6.7.2018   

IT

Gazzetta ufficiale dell'Unione europea

L 169/1

(1)

Ai fini dei requisiti di fondi propri per il rischio operativo, l'articolo 312, paragrafo 2, primo comma, del regolamento (UE) n. 575/2013 stabilisce che le autorità competenti autorizzano gli enti a utilizzare i metodi avanzati di misurazione (in prosieguo «AMA») basati su propri sistemi di misurazione del rischio operativo laddove rispettino tutti i requisiti qualitativi e quantitativi fissati in detto articolo, il che implica il rispetto di questi requisiti da parte degli enti in ogni momento. Di conseguenza, una tale valutazione non si riferisce solo alla domanda iniziale di autorizzazione da parte di un ente all'utilizzo dell'AMA, ma si applica anche su base continuativa.

(2)

I vari elementi che costituiscono il quadro AMA di un ente non dovrebbero essere considerati singolarmente, bensì esaminati e valutati come un insieme di elementi legati tra loro, in modo tale che le autorità competenti considerino adeguato il livello di conformità in relazione a ciascuna parte del quadro stesso.

(3)

La valutazione da parte delle autorità competenti della conformità di un ente ai requisiti di cui all'articolo 312, paragrafo 4, lettere a) e b), del regolamento (UE) n. 575/2013 ai fini dell'utilizzo dei metodi avanzati di misurazione non dovrebbe essere effettuata in modo uniforme. La natura degli elementi da valutare varia in base al tipo di valutazione effettuata, che a sua volta dipende dal tipo di domanda presentata. Le autorità competenti sono tenute a valutare tale conformità se l'ente chiede per la prima volta di utilizzare l'AMA, se chiede l'estensione dell'AMA in linea con il piano di applicazione sequenziale approvato, se chiede di estendere o modificare l'AMA che è stato autorizzato ad utilizzare e se chiede di tornare a utilizzare metodi meno sofisticati in conformità dell'articolo 313 del regolamento (UE) n. 575/2013. Inoltre, le autorità competenti dovrebbero procedere a un riesame su base continuativa dell'utilizzo dell'AMA da parte degli enti. Di conseguenza, le autorità competenti dovrebbero effettuare la valutazione della conformità di un ente ai requisiti per l'uso dell'AMA sulla base della natura degli elementi da valutare in relazione alla pertinente metodologia di valutazione.

(4)

L'articolo 85, paragrafo 1, della direttiva 2013/36/UE del Parlamento europeo e del Consiglio (2) prevede che gli enti stabiliscano dettagliatamente in che cosa consiste il rischio operativo ai fini dell'attuazione di politiche e processi intesi a valutare e a gestire l'esposizione a tale rischio. Il regolamento (UE) n. 575/2013 contempla una definizione di «rischio operativo» che comprende sia il rischio giuridico che il rischio di modello. All'articolo 3, paragrafo 1, della direttiva 2013/36/UE, il rischio di modello si riferisce alle perdite potenziali dovute a errori nello sviluppo, nell'attuazione o nell'utilizzo di modelli interni, ma non comprende le perdite potenziali dovute ad aggiustamenti di valutazione legati al rischio di modello di cui all'articolo 105 del regolamento (UE) n. 575/2013 sulla valutazione prudente o di cui al regolamento delegato (UE) 2016/101 della Commissione (3) e non si riferisce al rischio di modello associato all'utilizzo di metodologie di valutazione eventualmente sbagliate di cui all'articolo 105, paragrafo 13, del regolamento (UE) n. 575/2013. Similmente, il regolamento (UE) n. 575/2013 non specifica in che modo le autorità competenti dovrebbero verificare la conformità al requisito di stabilire dettagliatamente in che cosa consista ogni rischio operativo inerente al rischio giuridico e al rischio di modello. Le norme che precisano la metodologia di valutazione che deve essere utilizzata dalle autorità competenti per valutare se gli enti possono utilizzare l'AMA dovrebbero pertanto specificarlo.

(5)

È necessario altresì armonizzare i metodi di vigilanza per quanto riguarda la corretta articolazione del rischio operativo in materia di operazioni finanziarie, comprese quelle relative al rischio di mercato, poiché i rischi operativi di tali operazioni si sono rivelati considerevoli e le loro determinanti, in genere di natura multiforme, possono non essere sempre rilevabili e registrabili come tali in tutta l'Unione.

(6)

Le norme che deve rispettare il quadro di governance e di gestione dei rischi di un ente sono stabilite all'articolo 74 della direttiva 2013/36/UE e all'articolo 321 del regolamento (UE) n. 575/2013. Di conseguenza, la metodologia di valutazione dell'AMA dovrebbe prevedere che le autorità competenti verifichino che l'ente abbia una chiara struttura organizzativa per la governance e la gestione del rischio operativo con linee di responsabilità ben definite, trasparenti e coerenti, che tenga conto della natura, dell'ampiezza e della complessità dell'attività dell'ente per valutare se l'ente può utilizzare il metodo AMA. In particolare, dovrebbe essere confermato che la funzione di gestione del rischio operativo svolge un ruolo fondamentale nell'individuare, misurare e valutare, monitorare, controllare e attenuare i rischi operativi cui deve far fronte l'ente e che essa è sufficientemente indipendente dalle unità operative dell'ente, in modo da garantire che il suo giudizio professionale e le sue raccomandazioni siano indipendenti e imparziali. Dovrebbe inoltre essere stabilito che l'alta dirigenza è responsabile dello sviluppo e dell'attuazione del quadro di governance e di gestione del rischio operativo che è stato approvato dall'organo di amministrazione e che tale quadro è attuato coerentemente in tutta l'organizzazione dell'ente. Le autorità competenti dovrebbero altresì verificare che siano forniti strumenti e informazioni adeguati a tutti i livelli del personale in modo che tutto il personale comprenda le sue responsabilità per quanto riguarda la gestione del rischio operativo.

(7)

Sistemi di segnalazione interni efficaci costituiscono un requisito essenziale della buona governance interna. Le autorità competenti dovrebbero quindi provvedere affinché l'ente che chiede l'autorizzazione per l'AMA adotti efficaci sistemi di segnalazione dei rischi non solo all'organo di amministrazione e all'alta dirigenza, ma anche a tutte le funzioni responsabili della gestione dei rischi operativi a cui l'ente è, o potrebbe essere, esposto. Il sistema di segnalazione dovrebbe riflettere la situazione aggiornata dei rischi operativi presso l'ente e comprendere tutti gli aspetti significativi della gestione e della misurazione del rischio operativo.

(8)

A norma dell'articolo 321, lettera a), del regolamento (UE) n. 575/2013, il sistema interno di misurazione del rischio operativo dell'ente deve essere strettamente integrato nei processi di gestione quotidiana del rischio. Di conseguenza, la metodologia di valutazione dell'AMA dovrebbe prevedere che le autorità competenti garantiscano che un ente che chiede l'autorizzazione per l'AMA utilizzi effettivamente il suo sistema di misurazione del rischio operativo per le sue attività quotidiane e ai fini della gestione del rischio su base continuativa e non soltanto ai fini del calcolo dei requisiti di fondi propri per il rischio operativo. Le norme relative alla valutazione prudenziale dell'AMA dovrebbero pertanto comprendere norme sulle aspettative in materia di vigilanza che deve soddisfare l'ente che chiede l'autorizzazione per l'AMA per quanto riguarda la «prova dell'utilizzo».

(9)

Per fornire sia agli enti che alle autorità competenti la prova che il sistema di misurazione del rischio operativo dell'ente è affidabile e solido e genera requisiti di fondi propri per il rischio operativo più credibili rispetto a una metodologia regolamentare più semplice, le autorità competenti dovrebbero verificare che l'ente abbia raffrontato il sistema di misurazione del rischio operativo con il metodo base o con il metodo standardizzato per il rischio operativo di cui agli articoli 315, 317 e 319 del regolamento (UE) n. 575/2013 nell'arco di un periodo di tempo determinato. Tale periodo di tempo dovrebbe essere sufficientemente lungo da consentire all'autorità competente di stabilire che l'ente soddisfa gli standard qualitativi e quantitativi previsti dal regolamento (UE) n. 575/2013 per l'uso di un metodo AMA.

