ORMA Un sistema esperto di Risk Management per la governance nello scenario Assicurativo e Aziendale Se hai bisogno di una valvola che non perde fai di tutto pur di trovarla. Ma il mondo reale può darti solo una valvola che perde, quindi devi stabilire la perdita massima che puoi tollerare e cosa fare per non superarla mai. Arthur Rudolph, il progettista del razzo Saturno 5 che, nella missione Apollo 11, portò il primo uomo sulla Luna. (Intervista al New York Times, 3 gennaio 1996) Il presente rapporto è utilizzabile solo con l ausilio esplicativo della consulenza 1
Agenda Apertura dei lavori Approccio metodologico al Risk Management Mappatura dei processi e sistema esperto per la quantificazione del capitale a rischio Analisi quali-quantitativa dell Assessment per la governance aziendale 2
Agenda Apertura dei lavori Approccio metodologico al Risk Management Mappatura dei processi e sistema esperto per la quantificazione del capitale a rischio Analisi quali-quantitativa dell Assessment per la governance aziendale 3
PREMESSA METODOLOGICA: il modello concettuale del Sistema di gestione dei Rischi PROCESSI AZIENDALI ORM IDENTIFICAZIONE MISURAZIONE MONITORING MANAGEMENT METODOLOGIE Modello Eventi Modello Fattori di Rischio Dati di perdita Valutazioni Soggettive Controlli Fattori di influenza Modello Organizzativo Analisi quantitativa Integrazione e calcolo CaR Valutazione del Business Environment Reporting Andamentale Sistema di Warning Capital Allocation Insurance Policy Modelli Decisionali Risk Taking Risk Mitigation Risk Transfer TOOLS Self Assessment Raccolta Perdite Tool ORMA Analisi Quantitativa Analisi Qualitativa Motore di calcolo Reporting System 4
PREMESSA METODOLOGICA: il modello concettuale del tool ORMA (1/4) ORMA È un Operational Risk Management costituito da un sistema esperto il cui modello concettuale si compone di due elementi: Base della Conoscenza (anagrafe dei Rischi Operativi bancari-assicurativi) Metodo di valutazione (algoritmi di calcolo dei rischi) 5
PREMESSA METODOLOGICA: il modello concettuale del tool ORMA (2/4) IDENTIFICAZIONE Modello Eventi Modello Fattori di Rischio Dati di perdita Valutazioni Soggettive Controlli Fattori di influenza Modello Organizzativo La Base della Conoscenza consiste nel mapping dei processi aziendali e nelle modalità di caratterizzare il business environment, costruiti sulla base dell esperienza consulenziale e validati da: rilevazione delle perdite avvenute raccolta dei reclami dei clienti rilievi effettuati nel corso delle verifiche ispettive attività di Risk Self Assessment 6
PREMESSA METODOLOGICA: il modello concettuale del tool ORMA (3/4) MISURAZIONE Analisi quantitativa Integrazione e calcolo CaR Valutazione del Business Environment Il Metodo di valutazione integra: Valutazione quantitativa Dimensione economica degli Eventi dannosi per per ciascun ciascun processo come come risultato risultato della della modellizzazione dei dei fatti fatti in in termini termini di di frequenza, impatto, worst case Valutazione qualitativa Giudizio sulla sulla rischiosità del del processo in in base base alla alla modellizzazione delle delle caratteristiche ambientali in in termini termini di di connotazione e e pesi pesi 7
PREMESSA METODOLOGICA: il modello concettuale del tool ORMA (4/4) Alla Base della Conoscenza ed al Modello di valutazione, ORMA integra al suo interno gli strumenti necessari per la gestione dei rischi operativi, che consentono la: Rilevazione dei R.O. Monitoraggio dei R.O. Valutazione dei R.O. Reporting dei R.O. 8
