Il Risk Appetite Framework

E’ stato introdotto nell’ordinamento di vigilanza italiano il concetto di risk appetite framework (RAF). E’ contenuto nella Circolare n. 263 del 27 dicembre 2006 – 15° aggiornamento del 2 luglio 2013 (si applica alle Banche e non alle finanziarie ex 106 e 107 TUB, almeno sino a che non è completato il riordino della disciplina di vigilanza di queste ultime).
Le parti seguenti sono tratte dalla Circolare 263, Titolo V, capitolo 7, limitatamente a ciò che riguarda il RAF.
Definizioni [Par.3, pagg.4 e 5]
risk appetite framerwork” – “RAF” (sistema degli obiettivi di rischio): il quadro di riferimento che definisce – in coerenza con il massimo rischio assumibile, il business model e il piano strategico – la propensione al rischio, le soglie di tolleranza, i limiti di rischio, le politiche di governo dei rischi, i processi di riferimento necessari per definirli e attuarli (cfr. Allegato C). Si forniscono, di seguito, le definizioni dei concetti rilevanti ai fini del RAF:

  • risk capacity (massimo rischio assumibile): il livello massimo di rischio che una banca è tecnicamente in grado di assumere senza violare i requisiti regolamentari o gli altri vincoli imposti dagli azionisti o dall’autorità di vigilanza;
  • risk appetite (obiettivo di rischio o propensione al rischio): il livello di rischio (complessivo e per tipologia) che la banca intende assumere per il perseguimento dei suoi obiettivi strategici;
  • risk tolerance (soglia di tollerenza): la devianza massima dal risk appetite consentita; la soglia di tolleranza è fissata in modo da assicurare in ogni caso alla banca margini sufficienti per operare, anche in condizioni di stress, entro il massimo rischio assumibile. Nel caso in cui sia consentita l’assunzione di rischio oltre l’obiettivo di rischio fissato, fermo restando il rispetto della soglia di tolleranza, sono individuate le azioni gestionali necessarie per ricondurre il rischio assunto entro l’obiettivo prestabilito;
  • risk profile (rischio effettivo): il rischio effettivamente assunto, misurato in un determinato istante temporale;
  • risk limits (limiti di rischio): l’articolazione degli obiettivi di rischio in limiti operativi, definiti, in linea con il principio di proporzionalità, per tipologie di rischio, unità e o linee di business, linee di prodotto, tipologie di clienti;

Principi generali
Il sistema dei controlli interni ….. conseguimento delle seguenti finalità:
….contenimento del rischio entro i limiti indicati nel quadro di riferimento per la determinazione della propensione al rischio della banca (Risk Appetite Framework – “RAF”) (cfr. Allegato C); [pag.6]
….assicurare la completezza, l’adeguatezza, la funzionalità (in termini di efficienza ed efficacia), l’affidabilità del processo di gestione dei rischi e la sua coerenza con il RAF; [pag.7]
Il ruolo degli organi aziendali
Le banche assicurano la completezza, l’adeguatezza, la funzionalità e l’affidabilità del sistema dei controlli interni. In tale ambito, formalizzano il quadro di riferimento per la determinazione della propensione al rischio (Risk Appetite Framework – “RAF”), le politiche di governo dei rischi, il processo di gestione dei rischi, ne assicurano l’applicazione e procedono al loro riesame periodico per garantirne l’efficacia nel tempo. La responsabilità primaria è rimessa agli organi aziendali, ciascuno secondo le rispettive competenze. [pag.10]
Organo con funzione di supervisione strategica
..assicura che

