Ricerca e Convegni

    FSB: Principles for an effective risk appetite framework

    Fernando Metelli
    Con la pubblicazione delle “Nuove disposizioni di Vigilanza prudenziale per le Banche” (Circolare 263 del 27.12.2006, al 15° aggiornamento del 2 luglio 2013) ove si aggiunge, tra l’altro, il capitolo 7 prima inesistente (“Il sistema dei controlli interni”), viene introdotto alla sezione 1 par.3 (“Definizioni”) il concetto di Risk Appetite Framework: la circolare 263 declina le definizioni che lo caratterizzano, dettagliandole anche nell’Allegato C al predetto capitolo 7.
    L’aggiornamento in questione della Circolare 263 cita tra le fonti ispiratrici, oltre a quelle normative, i documenti pubblicati dal Financial Stability Board (FSB) sul tema.
    Quest’ultimo ha pubblicato dal in data 18 novembre 2013, il documento “Principles for An Effective Risk Appetite Framework”. Il documento fa parte di una iniziativa del FSB finalizzata ad aumentare intensità ed efficacia preventiva dell’azione di vigilanza, una delle componenti chiave delle politiche di prevenzione dei rischi; tali politiche sono state approvate dal G20 nel novembre 2010 anche per affrontare il problema delle imprese “too big to fail”, (le cosiddette SIFI).
    Rileva notare che si tratta del seguito di un’analisi svolta dallo stesso FSB e pubblicata a febbraio (“Thematic Review on Risk Governance”, 12 febbraio 2013): in occasione di una verifica sul campo circa la robustezza dei sistemi di governance  delle banche, il FSB concludeva che, dopo lo scoppio della crisi del 2008, le autorità nazionali avevano effettivamente adottato nuovi e più efficienti approcci per indurre le banche a mettere in pratica modelli di risk governance prima assenti o comunque deficitari. Nonostante ciò – concludeva il FSB – i progressi raggiunti non sono ancora soddisfacenti; l’indagine aveva infatti evidenziato una serie di lacune, specialmente di carattere organizzativo. E’ necessario, diceva il FSB, che le autorità di vigilanza nazionali siano in grado di effettuare verifiche più precise e, ciò facendo, di stimolare l’adozione di best practice nei modelli organizzativi di risk governance bancari. Molti gap rimangono ancora da colmare, in particolare nella funzione di risk management e nella sua integrazione con il resto della struttura organizzativa, segnatamente quella di vertice.
    Un obiettivo importante perseguito dal FSB è stato l’elaborazione, in coerenza con i principali standard internazionali, delle linee guida concernenti il Risk Appetite Framework (RAF) imposto alle banche.
    I punti affrontati nell’aggiornamento del FSB sono i seguenti:

    • le definizioni: Il FSB aveva già rilevato la necessità di proporre – data la relativa novità e complessità della materia – definizioni terminologiche comuni anche al fine di facilitare la comunicazione tra i supervisori e le istituzioni finanziarie, nonché all’interno delle stesse;
    • il Risk Appetite Framework (RAF): introdurre e manutenere un efficace RAF sarà, da gennaio 2014, tra gli impegni degli “organi aziendali” (Consiglio, Direzione Generale, Collegio Sindacale) e delle “funzioni” di controllo (Audit, Compliance, Risk Management), ognuno con diversa intensità e responsabilità. Il FSB dettaglia, oltre a quanto già prescritto dalla Banca d’Italia, ulteriori indicazioni in ordine a caratteristiche e contenuto del RAF;
    • il Risk Appetite Statement (RAS): è necessario sintetizzare il profilo di rischio complessivo, l’esposizione ai principali rischi che la banca è disposta ad accettare per raggiungere gli obiettivi di piano strategico, con il quale deve essere integrato, anche includendo le principali dimensioni quantitative;
    • il sistema dei limiti: l’esistenza di un sistema di limiti operativi, definiti per ogni tipologia di business e rischio, rende applicabile il RAF, dal momento che rappresenta l’allocazione dell’appetito al rischio per ogni linea di business/rischio;
    • le responsabilità: spetta al massimo organo decisionale (Consiglio di Amministrazione, ove non duale) definire il RAF e approvare il RAS; lo stesso FSB si preoccupa di evidenziare che il framework complessivo va sviluppato in collaborazione con il CEO, il CRO, il CFO i quali sono pienamente coinvolti in termini di responsabilità.

