Sistema di controllo interno e gestione dei rischi

Il sistema di controllo interno comprende le regole, procedure e strutture organizzative che mirano ad assicurare il rispetto delle strategie aziendali, l’efficacia ed efficienza dei processi e la conformità delle operazioni con la normativa e con la regolamentazione aziendale.

Il sistema di controllo interno

Il sistema di controllo interno riveste un ruolo centrale nell’organizzazione di Banca Ifis. Rappresenta un elemento fondamentale di presidio dei rischi aziendali, e favorisce la diffusione di una corretta cultura del rischio, della legalità e dei valori aziendali. Esso rappresenta un elemento fondamentale di conoscenza per gli organi aziendali in modo da:
  • Garantire piena consapevolezza della situazione ed efficace presidio dei rischi aziendali e delle loro interrelazioni;
  • Orientare i mutamenti delle linee strategiche e delle politiche aziendali;
  • Adattare in modo coerente il contesto organizzativo;
  • Presidiare la funzionalità dei sistemi gestionali e il rispetto degli istituti di vigilanza prudenziale;
  • Favorire la diffusione di una corretta cultura dei rischi, della legalità e dei valori aziendali.
Banca Ifis, conformemente a quanto disposto dalla regolamentazione di vigilanza e dalla normativa relativa ai servizi di investimento prestati, persegue i seguenti principi generali di organizzazione:
  • I processi decisionali e l’affidamento di funzioni al personale sono formalizzati e consentono l’univoca individuazione di compiti e responsabilità e sono idonei a prevenire i conflitti di interessi. In tale ambito, viene assicurata la necessaria separatezza tra le funzioni operative e quelle di controllo;
  • Le politiche e le procedure di gestione delle risorse umane assicurano che il personale sia provvisto delle competenze e della professionalità necessarie per l’esercizio delle responsabilità a esso attribuite;
  • Il processo di gestione dei rischi è efficacemente integrato. Infatti: esiste un linguaggio comune nella gestione dei rischi a tutti i livelli; i metodi e gli strumenti di rilevazione e valutazione dei rischi adottati sono tra di loro coerenti; sono definiti modelli di reportistica dei rischi, al fine di favorirne la comprensione e la corretta valutazione, anche in una logica integrata; sono individuati momenti di coordinamento ai fini delle rispettive attività; sono previsti flussi informativi su base continuativa tra le diverse funzioni in relazione ai risultati delle attività di controllo di propria pertinenza; sono condivise le azioni di rimedio individuate;
  • I processi e le metodologie di valutazione, anche a fini contabili, delle attività / passività aziendali sono affidabili e integrati con il processo di gestione del rischio. A tal fine: la definizione e la convalida delle metodologie di valutazione sono affidate a unità differenti; le metodologie di valutazione sono robuste, testate sotto scenari di stress e non fanno affidamento eccessivo su un’unica fonte informativa; la valutazione di uno strumento finanziario è affidata a un’unità indipendente rispetto a quella che negozia detto strumento;
  • Le procedure operative e di controllo minimizzano i rischi legati a frodi o infedeltà dei dipendenti, prevengono o, laddove non sia possibile, attenuano i potenziali conflitti di interesse e, inoltre, prevengono il coinvolgimento, anche inconsapevole, in fatti di riciclaggio, usura o di finanziamento al terrorismo;
  • Il sistema informativo rispetta i requisiti previsti dalla disciplina di vigilanza, tempo per tempo vigente;
  • I livelli di continuità operativa garantiti sono adeguati e conformi a quanto stabilito dalla normativa di vigilanza, tempo per tempo vigente.
