Nella prima parte [1] di questa serie di articoli dedicati alle nuove ''Nuove disposizioni di vigilanza prudenziale per le banche [2]'' emanate da Banca D’Italia abbiamo presentato il quadro di riferimento generale ed i possibili impatti in ordine alle problematiche sulla Compliance [3].
In questa seconda parte presenteremo il nuovo processo di controllo prudenziale (Supervisory Review Process - SRP) richiesto al Titolo III (pdf [4], 344 K) delle disposizioni dal punto di vista delle banche; nella terza parte analizzeremo gli aspetti del SRP dal punto di vista dell’organo di vigilanza.
Il processo di controllo prudenziale
Il processo di controllo prudenziale (Supervisory Review Process - SRP) si articola in due fasi integrate:- il processo interno di determinazione dell’adeguatezza patrimoniale (Internal Capital Adequacy Assessment Process – ICAAP) per mezzo della quale la banca effettua un’autonoma valutazione della propria adeguatezza patrimoniale, attuale e prospettica, in relazione ai rischi assunti e alle strategie aziendali.
- il processo di revisione e valutazione prudenziale (Supervisory Review and Evaluation Process - SREP) di competenza dell’Autorità di vigilanza che riesamina l’ICAAP, formula un giudizio complessivo sulla banca e attiva, ove necessario, misure correttive.
ICAAP
L’ICAAP viene svolto da ciascuna banca al fine di consentire alla Banca d’Italia di effettuare una valutazione documentata e completa delle caratteristiche qualitative fondamentali del processo di pianificazione patrimoniale, dell’esposizione complessiva ai rischi e della conseguente determinazione del capitale interno complessivo. Si noti che l’ICAAP presuppone che l’organo di governo societario della banca non solo individui gli orientamenti strategici e le politiche di gestione del rischio ma anche che, come già ribadito [5] nel Titolo I (pdf [6], 565 K) delle nuove disposizioni, esso verifichi nel continuo l’efficacia e l’efficienza delle varie funzioni e strutture aziendali che presidiano i rischi specifici.Inoltre il "processo ICAAP deve essere documentato, conosciuto e condiviso dalle strutture aziendali e sottoposto a revisione interna. Le banche illustrano alla Banca d’Italia, con cadenza annuale, le caratteristiche fondamentali del processo, l’esposizione ai rischi e la determinazione del capitale ritenuto adeguato a fronteggiarli attraverso un resoconto strutturato. Quest’ultimo contiene anche un’auto-valutazione dell’ICAAP che individua le aree di miglioramento, le eventuali carenze del processo e le azioni correttive che si ritiene di porre in essere."
Fasi dell’ICAAP
Le disposizioni consigliano di scomporre l’ICAAP in quattro fasi (fermo restando che ciascuno intermediario in omaggio al principio di proporzionalità può modulare il processo secondo le proprie esigenze):- individuazione dei rischi da sottoporre a valutazione;
- misurazione/valutazione dei singoli rischi e del relativo capitale interno;
- misurazione del capitale interno complessivo;
- determinazione del capitale complessivo e riconciliazione con il patrimonio di vigilanza.
Rischi oggetto di analisi nell’ICAAP
Le banche effettuano in autonomia un’accurata identificazione dei rischi ai quali sono esposte in relazione alla propria operatività e ai mercati di riferimento. In generale i rischi oggetto di analisi (come meglio dettagliato nell’allegato F delle disposizioni) sono:- Rischio di credito, ovvero l’attitudine dell’azienda a selezionare la clientela meritevole di affidamento e le iniziative economicamente valide nonché l’efficacia del processo di erogazione e gestione dei crediti.
- Rischio di mercato, ovvero relativa all’attività di negoziazione in conto proprio di strumenti finanziari (titoli e derivati).
- Rischi operativi la cui esposizione è misurata anzitutto attraverso i cd. “indicatori di riferimento” utilizzati per il calcolo del requisito patrimoniale (cfr. Titolo II, Capitolo 5); nell’analisi di tale fattispecie di rischio assume un ruolo centrale la verifica – condotta prevalentemente in sede ispettiva – della rispondenza ai requisiti normativi dei sistemi organizzativi e dei processi di gestione e misurazione/valutazione di tali rischi.
- Rischio di liquidità volto a verificare l’equilibrio dei flussi di cassa attesi su un arco temporale annuale.
- Rischio di tasso d’interesse volto a misurare l’esposizione in riferimento alle attività e passività comprese nel portafoglio bancario.
- Altri rischi, cioè quei rischi di natura non facilmente quantificabili (rischi strategico, di reputazione, rischi residuali) e la cui analisi si fonda sulle informazioni relative ai presìdi organizzativi predisposti dalle banche, apprezzabili prevalentemente attraverso controlli ispettivi.