    Il documento del FSB rappresenta pertanto una integrazione extragiuridica – assimilabile ad un contributo della prassi  – della disciplina di Vigilanza contenuta nella Circolare 263. Vale ricordare il documento pubblicato, in tema di RAF, dal COSO a gennaio 2012, pubblicato in Il Risk Appetite Framework del COSO

    Forbearance and Broken Credit Cycles, slide di presentazione

    Disponibili le slide di presentazione di T.Ota (Bank of England): “Forbearance and Broken Credit Cycles”.

    IX Convention Aifirm

    Il rischio nel credito e gli impatti sui portafogli commerciali e finanziari

    Valutazione approfondita della BCE sulle banche europee nel 2014

    Il 23 ottobre la Banca Centrale Europea ha comunicato ufficialmente l’avvio della c.d. “valutazione approfondita”, esercizio richiesto dal meccanismo di vigilanza unico europea che entrerà in vigore dal 1° novembre 2013.
    L’esercizio consiste in una vera e propria valutazione approfondita sulle banche che saranno soggette alla  vigilanza diretta della BCE e comprenderà un’analisi dei rischi a fini di vigilanza, un esame della qualità degli attivi e una prova di stress:
    Immagine_BCE_ott2013
    Il risultato potrà sfociare in una serie di provvedimenti, inclusa anche la richiesta alla singola banca di modificare gli accantonamenti o la posizione patrimoniale.
    La stessa BCE sottolinea che, sebbene siano stati compiuti significativi progressi dalle autorità, per fronteggiare andamenti avversi di mercato, e dalle banche, per rafforzare i propri bilanci, sussistono tutt’ora segni di debolezza, ai quali si aggiungono la percezione di una mancanza di trasparenza dei bilanci delle banche e timori circa la loro situazione di rischio complessiva. Gli obiettivi dichiarati sono, quindi: i) trasparenza, ii) correzione, iii) rafforzamento della fiducia.
    La valutazione approfondita riguarderà solamente le banche esplicitamente individuate (elencate nell’Allegato al documento). Poichè l’esercizio sarà basato su regole sostanzialmente uniformi e ispirate a criteri prudenziali, il set di regole dovrebbe essere tenuto in debito conto anche dalla banche minori, non soggette alla valutazione nel corso del 2014.
    Particolare importanza riveste l’esame della qualità degli attivi, che si articolerà in:

    1. valutazione dell’adeguatezza degli accantonamenti per le esposizioni creditizie;
    2. determinazione dell’adeguata valutazione delle garanzie per le esposizioni creditizie;
    3. analisi della valutazione di strumenti complessi e di attività ad alto rischio nei bilanci della banca.

    In allegato il documento pubblicato dalla BCE.

    Basel III liquidity risk measures

    E’ disponibile il paper di H.Hong, J.Huang, D.Wu “The Information Content of Basel III Liquidity Risk Measures”, ottobre 2013.
    Pubblichiamo, di seguito, l’abstract degli stessi autori.
    The Basel III liquidity coverage ratio (LCR) is measure of asset liquidity, and the net stable funding ratio (NSFR) in a measure of funding stability. We find the probability of failure of U.S. commercial banks is negatively correlated with the NSFR, while it is positively correlated with the LCR. The positive correlation between bank failure and the LCR highlights the negative externality of liquidity hoarding. Both the NSFR and the LCR have limited effetcs on bank failures. In contrast, the systemic funding liquidity risk was a major contributor of bank failures in 2009 and 2010. We also shed light on the assumption on net cash outflow rates in the new liquidity standards.
    In allegato il documento completo.

    Inside the labyrinth of Basel risk-weighted asset

    Settembre 2013, Banca dItalia: Questioni di Economia e Finanza n.132, F.Cannata, S.Casellina, G.Guidi, “Inside the labyrinth of Basel risk-weighted asset: how not to get lost”.
    Si esaminano le differenze tra RWA di intermediari diversi, si propone uno schema di rappresentazione dati finalizzato ad una maggior comparabilità.

    Procyclical Leverage and Value-at-Risk

    1 agosto 2013: T.Adrian, H.S.Shin “Procyclical Leverage and Value-at-Risk”
    L’Abstract degli autori:
    The availability of credit varies over the business cycle through shifts in the leverage of financial  intermediaries. Empirically, we find that intermediary leverage is negatively aligned with the banks’ Value-at-Risk (VaR). Motivated by the evidence, we explore a contracting model that captures the observed features. Under general conditions on the outcome distribution given by Extreme Value Theory (EVT), intermediaries maintain a constant probability of default to shifts in the outcome distribution, implying substantial deleveraging during downturns. For some parameter values, we can solve the model explicitly, thereby endogenizing the VaR threshold probability from the contracting problem.