Ruolo degli organi societari:
  • Il Consiglio di Amministrazione approva il documento delle “Linee di indirizzo di Gruppo sul Sistema dei Controlli interni”, aggiornato per l’ultima volta nel dicembre 2020. Verifica che le linee di indirizzo siano coerenti con gli indirizzi strategici e la propensione al rischio stabiliti, e che siano in grado di cogliere l’evoluzione dei rischi aziendali e l’interazione tra gli stessi. Approva il Risk Appetite Framework e le politiche di gestione del rischio;
  • Il Comitato Controllo e Rischi ha il compito di supportare, con un’adeguata attività istruttoria, le valutazioni e le decisioni del Consiglio di Amministrazione relative al sistema di controllo interno e di gestione dei rischi;
  • Il Collegio sindacale svolge un ruolo fondamentale di vigilanza sull’adeguatezza e funzionalità del sistema di controllo interno;
  • L’Amministratore Delegato è l’amministratore incaricato di sovrintendere alla funzionalità del sistema di controllo interno e di gestione dei rischi.
Il corretto funzionamento del sistema dei controlli interni si basa sulla proficua interazione fra gli organi aziendali, gli eventuali comitati costituiti all’interno di questi ultimi, i soggetti incaricati della revisione legale dei conti e le funzioni di controllo. In particolare, il Comitato Controllo e Rischi e il Collegio Sindacale interagiscono frequentemente nel corso delle proprie riunioni e, all’occorrenza, con l’Amministratore Delegato, il Dirigente preposto alla redazione dei documenti contabili e societari, la Società di revisione, il Chief Risk Officer, il Responsabile della Compliance e la Responsabile dell’Antiriciclaggio. Interagiscono inoltre in via sistematica con il Responsabile dell’Internal Audit, che di norma assiste alle riunioni di entrambi gli organi.
Tutte le attività aziendali sono oggetto di controlli, articolati su tre livelli:
  • Controlli di linea (primo livello): aree di business, owner dei diversi processi e attività;
  • Controlli di secondo livello: funzioni aziendali di Risk Management, Compliance e Antiriciclaggio;
  • Controlli di terzo livello: Internal Audit.
I responsabili delle unità organizzative di controllo interagiscono, coordinandosi e collaborando, al fine di evitare sovrapposizioni, sviluppare sinergie e ottimizzare la collaborazione.
Tassonomia dei Rischi Banca Ifis ha definito una Tassonomia dei Rischi, che descrive le logiche seguite nell’identificazione dei rischi attuali e/o potenziali a cui il Gruppo potrebbe essere esposto nel conseguire i propri obiettivi strategici e, per ciascuna tipologia, gli strumenti di prevenzione e mitigazione previsti. L’individuazione dei rischi e l’aggiornamento periodico della Tassonomia dei Rischi sono frutto di un lavoro congiunto delle Funzioni di Controllo (Risk Management, Compliance, Antiriciclaggio, Internal Audit) e del Dirigente Preposto ed è approvato, su proposta dell’Amministratore Delegato, dal Consiglio di Amministrazione della Capogruppo, sentito il Comitato Controllo e Rischi. L’Amministratore Delegato segnala al Consiglio di Amministrazione della Capogruppo, su indicazione delle Funzioni di Controllo, del Dirigente Preposto, nonché dell’Organizzazione, eventuali esigenze di aggiornamento che si rendano necessarie per modifiche al contesto normativo, strategico ed organizzativo.
Risk Management Il Risk Management identifica i rischi ai quali la Capogruppo e le società del Gruppo sono esposte, e provvede alla misurazione e al monitoraggio periodico di questi rischi attraverso specifici indicatori, pianificando le eventuali azioni di mitigazione per i rischi rilevanti. L’obiettivo è di garantire una visione olistica e integrata dei rischi cui il Gruppo è esposto, assicurando un’adeguata informativa agli organi di governo. La struttura complessiva di governo e gestione dei rischi a livello di Gruppo è disciplinata nel Risk Appetite Framework.
Compliance Le attività di controllo effettuate dalla funzione Compliance, individuate sulla base della pianificazione approvata dal Consiglio di Amministrazione, mirano a verificare l’efficacia delle misure organizzative richieste, proposte e attuate ai fini della gestione del rischio di non conformità. Gli esiti dei controlli sono formalizzati in relazioni che vengono condivise con le strutture aziendali competenti, alle quali è richiesto di fornire riscontro sulle azioni di rimedio individuate e sulla tempistica di realizzazione.
