“Superare la complessità della quantificazione dei rischi connessi ai sistemi informativi attraverso una metodologia strutturata” “Il rischio accettato” Lecce 21 maggio 2004 Marcella di Domenico Luca Marzegalli -1- RISCHIO DI CREDITO RISCHIO DI MERCATO RISCHIO OPERATIVO Il Rischio Operativo dei Sistemi Informativi SISTEMI INFORMATIVI Il Rischio secondo Basilea II Rischio operativo dei sistemi informativi •Tecnologie •Sistemi informatici (malfunzionamenti e guasti di server, apparati di rete e altri sistemi hardware, etc.) •Dati (manomissione o perdita di dati, etc.) •Procedure Errori nelle procedure di backup, nelle procedure di aggiornamento delle utenze, etc. •Personale Accesso non autorizzato ai sistemi, attacchi informatici, frodi, etc. -2- Perdite Stima di perdite quantificabili e contabilizzabili sul conto economico Perché valutarli Minore immobilizzazione di capitale in base alle condizioni stabilite dagli accordi di Basilea II Continuo monitoraggio del sistema e individuazione dei fattori chiave per il miglioramento Valutazione del ritorno economico sugli investimenti volti a migliorare il sistema informativo Possibilità di legare il prezzo dei servizi offerti ai rischi effettivamente assunti dalla banca Possibilità di risparmiare capitale trasferendo al mondo assicurativo una parte dei rischi -3- Complessità e costi Basilea II - Approcci In questa opzione dello spettro di metodologie di misurazione, il capitale regolamentare è ottenuto applicando una metodologia interna della banca Advanced Measurement Approach (AMA) Il requisito di capitale si ottiene suddividendo l’attività della banca in business line standard e applicando al GI di ciascuna di esse un coefficiente β che va da un 12% a un 18%; il requisito a livello di Gruppo è la somma dei requisiti delle business lines. Standardized Approach (SA) Basic Indicator Approach (BIA) Il requisito di capitale richiesto è pari al prodotto del Gross Income (GI) a livello di Gruppo per un coefficiente α, provvisoriamente fissato al 15%. Vantaggi -4- AMA: Approcci Proposti da Basilea 2 TEMPI DI IMPLEMENTAZIONE COSTI NECESSITA’ DATI DI PERDITA RISORSE INTERNE NECESSARIE IMA Internal Measurement Analysis Il requisito di capitale dipende dalla somma delle perdite attese e inattese. Le perdite attese di ogni linea di business sono calcolate esaminando i dati storici di perdita media; le perdite inattese si ottengono moltiplicando le perdite attese per un fattore “gamma” fornito da analisi di settore (standard industry factor). Medi Medio Bassi Alta Basse Lunghi Medio Alti Molto Alta Medie Medio Brevi Medio Alti Media Alte SCORECARD LDA Loss Distribution Analysis Il requisito di capitale viene ricavato dall’applicazione di una distribuzione statistica che modella i dati storici di perdita (interni ed esterni), in modo simile al modelli usati per calcolare i rischi di credito e di mercato. Scorecard Il requisito di capitale viene calcolato attraverso un’analisi dei dati storici di perdita ma con un’evoluzione nel tempo guidato non solamente dal cambiamento dei dati storici ma anche dall’analisi di indicatori quantitativi sui rischi futuri e stime qualitative prodotte dai sistemi di controllo. -5- Complessità della valutazione RILEVAZIONE INFORMAZIONI •Reperibilità di serie storiche consistenti sui dati di perdita •Necessità di utilizzare dati storici interni ed esterni continuamente aggiornati sulla frequenza degli eventi e sulle perdite subite a seguito di incidenti ai sistemi informativi •Definizione di una base statistica per valutare eventi a bassa probabilità di accadimento ed alto impatto economico POSIZIONAMENTO E CONTESTO OPERATIVO •Eterogeneità delle fonti informative •Difficoltà nell’identificazione del livello di dettaglio adeguato di analisi del contesto •Complessità nell’adattare dati esterni al contesto specifico •Difficoltà nell’integrazione di dati qualitativi STIMA PERDITA •Mancanza di una metodologia consolidata che tragga beneficio dell’utilizzo dati provenienti dalle varie fonti •Necessità di un adeguato livello di precisione delle stime, compatibile con il budget a disposizione •Difficoltà nell’integrare diversi approcci e modelli per avere risultati più precisi •Necessità di continui controlli sulla metodologia applicata •Difficoltà nell’integrazione di dati soggettivi •Necessità di gestione della complessità attraverso una metodologia che sia adeguata al contesto di riferimento e alla disponibilità di dati sia interni che esterni •I maggiori benefici si traggono da modelli di stima efficienti, ossia in grado di prevedere la perdita in base a poche variabili significative e facilmente osservabili. -6- La metodologia INPUT SIMULAZIONE OUTPUT RILEVAZIONE CONTESTO Quantitativo REQUISITO PATRIMONIALE FREQUENZA IMPATTO Qualitativo MODELLIZZAZIONE PERDITA RILEVAZIONE PERDITE ELEMENTI DI MITIGAZIONE DEL RISCHIO CALIBRAZIONE Quantitativo FATTORI DI CORREZIONE (Cambiamenti, Assicurazioni, Qualità dei Controlli …) -7- INDICATORI DI CONTROLLO La metodologia: INPUT RILEVAZIONE CONTESTO RILEVAZIONE PERDITE DATI STORICI INTERNI BUSINESS PROCESSI CHIAVE STRUTTURA ORGANIZZATIVA CATEGORIZZAZIONE INFRASTRUTTURA TECNOLOGICA Basato su analisi della documentazione esistente in azienda e sulla ricostruzione storica dei key informants DATI STORICI ESTERNI Basati su un archivio di rilevazioni annuali di campione significativo di aziende RELAZIONI ESTERNE RILEVAZIONE INDICATORI CHIAVE DI PROCESSO E CONTROLLO -8- La metodologia: SIMULAZIONE MODELLIZZAZIONE FREQ./IMPATTO MODELLIZZAZIONE DATI STORICI MODELLIZZAZIONE PERDITA MOD. 1 MODELLO FINALE PERDITA MOD. 2 IMPATTO MOD. 3 CONFRONTO MODELLI INDIVIDUAZIONE COMPONENTI DI RISCHIO FREQUENZA SCELTA MODELLO CALIBRAZIONE Basata su dati qualitativi derivati dall’esperienza MOD. 4 AFFINAMENTO MODELLO FATTORI DI CORREZIONE (Cambiamenti futuri, Assicurazioni, Qualità dei Controlli …) -9- CARMM® Il Tool Computer Aided Risk Management Methodology Requisiti per poter utilizzare Advanced Measurement Approaches (AMA) Valutazione pregeresso Campionatura tecnica Interfaccia utente intuitiva Linearità nella compilazione dei questionari CARMM Procedure guidate per il raggiungimento delle stime ® Possibilità di effettuare e confrontare Simulazioni - 10 - RIFERIMENTI GRAZIE DELL’ATTENZIONE Marcella Di Domenico Siemens Informatica S.p.A. Gruppo Siemens Business Services Security Manager Via del Maggiolino163 00155 ROMA tel. 06 - 22.133.657 Luca Marzegalli CEFRIEL – Politecnico di Milano Security Lab Via Fucini 2 20133 MILANO tel. 02 – 23954.216 fax. 02 – 23954.416 fax. 06 - 22.133.692 - 11 -