento di rischio;Loss Effect, categoria di effetto a cui associare l’evento pregiudizievole.

Risk FactorLe categorie di risk factor a cui associare l’evento di rischio sono le seguenti:

Sistemi, inadeguatezza della strategia, delle policy e degli standard IT e imperfezioni delle applicazioni;Risorse Umane, insufficiente gestione delle risorse umane;Processi, inadeguato set up dei processi di business o poca aderenza ai controlli relativi ai processi di business;Eventi Esterni, fattori esterni all’organizzazione di natura non controllabile e imprevedibile, che comportano un’interruzione della normale operatività

della banca.

16

ATTRIBUTI DELL’EVENTO DI RISCHIO (segue…)

Event TypeLo schema degli Event Type adottato quello previsto dal Comitato

di Basilea in sede di definizione del Nuovo Accordo ed è

seguente:

Frode interna: perdite dovute a frode, appropriazione indebita o violazioni/aggiramenti di leggi, regolamenti o direttive aziendali che

coinvolgano almeno una risorsa interna della banca;

Frode esterna: perdite dovute a frode, appropriazione indebita o violazioni di leggi da parte di soggetti terzi;

Rapporto di impiego e sicurezza sul lavoro: perdite derivanti da atti non conformi alle leggi o agli accordi in materia di impiego, salute e

sicurezza sul lavoro o da episodi di discriminazione o mancata applicazione di condizioni paritarie;

Clientela, prodotti e prassi di business: perdite derivanti da inadempienze, involontarie o per negligenza, relative a obblighi

professionali verso i clienti oppure dalla natura o dalla caratteristica del prodotto;

Danni a beni materiali: perdite dovute a danneggiamento o distruzione di beni materiali per catastrofi naturali o altri eventi;

Interruzioni dell’operatività e disfunzioni dei sistemi informatici: perdite dovute a interruzioni dell’operatività o a disfunzioni dei sistemi

informatici,Esecuzione, consegna e gestione dei processi: perdite dovute a carenze nel trattamento delle operazioni o nella gestione dei processi, nonché

alle relazioni con controparti commerciali e venditori.

Loss EffectLe categorie di loss effect a cui ricondurre ogni evento di rischio sono le seguenti:

Write down; Responsabilità legale;Azioni dell’Autorità regolamentareRestituzioni;Perdite per errore non recuperate;Perdita o danneggiamento di asset.

17

METODI CALCOLO REQUISITO PATRIMONIALE

La determinazione dello specifico requisito patrimoniale a fronte del rischio operativo prevede l’applicazione di tre possibili approcci, caratterizzati da un livello di sofisticazione e accuratezza crescente

Base (Basic approach)

Standard (Standardised approach)

Avanzato (Advanced measurement approach)

Nessun requisito previsto

Costituzione della funzione di Operational Risk Management di gruppo

Avvio del processo di rilevazione sistematica degli eventi e delle perdite per business line e principali classi di evento (Loss Collection)

Modello di stima dell’esposizione ai rischi operativi anche sulla base di processi di self assessment (Risk Assessment)

Implementazione di un sistema di reporting sull’andamento dell’esposizione ai rischi operativi verso Responsabili di BU, Direzione generale, Consiglio di amministrazione

Primo utilizzo delle risultanze del processo di gestione dei rischi operativi a supporto delle attività di pianificazione strategica, delle scelte di outsourcing e di valutazione delle politiche assicurative

— Approccio— — Implicazioni gestionali—

Tutti gli impatti previsti per l’approccio standardised

Sviluppo di sistemi interni di analisi dei rischi operativi basati su dati interni, dati esterni, analisi di scenario e verifica delle coperture assicurative

— Calcolo requisito patrimoniale—

Pari al 15% per cento della media delle ultime tre osservazioni annue del margine di intermediazione

Pari alla somma dei requisiti delle singole BL in cui l’attività della banca è scomposta (ogni BL è pesata con un coefficiente diverso)

Calcolato attraverso l’utilizzo di serie storiche dei dati di perdita interni e l’adozione di modelli statistici

18

PROCESSO DI OPERATIONAL RISK MANAGEMENT

Il Processo di Operational Risk Management è

un processo ciclico che comprende tre macrofasi:Operational Risk Planning & ScopeOperational Risk ExecutionOperational Risk Control

Identificazione

Accettazione/Mitigazione

Monitoraggio Analisi/Valutazione

Operational RiskPlanning & Scope

Processi

Governance

Operational RiskControl

Operational RiskExecution

Evento

Identificazione

Accettazione/Mitigazione

Monitoraggio Analisi/Valutazione

Operational RiskPlanning & Scope

Processi

Governance

Operational RiskControl

Operational RiskExecution

Evento

19

PROCESSO DI OPERATIONAL RISK MANAGEMENT – GOVERNANCE (segue…)

Al fine di conseguire un efficace presidio dei rischi operativi è

necessario che il processo di governance sia chiaramente e coerentemente stabilito.