Antiriciclaggio Una specifica funzione aziendale di Antiriciclaggio effettua controlli sistematici di secondo livello in relazione al rischio di riciclaggio e di finanziamento del terrorismo, volti a verificare la corretta applicazione delle procedure ai processi operativi.
Internal Audit L’attività di revisione condotta dalla funzione Internal Audit è trasversale a tutti i processi e consiste nel controllo periodico della corretta applicazione di tutte le politiche, procedure e prassi operative vigenti nella Banca, al fine di individuare eventuali andamenti anomali o violazioni della regolamentazione interna e di valutare la funzionalità del sistema dei controlli interni nel suo complesso. Internal Audit opera sulla base della pianificazione approvata dal Consiglio di Amministrazione oltre a effettuare interventi non pianificati in funzione di specifiche necessità. Gli esiti degli audit vengono condivisi con l’unità organizzativa di riferimento e con le funzioni di controllo di secondo livello, e inviati al Collegio Sindacale e al Comitato Controllo e Rischi.
Rischio di credito In considerazione delle particolari attività svolte dalle società del Gruppo, il rischio di credito configura l’aspetto più rilevante della rischiosità complessiva assunta. Il mantenimento di un’efficace gestione del rischio di credito costituisce un obiettivo strategico per il Gruppo Banca Ifis ed è perseguito adottando strumenti e processi integrati al fine di assicurare una corretta gestione del credito in tutte le sue fasi (istruttoria, concessione, monitoraggio e gestione, intervento su crediti problematici). Il rischio di credito è presidiato nel continuo con l’ausilio di procedure e strumenti che consentono una tempestiva individuazione delle posizioni che presentano particolari anomalie. Il Gruppo Banca Ifis nel tempo si è dotato di strumenti e procedure che consentono di valutare e monitorare il rischio in modo specifico per ciascuna tipologia di clientela e di prodotto. Il Gruppo Banca Ifis pone particolare attenzione alla concentrazione del rischio di credito con riferimento a tutte le società del Gruppo, sia a livello individuale che consolidato. Il Consiglio di Amministrazione di Banca Ifis ha dato mandato all’Alta Direzione di agire in funzione di un contenimento dei grandi rischi. In linea con le indicazioni del Consiglio, sono sottoposti a monitoraggio in via sistematica anche le posizioni a rischio che impegnano il gruppo in misura rilevante. Tecniche di mitigazione del rischio di credito Rientrano nell’ambito delle tecniche di mitigazione del rischio di credito quegli strumenti che contribuiscono a ridurre la perdita che il Gruppo andrebbe a sopportare in caso di default della controparte; nello specifico, ci si riferisce alle garanzie ricevute dalla clientela, sia di tipo reale sia personale, e a eventuali contratti che possono determinare una riduzione del rischio di credito. In linea generale, nell’ambito del processo di concessione e gestione del credito, per talune tipologie di affidamenti, viene incentivato il rilascio da parte della clientela di idonee garanzie atte a ridurne la rischiosità. Esse possono essere rappresentate da garanzie reali che gravano su beni, quali ad esempio i pegni su attività finanziarie, le ipoteche su immobili (residenziali/non residenziali) e/o da garanzie personali (tipicamente le fidejussioni) che gravano su un soggetto terzo ove la persona (fisica o giuridica) si costituisce garante della posizione debitoria del cliente in caso di insolvenza. In particolare:
  • Nell’ambito dell’attività di factoring, qualora la tipologia e/o la qualità del credito ceduto non risultino pienamente soddisfacenti o, più in generale, il cliente cedente non risulti di merito creditizio sufficiente, è prassi consolidata, a maggior tutela del rischio di credito assunto dal Gruppo nei confronti del cliente cedente, acquisire garanzie fideiussorie aggiuntive da parte di soci o amministratori dei clienti cedenti. Per quanto riguarda i debitori ceduti nei rapporti di factoring, ove si ritiene che gli elementi di valutazione disponibili sul debitore ceduto non siano adeguati per una corretta valutazione/assunzione del rischio di credito connesso alla controparte debitrice, o che l’ammontare di rischio proposto superi i limiti individuati nella valutazione della controparte, si acquisisce idonea copertura dal rischio di default del debitore ceduto. La copertura prevalentemente utilizzata su debitori ceduti esteri con operatività pro soluto è realizzata attraverso garanzie rilasciate da factors corrispondenti e/o polizze assicurative sottoscritte con operatori specializzati;
