FSB: Principles for an effective risk appetite framework

Fernando Metelli
Con la pubblicazione delle “Nuove disposizioni di Vigilanza prudenziale per le Banche” (Circolare 263 del 27.12.2006, al 15° aggiornamento del 2 luglio 2013) ove si aggiunge, tra l’altro, il capitolo 7 prima inesistente (“Il sistema dei controlli interni”), viene introdotto alla sezione 1 par.3 (“Definizioni”) il concetto di Risk Appetite Framework: la circolare 263 declina le definizioni che lo caratterizzano, dettagliandole anche nell’Allegato C al predetto capitolo 7.
L’aggiornamento in questione della Circolare 263 cita tra le fonti ispiratrici, oltre a quelle normative, i documenti pubblicati dal Financial Stability Board (FSB) sul tema.
Quest’ultimo ha pubblicato dal in data 18 novembre 2013, il documento “Principles for An Effective Risk Appetite Framework”. Il documento fa parte di una iniziativa del FSB finalizzata ad aumentare intensità ed efficacia preventiva dell’azione di vigilanza, una delle componenti chiave delle politiche di prevenzione dei rischi; tali politiche sono state approvate dal G20 nel novembre 2010 anche per affrontare il problema delle imprese “too big to fail”, (le cosiddette SIFI).
Rileva notare che si tratta del seguito di un’analisi svolta dallo stesso FSB e pubblicata a febbraio (“Thematic Review on Risk Governance”, 12 febbraio 2013): in occasione di una verifica sul campo circa la robustezza dei sistemi di governance  delle banche, il FSB concludeva che, dopo lo scoppio della crisi del 2008, le autorità nazionali avevano effettivamente adottato nuovi e più efficienti approcci per indurre le banche a mettere in pratica modelli di risk governance prima assenti o comunque deficitari. Nonostante ciò – concludeva il FSB – i progressi raggiunti non sono ancora soddisfacenti; l’indagine aveva infatti evidenziato una serie di lacune, specialmente di carattere organizzativo. E’ necessario, diceva il FSB, che le autorità di vigilanza nazionali siano in grado di effettuare verifiche più precise e, ciò facendo, di stimolare l’adozione di best practice nei modelli organizzativi di risk governance bancari. Molti gap rimangono ancora da colmare, in particolare nella funzione di risk management e nella sua integrazione con il resto della struttura organizzativa, segnatamente quella di vertice.
Un obiettivo importante perseguito dal FSB è stato l’elaborazione, in coerenza con i principali standard internazionali, delle linee guida concernenti il Risk Appetite Framework (RAF) imposto alle banche.
I punti affrontati nell’aggiornamento del FSB sono i seguenti:

  • le definizioni: Il FSB aveva già rilevato la necessità di proporre – data la relativa novità e complessità della materia – definizioni terminologiche comuni anche al fine di facilitare la comunicazione tra i supervisori e le istituzioni finanziarie, nonché all’interno delle stesse;
  • il Risk Appetite Framework (RAF): introdurre e manutenere un efficace RAF sarà, da gennaio 2014, tra gli impegni degli “organi aziendali” (Consiglio, Direzione Generale, Collegio Sindacale) e delle “funzioni” di controllo (Audit, Compliance, Risk Management), ognuno con diversa intensità e responsabilità. Il FSB dettaglia, oltre a quanto già prescritto dalla Banca d’Italia, ulteriori indicazioni in ordine a caratteristiche e contenuto del RAF;
  • il Risk Appetite Statement (RAS): è necessario sintetizzare il profilo di rischio complessivo, l’esposizione ai principali rischi che la banca è disposta ad accettare per raggiungere gli obiettivi di piano strategico, con il quale deve essere integrato, anche includendo le principali dimensioni quantitative;
  • il sistema dei limiti: l’esistenza di un sistema di limiti operativi, definiti per ogni tipologia di business e rischio, rende applicabile il RAF, dal momento che rappresenta l’allocazione dell’appetito al rischio per ogni linea di business/rischio;
  • le responsabilità: spetta al massimo organo decisionale (Consiglio di Amministrazione, ove non duale) definire il RAF e approvare il RAS; lo stesso FSB si preoccupa di evidenziare che il framework complessivo va sviluppato in collaborazione con il CEO, il CRO, il CFO i quali sono pienamente coinvolti in termini di responsabilità.

Il documento del FSB rappresenta pertanto una integrazione extragiuridica – assimilabile ad un contributo della prassi  – della disciplina di Vigilanza contenuta nella Circolare 263. Vale ricordare il documento pubblicato, in tema di RAF, dal COSO a gennaio 2012, pubblicato in Il Risk Appetite Framework del COSO