ro1. 3 at financial risk management il rischio operativo 2014
TRANSCRIPT
RO1
3AT
FINANCIAL RISK MANAGEMENT
IL RISCHIO OPERATIVO 2014
4
„Operational risk is the risk of loss resulting from inadequate or failed internal processes, people and systems or from external events“.
Rischio di mercatoRischio di creditoRischi operativi
Rischio totale
Event riskRischi legali
Considerati da Basila II
Non considerati
Rischi di reputazioneRischio strategico
AT
pillar
PILLAR I
5
Approcci di Vigilanza: definizione di rischio operativo
• Gli organi di regolamentazione internazionale (Comitato di Basilea) hanno fornito una definizione di rischio operativo a fini regolamentari, che è rimasta sostanzialmente invariata dal 2001
• Mentre nel 19981 lo stesso Comitato di Basilea evidenziava come presso le banche europee intervistate (circa 30 tra le principali banche europee) non esistesse una definizione univoca di rischio operativo, nel 2001 ha fornito una definizione di rischio operativo che è stata mantenuta anche con riferimento alla stima dei requisiti di capitale per i rischi operativi2:“The risk of loss resulting from inadequate or failed internal processes, people and systems or from external events”Viene chiaramente specificato che questa definizione include il rischio legale ma non include i rischi strategici, reputazionali e di sistema.
• I rischi operativi costituiscono il principale sotto-insieme di quello che la Vigilanza ha tradizionalmente definito come “altri rischi” (ovvero una categoria residuale rispetto ai rischi di mercato, di credito e di tasso di interesse), anche se non esauriscono questa categoria. Ad esempio, il “business risk” (sostanzialmente un sinonimo di “rischio strategico”) riveste un ruolo rilevante nell’insieme dei rischi di una banca o di un intermediario finanziario, così come potenzialmente catastrofico può essere il rischio reputazionale, spesso fortemente correlato col rischio legale.
1 Operational Risk Management, Settembre 1998,pagina 32 Working Paper on the Regulatory Treatment of Operational Risk, Settembre 2001 e Sounde Practices for the Management and
Supervision of Operational risk, Dicembre 20013 The New Basel Capital Accord, Third Consultative Paper, Aprile 2003
AT
6
RISCHI OPERATIVI E CONTROLLO INTERNO
AT
Per rischio operativo si intende il rischio di subire perdite derivanti dall’inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni. Rientrano in tale tipologia, tra l’altro, le perdite derivanti da frodi, errori umani, interruzioni dell’operatività, indisponibilità dei sistemi, inadempienze contrattuali, catastrofi naturali. Nel rischio operativo è compreso il rischio legale, mentre non sono inclusi quelli strategici e di reputazione.
DEFINIZIONE DI RISCHIO OPERATIVO DELLA VIGILANZA
MISURAZIONE CAPITALE REGOLAMENTARE
BASE (BIA)
STANDARD (TSA o ASA)
ADVANCED MESUREMENT APPROACH (AMA)
7
Approccio dell’Indicatore Semplice (Base)
Approccio StandardApproccio di Misurazione
Avanzata
Pilastro 1 - Capitale Minimorichiesto
Pilastro 2 - Controlloprudenziale
Pillar 3 - Disciplina dimercato
• Non ci sono requisiti particolari
• Raccomandazioni per la gestione dei rischi operativi (BIS)
• Coinvolgimento attivo dell’Alta Direzione
• Funzione indipendente per la definizione di metodologie e processi
• Mappatura delle aree di business e dei rischi
• Controllo delle procedure e delle metodologie da parte dell’Internal Auditing
• Aderenza alle raccomandazioni stabilite da Basilea (BIS)
• Implementazione di una funzione per la raccolta dei dati sulle perdite
• Raggiungimento dei requisiti per l’Approccio Standard
• Analisi dettagliata dei dati interni ed esterni sulle perdite
• La gestione del rischio e l’allocazione del capitale devono essere effettuate sulla base della misurazione del rischio
• Validazione delle metodologie di misurazione del rischio
• Analisi di scenario• Personale qualificato e adeguate
strutture informatiche• Implementazione di un sistema di
reporting
• Implementazione di un’adeguata struttura organizzativa. (BIS)
• Raccordo delle categorie di rischio e delle attività aziendali con quelle definite da Basilea
• Controllo del processo di raccolta dei dati
• Informativa al mercato sulle informazioni chiave: strategie e processi, approccio scelto, ammontare di capitale per la copertura dei rischi operativi e gli eventi pregiudizievoli, % di capitale utilizzato per la copertura dei rischi operativi in proporzione al totale del patrimonio
• Informativa al mercato su altre informazioni rilevanti
• Informativa dettagliata al mercato sull’AMA prescelto
Requisiti qualitativi
AT
8AT
• “indicatore rilevante”, il margine di intermediazione, come definito nella circolare della Banca d’italia “Il bilancio bancario: schemi e regole di compilazione” (1)
