Seminario Rischi Operativi Definizione, contesto normativo e classificazione dei rischi operativi. Andrea Giacchero Tor Vergata, Roma, Giugno 2010

Transcript

1 Seminario Rischi Operativi Definizione, contesto normativo e classificazione dei rischi operativi Andrea Giacchero Tor Vergata, Roma, Giugno 2010

2 Indice RISCHI OPERATIVI DEFINIZIONE DI RISCHI OPERATIVI QUADRO NORMATIVO: IL NUOVO ACCORDO DI BASILEA E I RISCHI OPERATIVI IL PROCESSO DI OPERATIONAL RISK MANAGEMENT UN MODELLO PER L IDENTIFICAZIONE DEI RISCHI OPERATIVI 1

3 Definizione di rischi operativi Il Nuovo Accordo sulla Convergenza Internazionale della Misurazione del Capitale e dei coefficienti Patrimoniali (c.d. Accordo di Basilea 2), recepito dalla Circolare della Banca d Italia n. 263 del 27 Dicembre 2006, ha introdotto il requisito patrimoniale a fronte dei rischi operativi Rischio Operativo Il rischio di perdite risultanti da inefficienze o inadeguatezze di processo, persone, sistemi o da eventi esterni, incluso il rischio legale ed esclusi i rischi reputazionali, strategici e di business (Comitato di Basilea, Third Consultative Paper, Aprile 2003) Risk Driver (fattori di rischio) Loss Event Type (tipologia eventi pregiudizievoli) Loss Effect Type (tipologia di impatto) Persone Sistemi Processi Contesto esterno Frodi interne/esterne Contratto di lavoro e sicurezza sul posto di lavoro Clienti, prodotti e pratiche di business Danni a beni materiali Avarie guasti ai sistemi Esecuzione, consegna e gestione del processo Responsabilità legale Azione Autorità di Regolamentazione Perdita o danno alle attività Restituzioni/Rimborsi Perdite per errore non recuperate Write down Altre perdite 2

4 Contesto normativo Prassi corrette per la gestione e il controllo del rischio operativi Bisogna osservare una serie di principi e standard organizzativi che devono guidare gli intermediari nell attività di progettare, gestire e verificare il sistema di Operational Risk Management, in un ottica di un efficace gestione e supervisione del rischio operativo. Tali principi riguardano: Creazione di un ambiente adatto alla gestione dei rischi; Gestione del rischio: Individuazione, Valutazione, Monitoraggio, Mitigazione/Controllo; Il ruolo della Autorità di Vigilanza; Il ruolo della trasparenza 3

5 Contesto normativo Il Nuovo Accordo di Basilea 1/2 Il Nuovo Accordo di Basilea prevede che le banche detengano un patrimonio di vigilanza a copertura non solo dai rischi di credito e di mercato ma anche dai rischi operativi. Sono possibili tre opzioni per il calcolo del requisito patrimoniale a fronte dei rischi operativi: Basic Indicator Approach (BIA) Standardised Approach (TSA) Advanced Measurment Approach (AMA) Il requisito patrimoniale è determinato attraverso l applicazione di una percentuale fissa ( = 15%) della media dei valori positivi del margine di intermediazione riferito ai tre esercizi precedenti. Il requisito patrimoniale viene calcolato applicando diverse percentuali (coefficiente Beta) al margine di intermediazione delle linee di business regolamentari (secondo lo schema fissato da Basilea 2). Per linea di business regolamentare si intende un insieme di attività della banca raggruppate per tipologia di operazione e clientela. I metodi avanzati di misurazione del rischio operativo prevedono l elaborazione di un modello interno : Dati interni: perdite operative sperimentate dalla Banca nel passato (Loss Data Collection) Dati esterni: DIPO Valutazioni degli esperti: valutazione prospettica sui rischi operativi presenti nella Banca e sulle perdite che potenzialmente potrebbero scaturire da essi (Analisi di scenario) 4

