La Circolare 263 della Banca d’Italia recepisce in termini applicativi i contenuti della disciplina di vigilanza prudenziale Basilea II. Pur abrogata in buona parte dal framework di Basilea III, ed in particolare dalla relativa Circolare 285, risulta ancora in vigore per talune parti, quali la disciplina dei conflitti di interesse verso i soggetti collegati, e addirittura entra in vigore il I° luglio 2014 con riferimento alla nuova disciplina del Sistema dei Controlli Interni, attraverso il 15° Aggiornamento del 2 luglio 2013. Pur attendendosi in particolare ai soli ambiti di pertinenza della funzione di controllo dei rischi (nel seguito risk management), l’impostazione effettiva di un sistema coerente e applicabile di limiti, con efficienti meccanismi di rendicontazione, comunicazione, controllo ed escalation, implica numerose sfide e difficoltà applicative. Dopo una breve rassegna delle principali componenti di tale corpus normativo, il lavoro esamina dal punto di vista teorico le difficoltà insite in ogni sistema di limiti e, in riferimento all’attuale quadro normativo, offre anche alcuni spunti concreti in ordine alla relativa applicazione.
1. Limiti di rischio e principali pilastri normativi.
Per una generale revisione dell’impianto normativo di Banca d’Italia rispetto a Basilea II/III si veda la rassegna in [1].
Attualmente, prescindendo dalle normative di primo livello europee e dai principali framework di riferimento, la disciplina sul controllo dei rischi di pertinenza delle funzioni di Risk Management si sostanziano nei contenuti della Circolare 285 di Banca d’Italia, come implementazione di CRD IV (Direttiva europea su Basilea 3) e delle relativa CRR (Capital Requirement Regulation), e della Circolare 263 di Banca d’Italia, per i contenuti rilevanti su RAF, rischio informatico, continuità operativa e disciplina relativa ai soggetti collegati (esponenti aziendali e loro connessi).
Per motivi di spazio non sarà oggetto di trattazione nel presente documento l’altrettanto rilevante regolamento congiunto Consob-Bankit sui servizi di investimento, che assegna alle funzioni di controllo ulteriori importanti adempimenti.
Rimanendo nel contesto sopra descritto, le fasi del processo di gestione e controllo dei rischi con riferimento alle quali la normativa richiede alle funzioni di Risk Mgt importanti contributi specifici e rilevanti sono in particolare la:
- Misura dei rischi e Fissazione di Limiti;
- Prevenzione dei rischi stessi;
- L’attivazione di adeguati flussi informativi agli Organi di Controllo (Collegio Sindacale, OdV 231, Comitati Rischi vari) e Organi con Funzione di Gestione o Supervisione Strategica (CDA, AD, Direzione).
Approfondendo ulteriormente la tematica, è utile citare i molteplici “ambiti” di applicazione, in termini sia di tipi di rischio sia di differenti processi (attori, frequenza del controllo, metodologia di controllo) che la normativa in parola specifica e disciplina.
Una lista non esaustiva di tali ambiti, tra loro spesso in forte intersezione, è data da:
- Rischi di I pilastro e vincoli di adeguatezza patrimoniale (FondiPropri/RWA) di I Pilastro. Origine: Basilea I-II. Circolare 285
- Rischi di II pilastro, processo ICAAP-SREP. Origine: Basilea II. Circolare 285
- Informativa al pubblico di III Pilastro. Origine: Basilea II. Circolare 285
- Rischi e vincoli di Basilea 3. Origine: Basilea III. Circolare 285
- Risk Appetite Framework (RAF). Circolare 263, 15^ Aggiornamento, Tit.V Cap.7
- Grandi Rischi. Origine: Basilea I. Circolare 285
- Operazioni di Maggiore Rilievo (OMR). Circolare 263, 15^ Aggiornamento, Tit.V Cap.7
- Operazioni con Soggetti Collegati. Circolare 263, Titolo V Cap.5
- Rischio ICT. Circolare 263, 15^ Aggiornamento, Tit.V Cap.8
- Regolamenti e Limiti Operativi su Credito e Finanza. Origine: Regolamenti interni delle banche.
