1 RISCHI OPERATIVI E CONTROLLO INTERNO AntonioTaverna Lezione 14 maggio 2007 – 1^ Parte

2 AT RISCHI OPERATIVI E CONTROLLO INTERNO MISURAZIONE

3 AT RISCHI OPERATIVI E CONTROLLO INTERNO 1 Banca con Operatività Int’l Banca con Operatività Naz. SIM Gruppo Finanziario diversificato Società Capogruppo Banca con Operatività Int’l Banca con Operatività Int’l SCHEMA DI APPLICAZIONE CONSOLIDATO DI GRUPPO CONSOLIDATO PER OPERATIVITA’ INT’L

4 AT RISCHI OPERATIVI E CONTROLLO INTERNO Coefficienti regolamentari delle linee di attività Linea di businessCoefficiente regolamentare Servizi finanziari per l’impresa (Corporate Finance) Negoziazione e vendita (Trading and sales) Servizi bancari al dettaglio (Retail banking) Servizi bancari a carattere commerciale (Commercial banking) Servizi di pagamento e regolamento (Payment and settlement) Gestioni fiduciarie (Agency services) Gestioni patrimoniali (Asset Management) Intermediazione al dettaglio (Retail brokerage) 18% 12% 15% 18% 15% 12% SIGNIFICATIVITA’ DELL’INDICATORE RILEVANTE

5 AT RISCHI OPERATIVI E CONTROLLO INTERNO MetodI di calcolo del requisito patrimoniale BASE BASIC INDICATOR APPROACH -BIA STANDARDIZZATO FONDAMENTALE (TSA) ALTERNATIVO (ASA) AVANZATI ( AMA ) MODELLI PERSONALIZZATI

6 AT RISCHI OPERATIVI E CONTROLLO INTERNO Metodo di calcolo del requisito patrimoniale BASE Nel metodo Base il requisito patrimoniale è pari al 15 per cento della media delle ultime tre osservazioni su base annuale dell’indicatore rilevante. Qualora una di tali osservazioni risulti negativa o nulla, tale dato non viene preso in considerazione nel calcolo del requisito patrimoniale complessivo. Il requisito viene quindi determinato come media delle sole osservazioni aventi valore positivo. Qualora il dato relativo all’indicatore rilevante, per alcune osservazioni del triennio di riferimento, non sussista, il calcolo del requisito va determinato sulla base della media delle sole osservazioni disponibili. In caso di cessione o acquisizione di segmenti di operatività, tali eventi incidono sul calcolo del requisito patrimoniale soltanto a partire dalla data di perfezionamento dell’evento e non comportano pertanto modifiche a ritroso dell’indicatore rilevante. I

7 AT RISCHI OPERATIVI E CONTROLLO INTERNO Soglie di accesso Possono accedere al metodo Sandardizzato le banche individuali e i gruppi bancari che rispettano almeno una delle seguenti soglie: patrimonio di vigilanza pari o superiore a 200 milioni di euro (“soglia dimensionale”) patrimonio di vigilanza pari o superiore a 25 milioni di euro e ammontare complessivo dell’indicatore rilevante delle linee di business diverse da Retail Banking e Commercial Banking pari ad almeno il 6° per cento dell’indicatore rilevante totale (“soglia speciali- stica”). Requisiti per l’utilizzo del metodo Standardizzato Per l’utilizzo del metodo Standardizzato, la banca deve disporre, oltre ai meccanismi di governo societario, anche di adeguati controlli interni e di un efficace sistema di gestione dei rischi operativi METODO STANDARDIZZATO

8 AT RISCHI OPERATIVI E CONTROLLO INTERNO Controlli interni Il processo di auto-valutazione Il processo di auto-valutazione è costituito da un insieme formalizzato di procedure e attività volte a valutare la qualità del sistema di gestione dei rischi operativi, nonché la sua rispondenza nel tempo alle prescrizioni normative, alle esigenze operative aziendali e all’evoluzione del mercato di riferimento. Le modalità di conduzione dell’auto-valutazione e i relativi esiti devono essere adeguatamente documentati e periodicamente sottoposti alla funzione di revisione interna, ad altre strutture o funzioni interessate e agli organi aziendali. Nell’ambito di questa informativa specifico rilievo va dato agli aspetti del sistema di gestione dei rischi operativi suscettibili di miglioramento anche in relazione a modifiche nella struttura e nell’operatività della banca, e alle valutazioni in merito al rispetto dei requisiti di idoneità. METODO STANDARDIZZATO

