UNIVERSITA DEGLI STUDI DI PADOVA

UNIVERSITA DEGLI STUDI DI PADOVA DIPARTIMENTO DI SCIENZE ECONOMICHE ED AZIENDALI M.FANNO CORSO DI LAUREA MAGISTRALE IN ECONOMIA E FINANZA TESI DI LAUREA LA NORMATIVA DI VIGILANZA NEL SETTORE BANCARIO E ASSICURATIVO: FOCUS SUL RISCHIO OPERATIVO Supervisory regulations in the banking and insurance sector: focus on operational risk RELATORE: CH.MO PROF. MICHELE BONOLLO LAUREANDO: ALESSANDRO P. ANDRIANO MATRICOLA N. 1015058 ANNO ACCADEMICO 2012 2013

INDICE INTRODUZIONE... 1 1 - IL PERCORSO DELLA VIGILANZA BANCARIA E ASSICURATIVA DAGLI ANNI 70 AD OGGI... 3 1.1 Cenni storici su Solvency... 3 1.2 La procedura Lamfalussy... 6 1.3 Il progetto Solvency II... 9 1.4 Da Basilea 0 a Basilea 3... 13 1.5 Revisione critica sui percorsi legislativi di Solvency e Basilea... 16 2 SOLVENCY II ED IL PRIMO PILASTRO... 18 2.1 La Direttiva 2009/138/CE... 18 2.2 Fondi propri... 24 2.2.1 Fondi propri: Livello 1... 24 2.2.2 Fondi propri: Livello 2... 26 2.2.3 Fondi propri: Livello 3... 26 2.2.4 Limiti di ammissibilità dei fondi propri... 27 2.3 Il calcolo dell SCR: modello standard... 28 2.4 Rischio di mercato: formula standard... 30 2.4.1 Rischio tasso di interesse... 32 2.4.2 Rischio azionario... 34 2.4.3 I rischi immobiliari... 35 2.4.4 Rischio valutario... 36 2.4.5 Rischio spread... 37 2.4.6 Rischio di concentrazione... 41 2.5 Il modulo di rischio di credito o controparte... 42 2.6 Il calcolo dell MCR... 48

2.6.1 Formula lineare per il ramo danni o per impegni di riassicurazione... 48 2.6.2 Formula lineare per il ramo vita o contratti di riassicurazione... 50 2.7 Alcune critiche su Solvency II... 50 3 I RISCHI DI PRIMO PILASTRO SECONDO BASILEA 3... 52 3.1 Basilea 3... 52 3.2 Fondi Propri... 54 3.3 Rischio di credito... 57 3.3.1 Esposizioni verso amministrazioni centrali o banche centrali... 57 3.3.2 Esposizioni verso amministrazioni regionali o autorità locali... 57 3.3.3 Esposizioni verso organismi del settore pubblico... 58 3.3.4 Esposizioni verso banche multilaterali di sviluppo... 58 3.3.5 Esposizioni verso organizzazioni internazionali... 58 3.3.6 Esposizioni verso enti... 59 3.3.7 Esposizioni verso imprese... 60 3.3.8 Esposizioni al dettaglio... 60 3.3.9 Esposizioni garantite da ipoteche su beni immobili... 60 3.3.10 Esposizioni in stato di default... 60 3.3.11 Posizioni associate ad un rischio particolarmente elevato... 61 3.3.12 Esposizioni sotto forma di obbligazioni garantite... 61 3.3.13 Esposizioni sotto forma di quote o azioni di OIC... 62 3.3.14 Esposizioni in strumenti di capitale... 62 3.4 Rischio di controparte... 62 3.4.1 Metodo di calcolo del valore di mercato... 63 3.4.2 Metodo dell esposizione originaria... 63 3.4.3 Metodo standardizzato... 64 3.5 Alcuni commenti su Basilea III... 66 4 MODELLI E PROCESSI PER LA GESTIONE DEL RISCHIO OPERATIVO... 67

4.1 Rischio operativo... 67 4.2 Il rischio operativo in Solvency II formula standard... 68 4.3 Il rischio operativo in Basilea III formula standard... 70 4.3.1 Il Basic Indicator Approach... 71 4.3.2 Lo Standardized Approach... 72 4.4 Loss distribution approach... 74 4.4.1 Costruzione della distribuzione di frequency... 74 4.4.2 Costruzione della distribuzione di severity... 76 4.4.3 Vantaggi e limiti del LDA... 83 4.5 Il problema della data quality... 84 4.6 Il rischio IT... 87 4.7 Alcuni commenti sui sistemi IT... 90 4.8 Loss data collection... 90 4.8.1 Definizione ed identificazione della perdita... 91 4.8.2 Dati sulle perdite... 92 4.8.3 Validazione dei dati... 92 4.8.4 Analisi dei dati... 93 4.8.5 Reporting... 93 4.9 Risk Control Self Assessment... 94 4.9.1 Key controls, risk owners e key risk indicators... 95 5 - NOTE CONCLUSIVE... 101

INDICE DELLE TABELLE Tabella 1: matrice di correlazione per il calcolo del BSCR... 30 Tabella 2: matrice di correlazione per il calcolo del SCRmkt... 32 Tabella 3: variazioni del tasso di interesse secondo la maturity... 33 Tabella 4: caduta del valore delle azioni secondo la categoria di appartenenza... 34 Tabella 5: matrice di correlazione nel calcolo del MKTeq... 35 Tabella 6: esposizione al rischio di credito in base alla duration e al rating... 38 Tabella 7: esposizione al rischio di credito relativa ai covered bonds... 39 Tabella 8: esposizione al rischio di credito verso governi, banche centrali o organizzazioni internazionali... 39 Tabella 9: fattori di rischio per prodotti strutturati diversi dalle esposizioni per riassicurazioni... 40 Tabella 10: fattori di rischio per prodotti strutturati con finalità riassicurative... 40 Tabella 11: scenari per il calcolo del rischio si spread sui derivati... 41 Tabella 12: soglie di concentrazione in base al rating... 42 Tabella 13: fattore di rischio g in base al rating... 42 Tabella 14: Probabilità di default nel rischio di controparte... 47 Tabella 15: Line od Business nel calcolo dell MCR... 49 Tabella 16: fattori di ponderazione nel rischio di credito in caso di esposizioni verso banche e amministrazioni centrali... 57 Tabella 17: fattori di ponderazione nel rischio di credito in caso di esposizioni verso organismi del settore pubblico... 58 Tabella 18: fattori di ponderazione nel rischio di credito in caso di esposizioni verso enti provvisti di rating... 59 Tabella 19: fattori di ponderazione nel rischio di credito in caso di esposizioni verso enti privi di rating... 59 Tabella 20: fattori di ponderazione nel rischio di credito in caso di esposizioni verso imprese... 60 Tabella 21: fattori di ponderazione nel rischio di credito in caso di esposizioni sotto forma di obbligazioni garantite... 61 Tabella 22: fattori di ponderazione nel rischio di credito in caso di esposizioni sotto forma di quote di OIC... 62 Tabella 23: calcolo del valore di mercato nel rischio di controparte... 63

Tabella 24: calcolo del rischio di controparte secondo il metodo dell esposizione originaria. 64 Tabella 25: valore del CCRM secondo le attività coperte... 65 Tabella 26: coefficiente di rischiosità nello standardized approach... 72 INDICE DELLE FIGURE Figura 1: i livelli del processo di Lamfalussy... 7 Figura 2: i tre pilastri che compongono Solvency II... 18 Figura 3: le componenti all interno di Solvency II... 19 Figura 4: struttura per il calcolo dell SCR... 29 Figura 5: distribuzione corpo empirico + coda semiparametrica... 77

INTRODUZIONE I business assicurativo e bancario sono diversi sotto molti punti di vista (tipologia di prodotti offerti alla clientela, schemi di bilancio, ciclo dei costi e ricavi ecc.) ma sono accomunate dalla presenza del rischio e dalla necessità di risultare sempre solvibili. Proprio solvibilità è stata (ed è tuttora) la parola chiave durante la crisi internazionale cominciata nel 2008: l economista John B. Taylor (2009) ha dimostrato che la crisi economica è scaturita da un problema di rischio di solvibilità della controparte che è stato mal diagnosticato dal governo USA. Ad avvalorare questa tesi è emblematica la vicenda Lehman Brothers: poco prima del fallimento (15 settembre 2008) la banca statunitense doveva rifinanziare ¼ dell attivo ogni giorno a causa delle passività a brevissimo termine che le venivano concesse. Tuttavia la solvibilità e la gestione del rischio non sono argomenti nuovi alle Autorità di vigilanza ed ai legislatori dei vari paesi; infatti sin dagli anni 70 si è cercato di introdurre degli ammortizzatori patrimoniali a tutela dei rischi con regole semplici e standardizzate. A causa dell introduzione di prodotti sempre più sofisticati e dell accresciuta competitività nei mercati che ha spinto le imprese ad effettuare investimenti sempre più rischiosi per ottenere rendimenti più alti, è nata l esigenza di utilizzare strumenti e formule molto più complessi per tenere sotto controllo la solvibilità sia da parte delle imprese che da parte delle Autorità di vigilanza. Questo lavoro di aggiornamento ha portato alla nascita delle ultime normative di riferimento all interno dell UE per i due settori: la Direttiva 2013/36/UE (c.d. Basilea III) per il settore bancario e la Direttiva 2009/138/CE (c.d Solvency II) per quello assicurativo. Entrambe non sono ancora state recepite dai Paesi aderenti all UE ma tutte le imprese coinvolte hanno cominciato un lungo lavoro di adeguamento ai nuovi standard richiesti. Le nuove discipline quindi, non sono nate come rimedio alla crisi economica e non vanno intese come strumento per limitare i danni o neutralizzare il rischio (che costituisce una componente collegata alla ricerca del profitto e per definizione ineliminabile); esse comportano che il rischio venga assunto con cognizione di causa, potenziando e valorizzando le leve gestionali e commerciali che garantiscono maggior efficienza e maggior redditività (Hajek, 2011). Le due normative hanno molti punti di contatto (Solvency II prende spunto da Basilea II, la Normativa attualmente in vigore per gli istituti di credito) ma anche molte differenze dovute ai tipi di rischi in cui possono incorrere le imprese bancarie e assicurative nella gestione delle proprie attività. Lo scopo di questo elaborato consiste proprio nell analizzare come le due normative affrontano le modalità di copertura dei diversi rischi, soffermandosi in particolar modo sulla gestione del rischio operativo. 1

Nel capitolo uno, l elaborato ripercorrerà gli step normativi nella disciplina bancaria e assicurativa in Europa dagli anni 70 ad oggi. Il secondo capitolo ed il terzo capitolo affronteranno la normativa Solvency II e Basilea 3, rispettivamente, elencandone dapprima le caratteristiche e successivamente soffermandosi sul primo pilastro e sulle formule utilizzate per la quantificazione dei rischi comuni ai due business. Il quarto capitolo si soffermerà sul rischio operativo dapprima enunciandone le modalità di calcolo secondo le formule standard previste dai due accordi e successivamente proponendo un modello statistico per stimare l esposizione al suddetto rischio. Il capitolo si concluderà con l analisi dei processi utilizzati per monitorare e gestire il rischio operativo all interno di un istituto bancario o assicurativo. 2