2. Limiti di rischio e misure di rischio. Un Framework concettuale
2.1 Fissazione del valore Limite
Tralasciando il tema dei vincoli “mandatory” di I pilastro, sui rapporti tra misure regolamentari di rischio e fondi propri, da un punto di vista gestionale la fissazione di soglie di tolleranza/obiettivi/vincoli sui massimi rischi assumibili è comunque un tema complesso, estremizzando anche in un contesto in cui le sopracitate normative fossero totalmente assenti.
Con il termine gestionale si fa qui riferimento al (i) sistema dei limiti di rischio che le banche hanno introdotto e sviluppato nel tempo e che hanno disciplinato nei rispettivi regolamenti interni, con riferimento in particolare alle aree tipiche dell’intermediazione bancaria quali “Crediti” e “Finanza” (o “Deleghe” o “Poteri e Deleghe”), (ii) agli obiettivi declinati nel RAF (quindi il risk appetite e la risk tolerance) o anche (iii) alle tecniche di misurazione dei rischi utilizzate dalle banche di Classe 1 e 2 nel rendiconto ICAAP.
Un limite di rischio non è in linea generale così diverso da un obiettivo di pianificazione commerciale oppure finanziaria, espresso in termini di volumi o di budget. Per avere senso, tale limite (inteso qui come limite massimo) deve rispettare congiuntamente le seguenti condizioni:
- non essere posto ad un livello così alto da essere irraggiungibile, tale quindi da non rappresentare un vincolo “effettivo” sulla gestione dell’intermediario;
- non essere collocato ad un livello così basso da ostacolare – o peggio – bloccare del tutto l’attività del business, sia creditizio sia finanziario, dell’intermediario.
In una epoca in cui le banche godevano di maggiori margini di libertà, quindi prima che le misure di rischio avessero anche un profilo strategico e trovassero specifica disciplina mediante i processi normativi ICAAP e RAF, approvati e rendicontati da Organo Strategico e Organo di controllo, la procedura di fissazione dei limiti risultava essere abbastanza euristica.
Si faccia ad esempio riferimento – per semplicità di trattazione – al rischio di mercato e al rischio di credito.
Per il rischio di mercato, sotto ipotesi di stabilità di alcuni “drivers” (stock di asset finanziari, volumi e stile di trading, esistenza o meno di investment banking), il Risk Management seleziona una metrica di rischio, per esempio il VaR (Value at Risk), seleziona la serie storica nel tempo da utilizzare in input ai relativi sistemi di misurazione, per portafoglio o sub portafoglio, e fissa dei limiti coerenti con l’andamento storico, secondo un principio di ragionevolezza. Essendo il VaR una misura concreta con un significato sufficientemente intuitivo, il Risk Management può anche selezionare i limiti gestionali in relazione alla propria sensibilità/accettazione del rischio. Di certo, prima della 15^ Aggiornamento della Circolare 263 e fatta eccezione per poche banche di grandissime dimensioni e con diffusa cultura finanziaria anche a livello di Top Management, raramente il Risk Management ha discusso e illustrato, in un’ottica di condivisione del risk appetite, obiettivi e limiti di rischio.
