Evoluzione delle linee guida di Basilea eapproccio integrato di gestione dei rischi operativi. Milano, 08 Ottobre 2010

Transcript

1 Evoluzione delle linee guida di Basilea eapproccio integrato di gestione dei rischi operativi Milano, 08 Ottobre 2010

2 Agenda Introduzione: da Basilea II a Basilea III I Rischi Operativi Il Framework ERM I Rischi Operativi e la Business Continuity Page 2

3 Introduzione Nel 2004, il Comitato di Basilea per la vigilanza bancaria ha pubblicato il nuovo accordo sui requisiti minimi di capitale che ha introdotto un nuovo approccio al rischio per gli istituti finanziari. L accordo èquindi entrato in vigore nel gennaio del L obiettivo di Basilea II era quello di introdurre pratiche di risk management più restrittive per irischi di credito eper irischi operativi, e rafforzare il legame tra rischio e capitale al fine di rendere l allocazione del capitale maggiormente sensibile al rischio ad esso associato. Per gli istituti finanziari, Basilea II ha rappresentato pertanto un incentivo amigliorare la qualità del proprio framework edei propri sistemi di risk management al fine di ridurre irequisiti patrimoniali di riserva di capitale. Page 3

4 L approccio di Basilea II L approccio dell accordo è strutturato in 3 pilastri e, a differenza dell accordo precedente (Basilea I) separa il rischio di credito dal rischio operativo, introducendo dei requisiti patrimoniali anche per i rischi operativi. Page 4

5 Basilea III Elementi di novità Il 12 Settembre 2010 il Comitato dei Governatori delle Banche Centrali ha approvato il nuovo accordo (c.d. Basilea III ). L entrata in vigore del nuovo accordo sarà graduale eprevederà un periodo di transizione apartire dal 1 gennaio 2013 per arrivare alla piena attuazione nel Gli elementi aggiuntivi rispetto all accordo precedente sono principalmente attribuibili al graduale innalzamento dei requisiti patrimoniali lungo il periodo di transizione stabilito. L'accordo intende agire su quelli che sono ritenuti irequisiti chiave imposti alle banche nella loro attività, che vengono misurati dal rapporto tra patrimonio di vigilanza, ovvero ifondi su cui una banca può maggiormente contare in una fase di necessità, rispetto al totale delle sue attività, ponderate per tener conto delle effettive caratteristiche di rischio. Page 5

6 Requisiti Patrimoniali - Basilea III Leverage Ratio (3.0%) Supervisory monitoring Parallel Run Phase (Public Disclosure as of January 2015) Effective January 2018 Minimum Common Equity Capital Ratio 2,0% 2,0% 3,5% 4,0% 4,5% 4,5% 4,5% 4,5% 4,5% Capital Conservation Buffer ,625% 1,25% 1,875% 2,5% Minimum Common Equity plus Capital Conservation Buffer Phase-in of Deductions for FI Investments, MSRs and DTAs 2,0% 2,0% 3,5% 4,0% 4,5% 5,125% 5,75% 6,375% 7,0% % 40% 60% 80% 100% 100% Minimum Tier 1 Capital 4,0% 4,0% 4,5% 5,5% 6,0% 6,0% 6,0% 6,0% 6,0% Minimum Total Capital 8,0% 8,0% 8,0% 8,0% 8,0% 8,0% 8,0% 8,0% 8,0% Minimum Total Capital plus Capital Conversion Buffer Capital Instruments Not Qualified for Tier 1 or Tier 2 Capital Treatment 8,0% 8,0% 8,0% 8,0% 8,0% 8,625% 9,25% 9,875% 10,5% Phased-Out (2013 through 2023) Al di là dell aumento dei requisiti patrimoniali, permane la necessità di gestire irischi operativi in termini di identificazione, valutazione e mitigazione. Page 6

7 Agenda Introduzione: da Basilea II a Basilea III I Rischi Operativi Il Framework ERM I Rischi Operativi e la Business Continuity Page 7

8 Universo dei rischi Dove si colloca il rischio operativo? Market Rappresenta il rischio di perdite legate a movimenti avversi dei parametri di mercato (tassi d interesse, tassi di cambio, corsi azionari, ecc.) Credit Rappresenta il rischio di perdite legate all inadempimento/insolvenza della controparte Cash Rappresenta il rischio di perdite legate alla necessità di liquidare tempestivamente le proprie posizioni Reputational Strategic Rappresenta il rischio di perdite legate a variazioni della percezione della qualità dell azienda sul mercato Operational Rappresenta il rischio di perdite legate a cambiamenti nell ambiente competitivo Rappresenta il rischio di perdite derivante da inefficienze o inadeguatezze di processi, persone, sistemi o da eventi esterni Page 8

