Le previsioni dell’art. 5-ter del D.Lgs. n.252/2005, ribadite dalla Deliberazione COVIP del 29 luglio 2020, richiedono ai fondi pensione di dotarsi - in modo proporzionato alle dimensioni e all’organizzazione interna nonché alla dimensione, alla natura, alla portata e alla complessità delle loro attività - di un sistema efficace di gestione dei rischi.
Un efficace sistema di gestione dei rischi prevede la definizione delle strategie, dei processi e delle procedure di segnalazione necessarie a individuare, misurare, monitorare, gestire e segnalare i rischi a cui ciascun fondo pensione potrebbe essere esposto.
Per facilitare l’attuazione del sistema di gestione dei rischi, il comma 6 dell’art. 5-ter del D.Lgs 252/2005 prevede l’istituzione della specifica Funzione di Gestione dei Rischi (FGR).
Alle disposizioni di carattere nazionale sopra citate si affiancano quelle di carattere sovranazionale, in particolare le linee guida EIOPA2 che forniscono indicazioni circa le modalità di misurazione e di rappresentazione dei rischi.
La Politica di gestione dei rischi del Fondo Pensione del Gruppo UBI Banca, della Banca Popolare di Bergamo e delle altre Società controllate (di seguito anche
“Fondo” o “Fondo Pensione”):
- specifica i compiti e la struttura della Funzione di Gestione dei Rischi - individua le categorie di rischio rilevanti per il Fondo
- identifica le metodologie di valutazione e misurazione dei rischi
- definisce le modalità di gestione e controllo dei rischi: limiti di tolleranza e frequenza / contenuto delle verifiche periodiche della Funzione di
Gestione dei Rischi
1. Compiti della Funzione di gestione dei rischi
Il comma 6 dell’art. 5-ter del D.Lgs 252/2005 prevede l’istituzione della specifica Funzione di Gestione dei Rischi (FGR). Il compito della FGR è quello di concorrere alla definizione della politica di gestione dei rischi e di facilitare l’attuazione del
2 Opinion on the practical implementation of the common framework for risk assessment and transparency of IORPs e Opinion on the supervision of the management of environmental, social and governance risks faced by IORPs – 10 luglio 2019
Documento sul sistema di governo
27 sistema di gestione dei rischi, verificando l’efficienza ed efficacia del sistema nel suo complesso.
Più in dettaglio, la FGR:
• concorre alla definizione della politica di gestione dei rischi;
• verifica e aggiorna annualmente – o in caso di variazioni significative – i rischi identificati nella mappatura e la relativa misurazione di Rischio Base e Rischio Residuo (come di seguito specificati) per ciascun fattore di rischio;
• ad esito dell’aggiornamento della mappatura, individua le aree di rischio più significativo e i relativi presidi di gestione/mitigazione degli stessi - attraverso approcci qualitativi e/o quantitativi (definendo/modificando in tal caso eventuali soglie prefissate);
• adotta un registro delle attività dove annota per ogni rischio eventuali anomalie, sforamenti o indicazioni rilevanti anche ai fini dell’aggiornamento della mappatura;
• predispone una reportistica trimestrale fornita al Direttore Generale e al CdA, e contenente gli esiti dei controlli svolti o direttamente o tramite le strutture operative del Fondo e da soggetti che svolgono eventuali attività esternalizzate;
• predispone una relazione annuale, entro il 31 dicembre, per il Consiglio di Amministrazione ed il Direttore Generale, contenente sintesi delle attività svolte (inclusive delle risultanze dell’aggiornamento della mappatura rischi e degli esiti della reportistica trimestrale prodotta), criticità emerse, raccomandazioni effettuate e presidi posti in essere / non ancora attuati per la relativa risoluzione;
• segnala prontamente al Consiglio di Amministrazione e al Direttore Generale eventuali criticità / raccomandazioni rilevanti emerse dai controlli effettuati al fine di individuare i presidi necessari per la gestione e mitigazione dei rischi rilevati;
• suggerisce eventuali modifiche alle politiche / procedure adottate dal Fondo utili a migliorare la gestione e mitigazione dei rischi;
• comunica alla COVIP se l’organo al quale ha trasmesso le risultanze e le raccomandazioni rilevanti nel proprio ambito di attività non intraprende azioni correttive adeguate e tempestive, nei casi in cui il fondo non ottemperi ad un requisito legale significativo e quando violi la legge, i regolamenti o le disposizioni amministrative applicabili al Fondo;
• svolge la valutazione interna del rischio prevista dall’art. 5-nonies del D.Lgs.
n.252/2005, servendosi del supporto delle altre aree e funzioni fondamentali del Fondo almeno con cadenza triennale o a seguito di variazioni significative
Documento sul sistema di governo
28 del profilo di rischio del Fondo. Con riferimento a quest’ultimo aspetto sono individuati i seguenti indicatori di rischio: significative variazioni nei processi ed attività amministrative, nella gestione finanziaria, nella popolazione degli iscritti e/o delle aziende aderenti, significative modifiche normative.
Nell'espletamento dell’attività la FGR:
- non ha vincoli di accesso a dati, archivi e beni del Fondo, incluse le informazioni utili per la verifica dell’adeguatezza dei controlli svolti dalle funzioni esternalizzate;
- è destinataria di flussi informativi che riguardano tutti i rischi individuati come rilevanti per il Fondo.
1.1 Struttura della Funzione di Gestione dei Rischi e sistema di riporto
La titolarità della Funzione è assegnata ad una risorsa dipendente dall’impresa promotrice che non svolge la medesima attività presso la stessa, è in possesso dei requisiti previsti dalla normativa ai sensi del D. Lgs. 252/2005, art. 5-sexies, per lo svolgimento dell’attività ed è dotato di tutte le facoltà disposte dalle direttive dell’autorità di vigilanza atte ad assicurare l’autonomia e l’indipendenza della stessa.
