Transcript rischio operativo

RO1
FINANCIAL RISK MANAGEMENT
IL RISCHIO OPERATIVO
2014
3
AT
PILLAR I
p
i
l
l
a
r
Rischio di credito
Rischio totale
Rischio di mercato
Rischi operativi
Considerati da Basila II
Event risk
Rischi legali
Non considerati
Rischi di reputazione
Rischio strategico
„Operational risk is the risk of loss resulting from inadequate or failed
internal processes, people and systems or from external events“.
AT
4
Approcci di Vigilanza: definizione di rischio operativo
•
•
•
Gli organi di regolamentazione internazionale (Comitato di Basilea) hanno fornito una definizione di
rischio operativo a fini regolamentari, che è rimasta sostanzialmente invariata dal 2001
Mentre nel 19981 lo stesso Comitato di Basilea evidenziava come presso le banche europee intervistate
(circa 30 tra le principali banche europee) non esistesse una definizione univoca di rischio operativo, nel
2001 ha fornito una definizione di rischio operativo che è stata mantenuta anche con riferimento alla
stima dei requisiti di capitale per i rischi operativi2:
“The risk of loss resulting from inadequate or failed internal processes, people and systems or from
external events”
Viene chiaramente specificato che questa definizione include il rischio legale ma non include i rischi
strategici, reputazionali e di sistema.
I rischi operativi costituiscono il principale sotto-insieme di quello che la Vigilanza ha tradizionalmente
definito come “altri rischi” (ovvero una categoria residuale rispetto ai rischi di mercato, di credito e di
tasso di interesse), anche se non esauriscono questa categoria. Ad esempio, il “business risk”
(sostanzialmente un sinonimo di “rischio strategico”) riveste un ruolo rilevante nell’insieme dei rischi di
una banca o di un intermediario finanziario, così come potenzialmente catastrofico può essere il rischio
reputazionale, spesso fortemente correlato col rischio legale.
1
Operational Risk Management, Settembre 1998,pagina 3
2 Working Paper on the Regulatory Treatment of Operational Risk, Settembre 2001 e Sounde Practices for the Management and
Supervision of Operational risk, Dicembre 2001
3 The New Basel Capital Accord, Third Consultative Paper, Aprile 2003
AT
5
RISCHI OPERATIVI E CONTROLLO INTERNO
DEFINIZIONE DI RISCHIO OPERATIVO DELLA VIGILANZA
Per rischio operativo si intende il rischio di subire perdite derivanti
dall’inadeguatezza o dalla disfunzione di procedure, risorse umane e
sistemi interni, oppure da eventi esogeni. Rientrano in tale tipologia,
tra l’altro, le perdite derivanti da frodi, errori umani, interruzioni
dell’operatività, indisponibilità dei sistemi, inadempienze contrattuali,
catastrofi naturali. Nel rischio operativo è compreso il rischio legale,
mentre non sono inclusi quelli strategici e di reputazione.
MISURAZIONE CAPITALE REGOLAMENTARE
BASE
(BIA)
STANDARD
(TSA o ASA)
ADVANCED MESUREMENT
APPROACH (AMA)
AT
6
Requisiti qualitativi
Approccio dell’Indicatore
Semplice (Base)
Pilastro 1 Capitale
Minimo
richiesto
Pilastro 2 Controllo
prudenziale
Pillar 3 Disciplina di
mercato
• Non ci sono requisiti
particolari
• Raccomandazioni per la
gestione dei rischi operativi
(BIS)
• Implementazione di
un’adeguata struttura
organizzativa. (BIS)
Approccio Standard
Approccio di Misurazione
Avanzata
• Coinvolgimento attivo dell’Alta
Direzione
• Funzione indipendente per la
definizione di metodologie e
processi
• Mappatura delle aree di
business e dei rischi
• Controllo delle procedure e
delle metodologie da parte
dell’Internal Auditing
• Aderenza alle raccomandazioni
stabilite da Basilea (BIS)
• Implementazione di una
funzione per la raccolta dei dati
sulle perdite
• Raggiungimento dei requisiti per
l’Approccio Standard
• Analisi dettagliata dei dati interni
ed esterni sulle perdite
• La gestione del rischio e
l’allocazione del capitale devono
essere effettuate sulla base della
misurazione del rischio
• Validazione delle metodologie di
misurazione del rischio
• Analisi di scenario
• Personale qualificato e adeguate
strutture informatiche
• Implementazione di un sistema di
reporting
• Raccordo delle categorie di
rischio e delle attività aziendali
con quelle definite da Basilea
• Informativa al mercato sulle informazioni chiave: strategie e processi,
approccio scelto, ammontare di capitale per la copertura dei rischi
operativi e gli eventi pregiudizievoli, % di capitale utilizzato per la
copertura dei rischi operativi in proporzione al totale del patrimonio
