– RISCHI OPERATIVI

INFORMAZIONI DI NATURA QUALITATIVA

1. Aspetti generali, processi di gestione e metodi di misurazione del rischio operativo

Il Rischio Operativo è definito come il rischio di perdite derivanti dalla inadeguatezza o dalla disfunzione di processi, risorse umane e sistemi interni, oppure da eventi esogeni.

Il rischio operativo è caratterizzato da relazioni di causa-effetto tali per cui, a fronte di uno o più fattori scatenanti, si genera l’evento pregiudizievole, cui è direttamente collegabile una perdita economica; si definisce pertanto perdita operativa l’insieme degli effetti economici negativi derivanti da eventi di natura operativa, rilevati nella contabilità aziendale e tali da avere impatto sul conto economico.

Il rischio operativo ha la peculiare caratteristica di esistere in quanto intrinsecamente collegato alla decisione di intraprendere un determinato tipo di attività e, più in generale, nello svolgimento dell’attività d’impresa.

Diversamente dagli altri rischi, per i quali la banca, in base alla sua propensione al rischio, assume consapevolmente posizioni creditizie o finanziarie per raggiungere il desiderato profilo di rischio/rendimento, l’approccio ai rischi operativi richiede l’adozione di controlli in funzione preventiva, per limitarne l’accadimento, e consuntiva, per contenerne gli impatti. La numerosità, l’ampiezza e la profondità di tali controlli dipendono dalla propensione al rischio, ossia dalla consapevole accettazione di uno specifico livello di potenziali perdite a fronte di una determinata capacità di generare attività e profitti. Per valutare l’esposizione ai rischi operativi e gli effetti che adeguate misure di mitigazione hanno sugli stessi, devono essere opportunamente combinate informazioni qualitative e quantitative.

In tale contesto, il Sistema dei Controlli Interni deve costituire il presidio principale per la prevenzione ed il contenimento di tali rischi. In particolare, devono essere approvate e attuate politiche e procedure aziendali volte a definire, identificare, valutare e gestire l’esposizione ai rischi operativi.

Il framework di governo dei rischi operativi è costituito da un insieme strutturato di processi, funzioni e risorse per l’identificazione, la valutazione e il controllo dei rischi operativi, inclusi quelli derivanti da eventi caratterizzati da bassa frequenza e particolare gravità, con l’obiettivo di assicurare un’efficace azione di prevenzione ed attenuazione dei rischi stessi.

Elementi caratterizzanti tale framework, coerentemente con quanto previsto dalla normativa di vigilanza prudenziale, sono:

• la valutazione dell’esposizione ai rischi operativi come processo strettamente integrato nel processo di gestione del rischio in tutte le attività aziendali;

• la formalizzazione e l’attribuzione delle responsabilità;

• il sistema di reporting.

Oltre a quanto previsto in termini di requisito patrimoniale, DEPObank ha attivato un processo specifico finalizzato ad analizzare compiutamente i rischi operativi a cui è esposta, identificare eventuali aree di vulnerabilità e predisporre sistemi di gestione e controllo adeguati. Il framework è composto da quattro

L’Identificazione dei rischi operativi avviene mediante l'attività di raccolta delle informazioni di rischio operativo attraverso il trattamento coerente e coordinato di tutte le fonti di informazione rilevanti; l’obiettivo perseguito è la costituzione di una base informativa completa. Le informazioni necessarie sono i dati interni di perdita corredati di tutte le informazioni rilevanti ai fini della gestione e le valutazioni soggettive acquisite mediante i processi di autovalutazione dei rischi e dei controlli. La raccolta di queste informazioni avviene sulla base di specifici modelli di classificazione, atti a garantire una rappresentazione omogenea dei dati stessi. La fase di Identificazione è composta dai seguenti processi:

• Raccolta dei dati di perdita operativa. A questo riguardo, DEPObank ha predisposto un sistema di raccolta e conservazione dei dati sui Rischi Operativi, comprendente le perdite significative e i relativi

recuperi, idoneo a conferire efficacia al sistema di gestione. Il processo di Loss Data Collection (LDC) prevede la raccolta di tutti gli eventi pregiudizievoli riferiti a qualunque processo aziendale.

• Individuazione e valutazione dei rischi operativi. DEPObank ha implementato un sistema di individuazione delle perdite potenziali riconducibili a eventi operativi che, a prescindere da passate manifestazioni, presentino una probabilità di accadimento plausibile. Il processo di individuazione e valutazione dei Rischi Operativi è svolto in fase di:

a. Progettazione di nuovi servizi/prodotti, individuando le possibili tipologie di eventi pregiudizievoli connessi all'iniziativa, il loro possibile impatto in termini di progetto e/o prodotto/servizio e gli obiettivi e le azioni di controllo e mitigazione da perseguire;

b. Individuazione e valutazione della coerenza del profilo di rischio delle Operazioni di Maggior Rilievo (OMR) con la propensione al rischio definita;

c. Valutazione del profilo di rischio operativo dei processi in essere: con cadenza periodica viene effettuata una valutazione complessiva, per i segmenti di operatività rilevanti, del livello di esposizione ai Rischi Operativi mediante il processo di Risk Control Self-Assessment (RCSA);

d. Valutazione del rischio informatico: per l’individuazione dei rischi specifici inerenti alla sfera ICT, interni o dipendenti dagli outsourcer, ed una miglior qualificazione del rischio operativo tramite la valutazione degli elementi specifici caratteristici dei trattamenti automatici delle informazioni.

