Confidential Page 1
La responsabilità amministrativa dell’azienda nel Risk Appetite Framework
Performance & Risk Management: gestione integrata dei rischi e pianificazione strategica
San Marino, 8 giugno 2018
Confidential Page 2 La responsabilità amministrativa dell’azienda nel Risk Appetite Framework
Agenda
►Premessa
►Risk Appetite Framework
►Strategic Risk Framework
► Integrazione del processo
►Conclusioni
Confidential Page 3 La responsabilità amministrativa dell’azienda nel Risk Appetite Framework
Premessa
Banca CIS ha definito, oltre che al modello di pianificazione strategica (forward looking), un modello di Risk Appetite Framework (RAF) integrato nel modello di governo e gestione di tutti i rischi aziendali e nel Management Information System (MIS) sia ai fini del target setting prospettico sia per il controllo a consuntivo.
Tra gli obiettivi delle norme sulla responsabilità amministrativa delle aziende vi è quello di un «approccio organico alla prevenzione ed al controllo dei rischi, muovendo da una adeguata analisi dei rischi di commissione dei reati dolosi (tassonomia del rischio) che maggiormente impattano sulla vita d’impresa, favorendo lo sviluppo e l’applicazione di un idoneo ed efficace sistema di controllo, come anche preveda una adeguata attività di vigilanza commisurata ai rischi e alla dimensione aziendale».
Il rischio di commissione di un reato rientra tra quelli «difficilmente quantificabili» si pongono quindi alcune problematiche riguardo la sua integrazione nel modello di controllo dei rischi e del RAF, in particolare:
Scelta delle specifiche metodologie di identificazione e misurazione (forte integrazione con Modelli di rischio operativo)
Criteri e processi per la valutazione di efficacia dei presidi di mitigazione (valutazione di adeguatezza)
Definizione di un Risk Appetite.
Confidential Page 4
Risk Appetite Framework Razionale sottostante
• Per una più efficace gestione del rischio, la Banca si è dotata di un Framework per la determinazione, controllo e monitoraggio del Risk Appetite Aziendale, che indica la quantità di rischio che la Banca è disposta ad accettare nel perseguimento dei propri obiettivi di redditività / creazione di valore.
• Coerentemente con un determinato livello di Risk Appetite, vengono definite delle soglie di Risk Tolerance, che determinano la devianza massima consentita dal Risk Appetite.
• Gli obiettivi di rischio e le soglie di Risk Tolerance sono, di norma, declinati in termini di misure espressive dell’adeguatezza patrimoniale e della liquidità.
• Come evidenziato dal Committee of Sponsoring Organizations of the Treadway Commission(1), il Risk
Appetite di un’Organizzazione: è strategico ed è relativo al perseguimento di obiettivi dell’Organizzazione; è parte integrante del governo societario; guida l'allocazione delle risorse; guida l'infrastruttura di un‘Organizzazione, supportando le proprie attività relative al riconoscimento,
alla valutazione, alla risposta ed al monitoraggio dei rischi nel perseguimento di obiettivi organizzativi; influenza l'atteggiamento dell'organizzazione nei confronti dei rischi; è multidimensionale, anche quando applicato alla ricerca del valore nel breve termine e nel più lungo
termine del ciclo di pianificazione strategica; richiede un monitoraggio efficace del rischio stesso e della sussistenza di un determinato livello di Risk
Appetite.
A titolo informativo, si ricorda che l’ordinamento di vigilanza italiano ha introdotto il concetto di risk appetite framework («RAF») con la Circolare n. 263 del 27 dicembre 2006 – 15° aggiornamento del 2 luglio 2013
In tale contesto, il «RAF» è stato definito
come il quadro di riferimento che definisce – in coerenza con il massimo rischio assumibile, il business model e il piano strategico – la propensione al rischio, le soglie di tolleranza, i limiti di rischio, le politiche di governo dei rischi, i processi di riferimento necessari per definirli e attuarli
In particolare, il 15° aggiornamento della Circolare n.263/2006 introduce anche la nozione di Risk Tolerance, intesa come la devianza massima dal risk appetite consentita.