I profili organizzativi
"L’analisi dell’assetto organizzativo costituisce un fattore cruciale per la comprensione della situazione delle banche. Nell'ambito di tale analisi assumono primaria importanza i controlli di tipo ispettivo". Particolare rilevanza assume la verifica del funzionamento del sistema dei controlli interni (di primo e di secondo livello, di revisione interna, di conformità) e, più in generale, del rispetto delle disposizioni in materia organizzativa previste dalla vigente normativa, ivi compresi i requisiti organizzativi necessari per l’impiego dei modelli interni per il calcolo del requisito patrimoniale a fronte dei rischi di credito, di controparte, di mercato e operativo. L’esame si estende a tutte le componenti dell’assetto organizzativo: variabili di “contesto” (struttura di governance, assetti di gruppo, capacità competitiva e politiche di sviluppo perseguite), macrostruttura, sistemi operativi (sistema informativo aziendale; sistemi di rilevazione e rappresentazione dei fatti aziendali), controlli interni.Periodicità dell’ICAAP
Annualmente, attraverso l’ICAAP, le banche comunicano all’organo di vigilanza:- il livello attuale del capitale interno complessivo e del capitale complessivo calcolato con riferimento alla fine dell’ultimo esercizio chiuso;
- il livello prospettico del capitale interno complessivo e del capitale complessivo con riferimento alla fine dell’esercizio in corso, tenendo conto della prevedibile evoluzione dei rischi e dell’operatività.
Contenuti e struttura dell’informativa sull’ICAAP
Il resoconto è articolato nelle seguenti aree informative:- linee strategiche e orizzonte previsivo considerato;
- governo societario, assetti organizzativi e sistemi di controllo interno connessi con l’ICAAP;
- metodologie e criteri utilizzati per l’identificazione, la misurazione, l’aggregazione dei rischi e per la conduzione degli stress test;
- stima e componenti del capitale interno complessivo con riferimento alla fine dell’esercizio precedente e, in un’ottica prospettica, dell’esercizio in corso;
- raccordo tra capitale interno complessivo e requisiti regolamentari e tra capitale complessivo e patrimonio di vigilanza;
- auto-valutazione dell’ICAAP.
Fine seconda parte
Leggi prima [7] parte
Chi è Fabio Musso?
Fabio Musso, dottore commercialista e revisore dei conti, è responsabile dell’Ufficio "Compliance" di OASI. Precedentemente ha lavorato Ernst&Young SALT ed in primari studi professionali. Può essere contattato attraverso il sito web di OASI o via email: f.musso AT oasi-servizi.it (sostituire AT con @)Fabio Musso è stato recentemente intervistato [8] sui temi della Compliance per IsacaRoma Newsletter.
Chi è Agatino Grillo?
Agatino Grillo, CISA, CISM, CISSP, fa parte del comitato direttivo di IsacaRoma. Precedentemente è stato nel comitato direttivo di AIEA. Ha scritto diversi articoli [9] per IsacaRoma Newsletter.IsacaRoma Neswletter link
- Compliance: il processo di controllo alla luce delle nuove disposizioni di vigilanza prudenziale per le banche (seconda parte) [10]
- Compliance: prime considerazioni sulle nuove disposizioni di vigilanza prudenziale per le banche (parte prima) [11]
- Compliance: la regolamentazione basata sui principi [12]
- Compliance: la vision di PricewaterhouseCoopers [13]
- Compliance: resoconto del convegno "Etica e regole nella
finanza: la funzione di Compliance" (parte prima [14]
seconda [15]
e terza [16])
- OASI: servizi per la Compliance [17]
- KPMG: Compliance - Aspetti di Information Risk Management [18]
- FSA's risk-based approach (parte prima [19] e second [20]a)
- Compliace: letture interessanti [21]
- Compliace: invito a collaborare [22]
- KPMG: Compliance - Aspetti di Information Risk Management [23]
- Compliance: il modello di FSA [24]
- FSA: ARROW – risk assessment framework (parte prima [25], seconda [26] e terza [27])
- Antiriciclaggio – un approccio per rischi [28]
- Banca
D’Italia: La banca del futuro (fiducia, trasparenza e
compliance) [29]
- Compliance e antiriciclaggio (parte prima [30], seconda [31] e terza [32])
- Compliance: convegno "Nuovi adempimenti normativi per società iscritte all'Ufficio Italiano Cambi" (anche via Internet) [33]
- Compliance e Trasparenza [34]
- Compliance e Market Abuse – parte prima [35] e seconda [36]
- FSA – Industry Guidance [37]
- FSA: proposta per passare ad una regulation basata sui principi [38]
- Compliance: le proposte della FSA inglese [39]
- FSA: Business Continuity Management - Practice Guide [40]
- ABI: Position paper sulla Compliance [41]
- MiFID: la Direttiva sui mercati degli strumenti finanziari [42]
- Compliance: il quadro europeo [43]
- ABI Lab: intervista a Matteo Lucchetti, coordinatore della Centrale d'Allarme per Attacchi Informatici [44]
- Costi/benefici della funzione Compliance: intervista alla dottoressa Manuela Gallo dell'Università di Perugia [45]
- ABI
Lab: Business Continuity e Disaster Recovery, intervista a Romano Stasi
[46]AICOM: Linee guida per la funzione di Compliance [47] - ABI: "enciclopedia " online sulla Compliance [48]
- Indagine AICOM sui costi/benefici della funzione Compliance [49]
- Compliance: le osservazioni di AICOM alle Istruzioni di Vigilanza in materia di "conformità alle norme" di Banca d’Italia [50]
- La Compliance in banca [51]
- Compliace: linee guida ABI sul D. LGS. 231/2001 (parte prima [52] e seconda [53])
- Compliance: le misure richieste per la Centrale d’Allarme Interbancaria (CAI) [54]
- D. LGS. N. 231/2001: l’analisi dei rischi – parte prima [55] e seconda [56]
- Compliance: obblighi delle assicurazioni per la gestione dei rischi [57]
- Compliance: gli obblighi per le SGR [58]