6 Standardised Approach Requisiti I requisiti di idoneità per il metodo standardizzato previsti dalla normativa della Banca d Italia sono propedeutici ai requisiti di idoneità per i metodi avanzati di misurazione. Quindi, le banche dovranno: avere un efficace sistema di gestione dei rischi operativi; in particolare, si richiede che siano attivati i seguenti processi: a. definizione e manutenzione dei criteri di classificazione delle attività nelle linee di business regolamentari b. raccolta dei dati rilevanti sui Rischi Operativi c. reporting d. valutazione dell esposizione ai Rischi Operativi disporre di adeguati meccanismi di governo societario per i rischi operativi; è necessario, pertanto, che presso la Capogruppo e le singole Società del Gruppo il processo decisionale sia chiaramente e coerentemente stabilito in termini di livelli gerarchici e di responsabilità. 5

7 Standardised Approach Misurazione mediante metodo standardizzato Il metodo standardizzato prevede che l attività della Banca sia suddivisa in otto linee di business regolamentari, le cui attività sono state descritte dalla Banca d Italia. Il calcolo del requisito patrimoniale complessivo è determinato sulla base della media dei requisiti patrimoniali delle linee di business riferiti alle ultime tre osservazioni su base annuale effettuate alla fine dell esercizio. Per ciascun anno, il requisito patrimoniale è ottenuto dalla somma dei requisiti patrimoniali delle singole linee di business, calcolati applicando i coefficienti regolamentari (definiti β ) all indicatore rilevante (i.e. margine di intermediazione, voce di c/economico 120) delle Business Line (BL): Il capitale assorbito si ottiene moltiplicando il GI di ogni BL per il rispettivo fattore beta (stabilito dal Comitato di Basilea) Business Line Corporate Finance Trading & Sales Retail Banking Commercial Banking Payment & Settlement Agency Services Asset Management Reatil Brokerage Cap. assorbito 18%*GI 18%*GI 12%*GI 15%*GI 18%*GI 15%*GI 12%*GI 12%*GI Beta Factors 6

8 Standardised Approach Adozione del metodo L adozione del metodo standardizzato prevede che la banca effettui una comunicazione alla Banca d Italia. La comunicazione deve essere corredata da: gli organigrammi che individuano i compiti e le responsabilità delle funzioni di gestione e di controllo dei rischi operativi; il verbale della delibera dell organo con funzione di supervisione strategica, con l attestazione del rispetto della soglia di accesso; un documento che descrive il processo di auto-valutazione e i relativi esiti; La relazione della revisione interna. Con cadenza annuale va inviata alla Banca d Italia l attestazione formale dell organo con funzione di supervisione strategica sul rispetto dei requisiti di idoneità e la relazione della revisione interna sull adeguatezza del sistema di gestione dei rischi operativi. La Banca d Italia adotta una procedura di silenzio-assenso, riservandosi la facoltà, anche successivamente a tale data, di valutare l adeguatezza del metodo mediante apposite verifiche e di assumere le misure più opportune in caso accerti l insussistenza o il mancato rispetto dei requisiti regolamentari. 7

9 Il processo di Operational Risk Management Struttura organizzativa e ruoli Strategie/ Responsabilità Holding Società controllate del Gruppo Supervisione** Revisione Interna CdA Comitato Rischi Top Management delle Società del Gruppo Misurazione Controllo dei Rischi e Capital Allocation Funzione Risk Management e Revisione Interna delle Società del Gruppo Flusso di informazioni Funzioni di supporto* Funzioni di supporto* Referenti Business Lines Referenti Business Lines Operatività *Organizzazione, Sistemi Informativi, Contabilità e Bilancio, Controllo di Gestione. **Nei rischi operativi, la Revisione Interna, oltre all attività di supervisore tipica di questa funzione, svolge un ruolo nella definizione del modello e nell analisi del sistema dei controlli. 8

