BCBS 239, che cos’è? Cosa richiede? Come essere compliant?

La crisi finanziaria globale del 2007 ha messo in evidenza la fragilità e l’inadeguatezza dei modelli di gestione dei dati aziendali, rivelando gravi carenze nella capacità delle banche di identificare e mitigare i rischi in modo efficace. La corretta aggregazione delle esposizioni al rischio e l’individuazione delle concentrazioni di rischio a diversi livelli—di Gruppo, di entità legale e di unità operative—erano requisiti essenziali che molte istituzioni finanziarie non erano in grado di soddisfare.

Per colmare queste lacune, nel gennaio 2013, il Comitato di Basilea sulla Sorveglianza Bancaria (BCBS) ha emanato la normativa BCBS 239, destinata alle banche di rilevanza sistemica globale (G-SIBs). Sviluppata da una task force internazionale, questa normativa stabilisce una serie di principi fondamentali per rafforzare la capacità di aggregazione dei dati di rischio e migliorare i processi di reportistica interna ed esterna. Le banche designate erano tenute ad adottare tali principi entro gennaio 2016.

Nel aprile 2020, il Comitato di Basilea ha pubblicato un aggiornamento intitolato Progress in Adopting the Principles for Effective Risk Data Aggregation and Risk Reporting. Questo documento fornisce nuove linee guida e un’analisi dello stato di adozione della normativa fino a quella data.

Tuttavia, la BCBS 239 non riguarda esclusivamente le banche G-SIB. Il Comitato di Basilea ha fortemente raccomandato agli organi di supervisione nazionali di applicare gli stessi principi anche alle banche di importanza sistemica a livello domestico (D-SIBs), con un periodo di adeguamento di tre anni dalla loro designazione.

Obiettivi della normativa: rafforzare la gestione dei dati di rischio nel settore bancario

L’obiettivo principale del BCBS 239 è migliorare la capacità delle banche di aggregare i dati di rischio in modo efficace, rafforzando così le strategie di gestione delle crisi e riducendo l’impatto delle turbolenze finanziarie.

Come stabilito dalla normativa, un solido sistema di gestione dei dati di rischio è essenziale nel quadro di ripresa e risoluzione. Questo consente sia alle banche che agli organismi di vigilanza di anticipare potenziali problemi, adottare misure preventive per mitigare i rischi e individuare soluzioni adeguate per ripristinare la stabilità finanziaria. Ad esempio, una gestione avanzata dei dati di rischio può aumentare le probabilità di individuare un partner strategico per una fusione, facilitando una risoluzione più efficace per gli istituti in difficoltà.

Oltre alla conformità normativa, l’adeguamento al BCBS 239 offre vantaggi concreti, tra cui un miglioramento dell’efficienza operativa, una riduzione della probabilità di perdite finanziarie, un processo decisionale più strategico e, in definitiva, una maggiore redditività. Investire in un sistema avanzato di aggregazione e governance dei dati di rischio non solo consente alle banche di rispettare i requisiti normativi, ma le posiziona anche per una maggiore resilienza aziendale e un vantaggio competitivo nel lungo periodo.

Principi fondamentali per un’efficace risk Data Aggregation and Reporting

Il BCBS 239 stabilisce principi essenziali per rafforzare la gestione del rischio finanziario e migliorare il processo decisionale basato sui dati nel settore bancario. Questi principi garantiscono che i dati di rischio siano accurati, tempestivi e utilizzabili, consentendo agli istituti finanziari di mantenere stabilità e conformità normativa.

I principi fondamentali includono:

• Completezza, integrità e granularità – I sistemi di rendicontazione del rischio, sia interni che esterni, devono coprire in modo esaustivo tutti i principali rischi a cui una banca è esposta. Devono operare in modo efficiente, mantenere elevati standard di qualità dei dati e integrare robusti meccanismi di controllo per garantirne l’accuratezza.
• Governance e supervisione – Il top management e i comitati di rischio devono ricevere valutazioni annuali sul livello di conformità della banca ai principi del BCBS 239, con particolare attenzione alla completezza, qualità dei dati e tempestività della rendicontazione. Eventuali lacune significative devono essere affrontate attraverso un piano strutturato di risanamento.
• Adattabilità e Risposta alle Crisi – Il sistema di rendicontazione del rischio di una banca deve essere flessibile e reattivo, capace di adattarsi a situazioni di crisi finanziaria o di rispondere a richieste urgenti degli enti di vigilanza. Che si tratti di volatilità di mercato, sviluppi interni o obblighi normativi, il sistema deve garantire reporting in tempo reale e dati accurati per supportare decisioni rapide e informate.

Seguendo questi principi, le banche non solo rispettano le normative, ma rafforzano la resilienza, migliorano l’efficienza operativa e mitigano efficacemente i rischi finanziari.

Punti d’attenzione su cui basare una metodologia per raggiungere la conformità normativa

Individuiamo tre punti chiave:

GOVERNANCE E INFRASTRUTTURA IT

Rafforzamento dell’attuale Framework di Data Quality e relativo sistema di controllo mediante:

• l’estensione della Data Governance all’attività di lavorazione dei dati di rischio e all’elaborazione della relativa reportistica
• l’evoluzione dell’architettura IT orientata all’integrazione delle filiere e all’efficientamento dell’attività di predisposizione del reporting

RISK DATA AGGREGATION CAPABILITIES

Le Banche dovrebbero essere in grado di monitorare i rischi di natura finanziaria in modo affidabile attraverso:

• un presidio sull’accuratezza e l’integrità dei dati, minimizzando gli interventi manuali
• l’aggiornamento costante e completo dei dati
• l’adattabilità e la flessibilità dei dati al fine di soddisfare le specifiche richieste

RISK REPORTING PRACTICES ENHANCEMENT

Garantire la disponibilità delle informazioni alle persone corrette al momento giusto attraverso:

• l’accountability dei dati, garantita dalla Data Governance
• l’accuratezza della reportistica
• la completezza, la chiarezza e la tempestiva disponibilità della reportistica
• la creazione di strumenti di cooperazione tra i vari attori aziendali automatizzati

Ma cosa fare nella pratica?

