A. Aspetti generali, processi di gestione e metodi di misurazione del rischio operativo

Il rischio operativo è il rischio di subire perdite derivanti dall’inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni. Rientrano in tale tipologia le perdite derivanti da frodi, errori umani, interruzioni dell’operatività, indisponibilità dei sistemi, inadempienze contrattuali, catastrofi naturali. La gestione del rischio operativo richiede la capacità di identificare il rischio presente in tutti i prodotti, attività, processi, sistemi rilevanti che potrebbero compromettere il raggiungimento degli obiettivi del Gruppo. Rientrano tra i rischi operativi anche i rischi di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazione di norme imperative (di legge o di regolamenti, come ad esempio i quadri normativi afferenti trasparenza bancaria, antiriciclaggio, privacy e responsabilità amministrativa delle persone giuridiche) o di autoregolamentazione (ad esempio il Codice di autodisciplina delle società quotate).

La possibilità di una corretta gestione del rischio operativo è strettamente connessa alla presenza di assetti organizzativi, procedure operative e supporti informatici adeguati. Elemento centrale è peraltro rappresentato da un’adeguata formazione delle risorse. Banca IFIS è costantemente impegnata nella formazione e crescita professionale delle proprie risorse.

Il presidio dei rischi operativi è assicurato nell’ambito del Sistema dei Controlli Interni descritto nella Relazione sul governo societario e gli assetti proprietari predisposta in conformità del terzo comma dell’art. 123 bis del D.Lgs. 24 febbraio 1998 n. 58 (TUF).

La gestione del rischio operativo sulla controllata è, allo stato attuale, assicurata dallo stretto coinvolgimento della Capogruppo che assume decisioni in ordine alle strategie della controllata anche per quanto riguarda la gestione dei rischi. In particolare gli assetti organizzativi e i processi operativi più rilevanti della controllata sono definiti e approvati dalla Capogruppo, mentre la valutazione sul presidio dei rischi è affidata alla funzione di Internal Auditing della Capogruppo, che opera sia direttamente che tramite supporto di strutture locali specializzate.

Per quanto riguarda, infine, la Business Continuity, il Gruppo Banca IFIS si è dotato, a partire da dicembre 2006, di un Piano di Continuità Operativa, ovvero di un insieme di iniziative e contromisure predisposte per contenere le interruzioni di operatività e di servizio entro i limiti consentiti dalle strategie di continuità. Del Piano di continuità operativa fa parte anche il piano di “Disaster Recovery” predisposto per fronteggiare eventi che comportino l’indisponibilità dei sistemi informativi aziendali.

Nell’ambito dei principi Basilea 2 per la determinazione del requisito patrimoniale a fronte dei rischi operativi di primo pilastro, la Banca ha scelto di avvalersi del Metodo Base.