Secondo la Circolare, la soglia di tolleranza è fissata in modo da assicurare in ogni caso alla banca margini sufficienti per operare, anche in condizioni di stress, entro il massimo rischio assumibile.
(1) Committee of Sponsoring Organizations of the Treadway Commission (COSO), Enterprise Risk Management – Understanding and communicating risk appetite, by Dr. Larry Rittenberg and Frank Martens, January 2012.
La responsabilità amministrativa dell’azienda nel Risk Appetite Framework
Confidential Page 5 La responsabilità amministrativa dell’azienda nel Risk Appetite Framework
Risk Appetite Framework I Componenti
DETERMINAZIONE DEL RISK APPETITE
DETERMINAZIONE DELLA RISK CAPACITY
RISK LIMITS
(LIMITI OPERATIVI)
INDICATORI DI CONTROLLO GESTIONALI
Propensione al rischio Monitoraggio del rischio
Obiettivo di rischio o propensione al rischio, il livello di rischio complessivo e per tipologia, che la banca intende assumere per il perseguimento dei suoi obiettivi strategici.
Massimo rischio assumibile senza violare i requisiti regolamentari o i vincoli imposti dagli azionisti e dalle autorità di Vigilanza
Articolazione degli obiettivi di rischio in limiti operativi per tipologia di rischio, unità o linee di business, tipologie di prodotto, tipologie di clienti (complessità da definire adottando il principio di proporzionalità)
Articolazione di indicatori di controllo di natura gestionali che attivano interventi sia ai fini del rispetto della propensione di rischio sia di revisione del framework
Il CdA definisce e approva gli obiettivi di rischio, la soglia di tolleranza (ove identificata) e le politiche di governo dei
rischi.
L’Amministratore Delegato stabilisce limiti operativi
all’assunzione delle varie tipologie di rischio
Propensione al rischio
Piano Industriale e budget
Vigilanza prudenziale
La determinazione del Risk Appetite avviene mediante analisi delle evoluzioni dei volumi di piano strategico, delle ipotesi di stress e delle relative analisi di scenario incluse le attese di impatti normativi (PIANO INDUSTRIALE)
Policy di Rischio e limiti operativi
Modelli e metodi
Il Risk Management verifica nel continuo l’adeguatezza del RAF e i
limiti operativi
Il modello di monitoraggio viene integrato in ambito RAF con riferimento sia alle variabili oggetto di controllo sia alle azioni da intraprendere (riallocazione dei limiti operativi, formulazione di indirizzi gestionali, attivazione di un processo di revisione del RAF, stima dei costi di adeguamento)
Integrazione riguardo: Metriche rischi
operativi e compliance / rischio compimento reato
Identificazione di indicatori di controllo «Gestionali» nell’intesa che la Risk Capacity è indirizzata all’impedimento della responsabilità dell’ente
Flussi informativi e modelli di valutazione dell’adeguatezza dei presidi di controllo
IMPATTI SUL MODELLO DI
CONTROLLO E GESTIONE DELLA RESPONSABILITA’ AMMINISTRATIVA
DELL’AZIENDA
RISK
MA
NA
GEM
ENT
MA
NA
GEM
ENT IN
FORN
ATION
SYSTEM
GOVERNANCE/ ORGANIZZAZIONE
Confidential Page 6 La responsabilità amministrativa dell’azienda nel Risk Appetite Framework
Risk Appetite Framework Misure di risk appetite vs. KRI di monitoraggio
AMBITI E MISURE DI PROPENSIONE AL RISCHIO
Credito, Controparte, Operativo,
Tasso, Concentrazione
Misure di vigilanza regolamentare
Liquidità Misure allineate alle policy di gestione della liquidità
Altri rischi difficilmente quantificabili (Strategico,
Reputazionale, Compliance, ecc.)