• Informativa al mercato su altre informazioni rilevanti
• Controllo del processo di
raccolta dei dati
• Informativa dettagliata al
mercato sull’AMA prescelto
AT
7
RISCHI OPERATIVI E CONTROLLO INTERNO
Definizioni
• “indicatore rilevante”, il margine di intermediazione, come definito nella circolare della
Banca d’italia “Il bilancio bancario: schemi e regole di compilazione” (1)
• “linee di business”, le aree di affari in cui vanno suddivise le attività aziendali, in
conformità ai criteri indicati nella Parte Seconda, Sezione II, par. 2.2
• “perdita operativa”, gli effetti economici negativi derivanti da eventi di natura operativa,
rilevati nella contabilità aziendale e tali da avere impatto sul conto economico
• “rischio legale”, il rischio di perdite derivanti da violazioni di leggi o regolamenti, da
responsabilità contrattuale o extra-contrattuale ovvero da altre controversie
• “rischio operativo”, il rischio di perdite derivanti dalla inadeguatezza o dalla disfunzione di
procedure, risorse umane e sistemi interni, oppure da eventi esogeni; è compreso il rischio
legale
• “segmento di operatività”, un qualsiasi ambito di attività quale una linea di business,
un’unità organizzativa, un’entità giuridica, un’area territoriale
8
AT
RISCHI OPERATIVI E CONTROLLO INTERNO
• “uso combinato a livello individuale”, l’utilizzo congiunto, nell’ambito di una banca, di
più metodi di calcolo del requisito patrimoniale sui rischi operativi, applicati a differenti
segmenti di operatività
• “uso combinato a livello consolidato”, l’utilizzo congiunto, nell’ambito di un gruppo
bancario, di più metodi di calcolo del requisito patrimoniale per i rischi operativi,
applicati a differenti segmenti di operatività.
Con riferimento ai metodi avanzati si definiscono inoltre:
• “classe di rischio operativo”, una categoria di rischi operativi omogenei in termini di
natura, caratteristiche o manifestazioni. Ad esempio, possono appartenere ad una
stessa classe i rischi relativi ad un tipo di evento, ad una linea di business, ad un’entità
giuridica, ad un’area geografica o a una combinazione delle categorie precedenti
• “correlazione”, qualsiasi forma di dipendenza (lineare, non lineare, riferita alla totalità
delle perdite o a parte di esse) tra due o più classi di rischio operativo, determinata da
fattori interni o esterni alla banca
9
AT
RISCHI OPERATIVI E CONTROLLO INTERNO
• “data set di calcolo”, il sottoinsieme dei dati sui rischi operativi rilevati o stimati, di
fonte interna o esterna alla banca, utilizzato per il calcolo del requisito patrimoniale sui
rischi operativi
• “distribuzione di rischio operativo”, la distribuzione statistica delle perdite sui rischi
operativi relativa ad una classe o all’intera banca
• “evento di perdita prontamente recuperata” (rapidly recovered loss event), un evento
di rischio operativo che dà luogo ad una perdita completamente o parzialmente
recuperata entro cinque giorni dalla data di accadimento dell’evento
• “evento di rischio operativo profittevole” (operational risk fain event), un evento di
rischio operativo che dà luogo a componenti di profitto
• “misura di rischio operativo”, un determinato valore o parametro estratto dalla
distribuzione di rischio operativo; ad esempio, la Expected Loss, il Value at Risk, la
Expected Shortfall o il Median Shortfall
• “perdita attesa”, la perdita operativa in valore assoluto, riferita ad una classe o
all’intera banca, che si manifesta mediamente su un orizzonte temporale di un anno
10
AT
RISCHI OPERATIVI E CONTROLLO INTERNO
• “perdita inattesa”, la perdita eccedente la perdita attesa, riferita ad una classe o
all’intera banca, calcolata sulla distribuzione di rischio con un livello di confidenza del
99,9 per cento su un orizzonte temporale di un anno
• “perdite multi-effetto” (multiple-effect losses), un insieme di perdite riferibili allo stesso
evento che colpiscono differenti segmenti di operatività. Ad esempio, le perdite
originate da eventi che si verificano presso funzioni centrali di supporto a più linee di
business (quali la funzione sistemi informativi) ovvero quelle connesse con eventi
esterni di particolare entità (ad esempio, disastri naturali)
• “perdite operative di confine con i rischi di credito” (credit risk boundary losses) e
“perdite operative di confine con i rischi di mercato” (market risk boundary losses),
rispettivamente le perdite su crediti e di mercato derivanti da eventi di rischio operativo.