1 - IL PERCORSO DELLA VIGILANZA BANCARIA E ASSICURATIVA DAGLI ANNI 70 AD OGGI 1.1 Cenni storici su Solvency Le prime fonti normative in ambito assicurativo che hanno introdotto all interno della Comunità Europea l argomento del margine di solvibilità 1 sono la Direttiva CEE 73/239 per i rami non vita e la Direttiva 79/267 per i rami vita. Esse si sono basate su uno studio commissionato al belga Cornelis Campagne dall Insurance Commitee dell OEEC (Organization for European Economic Cooperation, attuale OECD) nel 1957. In sintesi, la direttiva riguardante il ramo non vita prevedeva che il margine minimo dovesse essere almeno uguale al maggiore tra i rapporti asset/premi e asset/sinistri; nella direttiva relativa al ramo vita, il margine minimo doveva essere pari almeno alla somma dei seguenti importi: 1) il 4% delle riserve matematiche 2 moltiplicato per il rapporto esistente nell ultimo esercizio tra l importo delle riserve matematiche al netto della riassicurazione e l importo lordo delle riserve stesse; 2) lo 0,3% dei capitali a rischio 3 moltiplicato per il rapporto esistente nell ultimo esercizio tra l importo dei capitali a rischio che rimangono a carico dell impresa al netto della riassicurazione e l importo lordo dei capitali a rischio stessi. A queste due direttive seguirono le c.d. direttive di seconda e terza generazione che introdussero nuove tipologie di strumenti finanziari ammissibili per la copertura delle riserve. All inizio degli anni 90 ci si rese conto che sarebbe stato necessario rivedere tutti i requisiti di solvibilità a livello europeo e pertanto fu avviato nel 1994 sempre dall Insurance Commitee dell OEEC un nuovo gruppo di lavoro che concluse l attività nel 1997 con il c.d. Rapporto Muller. I risultati del rapporto sono stati presi come punto di riferimento per la redazione delle Direttive 2002/13/EC (imprese ramo danni) e 2002/12/EC (imprese ramo vita) che costituiscono la disciplina c.d. Solvency I attualmente in vigore. 1 Il margine di solvibilità è inteso come parte del patrimonio dell impresa libero da impegni verso gli assicurati e finalizzato a garantire l adempimento delle obbligazioni assunte e quelle che l impresa stipulerà in futuro. Si tratta di una riserva complementare, con la funzione di cuscino di sicurezza, che può considerarsi come reale garanzia per i futuri creditori, proprio perché in eccedenza rispetto agli impegni dell impresa già manifestatisi o in corso di manifestazione 2 Le riserve matematiche sono un elemento tipico del bilancio di una compagnia di assicurazione vita e sono costituite dagli importi che devono essere accantonati dalla compagnia stessa per far fronte agli obblighi futuri assunti verso agli assicurati. Si tratta ovviamente di un importo stimato che nasce dallo sfasamento temporale esistente tra il momento in cui il contraente paga il/i premio/i ed il momento in cui l assicuratore deve eseguire le prestazioni. 3 I capitali sotto rischio sono pari alla differenza tra il capitale assicurato e la riserva matematica al tempo t. 3

Rispetto alle direttive precedenti, Solvency I rafforza i poteri e le competenze delle Autorità di Vigilanza ed introduce il concetto di requisito di capitale dinamico, cioè le imprese di assicurazione devono mantenere i requisiti richiesti non solo in fase di redazione del bilancio ma continuativamente durante la loro attività. Vengono modificati inoltre i margini minimi richiesti; in particolare per il ramo danni il margine minimo di solvibilità si determina o in relazione all ammontare annuo dei premi o in relazione all onere medio dei sinistri degli ultimi 3 esercizi. L ammontare del margine minimo da costituire deve essere quindi almeno pari al più elevato tra: 1) indice dei premi; 2) indice dei sinistri. MS (margine di solvibilità)= α max Indice premi ;Indice sinistri dove: se premi > 50 mil Indice premi = se premi < 50 mil se sinistri > 35 mil Indice sinistri = se sinistri < 35 mil 18% 50 mil+16% (premi-50 mil) 18% premi 26% 35 mil+23% (sinistri-35 mil) 26% sinistri α = max (50%; sinistri ultimi 3 anni al netto della riassicurazione sinistri ultimi 3 anni al lordo della riassicurazione Per quanto riguarda la modalità di calcolo in base ai premi (indice dei premi), sono presenti 2 step: 1) si cumulano gli importi dei premi e degli accessori dell ultimo esercizio e si ripartisce il relativo ammontare in due quote: sulla prima, pari a 50 milioni di, si applica la percentuale del 18%, sull eccedenza la percentuale del 16%; 2) l importo così ottenuto va rettificato in funzione della riassicurazione: a tal fine si moltiplica l importo stesso per il c.d rapporto di conservazione relativo agli ultimi 3 esercizi, determinato in base all importo dei sinistri che rimangono a carico dell impresa dopo le cessioni in riassicurazione diviso l ammontare dei sinistri lordi. Tale rapporto non può essere in alcun caso inferiore al 50%. Anche l indice dei sinistri presenta un calcolo composto da due step: 1) si sommano gli importi dei sinistri pagati negli ultimi tre esercizi e si ripartisce l ammontare in due quote: sulla prima, pari a 35 milioni di, si applica la percentuale del 26%, sull eccedenza la percentuale del 23%; 4

2) l importo ottenuto va rettificato per la riassicurazione passiva come avvenuto per l indice dei premi; Nel ramo vita il margine minimo è uguale a: 4% riserve matematiche lorde * (riserve al netto della riassicurazione/riserve lorde) + 0,3% capitale sotto rischio * (capitale sotto rischio netto/capitale sotto rischio lordo). Altre novità riguardano l aggiornamento del valore assoluto minimo del fondo di garanzia (già presente nelle vecchie direttive e inteso come 1/3 del margine di solvibilità minimo) che deve essere almeno 2 milioni di per il ramo vita e 3 milioni di per il ramo danni a prescindere dalla grandezza dell impresa. Sicuramente il punto di forza di Solvency I è costituito dalla sua semplicità di interpretazione e applicazione al prezzo di limiti non trascurabili: 1) non considera l insieme dei rischi a cui un impresa è esposta sia dal lato dell attivo che dal lato del passivo; 2) non tiene conto dei rischi specifici di ogni compagnia (a parità di premi e sinistri, la rischiosità di due imprese può essere diversa a causa di ulteriori fattori non adeguatamente considerati); 3) non incentiva le imprese a diversificare o trasferire il rischio tramite un oculata gestione; 4) nella valutazione di attività e passività non vengono considerate le fluttuazioni dei valori dovute alla volatilità dei mercati. 5) vengono utilizzati coefficienti approssimati per il calcolo dei requisiti di solvibilità. Anche per questi motivi, si è deciso di rivedere completamente il sistema così impostato per perseguire i seguenti obiettivi: riflettere al meglio i rischi assunti dalle imprese; incentivare le imprese a prendere consapevolezza dei propri rischi per gestirli al meglio; aumentare la flessibilità dei modelli utilizzati per reagire con tempestività agli sviluppi del mercato; aumentare la trasparenza verso i mercati e la confrontabilità tra imprese; consentire alla vigilanza di cogliere per tempo eventuali segnali di difficoltà; integrare il più possibile i modelli utilizzati con gli standard contabili internazionali IAS/IFRS; incrementare la protezione di assicurati e beneficiari dei contratti assicurativi. 5

Per raggiungere questi obiettivi, si è deciso di modificare la normativa sulla base di quella bancaria attualmente in vigore (Basilea II) seguendo l iter comunitario legislativo previsto per il settore finanziario: la procedura Lamfalussy. 1.2 La procedura Lamfalussy Prendendo atto del fatto che la crescita e la posizione competitiva dei mercati europei dei valori mobiliari sarebbero state ostacolate dalla vigente struttura normativa e legislativa, nel luglio del 2000 il Consiglio dei Ministri dell Economia e delle Finanze nominò un comitato di saggi, presieduto dal barone Alexandre Lamfalussy e incaricato di valutare le misure da adottare per far fronte a questo nuovo scenario. Il Comitato propose una serie di misure di riforma sulla base di un modello (che da allora è noto come procedura di Lamfalussy) articolato in quattro livelli, con l intento di semplificare e accelerare il processo legislativo comunitario nel settore dei servizi finanziari. La procedura fu approvata nel marzo del 2002 dal Consiglio Europeo solo per il settore dei valori mobiliari mentre fu estesa a tutto il settore finanziario dell Unione Europea (bancario, assicurativo e pensioni aziendali o professionali) nel dicembre del 2002. Il risultato di tale estensione nel campo assicurativo ha portato alla scomparsa del vecchio Insurance Commitee e la creazione di due nuovi comitati: l EIOPC (European Insurance and Occupational Pensions Committee) con competenze nel secondo livello della procedura ed il CEIOPS (Committe of European Insurance and Occupational Pensions Supervisors) per quanto riguarda il terzo livello. Nel settore bancario invece, sono stati introdotti, rispettivamente, l EBC (European Banking Commitee) ed il CEBS (Committe of European Banking Supervisors). Al primo livello (legislazione quadro) della procedura di Lamfalussy, su proposta della Commissione, il Parlamento Europeo ed il Consiglio approvano congiuntamente gli atti legislativi, direttive o regolamenti, secondo un processo di co-decisione. Come scritto da Hajek, gli atti legislativi adottati dovrebbero limitarsi a definire i principi generali e gli elementi essenziali della materia da disciplinare, delegando al livello successivo l adozione delle relativi misure di attuazione. Al livello 2 (misure attuative) vengono elaborate, con il sostegno dei comitati di esperti istituiti appositamente per questo fine (c.d. comitati di secondo livello), le disposizioni tecniche di esecuzione per rendere operativi i principi stabiliti al livello precedente. Nell ambito del terzo livello (cooperazione), le commissioni di esperti di terzo livello coordinano con le Autorità di vigilanza nazionali la trasposizione e applicazione coerente ed uniforme delle disposizioni scaturite dal primo e secondo livello all interno della legislazione 6

degli stati membri, sviluppando norme ed orientamenti in vista dell obiettivo di armonizzazione della pratica di vigilanza sul mercato europeo dei servizi finanziari. Nel quarto livello (controllo) la Commissione Europea verifica l effettiva conformità dei vari paesi alla legislazione comunitaria ed interviene, adottando vari tipi di provvedimenti, nel caso in cui ciò non si realizzi. Figura 1: i livelli del processo di Lamfalussy 7

Gli obiettivi dell approccio delineato nel rapporto Lamfalussy è duplice: da un lato, rendere più agevole ed efficiente il processo decisionale in materia di regolamentazione finanziaria; dall altro, realizzare un coinvolgimento degli agenti direttamente interessati, quali ad esempio gli intermediari. La prima finalità viene perseguita limitando il coordinamento tra Commissione, Consiglio e Parlamento europei alla definizione dei principi generali (livello I): questo evita che tali soggetti debbano raggiungere un consenso su tutti i dettagli tecnici della nuova regolamentazione. Al contrario, infatti, questo primo stadio si dovrebbe limitare alla definizione di un accordo politico, che delinei le linee guida della regolamentazione e i criteri che dovranno ispirare la formulazione dei dettagli della stessa, che invece è rimandata al livello II. La seconda finalità viene realizzata grazie alla previsione di un processo di consultazione degli agenti economici interessati alla nuova regolamentazione: di ciò si devono far carico i comitati di secondo livello nella fase di definizione dei dettagli tecnici. Tuttavia, con l utilizzo pratico del processo appena descritto, sono emerse alcune criticità: gli operatori di mercato hanno giudicato insufficiente il loro contributo all elaborazione dei regolamenti; i periodi di consultazione sono stati spesso definiti troppo brevi, ponendo così un accento eccessivo sull accelerazione del processo legislativo a discapito della qualità; si è osservato che è stato lasciato troppo margine di scelta fin dal primo livello della struttura, rendendo impossibile per i comitati di terzo livello imporre soluzioni omogenee, dato che le normative di livello 1 non possono essere modificate dal terzo livello; considerato l elevato dettaglio dei regolamenti, la distinzione tra gli ambiti di competenza di livello 1 e del livello 2 non è semplice, con la conseguenza che la legislazione quadro può contenere aspetti tecnici che in realtà rientrerebbero nel merito del livello 2. In seguito allo scoppio della crisi mondiale, sono emerse alcune lacune in materia di cooperazione, coordinamento, coerenza e fiducia tra le autorità nazionali di vigilanza. Pertanto nel 2008, il Presidente della Commissione Europea, Josè Manuel Barroso, istituì un gruppo indipendente di esperti guidato da Jacques de Larosière, che nel febbraio 2009 presentò un rapporto alla Commissione Europea con alcune raccomandazioni per rafforzare la sorveglianza sul sistema finanziario europeo. Le raccomandazioni del rapporto del gruppo de Larosière vennero accolte dagli organi comunitari e con alcuni Regolamenti UE nel 2010 furono introdotti due nuovi pilastri: 8