Nessun buffer di capitale aggiuntivo.
Modello di controllo
fondato su soglie di KRI
Il Consiglio di Amministrazione
definisce la Propensione Globale ai rischi quantificabili
secondo un approccio
metodologico costante nel tempo
Monitoraggio di KRI In grado di anticipare la manifestazione ddi
RISCHI REPUTAZIONALI,
OPERATIVI, STRATEGICI, DI
CONFORMITA e di REATO
(1) Secondo modalità di calcolo specifiche indicate nella politica di gestione del rischio di liquidità, ossia: Ammontare Disponibile di provvista stabile/Ammontare Obbligatorio di provvista stabile
(2) Indicatori di tipo qualitativo in grado di orientare la definizione e l’aggiornamento dei processi e del sistema di controlli
NB: in questa accezione l’appetito al rischio di RA guida le scelte riguardo la proporzionalità delle soluzioni di controllo alla complessità aziendale e agli obiettivi di mitigazione di taluni rischi fatti propri dalla Banca.
Confidential Page 7 La responsabilità amministrativa dell’azienda nel Risk Appetite Framework
Risk Appetite e Pianificazione strategica Platform Approach
PIANIFICAZIONE STRATEGICA Definizione degli obiettivi di crescita in considerazione del profilo di rischio (CdA – Controllo di Gestione – Business – Risk Management)
BUDGET Declinazione operativa
degli obiettivi di ML
CONSUNTIVAZIONE
Closing Eco-Fin Allocazione Profitability KPI Monitor
FORECAST e
PRECLOSE
ANNO +1 ANNO +2 ANNO IN CORSO
BUDGET
ANALISI DEGLI SCOSTAMENTI
CONTROL LIFE CYCLE I diversi processi che compongono il framework sono
coordinati tra loro mediante l’utilizzo di un workflow operativo La piattaforma coinvolge in modo collaborativo il perimetro
organizzativo della Banca Tutte le informazioni sono messe a disposizione degli utenti in
base ai profili di accesso ed in modalità multicanale
AN
ALY
TICS
MO
DELS &
METH
OD
S
DATA VALUE CHAIN
PERIMETRO ORGANIZZATIVO FORWARD LOOKING: raccolgo le indicazioni di piano sul modello di business e gli scenari di impatti A partire dalla gestione degli elementi core del Performance Management: Integrazione dei contributi dei diversi
attori all’interno del tessuto organizzativo della banca (Direzione, Business, RM)
Utilizzo dei risultati provenienti da modelli locali (RATING, RAF, …)
Valorizzazione del patrimonio informativo, verso la creazione di una Data Value Chain
Utilizzo di Modelli Analitici Avanzati per la ricerca/verifica delle ipotesi di contesto
COLLEGAMENTO RA
ANNO +3
La piattaforma tecnologica utilizzata (unica a supporto di tutte le componenti del framework) integra in modo nativo funzionalità di pianificazione e simulazione con quelle di rappresentazione e navigazione dei dati, supporta la gestione dei processi che sono in essa sviluppati, attraverso l’abilitazione di workflow che guidano l’utente nell’esecuzione delle attività di cui è responsabile.
Confidential Page 8 La responsabilità amministrativa dell’azienda nel Risk Appetite Framework
Risk Appetite e Pianificazione strategica Platform value drivers
BUSINESS
RISK MANAGEMENT
EXECUTIVES Conoscenza del Business Model della Banca
Capacità di simulazione secondo una visione sintetica della Performance
Adeguate metodologie di calcolo per la valutazione e la stima dei requisiti legati al profilo di rischio
Disponibilità dei dati
Granularità delle variabili utilizzate (sistema potenzialmente distribuito)
Segmentazione delle misure in base a diversi livelli di aggregazione delle dimensioni
Confidential Page 9
Strategic Risk Framework Big picture
• Monitoraggio trimestrale delle metriche / degli indicatori definiti
• Identificazione di scenari di closing e valutazione per ciascun scenario degli impatti sul Risk Appetite aziendale.