(10)

A norma dell'articolo 321, lettera g), del regolamento (UE) n. 575/2013, i flussi di dati e i processi dell'ente associati al sistema di misurazione AMA devono essere trasparenti e accessibili. I dati relativi al rischio operativo non sono immediatamente disponibili poiché devono prima essere individuati all'interno dei libri e degli archivi dell'ente, e poi essere correttamente raccolti e conservati. Inoltre, il sistema di misurazione è in genere molto sofisticato e prevede vari passaggi logici e di calcolo per la generazione dei requisiti di fondi propri secondo il metodo AMA. La metodologia di valutazione dell'AMA dovrebbe pertanto verificare che la qualità dei dati e i sistemi informatici siano concepiti in maniera adeguata e attuati correttamente all'interno dell'ente, in modo da rispondere agli scopi per cui sono stati realizzati.

(11)

Il quadro AMA dell'ente è soggetto a revisioni della convalida interna e dell'audit conformemente all'articolo 321, lettere e) e f), del regolamento (UE) n. 575/2013. Sebbene la struttura organizzativa delle funzioni di convalida interna e di audit possa variare in funzione della natura, della complessità e dell'attività dell'ente, è opportuno garantire che la metodologia di valutazione dell'AMA delle revisioni effettuate da tali funzioni rispetti criteri comuni per quanto concerne i termini e la portata di tali revisioni.

(12)

La modellizzazione del rischio operativo è una disciplina relativamente nuova e in evoluzione. Di conseguenza, l'articolo 322 del regolamento (UE) n. 575/2013 concede agli enti una notevole flessibilità nella costruzione del sistema di misurazione del rischio operativo per il calcolo dei requisiti di fondi propri secondo il metodo AMA. Tale flessibilità non dovrebbe tuttavia comportare differenze significative tra gli enti per quanto riguarda le componenti essenziali del sistema di misurazione, in particolare l'impiego di dati interni, dati esterni, analisi di scenario e fattori di contesto operativo e del sistema dei controlli interni (noti come «i quattro elementi» ), le principali ipotesi di modellizzazione che consentono di cogliere gli eventi di coda gravi e i relativi fattori di rischio (la costruzione dei dati di calcolo, la granularità, l'individuazione delle distribuzioni delle perdite e la determinazione delle distribuzioni aggregate delle perdite e delle misure di rischio) o le perdite attese, la correlazione e i criteri per l'allocazione del capitale che dovrebbero garantire la coerenza intrinseca del sistema di misurazione. Pertanto, per garantire che il sistema di misurazione del rischio sia metodologicamente ben fondato, comparabile tra gli enti, efficace nel cogliere il rischio operativo effettivo e potenziale dell'ente, nonché affidabile e robusto nel generare i requisiti di capitale regolamentare secondo il metodo AMA, la metodologia di valutazione dell'AMA dovrebbe prevedere che le autorità competenti applichino gli stessi criteri e requisiti in tutta l'Unione. La metodologia di valutazione dell'AMA dovrebbe anche tenere conto delle componenti idiosincratiche del rischio operativo che sono legate alle differenze tra gli enti in termini di dimensioni, natura e complessità.

(13)

Per quanto riguarda in particolare i dati interni, si dovrebbe prendere in considerazione il fatto che, sebbene una perdita da rischio operativo possa derivare soltanto da un evento di rischio operativo, la sua presenza può essere evidenziata da diversi elementi, tra cui gli oneri diretti, le spese, gli accantonamenti e i ricavi non riscossi. Mentre alcuni eventi di rischio operativo hanno un impatto quantificabile e si riflettono sul bilancio dell'ente, altri non sono quantificabili e non incidono sul bilancio dell'ente, e sono quindi rilevabili da altre fonti, compresi gli archivi della dirigenza e incidenti e i dati sugli incidenti. Pertanto, le norme che specificano la metodologia di valutazione che utilizzano le autorità competenti per consentire agli enti di utilizzare il metodo AMA dovrebbero precisare cosa costituisce una perdita da rischio operativo e l'importo da registrare ai fini dell'AMA e, più in generale, tutti i potenziali elementi che possano rivelare il verificarsi di eventi di rischio operativo.

(14)

Talvolta gli enti riescono a recuperare rapidamente le perdite da rischio operativo emergenti. Le perdite prontamente recuperate non dovrebbero essere considerate ai fini del calcolo dei requisiti di fondi propri secondo il metodo AMA, sebbene possano essere utili a fini di gestione. Poiché gli enti utilizzano diversi criteri per classificare le perdite come prontamente recuperate, le norme sulla metodologia di valutazione dell'AMA dovrebbero includere norme che precisano i criteri appropriati per classificare le perdite come prontamente recuperate.

(15)

Le tecniche di attenuazione del rischio possono essere riconosciute dalle autorità competenti all'interno dell'AMA a condizione che siano soddisfatte determinate condizioni, come previsto all'articolo 323 del regolamento (UE) n. 575/2013. Per un'effettiva applicazione delle norme relative a tali tecniche di attenuazione, le autorità competenti dovrebbero seguire criteri specifici nel valutare l'applicazione di dette norme da parte di un ente. In particolare, qualora tali tecniche di attenuazione assumano la forma di un'assicurazione, è necessario garantire che l'assicurazione sia fornita da imprese di assicurazione autorizzate nell'Unione o in giurisdizioni che prevedano per le imprese di assicurazione norme regolamentari equivalenti a quelle applicabili nell'Unione.

(16)

Qualora le tecniche di attenuazione consistano in meccanismi di trasferimento del rischio diversi dall'assicurazione, le autorità competenti dovrebbero garantire che tali meccanismi trasferiscano effettivamente il rischio e non siano utilizzati per eludere i requisiti di fondi propri secondo il metodo AMA. Questa condizione è essenziale alla luce delle peculiarità del rischio operativo, per il quale non vi sono chiare attività sottostanti di riferimento e le perdite inattese svolgono un ruolo più importante rispetto ad altri tipi di rischi. Ciò è ulteriormente acuito dalla mancanza di un mercato efficiente, liquido e strutturato dei «prodotti» per il rischio operativo, finora negoziati al di fuori del settore bancario, quali le obbligazioni legate a eventi catastrofici (catastrophe bonds) e i derivati climatici (weather derivatives). Infine, è spesso molto difficile valutare il rischio giuridico di tali meccanismi, anche quando i termini e le condizioni contrattuali sono indicati in maniera chiara e precisa.

(17)

Per garantire una transizione agevole agli enti che sono già autorizzati ad utilizzare il metodo AMA o che hanno chiesto l'autorizzazione a utilizzare il metodo AMA prima dell'entrata in vigore del presente regolamento, è opportuno prevedere che le autorità competenti applichino il presente regolamento in relazione alla valutazione dell'AMA di questi enti solo dopo un determinato periodo transitorio. Dato che il riesame regolare dell'AMA di cui all'articolo 101, paragrafo 1, della direttiva 2013/36/UE è in genere effettuato su base annuale, tale periodo transitorio dovrebbe essere di un anno a decorrere dalla data di entrata in vigore del presente regolamento.

(18)

Gli enti che utilizzano distribuzioni gaussiane o di tipo Normale per il riconoscimento della correlazione nella totalità o in parte del loro metodo AMA non dovrebbero più farne uso nel contesto dell'AMA poiché tali ipotesi implicherebbero l'indipendenza della coda tra le categorie di rischio operativo, escludendo quindi la possibilità del verificarsi contemporaneo di grosse perdite di tipo diverso, ipotesi che non è né prudente né realistica. Dovrebbe pertanto essere concesso un tempo sufficiente per un'agevole transizione di tali enti ad un nuovo regime in cui sono introdotte, nell'ambito del sistema di misurazione del rischio operativo, ipotesi più prudenti che implicano un dipendenza positiva della coda. Dato che l'attuazione di queste ipotesi potrebbe richiedere la modifica di alcuni elementi fondamentali e delle relative procedure del quadro AMA, sarebbe opportuno prevedere due anni per tale transizione.

(19)

Il presente regolamento si basa sul progetto di norme tecniche di regolamentazione che l'Autorità bancaria europea ha presentato alla Commissione.

(20)

L'Autorità bancaria europea ha svolto consultazioni pubbliche aperte sul presente progetto di norme tecniche di regolamentazione, ne ha analizzato i potenziali costi e benefici e ha richiesto il parere del gruppo delle parti interessate nel settore bancario, istituito dall'articolo 37 del regolamento (UE) n. 1093/2010 del Parlamento europeo e del Consiglio (4),

a)

che sono soddisfatti gli elementi di cui agli articoli da 3 a 6;

b)

che sono soddisfatti i capi 2 e 3;

c)

che è soddisfatto il capo 4 qualora l'ente abbia adottato le assicurazioni e gli altri meccanismi di trasferimento del rischio ivi menzionati.

a)

una valutazione della rilevanza delle estensioni e modifiche all'AMA utilizzato da un ente;

b)

una valutazione del piano di applicazione sequenziale dell'AMA utilizzato da un ente;

c)

una valutazione del ritorno dell'ente all'uso di metodi meno sofisticati in conformità dell'articolo 313 del regolamento (UE) n. 575/2013;

d)

i riesami su base continuativa dell'AMA utilizzato da un ente.