Ad esempio, per il primo tipo, le perdite derivanti da errori o frodi nel processo di
concessione e gestione del credito, per il secondo, le perdite conseguenti a errori di
inserimento dei prezzi o delle quantità nelle procedure di negoziazione dei titoli o a
violazioni dei limiti operativi
11
AT
RISCHI OPERATIVI E CONTROLLO INTERNO
• “perdite sequenziali” (multiple-time losses), un insieme di perdite riferibili allo stesso
eventi che si verificano in momenti successivi. Ad esempio, le perdite derivanti da
transazioni successive effettuate sulla base di informazioni errate contenute nel
database di riferimento o da frodi protratte nel tempo riconducibili ad un unico schema
• “quasi perdita” (near miss eventi), un evento di rischio operativo che non determina
una perdita.
12
AT
RISCHI OPERATIVI E CONTROLLO INTERNO
RISCHIO DI IMPRESA E RISCHIO OPERATIVO
IL RISCHIO E’ FATTORE FONDAMENTALE DELL’ ATTIVITA’ DI IMPRESA.
L’IMPRENDITORE, IL BANCHIERE, HANNO UN APPROCCIO AL RISCHIO
CHE TENDE AD OTTIMIZZARE IL RAPPORTO RISCHIO /RENDIMENTO
LA GESTIONE DEL RISCHIO OPERATIVO HA COME OBIETTIVO
PRINCIPALE IL CONTENIMENTO DEI SUOI EFFETTI NEGATIVI, ADOTTANDO
POLITICHE DI GESTIONE ATTIVA O PASSIVA. NEL PRIMO CASO
L’OBIETTIVO SI ESPLICITA ATTRAVERSO L’ADOZIONE DI TECNICHE
DI MITIGAZIONE O TRASFERIMENTO, NEL SECONDO CASO SI ACCETTA
L’ASSUNZIONE CONSAPEVOLE DI CERTI LIVELLI DI PERDITE.
LE DUE GESTIONI SONO INTERDIPENDENTI. GENERALMENTE LA
POLITICA ATTIVA E’ CONSEGUENTE A SCELTE E DECISIONI DELLA
GESTIONE PASSIVA.
13
AT
RISCHI OPERATIVI E CONTROLLO INTERNO
MITIGAZIONE DEL RISCHIO OPERATIVO
LA BANCA. CHE SI DEVE DOTARE DI UN MODELLO DI MISURAZIONE
DEI RISCHI OPERATIVI E DECIDERE LE POLITICHE DI ASSUNZIONE E
DI MITIGAZIONE .