Per il rischio di credito, la fissazione di limiti è tradizionalmente stata sempre legata a misure semplici espresse in termini di stock, quali:
- Massimo importo (o %) di fidi al singolo cliente/gruppo;
- Massima percentuale di finanziamenti allocati su un dato settore;
- Massima percentuale di debitori con riferimento a date classi di rating;
- …
Si consideri infatti che tradizionalmente, nelle prassi gestionali delle banche, specie di medie e piccole dimensioni, il rischio di credito è stato spesso presidiato nella fase di processo di erogazione (a monte del processo di intermediazione creditizia) piuttosto che nelle perdite inattese stimabili con tecniche statistiche (in relazione quindi agli esiti negativi e probabili riscontrabili a valle del processo). Ci si è cioè concentrati nei regolamenti del credito sulle facoltà, vale a dire sul massimo importo erogabile a un cliente sulla base dell’applicazione di “griglie” (almeno) bidimensionali di:
- Soggetto erogante: direttore filiale, capo area, direzione crediti, direzione generale, CDA, ecc…;
- Classe di rischio/prodotto: mutui ipotecari, portafoglio autoliquidante, fidi in c/c, ecc…
Anche nel credito, sia i limiti veri e propri di rischio e concentrazione, sia quelli sulle facoltà deliberative, non hanno tradizionalmente avuto lunghe fasi di assessment con logiche quantitative e strumenti statistici, bensì processi di approvazione condotti con logiche generali di prudenza, benchmarking, esperienza e sensibilità storica, ecc…
Evidentemente sia l’innovazione normativa degli ultimi anni, sia i fenomeni recenti sul mercato italiano ed -in particolare – le ingenti perdite su crediti di talune banche e/o i fatti illeciti generati dal mancato controllo dei rischi operativi, impongono una seria riflessione in particolare sulla identificazione, mappatura e presidio di questi rischi, ma anche sulle metodologie e sulle misure utili a coglierne in modo affidabile la rilevanza.
2.2 Relazioni tra le metriche. Ortogonalità
E’ questa una tematica di assoluto rilievo ai fini di un sistema di controlli interni sui rischi efficace ed incisivo. Tuttavia la stessa ha non ha avuto grande spazio nella letteratura, sia teorica sia empirica, nonché nella comunità bancaria e nei pratictioners del settore.
Per ragioni di semplicità si faccia riferimento al rischio di mercato e ad una coppia di metriche di rappresentazione o stima dei rischi utilizzate per fissare dei limiti, su un medesimo portafolio o sull’aggregato complessivo di rischio. E’ utile qui ricordare che un limite, dovendo essere formalizzato con opportune delibere dagli organi aziendali, deve essere sufficientemente stabile e quindi non oggetto di frequenti revisioni, in quanto in caso contrario il relativo processo di monitoraggio sarebbe di difficile applicazione pratica e di minore credibilità per gli operatori che sono tenuti a rispettarlo.
In accordo con le prassi, la coppia di metriche potrebbe essere costituita dal VaR e dalla Esposizione (a seconda delle asset class e degli ambiti, denominata rischio delta, sensitivity, ..), nel seguito E per brevità.
Si consideri sempre, per semplificazione divulgativa, un portafoglio di strumenti plain e di posizioni in derivati, dipendente da un unico fattore di rischio azionario, come ad es. EuroStoxx o FTSEMIB.
- L’esposizione E misura la posizione netta del portafoglio sul fattore di rischio; quindi se il limite di tale grandezza fosse pari a 1 mln €, equivarrebbe a non accettare profili di perdita superiori a quelli di una posizione netta nell’indice di tale ammontare.
- Il VaR come noto indica quale perdita si sopporterebbe con un certo livello di “pessimismo”, usualmente espresso nei termini del 1% o 1‰ dei casi peggiori.
Come si relazionano queste due misure? E’ da notare che le due misure si possono considerare sufficientemente indipendenti tra loro. Infatti:
- in un periodo di alta volatilità, catturata dal VaR che usa stime di parametri o scenari sulla finestra temporale corrente, il limite stesso di VaR impedisce l’assunzione di posizioni con elevato rischio di perdite;
- in un periodo di bassa volatilità, a parità di posizione di portafoglio, il VaR calcolato rimane sempre lontano dai limiti massimi, ma il limite di massima esposizione E impedisce ai trader di assumere posizioni con rischi potenziali troppo elevati.
E’ quindi evidente l’utile complementarietà tra le due metriche. Ovviamanente, perché questa complementarietà venga esercitata in modo utile, è necessario che il set-up dei limiti e ogni revisione successiva, sia fatta con una calibrazione attenta e coerente dei due valori-limite sullo stesso portafoglio.
Formalizzando quanto sopra illustrato, si può affermare che le due misure utilizzate come limite devono essere tra loro possibilmente decorrelate, ortogonali nel linguaggio operativo, nel contempo evitando di definire sistemi di limiti ridondanti e inutili, cioè di “raccontare la stessa storia”.