Gli organi aziendali coinvolti nel processo di operational risk sono i seguenti: Consiglio di Amministrazione;Alta Direzione;Collegio Sindacale;Comitato di Operational Risk;Funzione di Operational Risk; Internal Audit;Tutti i dipendenti.

20

PROCESSO DI OPERATIONAL RISK MANAGEMENT – GOVERNANCE (segue…)

Il Consiglio di AmministrazioneLe attività

di pertinenza del Consiglio di Amministrazione in materia di gestione dei rischi operativi sono classificate in:attività deliberative, il Consiglio di Amministrazione individua e approva tramite formale delibera le strategie e le politiche di gestione dei rischi operativi come il percorso di adozione del Nuovo Accordo di Basilea 2, l’attestazione del rispetto della soglia di accesso al metodo prescelto di gestione dei rischi operativi, i criteri per la gestione dei rischi operativi delle singole fasi dei processi che compongono il sistema dei controlli interni.

attività di verifica, il Consiglio di Amministrazione verifica periodicamente gli indirizzi strategici in tema di gestione e controllo dei rischi operativi al fine di assicurarne la conformità

nel tempo. Garantisce che il sistema di gestione e controllo dei rischi operativi sia sottoposto con cadenza almeno annuale a verifiche di adeguatezza, di rispondenza ai requisiti normativi, alle esigenze aziendali e all’evoluzione del mercato di riferimento, nonché

di efficacia e di efficienza, effettuate dalle competenti strutture. In tale contesto, il Consiglio di Amministrazione deve assicurarsi che i risultati di tali verifiche vengano portati a conoscenza del Consiglio medesimo.

attività di intervento, il Consiglio di Amministrazione esamina i risultati delle verifiche effettuate dalle competenti strutture sul sistema di gestione dei rischi operativi e definisce gli interventi da porre in essere dall’Alta Direzione per eliminare eventuali carenze e disfunzioni emerse.

attività informativa, il Consiglio di Amministrazione comunica all’Alta Direzione e, tramite quest’ultima, alle unità organizzative: le strategie e le politiche di gestione dei rischi operativi, le linee guida per la definizione dell’assetto organizzativo per la gestione dei rischi operativi; le informazioni da fornire allo stesso Consiglio di Amministrazione per quanto concerne i rischi ai quali la banca èesposta, gli interventi da assumere per far fronte ai suddetti rischi e per eliminare le anomalie emerse dalle verifiche sul

sistema di gestione dei rischi operativi.

21

PROCESSO DI OPERATIONAL RISK MANAGEMENT – GOVERNANCE (segue…)

L’Alta DirezioneL’Alta Direzione è

responsabile dell’istituzione, del corretto funzionamento e del mantenimento di un

efficace sistema di gestione e controllo dei rischi operativi, in attuazione degli indirizzi strategici definiti dal Consiglio di Amministrazione.Coerentemente con i principi alla base del processo di governance del Gruppo Antonveneta, le attività

di pertinenza dell’Alta Direzione in materia di gestione dei rischi operativi sono classificate in:•

attività

di intervento, l’Alta Direzione definisce le responsabilità

delle unità

organizzative coinvolte nel sistema di gestione e controllo deirischi operativi, in modo che siano chiaramente attribuiti i relativi compiti e siano prevenuti potenziali conflitti di interesse. Inoltre, predispone le misure affinché

le attività

rilevanti siano dirette da personale qualificato, con esperienze e competenze proporzionate ai compiti da svolgere;

•

attività

di verifica, l’Alta Direzione verifica, periodicamente e nel continuo, l’efficienza e l’efficacia complessiva del sistema di gestione econtrollo dei rischi operativi. In tale contesto, si occupa della verifica della realizzazione degli interventi di adeguamento

programmati nel rispetto dei tempi e delle modalità

previste;•

attività

informativa, l’Alta Direzione definisce i flussi informativi volti ad assicurare agli altri organi aziendali e alle funzioni di controllo lapiena conoscenza e governabilità

dei rischi .

Collegio SindacaleIl Collegio Sindacale, nell’ambito delle sue funzioni istituzionali di sorveglianza:

vigila sul grado di adeguatezza del sistema di gestione dei rischi operativi e sul suo concreto funzionamento;verifica la conformità del sistema di gestione e controllo dei rischi operativi che svolge tramite il collegamento con l’unità organizzativa

deputata alla revisione interna.