10 Il processo di Operational Risk Management Struttura organizzativa e ruoli Di seguito le linee guida del sistema di Operational Risk Management (ORM), ossia del sistema dei controlli sulla gestione dei rischi operativi (controlli di 2 livello). La gestione diretta dei rischi operativi (controlli di 1 livello) compete a tutte le strutture operative (linee di Business, Aree operative della Capogruppo e Aree e Funzioni delle Società controllate) che, nel limite delle proprie funzioni, devono modificare o ridurre i rischi operativi attraverso: gli interventi dettati dal Consiglio d Amministrazione o dal Comitato Rischi; gli interventi ritenuti da esse necessarie anche su indicazioni della reportistica e delle comunicazioni informative. Le responsabilità del Consiglio di Amministrazione, del Collegio Sindacale, dell Alta Direzione e dell Area Revisione Interna derivano dalle specificazioni indicate nel documento per la consultazione di Banca d Italia, il quale definisce il ruolo di ogni attore. Il Consiglio di Amministrazione deve essere attivamente coinvolto nella supervisione del sistema di gestione dei rischi operativi: approvando le strategie e le politiche del sistema di gestione dei rischi operativi (il Modello Teorico e i Metodi e Strumenti per la gestione dei rischi operativi) e le riesamina con cadenza almeno annuale, sulla base delle informazioni provenienti dalle strutture preposte; esaminando, annualmente, il documento descrittivo del processo di Autovalutazione del sistema di gestione dei rischi operativi e la connessa relazione dell Auditing; attestando, annualmente, il rispetto e la sussistenza dei requisiti previsti per l applicazione del metodo standardizzato, sia a livello individuale che a livello consolidato; verificando, periodicamente, l esposizione alle diverse tipologie di rischio operativo. 9

11 Il processo di Operational Risk Management Struttura organizzativa e ruoli Il Collegio Sindacale, nell ambito delle sue funzioni istituzionali, deve vigilare sul grado di adeguatezza del sistema di gestione dei rischi operativi e sul suo concreto funzionamento; L'Alta Direzione deve: presiedere la fase operativa dell attività di realizzazione dei processi ORM; predisporre i presidi organizzativi, le attività e le metodologie necessarie al conseguimento degli obiettivi generali approvati dal Consiglio di Amministrazione; L Area Revisione Interna deve: esaminare, in forma autonoma ed indipendente, l efficacia e l efficienza dei processi ORM; effettuare revisioni periodiche sul sistema di gestione dei rischi operativi adottato al fine di valutarne la funzionalità e l efficacia, nonché la conformità ai criteri minimi di idoneità; collaborare con l Operational Risk Management per il disegno, lo sviluppo, la realizzazione, l esecuzione e il mantenimento del sistema di gestione dei rischi operativi e del relativo processo di Autovalutazione; svolgere, con cadenza almeno annuale, un autonoma valutazione dell adeguatezza del processo di Autovalutazione e produrre un apposita relazione da far approvare e tenere al CdA 10

12 Il processo di Operational Risk Management Struttura organizzativa e ruoli L ORM Centrale rappresenta il punto di riferimento per qualsiasi problematica di natura tecnica, metodologica ed organizzativa incontrata da qualsiasi Unità della Banca nell espletamento delle attività, che prevedono il suo coinvolgimento nell ambito del processo di gestione dei rischi operativi. In particolare: coordina le unità organizzative coinvolte nel processo di ORM a livello di Gruppo nel suo complesso: sviluppando i principi e le metodologie per la misurazione del rischio, il trattamento dei dati di perdita, la quantificazione dell esposizione complessiva ai rischi operativi, la policy interna e implementando la strategia di gestione precedentemente approvata in CdA; effettuando il monitoraggio periodico dei trend di perdita e del valore del capitale assorbito; individuando e proponendo i potenziali interventi di mitigazione; supporta le figure organizzative interessate dal processo di gestione dei rischi operativi, in primis ai referenti ORM, svolgendo attività di consulenza su problematiche tecniche, metodologiche ed organizzative; interagisce con le Autorità di Vigilanza e le Associazioni di Categoria (i.e. ABI) per lo sviluppo e consolidamento della materia. L ORM Decentrato rappresenta il principale interlocutore dell ORM Centrale ed ha tra le sue principali attività: proporre all'orm Centrale modifica ed integrazioni al modello di governance e all'approccio metodologico per tener conto di eventuali specificità della Banca/Società di appartenenza; condividere le linee guida comunicate dall ORM Centrale; recepire le proposte in merito alle strategie di gestione dei rischi operativi; porre in essere operativamente le attività definite ed essere responsabile del buon esito delle stesse, attraverso un attività di supervisione del corretto stato di avanzamento dei lavori; applicare metodologia, tool e tecniche definite dall ORM Centrale per la gestione dei rischi operativi; svolgere attività di coordinamento tra le strutture della Banca. 11