il Consiglio Europeo per il rischio sistemico (European Systemic Risk Board ESRB) che controlla e valuta i potenziali rischi per la stabilità finanziaria derivanti da sviluppi macroeconomici e del sistema finanziario nel suo insieme ( vigilanza macroprudenziale ); il Sistema Europeo delle Autorità di Vigilanza Finanziaria (European System of Financial Supervisors ESFS) composto da una robusta rete di autorità nazionali di vigilanza finanziaria e costituito per salvaguardare la solidità finanziaria delle singole imprese e proteggere gli utenti dei servizi finanziari ( vigilanza microprudenziale ). A sua volta, l ESFS è composto dai comitati di terzo livello che vengono rivisitati, dotati di responsabilità aggiuntive e trasformati in tre Autorità con personalità giuridica (EBA per le banche, EIOPA per le assicurazioni e i fondi pensione, ESMA per il mercato mobiliare) e dalle Autorità nazionali, alle quali viene confermata la responsabilità di vigilare sulle entità stabilite in ciascun Paese. Inoltre viene stabilito che le Autorità nazionali possono incidere sul processo decisionale europeo solo indirettamente, mediante il supporto tecnico che forniscono alle Autorità politiche in occasione delle riunioni dei Comitati di secondo livello secondo l approccio Lamfalussy. 1.3 Il progetto Solvency II Proprio mentre era in atto il percorso di approvazione delle normative relative a Solvency I, la Commissione Europea decise di dare inizio ad una serie di lavori finalizzati alla predisposizione di una nuova direttiva che rivedesse completamente l intero sistema di vigilanza prudenziale nel settore assicurativo: tale progetto prese il nome di Solvency II. Nel maggio del 2001 fu avviata la prima fase dei lavori con lo scopo di determinare la forma generale del sistema di solvibilità, dopo aver passato in rassegna i principali temi legati a questa problematica (Commissione Europea, MARKT/2535/02). Tale compito fu commissionato a quattro gruppi di lavoro composti da KPMG (società specializzata nella consulenza alle imprese e revisione di bilancio), da un team di esperti (c.d. London Working Group) costituiti dalla Conferenza delle autorità di vigilanza degli stati membri dell Unione Europea e da esperti nel ramo vita e nel ramo danni appartenenti a diversi stati membri. I lavori si conclusero nel 2002 con la presentazione delle relazioni sul lavoro effettuato dai due gruppi. In particolare le analisi effettuate da KPMG portarono alla principale conclusione che l approccio a tre pilastri, simile a quello adottato dal Comitato di Basilea, sarebbe stato adeguato anche per il progetto Solvency II: il primo pilastro avrebbe dovuto contenere le 9

norme prudenziali sulle riserve, le attività ed i fondi propri minimi richiesti nonché eventuali requisiti supplementari a livello di gruppo; il secondo avrebbe riguardato le norme di controllo interno, di gestione dei rischi ed il loro controllo da parte delle autorità di vigilanza prudenziale; il terzo avrebbe contenuto un insieme di norme (principalmente dedicate alla trasparenza) destinate a favorire al disciplina di mercato. L indagine svolta dal gruppo di lavoro delle Autorità di vigilanza fu più approfondita e portò alla stesura di una relazione denominata Sharma Report (dal nome del presidente del gruppo stesso Paul Sharma). La principale conclusione della relazione è che il sistema prudenziale deve comportare tutta una serie di strumenti regolamentari, preventivi o correttivi, che permettano di intervenire in tutte le fasi in cui un problema possa manifestarsi. In questa prospettiva, i requisiti patrimoniali sono soltanto uno dei necessari strumenti regolamentari [ ] ma che non basta da solo a costituire un sistema di vigilanza prudenziale. Per favorire l efficacia e la validità dei vari strumenti regolamentari, il gruppo di lavoro raccomanda una maggiore differenziazione e una più accurata parametrizzazione delle soglie d intervento in funzione delle caratteristiche finanziarie dell impresa (Di Fonzo, 2012). A tal proposito si è osservato come tra gli obiettivi del rapporto, le cornici di vigilanza dovrebbero includere requisiti prudenziali di capitale basati su approssimazioni semplificate in luogo di modellizzazioni complesse delle perdite prevedibili, così come una completa valutazione dei sistemi interni adottati per identificare, misurare, monitorare, registrare, controllare e mitigare tali esposizioni e che tuttavia, la formulazione e la calibrazione dei requisiti quantitativi dovrebbe al tempo stesso considerare opportuni incentivi per una gestione, una governance e un controllo dei rischi più efficienti (Miani, Dreassi, 2008). Il gruppo di lavoro non vita si è occupato del livello di armonizzazione delle riserve sinistri 4 e delle riserve di perequazione 5 in Europa. Il gruppo ha constatato che per quanto riguarda le riserve sinistri esisteva una grande diversità di pratiche in materia di accantonamento anche all interno di uno stesso mercato nazionale; inoltre i supervisori non disponevano di un comune insieme di dati per l analisi dei sinistri, e quindi sarebbe stato utile chiedere alle compagnie di fornire i dati statistici organizzati nella stessa forma in modo da renderli confrontabili. 4 La riserva sinistri è l accantonamento che l impresa autorizzata all esercizio dei rami danni deve effettuare a fine esercizio in previsione dei costi che essa dovrà sostenere in futuro in relazione ai sinistri avvenuti nell esercizio (riserva di esercizio), o in quelli precedenti (riserva di provenienza), ed in corso di liquidazione alla chiusura dell esercizio stesso. 5 Le riserve di perequazione comprendono tutte le somme accantonate, conformemente alle disposizioni di legge, allo scopo di contrastare le fluttuazioni del tasso dei sinistri negli anni futuri o di coprire rischi particolari. 10

La mancanza di armonizzazione è ancora più netta per quel che riguarda le riserve di perequazione: il gruppo ha osservato che questo tipo di riserve potrebbe essere aggiunto ai fondi propri nel calcolo del margine di solvibilità in modo da armonizzare maggiormente gli obblighi legati al margine di solvibilità. Il gruppo di lavoro vita ha avuto l incarico di studiare le norme per il calcolo delle riserve matematiche, le tecniche di Asset-Liability Management (ALM) delle imprese e la possibilità di utilizzarle ai fini regolamentari. Confrontando le caratteristiche dei differenti mercati, il team ha tentato di trovare interessi e soluzioni europee comuni. L attenzione si focalizzò su cinque grandi temi: i tassi di interesse garantiti, il rischio di mortalità legato alle rendite vitalizie, le clausole di partecipazione ai profitti (o profit-sharing), i prodotti unit-linked e le opzioni incluse in alcuni contratti. Per ciascuno di questi temi sono state avanzate proposte per migliorare la normativa europea, sia al livello dei principi (che si tratta prevalentemente di completare), che al livello, più tecnico, dei metodi di quantificazione. La relazione propone anche l introduzione di requisiti minimi in materia di Asset-Liability Management quale possibile base per parte dell attività delle autorità di vigilanza che dovranno essere armonizzate a livello europeo. Riassumendo il lavoro svolto dai diversi team, il progetto Solvency II avrebbe dovuto presentare le seguenti caratteristiche: struttura a tre pilastri analoga a Basilea II; valutazione della solvibilità a livello complessivo (di impresa e di sistema); risk-based approch che incentivi gli operatori a misurare, valutare e gestire i rischi; presenza di due requisiti di capitale: Solvency Capital Requirement (SCR) che rappresenta il requisito obiettivo ed è destinato alla copertura di perdite considerevoli, ed il Minimum Capital Requirement (MCR) cioè un requisito minimo di sicurezza al di sotto del quale dovrebbero scattare gli interventi delle Autorità di Vigilanza; armonizzazione dei metodi qualitativi e quantitativi; vigilanza più accurata. Al termine di questa fase conformemente alla procedura Lamfalussy, la Commissione Europea avviò la seconda fase necessaria per la definizione nel dettaglio del progetto e della redazione dell impianto normativo ad esso relativo; questo processo terminò nel 2007 con la prima proposta di Framework Directive che è stata presentata nel luglio del 2007 ma che è diventata operativa, dopo l approvazione del Consiglio e del Parlamento Europeo, solo nell aprile del 2009. In seguito, è stata pubblicata sulla Gazzetta Ufficiale dell Unione 11

Europea nel dicembre del 2009 (Direttiva 2009/138/CE in materia di accesso ed esercizio delle attività di assicurazione e di riassicurazione). Dopo aver consultato l EIOPC, nel marzo del 2004 la Commissione Europea richiese al CEIOPS, in qualità di comitato competente di terzo livello per il settore assicurativo, a fornire consulenza tecnica e supporto per la predisposizione del nuovo sistema di vigilanza, attraverso specifiche richieste di pareri che investivano questioni riconducibili a tutti e tre i pilastri. Per adempiere a questo compito, il CEIOPS istituì cinque gruppi di esperti: due si sono occupati di rispondere alle richieste riguardanti il primo pilastro (uno per il ramo vita e uno per il ramo danni), uno si è occupato del lavoro per la predisposizione del secondo pilastro e uno per quello del terzo; infine all ultimo gruppo venne chiesto di analizzare le possibili implicazioni per la vigilanza dei gruppi assicurativi e dei conglomerati finanziari. I gruppi di lavoro hanno stabilito i principi che dovevano essere contenuti all interno della direttiva (tramite la redazione di svariati Consultation Papers) ed elaborato alcuni studi, noti come QIS (Quantitative Impact Study), sul possibile impatto della nuova direttiva sugli operatori e sul mercato in generale, basati sull analisi di dati raccolti tramite questionari compilati dagli assicuratori su base volontaria. Una volta definita la direttiva quadro, sono state studiate alcune misure di implementazione della stessa, che poi sono state inserite all interno della direttiva al momento della definitiva pubblicazione. Al termine di questa fase, il CEIOPS ha cominciato a lavorare su quelle che saranno le regole di III livello, cioè sugli standard di vigilanza per il conseguimento della convergenza internazionale tra le Autorità dei singoli stati membri. Inizialmente prevista per il 31 ottobre 2012, l entrata in vigore di Solvency II è stata spostata al 1 gennaio 2013 dalla proposta di direttiva del 19 gennaio 2011 c.d Omnibus II della Commissione Europea. La proposta ha inoltre l obiettivo di coordinare la legislazione comunitaria del settore finanziario con il nuovo assetto delle procedure e dei soggetti di regolamentazione e vigilanza istituiti a livello comunitario: in particolare, in campo assicurativo essa mira ad apportare le modifiche necessarie a raccordare Solvency II con i poteri dell EIOPA. Sotto il profilo istituzionale, le innovazioni concernono in particolare i poteri della Commissione, passata dalla competenza all adozione di misure di attuazione a quella di atti delegati e attuazione di standard tecnici. Omnibus II attribuisce alla Commissione il potere di adottare misure transitorie finalizzate a differire nel tempo fino a 10 anni l efficacia di alcune previsioni di Solvency II, quali quelle 12

in tema di valutazione di attività e passività, riserve tecniche 6, governance: naturalmente, una tale scelta è suscettibile di produrre sensibili ripercussioni sulla piena effettività della nuova regolamentazione. Il cosiddetto trilogo (Parlamento, Consiglio e Commissione Europea) avrebbe dovuto approvare congiuntamente la proposta di direttiva, ma a causa della complessità della riforma e per alcuni dubbi sorti sull aumento della volatilità dei bilanci delle assicurazioni sotto Solvency II, con la Direttiva 2012/23/EU si è posticipato l introduzione di Solvency II al 1 gennaio 2014. Contemporaneamente, si è deciso di effettuare un ulteriore studio di impatto (LTGA Long-Term Guarantees Assessment) necessario per l approvazione della direttiva. L LTGA è stato condotto dall EIOPA tra il 28 gennaio 2013 ed il 31 marzo 2013; i risultati sono stati pubblicati a giugno 2013 e saranno utilizzati per un completamento della proposta Omnibus II; tuttavia, una volta raggiunto l accordo, cominceranno i lavori per implementare le misure di Livello 2 e stabilire le regole di terzo livello che con molta probabilità termineranno ben oltre il 1 gennaio 2014, causando un ulteriore slittamento della entrata in vigore della direttiva. 1.4 Da Basilea 0 a Basilea 3 La necessità di introdurre una qualche soglia minima patrimoniale agli istituti bancari è nata con il fallimento della banca tedesca Bankhaus Herstatt avvenuto il 26 giugno 1974: si trattava di una banca di dimensioni medie che aveva interessi anche negli USA. In quella data venne avviata la procedura di liquidazione dalle autorità dell allora Repubblica Federale Tedesca poiché la banca era coinvolta in operazioni poco trasparenti. Questa decisione innescò una reazione a catena dal momento che un buon numero di banche americane aveva già effettuato pagamenti in marchi (DEM) a favore della banca tedesca in cambio di dollari (USD); poiché i mercati americani erano ancora chiusi a causa del diverso fuso orario, la Bankhaus Herstatt non riuscì ad adempiere ai suoi obblighi. 6 La natura dell attività svolta dall assicuratore fa sì che egli per effetto della stipula del contratto percepisca immediatamente il premio, mentre l (eventuale) indennizzo che dovrà essere pagato attingendo anche al premio incassato è futuro ed incerto. Perciò se alla chiusura del primo esercizio successivo alla stipula del contratto il sinistro non si è verificato, il premio incassato dall assicuratore non rappresenta un ricavo perché parte di esso deve essere destinato a coprire il rischio che l assicuratore correrà negli anni successivi, fino alla scadenza pattuita nel contratto. Per colmare questo scarto tra il flusso finanziario (i premi incassati) e la manifestazione economica di esso (i ricavi residui dopo la detrazione degli indennizzi), l assicuratore deve accantonare, per ogni esercizio, quella parte del premio incassato che è destinato a coprire i rischi ancora in corso. Questi accantonamenti prendono il nome di riserve tecniche. 13

