Performance & Risk Management: gestione …...Page 1 Confidential La responsabilità amministrativa dell’azienda nel Risk Appetite Framework Performance & Risk Management: gestione

Confidential Page 1

La responsabilità amministrativa dell’azienda nel Risk Appetite Framework

Performance & Risk Management: gestione integrata dei rischi e pianificazione strategica

San Marino, 8 giugno 2018

Confidential Page 2 La responsabilità amministrativa dell’azienda nel Risk Appetite Framework

Agenda

►Premessa

►Risk Appetite Framework

►Strategic Risk Framework

► Integrazione del processo

►Conclusioni


Premessa

Banca CIS ha definito, oltre che al modello di pianificazione strategica (forward looking), un modello di Risk Appetite Framework (RAF) integrato nel modello di governo e gestione di tutti i rischi aziendali e nel Management Information System (MIS) sia ai fini del target setting prospettico sia per il controllo a consuntivo.

Tra gli obiettivi delle norme sulla responsabilità amministrativa delle aziende vi è quello di un «approccio organico alla prevenzione ed al controllo dei rischi, muovendo da una adeguata analisi dei rischi di commissione dei reati dolosi (tassonomia del rischio) che maggiormente impattano sulla vita d’impresa, favorendo lo sviluppo e l’applicazione di un idoneo ed efficace sistema di controllo, come anche preveda una adeguata attività di vigilanza commisurata ai rischi e alla dimensione aziendale».

Il rischio di commissione di un reato rientra tra quelli «difficilmente quantificabili» si pongono quindi alcune problematiche riguardo la sua integrazione nel modello di controllo dei rischi e del RAF, in particolare:

Scelta delle specifiche metodologie di identificazione e misurazione (forte integrazione con Modelli di rischio operativo)

Criteri e processi per la valutazione di efficacia dei presidi di mitigazione (valutazione di adeguatezza)

Definizione di un Risk Appetite.

Confidential Page 4

Risk Appetite Framework Razionale sottostante

• Per una più efficace gestione del rischio, la Banca si è dotata di un Framework per la determinazione, controllo e monitoraggio del Risk Appetite Aziendale, che indica la quantità di rischio che la Banca è disposta ad accettare nel perseguimento dei propri obiettivi di redditività / creazione di valore.

• Coerentemente con un determinato livello di Risk Appetite, vengono definite delle soglie di Risk Tolerance, che determinano la devianza massima consentita dal Risk Appetite.

• Gli obiettivi di rischio e le soglie di Risk Tolerance sono, di norma, declinati in termini di misure espressive dell’adeguatezza patrimoniale e della liquidità.

• Come evidenziato dal Committee of Sponsoring Organizations of the Treadway Commission(1), il Risk

Appetite di un’Organizzazione: è strategico ed è relativo al perseguimento di obiettivi dell’Organizzazione; è parte integrante del governo societario; guida l'allocazione delle risorse; guida l'infrastruttura di un‘Organizzazione, supportando le proprie attività relative al riconoscimento,

alla valutazione, alla risposta ed al monitoraggio dei rischi nel perseguimento di obiettivi organizzativi; influenza l'atteggiamento dell'organizzazione nei confronti dei rischi; è multidimensionale, anche quando applicato alla ricerca del valore nel breve termine e nel più lungo

termine del ciclo di pianificazione strategica; richiede un monitoraggio efficace del rischio stesso e della sussistenza di un determinato livello di Risk

Appetite.

A titolo informativo, si ricorda che l’ordinamento di vigilanza italiano ha introdotto il concetto di risk appetite framework («RAF») con la Circolare n. 263 del 27 dicembre 2006 – 15° aggiornamento del 2 luglio 2013

In tale contesto, il «RAF» è stato definito

come il quadro di riferimento che definisce – in coerenza con il massimo rischio assumibile, il business model e il piano strategico – la propensione al rischio, le soglie di tolleranza, i limiti di rischio, le politiche di governo dei rischi, i processi di riferimento necessari per definirli e attuarli

In particolare, il 15° aggiornamento della Circolare n.263/2006 introduce anche la nozione di Risk Tolerance, intesa come la devianza massima dal risk appetite consentita.

Secondo la Circolare, la soglia di tolleranza è fissata in modo da assicurare in ogni caso alla banca margini sufficienti per operare, anche in condizioni di stress, entro il massimo rischio assumibile.

(1) Committee of Sponsoring Organizations of the Treadway Commission (COSO), Enterprise Risk Management – Understanding and communicating risk appetite, by Dr. Larry Rittenberg and Frank Martens, January 2012.



