Best practice in tema di ERM

Transcript

1 Best practice in tema di ERM (Enterprise Risk Management) Paola Luraschi, Principal Milano, 24 Maggio 2012

2 Indice Chi siamo Il contesto Solvency II ed ERM Il rischio operativo Conclusioni Q&A

3 Chi siamo Milliman è una società leader nella consulenza attuariale e strategica a livello internazionale. Fondata nel 1947, ha oltre 50 uffici nelle principali città degli Stati Uniti, Cina, Giappone, Corea, India, Messico, Hong Kong, Bermuda, Brasile, Regno Unito, Germania, Olanda, Svizzera, Spagna, Polonia, Irlanda, Francia e Italia. Conta circa dipendenti, di cui oltre tra consulenti ed attuari, ed ha un fatturato annuo di oltre 600 milioni di dollari nel 2010 Per più di 60 anni Milliman ha sviluppato strategie innovative, strumenti e soluzioni nell area delle Assicurazioni sulla Vita, Assicurazioni contro i Danni, Healthcare, Employee Benefits e nella Finanza, a supporto di clienti di ogni paese del mondo 3

4 Chi siamo I punti di forza di Milliman possono essere così sintetizzati: E una società di consulenza indipendente che ha l obiettivo di trasferire le proprie conoscenze internazionali al mercato italiano e apportare tutto il know how relativo alle tecniche e software attuariali, che mette a completa disposizione dei propri clienti E caratterizzata da una importante componente internazionale ed interdisciplinare che le permette di essere leader in numerosi settori di attività Fornisce un approccio flessibile ai problemi e alle tematiche poste 4

5 Milliman in Europa Ora oltre 250 consulenti Una rapida crescita Gli uffici più grandi in: Amsterdam Dublino London Milano Paris Uffici più piccoli (ma in espansione) : Bucharest Madrid Munich Warsaw Zurich Cipro 5

6 Indice Chi siamo Il contesto Solvency II ed ERM Il rischio operativo Conclusioni Q&A 6

7 Solvency II is not just about Capital. It is a change of behaviour Thomas Steffen, Chairman of CEIOPS 7

8 Solvency II: un sistema a tre pilastri Solvency II PRIMO PILASTRO SECONDO PILASTRO TERZO PILASTRO Requisiti quantitativi Controllo e vigilanza Requisiti di reportistica Riserve tecniche Requisito di capitale Investimenti ALM Internal audit e Risk Management Corporate governance Intervento dell autorità di vigilanza Documentazione pubblica e privata Aggiornata Orientata al futuro Trasparente 8

9 I Tre Pilastri di Solvency II sono interconnessi Requisiti Quantitativi Riserve Tecniche Requisiti di Capitale Risk management fornito da modelli di quantificazione dei risk (es. Utilizzo di test per i modelli) Corporate Governance Risk Management della Compagnia Controlli Interni Interventi dei Supervisori Il risk management della Compagnia dovrebbe usare le stesse misure e controlli dei regulators e altri coinvolti dalle disclosure Obblighi d Informativa (Disclosures) Performance Trasparenza Disclosures Pubbliche e Private Disclosure basate su requisiti quantitativi 9

10 Indice Chi siamo Il contesto Solvency II ed ERM Cos è l ERM ERM e approcci GRC Il rischio operativo Conclusioni Q&A 10

11 Il punto di partenza Il rischio è la potenzialità che un'azione porti a un possibile scostamento dai risultati attesi per effetto di eventi di incerta manifestazione, interni o esterni ad un sistema. I rischi: difficilmente si manifestano nel tempo nello stesso modo sono connotati da tale eterogeneità di manifestazioni da rendere difficoltosa l applicazione di analisi/metodi statistici usuali producono effetti diversi a seconda del sistema in cui sono inseriti Un approccio coerente con la natura dei rischi: dovrebbe tenere conto che i rischi non sono analizzabili in modo efficiente isolatamente dovrebbe analizzare in primis il SISTEMA che evolve nel tempo e da cui emergono i rischi dovrebbe tenere in considerazione il fatto che spesso sintomi e cause dei rischi sono temporalmente distanti 11

