RO1 FINANCIAL RISK MANAGEMENT IL RISCHIO OPERATIVO 2014 3 AT PILLAR I p i l l a r Rischio di credito Rischio totale Rischio di mercato Rischi operativi Considerati da Basila II Event risk Rischi legali Non considerati Rischi di reputazione Rischio strategico „Operational risk is the risk of loss resulting from inadequate or failed internal processes, people and systems or from external events“. AT 4 Approcci di Vigilanza: definizione di rischio operativo • • • Gli organi di regolamentazione internazionale (Comitato di Basilea) hanno fornito una definizione di rischio operativo a fini regolamentari, che è rimasta sostanzialmente invariata dal 2001 Mentre nel 19981 lo stesso Comitato di Basilea evidenziava come presso le banche europee intervistate (circa 30 tra le principali banche europee) non esistesse una definizione univoca di rischio operativo, nel 2001 ha fornito una definizione di rischio operativo che è stata mantenuta anche con riferimento alla stima dei requisiti di capitale per i rischi operativi2: “The risk of loss resulting from inadequate or failed internal processes, people and systems or from external events” Viene chiaramente specificato che questa definizione include il rischio legale ma non include i rischi strategici, reputazionali e di sistema. I rischi operativi costituiscono il principale sotto-insieme di quello che la Vigilanza ha tradizionalmente definito come “altri rischi” (ovvero una categoria residuale rispetto ai rischi di mercato, di credito e di tasso di interesse), anche se non esauriscono questa categoria. Ad esempio, il “business risk” (sostanzialmente un sinonimo di “rischio strategico”) riveste un ruolo rilevante nell’insieme dei rischi di una banca o di un intermediario finanziario, così come potenzialmente catastrofico può essere il rischio reputazionale, spesso fortemente correlato col rischio legale. 1 Operational Risk Management, Settembre 1998,pagina 3 2 Working Paper on the Regulatory Treatment of Operational Risk, Settembre 2001 e Sounde Practices for the Management and Supervision of Operational risk, Dicembre 2001 3 The New Basel Capital Accord, Third Consultative Paper, Aprile 2003 AT 5 RISCHI OPERATIVI E CONTROLLO INTERNO DEFINIZIONE DI RISCHIO OPERATIVO DELLA VIGILANZA Per rischio operativo si intende il rischio di subire perdite derivanti dall’inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni. Rientrano in tale tipologia, tra l’altro, le perdite derivanti da frodi, errori umani, interruzioni dell’operatività, indisponibilità dei sistemi, inadempienze contrattuali, catastrofi naturali. Nel rischio operativo è compreso il rischio legale, mentre non sono inclusi quelli strategici e di reputazione. MISURAZIONE CAPITALE REGOLAMENTARE BASE (BIA) STANDARD (TSA o ASA) ADVANCED MESUREMENT APPROACH (AMA) AT 6 Requisiti qualitativi Approccio dell’Indicatore Semplice (Base) Pilastro 1 Capitale Minimo richiesto Pilastro 2 Controllo prudenziale Pillar 3 Disciplina di mercato • Non ci sono requisiti particolari • Raccomandazioni per la gestione dei rischi operativi (BIS) • Implementazione di un’adeguata struttura organizzativa. (BIS) Approccio Standard Approccio di Misurazione Avanzata • Coinvolgimento attivo dell’Alta Direzione • Funzione indipendente per la definizione di metodologie e processi • Mappatura delle aree di business e dei rischi • Controllo delle procedure e delle metodologie da parte dell’Internal Auditing • Aderenza alle raccomandazioni stabilite da Basilea (BIS) • Implementazione di una funzione per la raccolta dei dati sulle perdite • Raggiungimento dei requisiti per l’Approccio Standard • Analisi dettagliata dei dati interni ed esterni sulle perdite • La gestione del rischio e l’allocazione del capitale devono essere effettuate sulla base della misurazione del rischio • Validazione delle metodologie di misurazione del rischio • Analisi di scenario • Personale qualificato e adeguate strutture