• “linee di business”, le aree di affari in cui vanno suddivise le attività aziendali, in conformità ai criteri indicati nella Parte Seconda, Sezione II, par. 2.2
• “perdita operativa”, gli effetti economici negativi derivanti da eventi di natura operativa, rilevati nella contabilità aziendale e tali da avere impatto sul conto economico
• “rischio legale”, il rischio di perdite derivanti da violazioni di leggi o regolamenti, da responsabilità contrattuale o extra-contrattuale ovvero da altre controversie
• “rischio operativo”, il rischio di perdite derivanti dalla inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni; è compreso il rischio legale
• “segmento di operatività”, un qualsiasi ambito di attività quale una linea di business, un’unità organizzativa, un’entità giuridica, un’area territoriale
RISCHI OPERATIVI E CONTROLLO INTERNO
Definizioni
9AT
• “uso combinato a livello individuale”, l’utilizzo congiunto, nell’ambito di una banca, di più metodi di calcolo del requisito patrimoniale sui rischi operativi, applicati a differenti segmenti di operatività
• “uso combinato a livello consolidato”, l’utilizzo congiunto, nell’ambito di un gruppo bancario, di più metodi di calcolo del requisito patrimoniale per i rischi operativi, applicati a differenti segmenti di operatività.
Con riferimento ai metodi avanzati si definiscono inoltre:
• “classe di rischio operativo”, una categoria di rischi operativi omogenei in termini di natura, caratteristiche o manifestazioni. Ad esempio, possono appartenere ad una stessa classe i rischi relativi ad un tipo di evento, ad una linea di business, ad un’entità giuridica, ad un’area geografica o a una combinazione delle categorie precedenti
• “correlazione”, qualsiasi forma di dipendenza (lineare, non lineare, riferita alla totalità delle perdite o a parte di esse) tra due o più classi di rischio operativo, determinata da fattori interni o esterni alla banca
RISCHI OPERATIVI E CONTROLLO INTERNO
10AT
• “data set di calcolo”, il sottoinsieme dei dati sui rischi operativi rilevati o stimati, di fonte interna o esterna alla banca, utilizzato per il calcolo del requisito patrimoniale sui rischi operativi
• “distribuzione di rischio operativo”, la distribuzione statistica delle perdite sui rischi operativi relativa ad una classe o all’intera banca
• “evento di perdita prontamente recuperata” (rapidly recovered loss event), un evento di rischio operativo che dà luogo ad una perdita completamente o parzialmente recuperata entro cinque giorni dalla data di accadimento dell’evento
• “evento di rischio operativo profittevole” (operational risk fain event), un evento di rischio operativo che dà luogo a componenti di profitto
• “misura di rischio operativo”, un determinato valore o parametro estratto dalla distribuzione di rischio operativo; ad esempio, la Expected Loss, il Value at Risk, la Expected Shortfall o il Median Shortfall
• “perdita attesa”, la perdita operativa in valore assoluto, riferita ad una classe o all’intera banca, che si manifesta mediamente su un orizzonte temporale di un anno
RISCHI OPERATIVI E CONTROLLO INTERNO
11AT
• “perdita inattesa”, la perdita eccedente la perdita attesa, riferita ad una classe o all’intera banca, calcolata sulla distribuzione di rischio con un livello di confidenza del 99,9 per cento su un orizzonte temporale di un anno
• “perdite multi-effetto” (multiple-effect losses), un insieme di perdite riferibili allo stesso evento che colpiscono differenti segmenti di operatività. Ad esempio, le perdite originate da eventi che si verificano presso funzioni centrali di supporto a più linee di business (quali la funzione sistemi informativi) ovvero quelle connesse con eventi esterni di particolare entità (ad esempio, disastri naturali)
• “perdite operative di confine con i rischi di credito” (credit risk boundary losses) e “perdite operative di confine con i rischi di mercato” (market risk boundary losses), rispettivamente le perdite su crediti e di mercato derivanti da eventi di rischio operativo. Ad esempio, per il primo tipo, le perdite derivanti da errori o frodi nel processo di concessione e gestione del credito, per il secondo, le perdite conseguenti a errori di inserimento dei prezzi o delle quantità nelle procedure di negoziazione dei titoli o a violazioni dei limiti operativi
RISCHI OPERATIVI E CONTROLLO INTERNO
12AT
• “perdite sequenziali” (multiple-time losses), un insieme di perdite riferibili allo stesso eventi che si verificano in momenti successivi. Ad esempio, le perdite derivanti da transazioni successive effettuate sulla base di informazioni errate contenute nel database di riferimento o da frodi protratte nel tempo riconducibili ad un unico schema
• “quasi perdita” (near miss eventi), un evento di rischio operativo che non determina una perdita.
