“Superare la complessità della quantificazione
dei rischi connessi ai sistemi informativi
attraverso una metodologia strutturata”
“Il rischio accettato”
Lecce 21 maggio 2004
Marcella di Domenico
Luca Marzegalli
-1-
RISCHIO
DI
CREDITO
RISCHIO
DI
MERCATO
RISCHIO
OPERATIVO
Il Rischio Operativo
dei Sistemi
Informativi
SISTEMI INFORMATIVI
Il Rischio secondo Basilea II
Rischio operativo dei sistemi informativi
•Tecnologie
•Sistemi informatici
(malfunzionamenti e
guasti di server, apparati
di rete e altri sistemi
hardware, etc.)
•Dati (manomissione o
perdita di dati, etc.)
•Procedure
Errori nelle procedure di
backup, nelle procedure
di aggiornamento delle
utenze, etc.
•Personale
Accesso non autorizzato
ai sistemi, attacchi
informatici, frodi, etc.
-2-
Perdite
Stima di perdite
quantificabili e
contabilizzabili sul
conto economico
Perché valutarli
 Minore immobilizzazione di capitale in base alle
condizioni stabilite dagli accordi di Basilea II
 Continuo monitoraggio del sistema e individuazione
dei fattori chiave per il miglioramento
 Valutazione del ritorno economico sugli investimenti
volti a migliorare il sistema informativo
 Possibilità di legare il prezzo dei servizi offerti ai
rischi effettivamente assunti dalla banca
 Possibilità di risparmiare capitale trasferendo al
mondo assicurativo una parte dei rischi
-3-
Complessità e costi
Basilea II - Approcci
In questa opzione dello spettro di
metodologie di misurazione, il
capitale regolamentare è ottenuto
applicando una metodologia
interna della banca
Advanced
Measurement
Approach
(AMA)
Il requisito di capitale si ottiene suddividendo
l’attività della banca in business line standard
e applicando al GI di ciascuna di esse un
coefficiente β che va da un 12% a un 18%;
il requisito a livello di Gruppo è la somma dei
requisiti delle business lines.
Standardized
Approach
(SA)
Basic Indicator
Approach
(BIA)
Il requisito di capitale richiesto è pari al prodotto
del Gross Income (GI) a livello di Gruppo per un
coefficiente α, provvisoriamente fissato al 15%.
Vantaggi
-4-
AMA: Approcci Proposti da Basilea 2
TEMPI DI
IMPLEMENTAZIONE
COSTI
NECESSITA’
DATI DI
PERDITA
RISORSE
INTERNE
NECESSARIE
IMA
Internal Measurement Analysis
Il requisito di capitale dipende dalla somma delle perdite
attese e inattese. Le perdite attese di ogni linea di business
sono calcolate esaminando i dati storici di perdita media; le
perdite inattese si ottengono moltiplicando le perdite attese
per un fattore “gamma” fornito da analisi di settore
(standard industry factor).
Medi
Medio
Bassi
Alta
Basse
Lunghi
Medio
Alti
Molto
Alta
Medie
Medio
Brevi
Medio
Alti
Media
Alte
SCORECARD
LDA
Loss Distribution Analysis
Il requisito di capitale viene ricavato dall’applicazione di
una distribuzione statistica che modella i dati storici di
perdita (interni ed esterni), in modo simile al modelli usati
per calcolare i rischi di credito e di mercato.
Scorecard
Il requisito di capitale viene calcolato attraverso un’analisi
dei dati storici di perdita ma con un’evoluzione nel tempo
guidato non solamente dal cambiamento dei dati storici ma
anche dall’analisi di indicatori quantitativi sui rischi futuri e
stime qualitative prodotte dai sistemi di controllo.