informatiche • Implementazione di un sistema di reporting • Raccordo delle categorie di rischio e delle attività aziendali con quelle definite da Basilea • Informativa al mercato sulle informazioni chiave: strategie e processi, approccio scelto, ammontare di capitale per la copertura dei rischi operativi e gli eventi pregiudizievoli, % di capitale utilizzato per la copertura dei rischi operativi in proporzione al totale del patrimonio • Informativa al mercato su altre informazioni rilevanti • Controllo del processo di raccolta dei dati • Informativa dettagliata al mercato sull’AMA prescelto AT 7 RISCHI OPERATIVI E CONTROLLO INTERNO Definizioni • “indicatore rilevante”, il margine di intermediazione, come definito nella circolare della Banca d’italia “Il bilancio bancario: schemi e regole di compilazione” (1) • “linee di business”, le aree di affari in cui vanno suddivise le attività aziendali, in conformità ai criteri indicati nella Parte Seconda, Sezione II, par. 2.2 • “perdita operativa”, gli effetti economici negativi derivanti da eventi di natura operativa, rilevati nella contabilità aziendale e tali da avere impatto sul conto economico • “rischio legale”, il rischio di perdite derivanti da violazioni di leggi o regolamenti, da responsabilità contrattuale o extra-contrattuale ovvero da altre controversie • “rischio operativo”, il rischio di perdite derivanti dalla inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni; è compreso il rischio legale • “segmento di operatività”, un qualsiasi ambito di attività quale una linea di business, un’unità organizzativa, un’entità giuridica, un’area territoriale 8 AT RISCHI OPERATIVI E CONTROLLO INTERNO • “uso combinato a livello individuale”, l’utilizzo congiunto, nell’ambito di una banca, di più metodi di calcolo del requisito patrimoniale sui rischi operativi, applicati a differenti segmenti di operatività • “uso combinato a livello consolidato”, l’utilizzo congiunto, nell’ambito di un gruppo bancario, di più metodi di calcolo del requisito patrimoniale per i rischi operativi, applicati a differenti segmenti di operatività. Con riferimento ai metodi avanzati si definiscono inoltre: • “classe di rischio operativo”, una categoria di rischi operativi omogenei in termini di natura, caratteristiche o manifestazioni. Ad esempio, possono appartenere ad una stessa classe i rischi relativi ad un tipo di evento, ad una linea di business, ad un’entità giuridica, ad un’area geografica o a una combinazione delle categorie precedenti • “correlazione”, qualsiasi forma di dipendenza (lineare, non lineare, riferita alla totalità delle perdite o a parte di esse) tra due o più classi di rischio operativo, determinata da fattori interni o esterni alla banca 9 AT RISCHI OPERATIVI E CONTROLLO INTERNO • “data set di calcolo”, il sottoinsieme dei dati sui rischi operativi rilevati o stimati, di fonte interna o esterna alla banca, utilizzato per il calcolo del requisito patrimoniale sui rischi operativi • “distribuzione di rischio operativo”, la distribuzione statistica delle perdite sui rischi operativi relativa ad una classe o all’intera banca • “evento di perdita prontamente recuperata” (rapidly recovered loss event), un evento di rischio operativo che dà luogo ad una perdita completamente o parzialmente recuperata entro cinque giorni dalla data di accadimento dell’evento • “evento di rischio operativo profittevole” (operational risk fain event), un evento di rischio operativo che dà luogo a componenti di profitto • “misura di rischio operativo”, un determinato valore o parametro estratto dalla distribuzione di rischio operativo; ad esempio, la Expected Loss, il Value at Risk, la Expected Shortfall o il Median Shortfall • “perdita attesa”, la perdita operativa in valore assoluto, riferita ad una classe o all’intera banca, che si manifesta mediamente su un orizzonte temporale di un anno 10 AT RISCHI OPERATIVI E CONTROLLO INTERNO • “perdita