LA MITIGAZIONE SI ARTICOLA IN
CONTROLLO,
SUGGERIMENTI DELL’INTERNAL AUDITING
RIDUZIONE,
RIDISEGNO DI PRODOTTI E PROCESSI
CONTENIMENTO, COPERTURE ASSICURATIVE O FINANZIARIE
14
AT
Il processo di risk management
Identificazione
dei rischi
operativi
• Definire che cosa
si intende per
rischio operativo
• Identificare
categorie di rischi
• Identificare
le
singole
fattispecie
di
rischio
da
misurare
• Il processo di
identificazione è
continuo,
non
una tantum
Valutazio
ne/
Gestione
Controllo
misurazio
ne
• Sistema di controllo
• Frequenza
interno
• Effetti
• Modalità
di • Policy e procedure
aggregazione per • Logiche
assicurative
business units e
complessiva
• Monitoraggio dei limiti
di rischio operativo
• Attività di revisione
interna
• Alta direzione e organi
corporate governance
AT
15
Approcci di Vigilanza: classificazione dei rischi operativi
I rischi operativi secondo l’approccio del Comitato di Basilea
Business
Unit
Investment
Banking
Employment
Clients,
Execution,
Business
Level 1
Practices and Products
Damage to
Delivery &
Internal FraudExternal Fraud
Disruption and
Business Line
Workplace
& Business Physical Assets
Process
System Failure
Safety
Practice
Management
Corporate
Finance
Trading &
Sales
Retail
Banking
Banking
Commercial
Banking
Payment and
Settlement
Agency Services
and Custody
Others
Asset
Management
Retail Brokerage
AT
16
RISCHI OPERATIVI E CONTROLLO INTERNO
FINANZA DI IMPRESA
CORPORATE
FINANCE
MERCHANT BANKING
Fusioni e Acquisizioni (M&A),sottoscrizioni a
Fermo,privatizzazioni,emissioni obbligazioni
(debito pubblico,alto rendimento), ricerca,
Cartolarizzazioni, aumenti di capitale,sindacati
di collocamento a garanzia,IPO, collocamenti
Titoli settore priveto
SERVIZI CONSULENZA
COLLOCAMENTO
T
r TRADING
a & SALES
d
i
n
g
MARKET MAKING
ATTIVITA’ IN PROPRIO
Reddito fisso,azioni,valute,merci,gestione del
Credito,funding,negoziazioni in c/proprio di
Strumenti finanziari,prestiti e PcT, raccolta
ordini e negoziazioni c/terzi di strumenti
Finanziari (v. operatori qualificati),gestione
debito,prime brokerage
TESORERIA
AT
17
RISCHI OPERATIVI E CONTROLLO INTERNO
RETAIL BANKING
RETAIL
BANKING
Attività principali e ancellari rivolta a clienti reatil: prestiti
e depositi,servizi bancari,gestioni fiduciarie e immobiliari
Attività principali e ancillari rivolti a clienti privati:prestiti
PRIVATE BANKING e depositi,servizi bancari,gestione fiduciarie e immobiliari
consulenze agli investimenti
GESTIONE DI CARTE Carte di debito e di credito per il settore commerciale e
Imprenditoriale per clientela retail e privata
COMMERCIAL
BANKING
COMMERCIAL
BANKING
Attività principali e ancillari rivolte a clienti corporate
Project finance,gestioni immobiliari, crediti export crediti
a attività commerciali,factoring,leasing,prestiti,fidj,camb.li
………………… (v. allegato 6)
AT
18
RISCHI OPERATIVI E CONTROLLO INTERNO
Identificazione degli eventi
Catalogo degli eventi – Si tratta di un elenco dettagliato degli eventi potenziali comuni a
tutte le aziende che operano in un settore specifico oppure ai processi o alle attività che
riguardano più settori. Esistono dei software che possono elaborare un elenco specifico di
eventi generici potenziali che alcune aziende utilizzano come punto di partenza per
l’identificazione degli eventi specifici alla loro attività. Per esempio, chi deve lanciare un
progetto di sviluppo di software, può ricavare da un inventario dettagliato di eventi generici
quelli relativi al progetto specifico da sviluppare.
Analisi interne - Queste analisi possono essere elaborate in concomitanza con il
processo di pianificazione e controllo, normalmente tramite incontri con il personale delle
varie unità operative. Qualche volta si possono utilizzare le informazioni provenienti dagli
stakeholder (clienti, fornitori e terzi in genere), oppure da esperti esterni all’unità in esame
(esperti funzionali interni e esterni oppure il personale dell’internal audit). Per esempio, chi
intende proporre al mercato un nuovo prodotto, utilizza sia la propria esperienza sia
ricerche di mercato svolte da esperti esterni per identificare gli eventi che possono influire
sul successo del prodotto.
AT
19
RISCHI OPERATIVI E CONTROLLO INTERNO
Segnalatori di criticità - Sono meccanismi di controllo utilizzati per allertare il
management quando l’attività aziendale si trova in una situazione problematica. Questi
meccanismi consistono nel raffronto tra le operazioni correnti, o gli eventi, e parametri
predefiniti (livelli, soglie). Una volta che si superano i livelli prefissati, è necessario che
l’evento sia ulteriormente valutato oppure che sia formulata una risposta immediata. Per
esempio, il management di una società monitora i volumi di vendita nei nuovi mercati e, in
base ai risultati raggiunti, varia l’allocazione delle risorse. Il management di un’altra società
segue le variazioni dei prezzi dei concorrenti e, quando questi prezzi raggiungono o
superano un livello specifico, valuta l’opportunità di variare i propri prezzi.