Risk Appetite Framework I Componenti

DETERMINAZIONE DEL RISK APPETITE

DETERMINAZIONE DELLA RISK CAPACITY

RISK LIMITS

(LIMITI OPERATIVI)

INDICATORI DI CONTROLLO GESTIONALI

Propensione al rischio Monitoraggio del rischio

Obiettivo di rischio o propensione al rischio, il livello di rischio complessivo e per tipologia, che la banca intende assumere per il perseguimento dei suoi obiettivi strategici.

Massimo rischio assumibile senza violare i requisiti regolamentari o i vincoli imposti dagli azionisti e dalle autorità di Vigilanza

Articolazione degli obiettivi di rischio in limiti operativi per tipologia di rischio, unità o linee di business, tipologie di prodotto, tipologie di clienti (complessità da definire adottando il principio di proporzionalità)

Articolazione di indicatori di controllo di natura gestionali che attivano interventi sia ai fini del rispetto della propensione di rischio sia di revisione del framework

Il CdA definisce e approva gli obiettivi di rischio, la soglia di tolleranza (ove identificata) e le politiche di governo dei

rischi.

L’Amministratore Delegato stabilisce limiti operativi

all’assunzione delle varie tipologie di rischio

Propensione al rischio

Piano Industriale e budget

Vigilanza prudenziale

La determinazione del Risk Appetite avviene mediante analisi delle evoluzioni dei volumi di piano strategico, delle ipotesi di stress e delle relative analisi di scenario incluse le attese di impatti normativi (PIANO INDUSTRIALE)

Policy di Rischio e limiti operativi

Modelli e metodi

Il Risk Management verifica nel continuo l’adeguatezza del RAF e i

limiti operativi

Il modello di monitoraggio viene integrato in ambito RAF con riferimento sia alle variabili oggetto di controllo sia alle azioni da intraprendere (riallocazione dei limiti operativi, formulazione di indirizzi gestionali, attivazione di un processo di revisione del RAF, stima dei costi di adeguamento)

Integrazione riguardo: Metriche rischi

operativi e compliance / rischio compimento reato

Identificazione di indicatori di controllo «Gestionali» nell’intesa che la Risk Capacity è indirizzata all’impedimento della responsabilità dell’ente

Flussi informativi e modelli di valutazione dell’adeguatezza dei presidi di controllo

IMPATTI SUL MODELLO DI

CONTROLLO E GESTIONE DELLA RESPONSABILITA’ AMMINISTRATIVA

DELL’AZIENDA

RISK

MA

NA

GEM

ENT

MA

NA

GEM

ENT IN

FORN

ATION

SYSTEM

GOVERNANCE/ ORGANIZZAZIONE


Risk Appetite Framework Misure di risk appetite vs. KRI di monitoraggio

AMBITI E MISURE DI PROPENSIONE AL RISCHIO

Credito, Controparte, Operativo,

Tasso, Concentrazione

Misure di vigilanza regolamentare

Liquidità Misure allineate alle policy di gestione della liquidità

Altri rischi difficilmente quantificabili (Strategico,

Reputazionale, Compliance, ecc.)

Nessun buffer di capitale aggiuntivo.

Modello di controllo

fondato su soglie di KRI

Il Consiglio di Amministrazione

definisce la Propensione Globale ai rischi quantificabili

secondo un approccio

metodologico costante nel tempo

Monitoraggio di KRI In grado di anticipare la manifestazione ddi

RISCHI REPUTAZIONALI,

OPERATIVI, STRATEGICI, DI

CONFORMITA e di REATO

(1) Secondo modalità di calcolo specifiche indicate nella politica di gestione del rischio di liquidità, ossia: Ammontare Disponibile di provvista stabile/Ammontare Obbligatorio di provvista stabile

(2) Indicatori di tipo qualitativo in grado di orientare la definizione e l’aggiornamento dei processi e del sistema di controlli

NB: in questa accezione l’appetito al rischio di RA guida le scelte riguardo la proporzionalità delle soluzioni di controllo alla complessità aziendale e agli obiettivi di mitigazione di taluni rischi fatti propri dalla Banca.