1)

«soglia di modellizzazione corpo-coda», il valore della perdita che separa il corpo dalla coda delle distribuzioni delle perdite;

2)

«dati di calcolo», la porzione di dati raccolti, effettivi o costruiti, che soddisfa le condizioni necessarie per poter essere immessa nel sistema di misurazione del rischio operativo;

3)

«soglia di raccolta dei dati», il valore della perdita a partire dal quale un ente individua e raccoglie le perdite da rischio operativo a fini di gestione e di misurazione;

4)

«data di contabilizzazione», la data in cui una perdita o un accantonamento per un evento di rischio operativo è contabilizzato per la prima volta nel conto profitti e perdite;

5)

«soglia minima di modellizzazione», il valore della perdita a partire dal quale le distribuzioni di frequenza e di impatto, empiriche o parametriche, sono adattate alle perdite da rischio operativo;

6)

«perdita lorda» o «perdita», la perdita dovuta a un evento di rischio operativo, prima di recuperi di qualsiasi tipo;

7)

«evento di condotta illecita», l'evento di rischio operativo dovuto a dolo o negligenza, compresa l'inadeguata offerta di servizi finanziari;

8)

«categoria di rischio operativo», il livello, ad esempio il tipo di evento e la linea di business, al quale il sistema di misurazione del rischio operativo di un ente genera distribuzioni di frequenza e di impatto separate;

9)

«profilo di rischio operativo», la rappresentazione, in termini assoluti e in un dato momento, del rischio operativo effettivo e potenziale di un ente;

10)

«tolleranza al rischio operativo», la visione in prospettiva di un ente, rappresentata in termini assoluti, del livello aggregato e dei tipi di rischio operativo che l'ente è disposto o preparato a sostenere e che non compromettono i suoi obiettivi strategici e il suo piano aziendale;

11)

«recupero», l'evento relativo alla perdita originale che è indipendente da tale perdita e che è separato nel tempo, in cui i fondi o i flussi di benefici economici sono ricevuti da prime o terze parti;

12)

«misura del rischio», un singola statistica sul rischio operativo estratta dalla distribuzione delle perdite aggregate al livello di confidenza desiderato, compreso il valore a rischio (VaR) o misure di shortfall (ad esempio expected shortfall e median shortfall);

13)

«ciclo di vita dello sviluppo del sistema» o «SDLC», il processo di pianificazione, creazione, verifica e installazione di un'infrastruttura informatica;

14)

«timing loss», l'impatto economico negativo registrato in un esercizio finanziario a causa di un evento di rischio operativo che influenza i flussi di cassa o i bilanci di esercizi finanziari precedenti.

a)

che l'ente individui chiaramente e classifichi come rischio operativo le perdite o altre spese derivanti da eventi che danno luogo a procedimenti giudiziari, compresi come minimo i seguenti elementi:

b)

che l'ente individui chiaramente e classifichi come rischio operativo le perdite o altre spese derivanti da azioni volontarie intese ad evitare o ridurre i rischi giuridici relativi a eventi di rischio operativo, compresi rimborsi o sconti su servizi futuri offerti ai clienti su base volontaria, qualora tali rimborsi non siano offerti in seguito a reclami dei clienti;

c)

che l'ente individui chiaramente e classifichi come rischio operativo le perdite derivanti da errori e omissioni nei contratti e nella documentazione;

d)

che l'ente non classifichi come rischio operativo:

a)

ogni obbligo derivante da disposizioni legislative o regolamentari nazionali o internazionali;

b)

ogni obbligo derivante da accordi contrattuali, norme interne e codici di condotta stabiliti in conformità alle norme e alle prassi nazionali o internazionali;

c)

le norme deontologiche.

a)

che almeno i seguenti eventi, e le relative perdite, derivanti da modelli utilizzati per il processo decisionale sono classificati come rischio operativo:

b)

che gli eventi relativi alla sottovalutazione dei requisiti di fondi propri mediante modelli interni autorizzati dalle autorità competenti non sono inclusi nell'individuazione, nella raccolta e nel trattamento dei dati sugli eventi di rischio operativo e sulle perdite da rischio operativo relativi al rischio di modello.

a)

eventi dovuti ad errori operativi e di inserimento dei dati, tra cui:

b)

eventi dovuti a carenze nei controlli interni, tra cui:

c)

eventi dovuti all'inadeguatezza della qualità dei dati e alla mancata disponibilità dell'ambiente informatico, compresa l'impossibilità tecnica di accedere al mercato con conseguente incapacità di chiudere contratti.

a)

che la documentazione è approvata al livello appropriato della dirigenza dell'ente;

b)

che l'ente è dotato di politiche che definiscono norme per garantire l'elevata qualità della documentazione interna, compresa la specifica responsabilità di assicurare che la documentazione conservata sia completa, coerente, precisa, aggiornata, approvata e sicura;

c)

che il formato della documentazione previsto dalle politiche di cui alla lettera b) prevede almeno i seguenti elementi:

d)

che l'ente documenta in maniera approfondita le sue politiche, le sue procedure e le sue metodologie.

a)

che la documentazione è sufficientemente dettagliata e precisa da permettere l'esame dell'AMA da parte di terzi, in particolare:

a)

che l'organo di amministrazione dell'ente discute e approva la governance del rischio operativo, il processo di gestione del rischio operativo e il sistema di misurazione del rischio operativo;

b)

che l'organo di amministrazione dell'ente definisce e stabilisce chiaramente quanto segue, con cadenza almeno annuale:

c)

che l'organo di amministrazione dell'ente controlla il rispetto da parte dell'ente della dichiarazione sulla tolleranza al rischio operativo di cui alla lettera b), punto ii), su base continuativa;

d)

che l'ente applica un processo di gestione del rischio operativo su base continuativa per individuare, valutare e misurare, monitorare e segnalare il rischio operativo, compresi gli eventi di condotta illecita, ed è in grado di individuare il personale responsabile della gestione di tale processo;

e)

che le informazioni derivanti dal processo di cui alla lettera d) sono trasmesse ai pertinenti comitati e organi esecutivi dell'ente, e che le decisioni prese da tali comitati sono comunicate ai soggetti interni all'ente responsabili della raccolta, del controllo, del monitoraggio e della gestione dei rischi operativi e ai responsabili della gestione di attività che danno origine al rischio operativo;

f)

che l'ente valuta l'efficacia della sua governance del rischio operativo, del suo processo di gestione del rischio operativo e del suo sistema di misurazione del rischio operativo con cadenza almeno annuale;

g)

che l'ente comunica all'autorità competente pertinente i risultati della valutazione di cui alla lettera f) con cadenza almeno annuale.

a)

il livello di conoscenza, da parte del personale dell'ente, delle politiche e delle procedure in materia di rischio operativo;

b)

la procedura interna dell'ente per mettere alla prova l'elaborazione e l'efficacia del quadro AMA.

a)

che la funzione di gestione del rischio operativo svolge i seguenti compiti separatamente dalle linee di business dell'ente:

b)

che la funzione di gestione del rischio operativo riceve un sostegno adeguato da parte dell'organo di amministrazione e dell'alta dirigenza e che dispone di uno status adeguato all'interno dell'ente per assolvere i suoi compiti;

c)

che la funzione di gestione del rischio operativo non è responsabile anche della funzione di audit interno;

d)

che il capo della funzione di gestione del rischio operativo soddisfa almeno i seguenti requisiti:

a)

che l'alta dirigenza è responsabile dell'attuazione del quadro di governance e di gestione del rischio operativo approvato dall'organo di amministrazione;

b)

che all'alta dirigenza è stato conferito dall'organo di amministrazione il potere di elaborare le politiche, i processi e le procedure per la gestione del rischio operativo;

c)

che l'alta dirigenza attua le politiche, i processi e le procedure per la gestione del rischio operativo di cui alla lettera b).