13 Un modello per l identificazione dei rischi operativi Modello Loss Event: il modello per la classificazione dei Loss Event Type proposto da Basilea è strutturato in tre livelli i cui primi due obbligatori. Il terzo livello esemplificativo è caratterizzato da un maggior dettaglio descrittivo, la cui specifica concreta sarà effettuata da ogni singola banca sulla base delle caratteristiche di ogni specifica area di business. Dimensione Organizzativa: Il modello della dimensione organizzativa rappresenta l associazione della mappa dei processi aziendali allo schema delle Business Line fornito da Basilea: secondo tale schema le attività della banca vengono suddivise in otto linee di business. Modello Risk Factor: Il Modello dei Fattori di Rischio Operativo stabilisce una specifica dei risk driver definiti da Basilea (persone, processi, sistemi, contesto esterno). Può essere caratterizzato da una struttura ad n livelli contraddistinti da un diverso grado di dettaglio. Modello Loss Effect: il modello proposto in uno dei documenti Basilea* individua 6 categorie di perdite (effetti) avutesi in seguito un evento pregiudizievole Regole di Governo: definisce i macroruoli degli attori coinvolti nel processo di gestione dei rischi operativi e le singole attività di dettaglio. *Quantitative Impact Study II 12

14 Loss Data Collection Introduzione La prima fase dello sviluppo di un processo di gestione dei rischi operativi consiste, quindi, nel ricondurre le fenomenologie di perdita (anche potenziali) e i fattori di rischio ad esse connessi ad uno schema di riferimento univoco in grado di cogliere tre fondamentali dimensioni di analisi: la tipologia di evento, al fine di specificare cosa è avvenuto (tipologia di evento pregiudizievole che genera la perdita); la tipologia di fattore di rischio, che rappresenta la causa alla quale vengono ricondotti gli eventi di perdita (effettivi e potenziali) rilevati; la dimensione organizzativa, nella quale viene definito lo schema dei processi e delle unità operative, ossia il dove rispetto al quale viene condotta l analisi dei rischi e delle perdite. Nello sviluppo di un Modello Avanzato, la costituzione di una serie storica di perdite operative interne costituisce un importante priorità progettuale, al fine di collegare le stime di rischio della Banca alle perdite effettivamente subite. Il periodo di osservazione dei dati interni di perdita deve essere di almeno cinque anni; qualora la banca adotti un AMA per la prima volta, tale periodo di osservazione può essere ridotto a tre anni. 13

15 Loss Data Collection Perimetro di raccolta 1/3 Le Perdite Operative sono le perdite avutesi per effetto di un evento pregiudizievole, consistenti in una manifestazione economica negativa, che misura il danno subito dalla Banca per cause ascrivibili agli Operational Risk. Evento pregiudizievole: si intende il singolo accadimento pregiudizievole (es. frodi, rapine, etc.) che genera una o più perdite. Manifestazione: identifica ogni singola conseguenza derivante dall accadimento dell evento dannoso (es. ammanco valori, danno alle cassette di sicurezza, etc.). Cause: come da definizione di Rischi Operativi, ossia processi, persone, sistemi ed eventi esterni. Le sole perdite rilevanti ai fini di Loss Data Collection sono quelle che hanno incidenza diretta sul conto economico della Banca*, non dovute a politica commerciale o a compensazioni di costi o ricavi di esercizio erroneamente valutati in precedenza. * Riconducibili all evento direttamente o attraverso rilevazioni gestionali/ dipartimentali. 14