La prima attività consigliabile è l’individuazione del perimetro di analisi relativo ai dati “collegati ai maggiori rischi” bancari. Per “mettere a terra” i principi sopra enunciati risulta fondamentale definire e applicare criteri per determinare il perimetro informativo di applicazione della normativa, con l’obiettivo di prioritizzare gli interventi maggiormente rilevanti rispetto alle varie tipologie di rischio:

• rischi di credito
• rischi finanziari (liquidità e tasso) e rischi operativi

Un altro criterio utile nella perimetrazione degli interventi è rappresentato dalla reportistica presente all’interno della Banca:

• Reportistica manageriale
• Reportistica regolamentare (es. FINREP, COREP,…)

La seconda attività consigliata riguarda la ricognizione “dell’architettura rischi” ovvero la mappatura dei principali sistemi applicativi rilevanti nel ciclo di vita di dati (esempio Datamart ALM o COGE, DWH, CRIF,…). Questo step è di fondamentale importanza in quanto propedeutico alle attività di analisi del dato critico, nello specifico per la mappatura delle informazioni e del life cycle del dato. Il coinvolgimento delle Direzioni Rischi consente di individuare i diversi sistemi locali, i sistemi intermedi di preparazione e consolidamento delle informazioni ed evidenziare gli interscambi di flussi informativi.

Una volta identificata la totalità dei dati in perimetro di analisi, si procede poi ad accertare la lista dei dati “importanti”, a maggiore criticità, e a dettagliare una logica d’individuazione e prioritizzazione dei dati. Questa scrematura del set di dati critici avviene attraverso un’analisi di rilevanza dei dati ed è di solito condotta secondo dei criteri di significatività oltre alla ricezione di rilevazioni da parte delle funzioni di Business e IT coinvolte nell’analisi.

Dati considerabili di massima priorità possono ad esempio essere “il codice di attività economica, il codice fiscale, l’NDG di Gruppo, la probabilità di default, l’ammontare accordato deliberato, etc.”.

Infine, su questi dati si procede a:

• definire una nomenclatura e una semantica comuni, trasversali alle strutture della banca per singolo dato
• raccogliere tutte le informazioni necessarie per la definizione del data lineage per singolo dato critico (applicativi, controlli, flussi, ecc.)
• sintetizzare le informazioni raccolte nell’attività di analisi del data lineage e renderli fruibili graficamente al fine di permettere una conoscenza più accurata e fruibile del ciclo di vita del dato
• sintetizzare tutti i controlli di qualità tracciati per singolo dato dalle diverse strutture, utile per la creazione di un dizionario controlli unico
• verificare la coerenza del dato con i principi della BCBS 239, per prioritizzare le aree di miglioramento e identificare i dati maggiormente critici
• identificare gli interventi correttivi utili per colmare i gap funzionali identificati in fase di analisi e rendere i dati conformi alle indicazioni della BCBS 239.

Perchè scegliere Irion?

Irion supporta da anni moltissimi clienti bancari nel raggiungimento della conformità normativa, accelerando le attività richieste dal processo di gestione dei dati e supportando la collaborazione fattiva tra il mondo IT e il mondo del business. Irion EDM facilita la condivisione, la collaborazione e la gestione ottimale delle informazioni nonché l’automazione dei processi operativi garantendo la tracciabilità univoca dell’intero ciclo di vita del dato e la produzione della reportistica BCBS239 ai fini di audit. Se hai esigenze legate ai report regolamentari, non solo sui dati di rischio allora Irion fa per te! Mettiamo a tua disposizione la nostra esperienza. Richiedi una demo.

Ti possiamo aiutare grazie a:

• potenti motori di controllo che eseguono 2,5 milioni di controlli al minuto, verificando oltre 60 milioni di record
• un flessibile impianto di Data Quality Governance collaborativo per le interazioni tra i vari data specialist
• un efficace sistema per la gestione delle remediation e delle issue di scarsa qualità dei dati
• un modulo che permette di adottare metriche già testate da varie realtà o di definire, calcolare e analizzare qualunque tipologia di indicatore su qualunque tipologia di processo di business
• automatismi per generare intelligentemente, in pochi secondi, le regole tecniche a partire dai metadati
• inclusione nella piattaforma di tecnologie all’avanguardia come artificial intelligence e machine learning per, ad esempio, suggerire i controlli di Business più adeguati
• funzionalità uniche per la verbalizzazione automatica delle regole tecniche in linguaggio di business per facilitare l’interazione tra gli utenti di business e IT nonchè usufruire di una documentazione costantemente aggiornata
• cruscotti per il monitoraggio continuo
• è uno strumento ideale per il data lineage e l’analisi d’impatto, presenta le relazioni tra informazioni in modo grafico e interattivo
• è in grado di gestire velocemente milioni di informazioni
• e molto altro ancora…

Scopri attraverso esempi pratici come altre realtà di successo hanno già avviato la loro trasformazione.

Vuoi approfondire le principali novità della consultazione di Luglio 2023, sapere come garantire la conformità alla BCBS 239 e quali misure adottare per migliorare risk data aggregation e risk reporting? Scarica il paper gratuito qui a lato!