Sistema di controllo interno e gestione dei rischi

Il sistema di controllo interno comprende le regole, procedure e strutture organizzative che mirano ad assicurare il rispetto delle strategie aziendali, l’efficacia ed efficienza dei processi e la conformità delle operazioni con la normativa e con la regolamentazione aziendale.

Il sistema di controllo interno

Il sistema di controllo interno riveste un ruolo centrale nell’organizzazione di Banca Ifis. Rappresenta un elemento fondamentale di presidio dei rischi aziendali, e favorisce la diffusione di una corretta cultura del rischio, della legalità e dei valori aziendali.

Il sistema di controllo interno è costituito dall’insieme delle regole, funzioni, strutture, risorse, processi e procedure che mirano ad assicurare, nel rispetto della sana e prudente gestione, le finalità legate a:

  • L’attuazione delle strategie e delle politiche aziendali;
  • Il contenimento del rischio entro i limiti indicati nel quadro di riferimento per la determinazione della propensione al rischio del Gruppo (Risk Appetite Framework – “RAF”);
  • La salvaguardia del valore delle attività e la protezione dalle perdite;
  • L’efficacia e l’efficienza dei processi aziendali;
  • L’affidabilità e la sicurezza delle informazioni aziendali e delle procedure informatiche;
  • La prevenzione del rischio che il gruppo sia coinvolto, anche involontariamente, in attività illecite (con particolare riferimento a quelle connesse con il riciclaggio, l’usura e il finanziamento al terrorismo);
  • La conformità delle operazioni con la legge e la normativa di vigilanza, nonché con le politiche, i regolamenti e le procedure interne.

Ruolo degli organi societari:

  • Il Consiglio di Amministrazione approva il documento delle “Linee di indirizzo di Gruppo sul Sistema dei Controlli interni”, aggiornato per l’ultima volta nel settembre 2018. Verifica che le linee di indirizzo siano coerenti con gli indirizzi strategici e la propensione al rischio stabiliti, e che siano in grado di cogliere l’evoluzione dei rischi aziendali e l’interazione tra gli stessi. Approva il Risk Appetite Framework e le politiche di gestione del rischio;
  • Il Comitato Controllo e Rischi ha il compito di supportare, con un’adeguata attività istruttoria, le valutazioni e le decisioni del Consiglio di Amministrazione relative al sistema di controllo interno e di gestione dei rischi;
  • Il Collegio sindacale svolge un ruolo fondamentale di vigilanza sull’adeguatezza e funzionalità del sistema di controllo interno;
  • L’Amministratore Delegato è l’amministratore incaricato di sovrintendere alla funzionalità del sistema di controllo interno e di gestione dei rischi.

Il corretto funzionamento del sistema di controllo interno si basa sulla proficua interazione fra gli organi aziendali, i soggetti incaricati della revisione legale dei conti e le funzioni di controllo.

In particolare, il Comitato Controllo e Rischi e il Collegio Sindacale interagiscono frequentemente nel corso delle proprie riunioni e, all’occorrenza, con l’Amministratore Delegato, il Dirigente preposto alla redazione dei documenti contabili e societari, la Società di revisione, il Chief Risk Officer, il Responsabile della Compliance e la Responsabile dell’Antiriciclaggio. Interagiscono inoltre in via sistematica con il Responsabile dell’Internal Audit, che di norma assiste alle riunioni di entrambi gli organi.

Tutte le attività aziendali sono oggetto di controlli, articolati su tre livelli:

  • Controlli di linea (primo livello): aree di business, owner dei diversi processi e attività;
  • Controlli di secondo livello: funzioni aziendali di Risk Management, Compliance e Antiriciclaggio;
  • Controlli di terzo livello: Internal Audit.

I responsabili delle unità organizzative di controllo interagiscono, coordinandosi e collaborando, al fine di evitare sovrapposizioni, sviluppare sinergie e ottimizzare la collaborazione.