Risk Appetite e Pianificazione strategica Platform Approach

PIANIFICAZIONE STRATEGICA Definizione degli obiettivi di crescita in considerazione del profilo di rischio (CdA – Controllo di Gestione – Business – Risk Management)

BUDGET Declinazione operativa

degli obiettivi di ML

CONSUNTIVAZIONE

Closing Eco-Fin Allocazione Profitability KPI Monitor

FORECAST e

PRECLOSE

ANNO +1 ANNO +2 ANNO IN CORSO

BUDGET

ANALISI DEGLI SCOSTAMENTI

CONTROL LIFE CYCLE I diversi processi che compongono il framework sono

coordinati tra loro mediante l’utilizzo di un workflow operativo La piattaforma coinvolge in modo collaborativo il perimetro

organizzativo della Banca Tutte le informazioni sono messe a disposizione degli utenti in

base ai profili di accesso ed in modalità multicanale

AN

ALY

TICS

MO

DELS &

METH

OD

S

DATA VALUE CHAIN

PERIMETRO ORGANIZZATIVO FORWARD LOOKING: raccolgo le indicazioni di piano sul modello di business e gli scenari di impatti A partire dalla gestione degli elementi core del Performance Management: Integrazione dei contributi dei diversi

attori all’interno del tessuto organizzativo della banca (Direzione, Business, RM)

Utilizzo dei risultati provenienti da modelli locali (RATING, RAF, …)

Valorizzazione del patrimonio informativo, verso la creazione di una Data Value Chain

Utilizzo di Modelli Analitici Avanzati per la ricerca/verifica delle ipotesi di contesto

COLLEGAMENTO RA

ANNO +3

La piattaforma tecnologica utilizzata (unica a supporto di tutte le componenti del framework) integra in modo nativo funzionalità di pianificazione e simulazione con quelle di rappresentazione e navigazione dei dati, supporta la gestione dei processi che sono in essa sviluppati, attraverso l’abilitazione di workflow che guidano l’utente nell’esecuzione delle attività di cui è responsabile.


Risk Appetite e Pianificazione strategica Platform value drivers

BUSINESS

RISK MANAGEMENT

EXECUTIVES Conoscenza del Business Model della Banca

Capacità di simulazione secondo una visione sintetica della Performance

Adeguate metodologie di calcolo per la valutazione e la stima dei requisiti legati al profilo di rischio

Disponibilità dei dati

Granularità delle variabili utilizzate (sistema potenzialmente distribuito)

Segmentazione delle misure in base a diversi livelli di aggregazione delle dimensioni

Confidential Page 9

Strategic Risk Framework Big picture

• Monitoraggio trimestrale delle metriche / degli indicatori definiti

• Identificazione di scenari di closing e valutazione per ciascun scenario degli impatti sul Risk Appetite aziendale.

Es. X = Importo crediti passati a sofferenza Early Warning Indicators = tassi di passaggio a sofferenza previsionali Scenari (possibile evoluzione a tendere) = worst, base e best case in funzione dell’entità dei passaggi a sofferenza attesi

Risk Appetite

Goals

Strategy

Progress

• Definizione del Risk Appetite aziendale (in termini di Solvency Ratio)

• Identificazione delle variabili Xi (di business e di rischio) e delle soglie di early warning

• Affinamento di elementi della strategia (tattiche di business, risk mitigation) o ridefinizione della strategia

• Definizione degli obiettivi strategici triennali (Risultato di esercizio e Solvency Ratio previsionali) coerentemente con il Risk Appetite definito

Confronto su base trimestrale dei risultati a fine periodo con il Risk Appetite e le soglie di Risk Tolerance stabilite

Es. Solvency Ratio previsionale non inferiore all’11,5%

Eve

ntua

le n

uovo

goa

l set

ting

• Altri rischi (es. credit risk)

Rep

ortin

g pe

riodi

co

Eve

ntua

le ri

defin

izio

ne

met

riche

, EW

I, sc

enar

i

Chief Management Planning Officer

Eventuale aggiornamento

soglie monitoraggio altri rischi

Risk Management FUNZIONI AZIENDALI COINVOLTE


Confidential Page 10

Strategic Risk Framework Progress reporting sulle n variabili di piano - Variabile Xi

Scenari • Analisi di scenario per valutare

probabilità ed impatto di scostamento dal piano

(1) Indica, in caso di scostamenti, di quanto deve variare il risultato sulla variabile identificata per mantenere l’obiettivo triennale a piano.

