Convegno ABI Basilea 3 evento DIPO

Claudio Ruffini Presidente e Amministratore Delegato Augeos Convegno ABI Basilea 3 evento DIPO Marco Carelli Responsabile Servizio Risk Management e Pianificazione Strategica Federazione BCC Piemonte, Valle d Aosta e Liguria Roma, 27 giugno 2012

Intervento a Dipo 2009 KRI and Data Quality An innovative Key Risk Indicator for the Operational Risk : the Data Quality Methodology and tools to identify and manage Key Risk Indicators on data quality 27 06 2012 2

Sintesi dell intervento 2009 Illustrare la metodologia e gli strumenti informatici di supporto per utilizzare efficacemente le informazioni di correlazione tra le misure di qualità dei dati e gli eventi dannosi in una organizzazione complessa. Analisi di serie storiche di eventi dannosi Misure della qualità di dati Analisi delle possibili correlazioni tra misure di qualità dei dati e rischi operativi Sonde e soglie che possano darmi dei segnali predittivi di Rischio utilizzando BT4Risk Cruscotti operativi Strumenti per la gestione delle azioni di mitigazione al rischio 27 06 2012 3

Intervento a DIPO 2010 From Operational Risk Assessment to Operational Risk Management Metodologia per passare da semplici cruscotti operativi che forniscono dati ad utilizzo di questi dati per migliorare la governace della banca (Uso di indicatori predittivi, adozione di controlli temporanei, condivisione informazioni tra uffici, gestione dei piani di azione,...) 27 06 2012 4

Dipo 2012 Oggi vi ho portato una esperienza concreta dove sono state applicate una parte delle metodologie descritte Gli istituti aderenti alla Federazione delle banche di Credito Cooperativo del Piemonte, Liguria e Valle d Aosta 27 06 2012 5

Agenda 1. Il Sistema del Credito Cooperativo 2. La Federazione Piemonte, Valle d Aosta e Liguria e il Servizio Risk Management e Pianificazione Strategica 3. La normativa di riferimento 4. Il progetto di Operational Risk Management di FederPiemonte 5. Loss data collection: approccio metodologico 6. Valutazione aree di vulnerabilità: strumenti di analisi e gestione 7. Il progetto di ORM di FederPiemonte: stato dell arte e nuovo approccio 6 27 06 2012 6

La realtà nazionale Il Sistema del Credito Cooperativo Le Banche di Credito Cooperativo in Italia al 31/12/2011 (In termini di numerosità) Fonte Federcasse 7 27 06 2012 7

La struttura sul territorio Il Sistema del Credito Cooperativo 8 27 06 2012 8

La realtà del Nord-Ovest La Federazione Piemonte, Valle d Aosta e Liguria 10 B.C.C. Associate 219 sportelli +1,9% nel 2011 91.787 soci +7,8% nel 2011 1.451 dipendenti +1,2% nel 2011 9 27 06 2012 9

Il Servizio Risk Management e Pianificazione strategica La Federazione Piemonte, Valle d Aosta e Liguria Servizio Revisione Servizio Risk Management e Pianificazione Strategica Servizio Legale Servizio Internal Audit Internal Capital Adequacy Assessment Process (ICAAP) Pianificazione strategica Operational Risk Management 10 27 06 2012 10

Le Banche aderenti al progetto Operational Risk Management La Federazione Piemonte, Valle d Aosta e Liguria 11 27 06 2012 11

La Circolare 263/06 La normativa di riferimento 12 27 06 2012 12

La Circolare 263/06 La normativa di riferimento 13 27 06 2012 13

Allegato alla lettera di proroga della scadenza ICAAP di marzo 2010 La normativa di riferimento 14 27 06 2012 14

Tassonomia dei rischi Circolare 263/06 La normativa di riferimento Circolare 263/06 Titolo II - Capitolo 5 Allegato C 15 27 06 2012 15