Workshop e interviste - Queste tecniche identificano gli eventi ricorrendo alle
conoscenze e alle esperienze maturate dal management, dal personale e dagli
stakeholder tramite incontri organizzati. Un moderatore conduce i dibattiti sugli eventi che
possono pregiudicare il conseguimento degli obiettivi a livello sia aziendale sia di unità
operativa. Per esempio, il financial controller organizza un workshop, dove partecipa il
personale dell’ufficio contabilità e bilancio, per identificare gli eventi che influenzano gli
obiettivi di trasparenza dell’informativa societaria. Le diverse conoscenze ed esperienze
dei partecipanti consentono di identificare eventi importanti, che altrimenti potrebbero
essere omessi.
20
AT
RISCHI OPERATIVI E CONTROLLO INTERNO
Analisi del flusso di processo – Questa tecnica mette insieme gli input, le fasi, le
responsabilità e gli output che compongono un processo. Esaminando i fattori interni ed
esterni, che influenzano gli input o le attività svolte all’interno di un processo, sono
identificati gli eventi che potrebbero pregiudicare il conseguimento degli obiettivi del
processo. Per esempio, la cassa centrale mappa i processi per la verifica, la raccolta e
l’invio all’istituto centrale delle banconote usurate da distruggere. La mappatura del
processo consente di rilevare una serie di fattori che potrebbero influire sulla correttezza
delle conte, sull’identificazioni degli addetti ai processi e sulle rispettive responsabilità e,
quindi, di identificare i rischi di errore nella predisposizione delle mazzette, al trasporto
dalle filiali e all’istituto.
Indicatori di eventi – Monitorando i dati correlati agli eventi, le aziende identificano
l’esistenza di situazioni che potrebbero dar luogo a un evento dannoso. Per esempio,
esiste una correlazione tra il rimborso ritardato dei prestiti , i prestiti insoluti e tempestività
di intervento per il recupero.Il monitoraggio dei trend storici dei pagamenti consente di
acquisire conoscenze del fenomeno e dei comportamenti della clientela e quindi mitigare
possibili insolvenze attivando interventi opportuni e immediati.
21
AT
RISCHI OPERATIVI E CONTROLLO INTERNO
Metodologie per la raccolta dei dati sulle perdite – Le raccolte dei dati storici di eventi
che hanno generato perdite costituiscono una fonte utile di informazioni per identificarne il
trend e le cause originarie. Una volta che è stata identificata la causa originaria della
perdita, il management può decidere se sia più efficace intervenire su questa, invece di
soffermarsi su singoli eventi. Per esempio, una società di leasing, per il segmento
autoveicoli, dispone di un database delle denunce ricevute per insolvenze. Analizzando i
dati disponibili, rileva che una percentuale abnorme di esse, sia in numero che in valore, è
imputabile ad clienti di specifiche aree geografiche , promotori. Questa analisi consente al
management di identificare le eventuali anomalie all’origine degli eventi e di intraprendere
le necessarie azioni correttive.
22
AT
RISCHI OPERATIVI E CONTROLLO INTERNO
Categorie di eventi
Fattori esterni
Economici
. Disponibilità di capitali
. Emissioni di prestiti, insolvenze
. Concentrazione
. Liquidità
. Mercati finanziari
. Disoccupazione
. Concorrenza
. Fusioni/acquisizioni
Ambientali
. Inquinamento e rifiuti
. Energia
. Catastrofi naturali
. Sviluppo sostenibile
Fattori interni
Infrastrutture
. Disponibilità di risorse materiali
. potenzialità delle risorse materiali
. Accesso ai capitali
. Complessità
Personale
. Potenzialità delle risorse umane
. Frodi
. Salute e sicurezza
Processo
. Risorse
. Disegno
. Esecuzione
. Fornitori/dipendenze
23
AT
RISCHI OPERATIVI E CONTROLLO INTERNO
Categorie di eventi
Fattori esterni
Fattori interni
Politici
. Cambiamenti nel contesto politico
. Legislazione
. Politiche pubbliche
. Regolamentazione
Sociali
. Demografici
. Comportamento dei consumatori
. Nazionalità dell’azienda
. Privacy
. Terrorismo
Tecnologici
. Interruzioni
. Commercio elettronico
. Dati esterni
. Tecnologia emergente
Tecnologia
. Integrità dei dati
. Disponibilità dei dati e dei sistemi
. Scelta del sistema
. Sviluppo
. Diffusione
. Manutenzione
24
AT