Consuntivo • Valore pianificato • Valore consuntivo • Delta • Required recovery ratio (1)

Es. tassi di passaggio a sofferenza previsionali, stimati in base alle attese di PIL di disoccupazione

Soglie di attenzione

• Risk Tolerance

Soglie di attenzione calibrate a fine periodo per il periodo successivo, in modo da recepire eventuali variazioni nelle strategie. Devono essere coerenti con il Risk Appetite Aziendale (declinate «a cascata»)

EWI • Early Warning Indicators, soglie di early

warning dove possibili / significative

Scenario ProbabilitàImpatto sulla

variabile XImpatto a C/E

Superamento Risk

Tolerance

Impatto CET 1 Ratio (Bps)

Superamento Risk

Tolerance

Worst Case 15% € 3.000.000 -€ 3.000.000 Sì -5 No Base Case 75% € 500.000 -€ 500.000 No -3 No Best Case 10% -€ 100.000 € 100.000 No 1,5 No

815.000-€ Sì -2,85 No Valore Atteso

Difficoltà

Mitigazione

Potential for action

Descrizione difficoltà percepite nella prevenzione del rischio

Possibil i azioni di mitigazione

Importo dei benefici massimi ottenibil i dalla mitigazione

ESEMPLIFICATIVO



Strategic Risk Framework Indicatori di controllo del rischio strategico

Si riportano nella tabella sottostante un esempio di variabili di piano che costituiscono gli indicatori primari di controllo del rischio strategico ed alcuni esempi di possibili indicatori secondari.

Gli indicatori primari sono

utilizzati anche per determinare il valore target (ceteris paribus) di una singola variabile di piano per raggiungere il required risk appetite (es. Solvency Ratio pari al 14%) nell’eventualità di un risultato di preclosing non adeguato.

Gli indicatori secondari sono le variabili da indagare per motivare le azioni che possono essere sviluppate per il raggiungimento del required risk appetite.

Indicatori primari Indicatori secondari (esempi)

Totale Impieghi (riduzione target) In termini di business, da specificare su quali segmenti/ settori/ aree geografiche si intende agire.

Rendimento medio dell’attivo fruttifero (ad esclusione delle attività finanziarie)

Andamento curva tassi; Asset mix per segmento/ prodotto, duration; Ageing medio.

Rendimento medio attività finanziarie Composizione portafoglio di proprietà; Andamento curva tassi; Ageing medio.

Costo medio passivo oneroso Andamento curva tassi; % indicizzazione; Composizione per prodotto / Segmento (mix); Ageing medio.

Commissioni nette su masse totali Asset mix; Sviluppo prodotti / campagne.

Costo del rischio % PD (su esposizioni in bonis all’anno precedente, di cui a sofferenza e altri deteriorati); % tasso di decadimento (su esposizioni); Coverage (sofferenze e altri deteriorati).

% RWA su crediti netti Allocazione a classi di rischio prudenziale degli impieghi

ESEMPLIFICATIVO



Strategic Risk Framework Processo di preclose per il monitoraggio del rischio strategico

All’interno del Framework di Controllo della Banca il Preclose è un processo finalizzato alla stima della previsione dei dati economici e finanziari alla fine dell’esercizio sulla base dei risultati a consuntivo e di possibili scenari evolutivi. Per supportare tale processo è stato sviluppato un modulo applicativo dedicato: E’ integrato nel modello di Pianificazione e Controllo, ovvero viene avviato con cadenza trimestrale a valle della conclusione del processo di

Closing;

Consente la simulazione di tutte le principali variabili economico finanziarie, secondo 3 scenari simulativi (worst, base, best), a partire da una previsione lineare rispetto ai risultati a consuntivo, generando una previsione «Expected» che pondera la probabilità di accadimento di tali scenari;

Supporta il monitoraggio del Risk Appetite della Banca: effettua una previsione del Total Capital Ratio e del CET 1 Ratio e li confronta con le soglie di tolleranza definite dal Risk Manangement. Consente inoltre di monitorare un set indicatori ritenuti ad elevato impatto sul Risk Appetite della Banca

Storicizza l’insieme dei dati simulati e la previsione «Expected» consentendo un’analisi qualitativa della dinamica con cui i risultati sono stati raggiunti rispetto agli obiettivi di Piano.

Questo specifico modulo può essere efficacemente utilizzato anche per gestire la fase di aggiornamento del Piano Strategico da parte dell’Alta Direzione e del Management della Banca.



L’integrazione nel processo Workflow

Il processo collaborativo è guidato dai vincoli discendenti dal modello di business.