a)

che i problemi relativi ai sistemi di segnalazione e ai controlli interni dell'ente sono individuati in maniera rapida e accurata;

b)

che le segnalazioni sul rischio operativo dell'ente sono distribuite ai livelli gerarchici adeguati e alle aree dell'ente che le segnalazioni hanno identificato come problematiche;

c)

che l'alta dirigenza dell'ente riceve segnalazioni almeno trimestrali sullo status più recente del profilo di rischio operativo dell'ente e utilizza queste segnalazioni nel processo decisionale;

d)

che le segnalazioni sull'esposizione al rischio operativo dell'ente contengono informazioni pertinenti sulla gestione e almeno una sintesi ad alto livello dei principali rischi operativi dell'ente e delle filiazioni interessate, nonché delle unità di business;

e)

che l'ente utilizza segnalazioni ad hoc in caso di carenze nelle politiche, nei processi e nelle procedure per la gestione del rischio operativo per individuare e affrontare rapidamente tali carenze e quindi ridurre in modo sostanziale la frequenza e l'impatto potenziali di un evento di perdita.

a)

che il sistema di misurazione del rischio operativo dell'ente sia utilizzato per la gestione del rischio operativo in diverse linee di business, unità operative o soggetti giuridici all'interno della struttura organizzativa;

b)

che il sistema di misurazione del rischio operativo sia integrato nei diversi soggetti del gruppo; che, se utilizzato a livello consolidato, il quadro AMA dell'impresa madre sia esteso alle filiazioni; e che, per quanto riguarda dette filiazioni, il rischio operativo e i fattori di contesto operativo e del sistema di controlli interni di cui all'articolo 322, paragrafi 1 e 6, del regolamento (UE) n. 575/2013 siano incorporati nei calcoli secondo il metodo AMA a livello di gruppo;

c)

che il sistema di misurazione del rischio operativo sia usato anche ai fini del processo di valutazione dell'adeguatezza del capitale interno dell'ente di cui all'articolo 73 della direttiva 2013/36/UE.

a)

che il sistema di misurazione del rischio operativo sia aggiornato periodicamente e venga ulteriormente sviluppato con l'aumentare dell'esperienza e del livello di sofisticatezza della gestione e della quantificazione del rischio operativo;

b)

che la natura e l'equilibrio dei dati usati come input nel sistema di misurazione del rischio operativo siano pertinenti e rispecchino la natura delle attività, della strategia, dell'organizzazione e dell'esposizione al rischio operativo dell'ente in ogni momento.

a)

che il sistema di misurazione del rischio operativo sia effettivamente utilizzato per la regolare e tempestiva comunicazione di informazioni coerenti che riflettano accuratamente la natura delle attività e il profilo di rischio operativo dell'ente;

b)

che l'ente adotti provvedimenti correttivi per migliorare i processi interni al ricevimento delle informazioni sui risultati prodotti dal sistema di misurazione del rischio operativo.

a)

che la definizione della tolleranza al rischio operativo e dei relativi obiettivi e attività di gestione del rischio operativo dell'ente siano comunicati in modo chiaro all'interno dell'ente;

b)

che il rapporto tra la strategia aziendale dell'ente e la sua gestione del rischio operativo, anche in ordine all'approvazione di prodotti, sistemi e processi nuovi, sia comunicato in modo chiaro all'interno dell'ente;

c)

che il sistema di misurazione del rischio operativo aumenti la trasparenza, la consapevolezza dei rischi e le competenze di gestione del rischio operativo e crei incentivi per migliorare la gestione del rischio operativo in tutto l'ente;

d)

che i dati utilizzati come input e i risultati del sistema di misurazione del rischio operativo siano utilizzati per le decisioni e i piani rilevanti dell'ente, compreso per i piani d'azione, i piani di continuità operativa, i piani di lavoro di audit interno, le decisioni di assegnazione del capitale, i piani assicurativi e le decisioni di bilancio.

a)

che prima di concedere l'autorizzazione a utilizzare il metodo AMA a fini di regolamentazione l'ente abbia calcolato i requisiti di fondi propri per il rischio operativo tramite il metodo AMA e l'approccio meno sofisticato precedentemente applicabile e che tale calcolo sia stato effettuato:

b)

che l'ente sia conforme almeno ai seguenti requisiti:

a)

che la funzione di convalida interna stabilisca, con un parere motivato e ben informato, se il sistema di misurazione del rischio operativo funziona come previsto e che il risultato del modello sia adeguato per i suoi vari usi interni e a fini di vigilanza, almeno su base annuale;

b)

che la funzione di audit verifichi l'integrità delle politiche, dei processi e delle procedure relativi al rischio operativo, valutando se questi soddisfano i requisiti normativi e i controlli definiti almeno su base annuale, e, in particolare, che la funzione di audit valuti la qualità delle fonti e dei dati utilizzati ai fini della gestione e della misurazione del rischio operativo;

c)

che le funzioni di audit e di convalida interna prevedano un programma di riesame degli aspetti del metodo AMA previsti nel presente regolamento e che tale programma sia regolarmente aggiornato per quanto riguarda:

d)

che la convalida interna sia effettuata da risorse qualificate, indipendenti dalle unità convalidate;

e)

che, qualora le attività di audit siano svolte dalle funzioni di audit esterne o interne oppure da esterni qualificati, questi siano indipendenti dal processo o dal sistema oggetto di revisione e che, se esternalizzate, l'organo di amministrazione e l'alta dirigenza dell'ente abbiano la responsabilità di assicurare che le funzioni esternalizzate siano realizzate conformemente al piano di audit approvato dell'ente;

f)

che le revisioni dell'audit e della convalida interna del quadro AMA siano adeguatamente documentate e che i loro risultati siano comunicati ai destinatari pertinenti all'interno degli enti, compresi, se del caso, i comitati di rischio, la funzione di gestione del rischio operativo, la dirigenza della linea di business e altro personale pertinente;

g)

che i risultati delle revisioni dell'audit e della convalida interna siano riassunti e trasmessi, almeno su base annuale, all'organo di amministrazione dell'ente o a un comitato da esso designato per l'approvazione;

h)

che il riesame e l'approvazione dell'efficacia del quadro AMA dell'ente siano effettuati almeno su base annuale.

a)

che i programmi di audit per il riesame del quadro AMA comprendono tutte le attività significative, comprese le attività esternalizzate, che potrebbero esporre l'ente a significativi rischi operativi;

b)

che le tecniche di convalida interna sono proporzionate all'evoluzione dei mercati e delle condizioni operative, e che i loro risultati siano oggetto di revisione dell'audit.

a)

i dati per costruire e tracciare la cronologia del rischio operativo, costituita dai dati interni ed esterni, dall'analisi di scenario e dai fattori di contesto operativo e del sistema di controlli interni;

b)

i dati complementari, compresi i parametri e i risultati del modello e le segnalazioni.

a)

hanno un'ampiezza, una profondità e una portata sufficienti per i compiti in questione;

b)

soddisfano le esigenze attuali e potenziali degli utilizzatori;

c)

sono aggiornate tempestivamente;

d)

sono adeguate alla portata del loro utilizzo e coerenti con essa;

e)

rappresentano accuratamente i fenomeni reali che mirano a rappresentare;

f)

non violano alcuna norma commerciale in una banca dati che deve essere mantenuta in modo statico e dinamico.

a)

una mappa globale delle banche dati coinvolte nel sistema di misurazione del rischio operativo con la loro descrizione;

b)

una politica in materia di dati e una dichiarazione di responsabilità;

c)

descrizioni dei flussi di lavoro e delle procedure relativi alla raccolta e alla conservazione dei dati;

d)

una dichiarazione delle lacune contenente tutte le carenze riscontrate nelle banche dati dei processi di convalida e riesame e una dichiarazione su come l'ente prevede di correggerle o ridurle.

a)

che i sistemi informatici e le infrastrutture informatiche dell'ente ai fini del metodo AMA sono solidi e resilienti e che tali caratteristiche possono essere mantenute in modo continuativo;

b)

che il SDLC ai fini del metodo AMA è solido e adeguato rispetto a:

c)

che l'infrastruttura informatica dell'ente messa a punto ai fini del metodo AMA è soggetta a processi di gestione della configurazione, delle modifiche e delle versioni;

d)

che il SDLC e i piani di emergenza ai fini del metodo AMA sono approvati dall'organo di amministrazione o dall'alta dirigenza dell'ente e che l'organo di amministrazione e l'alta dirigenza sono periodicamente informati sulle prestazioni dell'infrastruttura informatica ai fini del metodo AMA.