  • In ambito finanziamenti verso imprese, ove possibile, si acquisiscono idonee garanzie del Fondo Centrale di Garanzia o da altre società rientranti nel perimetro pubblico come SACE S.p.A.;
  • In relazione all’operatività Special Situations e Finanza Strutturata, si acquisiscono garanzie in funzione allo standing della controparte, alla durata ed alla tipologia del finanziamento. Tra queste garanzie rientrano oltre alle garanzie ipotecarie, i privilegi su impianti e macchinari, i pegni, le fideiussioni, le assicurazioni del credito ed i depositi collaterali;
  • In relazione all’operatività leasing finanziario, occorre sottolineare che il rischio di credito è attenuato dalla presenza del bene oggetto del leasing. Il locatore ne mantiene la proprietà sino all’esercizio dell’eventuale opzione di acquisto finale, garantendosi un maggior tasso di recupero in caso di insolvenza del cliente;
  • In relazione all’operatività in crediti di difficile esigibilità ed acquisto di crediti fiscali da procedure concorsuali, ed al relativo modello di business, non vengono di norma poste in essere azioni volte ad acquisire copertura a fronte dei rischi creditizi;
  • La cessione del quinto è senza dubbio una forma tecnica poco rischiosa, in considerazione delle particolarità di questo prodotto che prevede obbligatoriamente una copertura assicurativa per il rischio di decesso e/o di perdita di impiego del cliente ed il vincolo, a maggior garanzia del finanziamento, del Trattamento di Fine Rapporto maturato dal cliente.
  • L’operatività di finanziamento alle farmacie prevede un’anticipazione accompagnata da una cessione o da un mandato all’incasso dei crediti.
In linea con quanto stabilito dal Decreto Liquidità (D.L. 8 aprile 2020 n. 23) il Gruppo ha usufruito delle garanzie offerte dal Fondo di Garanzia statale per la tipologia di clientela e finanziamenti previsti dal Decreto, con coperture che possono arrivare fino al 100%. Tale garanzia consente una riduzione degli RWA relativi al rischio di credito, in proporzione alla quota di esposizione coperta dal Fondo. Nell’ambito dei portafogli Npl acquisiti sono incluse posizioni garantite da ipoteche su immobili che presentano una rischiosità inferiore rispetto al portafoglio complessivo acquisito. La determinazione dell’ammontare complessivo degli affidamenti concedibili allo stesso cliente e/o gruppo giuridico ed economico tiene conto di appositi criteri per la ponderazione delle diverse categorie di rischio e delle garanzie. In particolare, al valore di stima delle garanzie reali vengono applicati “scarti” prudenziali, differenziati per tipologia di garanzia. Il Gruppo verifica nel continuo la qualità e l’adeguatezza delle garanzie acquisite sul portafoglio crediti, con presidi di secondo livello effettuati dalla funzione di Risk Management della Capogruppo e svolti in ambito Single File Review. Per approfondire, si rimanda alle Relazioni e bilancio consolidato 2021. Rischio di mercato Rischio di tasso di interesse e rischio di prezzo – portafoglio di negoziazione di vigilanza Rappresenta il rischio di perdita derivante dai movimenti avversi dei prezzi di mercato (corsi azionari, tassi di interesse, tassi di cambio, prezzi di merci, volatilità dei risk factor, e così via) con riferimento al portafoglio di negoziazione ai fini di Vigilanza (rischi di posizione, regolamento e concentrazione) e all’intero bilancio della Banca (rischio di cambio e di posizione su merci). Nel corso del 2021 la strategia complessiva di investimento del portafoglio proprietario del Gruppo, disciplinata nella “Politica di gestione del Portafoglio di Proprietà di Banca Ifis”, ha continuato ad essere caratterizzata, in coerenza con la propensione al rischio formulata dal Consiglio di Amministrazione e declinata nella “Politica di Gruppo per la gestione dei Rischi di Mercato”, da una “stance” conservativa, costituita principalmente da un portafoglio a basso rischio caratterizzato da un’elevata liquidabilità e da una strategia di ritorni costanti nel medio termine. In tale ambito la componente afferente al “portafoglio di negoziazione” da cui si origina il rischio di mercato in oggetto, è risultata marginale sia in termini assoluti di valori di rischio rilevati che rispetto ai limiti stabiliti. Il