inattesa”, la perdita eccedente la perdita attesa, riferita ad una classe o all’intera banca, calcolata sulla distribuzione di rischio con un livello di confidenza del 99,9 per cento su un orizzonte temporale di un anno • “perdite multi-effetto” (multiple-effect losses), un insieme di perdite riferibili allo stesso evento che colpiscono differenti segmenti di operatività. Ad esempio, le perdite originate da eventi che si verificano presso funzioni centrali di supporto a più linee di business (quali la funzione sistemi informativi) ovvero quelle connesse con eventi esterni di particolare entità (ad esempio, disastri naturali) • “perdite operative di confine con i rischi di credito” (credit risk boundary losses) e “perdite operative di confine con i rischi di mercato” (market risk boundary losses), rispettivamente le perdite su crediti e di mercato derivanti da eventi di rischio operativo. Ad esempio, per il primo tipo, le perdite derivanti da errori o frodi nel processo di concessione e gestione del credito, per il secondo, le perdite conseguenti a errori di inserimento dei prezzi o delle quantità nelle procedure di negoziazione dei titoli o a violazioni dei limiti operativi 11 AT RISCHI OPERATIVI E CONTROLLO INTERNO • “perdite sequenziali” (multiple-time losses), un insieme di perdite riferibili allo stesso eventi che si verificano in momenti successivi. Ad esempio, le perdite derivanti da transazioni successive effettuate sulla base di informazioni errate contenute nel database di riferimento o da frodi protratte nel tempo riconducibili ad un unico schema • “quasi perdita” (near miss eventi), un evento di rischio operativo che non determina una perdita. 12 AT RISCHI OPERATIVI E CONTROLLO INTERNO RISCHIO DI IMPRESA E RISCHIO OPERATIVO IL RISCHIO E’ FATTORE FONDAMENTALE DELL’ ATTIVITA’ DI IMPRESA. L’IMPRENDITORE, IL BANCHIERE, HANNO UN APPROCCIO AL RISCHIO CHE TENDE AD OTTIMIZZARE IL RAPPORTO RISCHIO /RENDIMENTO LA GESTIONE DEL RISCHIO OPERATIVO HA COME OBIETTIVO PRINCIPALE IL CONTENIMENTO DEI SUOI EFFETTI NEGATIVI, ADOTTANDO POLITICHE DI GESTIONE ATTIVA O PASSIVA. NEL PRIMO CASO L’OBIETTIVO SI ESPLICITA ATTRAVERSO L’ADOZIONE DI TECNICHE DI MITIGAZIONE O TRASFERIMENTO, NEL SECONDO CASO SI ACCETTA L’ASSUNZIONE CONSAPEVOLE DI CERTI LIVELLI DI PERDITE. LE DUE GESTIONI SONO INTERDIPENDENTI. GENERALMENTE LA POLITICA ATTIVA E’ CONSEGUENTE A SCELTE E DECISIONI DELLA GESTIONE PASSIVA. 13 AT RISCHI OPERATIVI E CONTROLLO INTERNO MITIGAZIONE DEL RISCHIO OPERATIVO LA BANCA. CHE SI DEVE DOTARE DI UN MODELLO DI MISURAZIONE DEI RISCHI OPERATIVI E DECIDERE LE POLITICHE DI ASSUNZIONE E DI MITIGAZIONE . LA MITIGAZIONE SI ARTICOLA IN CONTROLLO, SUGGERIMENTI DELL’INTERNAL AUDITING RIDUZIONE, RIDISEGNO DI PRODOTTI E PROCESSI CONTENIMENTO, COPERTURE ASSICURATIVE O FINANZIARIE 14 AT Il processo di risk management Identificazione dei rischi operativi • Definire che cosa si intende per rischio operativo • Identificare categorie di rischi • Identificare le singole fattispecie di rischio da misurare • Il processo di identificazione è continuo, non una tantum Valutazio ne/ Gestione Controllo misurazio ne • Sistema di controllo • Frequenza interno • Effetti • Modalità di • Policy e procedure aggregazione per • Logiche assicurative business units e complessiva • Monitoraggio dei limiti di rischio operativo • Attività di revisione interna • Alta direzione e organi corporate governance AT 15 Approcci di Vigilanza: classificazione dei rischi operativi I rischi operativi secondo l’approccio del Comitato di Basilea Business Unit Investment Banking Employment Clients, Execution, Business Level 1 Practices and Products Damage to Delivery & Internal FraudExternal Fraud Disruption and Business Line Workplace & Business Physical Assets Process System Failure Safety Practice Management Corporate Finance Trading & Sales Retail Banking Banking Commercial Banking Payment and Settlement Agency