    Il costo della crisi 2007-2009

    Pubblicato, dalla Fed di Dallas, il paper di T.Atkinson, D.Luttrell, H.Rosenblum “How Bad Was It? The Cost and Consequences of the 2007-09 Financial Crisis”, luglio 2013.
    Si tratta di uno dei pochi studi disponibili che cerca di quantificare il costo della crisi finanziaria occorsa nel 2007-2009.
    L’abstract del paper:
    the 2007-2009 financial crisis was associated with a huge loss of economic output and financial wealth. psychological consequences and skill atrophy from extended unemployment, an increase in government intervention, and other significant costs. Assuming the financial crisis is to blame for these associated ills, an estimate of its cost is needed to weigh against the cost of policies intended to prevent similar episodes. We conservatively estimate that 40 to 90 percewnt of one year’s output ($6 trillion to $14 trillion, the equivalent of $50,000 to $121.000 for every U.S. household) was foregone due to the 2007-2009 recession. We also provide several alternative measures of lost consumption, national trauma, and other negative consequences of the worst recession since the 1930s. This more comprehensive evaluation of factors suggest that what the U.S. gave up as a result of the crisis is likely greater than the value of one year’s output.

    Il Risk Appetite Framework

    E’ stato introdotto nell’ordinamento di vigilanza italiano il concetto di risk appetite framework (RAF). E’ contenuto nella Circolare n. 263 del 27 dicembre 2006 – 15° aggiornamento del 2 luglio 2013 (si applica alle Banche e non alle finanziarie ex 106 e 107 TUB, almeno sino a che non è completato il riordino della disciplina di vigilanza di queste ultime).
    Le parti seguenti sono tratte dalla Circolare 263, Titolo V, capitolo 7, limitatamente a ciò che riguarda il RAF.
    Definizioni [Par.3, pagg.4 e 5]
    risk appetite framerwork” – “RAF” (sistema degli obiettivi di rischio): il quadro di riferimento che definisce – in coerenza con il massimo rischio assumibile, il business model e il piano strategico – la propensione al rischio, le soglie di tolleranza, i limiti di rischio, le politiche di governo dei rischi, i processi di riferimento necessari per definirli e attuarli (cfr. Allegato C). Si forniscono, di seguito, le definizioni dei concetti rilevanti ai fini del RAF:

    • risk capacity (massimo rischio assumibile): il livello massimo di rischio che una banca è tecnicamente in grado di assumere senza violare i requisiti regolamentari o gli altri vincoli imposti dagli azionisti o dall’autorità di vigilanza;
    • risk appetite (obiettivo di rischio o propensione al rischio): il livello di rischio (complessivo e per tipologia) che la banca intende assumere per il perseguimento dei suoi obiettivi strategici;
    • risk tolerance (soglia di tollerenza): la devianza massima dal risk appetite consentita; la soglia di tolleranza è fissata in modo da assicurare in ogni caso alla banca margini sufficienti per operare, anche in condizioni di stress, entro il massimo rischio assumibile. Nel caso in cui sia consentita l’assunzione di rischio oltre l’obiettivo di rischio fissato, fermo restando il rispetto della soglia di tolleranza, sono individuate le azioni gestionali necessarie per ricondurre il rischio assunto entro l’obiettivo prestabilito;
    • risk profile (rischio effettivo): il rischio effettivamente assunto, misurato in un determinato istante temporale;
    • risk limits (limiti di rischio): l’articolazione degli obiettivi di rischio in limiti operativi, definiti, in linea con il principio di proporzionalità, per tipologie di rischio, unità e o linee di business, linee di prodotto, tipologie di clienti;

    Principi generali
    Il sistema dei controlli interni ….. conseguimento delle seguenti finalità:
    ….contenimento del rischio entro i limiti indicati nel quadro di riferimento per la determinazione della propensione al rischio della banca (Risk Appetite Framework – “RAF”) (cfr. Allegato C); [pag.6]
    ….assicurare la completezza, l’adeguatezza, la funzionalità (in termini di efficienza ed efficacia), l’affidabilità del processo di gestione dei rischi e la sua coerenza con il RAF; [pag.7]
    Il ruolo degli organi aziendali
    Le banche assicurano la completezza, l’adeguatezza, la funzionalità e l’affidabilità del sistema dei controlli interni. In tale ambito, formalizzano il quadro di riferimento per la determinazione della propensione al rischio (Risk Appetite Framework – “RAF”), le politiche di governo dei rischi, il processo di gestione dei rischi, ne assicurano l’applicazione e procedono al loro riesame periodico per garantirne l’efficacia nel tempo. La responsabilità primaria è rimessa agli organi aziendali, ciascuno secondo le rispettive competenze. [pag.10]
    Organo con funzione di supervisione strategica
    ..assicura che