FRAMEWORK OPERATIVO DI GOVERNANCE: l architettura PROCESSO attività sottoprocesso eventi potenziali di rischio Il Il censimento degli Eventi di (x1000) EVENTO TIPO TIPO RISCHIO WORST CONTROLLI KR1 KR2 KR3 KR4 KR5 KR6 PERDITA EVENTO STIMATO CASE 001 F 7.01 37,5 0,8 degli Eventi di 002 F 7.01 0,5 1,0 CONTROLLI valutazione 003 E 7.01 15,0 10,0 I Livello Suggerimenti buono 004 E 7.01 2,0 10,0 Rischio II Livello Suggerimenti buono 005 E 07.01 0,5 10,0 Esterni 006 E 7.01 2,0 10,0 Suggerimenti opportuna una revisone annuale scarso 007 E 1.01 2,0 10,0 Giudizio complessivo (x1000) 008 D 7.01 0,5 1,0 TIPO RISCHIO 009 D 7.01 0,3 0,3 PERDITA STIMATO WORST CASE Sottoprocesso 60,3 53,1 medio medio medio D buono buono 0,8 buono buono 1,3 (x1000) TIPO RISCHIO E 21,5 50,0 EVENTO STIMATO WORST CASE F 38,0 1,8 7.01 60,3 53,1 medio direzione NORME PROCEDURE REGOLAMENTI FORMAZIONE mappatura dei processi governance datawarehouse self assessment MAPPATURA PROCESSI E DEI RISCHI DATI POTENZIALI (SELF ASSESSMENT) 2 σθ (Xm) Pm [ Xm-θ ε] ε 2 Valore Jan Feb Mar Apr May Valore 331,0075 55,16791 31,53994 15,49783 88,02876 Media 104,2484 104,2484 104,2484 104,2484 104,2484 Dev std 129,6677 129,6677 129,6677 129,6677 129,6677 UCL 493,2514 493,2514 493,2514 493,2514 493,2514 LCL -284,755-284,755-284,755-284,755-284,755 UWL 363,5838 363,5838 363,5838 363,5838 363,5838 LWL -155,087-155,087-155,087-155,087-155,087 frequenza Jan Feb Mar Apr May frequenza 1,423638 0,647108 0,241632 0,322751 0,955911 Media 0,718208 0,718208 0,718208 0,718208 0,718208 Dev std 0,485464 0,485464 0,485464 0,485464 0,485464 UCL 2,174599 2,174599 2,174599 2,174599 2,174599 LCL -0,73818-0,73818-0,73818-0,73818-0,73818 UWL 1,689136 1,689136 1,689136 1,689136 1,689136 LWL -0,25272-0,25272-0,25272-0,25272-0,25272 modellizzazione MODELLO DATI RILEVATI (OGGETTIVI) dati da operatività 1,400 1,200 1,000 0,800 0,600 0,400 0,200 0,000 0,676 0,754 0,564 Gennaio Febbraio Marzo 1,211 0,868 Aprile Maggio Giugno 0,475 0,668 0,787 Luglio Agosto 1,0210,981 1,332 0,882 Settembre Ottobre Novembre Dicembre n UCL UWL LWL LCL REGIONE DI INTERVENTO REGIONE DI SORVEGLIANZA NORMALITA REGIONE DI SORVEGLIANZA REGIONE DI INTERVENTO Media 9,70411 938,98 2,14103 75,9697 4,39173 1276,17 Differenza %sulla frequenza (DFP) Differenza %sul valore (DVP) Proiezione %sulla frequenza (PFP) Proiezione %sul valore (PVP) -100,00% 10,45% 1,48% 95,00% 97,45% 127,20% 1,46% 121,46% 26,24% 10,45% 53,17% 1410,75% monitoraggio t BPR AZIONI PREVENTIVE AZIONI CORRETTIVE 9
FRAMEWORK OPERATIVO DI GOVERNANCE: il censimento degli Eventi di Rischio (1/4) LINEE DI BUSINESS 01. Corporate Finance 02. Negoziazioni e vendite 03. Retail Banking 11. Ramo danni 12. Ramo vita PROCESSO Anagrafe Generale Antiriciclaggio Contratti di lavoro Finanza Proprietà Privacy Segnalazioni di Vigilanza Nuclei di attività STRUTTURA Immobili Investimento e Trading Rapporti di Lavoro Recupero Crediti Safety e Security Insieme di attività finalizzate al conseguimento di un specifico obiettivo che non è possibile allocare in strutture organizzative diverse 10
FRAMEWORK OPERATIVO DI GOVERNANCE: il censimento degli Eventi di Rischio (2/4) Nuclei di attività: Gestione dei sinistri Individuazione Eventi Descrizione secondo i modelli classificatori SCHEDA DELL EVENTO DI RISCHIO Descrizione (Tipo di Evento) Conseguenze (Tipo di Perdita) Modalità di calcolo Disposizioni esterne Canale Prodotto Anagrafica dell Evento: Liquidazione di sinistri a fronte di polizze scadute o sospese Modello classificatorio TIPO EVENTO 01- Frode Interna 02- Frode Esterna 03- Rapporto di impiego e sicurezza sul lavoro 04- Clientela, prodotti e prassi operative 05- Danni ad attività materiali 06- Interruzioni dell operatività e disfunzioni sistemi informatici 07- Esecuzione, consegna e gestione dei processi 07.01.02 Errori di esecuzione 07.06.02 Dispute contrattuali con produttori e fornitori 11
