Nel rischiare per progredire, c’è un limite che le banche non devono superare: il Risk Appetite Framework (RAF) rappresenta proprio il perimetro di riferimento entro cui agire. Il RAF è, infatti, il sistema che definisce gli obiettivi di rischio degli istituti bancari, con cui si valutano anche le soglie da non oltrepassare; ecco perché si connota come uno strumento indispensabile di governance del rischio.
Le metriche RAF si inseriscono nel più ampio contesto del processo interno ICAAP (Internal Capital Adequacy Assessment Process), un'autovalutazione che per legge la banca deve compiere sulla propria adeguatezza patrimoniale.
Le metriche RAF sono descritte approfonditamente dalla Circolare 263 della Banca d’Italia del 7 dicembre 2006, poi assorbita nella Circolare 285 del 2013. Il documento indica espressamente il Risk Appetite Framework come il quadro di riferimento per la definizione di:
Questi parametri sono individuati dagli istituti di credito analizzando il modello di business, la strategia e stabilendo il rischio massimo che la banca può assumere. Il Risk Appetite Framework costituisce quindi una sorta di “recinto di sicurezza” entro cui muoversi per svolgere le operazioni bancarie, sapendo di correre rischi calcolati e di cui ci si può far carico. Il mancato rispetto di queste metriche può causare il concretizzarsi delle minacce e che i rischi siano troppi o di natura tale che la banca non sia in grado di sostenerli. Si tratta in ogni caso di una serie di indicatori che, per essere realmente funzionali, hanno bisogno di essere aggiornati in modo costante: la mappa dei rischi si evolve continuamente, così come le esigenze dell'organizzazione e gli obiettivi del business. Il RAF è dunque un perimetro tutt'altro che statico, e richiede un lavoro assiduo di analisi e reportistica.
Il RAF è dunque, in estrema sintesi, lo strumento che concilia rischi qualificabili – quantitativamente e qualitativamente – e rischi difficilmente qualificabili (come, ad esempio, quelli legati alla compliance) mediante la definizione del principio di proporzionalità, che vincola le Banche ad applicare le Disposizioni di Vigilanza tenendo conto della dimensione e delle complessità operative, della natura dell’attività svolta e della tipologia dei servizi prestati. È questo il vero “plus” del RAF.
Come spiegato nella circolare della Banca d’Italia, il Risk Appetite Framework dev’essere personalizzato in base alle caratteristiche di ogni banca. Innanzitutto, nella definizione del RAF viene raccomandata la coerenza tra le metriche di riferimento dell’istituto di credito, tra cui il budget, il business model, i controlli interni, l’organizzazione interna della banca. Bisogna indicare le tipologie di rischio con cui la banca avrà a che fare (come i rischi di liquidità o quelli operativi) e individuare diversi indicatori:
Il Risk Appetite Framework riporta anche possibili scenari operativi, per indicare come comportarsi in situazioni di “stress” offrendo linee guida basate su standard di mercato e best practice condivise da autorità e attori di riferimento.
Gli istituti di credito devono fissare gli obiettivi di rischio, ufficializzandoli attraverso la redazione del Risk Appetite Framework. Nella circolare della Banca d’Italia viene, infatti, precisato che è compito degli organi dell’istituto occuparsi di questa operazione. Nello specifico, l’attività di monitoraggio del RAF deve essere finalizzata all’analisi dei trend di “rischio ‐ rendimento” della Banca e all’individuazione delle eventuali criticità, con l’obiettivo di mettere in atto azioni correttive.
Per produrre il Risk Appetite Framework, le banche partire dal loro piano strategico e dall’analisi delle attività operative, usando – come spiega la Banca d’Italia – parametri sia qualitativi che quantitativi, servendosi anche di strumenti opportuni per misurare i rischi. È qui che entra in gioco la tecnologia: un software per la gestione del rischio integrata consente agli istituti di credito di analizzare la situazione as-is e ottenere facilmente i dati necessari, interpellando tutti i livelli dell’organizzazione. I software per la gestione dei rischi permettono di strutturare un processo di monitoraggio basato sullo sviluppo di sistemi di reporting coerenti con il Risk Appetite Framework, di sistemi di comunicazione e di sistemi di early warning efficaci, che devono “vigilare” sui rischi della Banca fornendo raccomandazioni in caso di avvicinamento alle soglie limite definite.
In particolare, pensando al sistema di reporting, affinché sia efficace è necessario disegnarlo e implementarlo in modo da costruire un mix di strumenti utili all’individuazione delle azioni correttive nei trend di “rischio ‐ rendimento”. Da qui scaturisce l’importanza dell’integrazione dei sistemi e la facilità di utilizzo degli strumenti definiti.
Guardando invece ai sistemi di early warning, consentono di:
Cosa occorre sapere invece per scegliere il Risk Appetite Framework adatto alle proprie esigenze? Una soluzione efficace dovrebbe essere innanzitutto dinamica, in grado cioè di consentire all’organizzazione di sostenere modi proattivi di gestione del rischio e di adeguare il business alle soglie di rischio che l'azienda è disposta a tollerare. Se un sistema di valutazione della propensione al rischio funziona in modo corretto, dovrebbe fornire costantemente ai responsabili di ciascuna funzione la progressione del processo che porta dalla strategia e dall'impostazione degli obiettivi all'articolazione di piani operativi e alla creazione di meccanismi di monitoraggio e segnalazione che guidino gli amministratori e gli utenti a cambiare, in caso, marcia mentre sono in corsa. Sono essenzialmente cinque i passaggi che l'adozione di un Risk Appetite Framework dovrebbe innescare e in qualche modo automatizzare:
• Stabilire piano e obiettivi strategici, formulare una strategia di rischio e di remunerazione e valutare di volta in volta la capacità di rischio;
• Mettere in evidenza la consapevolezza e i limiti della propensione al rischio in azienda;
• Monitorare il livello di rischio e stilare rapporti accurati;
• Controllare e correggere i processi;
• Garantire comunicazione e trasparenza all'interno dell'organizzazione sul fronte del risk management.