Tassonomia dei Rischi

Banca Ifis ha definito una Tassonomia dei Rischi, che descrive le logiche seguite nell’identificazione dei rischi attuali e/o potenziali a cui il Gruppo potrebbe essere esposto nel conseguire i propri obiettivi strategici e, per ciascuna tipologia, gli strumenti di prevenzione e mitigazione previsti.

L’individuazione dei rischi e l’aggiornamento periodico della Tassonomia dei Rischi sono frutto di un lavoro congiunto delle funzioni di controllo di secondo livello (Risk Management, Compliance, Antiriciclaggio) e di terzo livello (Internal Audit), che si riuniscono annualmente ed esaminano, sulla base dei risultati della gestione dei rischi dell’anno precedente, l’eventuale introduzione di nuovi eventi di rischio e/o una variazione nella valutazione dei rischi potenziali.

Risk Management

Il Risk Management identifica i rischi ai quali la Capogruppo e le società del Gruppo sono esposte, e provvede alla misurazione e al monitoraggio periodico di questi rischi attraverso specifici indicatori, pianificando le eventuali azioni di mitigazione per i rischi rilevanti. L’obiettivo è di garantire una visione olistica e integrata dei rischi cui il Gruppo è esposto, assicurando un’adeguata informativa agli organi di governo.

La struttura complessiva di governo e gestione dei rischi a livello di Gruppo è disciplinata nel Risk Appetite Framework.

Compliance

Le attività di controllo effettuate dalla funzione Compliance, individuate sulla base della pianificazione approvata dal Consiglio di Amministrazione, mirano a verificare l’efficacia delle misure organizzative richieste, proposte e attuate ai fini della gestione del rischio di non conformità.

Gli esiti dei controlli sono formalizzati in relazioni che vengono condivise con le strutture aziendali competenti, alle quali è richiesto di fornire riscontro sulle azioni di rimedio individuate e sulla tempistica di realizzazione.

Antiriciclaggio

Una specifica funzione aziendale di Antiriciclaggio effettua controlli sistematici di secondo livello in relazione al rischio di riciclaggio e di finanziamento del terrorismo, volti a verificare la corretta applicazione delle procedure ai processi operativi.

Internal Audit

L’attività di revisione condotta dalla funzione Internal Audit è trasversale a tutti i processi e consiste nel controllo periodico della corretta applicazione di tutte le politiche, procedure e prassi operative vigenti nella Banca, al fine di individuare eventuali andamenti anomali o violazioni della regolamentazione interna e di valutare la funzionalità del sistema dei controlli interni nel suo complesso.

Internal Audit opera sulla base della pianificazione approvata dal Consiglio di Amministrazione oltre a effettuare interventi non pianificati in funzione di specifiche necessità. Gli esiti degli audit vengono condivisi con l’unità organizzativa di riferimento e con le funzioni di controllo di secondo livello, e inviati al Collegio Sindacale e al Comitato Controllo e Rischi.

Rischio di credito

In considerazione delle particolari attività svolte dalle società del Gruppo, il rischio di credito configura l’aspetto più rilevante della rischiosità complessiva assunta. Il mantenimento di un’efficace gestione del rischio di credito costituisce un obiettivo strategico per il Gruppo ed è perseguito adottando strumenti e processi integrati al fine di assicurare una corretta gestione del credito in tutte le sue fasi (istruttoria, concessione, monitoraggio e gestione, intervento su crediti problematici).

Il rischio di credito è presidiato nel continuo con l’ausilio di procedure e strumenti che consentono una tempestiva individuazione delle posizioni che presentano particolari anomalie. Il Gruppo Banca Ifis nel tempo si è dotato di strumenti e procedure che consentono di valutare e monitorare il rischio in modo specifico per ciascuna tipologia di clientela e di prodotto.

Il Gruppo Banca Ifis pone particolare attenzione alla concentrazione del rischio di credito con riferimento a tutte le società del Gruppo, sia a livello individuale che consolidato. Il Consiglio di Amministrazione di Banca Ifis ha dato mandato all’Alta Direzione di agire in funzione di un contenimento dei grandi rischi. In linea con le indicazioni del Consiglio, sono sottoposti a monitoraggio in via sistematica anche le posizioni a rischio che impegnano il gruppo in misura rilevante.