a)

che l'ente abbia una documentazione interna che specifichi in dettaglio come i quattro elementi sono raccolti, combinati e/o ponderati, inclusa una descrizione del processo di modellizzazione che illustri l'utilizzo e la combinazione dei quattro elementi e la motivazione delle scelte di modellizzazione;

b)

che l'ente abbia una chiara comprensione di come ciascuno dei quattro elementi influenza i requisiti di fondi propri del metodo AMA;

c)

che la combinazione dei quattro elementi usata dall'ente sia basata su una metodologia statistica solida, sufficiente a stimare percentili elevati;

d)

che, nelle fasi di raccolta, produzione e trattamento dei quattro elementi, l'ente applichi almeno quanto segue:

a)

che l'ente raccolga tutti i seguenti elementi all'interno del gruppo, in modo chiaro e coerente:

b)

che l'ente sia in grado di individuare separatamente l'importo della perdita lorda, il recupero dall'assicurazione e da altri meccanismi di trasferimento del rischio e il recupero diverso da quello dall'assicurazione e da altri meccanismi di trasferimento del rischio a seguito di un evento di rischio operativo, fatta eccezione per le perdite parzialmente o totalmente recuperate entro cinque giorni lavorativi;

c)

che l'ente metta in atto un sistema per definire e giustificare le soglie di raccolta dei dati sulla base dell'importo della perdita lorda;

d)

che la categoria di rischio operativo sia ragionevole e non ometta i dati relativi alle perdite che sono significativi per una misurazione del rischio operativo e di gestione del rischio efficaci;

e)

che, per ogni perdita, l'ente sia in grado di identificare e registrare nella base dati interna quanto segue:

a)

gli oneri diretti, comprese le rettifiche e i costi di transazione, contabilizzati nel conto profitti e perdite e le svalutazioni (write-down) dovute all'evento di rischio operativo;

b)

i costi sostenuti a seguito dell'evento di rischio operativo, che comprendono:

c)

gli accantonamenti o le riserve contabilizzati nel conto profitti e perdite per probabili perdite da rischio operativo, comprese quelle generate da eventi di condotta illecita;

d)

le pending losses, ovvero le perdite derivanti da un evento di rischio operativo, che sono temporaneamente iscritte in conti transitori o in sospeso e non sono ancora rispecchiate nel conto profitti e perdite, che dovrebbero essere incluse entro un periodo di tempo proporzionale alla dimensione e all'età della voce in sospeso;

e)

i ricavi rilevanti non riscossi, connessi agli obblighi contrattuali con terzi, compresa la decisione di compensare un cliente a seguito dell'evento di rischio operativo, invece che mediante rimborso o pagamento diretto, mediante una rettifica del ricavo che abolisce o riduce le spese contrattuali per uno specifico periodo di tempo futuro;

f)

le timing losses, se abbracciano più di un esercizio finanziario e danno luogo a rischi giuridici.

a)

near miss, ovvero una perdita pari a zero causata da un evento di rischio operativo, compresa una perturbazione dei sistemi informatici nella sala trading appena al di fuori dell'orario di negoziazione;

b)

un profitto generato da un evento di rischio operativo;

c)

i costi di opportunità, ovvero un aumento dei costi o una riduzione dei ricavi dovuti a eventi di rischio operativo che impediscono l'esercizio di attività aziendali future non determinate, tra cui le spese per il personale non iscritte a bilancio, i mancati ricavi e i costi di progetto relativi al miglioramento dei processi;

d)

i costi interni, compresi straordinari o premi.

a)

i costi dei contratti di manutenzione generale per immobili, impianti e macchinari;

b)

le spese interne o esterne finalizzate a migliorare l'attività aziendale dopo il verificarsi di un evento di rischio operativo, compresi gli aggiornamenti, i miglioramenti e i potenziamenti, nonché le iniziative per la valutazione del rischio;

c)

i premi assicurativi.

a)

l'intero importo delle perdite subite o dei costi sostenuti, compresi accantonamenti, costi di transazione, importi versati per il risarcimento dei danni, sanzioni, interessi arretrati e spese legali, è considerato un importo delle perdite registrato ai fini sia della gestione del rischio operativo che del calcolo dei requisiti di fondi propri secondo il metodo AMA, salvo diversa indicazione;

b)

se l'evento di rischio operativo è connesso al rischio di mercato, l'ente include i costi di liquidazione delle posizioni di mercato nell'importo delle perdite registrato per le voci di rischio operativo; se la posizione è deliberatamente mantenuta aperta dopo che l'evento di rischio operativo è riconosciuto, qualsiasi parte della perdita dovuta alle avverse condizioni di mercato dopo la decisione di mantenere la posizione aperta non è inclusa nell'importo delle perdite registrato per le voci di rischio operativo;

c)

se i pagamenti delle imposte sono connessi a fallimenti o processi dell'ente inadeguati, l'ente include nell'importo delle perdite registrato per le voci di rischio operativo i costi sostenuti a seguito dell'evento di rischio operativo, tra cui sanzioni, interessi, interessi di mora e spese legali, ad esclusione dell'imposta originariamente dovuta;

d)

se le timing losses e l'evento di rischio operativo interessano direttamente terzi, compresi clienti, fornitori e dipendenti dell'ente, quest'ultimo include nell'importo delle perdite registrato per la voce di rischio operativo anche la correzione di bilancio.

a)

le frodi commesse da un cliente dell'ente per proprio conto, che si verificano in un prodotto o processo del credito nella fase iniziale del ciclo di vita di un rapporto di credito, tra cui l'incentivazione di decisioni di prestito sulla base di documenti contraffatti o bilanci falsificati, come garanzie inesistenti o sopravvalutate e buste paga contraffatte;

b)

le frodi commesse utilizzando l'identità di un'altra persona, all'insaputa di quest'ultima, tra cui le domande di prestito mediante frode d'identità elettronica, utilizzando dati dei clienti o identità fittizie, ovvero mediante l'uso fraudolento di carte di credito dei clienti.

a)

rettifica la soglia di raccolta dei dati relativi agli eventi di perdita di cui al paragrafo 1 fino a livelli comparabili a quelli delle altre categorie di rischio operativo del quadro AMA, ove opportuno;

b)

include nella perdita lorda degli eventi descritti al paragrafo 1 l'importo totale in essere al momento della scoperta della frode o successivamente ad esso, e i relativi costi, ivi compresi gli interessi arretrati e le spese legali.

a)

se l'ente partecipa a iniziative consortili per la raccolta di eventi di rischio operativo e di perdite da rischio operativo, l'ente sia in grado di fornire dati della stessa qualità, in termini di perimetro, integrità e completezza, dei dati interni conformi alle norme di cui agli articoli 21, 22, 23 e 24 e che lo faccia in modo coerente rispetto al tipo di dati richiesti dalle norme consortili in materia di segnalazione;

b)

l'ente dispone di un processo di filtraggio dei dati che consenta la selezione dei dati esterni pertinenti sulla base di specifici criteri stabiliti e che i dati esterni utilizzati siano pertinenti e coerenti rispetto al profilo di rischio dell'ente;

c)

al fine di evitare distorsioni delle stime dei parametri, il processo di filtraggio genera una selezione coerente dei dati, indipendentemente dall'importo della perdita e, se l'ente ammette eccezioni a tale processo di selezione, esso dispone di una politica che contempli criteri per le eccezioni e documentazione a sostegno della ratio di tali eccezioni;

d)

se l'ente adotta un processo di riparametrazione (scaling) dei dati che comporta la rettifica degli importi delle perdite riportati nei dati esterni o delle relative distribuzioni, in funzione delle attività aziendali, della natura e del profilo di rischio dell'ente, il processo di scaling è sistematico e comprovato statisticamente e fornisce risultati coerenti con il profilo di rischio dell'ente;

e)

il processo di scaling dell'ente è coerente nel tempo e la validità e l'efficacia dello stesso sono regolarmente riesaminate.

a)

l'ente dispone di un solido quadro di governance in relazione al processo di analisi di scenario, che generi stime credibili e affidabili, indipendentemente dal fatto che lo scenario sia utilizzato per valutare eventi di elevato impatto o l'esposizione globale al rischio operativo;

b)

il processo di scenario è chiaramente definito, ben documentato, ripetibile e concepito per ridurre quanto più possibile la soggettività e le distorsioni, tra cui:

c)

facilitatori con qualifiche ed esperienza assicurano la coerenza del processo;

d)

le ipotesi utilizzate nel processo di analisi di scenario sono basate quanto più possibile su dati interni e dati esterni pertinenti risultanti da un processo di selezione oggettivo e imparziale;

e)

il numero degli scenari prescelto, il livello al quale sono esaminati o le unità nelle quali sono esaminati sono realistici e adeguatamente spiegati, e le stime di scenario tengono conto dei pertinenti cambiamenti nell'ambiente interno ed esterno che possono incidere sull'esposizione dell'ente al rischio operativo;

f)

le stime di scenario sono generate tenendo conto dei possibili o probabili eventi di rischio operativo che non si sono ancora tradotti, in tutto o in parte, in una perdita da rischio operativo;

g)

il processo di analisi e le stime di scenario sono soggetti a sorveglianza e processi di verifica solidi e indipendenti.

