OPERATIONAL RISK MANAGEMENT GIULIO MIGNOLA Resp. Rischi Operativi Sanpaolo IMI SpA La presentazione è stata realizzata da San Paolo IMI ed è riservata esclusivamente ai soci CeTIF. La riproduzione e la diffusione anche parziale della stessa non è pertanto consentita se non previa autorizzazione. Milano, 13 ottobre 2006
Introduzione 1 Le maggiori cause di dissesto nel sistema finanziario internazionale risiedono in rischi di carattere operativo, legati quindi al funzionamento delle attività aziendali, quali ad esempio rischi di perdite derivanti da : frodi, violazione dei sistemi, rapine, non rispetto di conformità a norme e regolamenti, comportamenti di business scorretti, eventi naturali o sociali eccezionali, ecc.
Introduzione 2 Si tratta di episodi direttamente collegati ai diversi processi aziendali, all assunzione di decisioni, all allentamento di regole proprie della cultura aziendale e delle prassi operative. Le conseguenze degli eventi di natura operativa possono, oltre al semplice onere di conto economico, intaccare componenti immateriali del bilancio altrettanto rilevanti, come ad esempio la reputazione, il marchio o l identità aziendali.
Definizione di Rischio Operativo La normativa di Basilea II definisce come rischio operativo: Il rischio di perdite derivanti da disfunzioni a livello di procedure e sistemi interni, errori umani oppure da eventi esogeni. Nell accezione regolamentare tale definizione include il rischio giuridico ma esclude il rischio di reputazione e quello strategico.
Qual è il valore aggiunto di una gestione strutturata del Rischio Operativo? Le istituzioni finanziarie sono da sempre soggette al rischio operativo nello svolgimento del proprio business ma solo recentemente hanno cominciato a sviluppare un approccio standardizzato per la sua quantificazione ed hanno individuato formalmente una nuova specializzazione (Operational Risk Management) per la sua gestione Ma perché si è creata la necessità di avere dei gestori di rischio operativo proprio ora? Qual è il valore aggiunto di questa nuova funzione aziendale? Quali i benefici di questa nuova disciplina?
Perché le Formula 1 hanno freni efficenti? Per farle andare piano?
Perché le Formula 1 hanno freni efficenti? Per farle andare veloci e vincere!
i freni sono necessari, ma sono sufficienti? Che altro è necessario? Piloti esperti Tachimetro, contagiri. Conoscenza della pista e. Roll bar Casco Tuta ignifuga.
Quello che è mancato. Per molto tempo le istituzioni finanziarie hanno assunto (consapevolmente?) considerevoli esposizioni ai rischi operativi senza disporre di un processo strutturato per la loro misurazione e gestione Anche disponendo di buoni piloti l informazione disponibile non era sufficiente per sapere cosa ci fosse dietro la prossima curva. Troppo spesso ci si è trovati di fronte a spiacevoli sorprese
ha provocato (con risonanza sulla stampa) Barings Bank (Frode interna) Cirio/Parmalat (collocamento titoli aggressivo ) Sistema finanziario internazionale Enron (falso in bilancio) Continental Bank (rischio reputazionale) LCTM Errori di modello
Che cosa è cambiato? L Operational Risk Management è stato istituito come disciplina formale per gestire questo tipo di problematiche Risk Management Credit Market Operational andando ad aggiungersi ed a completare le discipline del market e del credit risk management (come recepito dal nuovo accordo di Basilea sul capitale)
Perché è necessario l Operational Risk Management proprio adesso I maggiori fattori di dissesto nel sistema finanziario sono legati a failures nella qualità delle Operations (frodi, attività non autorizzate, non compliance con regolamenti e norme, ecc.) L evoluzione delle istituzioni finanziarie ha portato a Aumento della complessità dei mercati Aumento della dimensione delle Istituzioni (aggregazioni) Introduzione di nuove tecnologie, complesse e critiche per lo svolgimento del business Ambiente sempre più competitivo: dove timing e costi diventano fattori cruciali per stare sul mercato La presenza di fenomeni generalizzati di aggregazione ha un forte effetto di attenuazione dell identità aziendale fattore critico per la qualità delle Operations