9 AT RISCHI OPERATIVI E CONTROLLO INTERNO La funzione di revisione interna La funzione di revisione interna effettua verifiche periodiche sul sistema di gestione dei rischi operativi e sul processo di auto-valutazione, al fine di valutarne l’efficacia e la conformità con i requisiti di idoneità. Tale funzione deve tenere informati gli organi aziendali sulle attività svolte in materia di rischi operativi e sui relativi esiti. Con cadenza almeno annuale, la funzione di revisione interna effettua un’autonoma valutazione dell’adeguatezza del sistema di gestione dei rischi operativi e del processo di auto-valutazione. I risultati di tale verifica sono compendiati in una relazione contenente anche le proposte sugli interventi correttivi da attuare. METODO STANDARDIZZATO

10 AT RISCHI OPERATIVI E CONTROLLO INTERNO Sistema di gestione dei rischi operativi Il sistema di gestione dei rischi operativi è un insieme strutturato di processi, funzioni e risorse per l’identificazione, la valutazione e il controllo dei rischi operativi. Elementi caratterizzanti del sistema di gestione sono:  la classificazione delle attività nelle linee di business regolamentari  il sistema di raccolta e conservazione dei dati  la valutazione dell’esposizione ai rischi operativi  il sistema di reporting. Il sistema di gestione deve essere documentato e con responsabilità chiaramente assegnate. Il sistema di raccolta e conservazione dei dati sui rischi operativi La banca predispone un sistema di raccolta e conservazione dei dati sui rischi operativi, comprendente almeno le perdite significative e i relativi recuperi, idoneo a conferire efficacia al sistema di gestione. METODO STANDARDIZZATO

11 AT RISCHI OPERATIVI E CONTROLLO INTERNO METODI AVANZATI (AMA) Soglie di accesso Possono richiedere l’autorizzazione ad utilizzare i metodi AMA le banche individuali o i gruppi bancari che rispettano, al momento della domanda, almeno una delle seguenti soglie :  patrimonio di vigilanza pari o superiore a 200 milioni di euro (“soglia dimensio- nale”)  patrimonio di vigilanza pari o superiore a 25 milioni di euro e ammontare com- plessivo dell’indicatore rilevante delle linee di business diverse da Retail Banking e Commercial Banking pari ad almeno il 6° per cento del totale (“soglia spe- cialistica”)

12 AT RISCHI OPERATIVI E CONTROLLO INTERNO Funzione di controllo dei rischi operativi La banca istituisce una funzione di controllo dei rischi operativi. I compiti che spettano a tale funzione attengono:  alla progettazione, sviluppo e manutenzione dei sistemi di gestione e di misurazione dei rischi operativi; tali attività riguardano, tra l’altro, il sistema di raccolta e conservazione dei dati, il sistema di reporting, nonché la valutazione del profilo di rischio operativo;  alla determinazione del requisito patrimoniale sui rischi operativi. Ai fini di un efficace svolgimento di tale funzione, la banca individua le soluzioni organizzative ritenute più idonee. La funzione di controllo sui rischi operativi può coinvolgere varie strutture della banca ferma la necessità che la responsabilità del coordinamento e della supervisione delle varie attività sia univocamente assegnata. Per l svolgimento di tale funzione, la banca utilizza risorse con adeguata professionalità nella gestione e nelle metodologie di misurazione dei rischi operativi e con approfondita conoscenza dei processi aziendali. AMA - Controlli interni

13 AT RISCHI OPERATIVI E CONTROLLO INTERNO segue Funzione di controllo dei rischi operativi La funzione di controllo sui rischi operativi deve tenere informati gli organi aziendali sulle attività svolte e sui risultati di queste. Ama - Controlli interni

14 RISCHI OPERATIVI E CONTROLLO INTERNO AT Per il conseguimento di un efficace ed efficiente sistema di gestione e controllo dei rischi operativi, un ruolo fondamentale è attribuito agli organi aziendali. Gli organi con funzioni di supervisione strategica, gestione e controllo, ciascuno secondo le rispettive competenze e responsabilità, definiscono le linee generali del sistema, sono responsabili della sua realizzazione, vigilano sul suo concreto funzionamento, verificano la sua complessiva funzionalità e rispondenza ai requisiti previsti dalla normativa