a)

i fattori di contesto operativo e del sistema dei controlli interni dell'ente sono lungimiranti e riflettono le potenziali fonti di rischio operativo, tra cui la rapida crescita, l'introduzione di nuovi prodotti, il sistema di rotazione dei dipendenti e l'indisponibilità del sistema;

b)

l'ente dispone di chiari orientamenti strategici che limitano l'entità delle riduzioni dei requisiti di fondi propri secondo il metodo AMA, risultanti da aggiustamenti dei fattori di contesto operativo e del sistema dei controlli interni;

c)

gli aggiustamenti dei fattori di contesto operativo e del sistema dei controlli interni di cui alla lettera b) sono giustificati e l'adeguatezza del loro livello è confermata confrontandola, nel tempo, con la direzione e l'entità dei dati sulle perdite interne effettivamente subite, le condizioni del contesto operativo e i cambiamenti in termini di efficacia convalidata dei controlli.

a)

l'ente elabora, applica e mantiene un sistema di misurazione del rischio operativo metodologicamente ben fondato, efficace nel cogliere il rischio operativo effettivo e potenziale dell'ente, nonché affidabile e robusto nel calcolare i requisiti di fondi propri secondo il metodo AMA;

b)

l'ente dispone di idonee politiche in materia di costituzione dei dati di calcolo, in conformità dell'articolo 29;

c)

l'ente applica l'idoneo livello di granularità nel suo modello, in conformità dell'articolo 30;

d)

l'ente dispone di un idoneo processo di individuazione delle distribuzioni delle perdite, in conformità dell'articolo 31;

e)

l'ente determina in modo idoneo le distribuzioni aggregate delle perdite e le misure di rischio, in conformità dell'articolo 32.

a)

l'ente ha definito criteri ed esempi specifici per la classificazione e il trattamento degli eventi di rischio operativo e delle perdite da rischio operativo nei dati di calcolo, e tali criteri ed esempi consentono un trattamento coerente dei dati di perdita in seno all'ente;

b)

l'ente non utilizza le perdite al netto dei recuperi assicurativi e di altri meccanismi di trasferimento del rischio nei dati di calcolo;

c)

l'ente ha adottato, per le categorie di rischio operativo con bassa frequenza di eventi, un periodo di osservazione superiore al periodo minimo di cui all'articolo 322, paragrafo 3, lettera a), del regolamento (UE) n. 575/2013;

d)

nell'ambito della costituzione dei dati di calcolo ai fini della stima delle distribuzioni di frequenza e di impatto, l'ente utilizza soltanto la data di rilevazione o la data di contabilizzazione e utilizza una data non successiva alla data di contabilizzazione per includere nei dati di calcolo perdite o accantonamenti connessi al rischio giuridico;

e)

la scelta da parte dell'ente della soglia minima di modellizzazione non incide negativamente sull'accuratezza delle misure di rischio operativo e l'uso di soglie minime di modellizzazione molto più alte delle soglie di raccolta dei dati è limitato e, ove applicato, è debitamente giustificato da un'analisi di sensibilità di varie soglie condotta dall'ente;

f)

l'ente include nei dati di calcolo tutte le perdite operative al di sopra della soglia minima di modellizzazione prescelta e le utilizza, a prescindere dal loro livello, per generare requisiti di fondi propri secondo il metodo AMA;

g)

l'ente applica ai dati opportuni coefficienti di adeguamento se gli effetti inflazionistici o deflazionistici sono significativi;

h)

le perdite dovute a un evento iniziale (root event), sotto forma di evento comune di rischio operativo, o a molteplici eventi collegati a un evento iniziale di rischio operativo che generano eventi o perdite, sono raggruppate e inserite dall'ente nei dati di calcolo come un'unica perdita;

i)

le eventuali eccezioni al trattamento di cui alla lettera h) sono adeguatamente documentate e giustificate al fine di evitare indebite riduzioni dei requisiti di fondi propri secondo il metodo AMA;

j)

l'ente non esclude dai dati di calcolo secondo il metodo AMA le rettifiche significative apportate alle perdite da rischio operativo connesse a eventi singoli o collegati, qualora la data di riferimento per tali rettifiche rientra nel periodo di osservazione e la data di riferimento dell'evento singolo iniziale o del root event di cui alla lettera h) si situa al di fuori di tale periodo;

k)

l'ente è in grado di distinguere, per ogni anno di riferimento incluso nel periodo di osservazione, gli importi delle perdite relative a eventi rilevati o contabilizzati in quell'anno dagli importi delle perdite relative alle rettifiche o al raggruppamento di eventi rilevati o contabilizzati negli anni precedenti.

a)

l'ente tiene conto della natura, della complessità e delle idiosincrasie delle sue attività aziendali e dei rischi operativi cui è esposto nel raggruppare rischi che presentano fattori comuni e nel definire le categorie di rischio operativo di un metodo AMA;

b)

l'ente giustifica il livello di granularità prescelto per le sue categorie di rischio operativo sulla base di considerazioni qualitative e quantitative, e classifica tali categorie di rischio operativo in base a dati omogenei, indipendenti e stazionari;

c)

la scelta da parte dell'ente del livello di granularità delle sue categorie di rischio operativo è realistica e non incide negativamente sulla prudenza dei risultati del modello o delle sue parti;

d)

l'ente riesamina regolarmente il livello di granularità prescelto per le sue categorie di rischio operativo affinché rimanga idoneo.

a)

l'ente si attiene a un processo ben specificato, documentato e tracciabile per la selezione, l'aggiornamento e il riesame delle distribuzioni delle perdite e la stima dei relativi parametri;

b)

il processo per la selezione delle distribuzioni delle perdite si traduce in scelte chiare e coerenti da parte dell'ente, riflette correttamente il profilo di rischio nella coda e comprende almeno i seguenti elementi:

c)

nel corso della selezione di una distribuzione delle perdite l'ente esamina attentamente l'asimmetria positiva e la leptocurtosi dei dati;

d)

se i dati sono molto dispersi nella coda, non vengono usate curve empiriche per stimare l'area della coda, bensì distribuzioni sub-esponenziali la cui coda decade più lentamente rispetto alle distribuzioni esponenziali, a meno che non sussistano motivi eccezionali per applicare altre funzioni, che in ogni caso sono trattate correttamente e sono pienamente giustificate al fine di evitare un'indebita riduzione dei requisiti di fondi propri secondo il metodo AMA;

e)

se si usano distribuzioni delle perdite separate per il corpo e per la coda, l'ente esamina attentamente la scelta della soglia di modellizzazione corpo-coda;

f)

la soglia di modellizzazione corpo-coda selezionata è suffragata da documentazione statistica, eventualmente corredata da elementi qualitativi;

g)

durante la stima dei parametri della distribuzione, l'ente o riflette l'incompletezza dei dati di calcolo dovuta alla presenza di soglie minime di modellizzazione nel modello, o giustifica l'utilizzo di dati di calcolo incompleti sulla base del fatto che tale scelta non incide negativamente sull'accuratezza delle stime dei parametri e sui requisiti di fondi propri secondo il metodo AMA;

h)

l'ente dispone di metodologie per ridurre la variabilità delle stime dei parametri e prevede misure dell'errore attorno a tali stime, compresi gli intervalli di confidenza e misure di p-value;

i)

se l'ente adotta stimatori robusti sotto forma di generalizzazioni degli stimatori classici, con buone proprietà statistiche, tra cui l'alta efficienza e la bassa distorsione per una famiglia di distribuzioni nell'intorno della distribuzione incognita sottostante dei dati, esso è in grado di provare che il loro uso non sottostima il rischio nella coda della distribuzione delle perdite;

j)

l'ente valuta la bontà dell'adattamento tra i dati e la distribuzione selezionata utilizzando strumenti diagnostici sia di natura grafica che di natura quantitativa che sono più sensibili alla coda rispetto al corpo dei dati, in particolare se i dati sono molto dispersi nella coda;

k)

ove opportuno, anche nei casi in cui gli strumenti diagnostici non indicano una scelta chiara a favore della distribuzione più adatta o al fine di attenuare gli effetti della dimensione del campione e il numero di parametri stimati nei test relativi alla bontà dell'adattamento, l'ente utilizza metodi di valutazione che confrontano le relative prestazioni delle distribuzioni delle perdite, tra cui il likelihood ratio, il criterio di informazione di Akaike e il criterio di informazione bayesiano di Schwarz;

l)

l'ente si avvale di un ciclo regolare di controllo delle ipotesi sottostanti alle distribuzioni delle perdite selezionate e, se le ipotesi sono invalidate, anche nei casi in cui generino valori al di fuori delle gamme stabilite, l'ente ha testato metodi alternativi e ha classificato in maniera adeguata eventuali modifiche apportate alle ipotesi, in conformità del regolamento delegato (UE) n. 529/2014 della Commissione (5).