FRAMEWORK OPERATIVO DI GOVERNANCE: il censimento degli Eventi di Rischio (3/4) Nuclei di attività: Gestione dei sinistri SCHEDA DELL EVENTO DI RISCHIO Liquidazione di sinistri a fronte di polizze scadute o sospese Conseguenze (Rischio - Tipo di Perdita) Modalità di calcolo Disposizioni esterne Canale Prodotto Anagrafica del Rischio: Perdita in caso di mancato recupero di indennizzi di polizze scadute o sospese TIPO PERDITA Responsabilità legale Azione Autorità di Regolamentazione Perdita o danno alle attività Restituzioni Perdite per errore non recuperate Write - down Modello classificatorio TIPO EFFETTO Perdita effettiva Accantonamento specifico Rapidly recovered loss Timing loss Riliquidazione / Storno Minor ricavo / Mancato guadagno Near miss Guadagno operativo Altra perdita stimata / maggior costo 12
FRAMEWORK OPERATIVO DI GOVERNANCE: il censimento degli Eventi di Rischio (4/4) Nuclei di attività: Gestione dei sinistri SCHEDA DELL EVENTO DI RISCHIO Descrizione (Tipo di Evento) Conseguenze (Tipo di Perdita) Modalità di calcolo Disposizioni esterne Canale Prodotto PRODOTTO DISPOSIZIONI ESTERNE Codice Civile Italiano Codice PenaleItaliano B.I. e Consob - Provvedimento del 2007/10/29 (MIFID) D. Lgs. 2001/06/08 n. 231 D. Lgs. 2003/06/30 n. 196 (Privacy) D. Lgs. 2005/09/07 n. 209 (Codice Assicurazioni Private) D. Lgs. 2008/04/09 n. 81 (Tutela salute lavoratori) CANALE Filiali e altri canali classici Posta Fax Call center E-mail Internet Telematici Promotori 13
FRAMEWORK OPERATIVO DI GOVERNANCE: caratterizzazione della Base della Conoscenza La Base della Conoscenza di ORMA è organizzata e strutturata in modo da: integrarsi facilmente con la tassonomia dei processi dell azienda e seguirne l evoluzione associare al nucleo di attività l Unità Organizzativa, che ne è responsabile 14
FRAMEWORK OPERATIVO DI GOVERNANCE: caratterizzazione della Base della Conoscenza La Base della Conoscenza di ORMA è inoltre organizzata e strutturata in modo da: costituire il riferimento unico per tutti gli eventi di Rischio Operativo che sono accaduti in azienda, che possono accadere sulla base delle segnalazioni degli operatori interni, dei clienti, degli ispettori seguire nel continuo l evoluzione della mappatura Organizzazione-Rischio Utile anche a supportare efficacemente la realizzazione dei Testi Unici della normativa interna Modelli Organizzativi (D. Lgs. N. 231 del 08/06/2001) 15
FRAMEWORK OPERATIVO DI GOVERNANCE: l architettura PROCESSO attività sottoprocesso eventi potenziali di rischio (x1000) EVENTO TIPO TIPO RISCHIO WORST CONTROLLI KR1 KR2 KR3 KR4 KR5 KR6 PERDITA EVENTO STIMATO CASE 001 F 7.01 37,5 0,8 002 F 7.01 0,5 1,0 il modello di CONTROLLI valutazione 003 E 7.01 15,0 10,0 I Livello Suggerimenti buono 004 E 7.01 2,0 10,0 II Livello Suggerimenti buono 005 E 07.01 0,5 10,0 Esterni 006 E 7.01 2,0 10,0 Suggerimenti opportuna una revisone annuale scarso il modello di funzionamento del sistema 007 E 1.01 2,0 10,0 Giudizio complessivo (x1000) 008 D 7.01 0,5 1,0 TIPO RISCHIO 009 D 7.01 0,3 0,3 PERDITA STIMATO WORST CASE Sottoprocesso 60,3 53,1 medio medio medio D buono buono 0,8 buono buono 1,3 (x1000) TIPO RISCHIO E 21,5 50,0 EVENTO STIMATO WORST CASE F 38,0 1,8 7.01 60,3 53,1 medio direzione NORME PROCEDURE REGOLAMENTI FORMAZIONE mappatura dei processi governance datawarehouse self assessment MAPPATURA PROCESSI E DEI RISCHI DATI POTENZIALI (SELF ASSESSMENT) 2 σθ (Xm) Pm [ Xm-θ ε] ε 2 Valore Jan Feb Mar Apr May Valore 331,0075 55,16791 31,53994 15,49783 88,02876 Media 104,2484 104,2484 104,2484 104,2484 104,2484 Dev std 129,6677 129,6677 129,6677 129,6677 129,6677 UCL 493,2514 493,2514 493,2514 493,2514 493,2514 LCL -284,755-284,755-284,755-284,755-284,755 UWL 363,5838 363,5838 363,5838 363,5838 363,5838 LWL -155,087-155,087-155,087-155,087-155,087 frequenza Jan Feb Mar Apr May frequenza 1,423638 0,647108 0,241632 0,322751 0,955911 