12 Enterprise Risk Management (ERM) ATTIVITA DI CONTROLLO COMITATI DEDICATI IDENTIFICAZIONE DEI RISCHI ERM PROCESSI DI COMUNICAZIONE VALUTAZIONE DEI RISCHI MONITORAGGIO DEI RISCHI L ERM è un processo, posto in essere dal consiglio di amministrazione, dal management e da altri operatori della struttura aziendale, utilizzato per la formulazione delle strategie in tutta l organizzazione; l ERM è progettato per individuare eventi potenziali che possono influire sull attività aziendale, per gestire il rischio entro i limiti accettabili e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali 12

13 I benefici di una solida struttura di ERM In vista dell entrata in vigore di Solvency II è in forte crescita il numero di Compagnie che decidono di sviluppare una struttura di Risk Management in base all approccio ERM. Un efficace sistema di Enterprise Risk Management permette, tra gli altri, di: Pianificare strategie e stabilire gli obiettivi futuri tenendo in considerazione il livello di tolleranza al rischio (risk appetite) della Compagnia Identificare i rischi e ridurne l impatto Studio di ogni singolo rischio, degli eventi ad esso collegati, delle probabilità, delle perdite attese, delle correlazioni con altri rischi, ecc. Pianificazione di strategie ad hoc (mitigation strategy) per ridurre l impatto dei rischi sul business della Compagnia Migliorare la gestione del capitale valutando un requisito di capitale che rispecchi fedelmente le caratteristiche del business gestito Migliorare l efficienza dei processi aziendali 13

14 Indice Chi siamo Il contesto Solvency II ed ERM Cos è l ERM ERM e approcci GRC Elementi salienti della Governance Elementi chiave dei Risk Elementi chiave della Compliance Il rischio operativo Conclusioni Q&A 14

15 Approccio GRC Acronimo: Governance Risk Compliance Scopo: Disegnare, monitorare, testare ed implementare processi di business con approccio di tipo ERM (Enterprise Risk Management) al fine di: Migliorare l efficienza e la fattività di tutti gli elementi coinvolti Evitare conflitti, sovrapposizioni inutili o gap dannosi/pericolosi Gestire i rischi e le performance Assicurare una visione consolidata dei rischi Definire/identificare la propensione a ciascun rischio e trasformarla in limiti/indicazioni operative di business Approccio: Visione olistica Reattivo o proattivo? 15

16 Indice Chi siamo Il contesto Solvency II ed ERM Cos è l ERM ERM e approcci GRC Elementi chiave della Governance Elementi chiave dei Risk Elementi chiave della Compliance Il rischio operativo Conclusioni Q&A 16

17 La governance aziendale Governance aziendale = insieme di istituzioni, meccanismi e regole di ogni livello (leggi, regolamenti etc.) che disciplinano la gestione dell'impresa Realizzare la governance: Analizzare/documentare Aggiornare Gestire Monitorare le attività della Compagnia Elementi chiave: Identificazione di owner delle attività aziendali Garantire l aggiornamento in tempo reale di owner e attività connesse Garantire l adeguato controllo delle attività mediante procedure a più livelli Garantire l indipendenza/efficienza delle aree di business Garantire la trasversalità delle decisioni attraverso comitati adeguati 17

18 E sufficiente una rivisitazione Processi esistenti Review Processi secondo Solvency II 18

19 Esempio di un modello a tre linee di difesa Group Board Risk management (1 st Line of Defence) Risk oversight (2 nd Line of Defence) Group Risk Committee Risk Assurance (3 rd Line of Defence) Group Audit Committee Group CEO Executive Committee Group Executive Risk Committee Sub- Committees Tipicamente: -ALM/ Credit -Operational Group CFO Group CRO BU CEO Group Risk Group Audit BU Executive Committee BU Risk Function BU Audit Committee 19

20 Punti di attenzione sulle 3 linee di difesa Diversa connotazione dell attività di risk management a seconda del tipo di CRO (background finanziario, attuariale, funzioni di controllo etc...) Aggiornamento in tempo reale governance Dimostrabilità della fattiva politica di risk management Trasversalità di decisioni e interconnessione tre pilastri importanza dei comitati Indipendenza funzioni e garanzia di controlli esaustivi gestione delle tre linee di difesa 20

