Relazioni

5 - Attività organizzative

5.1 Organizzazione

Sul piano organizzativo e procedurale, nel corso dell’esercizio in rassegna si sono realizzati alcuni interventi soprattutto nel Credito finalizzati ad un presidio ancor più saldo dei relativi rischi.

È stata così aggiornata la regolamentazione interna, nel pieno rispetto non solo, com’è ovvio, della normativa di settore, ma anche della best practice in materia. Gli aggiornamenti hanno riguardato sia la fase di erogazione del credito e dell’utilizzo delle deleghe, sia quella di monitoraggio delle posizioni e di copertura dei rischi.

Oltre al cennato aggiornamento della regolamentazione interna, si è proceduto al potenziamento dell’Ufficio Gestione Crediti, avviando al contempo un processo di riorganizzazione dello stesso con immissione di nuove risorse, sia nell’area del “monitoraggio”, che in quella della “gestione”.

Si è inoltre individuato all’interno dell’Ufficio Fidi di Sede un Responsabile Retail e Privati, in modo da presidiare e governare il comparto con una risorsa specializzata.

Si dà inoltre conto delle attività che seguono.

 

Nuove definizioni di esposizioni deteriorate e/o oggetto di misure di tolleranza – NPE e forbearance
Con riferimento alle modifiche introdotte dalla Banca d’Italia con il 7° aggiornamento alla Circolare 272/08, sono state condotte, in aderenza ai riferimenti metodologici e alle indicazioni operative prodotti nell’ambito delle pertinenti iniziative progettuali, le attività per l’adeguamento alle nuove definizioni di esposizioni deteriorate e/o forborne ai vari livelli nei quali le stesse declinano i propri impatti.

In particolare, è stato definito e applicato il modello metodologico per l’individuazione e il monitoraggio delle esposizioni oggetto di concessioni, sono stati aggiornati le regole di classificazione e valutazione delle esposizioni creditizie e i profili organizzativi e procedurali rilevanti, nonché integrato il sistema di monitoraggio e controllo.

Nell’ambito delle attività condotte si evidenziano:

  • la definizione dei criteri per la verifica dello stato di difficoltà finanziaria del debitore alla data di conferma delle concessioni, nonché dei processi e regole per l’individuazione e il corretto trattamento delle nuove operazioni oggetto di concessioni;
  • l’adeguamento dei profili organizzativi e procedurali del processo del credito e, in particolare, dei processi valutativi (ai diversi livelli ai quali questi vengono espletati) in sede di istruttoria delle misure di rinegoziazione/rifinanziamento, per l’attenta verifica dei requisiti che ne condizionano il riconoscimento quali misure di “forbearance”, nonché per la classificazione (performing/non performing) all’atto della loro rilevazione;
  • la revisione dei processi deliberativi aventi ad oggetto le misure di concessione per i riflessi che la loro riconduzione nel novero delle misure di “forbearance” determina sul piano segnaletico, su quello di bilancio e, più in generale, sull’attività di controllo andamentale di tali esposizioni, funzionale alla verifica delle condizioni per la cessazione dello stato di “forborne”;
  • la revisione dei processi di monitoraggio, dei criteri di classificazione e valutazione, nonché delle politiche aziendali in materia di concessione;
  • l’aggiornamento dei riferimenti di regolamentazione interna per adeguare i profili organizzativi e procedurali del processo del credito;
  • l’adeguamento dei presidi di secondo livello sul controllo andamentale delle esposizioni creditizie.

Disposizioni di Vigilanza per le banche in materia di “Governo societario”
Con l’emanazione del 1° aggiornamento della Circolare Banca d’Italia n. 285/2013, si è data una disciplina organica all’autovalutazione, ora inserita nella Sezione VI delle Disposizioni di vigilanza sul Governo societario delle banche. Una della rilevanti novità presenti nella disciplina è rappresentata dalla formalizzazione in un regolamento interno del citato processo di autovalutazione.

Come noto, la valutazione della qualità della Corporate Governance delle imprese in genere, e delle banche in particolare, costituisce già da tempo un elemento fondamentale del governo societario, prodromico ed indispensabile al conseguimento degli indirizzi strategici.

In particolare, il periodico processo di autovalutazione è finalizzato al conseguimento delle seguenti principali finalità:

  • assicurare una verifica del corretto ed efficace funzionamento degli organi e della loro adeguata composizione;
  • perseguire il miglioramento della governance nell’indirizzo del rispetto sostanziale delle disposizioni sul governo societario e delle finalità che queste intendono realizzare;
  • individuare i principali punti di debolezza, promuoverne la discussione all’interno degli organi e definire le azioni correttive da adottare;
  • rafforzare i rapporti di collaborazione e di fiducia tra i singoli componenti e tra la funzione di supervisione strategica e quella di gestione;
  • incoraggiare la partecipazione attiva dei singoli componenti, assicurando una piena consapevolezza dello specifico ruolo ricoperto da ognuno di essi e delle connesse responsabilità.