Utile a tale riguardo riportare un ulteriore esempio, questa volta relativo congiuntamente sia al rischio di credito che al rischio di mercato.
Se sul portafoglio dei titoli obbligazionari di proprietà della banca venissero individuati limiti su questi tre livelli:
- L1. Massima posizione su un singolo emittente con rating < B
- L2. Massima posizione su paese con rating < B
- L3. Massima posizione globale in bond con emittenti di rating < B
non è possibile affermare che i tre limiti siano ridondanti ma la loro evidente intersezione deve implicare uno studio attento dei valori limite, questo al fine di evitare che questi vincoli ostacolino il gestore o siano uneffective.
Se per una banca si avessero questi valori L1 = 1%, L3 = 5%, questo assetto impedirebbe ad esempio una sana diversificazione sul sotto portafoglio “bond high yield”. Andrebbe cioè aumentato L3 o ridotto L1.
2.3 Le Dimensioni di un sistema di limiti
In conclusione, è ora possibile portare a compimento il tentativo di modellizzazione generale di un sistema di limiti con la lista di tutte le dimensioni, o parametri, che lo caratterizzano, e che quindi devono essere tenute in considerazione per la costruzione di un impianto che abbia la concreta probabilità di operare come efficace presidio del rischio.
Dimensione |
Esempi |
Normativo vs. Gestionale | Flag binario |
Ambito (o tipo di rischio) | Credito, Mercato, Liquidità, … |
Organo deliberante | Board, AD, Direzione … |
Granularità Limite | Banca, Area geografica, filiale, portafoglio, desk, … |
Frequenza misura | Daily, Monthly, Quarterly |
Fonte normativa | Circolare 285, Circolare.263, … |
Processo di rientro/rispetto limite | Entro (t+1) per market risk; escalation sul board, entro 1 mese, … |
Metrica di Rischio utilizzata | VaR €, VaR %, Sensitivity 1bps, Stock %, |
Granularità Metrica | Continua: VaR, Stock. Discreta: Rating, classe geografica |
La capacità di descrivere e strutturare l’intero sistema di limiti della banca in questo “ipercubo” di dimensioni e relativi valori, dovrebbe poter tradursi in un vero e proprio repository o testo unico del sistema dei limiti della banca, nodo superiore e base fondante del complesso albero applicativo e operativo del sistema dei limiti di rischio.
Anzi, il noto documento di coordinamento sulla gestione dei rischi (che, nell’ambito del sistema dei controlli interni dell’intermediario, trova spesso formalizzazione in termini di regolamento che disciplina compiti, responsabilità, flussi informativi e modalità di coordinamento e collaborazione degli organi e delle funzioni aziendali di controllo), che le banche hanno approvato in relazione agli adempimenti del 30/6/2014 del 15^ Aggiornamento della Circolare 263, spesso redatto in forma di principi e auspici molto generali, potrebbe trarre molti vantaggi e utilità per guidare la periodica rappresentazione dei rischi agli organi aziendali e una sorta di “continuous assessment” sulle capacità di controllo e sulla relativa efficacia.
3. Il puzzle dei vincoli. Problemi ed esempi concreti
Un altro esempio utile a comprendere la complessità della tematica in gioco, in termini di sfide nella gestione dell’”ortogonalità” o multidimensionalità sopra citata, è quello della relazione tra ambito, metrica di misurazione del rischio e frequenza di misurazione e/o reporting e/o segnalazione, come di seguito rappresentato in modo stilizzato, riferito in particolare al solo rischio di credito. Alcuni elementi della tabella, specie la frequenza, sono da intendersi come indicative di una buona practice, non mandatory.