portafoglio di negoziazione risulta principalmente composto dalle componenti opzionali derivanti principalmente da operazioni di hedging ed enhancement ancillari alla strategia di investimento negli asset facenti parte del “portafoglio bancario” e dal portafoglio di “discretionary trading”, caratterizzato da un’ottica speculativa di breve periodo. Da un punto di vista gestionale interno, in ottica più ampia e in generale relativa all’operatività sui mercati finanziari, viene prudenzialmente monitorato secondo la logica dei rischi di mercato e soggetto a specifici limiti anche il portafoglio bancario, ossia le posizioni postate in HTC&S e contabilizzate come FVOCI, le cui variazioni di valore potrebbero avere impatti significativi sulle riserve e conseguentemente sui valori patrimoniali della Banca. Rischio di tasso di interesse e rischio di prezzo – portafoglio bancario L’assunzione di un significativo rischio di tasso d’interesse è in linea di principio estranea alla gestione del Gruppo. In termini di composizione dello stato patrimoniale con riferimento alla fattispecie di rischio in oggetto, relativamente alla componente passiva, la fonte di provvista prevalente continua ad essere costituita dal conto di deposito online “Rendimax”, i depositi della clientela a tasso fisso per la componente vincolata, e a tasso variabile non indicizzato, rivedibile unilateralmente da parte della Banca nel rispetto delle norme e dei contratti, per i depositi liberi a vista e a chiamata. Le ulteriori componenti principali di provvista riguardano raccolta obbligazionaria principalmente a tasso fisso, operazioni di auto-cartolarizzazione a tasso variabile e i prestiti con l’Eurosistema (c.d. TLTRO). Relativamente all’attivo gli impieghi alla clientela rimangono prevalentemente a tasso variabile, sia con riguardo alla componente di credito commerciale e che di finanziamenti corporate. Nell’ambito dell’operatività in crediti di difficile esigibilità (svolta dalle controllate Ifis Npl Investing S.p.A. e Ifis Npl Servicing S.p.A.), caratterizzata da un modello di business focalizzato sull’acquisto di crediti a valori inferiori rispetto al nominale, rileva un potenziale rischio di tasso d’interesse connesso anche all’incertezza sui tempi di incasso. Al 31 dicembre 2021 il portafoglio titoli obbligazionari complessivo è composto principalmente da titoli governativi, per una percentuale pari a circa l’87%; la modified duration media complessiva è pari a circa 2,5 anni. La funzione aziendale preposta a garantire la gestione del rischio di tasso è la Direzione Centrale Capital Markets, che in linea con l’appetito al rischio stabilito, definisce le azioni necessarie al perseguimento dello stesso. Alla funzione di Risk Management spetta il compito di proporre l’appetito al rischio, individuare gli indicatori di rischio più opportuni e monitorarne l’andamento delle masse attive e passive in relazione ai limiti prefissati. L’Alta Direzione propone annualmente al Consiglio della Banca le politiche di impiego e raccolta e di gestione del rischio di tasso, nonché suggerisce in corso d’anno gli eventuali opportuni interventi per assicurare lo svolgimento dell’attività in coerenza con le politiche di rischio approvate dalla Banca. La posizione di rischio di tasso è oggetto di periodico reporting al Consiglio di Amministrazione della Banca nell’ambito della specifica reportistica mensile predisposta dalla funzione Risk Management per i vertici aziendali. Per approfondire, si rimanda alle Relazioni e bilancio consolidato 2021. Rischio di cambio Il rischio di cambio rappresenta il rischio di subire perdite per effetto di avverse variazioni dei corsi delle divise estere sulle posizioni detenute, indipendentemente dal portafoglio di allocazione (portafoglio di negoziazione a fini di vigilanza e portafoglio bancario). In relazione al rischio di cambio, le operazioni in divisa si sostanziano principalmente:
  • In operazioni poste in essere con la clientela di norma correlate alla tipica attività di factoring e lending, originate sia dalle Business Unit italiane che dalle controllate estere (in Polonia e Romania) per le quali il rischio di cambio viene mitigato sin dall’origine ricorrendo a provvista avente la medesima valuta originaria;
  • In operazioni rientranti nell’attività tipica della Tesoreria per la gestione del mismatching tra gli utilizzi da parte della clientela ed i relativi approvvigionamenti di valuta effettuati sul mercato.