Tassonomia dei rischi - CRD La normativa di riferimento 16 27 06 2012 16

Obiettivi del progetto Il progetto di ORM di FederPiemonte creare un database delle perdite operative della Banca; agevolare la gestione dei rischi operativi tramite interventi di mitigazione per intervenire sulle aree che hanno manifestato vulnerabilità; tracciare le attività relative ai rischi operativi all interno di un unica applicazione (Loss Data Collection, Interventi, Controlli, Key Risk Indicators, Report, Self-Assessment); diffondere la cultura della gestione dei rischi operativi, coinvolgendo figure differenti all interno della Banca; instaurare l abitudine alla gestione del rischio operativo ex-ante (anche tramite il modulo di Self-Assessment); aggregare i dati degli eventi di perdita delle Banche utenti, in modo da avere maggiori elementi per l analisi. 17 27 06 2012 17

Strumento utilizzato Il progetto di ORM di FederPiemonte Applicazione per l Operational Risk Management sviluppata da Consente: il censimento degli eventi di perdita operativa per la creazione di un database; l assegnazione ad altri utenti di interventi per mitigare l esposizione al rischio tramite l attività di utenti dal profilo differenziato; di gestire controlli e Key Risk Indicators associati agli eventi di perdita; l estrazione di report per l analisi dei dati aggregati per processo, categorie di rischio, unità di rischio, secondo i criteri imposteti dall utente. 18 27 06 2012 18

Approccio metodologico MATRICE RISCHI/PROCESSI Loss data collection A ciascuno di essi dovranno essere associati gli eventi di perdita censiti 19 27 06 2012 19