Ambito |
Metriche |
Frequenza (di misurazione, reporting, segnalazione) |
||
Esposizione |
Rating |
Rischio |
||
Regolamento Operativo del Credito |
Stock (Impieghi) |
Singola posizione |
RWA, Rating |
Giornaliera (processo di erogazione), Mensile (reporting) |
RAF |
Stock (Ptf titoli) |
– |
RWA, Capitale Economico, Leva Finanziaria |
Mensile / Trimestrale |
OMR |
Stock (Operazioni straordinarie) |
– |
Bps su CET1, RWA, Capitale Ecoomico |
Trimestrale / ad Evento |
Soggetti Collegati |
Stock (Impieghi e altre posizioni a credito) |
– |
RWA e/o EAD / Patrimonio di Vigilanza |
Giornaliero (controllo), Mensile (reporting) |
Grandi Rischi |
– |
– |
RWA su Patrimonio Vigilanza |
Mensile (controllo), Trimestrale (segnalazione) |
Notevoli sono i problemi teorico/applicativi da affrontare e gestire, anche per gli intermediari finanziari meglio attrezzati. Tra questi si pensi ad esempio a:
- come conciliare misure di rischio basate su metriche differenziate (Primo vs Secondo pilastro, Stock o Sbilanci di liquidità vs VaR), relativi vincoli regolamentari e logiche differenziate di definizione dei limiti, orientate da elementi di tipo “top down” (laddove ad esempio operano vincoli regolamentari o forti aspettative di mercato) oppure da fattori di tipo “bottom up” / storici (si pensi al sistema dei finanziamenti ai Soggetti Collegati o ancora al tema dei Grandi Rischi, che riflette ad esempio impieghi storici verso imprese del territorio o scelte “industriali” verso grandi imprese anche compartecipate);
- come definire coerenti sistemi di controllo, rendicontazione e – in caso di superamento delle soglie di alert o dei limiti stessi – di escalation verso i Vertici Aziendali e gli Organi, in presenza di processi che non solo hanno frequenza “istituzionale o dichiarata” differenziata ma che risentono di vincoli di data quality, elaborazione, segnalazione e produzione del dato che creano “asincronia” nella disponibilità effettiva delle singole misure.
Ed è evidente, inoltre, che i processi in oggetto richiedono di essere gestiti non tramite una logica a “passi successivi” bensì secondo modalità “circolari” e – spesso – continue (anche se i momenti centrali del processo di pianificazione e di budgeting rappresentano gli snodi o punti di “ancoraggio” fondamentali), con il contributo di una pluralità di attori (Risk Management, Finanza, Crediti, …) e conseguenti esigenze/vincoli di coordinamento.
A tutto questo si deve aggiungere anche un elemento molto spesso sottovalutato, rappresentato dall’innesto di tale sistema, in termini di tempistica intrinseca, nella complessa timeline delle sedute degli Organi consiliari, dei Comitati endoconsiliari (Comitato Controlli e Rischi del CDA in particolare), e dei Comitati Gestionali (Comitato Finanza e ALM e Comitato Rischi in particolare).
Il rispetto dei tempi previsti per la consegna – con congruo anticipo – alle strutture owner della documentazione di riferimento (report sui rischi, informative, proposte di delibera), per assicurare adeguata istruttoria ed analisi a Top Managers e Consiglieri, aggiunge un ulteriore layer di complessità ed un forte vincolo alla gestione del complessivo sistema. In questo possono supportare sistemi e tools informatici di tipo cooperativo, in cui innestare gli opportuni workflow per rendere efficiente il delicato tema dei flussi informativi, cfr. [5]. Di questo tratteremo in un prossimo lavoro.
Riferimenti
[1] C. Brescia Morra e G. Mele (2014), “Le nuove fonti della vigilanza prudenziale”, https://www.finriskalert.it/?p=1000
[2] Banca d’Italia (2013), “La nuova Vigilanza Prudenziale per le Banche”, Circ.263 15^ Aggiornamento.
[3] Unione Europea (2013), “CRR – Capital Requirement Regulation”
[4] Banca d’Italia (2014), Nota di chiarimento del 6 giugno 2014 – Sistema dei controlli interni, sistema
informativo e continuità operativa.
[5] ABI (2014), Estratto dal documento “Riflessioni sul capitolo VII per la Gap Analysis”
[6] Banca d’Italia (2013), “Disposizioni di vigilanza per le banche”, Circ.285.