21 Indice Chi siamo Il contesto Solvency II ed ERM Cos è l ERM ERM e approcci GRC Elementi chiave della Governance Elementi chiave dei Risk Elementi chiave della Compliance Il rischio operativo Conclusioni Q&A 21

22 Approccio Il rischio va considerato come un processo Per gestire adeguatamente il rischio è necessario: Descrivere la struttura del processo Analizzare il processo per identificarne i key features Monitorare il sistema per verificare l adeguatezza della gestione del rischio Analizzare la possibile evoluzione temporale del sistema Monitorare il sistema per catturare eventuali anomalie 22

23 Capire il rischio Sintomi Crisi Cause Eventi Connessione Patterns Comprensione Struttura del sistema 23

24 Previsioni meteo: un analogia Metodo1 analisi dati storici Metodo 2 analisi del sistema Analizzo la struttura e situazione attuale dei pricipali indicatori climatici (nuvolosità, vento etc...) Derivo la previsione dalla comprensione del sistema : key driver del sistema elementi di eterogeneità del sistema interconnessioni con elementi esogeni al sistema possibili effetti estremi 24

25 Approccio al risk mapping Derivante dall analisi del processo rischio 1. Identificazione 2 Individuazione connessioni Individuazione simultanea alla identificazione dei rischi Ogni rischio può derivare ovvero impattare a sua volta un altro rischio (sub risk e risk outcome) Utile configurare più livelli di rischio Importanza delle gestione delle informazioni ex ante ed ex post Importanza del monitoraggio della efficienza (anche economica) 6 Strategie di mitigazione dei rischi e loro connessione 3 Classificazione Possibili/utili più livelli di classificazione: Normativo Fondamentale identificare elementi per la misurazione e gestione quali: KRI Risk owner Frequency assessment 5 Definizione dei KRI e degli altri parametri di gestione 4 Individuazione dei risk drivers Individuazione simultanea alla identificazione dei rischi Operativo Etc.. Etc 25

26 Aspetti di rilievo Gestione e aggiornamento di frequency e severity Importanza della qualità dei dati dell analisi Importanza della analisi evolutiva del processo legato a: Connessione tra rischi Impatto delle strategie di mitigazione 26

27 Indice Chi siamo Il contesto Solvency II ed ERM Cos è l ERM ERM e approcci GRC Elementi chiave della Governance Elementi chiave dei Risk Elementi chiave della Compliance Il rischio operativo Conclusioni Q&A 27

28 Aspetti di rilievo Importanza della accuratezza e qualità dei dati Riduzione/annullamento overlap/dislocazione per garantire la coerenza Importanza della fattività della governance aziendale Necessità di organizzazione aziendale adeguata Tracciabilità di informazioni e cambiamenti Automazione reportistica Necessità di supporti IT adeguati 28

29 Indice Chi siamo Il contesto Solvency II ed ERM Il rischio operativo Rischio operativo e formula standard Misurazione e valutazione del rischio la loss data collection cenni ai modelli di valutazione gestione del rischio operativo Conclusioni Q&A 29

30 Il rischio operativo in Solvency II Il rischio operativo è considerato all interno del calcolo del requisito patrimoniale da accantonare in corrispondenza dei rischi assunti dalla Compagnia ed è definito all interno della direttiva Solvency II come: «Rischio di perdite derivanti dalla inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni.» (Art. 13) «La definizione include il rischio legale ma esclude quello strategico e di reputazione» (Art.101) 30

31 Il rischio operativo Esempio di mappatura del rischio operatvo: 31

32 Indice Chi siamo Il contesto Solvency II ed ERM Il rischio operativo Rischio operativo e formula standard Misurazione e valutazione del rischio la loss data collection cenni ai modelli di valutazione gestione del rischio operativo Conclusioni Q&A 32