16 Loss Data Collection Perimetro di raccolta 2/3 Il processo di Loss Data Collection si basa su uno schema in linea con l approccio Guidato dagli Eventi proposto dal Comitato di Basilea e ribadito dall ABI a proposito del DIPO: Focus sugli Eventi che generano perdite operative Perdite Operative di varia natura (diversi Effetti) che devono essere tutte riconducibili allo stesso Evento che le ha causate Raccogliere le perdite ai fini dell analisi dei rischi operativi richiede, quindi, di avere una disaggregazione dei dati che consenta di identificare, unitamente alle perdite, l evento che le ha generate. Una esemplificazione di pluralità di effetti riconducibili allo stesso evento può essere fornita da: evento rapina che può generare perdite per sottrazione di numerario, danni ai fabbricati e danni all elettronica. una procedura che produce un errato inoltro dell ordine di bonifico, produce n perdite/effetti pari al numero di c/c colpiti dall errore operativo. 15

17 Loss Data Collection Perimetro di raccolta 3/3 Le perdite del percorso A (effettive ed isolate) si suddividono a loro volta in: perdite certe: si intendono le perdite effettive rilevate contabilmente, non dovute a compensazioni di costi o di ricavi di esercizio erroneamente valutati, bensì sostenute per effetto di un evento pregiudizievole accaduto di natura non sistemica; si tratta di perdite oggettive e misurabili in quanto appositamente censite nel sistema contabile della banca o tali per cui sia possibile rintracciarne l impatto sul conto economico, a prescindere dalle modalità di contabilizzazione e dalle voci contabili ove vengono inserite. I singoli valori da registrare rappresentano le varie tipologie di costi necessari per la risoluzione dell evento, al netto dei costi sostenuti in miglioramento dei controlli, in azioni preventive e in investimenti in nuovi sistemi, ma al lordo delle somme recuperate (assicurative o altro). accantonamenti di perdita: si hanno quando l importo della perdita, derivante dall accadimento di un evento pregiudizievole, non è certo, ma il principio di competenza economica impone di effettuare una previsione. In tal caso la contabilizzazione avviene mediante accantonamenti a specifici fondi rischi effettuati a fronte degli eventi verificatisi. In questo caso, la stima di perdita viene rivista, ed eventualmente variata, ad ogni periodica chiusura del bilancio, fino a che la perdita non si realizza, e l accantonamento viene eliminato mediante utilizzo del fondo. Questa distinzione è importante ai fini dell organizzazione del sistema di rilevazione delle perdite operative, sia esso manuale piuttosto che automatizzato; la procedura deve infatti tenere presente il differente trattamento contabile delle perdite, la scarsa rilevanza dell informazione fornita dalla data di contabilizzazione, nonché la necessità di aggiornare annualmente tutti i record relativi alle previsioni di perdita degli anni precedenti. 16

18 Loss Data Collection Framework generale La Loss Data Collection dipende fortemente da: Specificità dell organizzazione bancaria in cui viene organizzata Modello organizzativo adottato per la struttura dell Operational Risk Management (ORM) Gli aspetti basilari della LDC da considerare sono: Database delle perdite operative Fasi della LDC Obiettivi È l elemento centrale della raccolta, in cui far confluire i dati di perdita operativa Ricerca Censimento Validazione Monitoraggio Reporting 17 attendibilità delle informazioni completezza delle serie storiche di perdita

19 Loss Data Collection Framework generale: regole di Governance 1/3 Obiettivi Al fine di garantire efficacia (tempo/qualità di produzione delle informazioni) ed efficienza (Impiego complessivo di risorse) all intero processo di LDC, risulta fondamentale la definizione di regole interne che: diano una definizione univoca di rischi operativi e di eventi di perdita da adottare uniformemente all interno della Banca; individuino le figure organizzative coinvolte e consentano, di conseguenza, l adeguata allocazione delle risorse; assegnino ruoli e responsabilità ai singoli attori, per il corretto svolgimento delle attività assegnate. La definizione di strutture, ruoli e responsabilità degli attori che intervengono nel processo di LDC ha l obiettivo di garantire: la creazione di serie storiche di perdita consistenti e rappresentative della rischiosità operativa ; l omogeneità e la coerenza dei dati raccolti; la qualità del processo di produzione dei dati; il rispetto di scadenze comuni con valenza interna ed esterna; la gestione della comunicazione orizzontale e verticale. Principi generali I principi di carattere generale, che devono guidare gli attori coinvolti nella raccolta dei dati, sono: globalità nella copertura degli eventi di perdita da censire (in termini di processi, localizzazione geografica, tipologia di rischi); tempestività e continuità nella fase di ricerca dei dati. 18