Per approfondire, si rimanda alle Relazioni e bilancio consolidato 2021. Rischio di liquidità Il rischio di liquidità è rappresentato dalla possibilità che il Gruppo non riesca a mantenere i propri impegni di pagamento a causa dell’incapacità di reperire fondi o dell’incapacità di cedere attività sul mercato per far fronte ad esigenze di liquidità. Rappresenta, altresì, rischio di liquidità l’incapacità di reperire nuove risorse finanziarie adeguate, in termini di ammontare e di costo, rispetto alle necessità/opportunità operative, che costringa il Gruppo a rallentare o fermare lo sviluppo dell’attività, o sostenere costi di raccolta eccessivi per fronteggiare i propri impegni, con impatti negativi significativi sulla marginalità della propria attività. Nel corso del 2021, in linea con la strategia definita nel funding plan, il Gruppo ha incrementato la componente di raccolta cartolarizzata, sia collocata direttamente a investitori istituzionali che utilizzata indirettamente come collaterale in operazioni di repo a medio termine con investitori istituzionali. Le altre forme principali di provvista (raccolta da clientela, Eurosistema, emissioni obbligazionarie) sono rimaste sostanzialmente stabili. Al 31 dicembre 2021 le fonti finanziarie sono rappresentate principalmente dal patrimonio, dalla raccolta on-line presso la clientela retail e composta da depositi a vista e vincolati, dai prestiti obbligazionari a medio-lungo termine emessi nell’ambito del programma EMTN, dalla raccolta effettuata presso l’Eurosistema (TLTRO), da operazioni di cartolarizzazione a medio-lungo termine nonché dal canale Abaco presso la Banca d’Italia. Il Gruppo è costantemente impegnato nell’armonico sviluppo delle proprie risorse finanziarie, sia dal punto di vista dimensionale, dell’equilibrio strutturale tra attivo e passivo in termini di durata, che dei costi, al fine di disporre di riserve di liquidità disponibili adeguate ai volumi di attività attuali e prospettici. Le funzioni aziendali della Capogruppo preposte a garantire la corretta applicazione della politica di liquidità fanno riferimento alla Direzione Centrale Capital Markets, in relazione alla gestione diretta e centralizzata della liquidità, alla funzione di Risk Management, che concorre alla definizione delle politiche, dei processi e degli strumenti di identificazione, valutazione, monitoraggio, mitigazione e reporting di Gruppo con riguardo al rischio di liquidità. Il Risk Management verifica, inoltre, il rispetto dei limiti imposti alle varie funzioni aziendali e propone al Consiglio di Amministrazione ed all’Amministratore Delegato iniziative di attenuazione dei rischi. Al Risk Management spetta inoltre il compito di proporre l’appetito al rischio, individuare gli indicatori di rischio più opportuni e monitorarne l’andamento in relazione ai limiti prefissati e supportare l’attività dell’Alta Direzione cui spetta il compito, con il supporto della Direzione Centrale Capital Markets, di proporre annualmente al Consiglio di Amministrazione le politiche di funding e di gestione del rischio liquidità e suggerire in corso d’anno gli eventuali opportuni interventi per assicurare lo svolgimento dell’attività in piena coerenza con le politiche di rischio approvate. Per approfondire, si rimanda alle Relazioni e bilancio consolidato 2021. Impatti derivanti dalla pandemia Covid-19 Nel periodo di maggiore turbolenza dei mercati a seguito della pandemia Covid-19, le riserve di liquidità disponibili e prontamente utilizzabili si sono mantenute ampiamente capienti rispetto alle obbligazioni del Gruppo, rilevando costantemente, per gli indicatori regolamentari LCR e NSFR, valori significativamente superiori alle soglie richieste. Anche in termini di survival period, che considera il verificarsi di un severo scenario