a)

le tecniche elaborate dall'ente a tale scopo garantiscono idonei livelli di precisione e stabilità delle misure di rischio;

b)

le misure di rischio sono integrate da informazioni sul loro livello di accuratezza;

c)

a prescindere dalle tecniche utilizzate per aggregare le distribuzioni di frequenza e di impatto delle perdite, tra cui le simulazioni Monte Carlo, i metodi connessi alla trasformata di Fourier, l'algoritmo di Panjer e le approssimazioni di tipo Single Loss, l'ente adotta criteri che attenuano gli errori connessi al campione e gli errori numerici e fornisce una misura dell'entità di tali errori;

d)

se vengono usate simulazioni Monte Carlo, il numero di fasi da eseguire è coerente con la forma delle distribuzioni e con il livello di confidenza da raggiungere;

e)

se la distribuzione delle perdite presenta code pesanti ed è misurata a un livello di confidenza elevato, il numero di passi è sufficientemente grande da ridurre la variabilità del campionamento a un livello accettabile;

f)

nel caso si utilizzi la trasformata di Fourier o altri metodi numerici, sono attentamente esaminate le questioni relative alla stabilità dell'algoritmo e alla propagazione dell'errore;

g)

la misura del rischio dell'ente generata dal sistema di misurazione del rischio operativo rispetta il principio di monotonicità del rischio, che si traduce in requisiti di fondi propri più elevati all'aumentare del profilo di rischio sottostante e in requisiti di fondi propri più bassi al diminuire del profilo di rischio sottostante;

h)

la misura del rischio dell'ente generata dal sistema di misurazione del rischio operativo è realistica da un punto di vista gestionale ed economico e l'ente applica inoltre tecniche adeguate per evitare di porre un tetto alla perdita singola massima, a meno che non fornisca una chiara motivazione oggettiva per l'esistenza di un limite superiore, nonché per evitare di implicare la non esistenza del primo momento statistico della distribuzione;

i)

l'ente valuta esplicitamente la robustezza dei risultati del sistema di misurazione del rischio operativo mediante idonee analisi di sensibilità sui dati di input o sui parametri del sistema.

a)

la metodologia dell'ente per la stima delle perdite attese è coerente con il sistema di misurazione del rischio operativo per la stima dei requisiti di fondi propri secondo il metodo AMA che comprende sia le perdite attese che quelle inattese e il processo di stima delle perdite attese è condotto per categoria di rischio operativo ed è coerente nel tempo;

b)

l'ente definisce la perdita attesa utilizzando statistiche che sono meno influenzate dalle perdite estreme, tra cui la mediana e la media troncata, soprattutto nel caso di dati con coda media o pesante;

c)

la compensazione massima per le perdite attese applicata dall'ente si limita al totale delle perdite attese e la compensazione massima per le perdite attese in ciascuna categoria di rischio operativo si limita alla pertinente perdita attesa calcolata secondo il sistema di misurazione del rischio operativo dell'ente applicato a detta categoria;

d)

l'ammontare delle compensazioni previste dall'ente per le perdite attese in ciascuna categoria di rischio operativo può sostituire il capitale o è altrimenti disponibile per coprire le perdite attese con un grado di certezza elevato per un periodo di un anno;

e)

se la compensazione non è costituita da accantonamenti, l'ente limita la disponibilità della compensazione a quelle operazioni con perdite altamente prevedibili, stabili e abituali;

f)

l'ente non usa riserve specifiche costituite per eventi di perdita da rischio operativo eccezionali che si sono già verificati come compensazione di perdite attese;

g)

l'ente documenta chiaramente in che modo la perdita attesa è misurata e presa in considerazione, indicando come le eventuali compensazioni delle perdite attese soddisfino le condizioni di cui alle lettere da a) a f).

a)

l'ente esamina attentamente qualsiasi forma di dipendenza lineare o non lineare, in relazione a tutti i dati, o nel corpo o nella coda, tra due o più categorie di rischio operativo o all'interno di una categoria di rischio operativo;

b)

l'ente suffraga le sue ipotesi di correlazione, nella misura più ampia possibile, mediante un'idonea combinazione di analisi di dati empirici e di valutazioni di esperti;

c)

le perdite all'interno di ciascuna categoria di rischio operativo sono indipendenti l'una dall'altra;

d)

se la condizione di cui alla lettera c) non è soddisfatta, le perdite dipendenti sono aggregate;

e)

solo se non è possibile soddisfare nessuna delle condizioni di cui alle lettere c) o d), la dipendenza all'interno delle categorie di rischio operativo è opportunamente modellizzata;

f)

l'ente esamina attentamente la dipendenza tra gli eventi di coda;

g)

l'ente non fonda la struttura della dipendenza su distribuzioni gaussiane o di tipo Normale;

h)

tutte le ipotesi relative alla dipendenza utilizzate dall'ente sono prudenti, date le incertezze relative alla modellizzazione della dipendenza per il rischio operativo, e il grado di prudenza utilizzato dall'ente aumenta al diminuire del rigore delle ipotesi di dipendenza e dell'affidabilità dei requisiti di fondi propri risultanti;

i)

l'ente giustifica pienamente le ipotesi di dipendenza utilizzate e conduce regolarmente analisi di sensibilità al fine di valutare l'effetto delle ipotesi di dipendenza sui suoi requisiti di fondi propri secondo il metodo AMA.

a)

il meccanismo di allocazione del capitale dell'ente è coerente con il profilo di rischio dell'ente e con l'impianto generale del sistema di misurazione del rischio operativo;

b)

l'allocazione dei requisiti di fondi propri secondo il metodo AMA tiene conto delle potenziali differenze intrinseche in termini di rischio e qualità della gestione dei rischi operativi e del controllo interno tra le parti del gruppo alle quali sono allocati i requisiti di fondi propri secondo il metodo AMA;

c)

non sono osservabili impedimenti di diritto o di fatto, attuali o previsti, che ostacolino il rapido trasferimento di fondi propri o il rimborso di passività;

d)

l'allocazione dei requisiti di fondi propri secondo il metodo AMA, partendo dal livello consolidato di gruppo e scendendo verso le parti del gruppo coinvolte nel sistema di misurazione del rischio operativo, si fonda su metodologie solide e, per quanto più possibile, sensibili al rischio.

a)

il fornitore dell'assicurazione soddisfa i requisiti in materia di autorizzazione di cui all'articolo 323, paragrafo 2, del regolamento (UE) n. 575/2013, in conformità dell'articolo 37;

b)

l'assicurazione è fornita da un soggetto terzo, come previsto all'articolo 323, paragrafo 3, lettera e), del regolamento (UE) n. 575/2013, in conformità dell'articolo 38;

c)

l'ente evita duplicazioni nel computo delle tecniche di attenuazione del rischio, come previsto all'articolo 322, paragrafo 2, lettera e), del regolamento (UE) n. 575/2013, in conformità dell'articolo 39;

d)

il calcolo dell'attenuazione del rischio tiene adeguatamente conto della copertura assicurativa, come previsto all'articolo 323, paragrafo 3, lettera d), del regolamento (UE) n. 575/2013, e lo schema per il riconoscimento dell'assicurazione è ben fondato e documentato, come previsto all'articolo 323, paragrafo 3, lettera f), del medesimo regolamento, compreso quanto segue:

e)

la metodologia dell'ente per il riconoscimento dell'assicurazione integra tutti gli elementi pertinenti mediante l'applicazione di coefficienti di sconto o di scarto all'ammontare dell'assicurazione riconosciuto, come previsto all'articolo 323, paragrafo 3, lettere a) e b), nonché all'articolo 323, paragrafo 4, del regolamento (UE) n. 575/2013, in conformità dell'articolo 43;

f)

l'ente dimostra il conseguimento di un significativo effetto di attenuazione del rischio grazie all'introduzione di altri meccanismi di trasferimento del rischio, come previsto all'articolo 323, paragrafo 1, seconda frase, del regolamento (UE) n. 575/2013, in conformità dell'articolo 44.