  • l’attuazione del RAF sia coerente con gli obiettivi di rischio e la soglia di tolleranza (ove identificata) approvati; valuta periodicamente l’adeguatezza e l’efficacia del RAF e la compatibilità tra il rischio effettivo e gli obiettivi di rischio; [pag.11]
  • il piano strategico, il RAF, l’ICAAP, i budget e il sistema dei controlli interni siano coerenti, avuta anche presente l’evoluzione delle condizioni interne ed esterne in cui opera la banca; [pag.12]
  • …con riferimento al processo ICAAP, definisce e approva le linee generali del processo, ne assicura la coerenza con il RAF e l’adeguamento tempestivo in relazione a modifiche significative delle linee strategiche, dell’assetto organizzativo, del contesto operativo di riferimento; promuove il pieno utilizzo delle risultanze dell’ICAAP a fini strategici e nelle decisioni d’impresa; [pag.12]

Organo con funzioni di gestione

  •  ….cura l’attuazione degli indirizzi strategici, del RAF e delle politiche di governo dei rischi definiti dall’organo con funzione di supervisione strategica [pag.12]
  • definisce i flussi informativi interni volti ad assicurare agli organi aziendali e alle funzioni aziendali di controllo la piena conoscenza e governabilità dei fattori di rischio e la verifica del rispetto del RAF; [pag.14]
  • nell’ambito del RAF, se è stata definita la soglia di tolleranza, autorizza il superamento della propensione al rischio entro il limite rappresentato dalla soglia di tolleranza e provvede a darne pronta informativa all’organo con funzione di supervisione strategica, individuando le azioni gestionali necessarie per ricondurre il rischio assunto entro l’obiettivo prestabilito; [pag.14]
  • ….con riferimento al processo ICAAP, dà attuazione a tale processo curando che lo stesso sia rispondente agli indirizzi strategici e la RAF [pag.15]

Organo con funzione di controllo
L’organo con funzione di controllo ha la responsabilità di vigilare sulla completezza, adeguatezza, funzionalità e affidabilità del sistema dei controlli interni e del RAF. [pag.15]
Requisiti specifici delle funzioni aziendali di controllo
Funzione di controllo dei rischi (risk management function)
La funzione di controllo dei rischi ha la finalità di collaborare alla definizione e all’attuazione del RAF e delle relative politiche di governo dei rischi, attraverso un adeguato processo di gestione dei rischi [pag.22]
La funzione di controllo dei rischi:

  • è coinvolta nella definizione del RAF, delle politiche di governo dei rischi e delle varie fasi che costituiscono il processo di gestione dei rischi nonché nella fissazione dei limiti operativi all’assunzione delle varie tipologie di rischio. In tale ambito, ha, tra l’altro, il compito di proporre i parametri quantitativi e qualitativi necessari per la definizione del RAF, che fanno riferimento anche a scenari di stress e, in caso di modifiche del contesto operativo interno ed esterno della banca, l’adeguamento di tali parametri; [pag.23]
  • verifica l’adeguatezza del RAF; [pag.23]
  • definisce metriche comuni di valutazione dei rischi operativi coerenti con il RAF, coordinandosi con la funzione di conformità alle norme, con la funzione ICT e con la funzione di continuità operativa [pag.24]
  • dà pareri preventivi sulla coerenza con il RAF delle operazioni di maggiore rilievo eventualmente acquisendo, in funzione della natura dell’operazione, il parere di altre funzioni coinvolte nel processo di gestione dei rischi; [pag.24]

Funzione di revisione interna (internal audit)
La funzione di revisione interna è volta, da un lato, a controllare, in un’ottica di controlli di terzo livello, anche con verifiche in loco, il regolare andamento dell’operatività e l’evoluzione dei rischi, e, dall’altro, a valutare la completezza, l’adeguatezza, la funzionalità e l’affidabilità della struttura organizzativa e delle altre componenti del sistema dei controlli interni, portando all’attenzione degli organi aziendali i possibili miglioramenti, con particolare riferimento al RAF, al processo di gestione dei rischi nonché agli strumenti di misurazione e controllo degli stessi [pagg.24-25]
La funzione di revisione interna valuta:

  • l’efficacia del processo di definizione del RAF, la coerenza interna dello schema complessivo e la conformità dell’operatività aziendale al RAF e, in caso di strutture finanziarie particolarmente complesse, la conformità di queste alle strategie approvate dagli organi aziendali [pag.25]
  • l’efficacia dei poteri della funzione di controllo dei rischi di fornire pareri preventivi sulla coerenza con il RAF delle operazioni di maggior rilievo; [pag.25]

