La qualit dei controlli come strumento di mitigazione

La qualità dei controlli come strumento di mitigazione del capitale assorbito Massimiliano Forte

Contesto Attività tradizionali poco performing, utili in calo, spinta del trading e dell’investiment gestione dei rischi limitata alle tipologie Pillar I e approccio ai rischi da “laboratorio” Sostenibilità delle performances del sistema bancario le istituzioni finanziarie si sono esposte in misura crescente ai rischi diversi – operativi, di non conformità nonche’ reputazionali– derivanti da æ affiancamento (e sovraesposizione) di nuove attività a quelle tradizionali (finanza strutturata, derivati) æ aumentata complessità del contesto operativo, normativo e regolamentare 2 Rome, January 29 th 2008

Contesto Rischi indotti dall’aumento della complessità gestionale in presenza di strategie aziendali orientate a forte crescita, abbiamo assistito a casi di scarsa funzionalità dei meccanismi di governance e del sistema dei controlli interni • forte accentramento dei poteri nell’Esecutivo, Esecutivo non soggetto a controlli efficaci æ tendenza all’autoreferenzialità æ scarsa domanda di “risk” e inefficace gestione del processo decisionale prevalentemente “business oriented” con rischi correttamente misurati ma off policies. • maggiore sensibilità del top management alle esigenze di sviluppo commerciale piuttosto che al rafforzamento dell’assetto organizzativoinformatico e dei controlli æ debolezza delle funzioni di analisi organizzativa æ insufficienti sistemi di monitoraggio dell’efficienza dei processi aziendali æ inadeguata valutazione delle esigenze connesse con l’ampliamento dell’operatività in settori non tradizionali, non adeguatamente presidiati 3 Rome, January 29 th 2008

Basilea II e NAC Nell’ambito del II Pilastro, rischi e controlli devono uscire dalla fase di laboratorio per diventare embedded in un sistema di governance integrato. æ da parte degli intermediari, intermediari il processo formalizzato di valutazione dell’adeguatezza del capitale interno (ICAAP) è fondato sulla ricognizione di tutti i fattori di rischio rilevanti, anche non coperti o parzialmente coperti dai requisiti del Primo Pilastro Con esplicita inclusione del rischio reputazionale tra i rischi da considerare æ da parte delle Autorità di Vigilanza, Vigilanza il riesame e la valutazione dell’ICAAP sarà effettuata sulla scorta del proprio apprezzamento del profilo di rischio globale dell’intermediario, tenuto anche conto dell’adeguatezza dei sistemi di internal governance Con valutazione dell’esposizione dell’intermediario al rischio reputazionale e dell’idoneità della funzione di compliance 4 Rome, January 29 th 2008

L’ICAAP ha tra I suoi presupposti l’esistenza di adeguati meccanismi di governo societario, una struttura organizzativa ben definita e efficaci sistemi di controllo interno. 5 Rome, January 29 th 2008

Capital Allocation Process Ricordiamo che ICAAP si colloca in un macro processo di allocazione del capitale quale processo di assegnazione della capacità di assumere rischio a ciascuna business unit che sono in grado di massimizzarne la redditività Il patrimonio di una istituzione finanziaria non risponde solo alla funzione di copertura delle perdite e quindi di cuscinetto per l’assorbimento dei rischi, ma è una forma di finanziamento adatta per quelle attività delle ist fin la cui redditività si manifesta in modo differito nel tempo; Nel determinare la dotazione di capitale sono 4 I fattori che vanno considerati: a) I requisiti patrimoniali impliciti ed espliciti imposti dal Regulators b) I piani di sviluppo aziendale e il relativo grado di rischio c) il mercato di capitali d) il rating obiettivo 6 Rome, January 29 th 2008