a)

stima la probabilità di recupero dell'assicurazione e la possibile tempistica per il ricevimento dei risarcimenti dagli assicuratori, in particolare la probabilità che il sinistro sia oggetto di contenzioso, la durata di tale processo e gli attuali tassi e termini di liquidazione, sulla base dell'esperienza del gruppo di gestione del rischio assicurativo, con il sostegno, se necessario, di idonee consulenze esterne, in particolare di consulenti per la gestione dei sinistri, intermediari e imprese di assicurazione;

b)

utilizza le stime risultanti dalla lettera a) per valutare l'intervento dell'assicurazione in seguito ad un evento di perdita da rischio operativo e struttura questo processo al fine di valutare la risposta dell'assicurazione per tutti i dati pertinenti relativi alle perdite e allo scenario inseriti nel sistema di misurazione del rischio operativo;

c)

associa le polizze di assicurazione, in funzione della valutazione risultante dalla lettera b), ai rischi operativi dell'ente stesso con il massimo livello di dettaglio, ricorrendo a tutte le fonti di informazione disponibili, compresi dati interni, dati esterni, stime e ipotesi;

d)

impiega competenze adeguate ed effettua tale classificazione in modo trasparente e coerente;

e)

assegna la ponderazione appropriata alla performance passata e attesa dell'assicurazione mediante una valutazione delle componenti della polizza di assicurazione;

f)

ottiene l'approvazione formale dell'organo o del comitato preposto ai rischi appropriato;

g)

riesamina periodicamente il processo di classificazione delle assicurazioni.

a)

è coerente con il sistema di misurazione del rischio operativo adottato per quantificare le perdite al lordo dei recuperi assicurativi;

b)

è trasparente rispetto alla relazione tra la copertura assicurativa e la probabilità e l'impatto effettivi delle perdite utilizzate per la determinazione complessiva, da parte dell'ente, dei requisiti di fondi propri secondo il metodo AMA, ed è inoltre coerente rispetto a tale relazione.

a)

l'ente ha riesaminato l'uso delle assicurazioni e ha ricalcolato i requisiti di fondi propri secondo il metodo AMA, a seconda dei casi, se la natura dell'assicurazione è cambiata in modo significativo o qualora vi sia un cambiamento sostanziale nel profilo di rischio operativo dell'ente;

b)

se si sono verificare perdite significative che incidono sulla copertura assicurativa, l'ente ricalcola i requisiti di fondi propri secondo il metodo AMA con un ulteriore margine di prudenza;

c)

in caso di cessazione o riduzione inattesa della copertura assicurativa, l'ente è pronto a sostituire immediatamente la polizza di assicurazione con una avente termini, condizioni e copertura equivalenti o migliori, o ad aumentare i suoi requisiti di fondi propri secondo il metodo AMA ad un livello al lordo dei recuperi assicurativi;

d)

l'ente calcola il capitale al lordo e al netto dei recuperi assicurativi, ad un livello di granularità tale che qualsiasi erosione dell'importo dell'assicurazione disponibile, anche dovuta al risarcimento di una perdita significativa, o cambiamento della copertura assicurativa, possa essere immediatamente riconosciuto ai fini dei suoi effetti sui requisiti di fondi propri secondo il metodo AMA.

a)

l'ente analizza i vari fattori per i quali il fornitore dell'assicurazione rischia di non operare i risarcimenti attesi e che riducono l'efficacia del trasferimento del rischio, tra cui la capacità dell'assicuratore di risarcire in maniera tempestiva e la capacità dell'ente di individuare, analizzare e comunicare il sinistro in modo tempestivo;

b)

l'ente analizza in che modo i vari fattori di cui alla lettera a) hanno inciso in passato sull'effetto dell'assicurazione di attenuare il profilo di rischio operativo e il modo in cui potrebbero incidere sullo stesso in futuro;

c)

l'ente rispecchia le incertezze di cui alla lettera a) nei requisiti di fondi propri secondo il metodo AMA mediante l'applicazione di coefficienti di scarto opportunamente prudenti;

d)

l'ente tiene debitamente conto delle caratteristiche delle polizze assicurative, in particolare se la polizza copre soltanto le perdite che sono rivendicate o comunicate all'assicuratore entro il termine della polizza, e pertanto le perdite che vengono rilevate successivamente alla scadenza della polizza non sono coperte, o se la polizza copre perdite che si sono verificate prima del termine del contratto, anche se vengono rilevate e rivendicate soltanto dopo la scadenza della polizza, ovvero se le perdite consistono in un danno diretto subito dall'assicurato o se impegnano la responsabilità verso terzi;

e)

l'ente prende in considerazione e documenta debitamente i dati sui risarcimenti assicurativi per tipo di perdita nelle sue basi di dati sulle perdite e ne determina, di conseguenza, i coefficienti di scarto;

f)

l'ente dispone di procedure per l'identificazione e l'analisi delle perdite, nonché per il trattamento dei sinistri, al fine di verificare l'effettiva copertura fornita dall'assicuratore o la capacità di quest'ultimo di risarcire il danno entro un lasso di tempo ragionevole;

g)

l'ente quantifica esplicitamente e modellizza separatamente i coefficienti di scarto in relazione a ciascuna delle pertinenti incertezze individuate, invece di applicare al calcolo un unico coefficiente di scarto per tutte le incertezze o un coefficiente di scarto ex post;

h)

l'ente tiene conto quanto più possibile del rischio connesso alla capacità dell'assicuratore di risarcire il danno, applicando opportuni coefficienti di scarto alla metodologia di modellizzazione dell'assicurazione;

i)

l'ente assicura che il rischio connesso alla capacità dell'assicuratore di risarcire il danno per inadempimento della controparte è valutato sulla base della qualità creditizia dell'impresa di assicurazione responsabile ai sensi del contratto assicurativo in questione, indipendentemente dal fatto che l'ente impresa madre dell'impresa di assicurazione abbia un rating migliore o che il rischio sia trasferito a terzi;

j)

l'ente formula ipotesi prudenti in relazione al rinnovo delle polizze assicurative sulla base di termini, condizioni e copertura equivalenti a quelli dei contratti iniziali o in essere;

k)

l'ente dispone di processi intesi a garantire che la metodologia di assicurazione secondo il metodo AMA rifletta adeguatamente l'eventualità di un esaurimento della copertura assicurativa, il prezzo e la disponibilità delle reintegrazioni della copertura, nonché i casi in cui la copertura del contratto di assicurazione non corrisponde al profilo di rischio operativo dell'ente.

a)

l'ente è in grado di dimostrare l'esistenza di una copertura continuativa avente termini, condizioni e copertura equivalenti o migliori per almeno 365 giorni;

b)

l'ente ha stipulato una polizza che non può essere disdetta dall'assicuratore per motivi diversi dal mancato pagamento del premio, ovvero una polizza che ha un termine di disdetta superiore a un anno.

a)

si assicurano che l'ente abbia esperienza nell'uso degli strumenti relativi ad altri meccanismi di trasferimento del rischio e loro caratteristiche, in particolare in relazione alla probabilità di copertura e alla tempestività dei pagamenti, prima che questi strumenti possano essere riconosciuti nel sistema di misurazione del rischio operativo dell'ente;

b)

rifiutano gli altri meccanismi di trasferimento del rischio come strumenti ammissibili di attenuazione del rischio per i requisiti di fondi propri secondo l'AMA, se i suddetti meccanismi sono detenuti o utilizzati a fini di negoziazione piuttosto che a fini di gestione del rischio;

c)

verificano l'ammissibilità del venditore della protezione, anche verificando se esso sia regolamentato o meno, nonché la natura e le caratteristiche della protezione fornita, se quest'ultima è una protezione di tipo reale, una cartolarizzazione, un meccanismo di garanzia o uno strumento derivato;

d)

confermano che le attività esternalizzate non sono considerate parte di altri meccanismi di trasferimento del rischio;

e)

confermano che l'ente calcola i requisiti di fondi propri secondo il metodo AMA al lordo e al netto degli altri meccanismi di trasferimento del rischio per ciascun calcolo del capitale, a un livello di granularità tale che qualsiasi erosione dell'importo della protezione disponibile possa essere immediatamente riconosciuta ai fini dei suoi effetti sui requisiti patrimoniali;

f)

confermano che, se si sono verificate perdite significative che incidono sulla copertura fornita dagli altri meccanismi di trasferimento del rischio o se le modifiche apportate ai contratti relativi a tali meccanismi creano notevole incertezza circa la copertura da essi fornita, l'ente ricalcola i requisiti di fondi propri secondo il metodo AMA con un ulteriore margine di prudenza.

a)

il presente regolamento si applica a decorrere da un anno dopo la sua entrata in vigore;

b)

l'articolo 34, lettera g), si applica a decorrere da due anni dopo la sua entrata in vigore.