Tecniche di mitigazione del rischio di credito

Rientrano nell’ambito delle tecniche di mitigazione del rischio di credito quegli strumenti che contribuiscono a ridurre la perdita che il Gruppo andrebbe a sopportare in caso di default della controparte; nello specifico, ci si riferisce alle garanzie ricevute dalla clientela, sia di tipo reale sia personale, e a eventuali contratti che possono determinare una riduzione del rischio di credito.

In linea generale, nell’ambito del processo di concessione e gestione del credito, per talune tipologie di affidamenti, viene incentivato il rilascio da parte della clientela di idonee garanzie atte a ridurne la rischiosità. Esse possono essere rappresentate da garanzie reali che gravano su beni, quali ad esempio i pegni su attività finanziarie, le ipoteche su immobili (residenziali/non residenziali) e/o da garanzie personali (tipicamente le fidejussioni) che gravano su un soggetto terzo ove la persona (fisica o giuridica) si costituisce garante della posizione debitoria del cliente in caso di insolvenza.

La verifica nel continuo della qualità e adeguatezza delle procedure di valutazione delle garanzie viene svolta dalla funzione di Risk Management della Banca, con l’obiettivo di presidiare, in via accentrata, il processo di valutazione e sorveglianza delle garanzie acquisite sul portafoglio crediti del Gruppo Banca Ifis. Per una maggiore efficacia operativa, tali processi sono effettuati da una unità organizzativa dedicata posta alle dirette dipendenze del Chief Risk Officer della Banca.

Per approfondire, si rimanda alle Relazioni e bilancio consolidato 2019.

 

Rischio di mercato

Rischio di tasso di interesse e rischio di prezzo – portafoglio di negoziazione di vigilanza

Le linee guida sull’assunzione e sul monitoraggio del rischio di mercato sono declinate a livello di Gruppo nella “Politica di Gruppo per la gestione dei Rischi di Mercato”, in cui sono state altresì indicate, ai fini di una più rigorosa e dettagliata rappresentazione delle attività di processo, le metriche di misurazione e monitoraggio del rischio in argomento.

In particolare, la misurazione e valutazione dei rischi di mercato si basa sulle diverse caratteristiche (in termini di orizzonte temporale, strumenti di investimento, ecc.) delle strategie d’investimento del Portafoglio di Proprietà di Banca Ifis, coerentemente con quanto delineato nel documento “Politica di gestione del Portafoglio di Proprietà di Banca Ifis”, in cui sono definite le strategie che si intendono seguire in termini di struttura dei portafogli, strumenti oggetto di operatività e attività in dettaglio.

Rischio di tasso di interesse e rischio di prezzo – portafoglio bancario

L’assunzione di rischi di tasso d’interesse significativi è in linea di principio estranea alla gestione del Gruppo. In termini di composizione dello Stato Patrimoniale e conseguenti fonti generatrici del rischio di tasso, lato passività la forma tecnica di provvista prevalente continua a essere costituita dal conto di deposito online “Rendimax Conto Deposito”. I depositi della clientela sui prodotti “Rendimax Conto Deposito” e “Rendimax Conto Corrente” sono a tasso fisso per la componente vincolata, e a tasso variabile non indicizzato, rivedibile unilateralmente da parte del Gruppo nel rispetto delle norme e dei contratti, per i depositi liberi a vista e a chiamata. Le ulteriori componenti principali di provvista riguardano raccolta obbligazionaria principalmente a tasso fisso, un’operazione di autocartolarizzazione a tasso variabile e prestiti con l’Eurosistema (TLTRO).

Relativamente all’attivo gli impieghi alla clientela rimangono prevalentemente a tasso variabile, sia con riguardo alla componente di credito commerciale e leasing che di finanziamenti corporate.