33 I Tre Pilastri di Solvency II I Pilastro II Pilastro III Pilastro Requisiti quantitativi Requisiti qualitativi Comunicazione dei dati Capitale richiesto Processi di revisione Disciplina di mercato ARGOMENTI MCR SCR Standard formula Modello interno Interazione tra i rischi Mitigazione dei rischi Riserve Best Estimate Risk management Controllo interno Monitoraggio dei rischi Integrazione modello per la gestione dei rischi Funzione attuariale Poteri organi di vigilanza Maggior quantità di informazioni inerenti al rischio Informazioni per l organo di vigilanza Informazioni per il mercato e gli operatori RISCHI Underwriting Market Credit Operational Liquidity Tutti ND 33

34 Rischio operativo e formula standard (1/2) Formula standard incapace di esprime l effettivo rischio connesso all operatività delle singole Compagnie: SCR Op = min(30% * BSCR; max(op premiums ; Op provisions )) + 25% * Exp ul In sintesi il calcolo dipende da: 1. Op premiums, calcolato in funzione dei premi raccolti nell ultimo anno e dell incremento rispetto all anno precedente (da tale calcolo sono esclusi i prodotti di ramo III senza garanzia) 2. Op provisions, calcolato in funzione del valore delle riserve best estimate (da tale calcolo sono esclusi i prodotti di ramo III senza garanzia) 3. Per i soli prodotti di ramo III senza garanzia l operational risk è determinato in relazione alle spese dell ultimo esercizio 34

35 Rischio operativo e formula standard (2/2) Il calcolo del requisito di capitale per il rischio operativo secondo la standard formula è: Proporzionato alle riserve e premi della compagnia (UL escluse) Limite massimo 30% del BSCR sulla componente determinata in funzione dei premi/riserve Per le UL 25% delle spese annuali Max tra Op. Risk proporzionato su Riserve e Premi Life Non Life Health Limite massimo 30% BSCR 25% Spese ramo III 35

36 Rischio operativo - Case study (I) CASO A: Compagnia con portafoglio non ramo III (senza garanzia) in forte espansione che ha raddoppiato il volume dei premi nell ultimo anno CASO B: Compagnia con portafoglio non ramo III (senza garanzia) in forte contrazione che ha dimezzato il volume dei premi nell ultimo anno (ma nel complesso degli ultimi due anni identica raccolta premi del caso A) CASO C: Compagnia che tratta solo prodotti di ramo III senza garanzie CASO A CASO B CASO C Riserve BE Premi ultimo anno Premi anno precedente Spese ramo III BSCR SCRop Requisiti di capitali richiesti a copertura dell operational risk sensibilmente diversi! Ma riflettono l effettiva esposizione al rischio delle tre Compagnie? 36

37 Rischio operativo - Case study (II) CASO D: Compagnia specializzata in un business di puro rischio (temporanee caso morte a capitale costante e a copertura di mutui / finanziamenti) con un premio medio per polizza pari a 500. CASO E: Bancassicurazione tipica caratterizzata da un business costituito prevalentemente da prodotti rivalutabili a tasso tecnico zero (vita intera e capitalizzazioni) con un premio medio per polizza pari a Le Compagnie D ed E presentano CASO D CASO E Riserve BE Premi ultimo anno Premi anno precedente Spese ramo III 0 0 BSCR SCRop volumi di premi e quindi SCR OP notevolmente diversi. Eppure gestiscono lo stesso numero di polizze e anzi la Compagnia D potrebbe disporre di processi meno strutturati e automatizzati ed essere esposta a un rischio operativo più elevato! 37

38 Indice Chi siamo Il contesto Solvency II ed ERM Il rischio operativo Rischio operativo e formula standard Misurazione e valutazione del rischio la loss data collection cenni ai modelli di valutazione gestione del rischio operativo Conclusioni Q&A 38

39 La misurazione del rischio operativo La gestione del rischio operativo non può prescindere dall elaborazione di un framework metodologico: - Funzioni coinvolte all interno del processo di gestione - Ipotesi - Metodologie di stima e rilevazione utilizzate Finalità della misurazione: - Modello interno (parziale) - Gestione interna Fasi del processo: Fase di rilevazione, censimento e catalogazione Loss Data Collection (LDC) Fase di misurazione e valutazione modelli di valutazione Fase di controllo e gestione governance 39