di stress combinato, si sono rilevati valori in linea con l’appetito al rischio definito. Relativamente all’evoluzione dei volumi di provvista ascrivibile agli effetti della pandemia nel corso del 2021, la liquidità disponibile si è mantenuta su livelli significativamente superiori ai limiti regolamentari ed interni ed in incremento rispetto al livello medio del 2020. In coerenza con la strategia menzionata in termini di gestione e appetito al rischio, malgrado l’eccezionalità dell’evento pandemico, non sono state rilevate nel corso del 2021 violazioni delle soglie di rischio assegnate internamente. Per approfondire, si rimanda alle Relazioni e bilancio consolidato 2021. Rischi operativi Il rischio operativo è definito come il rischio di subire perdite derivanti dall’inadeguatezza o dalla disfunzione di processi e sistemi informativi, da errori umani o da eventi esterni. Non rientrano in tale definizione il rischio strategico e il rischio di reputazione, mentre risultano ricompresi il rischio legale (ossia il rischio di perdite derivanti da violazioni di leggi o regolamenti, da responsabilità contrattuale o extra-contrattuale ovvero da altre controversie), il rischio informatico, il rischio di mancata conformità, il rischio di frode, il rischio di riciclaggio e finanziamento al terrorismo nonché il rischio di errata informativa finanziaria. I rischi operativi sono presidiati a livello di Capogruppo e delle principali controllate dalla struttura Operational Risk Management collocata nella funzione Risk Management. Le fonti principali di manifestazione del rischio operativo sono rappresentate da errori operativi, inefficienza o inadeguatezza dei processi operativi e dei relativi controlli/presidi, frodi interne ed esterne, mancata conformità della regolamentazione interna alle norme esterne, esternalizzazione di funzioni aziendali, livello qualitativo della sicurezza fisica e logica, inadeguatezza o indisponibilità dei sistemi hardware e software, crescente ricorso all’automazione, sottodimensionamento degli organici rispetto al livello dimensionale dell’operatività e infine inadeguatezza delle politiche di gestione e formazione del personale. Il Gruppo Banca Ifis ha da tempo definito – coerentemente alle apposite prescrizioni normative ed alle best practice di settore – il quadro complessivo per la gestione del rischio operativo, rappresentato da un insieme di regole, procedure, risorse (umane, tecnologiche e organizzative) ed attività di controllo volte a identificare, valutare, monitorare, prevenire o attenuare nonché comunicare ai livelli gerarchici appropriati tutti i rischi operativi assunti o assumibili nelle diverse unità organizzative. I processi chiave per una corretta gestione del rischio operativo sono rappresentati dalla raccolta dei dati di perdita operativa (Loss Data Collection – LDC) e dall’autovalutazione prospettica dell’esposizione al rischio operativo (Risk Self Assessment – RSA) e dall’autovalutazione del grado di esposizione al rischio di modello, ovvero il rischio di incorrere in perdite finanziarie o errate decisioni strategiche derivante da un uso improprio o errato dei risultati e dei report prodotti dai modelli utilizzati (Model Risk Self Assessment). Il processo di raccolta strutturata e censimento delle perdite derivanti da eventi di rischio operativo risulta consolidato, grazie anche a una costante e continua attività, da parte del Risk Management, di diffusione tra le strutture aziendali di una cultura orientata alla gestione proattiva dei rischi operativi e quindi di sensibilizzazione al correlato processo di Loss Data Collection. Si segnala che nel corso del primo semestre 2021 si è conclusa la campagna periodica di Risk Self Assessment avviata nell’ultimo trimestre 2020. A seguito dell’esercizio sono state