Ulteriori previsioni normative (allegato C) [pag.52]
Premessa
Le banche definiscono un quadro di riferimento per la determinazione della propensione al rischio (Risk Appetite Framework – “RAF”), che fissi ex ante gli obiettivi di rischio/rendimento che l’intermediario intende raggiungere e i conseguenti limiti operativi.
La formalizzazione, attraverso la definizione del RAF, di obiettivi di rischio coerenti con il massimo rischio assumibile, il business model e gli indirizzi strategici è un elemento essenziale per la determinazione di una politica di governo dei rischi e di un processo di gestione dei rischi improntati ai principi della sana e prudente gestione aziendale.
Le banche, inoltre, coordinano il quadro di riferimento per la determinazione della propensione al rischio con il processo ICAAP (cfr. Titolo III, Capitolo 1) e ne assicurano la corretta attuazione attraverso una organizzazione e un sistema dei controlli interni adeguati.
Indicazioni sul contenuto del RAF
Nel presente paragrafo sono fornite indicazioni minimali per la definizione del Risk Appetite Framerwork, fermo restando che l’effettiva articolazione del RAF va calibrata in base alle caratteristiche dimensionali e di complessità operativa di ciascuna banca.
Le banche assicurano una stretta coerenza e un puntuale raccordo tra: il modello di business, il piano strategico, il RAF (e i parametri utilizzati per definirlo), il processo ICAAP, i budget, l’organizzazione aziendale e il sistema dei controlli interni.
Il RAF, tenuto conto del piano strategico e dei rischi rilevanti ivi individuati, e definito il massimo rischio assumibile, indica le tipologie di rischio che la banca intende assumere; per ciascuna tipologia di rischio, fissa gli obiettivi di rischio, le eventuali soglie di tolleranza e i limiti operativi in condizioni sia di normale operatività, sia di stress. Sono, altresì, indicate le circostanze, inclusi gli esiti degli scenari di stress, al ricorrere delle quali l’assunzione di determinate categorie di rischio va evitata o contenuta rispetto agli obiettivi e ai limiti fissati.
Gli obiettivi di rischio, le soglie di tolleranza e i limiti di rischio sono, di norma, declinati in termini di:
a) misure espressive del capitale a rischio o capitale economico (VaR, expected shortfall, ecc);
b) adeguatezza patrimoniale;
c) liquidità.
Con riferimento ai rischi quantificabili, la declinazione degli elementi costituenti del RAF avviene attraverso l’utilizzo di opportuni parametri quantitativi e qualitativi, calibrati in funzione del principio di proporzionalità; a tal fine, le banche possono fare riferimento alle metodologie di misurazione dei rischi utilizzate ai fini della valutazione aziendale dell’adeguatezza patrimoniale (ICAAP) (cfr. Titolo III, Capitolo 1, Sezione II).
Con riferimento ai rischi difficilmente quantificabili (quali, ad es, il rischio strategico, il rischio reputazionale o il rischio di compliance), il RAF fornisce specifiche indicazioni di carattere qualitativo che siano in grado di orientare la definizione e l’aggiornamento dei processi e dei presidi del sistema dei controlli interni.
Nel RAF sono definite le procedure e gli interventi gestionali da attivare nel caso in cui sia necessario ricondurre il livello di rischio entro l’obiettivo o i limiti prestabiliti. In particolare, sono definiti gli interventi gestionali da adottare al raggiungimento della soglia di tolleranza (ove definita). Sono precisate anche le tempistiche e le modalità da seguire per l’aggiornamento del RAF.
Il RAF, infine, precisa i compiti degli organi e di tutte le funzioni aziendali coinvolte nella definizione del processo.
In allegato un esempio di informativa di bilancio sul RAF estratto dal bilancio del Banco Santander