20 Loss Data Collection Framework generale: regole di Governance 2/3 Gli attori coinvolti nel processo di Loss Data Collection nel caso di gruppo bancario possono essere: l ORM Centrale, con funzione di coordinamento e presidio dell intero processo; Auditing Interno, con il ruolo di supervisor del progetto; l ORM Decentrato, all interno di ogni singola entità, con il compito di gestire, ottimizzare e regolare i rapporti con i referenti delle unità coinvolte nel progetto; una struttura decentrata di Referenti Operational Risk all interno delle diverse strutture identificate come fonti informative all interno. 19

21 Loss Data Collection Framework generale: regole di Governance 3/3 Ruoli degli attori La mission dell ORM Centrale consiste nel: definire le metodologie e le strategie di raccolta dei dati di perdite operative; definire e manutenere il modello dati del DB perdite operative; validare i contenuti della base dati; definire criteri standardizzati per l analisi e il reporting dei dati di perdite operative. L Auditing Interno svolge il ruolo di supervisor del progetto, mediante: condivisione nella definizione della metodologia a supporto del processo di Loss Data Collection; attività di revisione dell intero processo di raccolta dei dati di perdita Il principale interlocutore dell ORM Centrale è costituito dall ORM Decentrato in cui si svolge la LDC. La sua mission consiste nel: condividere le linee guida comunicate dall ORM Centrale e porre in essere operativamente le attività definite; svolgere attività di coordinamento del processo di raccolta e di supervisione del corretto stato di avanzamento dello stesso; arricchimento dei dati / prima validazione; essere responsabile del buon esito del processo di raccolta, assicurando tempi, correttezza e completezza dei dati di competenza contenuti nel database predisposto. I Referenti Operational Risk, individuati all interno delle diverse fonti informative della Banca, dovranno predisporre e consegnare i dati di perdita operativa all ORM della propria società secondo le modalità e tempistiche definite in fase di analisi. In particolare, dovranno: segnalare le perdite compilando il modello dati predisposto dall ORM Centrale; consegnare il flusso informativo all ORM Centrale secondo la tempistica concordata. 20

22 Loss Data Collection Framework generale: fasi della Loss Data Collection Ricerca Censimento Validazione Monitoraggio Reporting Individuazione fonti informative Individuazione perdite operative Miglioramento delle fonti e test di completezza Definizione e formalizzazione dei criteri di censimento, al fine di garantire: Accuratezza dell informazione Tempestività dell alimentazione Arricchire / completare i dati censiti Conferma documentata della validità dell informazione Verificare il regolare processo della raccolta Garantire il mantenimento della qualità raggiunta nella fase di alimentazione del database di raccolta dati Reporting aziendale Reporting di gruppo 21

23 Loss Data Collection Framework generale: obiettivi Ciascun dato di perdita operativa raccolto presso le fonti informative è oggetto di uno screening analitico, al fine di associare a ciascuna perdita le categorie di Loss Event Type, Loss Effect Type, Risk Factor e Business Line proposte dal Comitato di Basilea. Event Type Effect Type Perdita operativa Business Line Risk Factor Attraverso la Loss Data Collection si cerca di ricostruire, con la massima precisione, il singolo evento di perdita, al fine di garantire l attendibilità e la completezza del dato raccolto (soprattutto in termini di frequency, severity e attributi informativi). 22

24 Loss Data Collection Le fonti informative Fonte informativa E identificabile nell entità organizzative in grado di fornire le informazioni riguardanti le dimensioni principali sia di ogni evento di perdita rilevato che degli effetti ad esso associati: Possibili Aree/Funzioni come fornitori di dati sulle perdite operative possono essere: Contabilità Ufficio Reclami Area Legale Area Personale 23

25 Loss Data Collection Le fonti informative: esempi Possibili Aree/Funzioni come fornitori di dati sulle perdite operative possono essere: Contabilità Ufficio Reclami Area Legale Area Personale 24

