Assessment degli Operational Risk. Assessment. Progetto Basilea 2. Agenda. Area Controlli Interni Corporate Center - Gruppo MPS

Transcript

1 Progetto Basilea 2 Area Controlli Interni Corporate Center - Gruppo MPS degli Operational Risk 2003 Firm Name/Legal Entity Agenda Il nuovo contesto di vigilanza: novità ed impatti Analisi Qualitativa 1

2 Il nuovo contesto di vigilanza: novità ed impatti La definizione dei rischi operativi (Other Risks e Operational Risk) Other Risks: Tutti i rischi che non possono essere inclusi nei rischi finanziari e di credito Operational Risk: componente degli Other Risks, riguarda << tutti i rischi di perdita dipendenti da carenze o errori nei processi interni, nelle risorse umane e nei sistemi oppure da eventi esterni. Sono inclusi i rischi legali, mentre sono esclusi i rischi reputazionali, strategici e di business>> Gli Operational Risk sono declinati dal Nuovo Accordo di Basilea in: frode interna frode esterna rapporto d impiego e sicurezza sul lavoro clientela, prodotti e prassi di business danni a beni materiali interruzione dell operatività e disfunzione dei sistemi informatici esecuzione, consegna e gestione dei processi Agenda Il nuovo contesto di vigilanza: novità ed impatti Analisi Qualitativa 2

3 Obiettivi Banca Monte dei Paschi di Siena, in qualità di capogruppo, ha deciso all inizio del 2001 di avviare un progetto di gruppo volto alla rilevazione, gestione e quantificazione dei rischi di natura operativa, funzionale al raggiungimento dei seguenti obiettivi: Definizione tempestiva delle attività di controllo e mitigazione in funzione delle criticità rilevate Creazione di valore attraverso la mitigation dei rischi operativi e il risparmio di capitale Adozione di misure di performance che tengano conto della rischiosità operativa per la valutazione complessiva della profittabilità delle aree di affari Ottimizzazione delle politiche assicurative per il trasferimento del rischio Il perimetro di rilevazione Il progetto si pone l obiettivo di implementare un sistema integrato di gestione del rischio operativo costruito su un modello di governo che vede coinvolte tutte le società bancarie e finanziarie comprese nel perimetro del Gruppo, in particolare: Banche del Gruppo Società Aree del Corporate Center Banca MPS Banca Toscana Banca Agricola Mantovana MPS Banca per l impresa MPS Banca Personale MPS Finance MPS Gestione Crediti MPS Leasing & Factoring Filiali estere Banca MPS (Londra e New York) MP Vita Paschi Gestioni Immobiliari Intermonte Securities SIM Consum.it MPS Asset Management SGR Consorzio Operativo di Gruppo Area Private Area Finanza 3

4 Il Governo di progetto Comitato Basilea II Presidenza: Responsabile Area Controlli Interni Comitato Progetto Rischi Operativi Segreteria Tecnica di Coordinamento Area Organizzazione e Tecnologie Capoprogetto: SMAS Capoprogetto: d.d. Sistemi e Processi Misurazione e Reporting Norme e Sostenibilità Sistemi Informativi Formazione e Change Manag. Validazione FR FR Servizio Metodi e Attività Specialistiche GA GA Servizio Risk Management Settore Rischi Operativi SP SP Servizio Processi e Modelli Organizzativi CDS CDS Consorzio Operativo di Gruppo, Ufficio Finanza e Risk Management RB RB Servizio Knowledge Management e Formazione d.d. d.d. d.d. Definizione dei modelli Risk Mapping Risk Measurement Reporting Normativa Impatti sulle strutture / risorse Modelli organizzativi Applicativi DWHs Data integrity & data quality (*) Piani e percorsi formativi Verifica competenze sull intero perimetro di validazione IN CORSO DI DEFINIZIONE Il disegno organizzativo: il Processo ORM L Operational Risk Management può essere schematizzato tramite la seguente catena del valore: OPERATIONAL RISK MANAGEMENT A. Identificazione B. Misurazione C. Monitoraggio D. Gestione/Controllo A.1 LDC A.2 A.3 Indicatori A.4 Assicurazioni A.5 Scenario B.1 Analisi quantitativa dati LDC B.2 Analisi Quantitativa su stime soggettive B.3 Valutazione del contesto operativo e del controllo interno B.4 Integrazione C.1 Monitoraggio requisiti patrimoniali di vigilanza C.2 Monitoraggio profili di rischio operativo C.3 Rendicontazione Periodica D.1 Definizione Piano di gestione OR D.5 Piano Continuità Operativa D.2 Mitigazione D.3 Trasferimento D.4 Ritenzione E. Manutenzione/Principi e Comunicazione E.1 Sviluppo e manutenzione di metodologie, modelli ed applicativi E.2 Principi e Procedure E.3 Comunicazione E.4 Controllo 4