Services and Custody Others Asset Management Retail Brokerage AT 16 RISCHI OPERATIVI E CONTROLLO INTERNO FINANZA DI IMPRESA CORPORATE FINANCE MERCHANT BANKING Fusioni e Acquisizioni (M&A),sottoscrizioni a Fermo,privatizzazioni,emissioni obbligazioni (debito pubblico,alto rendimento), ricerca, Cartolarizzazioni, aumenti di capitale,sindacati di collocamento a garanzia,IPO, collocamenti Titoli settore priveto SERVIZI CONSULENZA COLLOCAMENTO T r TRADING a & SALES d i n g MARKET MAKING ATTIVITA’ IN PROPRIO Reddito fisso,azioni,valute,merci,gestione del Credito,funding,negoziazioni in c/proprio di Strumenti finanziari,prestiti e PcT, raccolta ordini e negoziazioni c/terzi di strumenti Finanziari (v. operatori qualificati),gestione debito,prime brokerage TESORERIA AT 17 RISCHI OPERATIVI E CONTROLLO INTERNO RETAIL BANKING RETAIL BANKING Attività principali e ancellari rivolta a clienti reatil: prestiti e depositi,servizi bancari,gestioni fiduciarie e immobiliari Attività principali e ancillari rivolti a clienti privati:prestiti PRIVATE BANKING e depositi,servizi bancari,gestione fiduciarie e immobiliari consulenze agli investimenti GESTIONE DI CARTE Carte di debito e di credito per il settore commerciale e Imprenditoriale per clientela retail e privata COMMERCIAL BANKING COMMERCIAL BANKING Attività principali e ancillari rivolte a clienti corporate Project finance,gestioni immobiliari, crediti export crediti a attività commerciali,factoring,leasing,prestiti,fidj,camb.li ………………… (v. allegato 6) AT 18 RISCHI OPERATIVI E CONTROLLO INTERNO Identificazione degli eventi Catalogo degli eventi – Si tratta di un elenco dettagliato degli eventi potenziali comuni a tutte le aziende che operano in un settore specifico oppure ai processi o alle attività che riguardano più settori. Esistono dei software che possono elaborare un elenco specifico di eventi generici potenziali che alcune aziende utilizzano come punto di partenza per l’identificazione degli eventi specifici alla loro attività. Per esempio, chi deve lanciare un progetto di sviluppo di software, può ricavare da un inventario dettagliato di eventi generici quelli relativi al progetto specifico da sviluppare. Analisi interne - Queste analisi possono essere elaborate in concomitanza con il processo di pianificazione e controllo, normalmente tramite incontri con il personale delle varie unità operative. Qualche volta si possono utilizzare le informazioni provenienti dagli stakeholder (clienti, fornitori e terzi in genere), oppure da esperti esterni all’unità in esame (esperti funzionali interni e esterni oppure il personale dell’internal audit). Per esempio, chi intende proporre al mercato un nuovo prodotto, utilizza sia la propria esperienza sia ricerche di mercato svolte da esperti esterni per identificare gli eventi che possono influire sul successo del prodotto. AT 19 RISCHI OPERATIVI E CONTROLLO INTERNO Segnalatori di criticità - Sono meccanismi di controllo utilizzati per allertare il management quando l’attività aziendale si trova in una situazione problematica. Questi meccanismi consistono nel raffronto tra le operazioni correnti, o gli eventi, e parametri predefiniti (livelli, soglie). Una volta che si superano i livelli prefissati, è necessario che l’evento sia ulteriormente valutato oppure che sia formulata una risposta immediata. Per esempio, il management di una società monitora i volumi di vendita nei nuovi mercati e, in base ai risultati raggiunti, varia l’allocazione delle risorse. Il management di un’altra società segue le variazioni dei prezzi dei concorrenti e, quando questi prezzi raggiungono o superano un livello specifico, valuta l’opportunità di variare i propri prezzi. Workshop e interviste - Queste tecniche identificano gli eventi ricorrendo alle conoscenze e alle esperienze maturate dal management, dal personale e dagli stakeholder tramite incontri organizzati. Un moderatore conduce i dibattiti sugli eventi che possono pregiudicare il conseguimento degli obiettivi a livello sia aziendale sia di unità operativa. Per esempio, il financial controller organizza un workshop, dove partecipa il personale dell’ufficio contabilità e bilancio, per identificare gli eventi che influenzano gli obiettivi di trasparenza dell’informativa societaria. Le diverse conoscenze ed esperienze dei partecipanti consentono di identificare eventi importanti, che altrimenti potrebbero essere omessi. 