Rischio Operativo - L'evoluzione, attuale e prospettica, del sistema delle maggiori banche popo

Il rischio operativo presidiato dal Gruppo riflette la definizione del Comitato di Basilea: probabilità di manifestazione di perdite a causa di disfunzioni riscontrabili nei sistemi e nelle procedure interne, nel personale o generate da fattori esterni. Vengono principalmente incluse in questa definizione le perdite originate da inadempienze del personale, rischi legali (ad es. inadempienze contrattuali), fattori esogeni come catastrofi naturali ecc...

Sono esclusi invece i rischi connessi alla reputazione e all'attuazione degli obiettivi strategici: il Gruppo si è dotato di un sistema di gestione adeguato alla relativa struttura, dimensione e profilo di rischio. Il Cda di BPM ha deliberato nel 2008 l'adozione del metodo standardizzato per la stima rischio operativo e dei relativi assorbimenti patrimoniali. Il modello è applicato a Banca Popolare di Milano e all' Investment Bank del Gruppo, Banca Akros: la stima del rischio per le società residue del Gruppo, come Banca Popolare di Mantova, viene invece effettuata attraverso il modello Base. Bipiemme ha definito un modello di governo dei rischi operativi, a partire dal quale sono state definite ed estese all'organizzazione le procedure operative di gestione e monitoraggio, predisponendo anche un adeguata informativa periodica a favore del management. Il Gruppo ha inoltre definito e formalizzato la mappa delle responsabilità, un sistema di verifica dell'adeguatezza delle procedure e dei modelli di controllo. La Capogruppo gestisce il controllo ed il coordinamento generale delle attività, sulla base di un modello di accentramento nella definizione delle linee strategiche. Il consiglio di Sorveglianza, di Gestione ed i relativi Comitati di Gestione e Controllo Interno svolgono le attività di carattere strategico in stretta integrazione con la funzione Risk Management. Il presidio delle attività operative è invece attribuito all'Operational Risk della Capogruppo ed ai relativi centri di responsabilità individuati all'interno delle banche del Gruppo.

Il sistema di governo dei rischi operativi implementato dal Gruppo BPM prevede una fase iniziale di acquisizione dei dati sulle perdite operative e le potenzialità di recupero assicurativo125_{. Il processo, definito di Loss data collection, fornisce informazioni} sull'evoluzione temporale dei fenomeni di perdita maggiormente significativi: i dati raccolti costituiscono un importante base per l'individuazione degli assorbimenti patrimoniali indotti dal rischio operativi e per la stima del Value at Risk. La banca si è dotata di un sistema di reporting ad hoc per il processo di raccolta delle perdite operative, che è stato progressivamente esteso dalla Capogruppo a tutte le business unit del Gruppo. Il sistema prevede una classificazione standardizzata dei profili di perdita, a garanzia di un confronto omogeneo fra unità operative e per facilitare valutazione aggregate del rischio. Sono state individuate sette macro-categorie di perdita originate da: frodi interne e esterne, corretta esecuzione e gestione dei processi, rapporti da atti non conformi a leggi o accordi in materia di salute o sicurezza sul lavoro, inadempienze relative a obblighi professionali verso clienti, danni ad attività materiali, disfunzioni dei sistemi informatici.

La tabella 2.70 attribuisce le priorità in termini d'impatto alle sette tipologie di perdita menzionate: le frodi esterne e le perdite generate dall'errata gestione dei processi occupano i primi due posti nell'arco dell'intero periodo di riferimento. Al terzo posto si alternano le tre categorie relative ai danni ad attività materiali, alle inadempienze verso la clientela e alle disfunzioni nei sistemi informatici. Nella tabella sono presenti alcuni spazi bianchi, che indicano un impatto essenzialmente nullo delle voci di perdita nell'anno di riferimento: si osserva come il Gruppo non abbia mai sostenuto oneri connessi alla non conformità in materia di salute e sicurezza sul lavoro. Si riscontra un peso sostanzialmente nullo anche nella voce relativa alle frodi interne, a partire dal 2008.

Tabella 2.70: Ranking d'impatto delle varie categorie standard di perdita operativa

Fonte: Elaborazione da Relazioni di bilancio dal 2007 al 2013 -Rischi operativi - La raccolta delle perdite operative

Il sistema di rilevazione è funzionale all'attività di monitoraggio e valutazione del profilo di rischio, di competenza delle sopracitate funzioni di vertice all'interno della Capogruppo. Il Gruppo ha attivato, oltre alla raccolta dati e all'attività di supervisione periodica, un processo annuale di valutazione dell'esposizione al rischio all'interno dei processi operativi di maggior rilievo. Vengono analizzati i principali processi creditizi, finanziari e commerciali al fine di rilevare i fattori rischio maggiormente significativi e predisporre adeguate misure di mitigazione. I criteri di svolgimento delle attività operative sono allineati ai parametri adottati dalla disciplina normativa per l'individuazione dei profili di business e dei relativi coefficienti di calcolo degli assorbimenti patrimoniali, individuali e consolidati. La cultura organizzativa del rischio è estesa sia al management posto ai vertici aziendali sia alle funzioni operative, attraverso attività di formazione e predisposizione di un'adeguata strumentazione.

Banca Popolare di Milano verifica, tramite un processo di autovalutazione interna (annuale) l'adeguatezza del sistema di rilevazione e di controllo realizzato e l'efficacia delle linee strategiche delineate in funzione al contingente profilo di rischio.