40 Indice Chi siamo Il contesto Solvency II ed ERM Il rischio operativo Rischio operativo e formula standard Misurazione e valutazione del rischio la loss data collection cenni ai modelli di valutazione gestione del rischio operativo Conclusioni Q&A 40

41 LDC un possibile approccio Individuo Fattori: classificazione in base agli elementi di criticità che hanno condotto alla perdita operativa Eventi: singolo accadimento che può generare direttamente una o più manifestazioni dannose (perdita economica) per la Compagnia ( effetti ) e allo stesso tempo determinare ulteriori ricorrenze elementari della medesima entità (eventi), con le quali risulta correlato gerarchicamente a più livelli di aggregazione Effetti: singola manifestazione dannosa (perdita economica) derivante direttamente dal verificarsi di un evento pregiudizievole. L effetto identifica ogni singola conseguenza in un unico contesto spazio-temporale di un evento pregiudizievole; la quantificazione dell effetto è la misura della perdita operativa subita. E necessario tenere traccia della perdita al lordo e al netto dei recuperi. Output: database delle perdite che indichi al minimo: relazioni causali che hanno generato il rischio oggetto di analisi (i.e Risk Driver) tipologie di eventi a cui si può ricondurre ogni singolo rischio (i.e. Event Type) effetti legati ad ogni singolo rischio operativo (i.e. Effetti di perdita) Varie problematiche operative: Eventi generati da più fattori gestione dei pesi Un evento può essere un fattore Un fattore può generare più eventi Possibili livelli di granularità della classificazione: esigenze normative 7 macro eventi standard di Basilea II esigenze operative di misurazione / modellizzazione / gestione Necessità di massa critica sufficiente 41

42 LDC: Le fonti informative DATI INTERNI Ogni Area/Funzione fornisce i dati relativi alle perdite operative all ORM. Le possibili Aree possono essere: Contabilità Reclami Area legale HR IT DATI ESTERNI consentono di: Raccogliere dati sulle perdite operative di altre realtà Effettuare studi ed approfondimenti Avere una base dati più solida per le attività di valutazione DATABASE PERDITE OPERATIVE 42

43 LDC: Le fasi del Processo Ricerca Censimento Validazione Monitoraggio Reporting Individuazione fonti informative Individuazione perdite operative Miglioramento delle fonti e test di completezza Definizione e formalizzazione dei criteri di censimento, al fine di garantire: Accuratezza dell informazione, Tempestività dell alimentazione Arricchire Verificare il Text Text /completare i dati censiti Conferma documentata della validità dell informazione regolare processo della raccolta Garantire il mantenimento della qualità raggiunta nella fase di alimentazione del database di raccolta dati Reporting aziendale Reporting di gruppo 43

44 LDC un esempio 44

45 LDC esempio di granularità Le tipologie di evento (i.e. Event Type) sono raggruppabili per macrocategorie permettendo una visualizzazione delle perdite adattabile al livello di granularità desiderato Eventi di I livello (minor granularità) Eventi di II livello (granularità intermedia) Eventi di III livello (maggior granularità) Errori procedure trasmissione e caricamento dati Errori nelle procedure di calcolo automatizzate Disallineamento dati Errori nell'elaborazione di preventivi. Sviluppo classi tecniche Errori nelle procedure batch Problemi tecnologici ed alle infrastrutture Errori procedure di elaborazione dati Assunzione polizze non coerenti con limiti di prodotto. Hardware Errata liquidazione polizze gravate da pegno/vincolo Software Liquidazione con irregolarità amministrative e/o tecniche Telecomunicazioni e Utility Errori nelle procedure di estrazione dati 45

46 LDC importanza della classificazione Le singole perdite generate dagli eventi sono catalogabili per tipologia: Perdita effettiva diretta Perdita effettiva indiretta Mancato guadagno Near miss Costo opportunità Programma di investimento Perdita per aggiustamento 46