Media 0,718208 0,718208 0,718208 0,718208 0,718208 Dev std 0,485464 0,485464 0,485464 0,485464 0,485464 UCL 2,174599 2,174599 2,174599 2,174599 2,174599 LCL -0,73818-0,73818-0,73818-0,73818-0,73818 UWL 1,689136 1,689136 1,689136 1,689136 1,689136 LWL -0,25272-0,25272-0,25272-0,25272-0,25272 modellizzazione MODELLO DATI RILEVATI (OGGETTIVI) dati da operatività 1,400 1,200 1,000 0,800 0,600 0,400 0,200 0,000 0,676 0,754 0,564 Gennaio Febbraio Marzo 1,211 0,868 0,475 0,668 0,787 Aprile Maggio Giugno Luglio Agosto Settembre 1,0210,981 1,332 0,882 Ottobre Novembre Dicembre n UCL UWL LWL LCL REGIONE DI INTERVENTO REGIONE DI SORVEGLIANZA NORMALITA REGIONE DI SORVEGLIANZA REGIONE DI INTERVENTO Media 9,70411 938,98 2,14103 75,9697 4,39173 1276,17 Differenza %sulla frequenza (DFP) Differenza %sul valore (DVP) Proiezione %sulla frequenza (PFP) Proiezione %sul valore (PVP) -100,00% 10,45% 1,48% 95,00% 97,45% 127,20% 1,46% 121,46% 26,24% 10,45% 53,17% 1410,75% monitoraggio t BPR AZIONI PREVENTIVE AZIONI CORRETTIVE 16
FRAMEWORK OPERATIVO DI GOVERNANCE: il modello di funzionamento (1/7) La rischiosità di un Nucleo di attività è influenzata da: la qualità delle risorse utilizzate per la sua esecuzione la presenza dei vincoli esistenti l efficacia dei controlli Rischio Operativo 17
FRAMEWORK OPERATIVO DI GOVERNANCE: il modello di funzionamento (2/7) Le componenti trattate da ORMA per descrivere il contesto ambientale sono: Controlli di I livello Risorse umane Affidabilità Procedure Controlli di Audit Controlli Esterni Tecnologie Contesto esterno Eventi esterni 18
FRAMEWORK OPERATIVO DI GOVERNANCE: il modello di funzionamento (3/7) EVENTI RISCHIO (valutazioni quantitative) CONTROLLI (valutazioni qualitative) Controlli di I Controlli di Audit Controlli Esterni Nuclei di attività Regole Pesi FATTORI DI INFLUENZA (valutazioni qualitative) Fattore umano Affidabilità procedure Tecnologie Contesto esterno Eventi esterni Regole Pesi 19
FRAMEWORK OPERATIVO DI GOVERNANCE: il modello di funzionamento (4/7) Valutazione quantitativa FREQUENZA MEDIA FREQUENZA MEDIA Numero atteso di eventi nell arco temporale di riferimento IMPATTO MEDIO IMPATTO MEDIO Importo medio atteso per singolo evento 20 WORST CASE WORST CASE Impatto del singolo evento qualora esso si manifesti nel peggior modo concepibile
FRAMEWORK OPERATIVO DI GOVERNANCE: il modello di funzionamento (5/7) REGOLE PESI Valutazione qualitativa 21
FRAMEWORK OPERATIVO DI GOVERNANCE: il modello di funzionamento (6/7) 22
FRAMEWORK OPERATIVO DI GOVERNANCE il modello di funzionamento (7/7) Valutazione Fattori Influenza Nucleo Attività 1 Nucleo Attività 2 Nucleo Attività 3 Nucleo Attività 4 Nucleo Attività 5 Fatture Umano 10 4 5 4 3 Affidabilità Procedure 4 3,5 4 8 7 Tecnologie 6 3 4 4 6 Contesto Esterno 7 2 5 2 2 Eventi Esterni 6 6 6 6 6 Metrica Valutazione Buono Medio Scarso Range 5,3 3,1 0,1 Rilevanza Fattori Influenza Fatture Umano Affidabilità Procedure Tecnologie Contesto Esterno Nucleo Attività 1 alta alta media media Nucleo Attività 2 alta alta alta alta Nucleo Attività 3 alta alta alta alta Nucleo Attività 4 alta media media media Nucleo Attività 5 alta media media alta Eventi Esterni trascurabile alta alta trascurabile media Giudizio Fattori Influenza Fatture Umano Affidabilità Procedure Nucleo Attività 1 buono scarso Nucleo Attività 2 scarso scarso Nucleo Attività 3 medio scarso Nucleo Attività 4 scarso buono Nucleo Attività 5 scarso buono Priorità AZIONI di MITIGAZIONE Tecnologie buono scarso scarso medio buono Contesto Esterno buono scarso medio scarso scarso Eventi Esterni buono buono buono buono buono 23