In seguito al fallimento della Bankhaus Herstatt e di altre piccole banche americane ed europee, i governatori dei paese appartenenti al G-10 (Belgio, Canada, Francia, Germania, Italia, Giappone, Olanda, Regno Unito, Svezia, Svizzera, USA) più il Lussemburgo e la Spagna, costituirono il Comitato di Basilea sotto gli auspici della Bank for International Settlements (BIS). Gli obiettivi del Comitato di Basilea sono: promuovere la cooperazione internazionale in materia di vigilanza prudenziale; stabilire degli standard minimi in materia di vigilanza prudenziale; rafforzare la sicurezza e l affidabilità del sistema finanziario. Il Comitato opera tramite linee guida, standard, raccomandazioni, accordi che non sono formalmente vincolanti, anche se i paesi che vi aderiscono sono implicitamente obbligati a recepire, pur con modalità differente da nazione a nazione, gli accordi raggiunti. Con il passare degli anni, gli Accordi di Basilea sono diventati uno standard regolamentare anche per molti paesi non rappresentati all interno del Comitato. La prima richiesta di detenere un requisito patrimoniale minimo a fronte dei rischi presenti nella attività detenute dagli istituti bancari apparve nel 1988 con il c.d. Accordo di Basilea I. In estrema sintesi, venne stabilito che ciascuna esposizione doveva essere coperta dal capitale di vigilanza : in pratica le Autorità stabilirono che il capitale detenuto fosse pari all 8% degli attivi ponderati per determinati coefficienti fissati a priori. Se da un lato questo accordo riveste un importanza storica poiché per la prima volta si decise fissare un tetto alle possibilità di investimento, dall altro sono presenti diversi limiti: non si tiene conto della durata dell investimento; la formula utilizzata è troppo statica e non tiene conto delle fasi congiunturali; non viene preso in considerazione il merito creditizio della controparte; non si tiene conto della qualità del portafoglio delle banche. A causa di queste limitazioni ed in seguito all aggiramento della normativa da parte di alcune banche, nel 2004 fu firmato il Nuovo Accordo sui requisiti minimi di capitale firmato a Basilea meglio noto come Basilea II. Il testo è stato recepito dagli ordinamenti nazionali ed è entrato in vigore nel 2007 (in Italia tramite la Circolare 263 del 2006) apportando sostanziali cambiamenti rispetto alla precedente normativa; l accordo si basa principalmente su 3 pilastri: regole per la determinazione dell adeguatezza patrimoniale; linee guida per l attività di supervisione sull adeguatezza del capitale da parte degli organi di controllo; 14

disciplina di mercato che obbliga a rispettare determinati requisiti di trasparenza sulle informazioni trasmesse all esterno. Nelle indicazioni contenute nel primo pilastro è previsto che il capitale di vigilanza debba coprire le perdite inattese dovute principalmente a tre rischi: rischio di credito, rischio di mercato e rischio operativo, che ne rappresenta la maggiore novità e che viene inteso come rischio di perdite dirette o indirette dovuto all inadeguatezza o alla disfunzione di procedure, risorse umani, sistemi interni o di origine esterna; la formula per la determinazione del patrimonio di vigilanza viene così ampliata e rivista: Patrimonio di vigilanza RWA Rc + RWA Rm + RWA Ro 8% dove - Rc = rischio di credito - Rm = rischio di mercato - Ro = rischio operativo - RWA = Risk Weight Amount (fattori di ponderazione). Vengono inoltre introdotte nuove metodologie di calcolo relative a ciascun tipo di rischio e la possibilità di utilizzare modelli interni (più precisi rispetto alla formula standard stabilita dall Autorità) per determinare l ammontare minimo di patrimonio da detenere. Il secondo Pilastro richiede che le banche istituiscano un processo per stimare la propria adeguatezza di capitale in relazione al proprio profilo di rischio ed effettuino dei controlli costanti atti a verificare il rispetto del requisito dei capitale minimo. Il terzo Pilastro riguarda l informativa che deve essere trasparente e completa e deve consentire ai partecipanti al mercato di effettuare stime sul profilo di rischio della banca ed il suo livello di patrimonializzazione. In seguito allo scoppio della crisi finanziaria del 2007-08, il Comitato di Basilea ha approvato una serie di provvedimenti con l intento di perfezionare la preesistente regolamentazione prudenziale del settore bancario, l efficacia dell azione di vigilanza e la capacità degli intermediari di gestire i rischi che assumono. Tali provvedimenti mirano a: migliorare la capacità del settore bancario di assorbire shock derivanti da tensioni economiche e finanziarie, indipendentemente dalla loro origine; migliorare la gestione del rischio e la governance; 15

rafforzare la trasparenza e l informativa delle banche. Le regole di Basilea III sono state recepite negli ordinamenti nazionali di alcuni paesi (tra i quali Svizzera, Canada, Australia) mentre per i paesi dell Unione Europea è in atto l iter legislativo comunitario; ad oggi sono stati presentati due distinti atti legislativi: il Regolamento UE N. 575/2013 relativo ai requisiti prudenziali per gli enti creditizi e le imprese di investimento e che trova immediata applicazione nella banche e imprese di investimento che operano nel Mercato Unico; la Direttiva 2013/36/UE che necessiterà del consueto processo di recepimento negli ordinamenti nazionali e che contiene disposizioni in materia di autorizzazione all esercizio dell attività bancaria, libera prestazione di servizi, ambito di applicazione dei requisiti, metodologie per la determinazione dei buffer di capitale. 1.5 Revisione critica sui percorsi legislativi di Solvency e Basilea Al momento della stesura di questo elaborato, non è stata ancora definita una data di introduzione dei due accordi all interno dei paesi dell Unione Europea. Questi ritardi sono presumibilmente dovuti a situazioni diverse che sono presenti nei due settori. La normativa del settore bancario attualmente in vigore è senza ombra di dubbio più evoluta rispetto a quella del settore assicurativo. Tuttavia, come si vedrà in seguito, il passaggio da Basilea II a Basilea III richiederà un aumento della qualità del capitale. Questo passaggio risulta molto difficile per alcuni istituti bancari che dovranno procedere a cospicui aumenti di capitale. L aumento di capitale è l operazione di finanziamento più costosa per un azienda (dati storici registrano una diminuzione del prezzo delle azioni in prossimità degli aumenti di capitale) e in un periodo di crisi finanziaria lo è ancora di più. Pertanto una possibile spiegazione al ritardo nell applicazione di Basilea III potrebbe riguardare la presenza di alcuni gruppi bancari che ostacolano il processo di recepimento della normativa in attesa di momenti finanziariamente migliore per procedere ad una ricapitalizzazione. Nel settore assicurativo la situazione è differente: il progetto Solvency II è partito nel 2001 e dopo più di dieci anni di lavori non se ne intravede la fine. In questo caso molti gruppi assicurativi si stanno adeguando alla nuova normativa ma il passaggio da Solvency I a Solvency II è tutt altro che facile. La nuova normativa infatti risulta molto più complessa e vasta rispetto alla precedente; l introduzione di modelli standard ed interni per la misurazione del rischio costituiscono una novità nel mondo assicurativo così come il calcolo e la produzione di dati di input per tali modelli. La dimostrazione di tale affermazione risiede nella bassa partecipazione che si è ottenuta nel primo QIS nel 2005 a causa della complessità dei 16

calcoli richiesti e della mancanza da parte delle aziende di strumenti e informazioni utili per questi calcoli. A supporto di questa tesi si può prendere come esempio il passaggio da Basilea I a Basilea II che ricorda molto la situazione attuale all interno del mondo assicurativo: ci sono voluti sedici anni per passare ad una normativa di livello superiore. Sarebbe invece sbagliato pensare che il settore assicurativo non abbia (o ne abbia meno) bisogno di regolamentazione nella gestione dei rischi poiché meno esposti ai rischi finanziari: si pensi ad esempio al caso AIG (salvata dal governo americano) o ING Group (aiutata fortemente dal governo olandese). 17

2 SOLVENCY II ED IL PRIMO PILASTRO 2.1 La Direttiva 2009/138/CE La Direttiva è un corpo di principi esteso: 142 punti di premessa, 312 articoli, 6 allegati che integrano e razionalizzano 13 direttive (vita, danni, gruppi riassicurativi, riassicurazione) a esclusione delle direttive auto, conti annuali e fondi pensione. Come già anticipato, all interno di Solvency II sono individuabili tre pilastri per sintetizzare i blocchi portanti della disciplina. Figura 2: i tre pilastri che compongono Solvency II Il primo pilastro, cui sono dedicati gli articoli da 73 a 132 della direttiva, concerne il calcolo dei requisiti quantitativi e comprende disposizioni relative a : i criteri di valutazione delle attività e passività; 18

la determinazione dei fondi propri e i criteri per la loro ammissibilità ai fini della copertura dei requisiti patrimoniali; il calcolo del Solvency Capital Requirement (SCR) con particolare riguardo alla struttura della formula standard e alle condizioni per l utilizzo dei modelli interni; il calcolo del Minimum Capital Requirement (MCR); gli investimenti a coperture delle riserve tecniche e del SCR; il calcolo dei requisiti patrimoniali per i gruppi di impresa. Sul fronte della valutazione delle attività e passività, il principio è quello della valutazione economica, coerente con i valori espressi direttamente o indirettamente dal mercato. Il CEIOPS ha sviluppato, per le principali categorie di attività e passività, apposite indicazioni sulle più opportune modalità di valutazione, in alcuni casi recependo i principi IFRS, in altri distanziandosene e proponendo correzioni al fine di rendere la valutazione della posta più aderente ad una valutazione di tipo economico. Figura 3: le componenti all interno di Solvency II In particolare, l art. 75 della direttiva richiede che le imprese di assicurazione e di riassicurazione valutino le attività e passività all importo al quale potrebbero essere scambiate, traferite o regolate tra parti consapevoli e consenzienti in un operazione svolta alle normali condizioni di mercato ( in an arm s lenght transaction ) senza prevedere alcun aggiustamento delle passività per tener conto del merito creditizio proprio dell impresa. Viene 19