22

PROCESSO DI OPERATIONAL RISK MANAGEMENT – GOVERNANCE (segue…)

Comitato di Operational Risk Il Comitato Operational Risk propone le scelte di indirizzo strategico e di definizione delle politiche di gestione e controllo dei rischi operativi, che inoltra, per gli aspetti di competenza, al Consiglio di Amministrazione.

Nell’ambito delle deleghe ricevute dal Consiglio di Amministrazione, esamina e delibera:le metodologie, le procedure e gli strumenti di supporto al processo di Operational Risk Management;le principali azioni di accettazione, mitigazione, trasferimento dei rischi; i risultati della verifica di rispondenza ai requisiti normativi, alle esigenze aziendali e all’evoluzione del mercato di riferimento;

Il Comitato Operational Risk monitora il profilo di rischio operativo della banca e lo stato di avanzamento delle principali attività

di mitigazione e trasferimento.

Il Comitato Operational Risk promuove la diffusione della cultura e della consapevolezza dei rischi operativi e definisce opportuni canali di comunicazione.

Funzione Operational RiskLa Funzione Operational Risk è

responsabile del presidio del processo di Operational Risk Management.

Tra le sue attività

vi sono quelle di: definire le metodologie, gli strumenti e le procedure a supporto di tutte le fasi e attività del processo di Operational Risk Management;assicurare il costante coordinamento del processo, garantendo la conformità e la coerenza con le linee guida definite e approvate dal Consiglio di Amministrazione;fornire il supporto tecnico, metodologico e organizzativo a tutte le unità organizzative;monitorare la gestione dei rischi operativi da parte delle unità organizzative, nei rispettivi ambiti di competenza, in termini di possibilitàdi ritenzione, di definizione e attuazione degli interventi di mitigazione, di individuazione delle esigenze di trasferimento;sottoporre il sistema di gestione dei rischi operativi alla verifica di rispondenza ai requisiti normativi, alle esigenze aziendali, all’evoluzione del mercato di riferimento;produrre regolare reporting all’Alta Direzione e alle altre unità organizzative interessate, sul profilo di rischio operativo.

23

PROCESSO DI OPERATIONAL RISK MANAGEMENT – GOVERNANCE

Funzione Internal AuditLa Funzione di Internal Audit coerentemente con il modello organizzativo e di controllo del Gruppo, svolge un ruolo di verifica sul sistemadi gestione e controllo dei rischi operativi, al fine di valutarne la funzionalità, l’efficacia e la conformità

con i requisiti minimi di idoneità.

La Funzione di Internal Audit sottopone alla propria revisione la metodologia di classificazione delle attività

del Gruppo e quindi dell’indicatore rilevante nelle linee di business regolamentari.

Inoltre, con cadenza annuale la Funzione di Internal Audit effettua un’autonoma revisione dell’adeguatezza del sistema di gestione dei rischi operativi e del processo di auto-valutazione. I risultati di tale verifica sono compendiati in una relazione contenente anche le proposte sugli interventi correttivi da attuare.

Tutti i dipendentiTutti i dipendenti del Gruppo partecipano attivamente al processo di Operational Risk Management in quanto responsabili dei rischi operativi inerenti le attività

di propria competenza.

Essi ricoprono inoltre un ruolo fondamentale di tipo specialistico, contribuendo ad arricchire l’informativa a supporto del processo di Operational Risk Management in merito all’identificazione e valutazione dei rischi operativi connaturati all’attività

di propria competenza, e definendo gli interventi di controllo e mitigazione più

adeguati.

24

PROCESSO DI OPERATIONAL RISK MANAGEMENT – Planning & Scope

Operational Risk Planning & Scope

La fase di Operational Risk Planning & Scope è

quella in cui vengono realizzate le attività

di pianificazione strategica propedeutiche alla successiva fase di effettiva esecuzione del processo di Operational Risk Management.

L’attività

preliminare della fase di Planning & Scope è

la valutazione annuale

di alto livello dell’esposizione ai rischi complessiva e delle macroaree di attività

della Banca che permette di definire la Risk Heat

Map.

La valutazione dell’esposizione al rischio è

il momento di consolidamento annuale dei risultati di ogni ciclo del processo di ORM e nello stesso tempo è

anche il punto di partenza per il ciclo successivo, in quanto costituisce la base dalla quale partire per delineare gli obiettivi in termini di profilo di rischio e il piano annuale di

esecuzione e di controllo dell’ORM (Operational Risk Year

Plan).