FRAMEWORK OPERATIVO DI GOVERNANCE l architettura PROCESSO attività sottoprocesso eventi potenziali di rischio mappatura dei processi l acquisizione delle informazioni sugli eventi realmente 2 σθ (Xm) Pm avvenuti [ Xm-θ ε] ε 2 Valore Jan Feb Mar Apr May Valore 331,0075 55,16791 31,53994 15,49783 88,02876 Media 104,2484 104,2484 104,2484 104,2484 104,2484 Dev std 129,6677 129,6677 129,6677 129,6677 129,6677 UCL 493,2514 493,2514 493,2514 493,2514 493,2514 LCL -284,755-284,755-284,755-284,755-284,755 UWL 363,5838 363,5838 363,5838 363,5838 363,5838 LWL -155,087-155,087-155,087-155,087-155,087 frequenza Jan Feb Mar Apr May frequenza 1,423638 0,647108 0,241632 0,322751 0,955911 Media 0,718208 0,718208 0,718208 0,718208 0,718208 Dev std 0,485464 0,485464 0,485464 0,485464 0,485464 UCL 2,174599 2,174599 2,174599 2,174599 2,174599 LCL -0,73818-0,73818-0,73818-0,73818-0,73818 UWL 1,689136 1,689136 1,689136 1,689136 1,689136 LWL -0,25272-0,25272-0,25272-0,25272-0,25272 modellizzazione governance datawarehouse MAPPATURA PROCESSI E DEI RISCHI MODELLO DATI POTENZIALI (SELF ASSESSMENT) DATI RILEVATI (OGGETTIVI) dati da operatività EVENTO TIPO TIPO PERDITA EVENTO 1,400 1,200 1,000 0,800 0,600 0,400 0,200 0,000 0,676 0,754 0,564 Gennaio Febbraio Marzo RISCHIO STIMATO 001 F 7.01 37,5 0,8 1,211 0,868 Aprile Maggio Giugno 0,475 0,668 0,787 Luglio Agosto 1,021 0,981 Settembre Ottobre 1,332 0,882 Novembre Dicembre n UCL UWL LWL LCL REGIONE DI INTERVENTO REGIONE DI SORVEGLIANZA NORMALITA REGIONE DI SORVEGLIANZA REGIONE DI INTERVENTO Media 9,70411 938,98 2,14103 75,9697 4,39173 1276,17 Differenza %sulla frequenza (DFP) Differenza %sul valore (DVP) Proiezione %sulla frequenza (PFP) Proiezione %sul valore (PVP) -100,00% 10,45% 1,48% 95,00% 97,45% 127,20% 1,46% 121,46% (x1000) WORST CONTROLLI KR1 CASE KR2 KR3 KR4 KR5 KR6 002 F 7.01 0,5 1,0 CONTROLLI valutazione 003 E 7.01 15,0 10,0 I Livello Suggerimenti buono 004 E 7.01 2,0 10,0 II Livello Suggerimenti 005 E 07.01 0,5 10,0 buono 006 E 7.01 2,0 Esterni 10,0 Suggerimenti opportuna una revisone annuale scarso 007 E 1.01 2,0 10,0 Giudizio complessivo 008 D 7.01 0,5 1,0 (x1000) TIPO RISCHIO 009 D 7.01 0,3 0,3 PERDITA STIMATO WORST CASE Sottoprocesso 60,3 53,1 medio medio medio D buono buono 0,8 buono buono 1,3 (x1000) TIPO RISCHIO E 21,5 50,0 EVENTO STIMATO WORST CASE F 38,0 1,8 7.01 60,3 53,1 26,24% 10,45% 53,17% 1410,75% monitoraggio medio self assessment t direzione NORME PROCEDURE REGOLAMENTI FORMAZIONE BPR AZIONI PREVENTIVE AZIONI CORRETTIVE 24
FRAMEWORK OPERATIVO DI GOVERNANCE dati da operatività (1/2) 25
FRAMEWORK OPERATIVO DI GOVERNANCE dati da operatività (2/2) Le perdite avvenute, i reclami, le verifiche ispettive sono registrate secondo la classificazione della Base della Conoscenza in modo da conseguire due risultati: avere la storia degli accadimenti rischiosi che si sono verificati nel tempo monitorare la validità delle informazioni acquisite con il Self Assessment, confrontando la perdita potenziale con quella effettiva la perdita potenziale con la qualità del processo la perdita potenziale con la qualità dei comportamenti 26
FRAMEWORK OPERATIVO DI GOVERNANCE l architettura PROCESSO attività sottoprocesso eventi potenziali di rischio La La modellizzazione mappatura dei processi delle rilevazioni governance datawarehouse MAPPATURA PROCESSI E DEI RISCHI DATI POTENZIALI (SELF ASSESSMENT) EVENTO TIPO TIPO PERDITA EVENTO RISCHIO STIMATO 001 F 7.01 37,5 0,8 (x1000) WORST CONTROLLI KR1 CASE KR2 KR3 KR4 KR5 KR6 002 F 7.01 0,5 1,0 CONTROLLI valutazione 003 E 7.01 15,0 10,0 I Livello Suggerimenti buono 004 E 7.01 2,0 10,0 II Livello Suggerimenti 005 E 07.01 0,5 10,0 buono 006 E 7.01 2,0 Esterni 10,0 Suggerimenti opportuna una revisone annuale scarso 007 E 1.01 2,0 10,0 Giudizio complessivo (x1000) 008 D 7.01 0,5 1,0 TIPO RISCHIO 009 D 7.01 0,3 0,3 PERDITA STIMATO WORST CASE Sottoprocesso 60,3 53,1 medio medio medio D buono buono 0,8 buono