identificate le principali criticità operative e di conseguenza sono stati definiti ed avviati specifici interventi di mitigazione volti a rafforzare ulteriormente i presidi a fronte dei rischi operativi. Nel medesimo periodo, si è conclusa inoltre la campagna di Model Risk Self Assessment, condotta considerando le unità organizzative in qualità di Model Owner presenti presso la Capogruppo e presso la Controllata Ifis Npl Investing, in quanto la responsabilità dello sviluppo e della manutenzione dei modelli risulta attribuita al Risk Management di Capogruppo. A seguito della campagna, sono stati individuati i modelli maggiormente esposti al rischio e segnalati alla funzione Convalida per la definizione di opportune azioni di mitigazione. Il framework di Gruppo per la gestione del rischio operativo prevede inoltre la definizione di un set di indicatori di rischio in grado di evidenziare tempestivamente l’insorgenza di vulnerabilità nella esposizione della Banca e delle sue controllate ai rischi operativi. Tali indicatori vengono monitorati nel continuo e illustrati all’interno di report periodici condivisi con le strutture e gli organi di competenza: al superamento di determinate soglie o in caso di andamenti anomali, si attivano specifici processi di escalation volti a definire e implementare appropriati interventi di mitigazione. Considerando l’evolversi del business e del contesto operativo interno ed esterno in cui opera il Gruppo, gli indicatori sono oggetto di periodico aggiornamento/revisione. Nell’ultimo trimestre 2021, è stato infatti completato il progetto di adeguamento e revisione completa della Politica di Gruppo per la Gestione dei Rischi Operativi e di Reputazione, approvata e pubblicata e nel mese di gennaio 2022, nella quale tutti Key Risk Indicators sviluppati trovano la loro declinazione operativa. Si segnala inoltre che al fine di prevenire e gestire il rischio operativo, il Risk Management di Capogruppo è impegnato, in collaborazione con le altre funzioni aziendali, nelle attività di valutazione delle esternalizzazioni delle funzioni operative e nella valutazione dei rischi associati all’introduzione di nuovi prodotti e servizi mediante specifiche attività di product testing. Contribuisce, infine, al monitoraggio dell’evoluzione del rischio informatico nonché dell’efficacia delle misure di protezione delle risorse ICT. Per approfondire, si rimanda alle Relazioni e bilancio consolidato 2021. Impatti derivanti dalla pandemia Covid-19 Con riferimento agli impatti derivanti dall’emergenza Covid-19, le strategie di gestione dei rischi operativi e di reputazione avevano subito, durante l’anno 2020, delle modifiche sia a seguito di specifiche richieste da parte del regolatore, sia per ricalibrare il sistema dei controlli interni al fine di rendere le attività di monitoraggio più rispondenti alle mutate modalità di svolgimento di alcune attività di business a seguito delle restrizioni imposte. A seguito dell’alleggerimento delle misure restrittive e la conseguente ripresa delle attività di business su dimensioni operative ordinarie, anche le strategie di gestione dei rischi operativi e di reputazione sono state gradualmente riadattate. In particolare, le modalità di svolgimento delle attività di Risk Management inerenti il monitoraggio ed il reporting nei diversi ambiti (ad esempio Contestazioni, Affidamenti Npl, ecc.), nonché gli indicatori di rischio (Key Risk Indicators) che avevano subito delle rimodulazioni nell’ottica di rendere i controlli maggiormente aderenti alle diverse condizioni operative ed esigenze di business sono stati ripristinati su livelli regolari e non hanno subito ulteriori variazioni significative da ciò determinate nel corso del 2021. Per approfondire, si rimanda alle Relazioni e bilancio consolidato 2021.