15 Risk Policy Sviluppare, adattare e manutenere le risk policy in accordo con le unità di business Risk Monitoring Risk Assessment Risk Systems Risk Methods Sviluppare metodi di quantificazione del capitale a rischio e di allocazione del capitale Sviluppare e manutenere il sistema di risk-reporting, in accordo con le funzioni di business e le funzioni di supporto Sviluppare e manutenere il “programma” di self assessment, fornendo consulenza e supporto indipendente Sviluppare e manutenere il framework di risk-reporting con particolare riferimento ai requisiti regolamentari La responsabilità della funzione centrale di ORM OFFICE RISK MANAGER AT

16 Identifica e gestice i rischi Identifica i rischi Gestisce i rischi report risk profile Opzione 2 Board / Executive Committee Central function( s ) Board / Executive Committee Opzione 1 report risk profile Central function(s ) report risk profile Opzione 3 Board / Executive Committee Central function(s) La funzione centrale di ORM e i rapporti con le strutture di linea AT

17 Board / Executive Committee Aree di business Gruppo centrale di ORM Controllo indipendente Internal Audit 1a linea di difesa 2a linea di difesa 3a linea di difesa Specialisti Gestione Day-by-day Gestione strategica,definizione delle politiche di rischio e monitoraggio Units e.g. Finanze, HR etc Struttura I managers di linea hanno la responsabilità di gestire i rischi di propria competenza su base quotidiana Gli specialisti e le funzioni centrali hanno la responsabilità di definire le politiche di rischio e del monitoraggio L’Internal Audit ha la responsibilità di un controllo indipendente sul sistema di risk management L’approccio organizzativo di best practice AT

18 AT RISCHI OPERATIVI E CONTROLLO INTERNO AMA - Controlli interni Processo di convalida interna Il processo di convalida interna è costituito da un insieme strutturato di procedure e attività volte a valutare su base continuativa la qualità dei sistemi di gestione e di misurazione dei rischi operativi e la loro rispondenza nel tempo alle prescrizioni normative, alle esigenze aziendali e all’evoluzione del mercato di riferimento. In tali attività è compresa la verifica dell’affidabilità del calcolo del requisito patrimoniale nonché l’accertamento dell’utilizzo del sistema di misurazione nell’ambito dei processi decisionali e nella gestione dei rischi operativi. La responsabilità del processo di convalida interna deve essere univocamente attribuita. Il processo di convalida interna deve avvalersi di risorse caratterizzate da idonee competenze specialistiche e prevalentemente indipendenti dai responsabili delle attività che generano o subiscono le perdite operative.

19 AT RISCHI OPERATIVI E CONTROLLO INTERNO AMA - Controlli interni segue Processo di convalida interna Il processo di convalida è indipendente dalla funzione di revisione interna, che sottopone a verifica il processo e l’esito della convalida. Nel caso in cui la convalida interna venga svolta da soggetti o unità coinvolti nello sviluppo dei sistemi di gestione e di misurazione dei rischi, l’attività di revisione deve accertare, in particolare, il grado di oggettività del processo e dei suoi risultati. I risultati del processo di convalida devono essere adeguatamente documentati e periodicamente sottoposti alla funzione di revisione interna, ad altre strutture o funzioni interessate e agli organi aziendali. Nell’ambito di questa informativa specifico rilievo va dato agli aspetti del sistema di gestione e misurazione dei rischi operativi suscettibili di miglioramento, anche in relazione a modifiche nella struttura e nell’operatività delle banca, e alle valutazioni in merito al rispetto dei requisiti di idoneità. La funzione di revisione interna La funzione di revisione interna effettua verifiche periodiche sui sistemi di gestione e di misurazione dei rischi operativi al fine di valutarne l’efficacia e la conformità con i requisiti di idoneità.

20 AT RISCHI OPERATIVI E CONTROLLO INTERNO AMA - Controlli interni segue La funzione di revisione interna In tale ambito sono comprese le verifiche sul processo di convalida interna – al fine di accertarne l’adeguatezza, la completezza, l’oggettività e la coerenza dei risultati – e sull’effettivo utilizzo a fini gestionali del sistema di misurazione dei rischi operativi. Particolare attenzione va, altresì, rivolta alle componenti del sistema di misurazione finalizzate al calcolo del requisito, tra cui la qualità dei dati e dei sistemi informativi. La revisione interna deve tenere informati gli organi aziendali in ordine all’attività svolta e ai relativi esiti. Con cadenza annuale, la funzione di revisione interna predispone una relazione che illustra le attività svolte in materia di revisione dei sistemi di gestione e di misurazione dei rischi operativi, dando specifica evidenza alle criticità rilevate e agli intervetni correttivi proposti. Sistema di gestione dei rischi operativi Il sistema di gestione dei rischi operativi è costituito da un insieme strutturato di processi, funzioni e risorse per l’identificazione, la valutazione e il controllo dei rischi operativi, con particolare riguardo all’obiettivo di assicurare un’efficace azione di prevenzione ed attenuazione dei rischi stessi.

