RISCHI OPERATIVI

I crediti e i debiti in valuta estera sono stati valorizzati in base ai seguenti cambi rilevati a fine periodo:

Valuta estera Cod. divisa Tasso di cambio

Dollari Usa USD 1,123

Sterline inglesi GBP 0,851

Dollari Canadesi CAD 1,460

Corona Repubblica Ceca CZK 25,408

2. Modelli e altre metodologie per la misurazione e gestione del rischio di cambio 3. Altre informazioni quantitative in materia di rischio di cambio

3.3 RISCHI OPERATIVI

INFORMAZIONI DI NATURA QUALITATIVA

1. Aspetti generali, processi di governo e metodi di misurazione del rischio operativo

il metodo standardizzato avviene determinando la media triennale della somma del requisito annuale di Fondi Propri per le linee di business nelle quali è stato classificato l’Indicatore Rilevante .

Si evidenzia che facendo leva sui principi di separatezza nell’assetto organizzativo ed indipendenza delle funzioni che esercitano le attività di controllo di secondo e terzo livello, sono previste:

• un’attività di controllo dei rischi operativi di primo livello;

• una funzione di controllo dei rischi operativi di secondo livello accentrata presso la Direzione Rischi, segnatamente al Servizio Rischi di Credito e Operativi;

• una deputata ai controlli di terzo livello attribuita alla Direzione Revisione Interna, nel rispetto del sistema dei controlli interni previsti dal Gruppo.

La gestione del rischio operativo si basa sui seguenti principi:

• identificazione: i rischi operativi sono identificati, segnalati e riportati al vertice aziendale;

• misurazione e valutazione: il rischio è quantificato determinandone gli impatti sui processi aziendali anche sotto il profilo economico;

• monitoraggio: è garantito il monitoraggio dei rischi operativi e dell’esposizione a perdite rilevanti, generando flussi informativi che favoriscono una gestione attiva del rischio;

• mitigazione: sono adottati gli interventi gestionali ritenuti opportuni per mitigare i rischi operativi;

• reporting: è predisposto un sistema di reporting per rendicontare la gestione dei rischi operativi.

Il sistema di raccolta e conservazione dei dati di perdita si sostanzia nel processo di Loss Data Collection di Gruppo che consente la raccolta e l’archiviazione degli eventi di perdita operativa.

Il processo di Loss Data Collection è supportato da appositi strumenti informatici, oggetto di costante evoluzione, volti a garantire l’integrità e la qualità dei dati.

La valutazione dell’esposizione ai rischi operativi, svolta tramite Risk Self Assessment ha lo scopo di determinare, con un orizzonte temporale annuale e per i segmenti di operatività rilevanti:

• il grado di esposizione ai rischi operativi;

• la valutazione dell’adeguatezza dei processi e dei controlli di linea.

La gestione del rischio operativo si basa sui seguenti principi:

• identificazione: i rischi operativi sono identificati, segnalati e riportati al vertice aziendale;

• misurazione e valutazione: il rischio è quantificato determinandone gli impatti sui processi aziendali anche sotto il profilo economico;

• monitoraggio: è garantito il monitoraggio dei rischi operativi e dell’esposizione a perdite rilevanti, generando flussi informativi che favoriscono una gestione attiva del rischio;

• mitigazione: sono adottati gli interventi gestionali ritenuti opportuni per mitigare i rischi operativi;

• reporting: è predisposto un sistema di reporting per rendicontare la gestione dei rischi operativi.

Il sistema di raccolta e conservazione dei dati di perdita si sostanzia nel processo di Loss Data Collection di Gruppo che consente la raccolta e l’archiviazione degli eventi di perdita operativa.

Il processo di Loss Data Collection è supportato da appositi strumenti informatici, oggetto di costante evoluzione, volti a garantire l’integrità e la qualità dei dati.

La valutazione dell’esposizione ai rischi operativi, svolta tramite Risk Self Assessment e Scenario Analysis, ha lo scopo di determinare, con un orizzonte temporale annuale e per i segmenti di operatività rilevanti:

• il grado di esposizione ai rischi operativi;

• la valutazione dell’adeguatezza dei processi e dei controlli di linea.