La Misurazione è l’attività di valorizzazione della rischiosità finalizzata alla quantificazione del capitale da allocare per il rischio operativo. DEPObank calcola il capitale regolamentare per i rischi operativi utilizzando il metodo base, in considerazione del grado di ottemperanza dei requisiti quali-quantitativi minimi definiti per l’accesso ai modelli più evoluti (standardizzato e avanzati). Inoltre, per una migliore valutazione dell’esposizione ai rischi, DEPObank ha implementato un processo quantitativo di valutazione dei rischi operativi (OpVaR) che permette di monitorare il valore di Rischio Operativo di DEPObank calcolato al 99,9°

percentile.

La fase di Monitoraggio del profilo di rischio ha l’obiettivo di definire un set di indicatori di rischio che permettano di segnalare eventuali criticità e/o anomalie mediante un adeguato sistema di reporting. Tra questi indicatori si annoverano sia indicatori qualitativi sia quantitativi.

La fase di Reporting ha l’obiettivo di assicurare una tempestiva e idonea comunicazione a supporto delle decisioni gestionali degli organi aziendali e delle funzioni organizzative. Nell’ambito del reporting rientrano gli esiti delle seguenti attività:

• l’identificazione e il monitoraggio degli eventi di perdita identificati attraverso i processi di Loss Data Collection e Risk Control Self Assessment (LDC e RCSA);

• la valutazione dei rischi operativi a cui sono esposti i processi della banca (es. valutazione di Nuovi Prodotti/Servizi /Operazioni di Maggior Rilievo);

• la definizione dei piani di azione intrapresi nella gestione e mitigazione dei rischi, con l’indicazione dell’orizzonte temporale del piano, del referente responsabile della gestione dello stesso, oltre a eventuali documenti operativi a supporto;

• l’andamento degli indicatori di monitoraggio (RAF, Indicatori di monitoraggio dei sistemi di misurazione e controllo dei rischi).

La pianificazione e lo sviluppo delle attività di controllo sono sottoposti a processi di follow up mediante la registrazione degli stessi in un "Tableau de Bord" e relativo monitoraggio da parte delle Funzioni di controllo (Risk Management, Compliance, Audit) di tutte le azioni previste per il miglioramento del sistema dei controlli interni. Gli esiti del monitoraggio sono elaborati su base trimestrale e comunicati periodicamente agli Organi Aziendali, al fine di fornire una visione complessiva delle principali criticità a cui la Banca è esposta e dello stato di avanzamento degli interventi correttivi posti in essere o da indirizzare, e poi inviati a Banca d’Italia.

La fase di Gestione del Rischio Operativo si pone come obiettivo la valutazione nel continuo delle strategie per il controllo e la riduzione del rischio, decidendo, in base alla natura e all'entità dello stesso e in relazione alla propensione al rischio espressa dal vertice aziendale, se accettarlo e, pertanto, assumerlo da parte del responsabile del processo o rifiutarlo, e quindi ridurre le attività, se attuare politiche di mitigazione o se trasferirlo a terzi mediante opportune polizze assicurative.

Uno strumento fondamentale di mitigazione del rischio operativo è inoltre rappresentato dal Piano di Continuità Operativa e Disaster Recovery, rivisto annualmente in ottemperanza a quanto richiesto dalle Istruzioni di Vigilanza in materia di controlli interni; la normativa di Banca d’Italia ha di fatto esteso il concetto di Continuità

Operativa a tutti i “processi di business” critici, non solo più focalizzando l’attenzione sulla componente tecnologica, ma sull’insieme dei fattori (risorse umane, logistiche, servizi essenziali, ecc.) che concorrono alla mitigazione dei rischi operativi nel contesto dei nuovi scenari di crisi.

La “continuità operativa di business” comprende l’insieme di tutte le iniziative volte a ridurre ad un livello ritenuto accettabile i danni conseguenti a incidenti e catastrofi che potrebbero colpire direttamente o indirettamente la banca, mentre il Piano di Disaster Recovery stabilisce le misure tecniche ed organizzative per fronteggiare eventi che provochino l’indisponibilità dei centri di elaborazione dati ed è finalizzato a consentire il funzionamento delle procedure informatiche rilevanti in siti alternativi.

Infine, un ulteriore strumento di mitigazione, in particolare per quanto riguarda i rischi inattesi, è costituito dalle coperture assicurative, alle quali la banca ricorre per determinati ambiti di rischio che risultano connaturati con il business e per casistiche (tipicamente a bassa frequenza e alto impatto) che non risultano efficacemente mitigabili con la sola prevenzione dei controlli operativi di linea.

INFORMAZIONI DI NATURA QUANTITATIVA

Rischio Operativo

Anni Indicatore

rilevante Anni Indicatore

rilevante

2018 136.065 2017 177.867 2019 131.576 2018 129.515 2020 119.089 2019 131.576

Media 128.910 146.319

Rischio Operativo 19.336 21.948

31/12/2020 31/12/2019