quindi introdotta una valutazione market consistent sia degli attivi che dei passivi, diversamente da quanto avviene oggi, per esempio, per il bilancio local 7 : se il contratto è (effettivamente) scambiabile su un mercato efficiente, il suo valore market consistent è dato ovviamente dalla quotazione; dove ciò non è possibile (per dare valore ai contratti finanziari scambiati over the counter 8 e ai flussi di cassa generati dalle polizze), è necessario utilizzare una valutazione mark to model 9, capace di trattare, in modo adeguato ai principi dell economia finanziaria, incertezza e probabilità utilizzando input osservabili e sottoponendo il modello a revisione periodica. Per quanto riguarda le riserve tecniche, l art. 76 prevede che il valore delle riserve tecniche deve corrispondere all importo attuale che le imprese di assicurazione e di riassicurazione dovrebbero pagare se dovessero trasferire immediatamente le loro obbligazioni di assicurazione e di riassicurazione ad un altra impresa di assicurazione e riassicurazione. Il computo di tale importo deve essere svolto in modo prudente, affidabile e obiettivo sulla base delle informazioni fornite dai mercati finanziari e dei dati generalmente disponibili sui rischi di sottoscrizione, secondo un principio di coerenza con il mercato (in linea con gli standard contabili internazionali). L articolo successivo (art. 77) prevede che le riserve tecniche vengano determinate (art. 77) come somma tra best estimate (migliore stima) e risk margin (margine di rischio): il primo elemento corrisponde alla media dei flussi di cassa futuri (valore attuale atteso) ponderata con la probabilità sulla base della pertinente struttura per scadenza dei tassi di interesse privi di rischio, al lordo degli importi recuperabili dai contratti di riassicurazione che vengono calcolati separatamente; il calcolo è basato su informazioni aggiornate e su ipotesi realistiche utilizzando metodi attuariali e statistiche adeguati, applicabili e pertinenti. Il risk margin viene calcolato con il criterio del Cost of Capital, ossia in base al costo del capitale necessario per far fronte agli impegni nei confronti degli assicurati sino a scadenza. La valutazione di risk margin e best estimate viene effettuata separatamente dalle imprese di assicurazione a meno che i flussi di cassa futuri connessi con le obbligazioni di assicurazione e riassicurazione possano essere riprodotti in modo affidabile utilizzando strumenti finanziari per il quale sia osservabile un valore di mercato affidabile. 7 Per bilancio local di intende la redazione di un bilancio secondo i principi contabili in vigore nel paese in cui l ente pone la propria sede legale (in Italia ad esempio si seguono le regole presenti nel codice civile). 8 I mercati over the counter (OTC) sono caratterizzati dal non avere i requisiti riconosciuti ai mercati regolamentati. Sono mercati la cui negoziazione si svolge al di fuori dei circuiti borsistici ufficiali. 9 La valutazione mark to model si riferisce alla pratica utilizzata per la determinazione del prezzo di posizioni presenti nel portafoglio tramite l utilizzo di modelli finanziari, in contrasto con la determinazione del prezzo da parte del mercato. 20

In particolare, nell approccio del Costo del Capitale, il risk margin è interpretato come il margine di cautela che remunera il costo dell incertezza insista nella valutazione delle passività; a tal proposito, l EIOPA è abbastanza precisa nel dettagliare i passaggi del calcolo del risk margin: per ogni ramo di attività calcolare l SCR al tempo t = 0 e per ogni anno successivo della vita dei contratti in essere; la best estimate viene calcolata come media ponderata per la probabilità dei Cash Flow futuri; moltiplicare ciascun SCR futuro per un fattore di Costo del Capitale per ottenere gli oneri per sostenere gli SCR futuri; scontare ciascun importo calcolato al passo precedente per la curva di tasso risk-free; la somma di tali importi rappresenta il risk margin al tempo t = 0. Non esistendo un mercato delle polizze assicurative è necessario quindi dotarsi di riferimenti tali per cui la determinazione del valore delle riserve tecniche non risulti arbitrario o incoerente. A tal punto l EIOPA enuncia i seguenti punti: le riserve tecniche: saranno classificate in base alle nuove Lines of Business 10 ; dovranno tener conto di tutti i flussi di cassa futuri generati dai contratti; dovranno essere valutate al netto della riassicurazione; necessitano della valutazione di tutte le opzioni e garanzie; richiedono, per la stima del risk margin, la proiezione dei requisiti di capitale fino a scadenza delle obbligazioni; dovranno essere calcolate sulla base di informazioni credibili e assunzioni realistiche. Per quanto concerne i fondi propri e la loro ammissibilità per la copertura dei requisiti patrimoniali, la direttiva prevede una classificazione articolata su tre livelli ( tiers ), sulla base di alcune caratteristiche fondamentali possedute dai vari elementi del patrimonio: il grado di subordinazione rispetto ai diritti degli assicurati, la capacità di assorbire le perdite in caso di liquidazione dell impresa, il grado di disponibilità, la perpetuità o la durata protratta, l assenza di costi e di obblighi di rimborso. 10 Line of Business (LoB) è un termine generico che si riferisce ad un insieme di uno o più prodotti correlati che soddisfano un particolare business. In alcuni settori, come le assicurazioni, line of business ha anche una definizione normativa e contabile ed indica una tipologia di contratti facenti parte di un insieme stabilito dalla legge (ad esempio contratti pensionistici, polizze vita ecc.). 21

La parte principale del primo pilastro riguarda l introduzione di due livelli per i requisiti di capitale, calcolati valutando attività e passività ai valori di mercato: SCR (Solvency Capital Requirement), costruito in modo tale da consentire all impresa di assicurazione di poter assorbire anche significative perdite inattese e fornire così una ragionevole sicurezza agli assicurati. Si può considerare come Value at risk (VAR) dei fondi propri dell impresa con riferimento a un livello di confidenza del 99.5 per cento e a un orizzonte temporale di un anno. Detto in altro modo, se l impresa dispone di fondi propri di importo uguale all SCR, avendo fissato il livello di probabilità al 99.5% e l orizzonte di controllo uguale ad un anno, si può dire che l evento rovina è garantito probabilisticamente non si verifichi più di una volta su 200 casi, ovvero che l impresa sarà ancora in grado, con una probabilità del 99.5%, di onorare i suoi obblighi nei confronti dei contraenti e beneficiari nei dodici mesi successivi. L SCR dovrà coprire la perdita inattesa e deve tener conto di tutti i rischi quantificabili cui l impresa è esposta. Il Solvency Capital Requirement può essere calcolato tramite la formula standard, definita dalla normativa e comune a livello europeo, o tramite un modello interno adottato dalle singole imprese che meglio si adatta al profilo di rischio di ciascuna di esse. MCR (Minimum Capital Requirement), che costituisce un ulteriore misura derivata dal SCR e rappresenta la soglia patrimoniale minima al di sotto della quale il livello di rischio diviene inaccettabile per gli assicurati, tale da rendere necessari gli interventi di vigilanza più incisivi. La Direttiva prevede che esso sia calcolato in modo chiaro, verificabile e semplice; che sia calibrato al Value at Risk dei fondi propri dell impresa con riferimento ad un livello di confidenza dell 85% su un arco di tempo annuale; che abbia una soglia minima pari a 2.2 milioni di per l assicurazione non vita e a 3.2 milioni di per l assicurazione vita. Al secondo pilastro di Solvency II sono dedicati gli articoli dal 27 al 49 della direttiva: esso comprende i requisiti di tipo qualitativo e l attività di vigilanza ed è costituito, da un lato, da norme che concernono la governance, il risk management ed il controllo interno dell impresa e, dall altro, dalla disciplina delle attività, degli strumenti e dei poteri della vigilanza. Con riferimento al primo aspetto, è da sottolineare la richiesta secondo cui l impresa, nell ambito del proprio sistema di risk management, effettui regolarmente una propria valutazione dei rischi e della posizione di solvibilità (nella terminologia del legislatore comunitario: Own Risk and Solvency Assessment ORSA ). Per quanto riguarda il secondo aspetto, invece, vengono definiti i poteri, riconosciuti ai supervisors, di imporre alle imprese requisiti 22

patrimoniali aggiuntivi rispetto a quelli determinati con la formula standard o modello interno; inoltre vengono descritti i nuovi principi alla base del sistema di vigilanza, secondo una nuova ottica di tipo principle based, che si discosta da quella rule based che contraddistingueva le precedenti normative: questo processo di revisione, già affrontato nel secondo pilastro di Basilea II, è noto come Supervisory review process. In questo modo la vigilanza non deve più verificare il rispetto di regole dettagliate ma deve valutare se l impresa, ed il board in particolare, possiedono gli strumenti adatti per gestire i rischi, allocare le responsabilità ed assumere decisioni. La distinzione tecnica tra primo e secondo pilastro potrebbe condurre a fraintendimento in merito ad una separazione di pertinenze e di intenti nel trattamento dei rischi; in realtà primo e secondo pilastro rappresentano visuali differenti di un unico complesso in cui la rilevazione quantitativa assume il senso di un protocollo standard in virtù del quale il giudizio qualitativo e l intervento preventivo ancorché peculiari della singola compagine aziendale poggiano su una base di oggettivo e rigoroso confronto con le dinamiche e gli attori di mercato (Hajek, 2011). Il terzo pilastro (al quale sono dedicati gli articoli 35 e dal 50 al 55 della direttiva) regolamenta l informativa e la disciplina di mercato; oltre ad una serie di disposizioni relative ai contenuti e alle modalità dell informativa da consegnare alla vigilanza, esso prevede obblighi informativi nei confronti del mercato, che toccheranno aspetti quali la governance, il risk management, la posizione di solvibilità e l eventuale mancato rispetto dei requisiti patrimoniali. Queste informazioni servono a rinforzare i meccanismi di mercato (concorrenza, comparazione, ecc.) ed a contribuire a creare un sistema di controllo basato sul profilo di rischio delle compagnie. Oltre ai tre pilastri, la direttiva prevede l emanazione di dettagliate misure di attuazione ( implementing measures ) elaborate dall EIOPA, destinate a definire le specifiche tecnico operative del sistema. Il testo presentato dalla Commissione Europea è accompagnato, in coerenza con i principi di better regulation (strategia di semplificazione amministrativa adottata dalla Commissione Europea per ridurre gli oneri amministrativi a carico delle imprese accompagnata dallo studio della valutazione di impatto delle nuove proposte in termini di costi amministrativi), da una valutazione dell impatto ( Impact Assessment ) che le nuove regole avranno su imprese di assicurazione, Autorità di Vigilanza, prodotti e mercati assicurativi, consumatori e piccole e medie imprese. 23

2.2 Fondi propri I fondi propri ammissibili per la copertura dei requisiti patrimoniali sono normati dalla Sezione 3 della direttiva (artt. 87 e successivi); essi sono costituiti dalla somma dei fondi propri di base di cui all art. 88 e dei fondi propri accessori di cui all art. 89. I fondi propri di base sono costituiti dai seguenti elementi: l eccedenza delle attività rispetto alle passività valutata secondo una logica market consistant al netto delle azioni proprie detenute dall impresa di assicurazione le passività subordinate Come detto in precedenza, gli elementi dei fondi propri sono classificati in 3 livelli in base al fatto che si tratti di elementi dei fondi propri di base o accessori e al grado di conformità a specifiche prerogative relative ai seguenti aspetti: subordinazione; capacità di assorbimento delle perdite; durata; esenzione da requisiti o incentivi al riscatto; esenzione da addebiti fissi obbligatori; assenza di vincoli. 2.2.1 Fondi propri: Livello 1 Nel livello 1 rientrano i fondi propri di base che soddisfano le seguenti caratteristiche: le azioni ordinarie versate e richiamate; il fondo iniziale o gli elementi equivalenti dei fondi propri di base per le mutue e le imprese a forma mutualistica, meno gli elementi della stessa tipologia detenuti dall impresa; il conto sovrapprezzo azioni; le riserve, quali: - gli utili non distribuiti, comprensivi dell utile di esercizio e al netto dei dividendi previsti; - le altre riserve, - una riserva di riconciliazione finalizzata a catturare l effetto generato dalla differente valutazione effettuata secondo i principi del bilancio di esercizio rispetto alla valutazione basata sulle regole Solvency 2; 24

le riserve di utili nella misura in cui soddisfino i criteri di capacità di assorbire interamente le perdite, nella prospettiva di continuità aziendale, nonché in caso di liquidazione; l utile atteso incluso nei premi futuri; altri strumenti di capitale versato, tra cui: - le azioni privilegiate; - le passività subordinate; - gli altri strumenti subordinati. L importo totale degli elementi sopra indicati deve essere ridotto attraverso aggiustamenti in considerazione dei seguenti elementi: i fondi propri in eccesso sugli importi utilizzati per coprire i rischi di pertinenza nel caso di riserve vincolate; le partecipazioni che l impresa detiene in istituzioni finanziarie e creditizie; l eccedenza dei fondi propri sull SCR nominale dei fondi separati; le attività fiscali differite nette (cioè max (0; DTA DTL) con DTA attività fiscali differite e DTL passività fiscali differite). In particolare le partecipazioni vengono dedotte dai fondi propri di base nel Livello 2 ed escluse dai fondi propri di Livello 1 attraverso la deduzione dell importo che rappresenta il valore della partecipazione. Tutti questi elementi sono ammessi a costituire fondi di primo livello purché siano soddisfatte determinate condizioni, tra le quali: l elemento detiene il massimo livello di subordinazione; l elemento è interamente versato ed è immediatamente disponibile per l assorbimento delle perdite; l elemento ha durata illimitata o ha una durata originale di almeno 10 anni; l elemento è solo rimborsabile o riscattabile su iniziativa dell impresa di assicurazione, previa autorizzazione da parte dell autorità di vigilanza e non deve includere alcun incentivo per il rimborso o il riscatto; l elemento deve essere libero da qualsiasi vincolo e non deve essere collegato a qualsiasi altra operazione che potrebbe compromettere le caratteristiche dell elemento stesso (ad esempio: diritti di compensazione, garanzie ecc.). 25