In tale prospettiva, gli organi aziendali si sottopongono ad un periodico processo di autovalutazione, sulla base di criteri e modalità confacenti alle caratteristiche della Banca, nonché a quelle proprie dell’organo che procede alla propria valutazione.

In coerenza con i riferimenti citati, la Banca ha definito e adottato il regolamento del processo di autovalutazione, che identifica le modalità e gli strumenti con i quali svolge periodicamente le diverse fasi del processo di autovalutazione. I citati criteri e modalità hanno trovato piena applicazione nel processo di autovalutazione sviluppato nel 2015.

 

Nuovo quadro regolamentare in materia di vigilanza prudenziale –evoluzione dei riferimenti prudenziali
Nell’ambito del processo di integrazione della nuova regolamentazione prudenziale internazionale (cd. Basilea 3) in vigore a partire dal 1° gennaio 2014, si ricorda l’emanazione da parte della Commissione Europea dei Regolamenti attuativi delle norme tecniche di regolamentazione e di attuazione elaborate dalle autorità europee di supervisione (norme di secondo livello) e le connesse disposizioni emanate dalla Banca d’Italia per il recepimento della disciplina comunitaria. Nello specifico, le principali innovazioni introdotte nel corso dell’esercizio hanno riguardato:

  • le disposizioni in materia di operazioni di cartolarizzazione, emendate con il
  • Regolamento Delegato UE n. 625/2014 ed il Regolamento di Esecuzione UE n. 602/2014 e recepite dalla Banca d’Italia con l’8° aggiornamento della Circolare n. 285/2013 “Disposizioni di vigilanza prudenziale per le banche” (nel seguito anche, per brevità, “la Circolare”). Con il medesimo aggiornamento della Circolare sono state altresì recepite le disposizioni in materia di disclosure sulle attività vincolate e non vincolate (asset encumbrance);
  • le disposizioni in materia di requisito di copertura della liquidità (LCR), emanate con il Regolamento Delegato UE n. 61/2015 e recepite dalla Banca d’Italia con il 14° aggiornamento della Circolare;
  • le disposizioni in materia di indice di leva finanziaria (Leverage Ratio), emanate con il Regolamento Delegato UE n. 62/2015 e recepite dalla Banca d’Italia con il predetto 14° aggiornamento della Circolare.

Nel processo di adeguamento alle citate nuove disposizioni, la Banca ha fatto riferimento agli indirizzi interpretativi e alle linee guida applicative elaborate nel contesto delle iniziative e attività progettuali di adeguamento coordinate dalla Categoria.

 

Nuovo quadro regolamentare in materia di vigilanza prudenziale –evoluzione dei riferimenti prudenziali -ICAAP ed informativa al pubblico
L’ICAAP e l’Informativa al Pubblico ex III Pilastro sono stati significativamente impattati dalle novità regolamentari connesse all’attuazione di Basilea 3 e dalle nuove disposizioni di vigilanza in materia di sistema dei controlli interni. Tenuto conto della rilevanza e complessità delle innovazioni in argomento, nell’ambito delle consuete attività propedeutiche allo sviluppo dell’ICAAP e dell’informativa al Pubblico, sono stati integralmente rivisitati:

  • i riferimenti metodologici per:
    • la misurazione/valutazione dei rischi di Primo e di Secondo Pilastro, la conduzione delle prove di stress sui principali rischi assunti, la determinazione del capitale complessivo;
    • l’autovalutazione dell’adeguatezza del capitale in ottica attuale, prospettica ed in ipotesi di stress;
  • lo sviluppo e articolazione del Resoconto ICAAP;
  • i riferimenti metodologici e i supporti per la predisposizione in forma tabellare dell’informativa quantitativa sui rischi richiesta dal III Pilastro; nonché la correlata informativa qualitativa.

 

Nuove disposizioni di vigilanza in materia di sistema dei controlli interni, sistema informativo, continuità operativa
Con riferimento al nuovo quadro regolamentare già introdotto da Banca d’Italia nel luglio 2013, attraverso la pubblicazione delle nuove disposizioni di vigilanza prudenziale in materia di sistema dei controlli interni, sistema informativo e continuità operativa12, la Banca d’Italia ha introdotto ulteriori novità di rilievo provvedendo:

  • a disciplinare i sistemi interni di segnalazione delle violazioni (Whistleblowing), recependo in tal modo le corrispondenti disposizioni della CRD IV che regolamentano gli aspetti di natura procedurale e organizzativa dei sistemi interni di segnalazione delle violazioni che le banche devono adottare per consentire al proprio personale di segnalare gli atti o fatti che possano costituire una violazione delle norme che regolano l’attività bancaria;
  • ad introdurre, nell’ambito del processo di gestione dei rischi e del Risk Appetite Framework, specifici presidi a fronte dei rischi connessi alla quota di attività vincolate delle banche (Asset Encumbrance).