RISCHI OPERATIVI E CONTROLLO INTERNO
13AT
RISCHI OPERATIVI E CONTROLLO INTERNO
RISCHIO DI IMPRESA E RISCHIO OPERATIVO
IL RISCHIO E’ FATTORE FONDAMENTALE DELL’ ATTIVITA’ DI IMPRESA.L’IMPRENDITORE, IL BANCHIERE, HANNO UN APPROCCIO AL RISCHIOCHE TENDE AD OTTIMIZZARE IL RAPPORTO RISCHIO /RENDIMENTO
LA GESTIONE DEL RISCHIO OPERATIVO HA COME OBIETTIVO PRINCIPALE IL CONTENIMENTO DEI SUOI EFFETTI NEGATIVI, ADOTTANDOPOLITICHE DI GESTIONE ATTIVA O PASSIVA. NEL PRIMO CASOL’OBIETTIVO SI ESPLICITA ATTRAVERSO L’ADOZIONE DI TECNICHEDI MITIGAZIONE O TRASFERIMENTO, NEL SECONDO CASO SI ACCETTAL’ASSUNZIONE CONSAPEVOLE DI CERTI LIVELLI DI PERDITE.LE DUE GESTIONI SONO INTERDIPENDENTI. GENERALMENTE LAPOLITICA ATTIVA E’ CONSEGUENTE A SCELTE E DECISIONI DELLAGESTIONE PASSIVA.
14AT
RISCHI OPERATIVI E CONTROLLO INTERNO
MITIGAZIONE DEL RISCHIO OPERATIVO
LA BANCA. CHE SI DEVE DOTARE DI UN MODELLO DI MISURAZIONEDEI RISCHI OPERATIVI E DECIDERE LE POLITICHE DI ASSUNZIONE E DI MITIGAZIONE .LA MITIGAZIONE SI ARTICOLA IN
CONTROLLO, SUGGERIMENTI DELL’INTERNAL AUDITING RIDUZIONE, RIDISEGNO DI PRODOTTI E PROCESSI
CONTENIMENTO, COPERTURE ASSICURATIVE O FINANZIARIE
15
Il processo di risk management
Identificazione dei rischi operativi
Valutazio
ne/
misurazione
Gestione
Controllo
• Definire che cosa si intende per rischio operativo
• Identificare categorie di rischi
• Identificare le singole fattispecie di rischio da misurare
• Il processo di identificazione è continuo, non una tantum
• Frequenza • Effetti• Modalità di
aggregazione per business units e complessiva
• Sistema di controllo interno
• Policy e procedure• Logiche
assicurative
• Monitoraggio dei limiti di rischio operativo
• Attività di revisione interna
• Alta direzione e organi corporate governance
AT
16
I rischi operativi secondo l’approccio del Comitato di Basilea
Approcci di Vigilanza: classificazione dei rischi operativi
Level 1Business Line
Internal FraudExternal Fraud
EmploymentPractices and
WorkplaceSafety
Clients, Products
& BusinessPractice
Damage to Physical Assets
Business Disruption andSystem Failure
Execution, Delivery & Process
Management
CorporateFinance
Retail Brokerage
AssetManagement
Agency Servicesand Custody
CommercialBanking
Retail Banking
Payment andSettlement
Trading &Sales
BusinessUnit
Investment Banking
Others
Banking
AT
17AT
RISCHI OPERATIVI E CONTROLLO INTERNO
CORPORATEFINANCE
FINANZA DI IMPRESA
MERCHANT BANKING
SERVIZI CONSULENZA
Fusioni e Acquisizioni (M&A),sottoscrizioni aFermo,privatizzazioni,emissioni obbligazioni(debito pubblico,alto rendimento), ricerca,Cartolarizzazioni, aumenti di capitale,sindacatidi collocamento a garanzia,IPO, collocamentiTitoli settore priveto
Trading
TRADING& SALES
COLLOCAMENTO
MARKET MAKING
ATTIVITA’ IN PROPRIO
TESORERIA
Reddito fisso,azioni,valute,merci,gestione delCredito,funding,negoziazioni in c/proprio diStrumenti finanziari,prestiti e PcT, raccoltaordini e negoziazioni c/terzi di strumentiFinanziari (v. operatori qualificati),gestionedebito,prime brokerage