buono 1,3 (x1000) TIPO RISCHIO E 21,5 50,0 EVENTO STIMATO WORST CASE F 38,0 1,8 7.01 60,3 53,1 self assessment medio direzione NORME PROCEDURE REGOLAMENTI FORMAZIONE 2 σθ (Xm) Pm [ Xm-θ ε] ε 2 Valore Jan Feb Mar Apr May Valore 331,0075 55,16791 31,53994 15,49783 88,02876 Media 104,2484 104,2484 104,2484 104,2484 104,2484 Dev std 129,6677 129,6677 129,6677 129,6677 129,6677 UCL 493,2514 493,2514 493,2514 493,2514 493,2514 LCL -284,755-284,755-284,755-284,755-284,755 UWL 363,5838 363,5838 363,5838 363,5838 363,5838 LWL -155,087-155,087-155,087-155,087-155,087 frequenza Jan Feb Mar Apr May frequenza 1,423638 0,647108 0,241632 0,322751 0,955911 Media 0,718208 0,718208 0,718208 0,718208 0,718208 Dev std 0,485464 0,485464 0,485464 0,485464 0,485464 UCL 2,174599 2,174599 2,174599 2,174599 2,174599 LCL -0,73818-0,73818-0,73818-0,73818-0,73818 UWL 1,689136 1,689136 1,689136 1,689136 1,689136 LWL -0,25272-0,25272-0,25272-0,25272-0,25272 MODELLO DATI RILEVATI (OGGETTIVI) 1,400 1,200 1,000 0,800 0,600 0,400 0,200 0,000 0,676 0,754 0,564 Gennaio Febbraio Marzo 1,211 0,868 0,475 0,668 0,787 1,0210,981 1,332 0,882 Aprile Maggio Giugno Luglio Agosto Settembre Ottobre Novembre Dicembre n UCL UWL LWL LCL REGIONE DI INTERVENTO REGIONE DI SORVEGLIANZA NORMALITA REGIONE DI SORVEGLIANZA REGIONE DI INTERVENTO Media 9,70411 938,98 2,14103 75,9697 4,39173 1276,17 Differenza %sulla frequenza (DFP) Differenza %sul valore (DVP) Proiezione %sulla frequenza (PFP) Proiezione %sul valore (PVP) -100,00% 10,45% 1,48% 95,00% 97,45% 127,20% 1,46% 121,46% 26,24% 10,45% 53,17% 1410,75% t BPR AZIONI PREVENTIVE AZIONI CORRETTIVE modellizzazione dati da operatività monitoraggio 27
FRAMEWORK OPERATIVO DI GOVERNANCE i dati ottenuti da operatività e da RSA Processo Nucleo Attività n.1 Nucleo Attività n.2 Evento di rischio n.22 Evento di rischio n.14 Evento di rischio n.1 Evento di rischio n.55 Evento di rischio n.34 Evento di rischio n.32 Evento di rischio n Scheda dell evento di rischio Perdite Avvenute RSA (frequenza/impatto/worst case) Reclami Verifiche ispettive 28
FRAMEWORK OPERATIVO DI GOVERNANCE informazioni di contesto ambientale Processo Nucleo Attività n.1 Nucleo Attività n.2 Controlli di I livello Controlli di Audit Controlli Esterni Risorse umane Procedure Tecnologie Contesto esterno Eventi esterni Controlli di I livello Controlli di Audit Controlli Esterni Risorse umane Procedure Tecnologie Contesto esterno Eventi esterni 29
FRAMEWORK OPERATIVO DI GOVERNANCE alimentazione del motore di calcolo determinazione del Requisito Patrimoniale 30
Agenda Apertura dei lavori Approccio metodologico al Risk Management Mappatura dei processi e sistema esperto per la quantificazione del capitale a rischio Analisi quali-quantitativa dell Assessment per la governance aziendale 31
MODELLO DI ANALISI L INPUT INFORMATIVO DEL MODELLO DI ANALISI È RAPPRESENTATO DA: Informazioni fornite dagli intervistati e/o prodotte dagli analisti esperti di Rischi Operativi nella fase di effettuazione del Risk Self Assesment (RSA) Eventi specifici individuati ed oggetto di valutazione nella mappatura dei rischi Frequency e severity caratterizzanti le perdite operative potenzialmente riconducibili ai suddetti eventi specifici individuati 32
ANALISI QUANTITATIVA Approccio metodologico che consente di ottenere un output espresso in termini di rischio (expected loss e unexpected loss) a partire dalle valutazioni fornite dagli intervistati in sede di Risk Assesment. A tal proposito si definisce: EXPECTED LOSS (EL): valore atteso della distribuzione delle potenziali perdite (Loss Distribution); UNEXPECTED LOSS (UL): differenza tra un percentile elevato della Loss Distribution e il suo valore atteso. 33