    • l’attuazione del RAF sia coerente con gli obiettivi di rischio e la soglia di tolleranza (ove identificata) approvati; valuta periodicamente l’adeguatezza e l’efficacia del RAF e la compatibilità tra il rischio effettivo e gli obiettivi di rischio; [pag.11]
    • il piano strategico, il RAF, l’ICAAP, i budget e il sistema dei controlli interni siano coerenti, avuta anche presente l’evoluzione delle condizioni interne ed esterne in cui opera la banca; [pag.12]
    • …con riferimento al processo ICAAP, definisce e approva le linee generali del processo, ne assicura la coerenza con il RAF e l’adeguamento tempestivo in relazione a modifiche significative delle linee strategiche, dell’assetto organizzativo, del contesto operativo di riferimento; promuove il pieno utilizzo delle risultanze dell’ICAAP a fini strategici e nelle decisioni d’impresa; [pag.12]

    Organo con funzioni di gestione

    •  ….cura l’attuazione degli indirizzi strategici, del RAF e delle politiche di governo dei rischi definiti dall’organo con funzione di supervisione strategica [pag.12]
    • definisce i flussi informativi interni volti ad assicurare agli organi aziendali e alle funzioni aziendali di controllo la piena conoscenza e governabilità dei fattori di rischio e la verifica del rispetto del RAF; [pag.14]
    • nell’ambito del RAF, se è stata definita la soglia di tolleranza, autorizza il superamento della propensione al rischio entro il limite rappresentato dalla soglia di tolleranza e provvede a darne pronta informativa all’organo con funzione di supervisione strategica, individuando le azioni gestionali necessarie per ricondurre il rischio assunto entro l’obiettivo prestabilito; [pag.14]
    • ….con riferimento al processo ICAAP, dà attuazione a tale processo curando che lo stesso sia rispondente agli indirizzi strategici e la RAF [pag.15]

    Organo con funzione di controllo
    L’organo con funzione di controllo ha la responsabilità di vigilare sulla completezza, adeguatezza, funzionalità e affidabilità del sistema dei controlli interni e del RAF. [pag.15]
    Requisiti specifici delle funzioni aziendali di controllo
    Funzione di controllo dei rischi (risk management function)
    La funzione di controllo dei rischi ha la finalità di collaborare alla definizione e all’attuazione del RAF e delle relative politiche di governo dei rischi, attraverso un adeguato processo di gestione dei rischi [pag.22]
    La funzione di controllo dei rischi:

    • è coinvolta nella definizione del RAF, delle politiche di governo dei rischi e delle varie fasi che costituiscono il processo di gestione dei rischi nonché nella fissazione dei limiti operativi all’assunzione delle varie tipologie di rischio. In tale ambito, ha, tra l’altro, il compito di proporre i parametri quantitativi e qualitativi necessari per la definizione del RAF, che fanno riferimento anche a scenari di stress e, in caso di modifiche del contesto operativo interno ed esterno della banca, l’adeguamento di tali parametri; [pag.23]
    • verifica l’adeguatezza del RAF; [pag.23]
    • definisce metriche comuni di valutazione dei rischi operativi coerenti con il RAF, coordinandosi con la funzione di conformità alle norme, con la funzione ICT e con la funzione di continuità operativa [pag.24]
    • dà pareri preventivi sulla coerenza con il RAF delle operazioni di maggiore rilievo eventualmente acquisendo, in funzione della natura dell’operazione, il parere di altre funzioni coinvolte nel processo di gestione dei rischi; [pag.24]

    Funzione di revisione interna (internal audit)
    La funzione di revisione interna è volta, da un lato, a controllare, in un’ottica di controlli di terzo livello, anche con verifiche in loco, il regolare andamento dell’operatività e l’evoluzione dei rischi, e, dall’altro, a valutare la completezza, l’adeguatezza, la funzionalità e l’affidabilità della struttura organizzativa e delle altre componenti del sistema dei controlli interni, portando all’attenzione degli organi aziendali i possibili miglioramenti, con particolare riferimento al RAF, al processo di gestione dei rischi nonché agli strumenti di misurazione e controllo degli stessi [pagg.24-25]
    La funzione di revisione interna valuta:

    • l’efficacia del processo di definizione del RAF, la coerenza interna dello schema complessivo e la conformità dell’operatività aziendale al RAF e, in caso di strutture finanziarie particolarmente complesse, la conformità di queste alle strategie approvate dagli organi aziendali [pag.25]
    • l’efficacia dei poteri della funzione di controllo dei rischi di fornire pareri preventivi sulla coerenza con il RAF delle operazioni di maggior rilievo; [pag.25]

    Ulteriori previsioni normative (allegato C) [pag.52]
    Premessa
    Le banche definiscono un quadro di riferimento per la determinazione della propensione al rischio (Risk Appetite Framework – “RAF”), che fissi ex ante gli obiettivi di rischio/rendimento che l’intermediario intende raggiungere e i conseguenti limiti operativi.
    La formalizzazione, attraverso la definizione del RAF, di obiettivi di rischio coerenti con il massimo rischio assumibile, il business model e gli indirizzi strategici è un elemento essenziale per la determinazione di una politica di governo dei rischi e di un processo di gestione dei rischi improntati ai principi della sana e prudente gestione aziendale.
    Le banche, inoltre, coordinano il quadro di riferimento per la determinazione della propensione al rischio con il processo ICAAP (cfr. Titolo III, Capitolo 1) e ne assicurano la corretta attuazione attraverso una organizzazione e un sistema dei controlli interni adeguati.
    Indicazioni sul contenuto del RAF
    Nel presente paragrafo sono fornite indicazioni minimali per la definizione del Risk Appetite Framerwork, fermo restando che l’effettiva articolazione del RAF va calibrata in base alle caratteristiche dimensionali e di complessità operativa di ciascuna banca.
    Le banche assicurano una stretta coerenza e un puntuale raccordo tra: il modello di business, il piano strategico, il RAF (e i parametri utilizzati per definirlo), il processo ICAAP, i budget, l’organizzazione aziendale e il sistema dei controlli interni.
    Il RAF, tenuto conto del piano strategico e dei rischi rilevanti ivi individuati, e definito il massimo rischio assumibile, indica le tipologie di rischio che la banca intende assumere; per ciascuna tipologia di rischio, fissa gli obiettivi di rischio, le eventuali soglie di tolleranza e i limiti operativi in condizioni sia di normale operatività, sia di stress. Sono, altresì, indicate le circostanze, inclusi gli esiti degli scenari di stress, al ricorrere delle quali l’assunzione di determinate categorie di rischio va evitata o contenuta rispetto agli obiettivi e ai limiti fissati.
    Gli obiettivi di rischio, le soglie di tolleranza e i limiti di rischio sono, di norma, declinati in termini di:
    a) misure espressive del capitale a rischio o capitale economico (VaR, expected shortfall, ecc);
    b) adeguatezza patrimoniale;
    c) liquidità.
    Con riferimento ai rischi quantificabili, la declinazione degli elementi costituenti del RAF avviene attraverso l’utilizzo di opportuni parametri quantitativi e qualitativi, calibrati in funzione del principio di proporzionalità; a tal fine, le banche possono fare riferimento alle metodologie di misurazione dei rischi utilizzate ai fini della valutazione aziendale dell’adeguatezza patrimoniale (ICAAP) (cfr. Titolo III, Capitolo 1, Sezione II).
    Con riferimento ai rischi difficilmente quantificabili (quali, ad es, il rischio strategico, il rischio reputazionale o il rischio di compliance), il RAF fornisce specifiche indicazioni di carattere qualitativo che siano in grado di orientare la definizione e l’aggiornamento dei processi e dei presidi del sistema dei controlli interni.
    Nel RAF sono definite le procedure e gli interventi gestionali da attivare nel caso in cui sia necessario ricondurre il livello di rischio entro l’obiettivo o i limiti prestabiliti. In particolare, sono definiti gli interventi gestionali da adottare al raggiungimento della soglia di tolleranza (ove definita). Sono precisate anche le tempistiche e le modalità da seguire per l’aggiornamento del RAF.
    Il RAF, infine, precisa i compiti degli organi e di tutte le funzioni aziendali coinvolte nella definizione del processo.
    In allegato un esempio di informativa di bilancio sul RAF estratto dal bilancio del Banco Santander

    Internal Governance

    Pubblicato, a cura di Paola Schwizer, il libro “Internal Governance. Nuove regole, esperienze e best practice per l’organizzazione dei controlli interni delle banche”. EGEA, maggio 2013.
    In allegato l’indice del libro.