2.2.2 Fondi propri: Livello 2 I seguenti elementi dei fondi propri di base, non inclusi nel Livello 1, rientrano nel Livello2, a condizione che siano soddisfatti i criteri di classificazione qui definiti: le azioni ordinarie richiamate; i fondi propri in eccesso sugli importi utilizzati per coprire i rischi di pertinenza nel caso di riserve vincolate; gli altri strumenti di capitale: - altri strumenti di capitale richiamati che assorbono per primi le perdite o che presentano un livello pari a quello di strumenti di capitale che assorbono per primi le perdite; - altri strumenti di capitale versati, comprese le azioni privilegiate, le passività subordinate e gli altri strumenti subordinati che non hanno le caratteristiche per essere collocati nel Livello 1 ma che soddisfano i criteri di classificazione richiesti dal Livello 2. Questi elementi sono ammessi a costituire fondi di secondo livello purché siano soddisfatte alcune condizioni, tra cui: l elemento dovrebbe avere un rango inferiore alle obbligazioni verso tutti i contraenti, i beneficiari e verso gli altri creditori non subordinati; l elemento ha durata illimitata o una durata originale di almeno 5 anni; l elemento è solo rimborsabile o riscattabile su iniziative dell impresa di assicurazione, previa autorizzazione da parte dell autorità di vigilanza e può includere moderati incentivi per il rimborso o per il riscatto; l elemento deve essere libero da qualsiasi vincolo e non deve essere collegato a qualsiasi altra operazione che possa compromettere le caratteristiche dell elemento stesso. 2.2.3 Fondi propri: Livello 3 I seguenti elementi dei fondi propri di base, che non rientrano nei Livelli 1 e 2, rientrano nel Livello 3, a condizione che siano soddisfatti i criteri di classificazione di seguito indicati: le attività fiscali differite nette; gli altri strumenti di capitale quali ad esempio le azioni privilegiate e le passività subordinate. Tali elementi sono ammessi a costituire fondi di terzo livello a patto che: 26

l elemento dovrebbe avere un rango inferiore alle obbligazioni verso tutti i contraenti, i beneficiari e verso gli altri creditori non subordinati; l elemento ha durata illimitata o una durata originale di almeno 3 anni; l elemento deve essere libero da qualsiasi vincolo e non deve essere collegato a qualsiasi altra operazione che possa compromettere la classificazione dello strumento come elemento dei fondi propri di base. I fondi propri accessori sono elementi del capitale diversi da quello dei fondi propri di base che possono essere richiamati per assorbire le perdite. Essi possono comprendere i seguenti elementi nella misura in cui non siano elementi dei fondi propri di base: le azioni ordinarie non versate o quote del fondo iniziale che non sono state richiamate; le lettere di credito o garanzie; ogni altro impegno giuridicamente vincolante ricevuto da imprese di assicurazione o riassicurazione. Se qualsiasi altro elemento è attualmente ammissibile per soddisfare i requisiti di solvibilità e potrebbe rientrare nei fondi propri accessori secondo Solvency 2, allora può anche essere classificato come fondi propri accessori nel Livello 2 a condizione che costituisca un elemento dei fondi propri che, se richiamato e versato, sarebbe classificato nel Livello 1. In caso contrario, l elemento dovrebbe essere classificato nei fondi propri accessori del Livello 3. 2.2.4 Limiti di ammissibilità dei fondi propri I criteri per soddisfare i requisiti patrimoniali di solvibilità sono: la quota degli elementi del Livello 1 deve essere almeno il 50% dell SCR; l ammontare degli elementi del Livello 3 deve essere inferiore al 15% dell SCR. Per soddisfare il requisito patrimoniale minimo (MCR) sono ammissibili solo: gli elementi del Livello 1; gli elementi dei fondi propri di base del Livello 2. Almeno l 80% dell MCR dovrebbe essere composto da elementi del Livello 1; gli elementi dei fondi propri di base del Livello 3 e dei fondi propri accessori non sono ammissibili per la copertura del requisito patrimoniale minimo. Un impresa di assicurazione o riassicurazione può includere in un livello inferiore di fondi propri un elemento che sarebbe stato ammissibile a essere incluso in un livello superiore di 27

fondi propri che superava i limiti del livello superiore. Quando un elemento dei fondi propri è incluso in un livello di fondi propri non può allo stesso tempo essere incluso in un altro livello. 2.3 Il calcolo dell SCR: modello standard La sezione 4 della direttiva (art. 100 e seguenti) è dedicata al calcolo dell SCR che può essere effettuato secondo la formula standard proposta dalla normativa o tramite modelli interni elaborati dalle singole imprese assicurative. Le soluzioni di calcolo ammissibili si differenziano per come viene trattata l incertezza: nella formula standard è l Autorità che definisce il processo di calcolo (fornendo lo schema degli algoritmi), tratta l incertezza formulando le sue opinioni sul futuro dei risk driver e delle loro interrelazioni, e le modifiche nel valore dei parametri i key parameters da dare in input agli algoritmi di calcolo dell SCR. Con il modello interno è l impresa che ha tutta la responsabilità su tecniche di valutazione, processi algoritmici, distribuzioni di probabilità e correlazioni. Esistono anche versioni miste (ad esempio formula standard con modello interno parziale o con parametri specifici) per rispettare il principio di proporzionalità, per cui i metodi di calcolo vanno trascelti con l obiettivo di perseguire una valutazione (market-consistant) adeguata alla natura, alla rilevanza e alla complessità dei rischi da controllare. L SCR deve essere calcolato in base al presupposto della continuità aziendale e deve essere calibrato in modo da garantire che siano presi in considerazione tutti i rischi quantificabili cui è esposta un impresa di assicurazione e riassicurazione; in particolare il requisito patrimoniale di solvibilità deve coprire quanto meno i seguenti rischi: il rischio di sottoscrizione per l assicurazione non vita; il rischio di sottoscrizione per l assicurazione vita; il rischio di sottoscrizione per l assicurazione malattia; il rischio di mercato; il rischio di credito; il rischio operativo. Il processo di calcolo è formalizzato in vari step e organizzato per livelli di aggregazione; procede dal basso (con il calcolo degli SCR relativi ai rischi elementari) verso l alto (aggregando per macro-tipologia di rischio), sino all SCR di impresa ed eventualmente di gruppo. La seguente figura illustra i vari moduli di calcolo che concorrono alla valutazione dell SCR: 28

SCR Adj BSCR Op Market Health Default Life Non-Life Intang Interest rate SLT Health CAT Non-SLT Health Mortality Premium reserve Equity Mortality Premium reserve Longevity Lapse Property Longevity Lapse Disability Morbidity CAT Spread Disability Morbity Lapse Currency Lapse Expenses Concentration Expenses Revision Counter-cylical premium Revision CAT Figura 4: struttura per il calcolo dell SCR Ciascun rischio elementare è calcolato in un cosiddetto risk submodule, l insieme dei sottomoduli ed il relativo processo di aggregazione definiscono un risk module. Ad esempio i sottomoduli counter-cyclical premium, concentration, currency, spread, property, equity e interest rate costituiscono il modulo market. Per ciascun modulo di calcolo è descritto un preocesso algoritmico che coinvolge, oltre ai dati dell impresa, informazioni esterne (key parameters) uguali per tutti, in modo da garantire lo stesso metro per la valutazione. La formula standard per il requisito patrimoniale di base è la seguente: SCR = BSCR + Adj + SCR Op dove: BSCR = Requisito patrimoniale di base Adj = Aggiustamento per la capacità di assorbimento delle perdite delle riserve tecniche e delle imposte differite SCR Op = Requisito patrimoniale per il rischio operativo 29

Il BSCR a sua volta è definito dalla seguente formula: BSCR= i, j Corr i, j SCR i SCR j + SCR intanigbles Quindi il requisito patrimoniale di base è pari alla somma del requisito patrimoniale per il rischio relativo agli intangible assets e della radice quadrata del prodotto degli SCR di tutte le combinazioni dei moduli (a parte quello del rischio operativo) moltiplicato per il relativo fattore di correlazione tra i rischi secondo la seguente matrice di correlazione: Corr SCR SCR mkt SCR def SCR life SCR health SCR non-life SCR mkt 1 0,25 0,25 0,25 0,25 SCR def 0,25 1 0,25 0,25 0,5 SCR life 0,25 0,25 1 0,25 0 SCR health 0,25 0,25 0,25 1 0 SCR non-life 0,25 0,5 0 0 1 Tabella 1: matrice di correlazione per il calcolo del BSCR L aggiustamento per la capacità di assorbimento delle perdite delle riserve tecniche e delle imposte differite riflette la compensazione potenziale delle perdite inattese tramite una riduzione simultanea delle riserve tecniche o delle imposte differite o una combinazione delle due. Tale aggiustamento tiene conto dell effetto di attenuazione del rischio esercitato dalle future partecipazioni agli utili a carattere discrezionale dei contratti di assicurazione nella misura in cui le imprese di assicurazione e di riassicurazione possano dimostrare che la riduzione di tali partecipazioni possa essere utilizzata per coprire perdite inattese al loro verificarsi (art. 108). Per quanto riguarda il rischio operativo, che sarà oggetto di disamina più accurata nel prossimo capitolo, esso riflette i rischi operativi nella misura in cui non siano già coperti nei moduli di rischio precedenti. 2.4 Rischio di mercato: formula standard Il rischio di mercato sorge dal livello o dalla volatilità dei prezzi di mercato degli strumenti finanziari; l esposizione al rischio di mercato è misurata dall impatto sul valore del portafoglio attivi dei movimenti nel livello di variabili finanziarie come prezzo delle azioni, tassi di interesse, prezzi degli immobili e tassi di cambio. 30

