Evoluzione e nuove sfide nella gestione del rischio operativo Esperienza di UniCredit Group Group Operational & Reputational Risks Strategies Milano 15 ottobre 2013 Rischio operativo: elementi di base Sfide: l'approccio forwardlooking Governance e ciclo di budget 2 DEFINIZIONE Il Gruppo UniCredit definisce rischio operativo il rischio di incorrere in perdite dovute ad errori, infrazioni, interruzioni o danni riconducibili a processi interni, persone, sistemi o eventi esterni. Data la definizione di rischio operativo, non è possibile circoscrivere il suo impatto a specifiche aree / attività dell’istituzione finanziaria. Rischio di incorrere in perdite dovute ad errori / inadeguatezza di … persone Filiale processi interni Contabilità sistemi Sistemi IT eventi esterni Back office … LE MANIFESTAZIONI DEL RISCHIO RIGUARDANO TUTTI I PROCESSI E LE ATTIVITA’ 3 ALCUNI ESEMPI DI EVENTI OPERATIVI PERSONE PROCESSI SISTEMI INFORMATIVI EVENTI ESTERNI Manipolazioni di conti Sicurezza sul lavoro Hacking Falsificazioni Corruzione Antitrust Vandalismo Difetti nei prodotti Discriminazioni Frodi Vendita aggressiva Interruzioni telecomunicazioni Contratti/SLAs inadeguati 4 Rapine Errori legali nei contratti Violazioni della privacy Riciclaggio Furto Disastri naturali Mancato rispetto scadenze Transazioni non autorizzate Anagrafe non corretta ALTRI RISCHI Rischio strategico: rischio di perdita per non aver scelto di fare la cosa giusta. Rischio reputazionale: rischio di perdita di fiducia nell’istituzione da parte di depositari, creditori e/o del mercato Rischio di Credito: rischio di perdita per deterioramento del merito creditizio. include il rischio di controparte e il rischio paese 5 Rischio operativo: rischio di perdita per inadeguatezza di persone, sistemi, processi o eventi esterni. include il rischio legale ma esclude il rischio strategico e reputazionale Rischio di mercato: rischio di perdita per la variazione di valore degli strumenti finanziari include il rischio di tasso e il rischio di cambio Altri rischi: es. rischio di business (rischio di perdita per la volatilità dei ricavi) MODELLO INTERNO Il Gruppo UniCredit ha sviluppato un modello interno per la misurazione e il controllo dei rischi operativi ed ha definito un framework per la gestione dei rischi operativi (la combinazione di un insieme di politiche e procedure per il controllo, la misurazione e la mitigazione dell’esposizione al rischio operativo del Gruppo e delle singole società). L’approccio AMA del Gruppo UniCredit per il capitale a rischio operativo è basato su quattro requisiti quantitativi Dati interni Dati esterni Requisiti quantitativi Analisi di scenario 6 Indicatori di rischio REQUISITI QUANTITATIVI – BACKWARD LOOKING Si definisce perdita interna l’impatto negativo a conto economico conseguente al verificarsi di un evento operativo. Ogni società deve assicurare la qualità dei dati in termini di completezza, adeguatezza e accuratezza tramite una corretta classificazione dei dati e un processo di raccolta dati. Dati interni I dati esterni sono impatti economici negativi conseguenti al verificarsi di eventi operativi in società/realtà esterne al Gruppo UniCredit. Il Gruppo UniCredit utilizza i dati esterni (pubblici e consortili) di perdita per il calcolo del capitale a rischio operativo e per supportare le analisi di scenario. Dati esterni Requisiti quantitativi Analisi di scenario 7 Indicatori di rischio 8 Rischio operativo: elementi di base Sfide: l'approccio forwardlooking Governance e ciclo di budget DA UN APPROCCIO "BACKWARD LOOKING"… TOP RISKS RISCHI EMERGENTI ESPOSIZIONE CORRENTE Products 9 Services Processes Projects New Markets Major Operations …AD UN APPROCCIO "FOREWARD LOOKING" TOP RISKS ESPOSIZIONE CORRENTE Products Services Processes Projects New Markets Major Operations RISK / REWARD CRITERIA 10 RISCHI EMERGENTI BUDGET ANALYSIS "FOLLOW THE MONEY" sostenibilità dei ricavi TRANSFORMATIONS sostenibilità degli investimenti STRATEGIE E MITIGAZIONI Le STRATEGIE di rischio operativo sono dei documenti di pianificazione da seguire per ridurre in modo strutturale l'esposizione ai rischi operativi; il loro effetto di dispiega in una prospettiva pluriennale in forma di riduzione dei rischi e delle perdite operative MITIGAZIONI sono le misure che implementano le strategie, rimuovendo o trasferendo la causa del rischio 11 GESTIONE STRATEGICA DEL PROFILO DI RISCHIO TOP RISKS RISCHI EMERGENTI ESPOSIZIONE CORRENTE Products 12 Services Processes Projects RISK STRATEGIES New Markets Major Operations Mitigation investments BUDGET ANALYSIS HR / training initiatives "FOLLOW THE MONEY" sostenibilità dei ricavi Risk transfer - insurance TRANSFORMATIONS sostenibilità degli investimenti MITIGATIONI: ESEMPI BUSINESS MODEL INTERNAL CONTROL SYSTEM products/markets exclusions, limitations process changes IT implementations training BEHAVIOURS RISK TRANSFER 13 coaching or other HR-related solutions insurance policies KEY PERFROMANCE INDICATORS KPIs sono misure quantitative dell'efficacia delle azioni di mitigazione, i.e. la capacità di tali azioni di rimuovere la causa del rischio 14 Rischio operativo: elementi di base Sfide: l'approccio forwardlooking Governance e ciclo di budget 15 RESIDUAL RISK Il RISCHIO RESIDUO è l'esposizione al rischio che rimane dopo che la causa originale del rischio è stata mitigata, rimossa, trasferita 16 STRATEGIE E COPERTURA DEL RISCHIO strategies implementation scope STRATEGIES Mitigation investments RISCHI RICORRENTI Risk transfer - insurance RISCHI EMERGENTI LEGACY 17 HR / training initiatives 18 RISK APPETITE L'APPETITO AL RISCHIO definisce, in modo esplicito e nell'ambito di una varietà di scenari, la visione prospettica del profilo di rischio desiderato dalla banca e stabilisce il processo per realizzare tale profilo di rischio 18 GOVERNANCE: STRATEGIE E CICLO DI BUDGET strategies implementation scope STRATEGIES Mitigation investments RISCHI HR / training initiatives STRATEGIES FUNDING RICORRENTI Risk transfer - insurance RISCHI RISK APPETITE EMERGENTI LEGACY 19 BUDGET CYCLE APPROVAZIONE CDA