Approccio metodologico Loss data collection MATRICE RISCHI/PROCESSI PROCESSI MERCATO SERVIZI BANCARI TIPICI (FILIALI) Pianificazione e organizzazione Gestione del risparmio Gestione finanza retail Gestione del credito Operatività di Filiale Servizi di banca virtuale FINANZA Pianificazione e organizzazione Proprietà Tesoreria Finanza retail Gestione amministrativa UNITA' DI RISCHIO Commerciale Filiali Filiali Filiali Filiali Sistemi di pagamento Finanza Finanza proprietà Finanza tesoreria Negoziazione terzi Amministrazione titoli PROCESSI GOVERNO PIANIFICAZIONE STRATEGICA Definizione del sistema di pianificazione strategica Pianificazione strategica (effettuazione previsioni pluriennali) BUDGETING E CONTROLLO DI GESTIONE Definizione del sistema budgeting Budgeting (effettuazione previsini annuali) Controllo di gestione Produzione delle informazioni periodiche GESTIONE CONTROLLI INTERNI Definizione del sistema dei controlli interni Verifica dell'adeguatezza del sistema dei controlli interni Verifica della regolarità dell'operatività Reportistica ICAAP - RISK MANAGEMENT Icaap - Individuazione dei rischi Icaap - misurazione-valutazione dei rischi Icaap - Determinazione capitale interno complessivo Icaap - Autovalutazione adeguatezza patrimoniale Risk Management Ispettorato Reportistica GESTIONE COMPLIANCE Pianificazione ed organizzazione Analisi delle fonti normative di riferimento Identificazione e valutazione dei rischi Individuazione delle azioni di mitigazione Monitoraggio Reportistica GESTIONE SOCI Soci MERCATO MARKETING STRATEGICO Analisi del mercato e sua segmentazione Definizione caratteristiche prodotti, servizi e canali distributivi Selezione partner commerciali e gestione delle relazioni SVILUPPO DEL MERCATO Definizione del piano commerciale Relazioni con la clientela e campagne commerciali Analisi dei risultati SERVIZI BANCARI TIPICI (FILIALI) Pianificazione e organizzazione Gestione del risparmio Gestione finanza retail Gestione del credito Operatività di Filiale Servizi di banca virtuale FINANZA Pianificazione e organizzazione Proprietà Tesoreria Finanza retail Gestione amministrativa CREDITO Pianificazione e organizzazione Concessione e revisione Monitoraggio Gestione del contenzioso TESORERIA ENTI Pianificazione e organizzazione Gestione commerciale Gestione ordinaria INCASSI E PAGAMENTI Pianificazione e organizzazione Gestione ordinaria ESTERO Pianificazione e organizzazione Gestione ordinaria Tesoreria estero SUPPORTO ORGANIZZAZIONE Definizione dell'assetto organizzativo Gestione dei processi aziendali Gestione della normativa interna SUPPORTO E CONSULENZA LEGALE Consulenza legale Supporto legale operativo SISTEMI INFORMATIVI Gestione degli accessi Gestione degli allineamenti Gestione errori, anomalie e miglioramenti Gestione della sicurezza Gestione dell'infrastruttura locale Gestione e monitoraggio del Sistema Informativo GESTIONE CONTINUITA' OPERATIVA Definizione delle strategia di continuità operativa Gestione della continuità operativa GESTIONE RISORSE UMANE Pianificazione e gestione risorse umane Amministrazione del personale CONTABILITA' BILANCIO E SEGNALAZIONI Organizzazione dei processi di produzione dell'informativa Consolidamento dati in CO.GE. Produzione e gestione bilancio e segnalazioni di vigilanza Dichiarazioni fiscali GESTIONE DELLE INFRASTRUTTURE E DELLE SPESE Pianificazione e organizzazione Selezione fornitore / autorizzazione Acquisizione (ordine e ricevimento) Contabilizzazione e pagamento Gestione GESTIONE DELLE RELAZIONI ESTERNE Relazioni di tipo istituzionale Relazioni con la comunità locale GESTIONE CONTANTI E VALORI Gestione cassa centrale Gestione falsi e fuori corso Direzione generale Pianificazione strategica Direzione generale Budget e controllo di gestione Budget e controllo di gestione Budget e controllo di gestione Consiglio di Amministrazione Internal audit Internal audit Internal audit Risk Management Risk Management Risk Management Risk Management Risk Management Ispettorato Risk Management Compliance officer Compliance officer Compliance officer Compliance officer Compliance officer Compliance officer Pianificazione strategica Commerciale Commerciale Commerciale Commerciale Commerciale Commerciale Filiali Filiali Filiali Filiali Sistemi di pagamento Finanza Finanza proprietà Finanza tesoreria Negoziazione terzi Amministrazione titoli Credito Fidi Controllo andamentale del credito Contenzioso Organizzazione Commerciale Tesoreria enti Sistemi di pagamento Sistemi di pagamento Estero Estero Estero Direzione generale Organizzazione Organizzazione Legale Legale Organizzazione Information Technology Information Technology Information Technology Information Technology Information Technology Organizzazione Organizzazione Gestione risorse umane Amministrazione del personale Amministrazione Contabilità generale Contabilità generale Contabilità generale Organizzazione Organizzazione Economato Contabilità generale Economato Direzione generale Direzione generale Sistemi di pagamento Sistemi di pagamento Segreteria soci RISCHI A Frode interna A1 Attività non autorizzata A1.1 Omissione dolosa (intenzionale) di registrazione delle transazioni X X X X X X X X X X X X X X X X X X X X X X X X Violazione dolosa (intenzionale) di direttive autorizzative di processi interni (con perdita monetaria) X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X A1.3 Valutazioni di mercato intenzionalmente errate X X X X X X X X X X X X X X A1.4 Violazione dolosa di direttive nel rapporto con fornitori X X X X X X X A2 Furto e frode A2.1 