La gestione dei rischi operativi e degli altri rischi Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali Mario Seghelini 26 giugno 2012 - Milano S.A.F. SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO
I Rischi Operativi in Basilea II: principali punti di attenzione S.A.F. SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO
Le regole Tre approcci Base Standardizzato Avanzato Gli approcci meno sofisticati non sono (come negli altri rischi, ad es credito) una versione stilizzata di quello Avanzato, occupandosi solo di definire un quantum patrimoniale Manca negli approcci base un concetto di esposizione paragonabile a quello usato per gli altri rischi Nel processo di controllo, i pesi relativi di misurazione e requisiti organizzativi sono sensibilmente diversi rispetto agli altri rischi 3
Prime osservazioni 1) negli approcci base, una volta accantonata una quota patrimoniale e quindi sistemato il requisito di vigilanza, potrebbe esserci la tendenza a trascurare il vero monitoraggio e la mitigazione, in particolare connessa alle innovazioni di processo 2) non tutto il rischio si presta ad una misurazione oggettiva, stante la natura degli aspetti coinvolti, quindi la riduzione di requisito ottenuta con un approccio avanzato potrebbe non essere realistica 3) per come è calcolato il requisito, una banca con margine di intermediazione più elevato presenta un rischio operativo maggiore e questo non è necessariamente vero o non ha una precisa logica 4) la logica del margine è top-down e non incoraggia ad agire sui processi interni, migliorando il sistema dei controlli 4
I problemi 1) L importanza dell Organizzazione Il controllo dei rischi operativi non nasce dal dialogo specialistico fra due funzioni ben definite (es. rischio di credito con funzione crediti e risk management) e neppure come verifica da parte di una funzione centrale del rispetto di regole precise (es. compliance) Per la gestione dei rischi operativi serve un completo coinvolgimento dell organizzazione aziendale, con tutte le conseguenze che questo comporta: Ruolo dell Operational Risk Management nella valutazione preliminare di riorganizzazioni aziendali (effetto su risorse e processi operativi collegati) Ruolo dell Operational Risk Management nella valutazione preliminare di nuove attività e prodotti (effetto su risorse e processi operativi collegati) Ruolo dell Operational Risk Management nella valutazione dell architettura IT, della modalità di erogazione dei servizi IT, del change management IT, dei piani di emergenza e continuità operativa Ruolo dell Operational Risk Management nella costruzione ed implementazione della policy di remunerazione (incentivi) Quale di questi ruoli è effettivamente riconosciuto? 5
I problemi 2) Il ruolo della Misurazione Cosa misuriamo veramente? Su quali frequenze? Con quali speranze di successo? Quale potrebbe essere la qualità finale del dato? Ha senso applicarci processi statistici raffinatissimi? Il concetto di rischio è colto adeguatamente da misure come il VaR? 6
I problemi 3) I rischi operativi in periodo di crisi Riduzione del margine di intermediazione e quindi del requisito patrimoniale Proprio in corrispondenza di un periodo in cui l attenzione ai costi potrebbe ridurre la volontà dell azienda di mitigare alcune carenze ad esempio di organico o di formazione o di sistemi IT o di dotarsi di coperture assicurative effettivamente capienti rispetto al perimetro di rischio da fronteggiare (es. massimale, franchigia, ) Proprio in corrispondenza di un periodo in cui l attenzione alla conservazione dei clienti può indurre a non rifiutare l attivazione di nuove modalità operative e nuovi servizi con minore attenzione alle ripercussioni sulle strutture, i processi ed i sistemi Fino a che punto la funzione di Operational Risk Management può intervenire realmente su questi aspetti? 7
Suggerimenti pratici per un modello di gestione dei Rischi Operativi S.A.F. SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO
Un modello pratico per i rischi operativi 1) Assessment periodici condotti congiuntamente da Operational Risk Management e Compliance (almeno ogni 3 anni) aventi ad oggetto per le diverse Aree: Governance Procedure Risorse e Sistemi IT Processi Rischi Controlli 9
Un modello pratico per i rischi operativi 2) Gap analysis rispetto alla normativa ed ai presidi di controllo dei rischi e utilizzo dei risultati per la costruzione di un Control Plan Definizione dei controlli interni alle strutture operative Definizione dei controlli di secondo livello Per entrambi, definizione di: metriche soglie periodicità comunicazione e reportistica storicizzazione dei risultati NB: le definizioni precedenti sono particolarmente sfidanti in ambito IT, dove richiedono competenze specifiche elevate. 10
Un modello pratico per i rischi operativi 3) Raccolta e classificazione dei dati Riguardano sia le perdite rilevate internamente (loss data collection) che le criticità risultanti dal Control Plan (utili anche a completare la capacità di analisi di processi a bassa frequenza di perdite), nonché il possibile accesso a dati consortili per gli eventi di perdita esterni Anche in questo caso l identificazione dei dati IT è molto delicata 4) Interviste periodiche ai responsabili dei processi aziendali Sono svolte periodicamente avendo a particolare riguardo i punti evidenziati nell assessment iniziale e le criticità risultanti dal Control Plan (rispetto ai quali il responsabile di processo deve fornire elementi utili a superare le evidenze emerse) I responsabili commentano inoltre periodicamente (su base trimestrale) i dati relativi a Control Plan e Perdite attinenti alla loro Area, esprimendo anche stime soggettive che opportunamente elaborate determinano una stima di perdita inattesa. 11
Un modello pratico per i rischi operativi 5) Costruzione del piano di controlli di Compliance ed Audit Utilizzo dei dati critici provenienti dal Control Plan, dei dati di perdita e delle relazioni dei responsabili di processo per identificare le priorità critiche per i piani di verifiche, oggetto di particolare attenzione nella costruzione dei piani di verifica Analisi degli interventi di mitigazione e creazione di una corsia privilegiata verso gli organi decisionali (Comitato di Controllo) 6) Reportistica periodica di sintesi Possibilmente indirizzata ad un Comitato dedicato, dotato di reali capacità di elaborazione, di intervento tattico e di indirizzo strategico nei confronti degli organi aziendali 7) Formazione Da erogare alle risorse direttamente coinvolte nei processi di gestione e mitigazione dei rischi operativi 12
Principali considerazioni nei rapporti fra Rischi Operativi ed altre tipologie di rischio S.A.F. SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO
Rischi operativi ed altri Rischi 1) Rischi Operativi e Private Banking: legame più stretto fra rischio operativo e rischio reputazionale Dimensione del cliente e sua visibilità Esigenza di un servizio distintivo, non standardizzato, ma con percentuali di errore inferiore ai processi standardizzati 2) Rischi Operativi e Private Banking: maggiore incidenza potenziale del rischio legale I servizi erogati alla clientela di fascia alta sono spesso associati a necessità interpretative della normativa (magari molto recente, vedi quella fiscale), in assenza di precedenti cui rifarsi 3) Rischi Operativi e Private Banking: processo di innovazione di prodotto (rischio strategico) Il servizio alla clientela di fascia alta comporta spesso livelli di personalizzazione che in realtà dal punto di vista dei rischi operativi sono di fatto nuove attività e le cui motivazioni economiche non sono facilmente ricostruibili 14