- RISCHIO OPERATIVO Impatti derivanti dalla pandemia Covid-19

La Banca ha gestito proattivamente l’emergenza sanitaria Covid-19, al fine, in prima istanza, di tutelare la salute di tutte le persone coinvolte nelle proprie attività di business (dipendenti, clienti, fornitori ecc.), nonché di garantire un’adeguata continuità operativa, in coerenza con le disposizioni normative tempo per tempo vigenti. Dal punto di vista del rischio operativo non sono emersi significativi impatti straordinari connessi alla pandemia, salvo quelli principalmente legati all’adeguamento della macchina operativa (costi degli apparati di sanificazione specifici, incremento della digitalizzazione per consentire l’attività a distanza di clienti e dipendenti, ecc.).

Informazioni di natura qualitativa

A. Aspetti generali, processi di gestione e metodi di misurazione del rischio operativo

Conformemente alla politica della BNP Paribas, BNL ha realizzato la complementarità degli ambiti “Rischi Operativi” e “Controlli Permanenti” che garantisce economie alla luce della natura trasversale del rischio operativo, tendendo a massimizzare l’efficacia nella gestione ai fini del contenimento delle perdite e della dotazione di capitale necessario a fronteggiare tale rischio.

L’ambito di applicazione del dispositivo di gestione riguarda BNL SpA e le principali Società direttamente controllate.

Ai fini della determinazione dei requisiti patrimoniali e dei connessi adempimenti sono utilizzate le seguenti metodologie di calcolo:

• l’adozione, a partire dal 1° luglio 2011, del metodo AMA (Advanced Measurement Approach) per BNL SpA, secondo la metodologia di Gruppo che prevede l’uso combinato del metodo TSA (Standardised Approach) e BIA (Basic Indicator Approach ) per alcuni segmenti di operatività;

• l’applicazione del metodo TSA, a partire dal 2011 per Artigiancassa e dal 2013 per BNL Financit.

Nell’ambito del dispositivo complessivo di gestione dei rischi operativi, BNL ha attivato meccanismi di comunicazione tra le strutture aziendali, funzionali a rendere il sistema di gestione dei rischi parte integrante dei processi decisionali e base per le scelte da intraprendere.

La complementarità tra sistema di gestione del rischio operativo e processi decisionali risponde ai principi della normativa di Vigilanza (italiana ed europea). Uno dei principi si fonda sulla consapevolezza maturata dai vertici aziendali e dai responsabili circa la rischiosità dei rispettivi ambiti operativi. Due sono quindi gli elementi fondamentali: la sensibilizzazione di tutto il personale e l’assunzione di scelte strategiche consapevoli da parte del management.

La Banca è dotata anche di un sistema di reporting che consente di fornire una specifica informativa di breve/medio periodo strettamente operativa.

Struttura organizzativa

La carta del controllo interno di BNL attribuisce specifiche competenze, anche in termini di gestione dei rischi operativi, ai seguenti attori:

157

• Organi Sociali (Consiglio di Amministrazione, Presidente del Consiglio di Amministrazione, Comitato per il Controllo Interno e Rischi/Organismo di Vigilanza ex D.lgs.231/2001, Comitato Remunerazioni, Comitato Nomine, Amministratore Delegato/Direttore Generale, Collegio Sindacale);

• Dirigente Preposto (art 154-bis del TUF);

• Direzioni e Divisioni operative (“prima linea di difesa”);

• Funzioni aziendali di Controllo: Funzione di Controllo dei Rischi, Funzioni di Convalida, Funzione di Conformità alle norme e Funzione Antiriciclaggio, Direzione Legale e Societario, Direzione Finanziaria (“seconda linea di difesa”);

• Funzione di Revisione Interna (“terza linea di difesa”).

Il modello dei controlli di BNL assegna piena responsabilità al management delle Direzioni e Divisioni operative in termini di individuazione, monitoraggio e mitigazione dei rischi operativi, ferme restando le attribuzioni delle Funzioni di Controllo. In particolare i Comitati Interfunzionali, composti anche dal management della Banca e dettagliati in termini di composizione e funzionamento nella Carta delle Responsabilità BNL, svolgono un ruolo chiave nel Sistema dei Controlli Interni e nel dispositivo di mitigazione dei rischi operativi.

Le Strutture operative (Divisioni e Direzioni) organizzano il loro sistema di gestione dei rischi operativi e dei controlli permanenti con un approccio basato sul rischio. L’intensità e la robustezza della governance è proporzionata sia alla rilevanza strategica della Struttura, sia alla sua esposizione al rischio operativo.