La collocazione nell’ambito della struttura organizzativa è tale comunque da garantirne l’indipendenza e l’autonomia, affinché non ne sia compromessa l’obiettività di giudizio.
La FGR è dotata di risorse idonee a garantire lo svolgimento su base continuativa delle verifiche, delle analisi e degli altri adempimenti necessari per lo svolgimento del suo incarico.
La FGR riporta al Consiglio di Amministrazione in base a quanto indicato nei compiti della funzione, fatti salvi i casi di comunicazione nei confronti della COVIP così come previsti dall’art. 5-bis del d.lgs. n. 252/2005, fornendo un supporto tecnico-specialistico agli stessi nella valutazione dei rischi. Al contempo la FGR collabora con le altre aree e funzioni fondamentali del Fondo
La FGR ha la possibilità di presenziare in sede di Consiglio di Amministrazione.
Il Fondo adotta appropriate misure e procedure atte a tutelare il titolare della Funzione che effettua le comunicazioni alla COVIP di cui sopra, da possibili ritorsioni o condotte comunque lesive.
Nel caso che il titolare della Funzione ritenga di aver subito o essere in procinto di subire, ritorsioni o condotte comunque lesive a seguito di comunicazioni alla
Documento sul sistema di governo
29 COVIP di cui sopra, ivi compresa la revoca del relativo incarico, predispone una nota circostanziata dei fatti e la trasmette al Presidente del Consiglio di Amministrazione e al Presidente del Collegio dei Revisori, che valutano l’opportunità di indire un incontro con il titolare della Funzione per ulteriori approfondimenti.
All’esito di mancati riscontri alla nota e/o di riscontri ritenuti non soddisfacenti, il titolare della Funzione richiede al Direttore Generale e al Presidente del Consiglio di Amministrazione di inserire uno specifico punto all’O.d.g. della prima seduta del Consiglio di Amministrazione per la trattazione dell’argomento. L’estratto del verbale dedicato a tale punto dell’O.d.g. deve essere tempestivamente trasmesso alla COVIP.
2. Categorie di rischio
Il sistema di gestione dei rischi è integrato nella struttura organizzativa e nei processi decisionali del Fondo pensione, tenuto conto del ruolo dei diversi soggetti che svolgono funzioni di amministrazione, direzione e controllo e delle altre funzioni fondamentali.
Il sistema di gestione dei rischi è basato sulla mappatura dei fattori di rischio potenzialmente rilevanti per il Fondo e per i suoi aderenti.
I fattori di rischio sono classificati secondo la tassonomia di seguito elencata, che include le categorie di rischi di riferimento elencati nell’art. 5-ter c.4 del D.Lgs 252/2005, così come definiti nel documento del Fondo denominato “Definizione dei metodi di valutazione dei rischio” ovvero:
- Rischi Operativi e Correlati - Rischi Finanziari
- Rischi Ambientali, Sociali e di Governance (rischi ESG)
3. Identificazione e metodologie di misurazione dei rischi
Precedentemente alla definizione della politica di gestione del rischio è stata effettuata la mappatura dei fattori di rischio potenzialmente rilevanti per il Fondo Pensione e per i suoi aderenti, utilizzando tra l’altro la regolamentazione interna correlata, la visione dei contratti di fornitura con gli outsourcers in relazione alle attività ed ai processi esternalizzati, ed interviste alle unità operative del Fondo Pensione.
La finalità della mappatura è identificare i rischi e valutare le modalità di controllo ovvero mitigazione degli stessi.
Ogni categoria di rischio individuata viene esaminata per singolo processo, all’interno del quale vengono identificate le aree e le attività previste e il rischio ad esse associato.
Documento sul sistema di governo
30 Ad ogni attività viene associato un Rischio Base, ovvero il rischio potenziale insito nello svolgimento di una determinata attività, valutato prima di considerare i controlli o altri fattori di mitigazione del rischio posti in essere.
La valutazione del Rischio Base viene effettuata attraverso la quantificazione di due parametri:
• Impatto: intensità del danno potenzialmente derivante dal verificarsi dell’evento negativo (ossia del manifestarsi del rischio). L’impatto dell’evento rischioso viene valutato in relazione al grado di intensità del connesso danno potenziale, utilizzando una scala da 1 a 4 e tenuto conto degli impatti di tipo:
• Probabilità: possibilità che il rischio si manifesti e generi un evento negativo, valutata utilizzando una scala da 1 a 4 livelli tenendo conto tra l’altro di:
o Numerosità e frequenza delle operazioni;
o Carico di lavoro nell’unità organizzativa responsabile dell’attività sottostante;
o Cambiamenti del processo nel tempo in termini organizzativi e/o informatici.
Individuati Impatto e Probabilità, il Rischio Base viene ottenuto moltiplicando i due parametri (in caso di impatto su diversi fattori viene considerato il livello massimo) e rappresentato all’interno della seguente matrice:
Successivamente viene valutata l’efficacia dell’attuale sistema dei controlli interni in termini di capacità di mitigazione del rischio. Tale valutazione viene effettuata attraverso l’analisi dei presidi organizzativi e procedurali implementati dal Fondo
1 - molto basso 2 - basso 3 - medio 4 - alto
Documento sul sistema di governo
31 o da suoi outsourcer, considerando l’esistenza o meno del controllo, la tipologia, accuratezza e idoneità del controllo effettuato, la chiara individuazione del responsabile (owner).
Ad esito di detta analisi il Rischio Base viene mitigato e ridotto a Rischio Residuo espresso sulla medesima matrice.