9 Rischio Operativo - Definizioni Comunementesi definisce Rischio Operativo Il rischio riconducibile al malfunzionamento dei sistemi produttivi e distributivi Il rischio che genera un incremento di costi operativi più che proporzionale rispettoall aumentodelle componenti positive di reddito L accordodi Basilea ha ridefinitoin momenti differentiil Rischio Operativo The risk that deficiencies in information systems or internal controls will result in unexpected loss. The risks associated with human error, systems failure and inadequateprocedures and controls Risk that deficiencies in information systems or internal controls will result in financial loss, failure to meet regulatory requirements or an adverse impact on the bank s reputation The risk of loss resulting from inadeguate or failed internal processes, people and systems or from external event Page 9

10 Principali fattori di rischio operativo Frode interna: alterazione intenzionale di dati, sottrazione di beni evalori, operazioni inproprio basate su informazioni riservate; Frode esterna: furto, contraffazione, falsificazione, emissione di assegni a vuoto, pirateriainformatica; Rapporto di impiego e sicurezza sul posto di lavoro: risarcimenti richiesti da dipendenti, violazione delle norme a tutela della salute e sicurezza del personale, attivitàsindacale, pratichediscriminatorie,responsabilitàcivile; Pratiche connesse con la clientela, iprodotti el'attività: violazione del rapporto fiduciario, abuso di informazioni confidenziali, transazioni indebite effettuate per conto della banca, riciclaggio di denaro di provenienza illecita, vendita di prodotti non autorizzati; Danni abeni materiali: atti di terrorismo evandalismo,terremoti, incendi, inondazioni; Disfunzioni e avarie di natura tecnica: anomalie di infrastrutture e applicazioni informatiche,problemidi telecomunicazione,interruzioni nell'erogazionedi utenze; Conformità esecutiva eprocedurale: errata immissione di dati, gestione inadeguata delle garanzie, documentazione legale incompleta, indebito accesso consentito aconti di clienti, inadempimentidi controparti non clienti,controversie legali con fornitori. (Prassi corrette per la gestione e il controllo del rischio operativo, Comitato di Basilea per la vigilanza bancaria) Page 10

11 Rischio Operativo Caratteristiche e peculiarità Il Rischio Operativo risulta quindi essere Assunto in modo involontario Non completamente percepito Inevitabile Non coerente con logiche di rischio/rendimento Il Rischio Operativo èinoltre Un Rischio Puro Difficile da identificare Difficile da quantificare Per la gestione del Rischio Operativo èpertanto necessario adottare un framework di Risk Management a livello aziendale come, ad esempio l Enterprise Risk Management Page 11

12 Agenda Introduzione: da Basilea II a Basilea III I Rischi Operativi Il Framework ERM I Rischi Operativi e la Business Continuity Page 12

13 Framework ERM - Definizione Enterprise risk management is aprocess, effected by an entity s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives ) (COSO: Enterprise Risk Management, Integrated Framework, Executive Summary) Un approccio olistico ed integrato all ERM aiuta pertanto le organizzazioni agestire tutti irischi materiali con l intento di ottimizzare il valore per gli shareholder. Di conseguenza, l ERM comprende un ampia varietà di iniziative tattiche, di business e operative che potranno aiutare le organizzazioni nella creazione di valore mediante investimenti in risk management. Page 13

14 Framework ERM Cos è? Un processo, continuo efluente attraverso l azienda; Effettuato da persone ad ogni livello organizzativo; Applicato nell indirizzamento strategico; Applicato trasversalmente all azienda, ad ogni livello ed unità, considerando un portafoglio di rischi alivello aziendale; Pensato per identificare eventi potenziali che avrebbero impatto sull intera azienda, e per gestire il rischio secondo la relativa predisposizione oavversione aziendale al rischio stesso; Capace di fornire una ragionevole sicurezza al management eai vertici aziendali; Attrezzato per il raggiungimento degli obiettivi in una o più categorie sovrapposte. Page 14