Per implementare tale sistema, le Strutture individuano risorse dedicate chiamate Operational Permanent Controllers (OPC). Gli OPC operano e/o coordinano il dispositivo di gestione dei rischi operativi e di controllo permanente di competenza in relazione a tutti i rischi operativi con un approccio end-to-end, in adempimento alle policy interne, alle procedure ed ai principi emessi dalle Funzioni di Controllo, nonché ai requisiti legali e regolamentari.

Gli OPC hanno il compito di assicurare il supporto al management operativo (risk owner) della propria Divisione/Direzione nella gestione dei rischi operativi attraverso l’identificazione e la mappatura dei rischi, la raccolta degli incidenti storici, l’analisi e la quantificazione degli incidenti potenziali, la definizione ed aggiornamento del piano dei controlli e la relativa esecuzione, la definizione dei piani di azione per la mitigazione dei rischi rilevati, il monitoraggio della corretta implementazione delle raccomandazioni dell’Inspection Générale, dei Regulators, degli Organi di Controllo o delle Funzioni di Controllo .

La collocazione organizzativa del ruolo dell’OPC è responsabilità di ogni Struttura per cui le attività e responsabilità possono essere attribuite ad una o più Strutture e/o attribuite a risorse che svolgono anche altre attività. L’esecuzione delle attività assegnate agli OPC può anche essere delegata a Strutture esterne a quella di riferimento degli OPC, purché la responsabilità rimanga in capo al management operativo di competenza.

La seconda linea di difesa è agita dalle Direzioni Rischi, Compliance, Legale e Societario e Finanziaria (responsabile anche dell’ambito Fiscale); i perimetri di azione e le principali responsabilità delle diverse Funzioni facenti parte della seconda linea di difesa, sono definiti in modo complementare, evitando duplicazioni di attività o di azioni di controllo sul primo livello e le interazioni tra le stesse sono garantite attraverso la partecipazione a comitati e scambi di flussi informativi.

In Direzione Rischi è collocata la struttura RISK ORM (Operational Risk Management), con il compito di valutare l’esistenza ed effettività del dispositivo di mitigazione e controllo permanente a copertura di tutti i rischi operativi ai quali la Banca è esposta, in coordinamento con le altre Funzioni di Controllo. RISK ORM in particolare:

• assicura che gli standard del Gruppo BNP Paribas siano adeguatamente implementati ed adattati alle specificità locali della Banca;

• assicura, con incontri periodici, che le attività di gestione del rischio operativo (gestione action plan, monitoraggio incidenti, gestione procedure, ecc.) siano correttamente svolte dalla prima linea di difesa ed assicura il follow-up delle azioni tese al superamento delle eventuali criticità riscontrate;

• agisce come seconda linea di difesa specialistica (competence center) sui rischi trasversali frodi, ICT e terze parti (outsourcing);

• fornisce al management e agli Organi di Controllo una visione olistica dell’esposizione al rischio operativo della Banca e dell’implementazione dei diversi elementi del dispositivo (sistema di raccolta degli incidenti storici, modellizzazione e aggiornamento degli incidenti potenziali, cartografie, implementazione ed esiti dei piani di controllo permanente, gestione raccomandazioni, gestione delle procedure, piani di azione a mitigazione dei rischi evidenziati), attivando gli opportuni meccanismi di escalation in caso di gap o gravi

158 inadempienze.

La terza linea di difesa è assicurata dall’Inspection Générale - Hub Italy che effettua le missioni di audit sul framework AMA di BNL, sottoponendo ad esame anche il processo di Convalida.

Metodologia

L’analisi della causa (processo interno o fatto esterno) dell’evento (incidente) e dell’effetto (rischio di perdita economica) sono gli assi fondamentali della gestione del rischio operativo nella definizione adottata da BNP Paribas. In particolare il Gruppo ha definito come incidente un evento reale o potenziale derivante dall’inadeguatezza o malfunzionamento di processi interni o da eventi esterni che avrebbero potuto o potrebbero generare una perdita, un ricavo o un mancato guadagno.

L’analisi degli incidenti storici, integrata dall’analisi degli eventi potenziali, consente di sviluppare la mappa dei rischi e individuare carenze di controlli o procedure, difetti di processo o di organizzazione che possono determinare impatti finanziari anche gravi.