26 Loss Data Collection Le fonti informative: esempi In sintesi, per ogni fonte informativa le attività da svolgere sono: Analisi: in tale fase vengono esaminati i contenuti informativi della fonte alimentante al fine di distinguere gli eventi rilevanti ai fini dell analisi dei rischi operativi da quelli che non rientrano nell ambito di analisi. Vengono, inoltre, individuate analiticamente le tipologie di evento da estrarre da ogni fonte, in modo da evitare sovrapposizioni e da massimizzare il trade-off costi/benefici. Si analizzano anche le modalità con cui ogni fonte informativa alimenta la contabilità al fine di poter effettuare controlli e quadrature Definizione del processo di raccolta a regime : si definiscono, individuando ruoli e responsabilità, le modalità con cui ogni Area/Funzione dovrà fornire le perdite operative (secondo le tipologie individuate nella fase di analisi) alle unità di ORM. Durante tale fase vengono anche individuate eventuali modifiche ad archivi già presenti presso le fonti oggetto di esame al fine di abilitare/facilitare l attività di raccolta 25

27 Loss Data Collection Le fonti informative: esempi Contabilità Devono essere individuate le voci di Bilancio contenenti esclusivamente e parzialmente perdite operative. In seguito, le informazioni relative ai singoli eventi di perdita raccolti in Contabilità vengono, se necessario, integrate con le informazioni disponibili presso le varie fonti gestionali. Reclami Devono essere analizzati i reclami inerenti eventi di perdita operativa per i quali vi è stata l autorizzazione a procedere al pagamento. Legale I dati sono relativi alle perdite in seguito contenziosi con clienti: comprendono gli esborsi già effettuati in seguito sentenze sfavorevoli e gli accantonamenti effettuati a copertura dei possibili esborsi. Personale I dati da raccogliere fanno riferimento alle pratiche relative alle cause in materia di gestione del contenzioso giuslavoristico: in particolare le perdite operative raccolte si riferiscono sia agli accantonamenti effettuati a fronte di cause aperte, per le quali vi è una previsione di perdita, sia alle spese certe a seguito di transazione o sentenza; 26

28 Loss Data Collection Le fonti informative: esempi Altre fonti Altre fonti informative da individuare sono quelle che gestiscono le perdite operative che si riferiscono a: - Rapine, con perdite per ammanco valori, danni all elettronica e danni ai fabbricati; - Danni ai fabbricati o all elettronica per cause naturali, disastri o altri eventi (vandalismo, ); - Atti di frode interna; - Errori effettuati nell attività di raccolta ordini e negoziazione per conto terzi relativamente a operazioni su strumenti finanziari. 27

29 Dati esterni DIPO DIPO è il Data Base Consortile sui Rischi Operativi dell ABI L'uso dei dati esterni di perdite operative è molto importante, perché consente di: raccogliere dati sulle perdite operative subite dalle altre banche; ottenere informazioni su alcune variabili caratteristiche degli intermediari e delle loro business line, dal momento che le serie storiche di perdite operative di cui si dispone all interno di ogni singola entità potrebbero non avere sufficiente spessore, tale da permettere analisi robuste; effettuare studi ed approfondimenti, tramite analisi di stress, sulle soluzioni organizzative e sulle metodologie di misurazione e di gestione del Rischio Operativo; confrontare, in termini di profilo di rischiosità, l allineamento dell azienda al sistema, attraverso i dati opportunamente scalati ed utilizzati come benchmark; Contare su ulteriori dati come valida base per la stima dei parametri delle distribuzioni di frequency (numero di eventi nell'arco temporale di riferimento) e severity (Impatto del singolo evento) in quei casi in cui la profondità delle serie di dati interni risulti insufficiente; arricchire il reporting, attraverso il confronto tra i dati interni ed il sistema. 28