47 LOSS DATA COLLECTION con MillimanGRC Milliman GRC Data Source 47

48 Indice Chi siamo Il contesto Solvency II ed ERM Il rischio operativo Rischio operativo e formula standard Misurazione e valutazione del rischio la loss data collection cenni ai modelli di valutazione gestione del rischio operativo Conclusioni Q&A 48

49 Approccio possibile Metodologie di misurazione comune (e consistente con Basel II Advanced Measurement Approaches ) basata sul Loss Distribution Approach per stimare l ammontare di capitale (CAR capital at risk) necessario a coprire le perdite attese e inattese derivanti dai rischi operativi su un holding period annuale ad un livello di confidenza prefissato Procedimento di analisi e valutazione comprende sostanzialmente le seguenti operazioni (a partire dalla LDC) : costruzione della distribuzione di frequency costruzione della distribuzione di severity (uno dei task più complessi per distorsioni/inadeguatezze tipiche delle LDC) costruzione della distribuzione aggregata delle perdite operative come convoluzione(*) delle precedenti calcolo del percentile di riferimento di tale distribuzione (*) operazione finalizzata alla composizione di due funzioni di distribuzione che genera una terza funzione, tipicamente vista come una versione modificata di una delle due distribuzioni originarie 49

50 Accenni al processo di calcolo (1/5) DATA I dati della LDC vengono analizzati per valutarne la qualità e per definire se per le successive elaborazioni sono sufficienti i soli dati interni. I dati vengono raggruppati per ottenere il numero minimo di Talvolta i dati interni gruppi possono omogenei portare perale valutazioni combinazioni LoB-evento discordanti con le attese del management, ALL RISKS specialmente per eventi rari. In questo caso RISK 1 valutazioni esperte dei rischi o dati esterni, opportunamente pesati, possono essere integrati ai RISK 2 dati interni per migliorare le stime successive del modello. RISK..n.. 50

51 Processo di calcolo AGGREGATE DISTRIBUTION SINGLE RISK DATA La distribuzione aggregata di un singolo rischio può essere stimata: direttamente tramite un approssimazione stimando prima le distribuzioni della frequenza e della severity dei singoli eventi per poi unirle tramite una convoluzione SINGLE RISK FREQUENCY SEVERITY CONVOLUTION AGGREGATE DISTRIBUTION SINGLE RISK 51

52 Processo di calcolo AGGREGATE DISTRIBUTION SINGLE RISK DATA COPULA I dati aggregati di tutti i rischi vengono utilizzati per la stima della matrice di correlazione per la copula Gaussiana (*) La modalità di recepimento della correlazione tra diverse tipologie di rischio non è banale Questo approccio permette di separare l analisi del legame tra i singoli rischi e l analisi delle singole distribuzioni ALL RISKS (*) Le copula sono strumenti statistici per modellare le dipendenze tra variabili, sono utilizzabili per la costruzione di distribuzioni multivariate di variabili inter-dipendenti partendo dalle singole distribuzioni marginali. Nella copula Gaussiana il legame tra le variabili è espresso tramite una matrice di correlazione, in particolare la dipendenza delle code è nulla COPULA 52

53 Processo di calcolo AGGREGATE DISTRIBUTION SINGLE RISK DATA COPULA I dati simulati della copula sono trasformati in dati della distribuzione aggregata di tutti i rischi utilizzando le distribuzioni marginali calcolate precedentemente si ottiene quindi la distribuzione di probabilità simulata per la distribuzione congiunta di tutti i rischi AGGREGATE DISTRIBUTION ALL RISKS AGGREGATE DISTRIBUTION SINGLE RISK AGGREGATE DISTRIBUTION ALL RISKS AGGREGATE DISTRIBUTION ALL RISKS COPULA 53

54 Processo di calcolo AGGREGATE DISTRIBUTION SINGLE RISK DATA COPULA dalla distribuzione congiunta di tutti i rischi si ottiene la distribuzione della variabile somma delle perdite per tutti gli eventi/lob da stessa distribuzione è utilizzata per calcolare le diverse misure di rischio TVaR AGGREGATE DISTRIBUTION ALL RISKS VaR RISK MEASRURES RISK MEASURES 54