Il processo di gestione degli incidenti storici si articola in più fasi: raccolta e segnalazione, definizione azioni di mitigazione (piani di azione) e follow up (quale fase preventiva alla mitigazione), quality review a garanzia della completezza dell’informazione, reporting.

Gli incidenti potenziali costituiscono i dati principali dell’analisi prospettica del rischio nella metodologia AMA del Gruppo.

Le fasi di gestione degli incidenti potenziali includono:

• analisi e data entry, per gli incidenti potenziali rientranti nel dominio specifico delle Direzioni / Divisioni e per gli incidenti potenziali che il Gruppo BNP Paribas valuta di natura trasversale, sistemica, estrema o di compliance (c.d. “rischi maggiori”);

• validazione dell’incidente da parte dell’owner del processo associato;

• verifica sulla qualità delle analisi e quantificazioni degli incidenti potenziali da parte della struttura RISK Operational Risk Management (RISK ORM) di BNL e della Capogruppo;

• definizione di piani di azione (aggiornamenti cartografie dei rischi), che costituiscono l’asse portante della mitigazione del rischio.

Nel modello AMA adottato i dati quantitativi sono utilizzati come fonte primaria per il calcolo del requisito patrimoniale a fronte dei rischi operativi. L’analisi degli incidenti potenziali consente di rispondere contemporaneamente alle esigenze regolamentari in termini di analisi di scenario, fattori di contesto e sistema dei controlli interni.

Informazioni di natura quantitativa

Valutazione delle principali fonti di manifestazione e della natura dei rischi

Gli impatti economici totali (perdite e accantonamenti) 2021¹ sono pari a 39 milioni, in significativa riduzione (-36% circa pari a -22 milioni) rispetto al dato dell'anno precedente.

Il 50,1% del totale degli impatti economici concerne incidenti della categoria “Clienti, prodotti e pratiche commerciali” (19 milioni di euro, in riduzione di circa il 40% rispetto al 2020). Questa categoria è riconducibile

1Al netto di perdite e accantonamenti registrati nell’anno a fronte di variazioni, su incidenti censiti negli anni precedenti, dovute principalmente all’evoluzione delle controversie giuridiche.

159

prevalentemente a contenziosi (cause passive e transazioni stragiudiziali) per anatocismo su posizioni precedenti all’anno 2001, contenzioso su servizi di investimento e a perdite per revocatorie fallimentari.

Gli errori nell’esecuzione e gestione dei processi costituiscono il 36% delle perdite complessive (14 milioni).

Le frodi esterne, che rappresentano complessivamente l’8,4% del totale degli impatti economici, si attestano a 3 milioni di euro mentre le frodi interne, che costituiscono lo 0,3% degli impatti economici, si attestano a circa 0,1 milioni in sensibile riduzione rispetto al 2020.

Le interruzioni di attività e carenze dei sistemi (incidenti di natura informatica) rappresentano il 2,9%

del totale (1,1 milioni), principalmente riconducibili ad un incidente occorso per un’errata impostazione dei criteri anti-spam delle email che hanno bloccato le comunicazioni in entrata.

Le perdite e accantonamenti per eventi connessi a pratiche sociali e sicurezza del lavoro sono pari a 0,7 milioni e rappresentano l’1,8% del totale. Tali perdite sono interamente riconducibili a contenziosi giuslavoristici.

Infine, i danni ai beni materiali rappresentano lo 0,5% (0,2 milioni) in significativa riduzione rispetto al 2020, anno caratterizzato dall’evento straordinario del COVID-19.

Distribuzione percentuale delle perdite nette per Tipo di Evento – Anno 2021

160 Le Passività potenziali

Per quanto riguarda le passività potenziali, sulla base delle valutazioni effettuate, la Banca è esposta ai contenziosi giudicati a “soccombenza meramente possibile” e, quindi, non tale da richiedere, secondo corretti principi contabili, specifici accantonamenti, per cui è stimato un rischio potenziale di circa 99 milioni.

La Banca non è a conoscenza di situazioni di incertezza sul trattamento delle componenti rilevanti ai fini dell’imposta sul reddito che possano riflettersi sulle attività e passività fiscali correnti e differite dalla stessa rilevate in bilancio.

Con riferimento alle controversie inerenti ai crediti non performing si fa rinvio alle informazioni contenute nella Parte B – Informazioni sullo Stato Patrimoniale – cap. 10.6.1 Fondi per Rischi ed oneri – altri fondi – Controversie legali.