30 Valutazione dell esposizione ai rischi operativi Il processo di valutazione dell esposizione ai rischi operativi consiste in un analisi diagnostica dei processi aziendali volta ad individuare potenziali eventi di rischio operativo, in grado di generare effetti economici negativi per la Banca. Con riferimento ai processi del gruppo maggiormente rilevanti, il processo di valutazione dell esposizione ai rischi operativi si suddivide in due fasi: 1. Preparazione dei questionari: produzione di una matrice, in cui le tipologie di evento di rischio operativo sono associati ai processi. Gli strumenti utilizzati per la rilevazione dei rischi sono: il modello dei processi, che, fornendo una rappresentazione schematica dei processi posti in essere dalla Banca per perseguire le proprie finalità di business, è funzionale a collocare gli eventi di rischio in specifici punti dell organizzazione; lo schema di classificazione degli eventi di perdita 2. Esecuzione dei questionari: attività finalizzata a realizzare una valutazione qualitativa dei rischi identificati tramite questionari rivolti a risorse esperte dei processi (Process owner) analizzati ed in grado di fornire giudizi sul grado di esposizione della Banca ai rischi operativi individuati. L obiettivo della valutazione dell esposizione ai rischi operativi è quello di individuare qualitativamente il contributo, in termini di impatto potenziale sul conto economico, di ogni tipologia di evento all esposizione al rischio operativo dell unità considerata, indicando le criticità effettive ed eventuali priorità di intervento. 29

31 Misurazione mediante metodo AMA L approccio AMA prevede l integrazione di dati ed informazioni ricavati da: dati interni dati esterni (DIPO) analisi di scenario, basate sui giudizi espressi da risorse esperte della Banca. Questo approccio si basa sulle esperienze di qualificati responsabili di unità di business ed esperti di gestione del rischio, ed è volto a produrre fondate valutazioni di plausibili perdite ad alto impatto; fattori di contesto operativo e di controllo interno, utilizzati per una valutazione del rischio più prospettica, al fine di favorire l allineamento delle valutazioni del fabbisogno di mezzi propri con gli obiettivi di gestione del rischio e, infine, riconoscere con tempestività il miglioramento o il peggioramento nei profili del rischio operativo. In genere, la metodologia utilizzata per l'analisi dei dati di perdita storici, eventualmente completati dai dati esterni opportunamente scalati, e per l analisi di scenario si basa su un approccio di tipo attuariale. Tale approccio si fonda sul presupposto che l informazione utile, contenuta nelle serie storiche dei dati di perdita, è completamente catturata da due grandezze derivate: distribuzione di frequency (numero atteso di eventi nell arco temporale di riferimento); distribuzione di severity (impatto atteso per singolo evento). La stima delle distribuzioni di frequency e severity avviene in maniera indipendente, in quanto si assume che non vi sia alcuna dipendenza fra l importo della perdita e il numero delle volte che la perdita stessa si ripete durante l anno. La ricostruzione di queste due distribuzioni permette l elaborazione delle informazioni contenute nei dati. Gli output dell'analisi dei dati di perdita storici e dell'analisi di scenario dovranno essere integrati con le informazioni rivenienti dall'analisi dei fattori di contesto operativo e di controllo interno. 30

32 Reporting dei rischi operativi Occorre produrre un Risk Report, fornendo informazioni sui dati interni di perdita, classificati per tipologia di evento e per fattore di rischio; l obiettivo è quello di dare informazioni sulle perdite significative per identificare e valutare le eventuali aree di vulnerabilità della Banca. I report, elaborati dalle strutture di Risk Management sia della Capogruppo (ORM Centrale) sia delle Società del Gruppo (ORM Decentrato), prevedono quattro principali destinatari: Consiglio di Amministrazione Comitato Rischi Risk Management della Capogruppo: i report prodotti dalle strutture di Risk Management delle Società del Gruppo saranno inviati, oltre che alle strutture interessate della loro Banca, anche all ORM Centrale, che ne prenderà visione e provvederà al consolidamento dell informativa prodotta; altre Aree/Linee di business di Capitalia La struttura del report risulterà suddivisa in tre sezioni: raccolta dei dati interni di perdita analisi di scenario quantificazione del capitale assorbito. L obiettivo è di dare una rappresentazione completa dei fenomeni legati ai rischi operativi, con valenza anche di tipo gestionale. 31