55 Indice Chi siamo Il contesto Solvency II ed ERM Il rischio operativo Rischio operativo e formula standard Misurazione e valutazione del rischio la loss data collection cenni ai modelli di valutazione gestione del rischio operativo Conclusioni Q&A 55

56 Il Rischio Operativo in un Sistema di Enterprise Risk Management (ERM) La gestione del Rischio Operativo deve essere ricompresa all interno di un più ampio Framework di Risk Management posto in essere dalla Compagnia al fine di monitorare ed ottimizzare tutti i processi di gestione del rischio. Un framework di Risk Management deve definire e formalizzare ruoli e responsabilità rappresentabili attraverso le tre diverse linee di difesa 1 L I N E A D I D I F E S A RISK OWNERS Business operations 2 LINEA DI DIFESA RISK OVERSIGHT Eg: Risk compliance, legal, health &safety, IT security, etc TUTTE LE LINEE DI DIFESA RIPORTANO AL BOARD RISK ASSURANCE Internal and external audit 3 LINEA DI DIFESA 56

57 La funzione di Operational Risk Management (ORM) Il Framework di Risk Management deve comprendere anche una funzione dedicata alla gestione del rischio operativo con i seguenti compiti: progettazione, sviluppo e manutenzione dei sistemi di gestione e misurazione dei Rischi Operativi raccolta e conservazione dei dati valutazione del profilo di rischio operativo determinazione del requisito patrimoniale sui rischi operativi reporting (aree di vulnerabilità, azioni di prevenzione e mitigazione, trasferimento del rischio, etc) formulazione proposte di intervento, con le relative priorità, da sottoporre al Comitato Rischi. La gestione diretta dei rischi operativi (controlli di 1 livello) compete a tutte le strutture operative (linee di Business, Aree operative della Capogruppo e Aree e Funzioni delle Società controllate) coordinate dalla Funzione ORM 57

58 Il Comitato Rischi Operativi E l organo di verifica ed indirizzo del complessivo processo di gestione del rischio operativo: Sottopone al vertice aziendale gli interventi per la corretta attuazione del modello metodologico per la gestione dei rischi. Monitora l evoluzione dell esposizione al rischio e propone al vertice aziendale gli interventi di mitigazione Composto da ORM, Audit, Organizzazione, IT,. 58

59 Gestione del Rischio Operativo un esempio 1. Definizione di una tassonomia dei rischi operativi. E.g. Il rischio operativo può essere considerato composto da più sottorischi connessi tra loro Rapporto di impiego/ sicurezza sul lavoro Frode Interna Gestione processi RISCHIO OPERATIVO Frode esterna Disastri, sicurezza pubblica Prodotti/prassi operative Problemi tecnologici 2. In corrispondenza di ogni rischio è necessario Define Risk individuare Indicator l Risk driver, la/le Mitigation applicate, i KRI etc 1 Risk Driver 2 Risk Mitigation 3 Perdite dovute ad errori nel processo Formalizzazione delle procedure Possible KRI Staff turnover 59

60 Indice Chi siamo Il contesto Solvency II ed ERM Il rischio operativo Conclusioni Q&A 60

61 61 Buon appetito!

62 This presentation has been prepared for illustrative purposes only. It It should not be further distributed, disclosed, copied or copied otherwise or otherwise furnished furnished to any other to any party other without party Milliman s without Milliman s prior consent. prior consent. No reliance should be placed on the results or or graphs presented herein and no inference made about the appropriateness of appropriateness the different bases of the presented. different In bases particular, presented. independent In particular, verification independent and professional verification advice and professional should be sought advice when should establishing be sought company when bases establishing and assumptions company bases for the and purposes assumptions of pricing, for the valuation purposes and of transaction pricing, valuation purposes and etc. transaction purposes etc. Actual experience may be more or less favourable than the assumptions and illustrations presented in this presentation. To Actual the extent experience actual experience may be more differs or less from favourable these, so than will actual the assumptions results differ and from illustrations those presented. in this presentation. To the extent actual experience differs from these, so will actual results differ from those presented. 62

63 Milliman Paola Luraschi ufficio: cell: Milliman S.r.l. Corso Europa, Milano 63