Con particolare riferimento ai sistemi interni di segnalazione delle violazioni, la Banca ha:

  • adottato il pertinente Regolamento interno;
  • nominato il Responsabile dei sistemi interni di segnalazione delle violazioni;
  • individuato la struttura che svolge le attività ricezione, esame e valutazione delle segnalazioni, dandole mandato per effettuare tutti i controlli ritenuti necessari per poter valutare la fondatezza e la rilevanza delle violazioni segnalate;
  • adeguato la disciplina interna in materia di privacy, nonché la relativa modulistica.

Profili ICT e di Continuità Operativa
La Banca opera in regime di full outsourcing, avvalendosi delle attività assicurate dalle strutture Cabel di Empoli.

Ciò premesso, la Banca partecipa alle iniziative progettuali di Cabel che, con riguardo ai Profili ICT e di Continuità Operativa, hanno avuto tra i principali obiettivi la declinazione delle ricadute applicative e lo sviluppo di riferimenti metodologici e standard documentali a supporto della realizzazione dei principali interventi di adeguamento a copertura delle non conformità identificate durante la fase di autovalutazione (gap analysis) richiesta dalla Banca d’Italia.

In conformità con i riferimenti metodologici e operativi definiti nel progetto Cabel, all’inizio dell’anno la Banca ha adottato i seguenti documenti:

  • Policy di Sicurezza Informatica;
  • Procedura di gestione dei cambiamenti;
  • Procedura di gestione degli incidenti di sicurezza informatica;
  • Policy sulla sicurezza dei pagamenti via Internet;
  • Policy di Metodologia di analisi del rischio informatico;
  • Standard di Data Governance;
  • Regolamenti della Funzione ICT e della Funzione di Sicurezza Informatica.

La Banca ha inoltre proceduto alla nomina dei responsabili delle Funzioni ICT e di Sicurezza Informatica, dell’Utente Responsabile e del/dei Data Owner.

Sono stati, infine, assegnati alle pertinenti funzioni organizzative i compiti necessari affinché divenissero operativi i ruoli e i contenuti previsti nelle politiche e nei nuovi regolamenti adottati per la funzione ICT e la funzione di sicurezza informatica, nonché i flussi informativi definiti.

Nel corso dell’anno sono proseguite le attività progettuali con riferimento ai seguenti principali riferimenti:

  • gestione del rischio informatico, con riferimento alla messa in opera della metodologia di analisi del rischio (incardinata nella policy di “Metodologia di analisi del rischio informatico” e nel modello del processo di gestione del rischio IT adottati) ed esecuzione del primo assessment; sono state condotte, inoltre, le attività per l'implementazione del processo di gestione del rischio informatico, la definizione della propensione al rischio informatico; l'integrazione del rischio informatico all'interno del processo di controllo dei rischi operativi della Banca;
  • sistema di gestione dei dati, con riferimento alla predisposizione della roadmap degli interventi di adeguamento alle disposizioni in tema “sistema di gestione dei dati”) coerente con lo “Standard di Data Governance” adottato, che descrive il modello organizzativo e metodologico per garantire - a tendere - la corretta implementazione di un sistema di gestione dei dati. In particolare, vi sono declinati gli obiettivi del modello di Data Governance nelle differenti aree di intervento (Data Quality, Data Usage, Data Management, Data Architecture) finalizzati a garantire nel continuo integrità, completezza e correttezza dei dati, nonché la verificabilità e accountability delle operazioni registrate. Sono inoltre evidenziati gli aspetti organizzativi (anche con la definizione dei ruoli e responsabilità di “Data Owner” e “System Owner”) e di processo associati al modello, nonché le modalità di controllo applicate al fine di verificare la robustezza e la qualità dei dati nel loro complesso.

Con riferimento al primo punto, come noto, l’analisi del rischio informatico è una delle tematiche più rilevanti introdotte dalla normativa che vede tale processo come uno strumento a garanzia dell’efficacia e dell’efficienza delle misure di protezione delle risorse ICT in quanto permette di graduare le misure di mitigazione nei vari ambienti in funzione del profilo di rischio della Banca.

Le principali novità introdotte con riferimento al processo di analisi del rischio informatico riguardano:

  • l’adozione di una metodologia di analisi del rischio informatico, che descrive anche il processo di gestione dello stesso;
  • la classificazione delle risorse informatiche componenti il sistema informativo sulla base del rischio potenziale cui sono esposte;
  • la definizione delle modalità e dei criteri per la valutazione del rischio residuo;
  • l’integrazione del rischio informatico all’interno del framework dei rischi operativi, reputazionali e strategici della Banca;
  • la predisposizione annuale di un rapporto sintetico sulla situazione del rischio informatico che dovrà essere sottoposto all’organo con funzione di supervisione strategica.

Con riferimento al secondo punto, le attività di adeguamento sono tuttora in corso, in particolare con riguardo all’individuazione delle soluzioni metodologiche e applicative ritenute più idonee ad assicurare l’implementazione dei principi e modelli identificati nello standard di data governance.