Furto, estorsione, appropriazione indebita, sottrazione di beni X X X X X X X X X X X X X X X X X A2.2 Falsificazione, contraffazione, manipolazione assegni X X X X X X X X X X X X X X X X X X X X X X X X X X A2.3 Distruzione dolosa di beni o documenti X X X X X X X X X X X X X X X X X X X X X X X X X X A2.4 Appropriazione di conti, usurpazione di identità, sottrazione di informazioni X X X X X X X X X X X X X X X X X X X X X A2.5 Corruzione/tangenti X X X X X X X X X X X X X X X X X X X X X Altre azioni fraudolente e dolose (evasione fiscale, insider trading a titolo personale, contrabbando) X X B Frode esterna B1 Furto e frode B1.1 Furto da parte di esterni, rapina X X X X X B1.2 Frode del cliente: contraffazione, falsificazione, manipolazione assegni X X X X X X X X X X X X X X X X X X B1.3 Frode di fornitori: contraffazione, falsificazione X X X X X X B2 Sicurezza dei sistemi B2.1 Violazione/alterazione di sistemi o processi informatici X X X X C Rapporto di impiego e sicurezza sul lavoro C1 Rapporto di impiego Retribuzioni, indennità, questioni relative alla cessazione del rapporto di impiego X X X C1.2 Attività sindacali X X X C2 Sicurezza sul lavoro C2.1 Responsabilità civile (cadute e simili) X X X C2.2 Eventi relativi alla salute e alla sicurezza dei dipendenti X X X C3 Discriminazioni/condizioni non paritarie C3.1 Discriminazioni, diffamazioni, molestie, mobbing X X X D Clientela, prodotti e pratiche di business D1 Adeguatezza, informativa e rapporti fiduciari Violazione delle disposizioni legislative che regolano gli obblighi di informativa nei confronti dei clienti, la normativa sui consumatori - X X X X X X X X X X X X X X D1.2 Violazione delle disposizioni legislative che regolano la PRIVACY X X X X X X X X X X X X X X X X X X X X X X X Strategie di vendita aggressive, violazioni di vincoli fiduciari - Violazioni X X X X X X X X X X X X X X X X X X X X X X X della normativa MIFID D2 Prassi di business o di mercato improprie D2.1 Violazione delle disposizioni legislative che regolano l'antiriciclaggio X X X X X X X X X X X X X D2.2 Violazione delle disposizioni legislative che regolano l'usura X X X X X X X X X X X D2.3 Violazione delle disposizioni legislative che regolano la CAI X X X X X X Prassi di negoziazione o di mercato improprie (market abuse, antitrust, insider trading per conto dell'azienda) X X X X X X X X X X D2.5 Attività non autorizzate X X X X D2.6 Violazione di clausole contrattuali con il cliente X X X X X X X X X X X X X X X D3 Difetti nella produzione D3.1 Errato sviluppo di prodotti/servizi X X X X D4 Selezioni, "sponsorizzazioni" e limiti di esposizione D4.1 Mancata/inadeguata analisi dei bisogni del cliente X X X X X X X X X D4.2 Superamento dei limiti di esposizione del cliente X X X X X X D5 Attività di consulenza D5.1 Controversie riguardo alle attività di consulenza X X X E Danni a beni materiali E1 Catastrofi ed altri eventi esterni E1.1 Perdite dovute a catastrofi naturali X X X X X E1.2 Perdite per atti umani di origine esterna (terrorismo, vandalismo) X X X X F Interruzioni dell'operatività e disfunzioni dei sistemi informatici F1 Sistemi Interruzioni dell'operatività per guasti a sistemi hardware, software, X X X X X telecomunicazioni Interruzioni dell'operatività per interruzioni/guasti nell'erogazione di servizi X X X X di utilità F1.3 Disfunzioni dei sistemi informatici X X X X X X G Esecuzione, consegna e gestione dei processi G1 Avvio, esecuzione e completamento delle transazioni Errori di inserimento, manutenzione, acquisizione dei dati, negligenze nella X X X X X X X X X X X X X X X X X X X X X X X X X X X X X tenuta della base dati G1.2 Errori di natura contabile X X X X X X X X X X X X X X G1.3 Difetti di comunicazione (tra uffici interni) X X Mancato rispetto di scadenze o altre responsabilità, negligenze X X X X X X X X X X X X X X X X X X X X X X X X X X X X X nell'esecuzione di altre mansioni G1.5 Inadeguate strutture o processi organizzativi interni X X X X X X X X X X X X X X X G1.6 Negligenze nella gestione delle garanzie X X X X X G1.7 Disfunzioni di modelli o sistemi X X X X X X X X G2 Monitoraggio e reporting G2.1 Inadempienze negli obblighi di reporting interno X X X X X X X X G2.2 Inaccurate segnalazioni agli Organi di Vigilanza X X X X G3 Acquisizione della clientela e relativa tenuta della documentazione G3.1 Assenza di autorizzazioni o di manleve del cliente X X X X X X X X X X X X G3.2 Assenza o incompletezza della documentazione legale X X X X X X X X X X X X G4 Gestione dei conti della clientela G4.1 Accesso non autorizzato ai conti X X X X X X X X X X X G4.2 Perdite o danni ai beni del cliente dovuti a negligenza X X G5 Controparti commerciali Inadempienze o controversie nei rapporti con controparti commerciali X X X X X X X X X diverse da clienti/fornitori G6 Venditori e fornitori Anomalie nella prestazione del servizio e divario di performance (SLA) da parte del fornitore/outsourcer RISCHI X X X X X X X X X G6.2 Violazione accordi contrattuali con i fornitori X X X X G6.3 Controversie con venditori X A Frode interna A1 Attività non autorizzata A1.1 Omissione dolosa (intenzionale) di registrazione delle transazioni X X X X X X X X A1.2 Violazione dolosa (intenzionale) di direttive autorizzative di processi interni X X X X X X X X (con perdita monetaria) A1.3 Valutazioni di mercato intenzionalmente errate X X X A1.4 Violazione dolosa di direttive nel rapporto con fornitori 20 27 06 2012 20 A1.2 A2.6 C1.1 D1.1 D1.3 D2.4 F1.1 F1.2 G1.1 G1.4 G5.1 G6.1 UNITA' DI RISCHIO Estratto della matrice