IL MODELLO COMPOSTO PER LA DISTRIBUZIONE DELLE PERDITE (1/2) OBIETTIVO CREARE UN MODELLO CHE RAPPRESENTI L AMMONTARE DELLA PERDITA COMPLESSIVA LEGATA AL NUMERO COMPLESSIVO DI EVENTI RISCHIOSI IN UN DETERMINATO INTERVALLO TEMPORALE 34
IL MODELLO COMPOSTO PER LA DISTRIBUZIONE DELLE PERDITE (2/2) Costruire la distribuzione di probabilità per il numero degli eventi rischiosi nell arco temporale considerato, per singolo evento indagato, partendo dai dati Costruire la distribuzione di probabilità dell impatto economico al verificarsi del singolo evento rischioso Utilizzare le due distribuzioni al fine di ottenere la distribuzione di probabilità delle perdite distribuzione di Poisson distribuzione di Weibull S = X + X + K+ 1 2 X N 35
CONVOLUZIONE: LOSS DISTRIBUTION (1/2) PER OTTENERE LA LOSS DISTRIBUTION OCCORRE: Considerare una Poisson definita nel parametro λ pari alla frequency media stimata; Considerare una Weibull definita nei parametri scale e shape ottenibili dalla severity media e dal worst case stimati; Realizzare la convoluzione (tramite simulazione Montecarlo) di tali distribuzioni in modo da ottenere la Loss Distribution su cui determinare Expected ed Unexpected Loss. 36
CONVOLUZIONE: LOSS DISTRIBUTION (2/2) Definite le ipotesi distributive per frequency e severity, è possibile ottenere - via convoluzione - la Loss Distribution 37
IL PROCESSO PER CALCOLARE LA LOSS DISTRIBUTION Simulare il numero di eventi rischiosi, quindi nel nostro caso simulare una v.a. Poisson Simulare l importo di ogni singolo evento, quindi nel nostro caso simulare una v.a. Weibull Simulare la perdita aggregata come somma degli importi dei singoli eventi Ripetere l esperimento n volte e calcolare le statistiche che ci interessano 38
SIMULAZIONE MONTECARLO 39
IL VALORE AGGIUNTO DI ORMA MAPPATURA NEL CONTINUO IMPLEMENTAZIONE ED AGGIORNAMENTO DELL ANAGRAFE DEI RISCHI POTENZIALMENTE UTILIZZABILE DAGLI OPERATORI DELLA COMPAGNIA - CONSULENZA ED AFFIANCAMENTO - REPORT PER L ALTA DIREZIONE 40
Agenda Apertura dei lavori Approccio metodologico al Risk Management Mappatura dei processi e sistema esperto per la quantificazione del capitale a rischio Analisi quali-quantitativa dell Assessment per la governance aziendale 41
Il modello concettuale di ORMA ed i suoi output Cruscotto Organizzativo Cruscotto Compliance R.O. perdite Requisito Patrimoniale Requisito Patrimoniale R.O. R.O. Contesto R.O. Self R.O. R.O. perdite Contesto ambientale Contesto assessment Self Self perdite ambientale Reclami ambientale assessment Reclami Verifiche assessment Verifiche Processi aziendali Processi - Unità aziendali Organizzative - Unità Organizzative 42
MARGINE DI SOLVIBILITA : governo del mercato finanziario (1/4) Rivisitazione del regime di adeguatezza del Capitale per Assicurazioni e Riassicurazioni europee Solvency 2 Requisiti di capitale Tecniche di valutazione Standard di gestione dei rischi 43
MARGINE DI SOLVIBILITA : governo del mercato finanziario (2/4) CEIOPS: Committee of European Insurance and Occupational Pensions Supervisors (operativo dal novembre 2003) (autorità di vigilanza dei paesi EU) Solvency 2 Basilea 2 Pilastro I: aspetti quantitativi regole sui requisiti finanziari Pilastro II: vigilanza - aspetti qualitativi che riguardano la gestione d impresa Pilastro III: disclosure - informazioni sulla situazione finanziaria 44
MARGINE DI SOLVIBILITA : governo del mercato finanziario (3/4) Basilea 2 Il Comitato di Basilea è un organo formato dai rappresentanti delle Autorità Nazionali. Ha il compito di proporre misure di controllo del sistema bancario e vigilare sul suo funzionamento. I paesi aderenti sono praticamente quasi tutte le principali nazioni del mondo 45