Es. X = Importo crediti passati a sofferenza Early Warning Indicators = tassi di passaggio a sofferenza previsionali Scenari (possibile evoluzione a tendere) = worst, base e best case in funzione dell’entità dei passaggi a sofferenza attesi
Risk Appetite
Goals
Strategy
Progress
• Definizione del Risk Appetite aziendale (in termini di Solvency Ratio)
• Identificazione delle variabili Xi (di business e di rischio) e delle soglie di early warning
• Affinamento di elementi della strategia (tattiche di business, risk mitigation) o ridefinizione della strategia
• Definizione degli obiettivi strategici triennali (Risultato di esercizio e Solvency Ratio previsionali) coerentemente con il Risk Appetite definito
Confronto su base trimestrale dei risultati a fine periodo con il Risk Appetite e le soglie di Risk Tolerance stabilite
Es. Solvency Ratio previsionale non inferiore all’11,5%
Eve
ntua
le n
uovo
goa
l set
ting
• Altri rischi (es. credit risk)
Rep
ortin
g pe
riodi
co
Eve
ntua
le ri
defin
izio
ne
met
riche
, EW
I, sc
enar
i
Chief Management Planning Officer
Eventuale aggiornamento
soglie monitoraggio altri rischi
Risk Management FUNZIONI AZIENDALI COINVOLTE
La responsabilità amministrativa dell’azienda nel Risk Appetite Framework
Confidential Page 10
Strategic Risk Framework Progress reporting sulle n variabili di piano - Variabile Xi
Scenari • Analisi di scenario per valutare
probabilità ed impatto di scostamento dal piano
(1) Indica, in caso di scostamenti, di quanto deve variare il risultato sulla variabile identificata per mantenere l’obiettivo triennale a piano.
Consuntivo • Valore pianificato • Valore consuntivo • Delta • Required recovery ratio (1)
Es. tassi di passaggio a sofferenza previsionali, stimati in base alle attese di PIL di disoccupazione
Soglie di attenzione
• Risk Tolerance
Soglie di attenzione calibrate a fine periodo per il periodo successivo, in modo da recepire eventuali variazioni nelle strategie. Devono essere coerenti con il Risk Appetite Aziendale (declinate «a cascata»)
EWI • Early Warning Indicators, soglie di early
warning dove possibili / significative
Scenario ProbabilitàImpatto sulla
variabile XImpatto a C/E
Superamento Risk
Tolerance
Impatto CET 1 Ratio (Bps)
Superamento Risk
Tolerance
Worst Case 15% € 3.000.000 -€ 3.000.000 Sì -5 No Base Case 75% € 500.000 -€ 500.000 No -3 No Best Case 10% -€ 100.000 € 100.000 No 1,5 No
815.000-€ Sì -2,85 No Valore Atteso
Difficoltà
Mitigazione
Potential for action
Descrizione difficoltà percepite nella prevenzione del rischio
Possibil i azioni di mitigazione
Importo dei benefici massimi ottenibil i dalla mitigazione
ESEMPLIFICATIVO
La responsabilità amministrativa dell’azienda nel Risk Appetite Framework
Confidential Page 11
Strategic Risk Framework Indicatori di controllo del rischio strategico
Si riportano nella tabella sottostante un esempio di variabili di piano che costituiscono gli indicatori primari di controllo del rischio strategico ed alcuni esempi di possibili indicatori secondari.
Gli indicatori primari sono
utilizzati anche per determinare il valore target (ceteris paribus) di una singola variabile di piano per raggiungere il required risk appetite (es. Solvency Ratio pari al 14%) nell’eventualità di un risultato di preclosing non adeguato.