Approccio metodologico RELAZIONI TRA ELEMENTI Loss data collection PROCESSI RISCHI NEI PROCESSI UNITA DI RISCHIO RISCHI UTENTI 21 27 06 2012 21

Approccio metodologico Loss data collection PROFILI UTENTI BANCA X Risk Manager (e staff) Resp. unità di rischio (e staff) Utente eventi di perdita Risk Manager di Gruppo BANCA Y Risk Manager (e staff) Resp. unità di rischio (e staff) BANCA Z Risk Manager (e staff) Resp. unità di rischio (e staff) Utente eventi di perdita Responsabile area/ufficio Utente eventi di perdita Responsabile filiale 22 27 06 2012 22

Approccio metodologico Loss data collection Data evento successiva a Date censite: evento individuazione censimento contabilizzazione EVENTI CENSITI Soglia minima pari a 0 Perdite lorde con registrazione recuperi Importi censiti: perdita stimata perdita massima potenziale recuperi perdita finale guadagni mancati Recuperi da: assicurazione riserve guadagni altre coperture Ante registrazione contabile Aggiornamento post contabilizzazione: data registrazione conto contabile 23 27 06 2012 23

Strumenti di analisi REPORT Singola banca Sintesi eventi di perdita Esempio (Dati fittizi) Valutazione aree di vulnerabilità Criterio di aggregazione Dati salienti relativi agli eventi censiti 24 27 06 2012 24

Strumenti di analisi Valutazione aree di vulnerabilità REPORT Singola banca Sintesi eventi di perdita per categorie di processo e rischio Esempio (Dati fittizi) Gerarchia dei processi (I e II livello) Tassonomia dei rischi (I e II livello) 25 27 06 2012 25

Strumenti di gestione Valutazione aree di vulnerabilità INTERVENTI Esempio (Utenti e dati fittizi) Definizione ed assegnazione dell intervento Registrazione delle modalità di esecuzione Associazione tra rischi, assessment ed eventi di perdita associati (l intervento può essere assegnato anche dalle schede dell evento di perdita e del rischio) 26 27 06 2012 26