18AT
RISCHI OPERATIVI E CONTROLLO INTERNO
RETAILBANKING
RETAIL BANKING
PRIVATE BANKING
GESTIONE DI CARTE
Attività principali e ancellari rivolta a clienti reatil: prestiti e depositi,servizi bancari,gestioni fiduciarie e immobiliari
Attività principali e ancillari rivolti a clienti privati:prestiti e depositi,servizi bancari,gestione fiduciarie e immobiliariconsulenze agli investimenti
Carte di debito e di credito per il settore commerciale eImprenditoriale per clientela retail e privata
COMMERCIALBANKING
COMMERCIAL BANKING
Attività principali e ancillari rivolte a clienti corporateProject finance,gestioni immobiliari, crediti export creditia attività commerciali,factoring,leasing,prestiti,fidj,camb.li
………………… (v. allegato 6)
19AT
Catalogo degli eventi – Si tratta di un elenco dettagliato degli eventi potenziali comuni a tutte le aziende che operano in un settore specifico oppure ai processi o alle attività che riguardano più settori. Esistono dei software che possono elaborare un elenco specifico di eventi generici potenziali che alcune aziende utilizzano come punto di partenza per l’identificazione degli eventi specifici alla loro attività. Per esempio, chi deve lanciare un progetto di sviluppo di software, può ricavare da un inventario dettagliato di eventi generici quelli relativi al progetto specifico da sviluppare.
Analisi interne - Queste analisi possono essere elaborate in concomitanza con il processo di pianificazione e controllo, normalmente tramite incontri con il personale delle varie unità operative. Qualche volta si possono utilizzare le informazioni provenienti dagli stakeholder (clienti, fornitori e terzi in genere), oppure da esperti esterni all’unità in esame (esperti funzionali interni e esterni oppure il personale dell’internal audit). Per esempio, chi intende proporre al mercato un nuovo prodotto, utilizza sia la propria esperienza sia ricerche di mercato svolte da esperti esterni per identificare gli eventi che possono influire sul successo del prodotto.
RISCHI OPERATIVI E CONTROLLO INTERNO
Identificazione degli eventi
20AT
Segnalatori di criticità - Sono meccanismi di controllo utilizzati per allertare il management quando l’attività aziendale si trova in una situazione problematica. Questi meccanismi consistono nel raffronto tra le operazioni correnti, o gli eventi, e parametri predefiniti (livelli, soglie). Una volta che si superano i livelli prefissati, è necessario che l’evento sia ulteriormente valutato oppure che sia formulata una risposta immediata. Per esempio, il management di una società monitora i volumi di vendita nei nuovi mercati e, in base ai risultati raggiunti, varia l’allocazione delle risorse. Il management di un’altra società segue le variazioni dei prezzi dei concorrenti e, quando questi prezzi raggiungono o superano un livello specifico, valuta l’opportunità di variare i propri prezzi.