Nell’ambito dell’operatività in crediti di difficile esigibilità (svolta dalle controllate Ifis Npl S.p.A. e Ifis Npl Servicing S.p.A.), caratterizzata da un modello di business focalizzato sull’acquisto di crediti a valori inferiori rispetto al nominale, rileva un potenziale rischio di tasso d’interesse connesso all’incertezza sui tempi di incasso.

Al 31 dicembre 2019 il portafoglio titoli obbligazionari complessivo è composto principalmente da titoli governativi a tasso fisso e indicizzati al tasso d’inflazione. La duration media di tale portafoglio è pari a circa 2,9 anni.

La funzione aziendale preposta a garantire la gestione del rischio di tasso è la Direzione Centrale Capital Markets che, in linea con la propensione al rischio stabilito, definisce le azioni necessarie al perseguimento dello stesso. Alla funzione di Risk Management spetta il compito di proporre la propensione al rischio, individuare gli indicatori di rischio più opportuni e monitorarne l’andamento delle masse attive e passive in relazione ai limiti prefissati. L’Alta Direzione propone annualmente al Consiglio della Banca le politiche di impiego e raccolta e di gestione del rischio di tasso, nonché suggerisce in corso d’anno gli eventuali opportuni interventi per assicurare lo svolgimento dell’attività in coerenza con le politiche di rischio approvate dalla Banca.

La posizione di rischio di tasso è oggetto di periodico reporting al Consiglio di Amministrazione della Banca nell’ambito del Tableau de Bord trimestrale predisposto dalla funzione Risk Management per i vertici aziendali.

Per approfondire, si rimanda alle Relazioni e bilancio consolidato 2019.

 

Rischio di cambio

L’assunzione del rischio di cambio rappresenta attualmente un’operatività estranea alle politiche del Gruppo. Le operazioni in divisa di Banca Ifis si sostanziano principalmente in operazioni di incasso e pagamento correlate alla tipica attività di factoring. In tale ottica le anticipazioni in divisa concesse alla clientela sono generalmente coperte da depositi e/o finanziamenti acquisiti da Banche espressi nella stessa divisa eliminando sostanzialmente il rischio di perdite connesso all’oscillazione dei cambi. In taluni casi la copertura viene effettuata utilizzando strumenti sintetici.

Per approfondire, si rimanda alle Relazioni e bilancio consolidato 2019.

 

Rischio di liquidità

Il rischio di liquidità è rappresentato dalla possibilità che il Gruppo non riesca a mantenere i propri impegni di pagamento a causa dell’incapacità di reperire fondi o dell’incapacità di cedere attività sul mercato per far fronte a esigenze di liquidità. Rappresenta altresì rischio di liquidità l’incapacità di reperire nuove risorse finanziarie adeguate, in termini di ammontare e di costo, rispetto alle necessità/opportunità operative, che costringa il Gruppo a rallentare o fermare lo sviluppo dell’attività, o sostenere costi di raccolta eccessivi per fronteggiare i propri impegni, con impatti negativi significativi sulla marginalità della propria attività.

Nel corso del 2019 la composizione della provvista del Gruppo è rimasta sostanzialmente invariata rispetto a fine 2018.

Durante il 2019 si è rilevato, rispetto ai valori di fine 2018, un significativo incremento delle riserve di liquidità disponibili; l’ammontare di tali riserve di liquidità di elevata qualità (principalmente detenute dal Gruppo presso il conto corrente con Banca d’Italia e titoli governativi facenti parte della riserva infra-giornaliera) consente di soddisfare i requisiti normativi (LCR e NSFR) e interni relativi alla prudente gestione del rischio di liquidità.

Il Gruppo è costantemente impegnato nell’armonico sviluppo delle proprie risorse finanziarie, sia dal punto di vista dimensionale che dei costi, al fine di disporre di riserve di liquidità disponibili adeguate ai volumi di attività attuali e prospettici.