CLASSIFICA IMPATTO % 2007 2008 2009 2010 2011 2012 2013

Frodi interne 4°

Frodi esterne 1° 2° 1° 1° 1° 1° 1°

2° 3° 3°

Danni ad attività materiali 4° 4° 3° 3° 4°

3° 4° 4° 3°

3° 1° 2° 2° 2° 2° 2°

Rapporto d'impiego sicurezza sul lavoro Clientela, prodotti Prassi operative

Interruzioni operative Disfunzione sistemi informatici Esecuzione, consegna Gestione dei processi

Il Gruppo predispone, a fini prudenziali, la stesura di un Piano di Continuità Operativa (PCO)126_{, che consente di monitorare la capacità di ripristino dei processi aziendali,} assumendo scenari di profonda crisi innescati dall'acutizzarsi del rischio operativo. Attraverso il PCO vengono formalizzate le attività finalizzate a mantenere operativo il sistema di individuazione e monitoraggio del rischio. Viene inoltre testato il corretto funzionamento del piano di simulazione degli eventi di crisi e individuate azioni di mitigazione del rischio in presenza di scenari anomali ad esteso e significativo impatto negativo, al fine di garantire la continuità dei processi chiave.

2.12.2 Analisi comparativa all'interno del gruppo di banche popolari

Le banche popolari adottano una definizione di rischio operativo omogenea, in relazione al perimetro di definizione delineato dalla normativa di vigilanza.

Il rischio operativo è associato all'insorgenza di potenziali perdite associate alla non adeguata configurazione delle risorse umane, dei sistemi interni aziendali, delle procedure o per effetto di eventi esogeni. La normativa individua sette categorie di eventi, già descritte in precedenza nel paragrafo relativo alla gestione dei rischi operativi del Gruppo BPM. Si tratta di: frodi interne ed esterne, violazione della disciplina contrattuale verso i clienti, danni a beni materiali e sistemi operativi, perdite generate dall'errata esecuzione dei processi. Il rischio operativo racchiude al proprio interno anche il rischio legale, mentre sono esclusi i rischi reputazionali e di natura strategica. Gli istituti popolari hanno adottato generalmente il metodo standard nell'identificare i requisiti patrimoniali a fronte dei rischi operativi sostenuti: si distinguono BPVi127_{, che} adotta il BIA (Basic Indicator Approach), che prevede di effettuare una moltiplicazione fra la media dei margini d'intermediazione degli ultimi tre anni ed una costante fissa (pari al 15%).

126_{BPM, sezione: “Rischio operativo”, paragrafo: “Il sistema di gestione dei rischi”, Relazione di Bilancio}

2013

Banco Popolare128_{applica invece entrambi i metodi: “standard” per i requisiti relativi} alla Capogruppo e alle società che eccedono i limiti dimensionali definiti dalla normativa di Vigilanza, le società residuali il metodo “base”. I sistemi organizzativi implementati dai gruppi bancari si caratterizzano per una comune volontà di accentrare in capo alla controllante la definizione delle linee d'indirizzo strategico ed i controlli di secondo e terzo livello. I controlli di secondo livello vengono attribuiti generalmente alla direzione cui compete la gestione del rischio di Gruppo: al terzo livello si colloca il monitoraggio effettuato dalla Direzione Internal Audit, organo centrale di Gruppo deputato all'esercizio della funzione di revisione interna. La direzione in oggetto verifica attraverso ispezioni interne o a distanza, l'adeguatezza della struttura di governo dei rischi operativi dal punto di vista della struttura organizzativa/operativa e dell'assetto normativo. La definizione delle politiche d'indirizzo in materia di gestione del rischio operativo compete al CdA o al CdG: a supporto degli organi statutari in oggetto, il Gruppo UBI Banca129_{ha istituito il Comitato Rischi Operativi, esercitante funzioni di} natura consultiva e informativa. La gestione del rischio operativo si articola nelle seguenti fasi: identificazione, nella quale i rischi sono oggetto di misurazione,attraverso la procedura operativa di Loss Data Collection (LDC), che individua la frequenza e l'impatto economico delle fonti di perdita operativa. Il processo di LDC è integrato anche dal self Risk Assessment, che prevede l'auto-determinazione del potenziale di rischio connesso a eventi di perdita futuri e dell'efficacia del sistema di governo del rischio. Gli istituti di credito hanno inoltre aderito al consorzio interbancario DIPO, che consente di consultare un database sulle perdite operative collezionate dal settore bancario italiano: l'obiettivo è quello di condurre eventuali analisi di benchmark, al fine di valutare la posizione del proprio istituto rispetto al mercato, o per valutare il profilo di rischio connesso a nuovi segmenti operativi di cui si sta pianificando l'ingresso.

128_{Banco Popolare, “Rischi operativi”, Relazione di Bilancio 2013}

La fase successiva consiste nel monitoraggio del profilo di rischio in oggetto, attraverso i sopracitati controlli operativi che consentono di generare flussi di informazioni funzionali ad una gestione pro-attiva. Le esposizioni al rischio vengono mitigate attraverso una serie di strumenti, fra cui la sottoscrizione di polizze assicurative a copertura dei profili di rischio trasferibili130_.

2.13 Patrimonializzazione

Nel documento L'evoluzione, attuale e prospettica, del sistema delle maggiori banche popolari italiane (pagine 185-191)