Gli indicatori secondari sono le variabili da indagare per motivare le azioni che possono essere sviluppate per il raggiungimento del required risk appetite.
Indicatori primari Indicatori secondari (esempi)
Totale Impieghi (riduzione target) In termini di business, da specificare su quali segmenti/ settori/ aree geografiche si intende agire.
Rendimento medio dell’attivo fruttifero (ad esclusione delle attività finanziarie)
Andamento curva tassi; Asset mix per segmento/ prodotto, duration; Ageing medio.
Rendimento medio attività finanziarie Composizione portafoglio di proprietà; Andamento curva tassi; Ageing medio.
Costo medio passivo oneroso Andamento curva tassi; % indicizzazione; Composizione per prodotto / Segmento (mix); Ageing medio.
Commissioni nette su masse totali Asset mix; Sviluppo prodotti / campagne.
Costo del rischio % PD (su esposizioni in bonis all’anno precedente, di cui a sofferenza e altri deteriorati); % tasso di decadimento (su esposizioni); Coverage (sofferenze e altri deteriorati).
% RWA su crediti netti Allocazione a classi di rischio prudenziale degli impieghi
ESEMPLIFICATIVO
La responsabilità amministrativa dell’azienda nel Risk Appetite Framework
Confidential Page 12
Strategic Risk Framework Processo di preclose per il monitoraggio del rischio strategico
All’interno del Framework di Controllo della Banca il Preclose è un processo finalizzato alla stima della previsione dei dati economici e finanziari alla fine dell’esercizio sulla base dei risultati a consuntivo e di possibili scenari evolutivi. Per supportare tale processo è stato sviluppato un modulo applicativo dedicato: E’ integrato nel modello di Pianificazione e Controllo, ovvero viene avviato con cadenza trimestrale a valle della conclusione del processo di
Closing;
Consente la simulazione di tutte le principali variabili economico finanziarie, secondo 3 scenari simulativi (worst, base, best), a partire da una previsione lineare rispetto ai risultati a consuntivo, generando una previsione «Expected» che pondera la probabilità di accadimento di tali scenari;
Supporta il monitoraggio del Risk Appetite della Banca: effettua una previsione del Total Capital Ratio e del CET 1 Ratio e li confronta con le soglie di tolleranza definite dal Risk Manangement. Consente inoltre di monitorare un set indicatori ritenuti ad elevato impatto sul Risk Appetite della Banca
Storicizza l’insieme dei dati simulati e la previsione «Expected» consentendo un’analisi qualitativa della dinamica con cui i risultati sono stati raggiunti rispetto agli obiettivi di Piano.
Questo specifico modulo può essere efficacemente utilizzato anche per gestire la fase di aggiornamento del Piano Strategico da parte dell’Alta Direzione e del Management della Banca.
La responsabilità amministrativa dell’azienda nel Risk Appetite Framework
Confidential Page 13 La responsabilità amministrativa dell’azienda nel Risk Appetite Framework
L’integrazione nel processo Workflow
Il processo collaborativo è guidato dai vincoli discendenti dal modello di business.
Sono forniti obiettivi territoriali e di leva (% raccolta/ impieghi) declinati per tipologia di
controparti, settori, durata, prodotti, pricing…
Attraverso limitate variabili di input viene precisato il modello di business e sono forniti gli
orientamenti/ vincoli per le successive fasi di pianificazione bottom up
CAPITAL & LIQUIDITY
MANAGEMENT
MODELLO DI BUSINESS
BOTTOM UP RACCOLTA
BOTTOM UP IMPIEGHI
ADEGUATEZZA PATRIMOMIALE E
RISK APPETITE
RM definisce metodologie e modelli di calcolo. Verifica le assunzioni e l’adeguatezza dei modelli di stima adottati sui dati prospettici.