Le funzioni aziendali della Capogruppo preposte a garantire la corretta applicazione della politica di liquidità fanno riferimento alla Direzione Centrale Capital Markets, in riferimento alla gestione diretta della liquidità, alla funzione di Risk Management, cui spetta il compito di proporre la propensione al rischio, individuare gli indicatori di rischio più opportuni e monitorarne l’andamento in relazione ai limiti prefissati, e supportare l’attività dell’Alta Direzione cui spetta il compito, con il supporto della Direzione Centrale Capital Markets, di proporre annualmente al Consiglio di Amministrazione le politiche di funding e di gestione del rischio liquidità e suggerire in corso d’anno gli eventuali opportuni interventi per assicurare lo svolgimento dell’attività in piena coerenza con le politiche di rischio approvate.

Per approfondire, si rimanda alle Relazioni e bilancio consolidato 2019.

 

Rischi operativi

Il rischio operativo è definito come il rischio di subire perdite derivanti dall’inadeguatezza o dalla disfunzione di processi, risorse umane e sistemi interni, oppure da eventi esogeni. Non rientrano in tale definizione il rischio strategico e il rischio di reputazione, mentre risultano ricompresi il rischio legale (ossia il rischio di perdite derivanti da violazioni di leggi o regolamenti, da responsabilità contrattuale o extra-contrattuale ovvero da altre controversie), il rischio informatico, il rischio di mancata conformità, il rischio di frode, il rischio di riciclaggio e finanziamento al terrorismo nonché il rischio di errata informativa finanziaria.

Le fonti principali di manifestazione del rischio operativo sono rappresentate da errori operativi, inefficienza o inadeguatezza dei processi operativi e dei relativi controlli/presidi, frodi interne ed esterne, mancata conformità della regolamentazione interna alle norme esterne, esternalizzazione di funzioni aziendali, livello qualitativo della sicurezza fisica e logica, inadeguatezza o indisponibilità dei sistemi hardware e software, crescente ricorso all’automazione, sottodimensionamento degli organici rispetto al livello dimensionale dell’operatività e infine inadeguatezza delle politiche di gestione e formazione del personale.

Il Gruppo Banca Ifis ha da tempo definito – coerentemente alle apposite prescrizioni normative e alle best practice di settore – il quadro complessivo per la gestione del rischio operativo, rappresentato da un insieme di regole, procedure, risorse (umane, tecnologiche e organizzative) e attività di controllo volte a identificare, valutare, monitorare, prevenire o attenuare nonché comunicare ai livelli gerarchici appropriati tutti i rischi operativi assunti o assumibili nelle diverse unità organizzative. I processi chiave per una corretta gestione del rischio operativo sono peraltro rappresentati dalla raccolta dei dati di perdita operativa (Loss Data Collection) e dall’autovalutazione prospettica dell’esposizione al rischio operativo (Risk Self Assessment).

Il processo di raccolta strutturata e censimento delle perdite derivanti da eventi di rischio operativo risulta consolidato, grazie anche a una costante e continua attività, da parte del Risk Management, di diffusione tra le strutture aziendali di una cultura orientata alla gestione proattiva dei rischi operativi e quindi di sensibilizzazione al correlato processo di Loss Data Collection.

Si segnala che nel corso dell’ultimo trimestre 2019 è stata avviata la campagna periodica di Risk Self Assessment che ha incluso il perimetro societario in essere a fine anno. A seguito della campagna, che si concluderà entro il primo semestre 2020, verranno identificate le principali criticità operative e di conseguenza verranno definiti e avviati specifici interventi di mitigazione volti a rafforzare ulteriormente i presidi a fronte dei rischi operativi.

Oltre alle sopra citate attività, il framework di Gruppo per la gestione del rischio operativo prevede la definizione di un set di indicatori di rischio in grado di evidenziare tempestivamente l’insorgenza di vulnerabilità nella esposizione della Banca e delle sue controllate ai rischi operativi. Tali indicatori vengono monitorati nel continuo e illustrati all’interno di report periodici condivisi con le strutture e gli organi di competenza: al superamento di determinate soglie o in caso di andamenti anomali, si attivano specifici processi di escalation volti a definire e implementare appropriati interventi di mitigazione.

Per approfondire, si rimanda alle Relazioni e bilancio consolidato 2019.