15 Link tra Basilea II e l ERM Il secondo Pilastro di Basilea II richiede all azienda di dimostrare la propria comprensione dei rischi aziendali ed il proprio approccio al risk management. L ERM è un processo strutturato per l identificazione, ila misurazione ela gestione di tutti irischi che pertengono l azienda. Basel II - Three Pillar Approach Pillar I 1 Pillar II2 Pillar Pillar 3 III Non è ristretto ai soli rischi relativi al Pillar I, ma include anche i rischi più ampi che saranno la base dell Internal Capital Adequacy Assessment ( ICAAP ) di Basilea II, e dello SREP (Supervisory Review and Evaluation Process) nel Pillar 2. Minimal Capital requirements Quantitative Capital Standards: using different approaches (standardised methods, internal methods) ICAAP: Risk assessments covering all material risks Capital adequacy relative to risk profile Integral part of management process and decision making culture Forward looking SREP: Review of ICAAP by supervisor who may enforce capital add-ons Market discipline: Transparency risk management Benchmarking/Best practise Disclosure requirements: Capital structure & Capital adequacy for individual risk categories Risk exposures; risk mngt. objectives and processes, structure and organisation of risk mngt. function Page 15

16 Agenda Introduzione: da Basilea II a Basilea III I Rischi Operativi Il Framework ERM I Rischi Operativi e la Business Continuity Page 16

17 Rischi operativi e business continuity Il rischio operativo è considerato una categoria di rischio particolarmente importante. Tuttavia, identificare e misurare i rischi operativi si èrivelata una sfida per gli istituti finanziari. Molti degli eventi di rischio operativo indicati da Basilea II sono riconducibili alle tipologie di rischio considerate per garantire la continuità operativa dell azienda. Gli atti terroristici dell 11 Settembre, le epidemie diffuse (quali la SARS) ed altri disastri naturali su larga scala hanno messo in risalto il rischio sostanziale derivante da un interruzione delle funzioni operative del sistema finanziario. La Banca per iregolamenti Internazionali ha emesso un documento contenente principi di alto livello per la Business Continuity. Il principio 7 invita le autorità finanziarie ad incorporare la review della gestione della continuità aziendale nei propri framework di gestione del rischio. Page 17

18 Rischi operativi e business continuity Una delle principali tecniche di monitoraggio del rischio operativo è l OperationalRisk Management (ORM) che si fonda su 10 principichiave: AMBIENTE PROCESSO MONITOR DISCLOSURE Coinvolgimento Top Management Indipendenza dell Audit Responsabilità del Senior Management nel disegno e implementazione del Framework dell ORM Identificazione e valutazione dei Rischi Operativi esistenti Implementazione Processo monitoraggio Rischi Operativi Necessità processi/procedure per controllo e mitigazione R.O. Necessità di assicurare la Business Continuity Controlli di Vigilanza sulle Banche (piccole/medie/grandi) Valutazione periodica circa la qualità dei sistemi di ORM Obbligo informativa al mercato sui sistemi di ORM Page 18 18

19 Rischi operativi e business continuity Principle 7: Banks should have in place contingency and business continuity plans to ensure their ability to operate as going concerns and minimise losses in the event of severe business disruption. For reasons that may be beyond abank s control, asevere event may result in the inability of the bank to fulfil some or all of its business obligations, particularly where the bank s physical, telecommunication, or information technology infrastructures have been damaged or made inaccessible. This can, in turn, result in significant financial losses Principle to the bank, 7: as well as broader disruptions to the financial system through channels such as the payments system. Thispotential requires that banksestablish business resumption and contingencyplans that Banks take into should accounthave different in types place of plausible scenarios to which the bank may be vulnerable,commensurate with the size andcomplexity of the bank s operations. Banksshould identifycontingency critical business processes, and business including those continuity where thereplans isdependence onexternal vendors or other thirdto parties, ensure for which their rapid ability resumption to operate of serviceas would going be most essential. For these processes, banks should identify alternative mechanisms for resuming service in the event of an outage. Particular attention should concerns be paid toand the ability minimise to restorelosses electronic in or the physical event records that are necessary for business resumption. of Where severe suchbusiness records are backed-up disruption. at an off-site facility,or where abank s operations must be relocated to anew site, care should be taken that these sites are at an adequate distance from the impacted operations to minimise the risk that both primary and back-up records and facilities will be unavailable simultaneously. Banks should periodically review their business resumption and contingency plans so that they are consistent with the bank s current operations and business strategies. Moreover, these plans should be tested periodically to ensure that the bank will be able to execute the plans in the unlikely event of asevere business disruption. High-level principles for business continuity, Basel Committee on Banking Supervision Page 19 19