-5-
Complessità della valutazione
RILEVAZIONE INFORMAZIONI
•Reperibilità di serie storiche
consistenti sui dati di perdita
•Necessità di utilizzare dati storici
interni ed esterni continuamente
aggiornati sulla frequenza degli eventi
e sulle perdite subite a seguito di
incidenti ai sistemi informativi
•Definizione di una base statistica per
valutare eventi a bassa probabilità di
accadimento ed alto impatto
economico
POSIZIONAMENTO E
CONTESTO OPERATIVO
•Eterogeneità delle fonti informative
•Difficoltà nell’identificazione del
livello di dettaglio adeguato di analisi
del contesto
•Complessità nell’adattare dati esterni
al contesto specifico
•Difficoltà nell’integrazione di dati
qualitativi
STIMA PERDITA
•Mancanza di una metodologia
consolidata che tragga beneficio
dell’utilizzo dati provenienti dalle
varie fonti
•Necessità di un adeguato livello di
precisione delle stime, compatibile con
il budget a disposizione
•Difficoltà nell’integrare diversi
approcci e modelli per avere risultati
più precisi
•Necessità di continui controlli sulla
metodologia applicata
•Difficoltà nell’integrazione di dati
soggettivi
•Necessità di gestione della complessità attraverso una metodologia che sia adeguata al
contesto di riferimento e alla disponibilità di dati sia interni che esterni
•I maggiori benefici si traggono da modelli di stima efficienti, ossia in grado di prevedere la
perdita in base a poche variabili significative e facilmente osservabili.
-6-
La metodologia
INPUT
SIMULAZIONE
OUTPUT
RILEVAZIONE
CONTESTO
Quantitativo
REQUISITO
PATRIMONIALE
FREQUENZA
IMPATTO
Qualitativo
MODELLIZZAZIONE
PERDITA
RILEVAZIONE
PERDITE
ELEMENTI DI
MITIGAZIONE
DEL RISCHIO
CALIBRAZIONE
Quantitativo
FATTORI DI CORREZIONE
(Cambiamenti, Assicurazioni, Qualità dei Controlli …)
-7-
INDICATORI DI
CONTROLLO
La metodologia: INPUT
RILEVAZIONE CONTESTO
RILEVAZIONE PERDITE
DATI STORICI INTERNI
BUSINESS
PROCESSI CHIAVE
STRUTTURA
ORGANIZZATIVA
CATEGORIZZAZIONE
INFRASTRUTTURA
TECNOLOGICA
Basato su analisi della
documentazione esistente in azienda
e sulla ricostruzione storica dei key
informants
DATI STORICI ESTERNI
Basati su un archivio di rilevazioni
annuali di campione significativo di
aziende
RELAZIONI ESTERNE
RILEVAZIONE INDICATORI CHIAVE DI
PROCESSO E CONTROLLO
-8-
La metodologia: SIMULAZIONE
MODELLIZZAZIONE
FREQ./IMPATTO
MODELLIZZAZIONE
DATI STORICI
MODELLIZZAZIONE PERDITA
MOD. 1
MODELLO
FINALE
PERDITA
MOD. 2
IMPATTO
MOD. 3
CONFRONTO MODELLI
INDIVIDUAZIONE
COMPONENTI DI RISCHIO
FREQUENZA
SCELTA
MODELLO
CALIBRAZIONE
Basata su dati
qualitativi derivati
dall’esperienza
MOD. 4
AFFINAMENTO
MODELLO
FATTORI DI CORREZIONE
(Cambiamenti futuri, Assicurazioni,
Qualità dei Controlli …)
-9-
CARMM® Il Tool
Computer Aided Risk Management Methodology
 Requisiti per poter utilizzare
Advanced Measurement Approaches
(AMA)
 Valutazione pregeresso
 Campionatura tecnica
 Interfaccia utente intuitiva
 Linearità nella compilazione
dei questionari
CARMM
 Procedure guidate per il
raggiungimento delle stime
®
 Possibilità di effettuare e
confrontare Simulazioni
- 10 -
RIFERIMENTI
GRAZIE DELL’ATTENZIONE
Marcella Di Domenico
Siemens Informatica S.p.A.
Gruppo Siemens Business Services
Security Manager
Via del Maggiolino163
00155 ROMA
tel. 06 - 22.133.657
Luca Marzegalli
CEFRIEL – Politecnico di Milano
Security Lab
Via Fucini 2
20133 MILANO
tel. 02 – 23954.216
fax. 02 – 23954.416
fax. 06 - 22.133.692
- 11 -