Motivazioni per la realizzazione di un sistema di ORM Dal punto di vista della tutela del patrimonio aziendale, la gestione del Rischio Operativo diventa un esigenza critica per la salvaguardia della continuità operativa e della catena di produzione del valore delle diverse Business Units Dal punto di vista regolamentare il Nuovo Accordo di Basilea recepisce queste esigenze, le norma in requisiti minimi di Capitale e in Sound Practices di gestione, consentendo l utilizzo di metodologie di gestione sofisticate che possono comportare anche una riduzione del requisito patrimoniale
Operational risk Management e creazione di valore per il top management Struttura di governance con ruoli e responsabilità ben definiti e chiara identificazione dei risk owners Compresione delle esposizioni ai singoli rischi Comprensione dell esposizione complessiva al rischio (company wide) Determinazione del profilo rischio / rendimento corretta e completa Possibilità di stabilire chiari ed espliciti livelli di tolleranza al rischio Maggior efficacia nella risposta a situazioni di crisi (con consapevolezza dell impatto sul profilo di rischio complessivo)
e effetti sul valore dell azienda Valutazione delle società di rating Costo del capitale Risparmio di capitale economico Ottimizzazione del valore per gli azionisti
L approccio Sanpaolo IMI
L approccio Sanpaolo IMI Il Gruppo Sanpaolo IMI, coerentemente con la propria costante politica di allineamento alla best practice internazionale in tema di Risk Management, ha intrapreso negli ultimi anni una generale ed approfondita attività di affinamento dei modelli interni di misurazione dei rischi volta ad ottenere: un sistema di determinazione del capitale economico con risultati coerenti con il profilo di rischio effettivo un impianto organizzativo e metodologico volto all allineamento al dettato della Nuova Normativa sul Capitale di Basilea 2 secondo i metodi avanzati AMA In particolare il Gruppo, sulla scorta della crescente importanza degli eventi di tipo operativo verificatasi a livello internazionale, ha rivolto alla categoria dei Rischi Operativi particolare attenzione e ne ha fatto oggetto di specifici studi ed analisi i cui risultati hanno consentito l avvio di un progetto dedicato avente per obiettivo: lo sviluppo di un sistema integrato di gestione degli Operational Risk coerente con le strategie di Governance del Gruppo ed in linea con le indicazioni della Normativa.
Il Framework della gestione dei rischi operativi nel Gruppo Sanpaolo Governance: definizione e impianto dei processi aziendali di misurazione, monitoraggio e gestione dei Rischi Operativi Risk Self Assessment Stime Soggettive Processi di Misurazione Loss Data Loss Collection Data Analisi Quantitativa Metodologie di misurazione CaR Integrazion e Bayesiana CaR Analisi Quantitativ a Strumenti Metodologie Risk Management Processi decentrati Aree di Business Indicazioni gestionali Assessment della rischiosità del contesto operativo Infrastruttura IT: gestione ed implementazione degli strumenti e supporti tecnologici per la misurazione dei Rischi Operativi
Normativa interna e governance Il Gruppo Sanpaolo IMI ha definito la governance dei rischi operativi attraverso l individuazione di precise linee di intervento: Definizione di una policy di Gruppo normata da un Regolamento di gestione dei rischi operativi (approvato dal CdA della Capogruppo e di tutte le società controllate); Individuazione di un modello organizzativo accentratodecentrato di presidio dei rischi operativi attuato attraverso i processi di misurazione, gestione e monitoraggio e costituito dalla seguente articolazione: Consiglio di Amministrazione Comitato Rischi Operativi ORM Unit di Gruppo ORM Decentrati Referenti
Architettura Organizzativa CONSIGLIO DI C.E. / Comitato tecnico Audit AMMINISTRAZIONE COMITATO RISCHI OPERATIVI Direzione Audit ORM Unit di Gruppo ORM Decentrati Dir Retail e Private ORM Decentrati Direzione Imprese ORM Decentrato Direzione ORM Decentrato Società (per Soc. più significative) Referente Soc... (per Società di minor rilevanza) Referente Referente Referente Referente Referente Referente Referente Referente Funz. Area Banca Rete Area Estera Funz. Funz. Funz. Soc.Controll.