METODOLOGIE DI CALCOLO HP DI STRESS
Std formula vs. Internal methods
Indicatori di controllo sull’avverarsi di scenari
Indicatori di controllo su: Duration Pricing Costo Del Credito Masse per Filiale
Politica di investimento
Programmi di capitalizzazione
Emissioni titoli
Clientela
Settori
Aree
Mark Up/ Down
Es. indicatori di controllo:
Coverage deteriorati
Cost / Income
Income / PBL
Distribuzione della clientela
Pricing
Altre variabili macro
Definizione quantitativa del Risk Appetite (in termini di Copertura Patrimoniale minima) e dei limiti (allocazione del patrimonio ai rischi)
VINCOLI E RISK APPETITE
& TCR EFFETTIVO Cet 1 Ratio
Core Tier 1 Ratio
TCR
Es. indicatori di controllo:
• Duration media
• APM/portafoglio di proprietà
Limiti operativi e autonomie attività di investimento
Indicatori di controllo: Controparti Settori Pricing Crediti Detriorati
RM collabora alla scelta delle HP di stress e ne verifica la coerenza con le attese del mercato.
Viene definito un livello di copertura dei rischi obiettivo in termini di TCR e il patrimonio è allocato sui rischi.
IN CASO DI INCOERENZA TRA
MODELLO DI BUSINESS E RISK APPETITE IL PROCESSO VIENE
RIAVVIATO
LIMITI OPERATIVI E INDICATORI DI CONTROLLO
Le assunzioni di capital management devono essere raccordate alle policy di liquidità/ ai
limiti operativi / autonomie sugli
investimenti (rating grade titoli,
APM/portafoglio, …). Forte integrazione con i
modelli ALM.
PROJECTS, EMPLOY, IT & OTHER COSTS
Indicatori di controllo: Controparti Settori Pricing Crediti Detriorati
Confidential Page 14 La responsabilità amministrativa dell’azienda nel Risk Appetite Framework
Conclusioni
La progettazione e la successiva valutazione di adeguatezza del Modello di Gestione e Controllo a prevenzione dei reati da cui piò discendere la responsabilità amministrativa dell’azienda non possono trascurare gli aspetti di integrazione con il Modello di Controllo e gestione dei rischi, a sua volta strettamente connesso alle soluzioni metodologiche e applicative per la pianificazione strategica.
Qualsiasi soluzione sviluppata in un contesto meno regolamentato e specializzato di quello Bancario rischia di essere difficilmente integrabile nel framework
di controllo del rischio (incluso il rischio di non conformità) se non progettato proprio a partire dagli elementi fondamentali di integrazione. La mancata integrazione mina l’efficacia del modello, comporta una duplicazioni di attività e un processo organizzativo inefficiente, con ciò riducendo
significativamente il valore dell’azienda. All’interno del Framework di Controllo della Banca il Preclose è un processo finalizzato alla stima della previsione dei dati economici e finanziari
alla fine dell’esercizio sulla base dei risultati a consuntivo e di possibili scenari evolutivi. Per supportare tale processo è stato sviluppato un modulo applicativo dedicato. Gli ambiti di integrazioni propri identificati da Banca CIS sono: Prospettiva forward looking, che impone la valutazione del rischio reato sulla base delle attese di evoluzione del modello di business come desumibili dai
piani e programmi aziendali sviluppati nel processo di pianificazione strategica
Le scelte di pianificazione strategica devono incorporare analisi di impatto sui presidi di controllo a prevenzione del rischio di commissione di reato connessi all’evoluzione attesa del business model
Nel target setting di risk appetite occorre definire i KRI da monitorare per il controllo di ciascun rischio difficilmente quantificabile, tra questi rileva certamente il rischio di compimento reato come quello strategico, operativo e reputazionale
Il rischio di compimento di reati richiede valutazioni di adeguatezza dei presidi che sono essi stessi funzione del risk appetite
Per evitare duplicazioni ed incoerenze le metriche ed i processi di valutazione del rischio devono essere integrati con quelli degli altri rischi della banca