Workshop e interviste - Queste tecniche identificano gli eventi ricorrendo alle conoscenze e alle esperienze maturate dal management, dal personale e dagli stakeholder tramite incontri organizzati. Un moderatore conduce i dibattiti sugli eventi che possono pregiudicare il conseguimento degli obiettivi a livello sia aziendale sia di unità operativa. Per esempio, il financial controller organizza un workshop, dove partecipa il personale dell’ufficio contabilità e bilancio, per identificare gli eventi che influenzano gli obiettivi di trasparenza dell’informativa societaria. Le diverse conoscenze ed esperienze dei partecipanti consentono di identificare eventi importanti, che altrimenti potrebbero essere omessi.
RISCHI OPERATIVI E CONTROLLO INTERNO
21AT
Analisi del flusso di processo – Questa tecnica mette insieme gli input, le fasi, le responsabilità e gli output che compongono un processo. Esaminando i fattori interni ed esterni, che influenzano gli input o le attività svolte all’interno di un processo, sono identificati gli eventi che potrebbero pregiudicare il conseguimento degli obiettivi del processo. Per esempio, la cassa centrale mappa i processi per la verifica, la raccolta e l’invio all’istituto centrale delle banconote usurate da distruggere. La mappatura del processo consente di rilevare una serie di fattori che potrebbero influire sulla correttezza delle conte, sull’identificazioni degli addetti ai processi e sulle rispettive responsabilità e, quindi, di identificare i rischi di errore nella predisposizione delle mazzette, al trasporto dalle filiali e all’istituto.
Indicatori di eventi – Monitorando i dati correlati agli eventi, le aziende identificano l’esistenza di situazioni che potrebbero dar luogo a un evento dannoso. Per esempio, esiste una correlazione tra il rimborso ritardato dei prestiti , i prestiti insoluti e tempestività di intervento per il recupero.Il monitoraggio dei trend storici dei pagamenti consente di acquisire conoscenze del fenomeno e dei comportamenti della clientela e quindi mitigare possibili insolvenze attivando interventi opportuni e immediati.
RISCHI OPERATIVI E CONTROLLO INTERNO
22AT
Metodologie per la raccolta dei dati sulle perdite – Le raccolte dei dati storici di eventi che hanno generato perdite costituiscono una fonte utile di informazioni per identificarne il trend e le cause originarie. Una volta che è stata identificata la causa originaria della perdita, il management può decidere se sia più efficace intervenire su questa, invece di soffermarsi su singoli eventi. Per esempio, una società di leasing, per il segmento autoveicoli, dispone di un database delle denunce ricevute per insolvenze. Analizzando i dati disponibili, rileva che una percentuale abnorme di esse, sia in numero che in valore, è imputabile ad clienti di specifiche aree geografiche , promotori. Questa analisi consente al management di identificare le eventuali anomalie all’origine degli eventi e di intraprendere le necessarie azioni correttive.
RISCHI OPERATIVI E CONTROLLO INTERNO
23AT
RISCHI OPERATIVI E CONTROLLO INTERNO
Economici Infrastrutture. Disponibilità di capitali . Disponibilità di risorse materiali. Emissioni di prestiti, insolvenze . potenzialità delle risorse materiali. Concentrazione . Accesso ai capitali. Liquidità . Complessità. Mercati finanziari Personale. Disoccupazione . Potenzialità delle risorse umane. Concorrenza . Frodi. Fusioni/acquisizioni . Salute e sicurezzaAmbientali Processo. Inquinamento e rifiuti . Risorse. Energia . Disegno. Catastrofi naturali . Esecuzione. Sviluppo sostenibile . Fornitori/dipendenze
Categorie di eventi
Fattori esterni Fattori interni
24AT
RISCHI OPERATIVI E CONTROLLO INTERNO
Categorie di eventi
Fattori esterni Fattori interni
Politici. Cambiamenti nel contesto politico. Legislazione. Politiche pubbliche. RegolamentazioneSociali. Demografici. Comportamento dei consumatori. Nazionalità dell’azienda. Privacy. TerrorismoTecnologici. Interruzioni. Commercio elettronico. Dati esterni. Tecnologia emergente
Tecnologia. Integrità dei dati. Disponibilità dei dati e dei sistemi. Scelta del sistema. Sviluppo. Diffusione. Manutenzione