La diffusione della cultura Per rendere operativo il processo di misurazione si è istituito un processo di formazione strutturato e formalizzato (a catalogo nell offerta formativa del Gruppo), in particolare rivolto a ORM decentrati Referenti Personale collocato nelle unità operative maggiormente sensibili al tema (ad esempio pagamenti internazionali ecc.) Il programma ha finora coinvolto circa 350 risorse nel Gruppo ed in pieno svolgimento
1 3 5 7 9 Il Modello di misurazione Visione prospettica Giudizio critico dell unità organizzativa Visione storica Analisi statistica sui dati di perdita Risk Self Assessmentc Loss Event Type Questionario n Questionario Questionario 1 12 Questionario 1 2 11 2 1 3 10 2 1 3 4 2 4 3 4 3 4 15 15 15 15 Questionario 1 1 2 3 4 15 Dimensione Organizzativa Struttura Aziendale Analisi qualitativa dell adeguatezza dei processi Giudizio critico dell ORM decentrato Integrazione Bayesiana Capitale a Rischio Distribuzione dell impatto degli eventi di perdita Distribuzione delle perdite complessive annue relative fr eq ue ncy Distribuzione della frequenza degli eventi di perdita 14 12 10 8 6 4 2 0 #eventsper period 11 13 15 17 19 Aggregazione Perdita Ina ttesa Op. VaR al 99.9 percentile Fattori di Rischio L2 1 2 Scorecard VCO n Scorecard VCO 12 Scorecard 1 VCO 11 Scorecard 1 2 VCO 10 2 1 3 2 3 4 4 3 4 15 15 15 Scorecard VCO 1 3 4 1 2 3 4 15 15 In fase di prima applicazione Struttura Aziendale Valutazione della rischiosità del Contesto Operativo
Il Framework della gestione dei rischi operativi nel Gruppo Sanpaolo: infrastruttura IT Loss Data Collection Risk Self Assessment Valutazione Contesto operativo Censimento dati di perdita Questionari Scorecard Perdite operative Dati esterni Stime soggettive Motore di calcolo statistico Analisi giudizi qualitativi sulla rischiosità dei processi produttivi OpRisk Evolution: piattaforma Intranet dedicata ai Rischi Operativi CaR
L architettura IT OPRISK Evolution: piattaforma Intranet dedicata ai Rischi Operativi Acquisizione dati consorzi ORX/DIPO Loss Data Collection Censimento dati di perdita Valutazione Contesto operativo Scorecard Modello Indicatori Acquisizione Risk Self Assessment Questionari Perdite operative Giudizi Qualitativi Indicatori Stime soggettive Stime Prodotte da RM In ambiente R Motore di Calcolo Statistico Ripartizione Historical CaR Motore di Calcolo Statistico Historical Car Historical Car per UO RSA CaR per UO Componenti rilasciati ed utilizzati Componenti rilasciati e nop utilizzati Componenti non ancora rilasciati Integrazione Bayesiana Requisito di Gruppo
Architettura tecnologica OPRISK Evolution: piattaforma Intranet dedicata ai Rischi Operativi Applicazione web su architettura standard J2EE Application Server Bea Weblogic 6.1 Web Server Apache Dbms Oracle 9 Il prodotto OpRisk Evolution ingloba la piattaforma FastTrack. FastTrack è un software infrastrutturale, realizzato su un modello Grid Computing, per la gestione del load balancing all interno di una rete privata multicast di nodi TCP/IP.
Conclusioni Il Gruppo Sanpaolo IMI ha messo in opera decisioni e azioni organizzative che hanno permesso la: predisposizione di un quadro complessivo di gestione dei R.O. Normativo (Regolamento di Gruppo) e Organizzativo (individuazione di ruoli e responsabilità) definizione di una metodologia di misurazione del rischio che integri Analisi storiche (backward looking) e Risk Self Assessment (l elemento che completa la misurazione dei rischi operativi sopperendo all incompletezza informativa dell analisi dei dati di perdita e fornendo una prospettiva forward looking) in modo da permettere di far convergere le esigenze gestionali interne con le richieste del dettato della nuova normativa di Basilea II