21 AT RISCHI OPERATIVI E CONTROLLO INTERNO AMA - Controlli interni, Database segue Sistema di gestione dei rischi operativi Elementi caratterizzanti del sistema di gestione dei rischi operativi sono: il sitema di raccolta e conservazione dei dati il sistema di reporting l’utilizzo gestionale del sistema di misurazione. Il sistema di gestione dei rischi operativi deve essere documentato e con responsabilità chiaramente definite. Il sistema di raccolta e conservazione dei dati La banca predispone un sistema di raccolta e conservazione dei dati sui rischi operativi idoneo ad assicurare efficacia ai sistemi di gestione e misurazione di tali rischi. I dati sui rischi operativi comprendono sia i dati riferiti alle quattro componenti utilizzate nel sistema di misurazione, sia altri dati utilizzati per finalità gestionali. Tale sistema deve garantire il raggiungimento e il mantenimento dei requisiti di completezza, affidabilità e aggiornamento dei dati.

22 AT RISCHI OPERATIVI E CONTROLLO INTERNO AMA - Il sistema di raccolta e conservazione dei dati La banca predispone un sistema di raccolta e conservazione dei dati sui rischi operativi idoneo ad assicurare efficacia ai sistemi di gestione e misurazione di tali rischi. I dati sui rischi operativi comprendono sia i dati riferiti alle quattro componenti utilizzate nel sistema di misurazione, sia altri dati utilizzati per finalità gestionali. Tale sistema deve garantire il raggiungimento e il mantenimento dei requisiti di completezza, affidabilità e aggiornamento dei dati. A tale fine la banca: sviluppa sistemi informativi adeguati ad assicurare nel tempo l’integrità, la riservatezza e la disponibilità delle informazioni raccolte effettua periodiche verifiche sul sistema di raccolta e conservazione dei dati sui rischi operativi. Il sistema di reporting La banca predispone un sistema di reporting che assicuri informazioni tempestive in materia di rischi operativi agli organi aziendali e ai responsabili delle funzioni organizzative interessate.

23 AT RISCHI OPERATIVI E CONTROLLO INTERNO AMA - REPORTING La frequenza e il contenuto del reporting devono essere coerenti con il livello di rischio e possono variare in base al destinatario e all’utilizzo dell’informazione. Particolare rilevanza assumono le informazioni in merito ai seguenti aspetti:  informazioni articolate sulle quattro componenti (ad esempio maggiori perdite e relativi recuperi; evoluzione dei fattori di contesto operativo e del sistema dei controlli interni tali da modificare significativamente il profilo di rischio opeativo)  identificazione delle aree di vulnerabilità, descrizione delle azioni per la prevenzione e l’attenuazione dei rischi operativi e indicazione dell’efficacia delle stesse  valutazioni sui rischi operativi connessi con l’introduzione di nuovi prodotti, attività, processi e sistemi rilevanti  Stima del contributo dei rischi operativi alla determinazione del capitale esonomico  indicazioni sulle modalità di trasferimento del rischio.

24 AT RISCHI OPERATIVI E CONTROLLO INTERNO AMA L’utilizzo gestionale del sistema di misurazione (use test) Il sistema di misurazione dei rischi operativi deve risultare strettamente integrato nei processi decisionali e nella gestione dei rischi. Esso non deve essere limitato alla determinazione del requisito regolamentare, ma deve essere funzionale a rafforzare il sistema di gestione dei rischi operativi, ai fini del miglioramento dei processi aziendali e del sistema dei controlli interni. La banca può adottare i metodi AMA per il calcolo del requisito patrimoniale solo a condizione che il sistema di misurazione dei rischi operativi risulti essere utilizzato a fini gestionali. Tale condizione deve sussistere dal momento della presentazione della domanda di autorizzazione. Sistema di misurazione dei rischi operativi – requisiti generali Il sistema di misurazione dei rischi operativi rappresenta l’insieme strutturato dei processi, delle funzioni e delle altre risorse per la determinazione del requisito patrimoniale.