Sono forniti obiettivi territoriali e di leva (% raccolta/ impieghi) declinati per tipologia di

controparti, settori, durata, prodotti, pricing…

Attraverso limitate variabili di input viene precisato il modello di business e sono forniti gli

orientamenti/ vincoli per le successive fasi di pianificazione bottom up

CAPITAL & LIQUIDITY

MANAGEMENT

MODELLO DI BUSINESS

BOTTOM UP RACCOLTA

BOTTOM UP IMPIEGHI

ADEGUATEZZA PATRIMOMIALE E

RISK APPETITE

RM definisce metodologie e modelli di calcolo. Verifica le assunzioni e l’adeguatezza dei modelli di stima adottati sui dati prospettici.

METODOLOGIE DI CALCOLO HP DI STRESS

Std formula vs. Internal methods

Indicatori di controllo sull’avverarsi di scenari

Indicatori di controllo su: Duration Pricing Costo Del Credito Masse per Filiale

Politica di investimento

Programmi di capitalizzazione

Emissioni titoli

Clientela

Settori

Aree

Mark Up/ Down

Es. indicatori di controllo:

Coverage deteriorati

Cost / Income

Income / PBL

Distribuzione della clientela

Pricing

Altre variabili macro

Definizione quantitativa del Risk Appetite (in termini di Copertura Patrimoniale minima) e dei limiti (allocazione del patrimonio ai rischi)

VINCOLI E RISK APPETITE

& TCR EFFETTIVO Cet 1 Ratio

Core Tier 1 Ratio

TCR

Es. indicatori di controllo:

• Duration media

• APM/portafoglio di proprietà

Limiti operativi e autonomie attività di investimento

Indicatori di controllo: Controparti Settori Pricing Crediti Detriorati

RM collabora alla scelta delle HP di stress e ne verifica la coerenza con le attese del mercato.

Viene definito un livello di copertura dei rischi obiettivo in termini di TCR e il patrimonio è allocato sui rischi.

IN CASO DI INCOERENZA TRA

MODELLO DI BUSINESS E RISK APPETITE IL PROCESSO VIENE

RIAVVIATO

LIMITI OPERATIVI E INDICATORI DI CONTROLLO

Le assunzioni di capital management devono essere raccordate alle policy di liquidità/ ai

limiti operativi / autonomie sugli

investimenti (rating grade titoli,

APM/portafoglio, …). Forte integrazione con i

modelli ALM.

PROJECTS, EMPLOY, IT & OTHER COSTS

Indicatori di controllo: Controparti Settori Pricing Crediti Detriorati


Conclusioni

La progettazione e la successiva valutazione di adeguatezza del Modello di Gestione e Controllo a prevenzione dei reati da cui piò discendere la responsabilità amministrativa dell’azienda non possono trascurare gli aspetti di integrazione con il Modello di Controllo e gestione dei rischi, a sua volta strettamente connesso alle soluzioni metodologiche e applicative per la pianificazione strategica.

Qualsiasi soluzione sviluppata in un contesto meno regolamentato e specializzato di quello Bancario rischia di essere difficilmente integrabile nel framework

di controllo del rischio (incluso il rischio di non conformità) se non progettato proprio a partire dagli elementi fondamentali di integrazione. La mancata integrazione mina l’efficacia del modello, comporta una duplicazioni di attività e un processo organizzativo inefficiente, con ciò riducendo

significativamente il valore dell’azienda. All’interno del Framework di Controllo della Banca il Preclose è un processo finalizzato alla stima della previsione dei dati economici e finanziari

alla fine dell’esercizio sulla base dei risultati a consuntivo e di possibili scenari evolutivi. Per supportare tale processo è stato sviluppato un modulo applicativo dedicato. Gli ambiti di integrazioni propri identificati da Banca CIS sono: Prospettiva forward looking, che impone la valutazione del rischio reato sulla base delle attese di evoluzione del modello di business come desumibili dai

piani e programmi aziendali sviluppati nel processo di pianificazione strategica

Le scelte di pianificazione strategica devono incorporare analisi di impatto sui presidi di controllo a prevenzione del rischio di commissione di reato connessi all’evoluzione attesa del business model

Nel target setting di risk appetite occorre definire i KRI da monitorare per il controllo di ciascun rischio difficilmente quantificabile, tra questi rileva certamente il rischio di compimento reato come quello strategico, operativo e reputazionale

Il rischio di compimento di reati richiede valutazioni di adeguatezza dei presidi che sono essi stessi funzione del risk appetite

Per evitare duplicazioni ed incoerenze le metriche ed i processi di valutazione del rischio devono essere integrati con quelli degli altri rischi della banca

Documents

Performance & Risk Management: gestione …...Page 1 Confidential La responsabilità amministrativa dell’azienda nel Risk Appetite Framework Performance & Risk Management: gestione