20 AT RISCHI OPERATIVI E CONTROLLO INTERNO Analisi del flusso di processo – Questa tecnica mette insieme gli input, le fasi, le responsabilità e gli output che compongono un processo. Esaminando i fattori interni ed esterni, che influenzano gli input o le attività svolte all’interno di un processo, sono identificati gli eventi che potrebbero pregiudicare il conseguimento degli obiettivi del processo. Per esempio, la cassa centrale mappa i processi per la verifica, la raccolta e l’invio all’istituto centrale delle banconote usurate da distruggere. La mappatura del processo consente di rilevare una serie di fattori che potrebbero influire sulla correttezza delle conte, sull’identificazioni degli addetti ai processi e sulle rispettive responsabilità e, quindi, di identificare i rischi di errore nella predisposizione delle mazzette, al trasporto dalle filiali e all’istituto. Indicatori di eventi – Monitorando i dati correlati agli eventi, le aziende identificano l’esistenza di situazioni che potrebbero dar luogo a un evento dannoso. Per esempio, esiste una correlazione tra il rimborso ritardato dei prestiti , i prestiti insoluti e tempestività di intervento per il recupero.Il monitoraggio dei trend storici dei pagamenti consente di acquisire conoscenze del fenomeno e dei comportamenti della clientela e quindi mitigare possibili insolvenze attivando interventi opportuni e immediati. 21 AT RISCHI OPERATIVI E CONTROLLO INTERNO Metodologie per la raccolta dei dati sulle perdite – Le raccolte dei dati storici di eventi che hanno generato perdite costituiscono una fonte utile di informazioni per identificarne il trend e le cause originarie. Una volta che è stata identificata la causa originaria della perdita, il management può decidere se sia più efficace intervenire su questa, invece di soffermarsi su singoli eventi. Per esempio, una società di leasing, per il segmento autoveicoli, dispone di un database delle denunce ricevute per insolvenze. Analizzando i dati disponibili, rileva che una percentuale abnorme di esse, sia in numero che in valore, è imputabile ad clienti di specifiche aree geografiche , promotori. Questa analisi consente al management di identificare le eventuali anomalie all’origine degli eventi e di intraprendere le necessarie azioni correttive. 22 AT RISCHI OPERATIVI E CONTROLLO INTERNO Categorie di eventi Fattori esterni Economici . Disponibilità di capitali . Emissioni di prestiti, insolvenze . Concentrazione . Liquidità . Mercati finanziari . Disoccupazione . Concorrenza . Fusioni/acquisizioni Ambientali . Inquinamento e rifiuti . Energia . Catastrofi naturali . Sviluppo sostenibile Fattori interni Infrastrutture . Disponibilità di risorse materiali . potenzialità delle risorse materiali . Accesso ai capitali . Complessità Personale . Potenzialità delle risorse umane . Frodi . Salute e sicurezza Processo . Risorse . Disegno . Esecuzione . Fornitori/dipendenze 23 AT RISCHI OPERATIVI E CONTROLLO INTERNO Categorie di eventi Fattori esterni Fattori interni Politici . Cambiamenti nel contesto politico . Legislazione . Politiche pubbliche . Regolamentazione Sociali . Demografici . Comportamento dei consumatori . Nazionalità dell’azienda . Privacy . Terrorismo Tecnologici . Interruzioni . Commercio elettronico . Dati esterni . Tecnologia emergente Tecnologia . Integrità dei dati . Disponibilità dei dati e dei sistemi . Scelta del sistema . Sviluppo . Diffusione . Manutenzione 24 AT