20 Rischi operativi e business continuity Business Continuity Plan (BCP) Crisis Management Plan (CMP) Business Recovery Plan (BRP) IT Disaster Recovery Plan (DRP) Organizzazione per le emergenze/crisi BCP Management Team Crisis Management Team Recovery Teams (unità di business, IT, Servizi Generali, Risorse Umane, Comunicazione, ecc.) Processi per la gestione delle emergenze Segnalazione degli eventi Valutazione del rischio Decisione ed attivazione BCP Processi di comunicazione Comunicazione verso l interno Comunicazione verso l esterno Ripristino delle attività operative di business Scenari di crisi considerati Riallocazione degli utenti presso altri siti Definizione delle attività e delle priorità per il ripristino del business Team funzionali per il ripristino delle attività di business Risorse, tempi ed attività operative da effettuare Definizione di procedure operative di workaround Test e manutenzione dei piani Ripristino dei sistemi IT e delle reti essenziali per il business aziendale Scenari di disastro considerati Disponibilità dei back-up Obiettivi e priorità per il ripristino dei dati (RTO, RPO) Team per il ripristino dei sistemi e di supporto Ripristino e sincronizzazione dei dati, riattivazione collegamenti di reti, ripristino servizi applicativi per gli utenti Test e manutenzione delle infrastrutture e del piano di disaster recovery Page 20

21 Rischi operativi e business continuity L esperienza dimostra come esistano oggettive difficoltà nella determinazione del rischiooperativo. Da un lato alcuni eventi riconducibili al rischio operativo, in particolare quelli che avvengono con una certa frequenza, producono danni aprima vista non rilevanti e difficilmente quantificabili in termini economici (es. distruzione database, compromissione password, ecc ), col rischio che non vengano rilevati ocomunquevengano sottostimati. Dall altro lato alcuni eventi sono molto rari espesso risultano essere alquanto dannosi (es. calamità naturali, atti terroristici, ecc ), col rischio che afronte di stime, in genere solo sui possibili danni materiali conseguenti, in molti casi si decida poi di non prenderenessuna contromisura. Per molti eventi riconducibili al rischio operativo, mancando la cultura della rilevazione, non sono disponibili serie storiche di dati da analizzare per prevenirnel accadimentoestimarnequantitativamentel impattosul business. Page 21

22 Rischi operativi e business continuity Nella gestione del rischio operativo il fattore determinante èla capacità di fronteggiare scenari di crisi/eventi disastrosi, caratterizzati da bassa probabilitàdi accadimentoed alto impattoin termini economici: OPERATIONAL RISK Frequency HIGH FREQUENCY -Errori nei modelli BUSINESS PROCESS PEOPLE HIGH Impact -Frodi -Violazione delle regole - IT SYSTEMS EXTERNAL CAUSES LOW FREQUENCY -Fattori esterni - La capacitàdi fronteggiaretali eventi implica: Impact Definizione e implementazione di infrastrutture e piani organizzativi adeguatiper la gestionedella continuitàoperativa Corretta valutazione dell iniziativa in termini di costi / benefici (assorbimentodi capitaleafronte di rischi operativi) Page 22

23 Business Continuity Management Fasi Progetto BCP Un progetto di Business Continuity ètipicamente composto dalle seguenti fasi progettuali: IMPOSTAZIONE BIA E ANALISI DEI RISCHI DESIGN IMPLEMENTATION MAINTENANCE TESTING & IMPROVEMENT OBIETTIVI Impostazione del progetto Definizione delle aree critiche per la continuità Definizione ed attivazione del Programma di BCM Individuazione e valutazione processi critici per la sopravvivenza del business Valutazione impatti di scenari che minacciano la continuità del business Individuazione possibili strategie alternative di continuità del Business Definizione della strategia di continuità operativa (Strategia di Business Continuity) e impostazione del relativo piano di implementazione Identificazione e predisposizione infrastrutture tecnologiche per BC Sviluppo del Piano di continuità operativa (BCP) Collaudo, accettazione e preparazione del personale Manutenzione Testing Preparazione del personale e diffusione della cultura di BC Miglioramento continuo PRINCIPALI DELIVERABLE Scelta Resp. e team di BCM Perimetro BCM Programma BCM Prioritizzazione processi e risorse critiche Strategia di BC Piano interventi Realizzazione interventi BCP Test/Verifiche Adeguamenti BCP interventi operativi Page 23 23

24 Domande Raoul Savastano (Partner)