La gestione del rischio operativo si sostanzia inoltre nelle attività di valutazione dedicate di rischio con riferimento al processo per l’approvazione di nuovi prodotti e servizi, l’avvio di nuove attività, l’inserimento in nuovi mercati, nonché il processo di esternalizzazione di funzioni aziendali.

A partire dal 2015 il Gruppo ha implementato un framework di analisi del rischio informatico, conforme

alla Circolare n. 285 del 17 dicembre 2013, con l’obiettivo di fornire una rappresentazione della situazione

attuale di rischio e delle eventuali azioni di rimedio necessarie per non eccedere la soglia di propensione

definita.

A partire dal 2017 il Gruppo ha implementato un framework di gestione del rischio reputazionale, coerente con le normative e le best practice di riferimento, con la finalità di presidiarlo e monitorarlo nel continuo ed evidenziare e mitigare eventuali situazioni anomale. A tal fine non sono stati definiti obiettivi e limiti di esposizione ed operativi in quanto a fronte del rischio reputazionale non è prevista una quantificazione del capitale interno.

La Capogruppo predispone un report trimestrale per rendicontare all'Alta Direzione e ai Responsabili delle Unità Organizzative centrali le perdite operative che si sono manifestate nel periodo e un report annuale che rappresenta le analisi delle valutazioni prospettiche di rischio operativo raccolte tramite un’attività di Risk Self Assessment, ivi incluse le indicazioni in materia di azioni di mitigazione del rischio pianificate.

Specifica reportistica è prevista anche nel framework di gestione del rischio informatico e del rischio reputazionale.

L’adesione del Gruppo BPER Banca a DIPO

consente di ottenere flussi di ritorno delle perdite operative segnalate dalle altre banche italiane aderenti. La Capogruppo utilizza attualmente tali flussi per analisi di posizionamento rispetto a quanto segnalato dal sistema, per aggiornare la mappa dei rischi operativi e come eventuale supporto alle stime fornite durante l’attività di Risk Self Assessment.

Sono parte della gestione dei rischi operativi le linee di intervento nell’ambito del Business Continuity Management. Esse sono orientate a mantenere ad un livello opportuno l'attenzione sulla continuità operativa e ad evitare che l'impianto organizzativo (regole, valutazioni d’impatto, scenari, misure d’emergenza, piani operativi, ecc.), sviluppato per la continuità dei processi critici aziendali, perda progressivamente di rilevanza.

INFORMAZIONI DI NATURA QUANTITATIVA

Si riporta di seguito la distribuzione percentuale del numero di eventi e delle perdite operative registrate nel 2019, suddivisi nelle seguenti classi di rischio:

• Frode interna: perdite dovute a frode, appropriazione indebita o elusione di leggi, regolamenti o direttive aziendali, ad esclusione degli episodi di discriminazione o di mancata applicazione di condizioni paritarie, in cui sia coinvolta almeno una risorsa interna dell’ente;

• Frode esterna: perdite dovute a frode, appropriazione indebita o violazione / elusione di leggi da parte di terzi;

• Rapporto di impiego e sicurezza sul lavoro: perdite derivanti da atti non conformi alle leggi o agli accordi in materia di impiego, salute e sicurezza sul lavoro, dal pagamento di risarcimenti a titolo di lesioni personali o da episodi di discriminazione o di mancata applicazione di condizioni paritarie;

• Clientela, prodotti e prassi professionali: perdite derivanti da inadempienze, involontarie o per negligenza, relative a obblighi professionali verso clienti specifici (inclusi i requisiti di affidabilità e di adeguatezza), ovvero dalla natura o dalle caratteristiche del prodotto;

• Danni a beni materiali: perdite dovute a danneggiamento o a distruzione di beni materiali per catastrofi naturali o altri eventi;

• Interruzioni dell’operatività e disfunzioni dei sistemi: perdite dovute a interruzioni dell’operatività o a disfunzioni dei sistemi;

• Esecuzione, consegna e gestione dei processi: perdite dovute a carenze nel trattamento

delle operazioni o nella gestione dei processi, nonché perdite dovute alle relazioni con controparti

Il 100% delle perdite operative rientra all’interno della tipologia di evento “Esecuzione, consegna e

gestione dei processi” e contribuisce al 100% dell’importo di perdita complessivo registrato dalla Società.