Al fine di valutare in maniera corretta il rischio di mercato inerente ai fondi d investimento collettivo, sarà necessario esaminare la loro sostanza economica. Dove possibile, questo deve essere raggiunto applicando un approccio look-through 11 per consentire una corretta valutazione dei rischi relativi agli asset sottostanti al fondo comune. Se lo schema di investimento del fondo non è sufficientemente trasparente, si può seguire un approccio mandated-based che consiste nel raccogliere referenze sulla qualità del gestore per poi effettuare delle assunzioni in base al suo mandato. Come ultima possibilità, le imprese possono considerare lo schema di investimento collettivo come un investimento azionario e applicare lo shock di rischio azionario globale. Il calcolo dell SCR secondo la formula standard segue un logica di scenario (scenario testing approach) per tutte le componenti di rischio: in pratica il requisito di capitale viene determinato come differenza tra il valore del NAV (Net Asset Value) stimato considerando lo scenario best estimate ed il NAV stimato considerando lo scenario stressato che rappresenta il 99,5-esimo percentile della distribuzione di probabilità del rischio. Gli input previsti dalla formula sono i seguenti: Mkt int Up/Down = fabbisogno di capitale dovuto agli shock verso l altro/basso dei tassi di interesse Mkt eq = fabbisogno di capitale per il rischio azionario Mkt prop = fabbisogno di capitale per il rischio immobiliare Mkt sp = fabbisogno di capitale per il rischio di spread Mkt conc = fabbisogno di capitale per il rischio di concentrazione Mkt fx = fabbisogno di capitale per il rischio valutario Mkt ip = fabbisogno di capitale per il rischio di premio di illiquidità I sottorischi di mercato vengono combinati usando una matrice di correlazione come segue: SCR mkt = CorrMkt r, c Mkt r Mkt c rxc dove:, = celle della matrice di correlazione CorrMkt, = fabbisogno di capitale per singolo rischio di mercato dovuti ad uno stress dei tassi di interesse in accordo con CorrMktUp 11 L approccio look-through prevede che si indaghi sulla composizione degli asset sottostanti al fondo comune (azioni, obbligazioni ecc.) per quantificare con maggiore precisione il rischio implicito di tutto il fondo. 31

e la matrice di correlazione CorrMkt definita come segue: CorrMktUp Interest Equity Property Spread Currency Concentration Illiquidity premium Interest 1 A A A 0,25 0 0 Equity A 1 0,75 0,75 0,25 0 0 Property A 0,75 1 0,5 0,25 0 0 Spread A 0,75 0,5 1 0,25 0 0 Currency 0,25 0,25 0,25 0,25 1 0 0 Concentration 0 0 0 0 0 1 0 Illiquidity premium 0 0 0 0 0 0 1 Tabella 2: matrice di correlazione per il calcolo del SCR mkt A assume il valore 0 nel caso di scenario di rialzo dei tassi mentre assume il valore 0,5 nello scenario di caduta dei tassi di interesse. Qui di seguito vengono riportate le principali regole di calcolo dell SCR per i rischi di mercato secondo la formula standard per le parti più generali 2.4.1 Rischio tasso di interesse Il rischio tasso di interesse esiste per tutte le attività e passività per le quali il NAV è sensibile ai cambiamenti della struttura a termine o della volatilità dei tassi di interesse. Questo vale sia per le strutture a termine reali che quelle nominali. Le attività sensibili ai movimenti dei tassi di interesse comprendono: investimenti a reddito fisso (fixed-income); strumenti di finanziamento (per esempio capitale di prestito); prestiti; derivati sui tassi d interesse ed eventuali attività di assicurazione. Il valore attualizzato dei futuri flussi di cassa delle passività sarà sensibile ad una variazione del tasso al quale vengono scontati i flussi di cassa. Il fabbisogno di capitale è determinato come risultato di due scenari predefiniti: Mkt Up int = BOF up Mkt UpDown int = BOF down 32

dove BOF up e BOF down rappresentano le variazioni nei valori netti degli attivi e dei passivi a causa delle rivalutazioni di tutti gli strumenti sensibili ai tassi di interesse utilizzando una struttura a termine alterata utilizzando degli stress test in alto s up t e in basso s down t. Le strutture a termine alterate sono derivate moltiplicando i tassi correnti per (1 + s up ) e (1 + s down ) per le singole maturità t specificate come segue: Maturity t (years) relative change s up (t) relative change s down (t) 0,25 70% -75% 0,5 70% -75% 1 70% -75% 2 70% -65% 3 64% -56% 4 59% -50% 5 55% -46% 6 52% -42% 7 49% -39% 8 47% -36% 9 44% -33% 10 42% -31% 11 39% -30% 12 37% -29% 13 35% -28% 14 34% -28% 15 33% -27% 16 31% -28% 17 30% -28% 18 29% -28% 19 27% -29% 20 26% -29% 90 20% -20% Tabella 3: variazioni del tasso di interesse secondo la maturity Per esempio, il tasso d interesse a 15 anni stressato R 1 (15) nello scenario verso l alto è determinato come segue: R 1 (15) = R 0 (15) (1 + 0,33) dove R 0 (15) è il tasso d interesse a 15 anni basato sull attuale struttura a termine dei tassi. Il capitale richiesto per il rischio di tasso d interesse è derivato dal tipo di shock che necessita di un livello di capitale maggiore includendo la capacità di assorbimento delle riserve tecniche: 33

se nmk Up Down int nmk int allora nmk int max 0, nmk Up int e Mk int max 0, Mk Up int se nmk Up Down Down Down int nmk int allora nmk int max 0, nmk int e Mk int max 0, Mk int 2.4.2 Rischio azionario Il rischio azionario deriva dal livello o dalla volatilità dei prezzi di mercato per i titoli azionari. L esposizione al rischio azionario si riferisce a tutte le attività e passività il sui valore risulti sensibile alle variazioni dei prezzi azionari. Ai fini del calcolo dei requisiti di capitale i titoli azionari vengono suddivisi in due categorie: Tipo 1 che comprende azioni listate in mercati regolati in paesi membri dell EAA o dell OECD; Tipo 2 che comprende le azioni quotate in mercati di paesi non apprtenenti all EAA o all OECD, azioni non quotate, private equity, hedge funds, commodities ed investimenti alternativi. Sono inoltre compresi tutti gli investimenti non compresi nei sottomoduli interest rate, property, spread. Per ogni indice i si determina un fabbisogno come risultato di un predefinito scenario stressato: Mkt eq, i =max BOF equity shock i ;0 dove equity shock i = caduta prescritta del valore delle azioni nella categoria i, = fabbisogno di capitale per rischio azionario rispetto all indice i Gli scenari di equity shock per le singole categorie sono così specificate: Tipo 1 Tipo 2 equity shock i 39% 49% Tabella 4: caduta del valore delle azioni secondo la categoria di appartenenza Il fabbisogno di capitale, è determinato come l effetto immediato sul valore netto delle attività e delle passività previsto in caso di caduta del valore della azioni secondo le scenario equity shock i, tenendo conto di tutte le esposizioni dirette ed indirette ai prezzi delle azioni, di tutti i tipi di esposizioni azionarie ed escludendo le partecipazioni dell impresa a cui si applica il seguente trattamento: per le partecipazioni strategiche, l equity shock i è pari al 22%; 34

per tutte le altre partecipazioni, lo shock risulta lo stesso degli altri strumenti azionari. Il secondo step prevede che il livello di capitale per il rischio azionario sia derivato dalla combinazione del fabbisogno di capitale per ogni singolo indice usando una matrice di correlazione: MKT eq = rxc CorrIndex rxc Mkt r Mkt c dove CorrIndex rxc Mkt r, Mkt c = le celle della matrice di correlazione CorrIndex = fabbisogno di capitale per un livello di rischio azionario per ogni singola categoria in accordo con CorrIndex CorrIndex Tipo 1 Tipo 2 Tipo 1 1 0,75 Tipo 2 0,75 1 Tabella 5: matrice di correlazione nel calcolo del MKT eq 2.4.3 I rischi immobiliari I rischi immobiliari riguardano la sensibilità di attività, passività e investimenti finanziari al livello o alla volatilità dei prezzi di mercato degli immobili. I seguenti investimenti devono essere trattati come immobili e i loro rischi sono considerati in accordo con il sottomodulo del rischio immobiliare: terreni, immobili e diritti su beni immobili; investimenti immobiliari per l uso proprio dell impresa di assicurazione. In caso contrario, i seguenti investimenti sono trattati come azioni e quindi vanno considerati nel sottomodello del rischio azionario: un investimento in una società impegnata nella gestione immobiliare; partecipazioni dirette o indirette in società immobiliari che producono un reddito periodico o che sono detenute per scopi di investimento; un investimento in una società impegnata nello sviluppo di progetti immobiliari o attività simili; un investimento in una società che ha avuto prestiti da parte di istituzioni al di fuori del gruppo assicurativo al fine di stimolare gli investimenti in immobli. 35

I veicoli di investimento collettivo in immobili devono essere trattati come gli altri fondi di investimento collettivo secondo un approccio look-through. Il fabbisogno di capitale per il rischio immobiliare sarà calcolato come il risultato di uno scenario predefinito: Mkt prop = max BOF property shock;0 Il property shock è l effetto immediato sul valore netto degli attivi e dei passivi attesi nel caso di un istantanea diminuzione del 25% negli investimenti immobiliari, considerando esposizioni dirette e non. 2.4.4 Rischio valutario Il rischio valutario deriva da variazioni del livello o della volatilità dei tassi di cambio di valuta. Le imprese possono essere esposte al rischio valutario derivante da varie fonti, inclusi i loro portafogli d investimento, nonché le attività passività e gli investimenti in imprese collegate. Il sottomodulo di rischio è stato disegnato in modo da prendere in considerazione tutti i rischi valutari derivanti da qualsiasi possibile fonte. La local currency è intesa come la valuta in cui l impresa redige il proprio bilancio; tutte le altre valute sono denominate valute estere. Una valuta estera è rilevante per il calcolo dello scenario se l importo di fondi propri di base dipende dal tasso di cambio tra la valuta estera e quella locale. Si noti che per ciascuna valuta estera rilevante C, la posizione in valuta dovrebbe includere qualsiasi investimento in strumenti esteri in cui il rischio valutario non risulti coperto. Questo perché gli stress sui rischi di tasso d interesse, azionario, di spread e immobiliari non sono stati disegnati per comprendere anche il rischio valutario. Il fabbisogno di capitale per il rischio valutario è determinato come risultato di sue scenari predefiniti: Up Mkt Fx, C = max BOF fx upward shock;0 Mkt Down Fx, C = max BOF fx downward shock;0 Lo shock è fissato a una variazione del 25%, rispettivamente in più o in meno, nel valore di tutte le altre valute C nei confronti della moneta locale in cui l impresa redige il bilancio. Per ogni valuta, il contributo al fabbisogno di capitale Mkt Fx, C sarà determinato come il Up massimo tra Mkt Fx, C e Mkt Down Fx, C. 36

Il fabbisogno totale vale: MKT Fx = c Mkt fx, c 2.4.5 Rischio spread Il rischio spread è la parte di rischio che deriva dalla sensibilità del valore delle attività, passività e strumenti finanziari ai cambi nel livello o nella volatilità del rendimento rispetto alla struttura a termine del tasso privo di rischio. Il sottomodulo del rischio di spread va applicato in particolar modo a: investment grade corporate bonds; corporate bonds ad alto rendimento; debiti subordinati; debiti ibridi. Il sottomodulo è inoltre applicabile anche a: assed-backed securities; tranches di prodotti strutturati; derivati creditizi (ad esempio CDS, TRS, CLN). Il sottomodulo per il rischio inoltre copre anche il rischio di credito dei seguenti investimenti: partecipazioni; titoli emessi da e verso imprese collegate e le imprese in cui l impresa di assicurazione ha un legame di partecipazione; titoli cartolarizzati (debt securities) e altri titoli a reddito fisso; quote in investment pool; depositi con istituti di credito; Il fabbisogno di capitale per il rischio di spread è il risultato della seguente somma: bonds Mkt sp = Mkt sp + Mkt rpl sp + dove: bonds Mkt sp rpl Mkt sp cd Mkt sp = fabbisogno di capitale per il rischio di spread di bond e prestiti esclusi i mutui ipotecari residenziali; = fabbisogno di capitale per il rischio di spread di prodotti di credito strutturati = fabbisogno di capitale per il rischio di spread di prodotti di derivati creditizi. 37