Capital Adeguacy. Requisiti espliciti ed impliciti Il primo pilastro impone nuovi requisiti patrimoniali che possiamo definire espliciti con la conseguenza e tutti ormai nota che in ambito di approcci standard potrebbe generarsi un aumento del requisito patrimoniale per effetto della presenza del requisito addizionale relativo al rischio operativo. L’uso di modelli interni potrebbe determinare una riduzione del requisito. In ogni caso nei primi tre anni il requisito patrimoniale esplicito è soggetto ad un floor prefissato rispetto al requisito patrimoniale scaturito dalle regole di Basilea 1. I requisiti implici derivano proprio dal secondo pilastro, formalmente definito supervisory review, volto ad affiancare alle regole quantitative un processo di determinazione del requisito patrimoniale - meglio detto “adeguatezza patrimoniale” - che comprende delle variabili qualitative e organizzative nell’ambito dei sistemi di controllo dei rischi delle banche oltre che della presenza di altri rischi non ricompresi nel primo pilastro. 7 Rome, January 29 th 2008

PILLAR II Template 8 Rome, January 29 th 2008

Pillar II - Supervisory Review Process Principles Risk control and management processes MUST BE adequate for their business structure and risk profile Internal Governance (IG) Ensure that management is explicitly/transparently responsible for business strategy, organization, and internal control. Internal capital adequacy assessment process (ICAAP): ØAdequately identify and measure the firm’s risks ØHold adequate internal capital in relation to Citigroup’s risk profile ØUse sound risk management systems and develop them further The Supervisory review and evaluation process (SREP) Review the institution’s risk profile, IG and ICAAP adequacy and reliability, adequacy of its own funds and internal capital mitigants, with the following tools at their disposal Ø Ø Ø On-site examinations and inspections Off-site review Discussions with bank management Review of work done by external auditors Periodic reporting 9 Rome, January 29 th 2008

Il ruolo del Sistema dei Controlli Interni E’ sulla definizione di qualità del sistema dei controlli interni che bisogna soffermarsi per definirne contesto e contenuti. Contesto: BU-processi-rischi inerenti-key controls-rischi residui Punti di domanda: ØGli obiettivi assegnati alle BU sono stati definiti in modo coerente con gli macroobiettivi stabiliti dall’azienda (corporate objectives)? Ø Quale è il livello di consapevolezza tra i managers e lo staff; sono state mai espresse preoccupazioni sui rischi assunti? ØSono chiaramente definiti i ruoli e le responsabilità dei risk owners all’interno della BU? Ø Esiste una diffusa conoscenza del risk appetite aziendale e del livello massimo di accettabilità dei rischi residuali al netto dei controlli in essere? Ø Esistono canali di comunicazione appropriati tra staff e managers in merito agli obiettivi assegnati e ai rischi? 10 Rome, January 29 th 2008

Il ruolo del Sistema dei Controlli Interni Ø I rischi come vengono identificati e valutati, e nel caso di mutamenti di contesto o di strategie esistono appropriati meccanismi di adeguamento? Ø E’ in essere un processo che garantisca nel continuo che i rischi siano individuati (catturati), ed immediatamente classificati e valutati? Ø Quali sono le policy in termini di mitigazione e contingency dei rischi materiali? Ø Esiste apposita documentazione dalla quale risultino evidenze dell’intero processo di individuazione e valutazione dei rischi? Ø Esiste una funzione che svolge il ruolo di quality assurance nelle linea di management e che guida e supervisiona il processo di Risk Control Self Assessment? Ø Esistono appositi test di verifica dei controlli di primo livello (key control levels)? Ø L’uso della tecnologia supporta il business nella riduzione dei rischi operativi derivanti da un eccessivo uso di attività manuali? 11 Rome, January 29 th 2008

Il ruolo del Sistema dei Controlli Interni Ø Esiste un apposito cruscotto (dashboard) a disposizione del management che permette di prendere le decisioni in termini di assunzione e gestione dei rischi in tempi ragionevoli? Ø Sono registrati gli eventi che non producono perdite materiali (near misses)? Ø Esistono per ogni categoria di rischio un benchmark in termini di correlazione con i volumi o di livelli soglia per dimensione dell’organizzazione? Ø I key controls sono efficaci ed effettivi? Ø I key controls sono documentati? Ø Esiste una metodologia di reporting consolidata in modo da poter fornire informativa al senior management sui rischi “importanti”, i fallimenti dei key controls e le performances corrette per il rischio? 12 Rome, January 29 th 2008

Thank you massimiliano. forte@citi. com