5 Il modello adottato MPS ha scelto, in linea con le principali practices italiane ed internazionali, di adottare un modello basato sull informazione qualitativa e quantitativa, integrando i risultati in termini di misurazione e gestione/mitigazione dei rischi. Modelli OR Identification di classificazione Model D A T I R A C C O L T I Modello Loss Events degli Eventi Model Organisational Processi Model Risk Fattori Factors di Rischio Model Indicators Modello Organizzativo Model Analisi qualitativa Stime soggettive Analisi quantitativa Stime storiche INTEGRAZIONE Agenda Il nuovo contesto di vigilanza: novità ed impatti Analisi Qualitativa 5

6 L analisi qualitativa L importanza dell analisi qualitativa e le componenti di sistema I risultati della LDC evidenziano alcuni limiti dell informazione storica: la carenza per alcune aree di business in relazione ad uno o più eventi; il carattere backward looking: i dati non sono sensibili a variazioni del contesto (modifiche organizzative, nuovi prodotti e/o business, ecc.); il ridotto numero di eventi rari. L analisi qualitativa L importanza dell analisi qualitativa e le componenti di sistema L analisi qualitativa è, invece, di tipo forward looking e consente lo svolgimento di analisi di scenario anticipando le dinamiche evolutive del profilo di rischio. In MPS l analisi qualitativa è svolta attraverso le componenti e Scenario allineate per metodologia e contenuti all Audit Framework. Audit Framework Condivide con gli strumenti di analisi quali-quantitative: Modello dei Processi Catalogo Eventi di Rischio Modelli di Classificazione Risk Mapping del Gruppo Analisi qualitativa dei Responsabili di Processo sulla qualità dei presidi esistenti a fronte dei rischi desunti dalla Risk Map di Gruppo e proposta di azioni di mitigazione. Destinatario: middle management Valuta la qualità del presidio. Indica gli interventi di miglioramento per i presidi non ottimali. Scenario Analisi di scenario condotta dai Responsabili Aree di Business che riorganizza le informazioni raccolte le stime quantitative per la determinazione delle aree di rischiosità di Gruppo. Destinatario: Top Management Stima l impatto economico dei rischi. Condivide le necessità d intervento. 6

7 L analisi qualitativa L Obiettivo: L obiettivo dell consiste nell ottenimento di una stima qualitativa su i presidi posti in essere a fronte di ciascun evento di rischio e la segnalazione, in caso di presidio non ottimale, di un intervento migliorativo della qualità della gestione. Destinatari: Sono i responsabili di processo: l costituisce un analisi top down rivolta al middle management. Perimetro: L ambito di applicazione dell è costituito dai soli processi operativi, (sono esclusi i processi di pianificazione strategica/operativa). Per tali processi si considerano solo gli eventi di rischio classificati come operativi secondo il modello integrato dei rischi (sono escluse le categorie dei rischi finanziari e di business). Componente Valutativa: Il Middle Management fornisce le stime sul livello di presidio dei rischi e sulla priorità da assegnare agli interventi segnalati. L analisi qualitativa Lo Scenario Obiettivi: Raccolta di stime soggettive degli impatti economici degli eventi di rischio operativo al fine di ottenere le stime per il Capitale a Rischio economico e regolamentare. Individuazione delle aree di mitigazione degli Operational Risk. Le stime di capitale ottenute sono utilizzate a supporto del processo decisionale sui piani di mitigazione da attuare. Destinatario: Il top management, responsabile di aree organizzative, è incaricato di fornire le stime soggettive. Lo Scenario costituisce, al pari dell, un analisi top down. Perimetro di esecuzione: L ambito di applicazione dello Scenario è costituito da tutti gli eventi di rischio valutati nell, ma raggruppati ad un livello più alto, in base alle categorie del modello degli eventi di Basilea. Componente Valutativa: Il Top Management fornisce le stime sulla frequenza, sull impatto medio e sul caso peggiore relativi alle categorie del modello di Basilea esemplificate da un insieme di eventi di rischio associati. Le stime sono fornite in un rigoroso ambiente statisticoattuariale. 7

8 L analisi qualitativa L impatto organizzativo dell analisi qualitativa I soggetti coinvolti nell analisi qualitativa sono i seguenti: A livello locale Responsabili di Aree di Business sono 60 Responsabili di processo sono 350 Gestori di processo ORM sono 40 Gestori delle fonti informative sono 65 A livello di Corporate Center (Risk Management, Audit, IT, Organizzazione, Formazione) sono 13 Agenda Il nuovo contesto di vigilanza: novità ed impatti Analisi Qualitativa 8