Strumenti di gestione KRI Esempio (Dati fittizi) Scheda di definizione dell indicatore Valutazione aree di vulnerabilità Registrazione delle misurazioni periodiche dell indicatore Visualizzazione grafica della misurazione più recente nella scheda del rischio 27 27 06 2012 27

Strumenti di gestione CONTROLLI Esempio (Dati fittizi) Valutazione aree di vulnerabilità Indicazione del rischio oggetto del controllo Elenco controlli in essere nella scheda del rischio Scheda di definizione del controllo instaurato 28 27 06 2012 28

Strumenti di analisi e gestione Valutazione aree di vulnerabilità ASSESSMENT Esempio (Dati fittizi) Estratto della scheda di valutazione del rischio Estratto del prospetto di sintesi dei rischi valutati 29 27 06 2012 29

Stato dell arte Il progetto di ORM di FederPiemonte 16 Banche aderenti al progetto Progetto avviato a inizio 2011 Controlli più efficaci Interventi di mitigazione Circa 500 utenti abilitati Figure professionali coinvolte: - Risk Manager - Responsabili aree/uffici Rischi operativi più frequenti Processi più esposti a rischio operativo Self assessment Statistiche sulle perdite operative Monitoraggio KRI 30 27 06 2012 30

Nuovo approccio al progetto ORM Il progetto di ORM di FederPiemonte Funzione ORM FederPiemonte (supporto e supervisione) Database consortile Funzione ORM FederPiemonte (ruolo attivo) 31 27 06 2012 31

Conclusioni... Riprendiamo qualche concetto 27 06 2012 32

Una citazione... «Esiste un nesso tra la qualità della governance e la performance di una Banca» Fabio Bernasconi di Banca d Italia 27 06 2012 33

Per una buona governance è necessario avere una strumentazione adeguata per una completa e aggiornata conoscenza dei propri rischi e delle leve per poter agire 27 06 2012 34

Per una buona governance Migliore gestione dei Rischi operativi = Migliore efficacia dell azione della banca = Migliore Performance L idea chiave è che il monitoraggio dei rischi operativi permette a chi gestisce il business di controllare meglio il raggiungimento degli obiettivi aziendali 27 06 2012 35

La gestione delle 3 C Controllo Condivisi one Criteri per decisione 27 06 2012 36

Condivisione L Operational Risk Manager deve essere sempre più un facilitatatore che insieme ai diversi Risk Owner (i Process Owner del rischio) sparsi nell organizzazione della Banca analizza e gestisce i rischi. Le responsabilità delle valutazioni dei rischi sono dunque Condivise Sono Condivisi i piani di azione per la mitigazione degli stessi. Processo di Condivisione di informazioni, decisioni assunte per step successivi in work flow definiti. 27 06 2012 37

Criteri per la decisione Criteri oggettivi, condivisi e ponderati per la scelta dei piani di azione o per la esplicita non-azione in relazione al costo/beneficio dell azione di mitigazione Occasione per analizzare con Criterio (cioè in maniera critica) i processi e i controlli di una organizzazione o di parte di essa Trasparenza e ricostruibilità dei Criteri di decisione anche a distanza di tempo o in occasione di audit 27 06 2012 38

Controlli Attività di Controlli e check specifici per monitorare che vengano eseguiti i controlli permanenti sui principali rischi individuati Individuazione di Controlli ad hoc che scattano su trigger specifici: Eventi Superamento di soglie di KRI Controllo sulla corretta esecuzione dei piani di azione 27 06 2012 39

Cosa bolle in pentola Sistema dei controlli Enterprise Risk Management KRI Operational Risk Compliance Risk Credit Risk Market risk Liquidity Risk 27 06 2012 40

Claudio Ruffini Presidente e Amministratore Delegato Augeos Via Pavia, 11/B 10098 Rivoli Claudio.ruffini@augeos.it Marco Carelli Responsabile Servizio Risk Management e Pianificazione Strategica Federazione BCC Piemonte, Valle d Aosta e Liguria Via Genova, 11/A 12100 Cuneo carellim@fpvl.bcc.it