25

PROCESSO DI OPERATIONAL RISK MANAGEMENT – Operational Risk Execution

Operational Risk ExecutionNella fase di Operational Risk Execution si concretizza l’effettivo processo di Operational Risk Management. Questo processo si compone a sua volta delle seguenti sottofasi:

Identificazione e analisi, è la fase di identificazione degli eventi di rischio operativo (storici o potenziali), della relativa analisi e della loro valutazione per definire la propria esposizione al rischio. Le procedure a supporto dell’identificazione sono essenzialmente:

Raccolta degli eventi di rischio operativo, permette di raccogliere gli eventi storici di rischio operativo, corredati da tutte le informazioni utili ai fini dell’analisi e della gestione (tipologia dell’evento, causa, effetto, impatto economico, etc…);Risk Assessment, procedura di valutazione dei rischi potenziali, sia riconducibili ai prodotti, ai processi ed ai sistemi in essere sia derivanti dall’introduzione di nuovi processi, prodotti e sistemi.

Accettazione/mitigazione e monitoraggio, è la fase di gestione del rischio, che con un processo decisionale permette di identificare gli interventi di mitigazione e trasferimento più adeguati alle criticità rilevate durante la fase di identificazione e analisi e di monitorarne la realizzazione e l’efficacia.Le principali scelte di gestione riguardano:

la ritenzione consapevole dei rischi operativi indissolubilmente legati alle attività di business della banca;la mitigazione dei rischi operativi agendo sulle cause più significative attraverso interventi, prevalentemente organizzativi, quali ottimizzazione e razionalizzazione di processi, definizione e attivazione di nuovi controlli, automatizzazione;la mitigazione degli effetti tramite il trasferimento attraverso assicurazione.

26

PROCESSO DI OPERATIONAL RISK MANAGEMENT – Operational Risk Control (segue…)

Operational Risk ControlNella fase di Operational Risk Control si verificano periodicamente i risultati del sistema di gestione e controllo dei rischi operativi e la

relativa coerenza con le linee guida e gli obiettivi stabiliti nella fase iniziale di Operational Risk Planning & ScopeNel dettaglio, gli obiettivi della fase dell’Operational Risk Control sono di seguito descritti:•

verificare il rispetto dell’Operational Risk Year

Plan;•

monitorare l’andamento dell’esposizione al rischio in relazione ai target predefiniti;•

verificare la rispondenza nel tempo del sistema di gestione dei

rischi operativi ai requisiti regolamentari, alle esigenze aziendali e all’evoluzione del mercato di riferimento;

•

verificare l’adeguatezza e la corretta esecuzione del processo di Operational

Risk Management da parte di tutti gli attori in esso coinvolti.

Le attività

che permettono di perseguire i suddetti obiettivi sono identificabili in:•

reporting;•

auto-valutazione;•

revisione interna.

27

PROCESSO DI OPERATIONAL RISK MANAGEMENT – Operational Risk Control

Reporting L’attività

di reporting assicura la creazione e diffusione di informazioni

tempestive in materia di rischi operativi agli organi aziendali, alla revisione interna e ai responsabili delle strutture organizzative interessate.La funzione preposta alla gestione e al controllo dei rischi operativi, produce con periodicità

adeguata in relazione ai destinatari e alle informazioni fornite, una reportistica contenente informazioni significative in merito a:

l’andamento dell’esposizione al rischio complessiva e dei segmenti di operatività rilevanti;l’analisi dei dati storici relativi agli eventi di rischio operativo;le valutazioni sui rischi operativi connessi con l’introduzione di nuovi prodotti, attività, processi e sistemi rilevanti;l’identificazione delle aree di vulnerabilità, la descrizione delle azioni per la prevenzione e l’attenuazione dei rischi operativi e l’indicazione dell’efficacia delle stesse.

Auto-valutazioneL’auto-valutazione è

un’attività

volta a valutare la qualità

del sistema di gestione dei rischi operativi, nonché

la sua rispondenza nel tempo alle prescrizioni normative, alle esigenze operative aziendali e all’evoluzione del mercato di riferimento.Le modalità

di conduzione dell’auto-valutazione e i relativi esiti sono adeguatamente documentati e periodicamente sottoposti allafunzione di revisione interna e agli organi aziendali.

Revisione InternaTerminato il processo di auto-valutazione, i risultati dello stesso sono oggetto della revisione interna, che ha l’obiettivo di verificare, con periodicità

annuale, l’adeguatezza dell’intero sistema di gestione dei rischi operativi, in termini di esistenza di presidi all’interno del processo di Operational Risk Management in grado di contenere il rischio organizzativo e garantire la corretta esecuzione del processo stesso.I risultati di tale verifica sono compendiati in una relazione contenente anche le proposte sugli interventi correttivi da attuare.