9 Le entità logiche Il sostenimento di una perdita operativa è il risultato di una catena di eventi: la gestione non adeguata di un fattore di rischio operativo (processi, persone e sistemi) determina l accadimento di un evento di rischio: (t 0 ) (t 1 ) ( ) (t i ) (t i+1 ) legenda = fattore di rischio = evento = effetto Fattore di rischio: Risorse Umane Il personale addetto alle alimentazioni anagrafiche presenta delle incompetenze sugli strumenti finanziari Evento di rischio: Esecuzione dei processi Viene effettuata una errata alimentazione delle anagrafiche di alcuni strumenti finanziari su una nuova procedura in finanza Gli effetti del rischio: la Banca sostiene delle sopravvenienze passive per i disallineamenti che si sono creati fra la procedura contabile e quella gestionale a causa delle anagrafiche errate Ruoli e responsabilità (1/3) L oggetto principale dell consiste nella gestione dei fattori di rischio: Il process-owner: valuta a priori la qualità della gestione del fattori di rischio (nella figura il triangolo) a fronte di ciascun evento di rischio operativo predefinito nella Risk Map aziendale,. Al fine di effettuare tale valutazione il responsabile di processo risponde alla domanda: dove intervengo per migliorare la qualità della gestione dei fattori di rischio? La risposta, in funzione della direzione dell intervento, può essere: sulle risorse umane, sui processi o sulla tecnologia. indica, laddove i presidi sono carenti, i relativi interventi di mitigazione fornendo una descrizione generale e segnalando la priorità consigliata. Per ogni rischio si può indicare un solo intervento di mitigazione. 9

10 Ruoli e responsabilità (2/3) L Audit Locale: E un referente operativo dell attività. Partecipa all individuazione degli eventi di rischio ed all associazione alle unità organizzative responsabili del presidio operativo a partire dal Catologo dei Rischi (Manuali di Audit) Supporta il Gestore ORM e il Responsabile di Processo nella comprensione del corretto significato dei rischi operativi da valutare. Utilizza i risultati dell al fine di indirizzare e migliorare il sistema di controllo e presidio rischi. Non entra, in sede di, nel merito delle valutazione espresse sulla qualità della gestione dei fattori di rischio e sugli interventi segnalati. Utilizza report di sintesi e la base dati per una valutazione critica dei risultati dell assessment, al fine di ordinare gli eventi di rischio in funzione delle valutazioni raccolte e presentare una lettura sintetica dei risultati (preparazione dello Scenario). Ruoli e responsabilità Un ulteriore oggetto dell consiste nell evento di rischio: Il process-owner: è un attore proattivo nella manutenzione della Risk Map nel tempo: ha l obbligo di segnalare alle funzioni competenti (Audit e Organizzazione) l aggiornamento e il completamento della Risk Map individuando nuovi eventi di rischio e/o segnalando che alcuni eventi esistenti non sono più attuali. L Audit di Gruppo: dopo aver valutato nel merito la proposta e armonizzato le proposte a livello di gruppo provvede alla validazione che determina l aggiornamento della Risk Map. 10

11 L assegnazione dei rischi ai responsabili di processo Nell ciascun Evento di Rischio è classificato con i seguenti modelli: Modello dei Processi, Modello Organizzativo, Modello degli Eventi di Rischio. Tali classificazioni sono pre-associate nell applicativo e consentono di identificare per ciascun responsabile di processo i rischi per i quali dovrà valutare la qualità della gestione dei fattori. I rischi sono assegnati secondo una logica di tipo gerarchico (ad esempio, un Area ha associati tutti i rischi dei suoi servizi). Destinatario dell è il middle-management (come illustrato in precedenza in relazione ai responsabili di processo); tale livello funzionale è stato ritenuto il più adeguato, in funzione della conoscenza specifica dei processi, a fornire la propria valutazione sui principali aspetti di rischio. Metodologia di valutazione In caso di valutazione parzialmente o non adeguata, il responsabile di processo ha il compito di classificare gli interventi segnalati in base al Modello dei Fattori di Rischio. Determina la scelta rispondendo al quesito: dove intervengo? Le categorie del modello sono le seguenti (modello completo sarà disponibile sull applicativo): Risorse Umane: Qualità delle risorse umane, dell'organizzazione del lavoro e del clima aziendale; a sua volta si articola in: Struttura retributiva e percorso di carriera, Clima aziendale, Organizzazione, Professionalità; Processi: Efficacia ed efficienza dei processi aziendali e del SCI; si articola in: Disegno, formalizzazione e struttura del processo, Coordinamento: Sistemi: adeguatezza delle infrastruttura e della sicurezza tecnologica: Hardware & Software; IT Security. 11