MARGINE DI SOLVIBILITA : governo del mercato finanziario (2/4) Basilea 2 Il Nuovo Accordo sui requisiti patrimoniali (del giugno 2004) è un insieme di norme per la determinazione del Capitale Proprio di ciascuna banca, necessario a far fronte ai rischi bancari: di credito di mercato di concentrazione di tasso operativi di compliance reputazionali ecc. 46
MARGINE DI SOLVIBILITA : governo del mercato finanziario (3/4) Basilea 2 L obiettivo di Basilea 2 è quello di determinare (Pillastro I) e controllare (Pilastro II) la saldezza del settore bancario inteso come componente fondamentale per la stabilità e lo sviluppo delle aziende e dell intero sistema economico e sociale 47
MARGINE DI SOLVIBILITA : governo del mercato finanziario (3/4) Solvency 2: regole sui requisiti finanziari calcolo dei requisiti di capitale: formula basata su coefficienti Base fissi Standard coerente con i rischi effettivamente sopportati dall impresa ispirate a Basilea 2 48
MARGINE DI SOLVIBILITA : gestione dei rischi Solvency 2: metodo Standard Rischi aziendali: Assunzione Riservazione Mercato Credito Liquidità Rischio di appartenenza ad un gruppo Operativi (inclusi i rischi legali) Compliance Reputazionali e derivanti da decisioni strategiche 49
MARGINE DI SOLVIBILITA : gestione dei rischi Calcolo della componente relativa ai rischi: Operativi (inclusi i rischi legali) Compliance Valutazione delle perdite potenziali e loro quantificazione (RSA: autovalutazione) Raccolta dei dati di perdita avvenute, registrati in contabilità 50
MARGINE DI SOLVIBILITA : Perdite avvenuta Rischio Operativo: raccolta dei dati di perdita ORIC Il Consorzio Operational risk insurance raccoglie dal 2005 i dati relativi alle perdite operative subite dagli associati (circa 20 compagnie di assicurazione inglesi). In particolare vengono segnalate al Consorzio le perdite dovute ad inadeguatezza o venir meno di processi, risorse, sistemi, o eventi esterni di importo unitario > 10.000. Nel periodo 2005-2008 sono stati registrati 1.800 eventi per un importo complessivo di 1.000.000.000 51
MARGINE DI SOLVIBILITA : Perdite avvenuta Rischio Operativo: raccolta dei dati di perdita DIPO Il Consorzio DIPO raccoglie dal 2003 i dati relativi alle perdite operative subite dagli associati (circa 200 istituti bancari italiani). In particolare vengono segnalate al Consorzio le perdite dovute ad inadeguatezza o venir meno di processi, risorse, sistemi, o eventi esterni di importo unitario > 5.000. Nel periodo 2003-2008 sono stati registrati 39.290 eventi per un importo complessivo di 2.531.587.400 52
MARGINE DI SOLVIBILITA : Perdite avvenuta Analisi delle perdite avvenute per TIPO EVENTO (2003-2008) ET 7 15% 23% ET 6 1% 1% ET 5 1% 1% ET 4 25% 44% numerosità ammontare ET 3 7% 7% ET 2 18% 40% ET 1 2% 14% 0% 50% Legenda TIPO EVENTO 1. Illeciti interni 2. Illeciti esterni 3. Rapporti con il personale e sicurezza sul lavoro 4. Clienti, prodotti e prassi operative 5. Disastri e altri eventi 6. Sistemi tecnologici 7. Esecuzione, consegna e gestione dei processi 53
Il modello concettuale di ORMA ed i suoi output Cruscotto Organizzativo Cruscotto Compliance Cruscotto Compliance Requisito Patrimoniale R.O. perdite R.O. Self assessment Contesto ambientale Reclami Verifiche Processi aziendali - Unità Organizzative 54
CRUSCOTTO COMPLIANCE: l Organismo di Vigilanza (1/5) D. Lgs. N. 231 del 08/06/2001 (Responsabilità Amministrativa dell Ente) Art. 6 lettera b): Gli Amministratori dell Ente non rispondono degli eventuali reati se provano che: il compito di vigilare sul funzionamento e l'osservanza dei modelli, nonché di curare il loro aggiornamento, è stato affidato ad un organismo dell Ente dotato di autonomi poteri di iniziativa e di controllo Organismo con duplice ruolo 1. Aggiornamento del Modello rispetto ai cambiamenti normativi esterni ed organizzativi interni 2. Vigilanza sulla conformità dei comportamenti al Modello di Organizzazione 55