Operational Risk Management & Business Continuity Fonti Informative e punti di contatto

Транскрипт

1 Operational Risk Management & Business Continuity Fonti Informative e punti di contatto Roma 16 giugno 2005 Dr. Paolo Cruciani BNL Responsabile Rischi Operativi BNL Direzione Risk Management

2 Agenda 1. Legami tra la Business Continuity e l Operational Risk Managenment 2. Sinergie Informative 3. Strumenti di gestione 1

3 L esigenza del business continuity management è presente nel framework di Basilea II per l ORM Le Sound Practices per la supervisione del rischio operativo prevedono 10 principi Top Top Management involvement; Independent Audit Audit function; Senior Senior Management responsibility in in risk risk framework Identification & assessment of of all all activities risk; risk; Effective monitoring Le process; Le banche banche devono devono attivare attivare Piani Risk Risk controlling Pianidi dicontingency & Contingencye Mitigation e di processes; di Business BusinessContinuity per assicurare la possibilità di gestire per assicurare la possibilità di gestire gli gli eventi eventi problematici problematici e e minimizzare minimizzare le le perdite perdite nel nel caso caso di di gravi gravi interruzioni dell attività. Ensuring Business Continuity; Supervision rules rules in in place interruzioni place for dell attività. for all all Banks Banks Periodic assessment of of ORM ORM systems Market disclosure 2

4 Posizione della Business Continuity nel Framework di gestione del Rischio Operativo Comitato Rischi Definisce la risk tolerance aziendale, Approva le strategie di mitigazione Risk Mgt ORM Group Monitoraggio del rischio Definizione si strategie di mitigazione Risk specialists Business Continuity Identificazione, Misura, Monitoraggio, Analisi delle strategie di mitigazione in accordo con la risk tolerance Event Type Monitoraggio del rischio, Propossta & Execuzione di strategie di mitigazione Business units Staff Departments Business lines Internal Fraud External Fraud Customer relationship Staff Relationship Physical Damages Business interruption Execution issues 3

5 Punti di contatto tra le due discipline Top Mgmt Risk Mgt ORM Group Risorse Umane Condivisione di informazioni ICT Business Continuity Processi Principali Asset a Rischio Attacchi Esterni Asset Asset a a rischio rischio e e Fattori Fattori Causali Causali sono sono spesso spesso gli gli stessi stessi Risk source Disastri Naturali Persone Dati Sistemi ICT Processi Fornitori Blackout Blackout 4

6 Le informazioni necessarie nel processo di gestione del rischio Di seguito sono schematizzati i fabbisogni informativi per singola fase di processo relativi a: Operational Risk Management Business Continuity Management Identificazione Identificazione Misurazione Misurazione Monitoraggio Monitoraggio Gestione Gestione e Mitigazione Mitigazione Indirizzo Indirizzo (policy) (policy) Cooperazione Specializzazione per competenza Cooperazione ORM ORM Risk Mapping su su tutti i i processi frequenza e impatto Monitoraggio delle perdite e dei dei KRI KRI Progetti & Action plans Singole policy per per ciascun Rischio BCM BCM Risk Mapping sui sui processi critici impatto massimo per per tempo di di fermo Monitoraggio dei deipiani di di contingency Nuovi eventi & informazioni in in stato di di crisi BC BC policy 5

7 Gli eventi che riguardano la BC & DR (in senso stretto) sono caratterizzati da basse frequenza e alto impatto FREQUENZA Rischi operativi ordinari Area Area dove dove comunemente comunemente si si posizionano posizionano gli gli eventi eventi di di BC BC & & DR DR Rischi operativi estremi IMPATTO UNITARIO 6

8 Gli strumenti di gestione del rischio: fase di misurazione i principali strumenti ORM e BCM a confronto : Analisi dati storici sugli eventi pregiudizievoli (LDA) Analisi giudizi soggettivi (self assessment) Indicatori di rischio (KRI) ORM ORM BCM BCM LDA Applicabile sulle perdite storiche (frequenza e impatto) Applicabile sugli episodi di di blocco dell operatività (frequenza, a volte impatto) Self Assessment Applicabile su su perdite, maggiori costi, minori ricavi (processi/rischi) BIA: applicabile su su perdite, altri danni per per bucket di di durata dell evento KRI KRI Applicabili sui sui fattori di di rischio misurabili Applicabile sui sui fattori di di rischio misurabili 7

9 Gli strumenti di gestione del rischio: fase di mitigazione I fattori ridondanza risorse e processi di emergenza sono fondamentali per ridurre i danni da Business Continuity Perdite stimate PERDITE/COSTI Budget Area di spreco dovuto ad eccesso di prevenzione Punto di massima efficienza Rischio Area di copertura inefficiente dovuta ad budget sottodimensionati TEMPO DI RECOVERY/ (IN)SICUREZZA AMBIENTALE Più Più basso basso è è il il budget budget più più alto alto è è il il rischio rischio Costi 8

10 La diversificazione e l assicurazione dei rischi possono invece adeguatamente mitigare gli altri rischi operativi Il BPR, la diversificazione e l assicurazione dei rischi possono invece adeguatamente mitigare gli altri rischi operativi Effetto BPR (riduzione perdite) PROBABILITA Effetto diversificazione (riduzione volatilità) Effetto assicurazione (Eliminazione picchi) PERDITA AGGREGATA 9

11 Conclusioni 1. Riguardo alle informazioni da utilizzare non c è sostanziale differenza tra quelle utili a gestire i rischi operativi a bassa frequenza ed alto impatto e quelle che riguardano il BC&DR Management; 2. Esistono piuttosto particolarità determinate dalle modalità con le quali si manifestano gli eventi di interruzione dell operatività (eventi con conseguenze continuative); 3. Anche sotto il profilo degli strumenti di gestione esistono molti punti di contatto, anche se le particolarità degli eventi consigliano una specializzazione di quelli per la gestione del BCM 4. Il Business Continuity Management può essere considerato una tipologia di gestione specialistica di particolari rischi operativi e per questo deve essere incluso nel framework complessivo dell Operational Risk Management; 5. Tuttavia è opportuno che la relativa gestione preveda tecniche e team di lavoro specializzati. 10

12 Establishing A Clear And Dynamic Relationship Between The Operational Risk And Business Continuity Functions ARRIVEDERCI! Direzione Risk Management Paolo Cruciani BNL Rischi Operativi [email protected]@bnlmail.com