2.4.5.1 Rischio spread sui bonds e sui presiti esclusi i mutui ipotecari residenziali Il fabbisogno di capitale per il rischio di spread sui bonds e prestiti esclusi i mutui ipotecari residenziali è determinato come risultato di uno scenario predefinito: Mkt bonds sp = max BOF spread shock on bonds;0 Lo spread shock è l effetto immediato sul valore netto di attivi e passivi atteso inseguito ad una diminuzione istantanea nei valori dei bonds e dei prestiti a causa di un aumento degli spread: MV i i F Up rating i dove: = valore dell esposizione al rischio di credito = funzione della classe di rating dell esposizione al rischio di credito calibrata per rilasciare degli shock consistenti con un VaR al 99,5% in seguito ad un aumento degli spread creditizi Per determinare il fabbisogno di capitale per bonds e prestiti, devono essere usati i seguenti fattori : fino a 5 anni rating duration (anni) Tra 5 anni e 10 anni tra 10 anni e 15 anni tra 15 anni e 20 anni più di 20 anni Massima duration modificata AAA AA A BBB BB <BB No rating 0,9% d i * 4,50% + 0,53% (d i - 5 ) 7,15% + 0,5% (d i - 10 ) 9,65% + 0,5% (d i - 15 ) 12,15% + 0,5% (d i - 20 ) *dove d i indica la duration 1,1% d i 1,4% d i 2,5% d i 4,5% d i 7,5% d i 3,0% d i 5,50% + 0,58% (d i - 5 ) 8,40% + 0,5% (d i - 10 ) 10,9% + 0,5% (d i - 15 ) 13,4% + 0,5% (d i - 20 ) 7,0% + 0,7% (d i - 5 ) 10,5% + 0,5% (d i - 10 ) 13,0% + 0,5% (d i - 15 ) 15,5% + 0,5% (d i - 20 ) 12,5% + 0,5% (d i - 5 ) 20,0% + 1,0% (d i - 10 ) 25,0% + 1,0% (d i - 15 ) 30,0% + 0,5% (d i - 20 ) 22,5% + 2,51% (d i - 5 ) 35,05% + 1,8% (d i - 10 ) 44,05% + 0,5% (d i - 15 ) 46,55% + 0,5% (d i - 20 ) 37,5% + 4,2% (d i - 5 ) 58,5% + 0,5% (d i - 10 ) 61,0% + 0,5% (d i - 15 ) 63,5% + 0,5% (d i - 20 ) 176 173 169 140 107 73 130 Tabella 6: esposizione al rischio di credito in base alla duration e al rating 15,0% + 1,68% (d i - 5 ) 23,40% + 1,16% (d i - 10 ) 29,2% + 1,16% (d i - 15 ) 35,0% + 0,5% (d i - 20 ) 38

2.4.5.2 Indicazioni su covered bonds ipotecari o emessi dal settore pubblico In caso di covered bonds ipotecari o covered bonds emessi dal settore pubblico con rating AAA o AA, il fattore di rischio da applicare diventa il seguente: duration (anni) rating AAA AA fino a 5 anni 0,7% duration i 0,9% duration i Tra 5 anni e 10 anni 3,50% + 0,50% (duration i - 5 ) 4,50% + 0,50% (duration i - 5 ) Massima duration modificata 178 176 Tabella 7: esposizione al rischio di credito relativa ai covered bonds 2.4.5.3 Indicazioni sulle esposizioni verso governi, banche centrali, banche multilaterali di sviluppo e organizzazioni internazionali In caso di esposizioni verso (o garantiti da stati) dell EAA emessi nella valuta del governo o da una banca multilaterale di sviluppo, per questo sottomodulo non è richiesto alcun fabbisogno di capitale. In tutti gli altri casi, il fattore da utilizzare è il seguente: rating duration (anni) AAA AA A BBB BB <BB fino a 5 anni 0% 0% 1,1% duration i 1,4% duration i 2,5% duration i 4,5% duration i Tra 5 anni e 10 anni 0% 0% 5,50% + 0,58% (duration i - 5 ) 7,0% + 0,7% (duration i - 5 ) 12,5% + 1,5% (duration i - 5 ) 22,5% + 2,51% (duration i - 5 ) tra 10 anni e 15 anni 0% 0% 8,4% + 0,5% (duration i - 10 ) 10,5% + 0,5% (duration i - 10 ) 20,0% + 1,0% (duration i - 10 ) 35,05% + 1,8% (duration i - 10 ) tra 15 anni e 20 anni 0% 0% 10,9% + 0,5% (duration i - 15 ) 13,0% + 0,5% (duration i - 15 ) 25,0% + 1,0% (duration i - 15 ) 44,05% + 0,5% (duration i - 15 ) più di 20 anni 0% 0% 13,4% + 0,5% (duration i - 20 ) 15,5% + 0,5% (duration i - 20 ) 30,0% + 0,5% (duration i - 20 ) 46,55% + 0,5% (duration i - 20 ) Massima duration modificata n.a. n.a. 173 169 140 107 Tabella 8: esposizione al rischio di credito verso governi, banche centrali o organizzazioni internazionali 39

2.4.5.4 Rischio di spread su prodotti strutturati Il fabbisogno di capitale per il rischio di spread su prodotti strutturati è determinato come il risultato del seguente scenario: Mkt rpl, direct = max BOF direct spread shock on structured products; 0 Lo spread shock sul prodotto strutturato è l effetto immediato sul NAV atteso in caso di diminuzione istantanea nel valore dei prodotti strutturati dovuta ad un aumento degli spread: MV i i duration i F Up rating i dove: F Up rating i = funzione della classe di rating dell esposizione al rischio creditizio dentro a un aggregato di attività cartolarizzate calibrato per rilasciare degli shock consistenti con un VaR al 99,5%. Per determinare il fabbisogno di capitale relativo al rischio di spread sui prodotti strutturati, il fattore da utilizzare è il seguente: Risk factor per prodotti strutturati diversi dalle esposizioni per riassicurazione Rating AAA AA A BBB BB <BB Risk Factor 7% 16% 19% 20% 82% 100% Massima duration modificata 6 5 4 4 1 1 Tabella 9: fattori di rischio per prodotti strutturati diversi dalle esposizioni per riassicurazioni Risk factor per prodotti strutturati con la finalità di riassicurazione Rating AAA AA A BBB BB <BB Risk Factor 33% 40% 51% 91% 100% 100% Massima duration modificata 3 3 2 1 1 1 Tabella 10: fattori di rischio per prodotti strutturati con finalità riassicurative 40

2.4.5.5 Rischio di spread sui derivati Il fabbisogno di capitale per il rischio di spread sui derivati è determinato come il risultato di due scenari predefiniti: cd Mkt sp, upward = max BOF upward spread shock on credit derivatives;0 cd Mkt sp, downward = max BOF downward spread shock on credit derivatives;0 Lo shock sul rischio di spread verso l alto (o verso il basso) sui derivati è l effetto immediato sul NAV atteso nel caso di un istantaneo aumento (diminuzione) dello spread creditizio della seguente grandezza: Rating Aumento dello spread (in termini assoluti) Diminuzione dello spread (in termini relativi) AAA + 130 bp -75% AA + 150 bp -75% A + 260 bp -75% BBB + 450 bp -75% BB + 840 bp -75% <BB + 1620 bp -75% No rating + 500 bp -75% Tabella 11: scenari per il calcolo del rischio si spread sui derivati 2.4.6 Rischio di concentrazione La portata del sottomodulo dei rischi di concentrazione si estende alle attività considerate nel sottomoduli del rischio azionario, di tasso ed immobiliare ed esclude le attività oggetto del modello del rischio di inadempimento della controparte al fine di evitare sovrapposizioni. Per motivi di semplicità e coerenza, la definizione di rischio di concentrazione di mercato in materia di investimenti finanziari è limitato al rischio che riguarda l accumulazione di esposizioni con la stessa controparte; essa non comprende altri tipi di concentrazione (ad es. geografica, settore industriale ecc.). Il calcolo presenta tre step: esposizione in eccesso, fabbisogno di capitale per il rischio di concentrazione per nome, aggregazione. L esposizione in eccesso viene calcolata come segue: XS= max 0, E i -CT Assets xl 41

dove: E i = exposure at default verso la controparte i Assets xl = valore totale delle attività considerate nel sottomodulo CT = soglia di concentrazione in base al rating della controparte i, secondo la seguente tabella: Rating Soglia di concentrazione AAA 3% AA 3% A 3% BBB 1,5% BB 1,5% <BB 1,5% No rating 1,5% Tabella 12: soglie di concentrazione in base al rating Il fabbisogno di capitale per il rischio di concentrazione per nome i è calcolato come il risultato del seguente scenario predefinito: Conc i = BOF concentration shock I concentration shock su i è l effetto immediato sul valore netto atteso di attivi e passivi dopo un istantanea diminuzione del valore dove il parametro g, che dipende dal rating della controparte, è determinato come segue: Rating AAA AA A BBB BB <BB No rating Risk factor g i 12% 12% 21% 27% 73% 73% 73% Tabella 13: fattore di rischio g in base al rating Il fabbisogno di capitale per il rischio di concentrazione è determinato assumendo nessuna correlazione tra ogni controparte i: Mkt conc = Conc i 2 i 2.5 Il modulo di rischio di credito o controparte Il modulo del rischio di controparte dovrebbe riflettere le possibile perdite dovute all inadempimento imprevisto o al deterioramento del merito di credito delle controparti e dei 42

debitori delle imprese di assicurazione nel corso dei dodici mesi successivi alla data cui è riferita la valutazione. Il modulo dovrebbe tener conto di contratti finalizzati al trasferimento dei rischi quali: accordi di riassicurazione; cartolarizzazioni e derivati; crediti verso intermediari; eventuali altre esposizioni creditizie non coperte dal rischio di spread. L EIOPA opera una distinzione tra due tipi di esposizioni, indicate in seguito come esposizioni di tipo 1 e tipo 2, che comporta un trattamento diverso a seconda delle loro caratteristiche. La classe di esposizione di tipo 1 comprende le esposizioni non diversificabili e in cui la controparte possiede un rating. La classe è composta da esposizioni in relazione a: contratti di riassicurazione; conti correnti; depositi presso istituti di cessione, se il numero delle controparti indipendenti non sia superiore a 15; ogni altro contratto per l attenuazione dei rischi; garanzie, lettere di credito, lettere di presentazione che ha fornito l impresa nonché qualsiasi altro impegno fornito dall impresa e dipendente dal merito di credito di una controparte; capitale, fondi iniziali nonché qualsiasi altro impegno ricevuto dalle imprese richiamato ma non versato, se il numero delle controparti indipendenti risulti minore di 15. La classe di esposizioni di tipo 2 comprende le esposizioni che di solito sono diversificate e in cui la controparte è probabilmente priva di rating. La classe di tipo 2 dovrebbe essere costruita da tutte le esposizioni escluse nel modulo di rischio di spread e che non sono di tipo 1, in particolare: crediti da riscuotere da parte degli intermediari; debitori in possesso di una polizza; prestiti ipotecari; depositi con istituzioni di cessione, se il numero delle controparti indipendenti è maggiore di 15; impegni forniti da imprese di assicurazione e riassicurazione che sono stati richiamati ma non pagati, se il numero delle controparti indipendenti è maggiore di 15; 43

I dati richiesti dalla formula standard per il calcolo del SCR nel caso di esposizioni di tipo 1 sono: Recoverables i = miglior stima degli importi recuperabili da contratti di riasssicurazione (o SPV) i più qualsiasi altro debito coperto da contratti di riassicurazione o cartolarizzazione MarketVale i = il valore di mercato del derivato i Collateral i = valore risk-adjusted del collateral in relazione al contratto di riassicurazione o cartolarizzazione SPV i o in relazione al derivato i Guarantee i = valore nominale delle garanzie, lettere di credito e impegni simili i MVGuarantee i = valore di mercato delle garanzie, lettere di credito e impegni simili i Rating i = rating della controparte in relazione a contratti di riassicurazione, derivati, garanzie, lettere di credito e impegni simili i SCR hyp SCR without = fabbisogno di capitale ipotetico per il rischio di sottoscrizione e di mercato sotto la condizione che l effetto dell attenuazione del rischio del contratto riassicurativo, SPV o derivato di una particolare controparte non è tenuto in considerazione nel suo calcolo. Questi valori sono determinati solo ai fini del modulo del rischio di inadempimento di controparte = fabbisogno di capitale per il rischio di sottoscrizione come da definizione del relativo modulo Solvency Ratio i = la percentuale di fondi propri rispetto al Solvency Capital Requirement Gli ultimi due input sono i requisiti di capitale calcolati nei moduli di rischi di sottoscrizione e di mercato. Il fabbisogno di capitale per le esposizioni di tipo 1 e tipo 2 va calcolato separatamente e aggregato con un contenuto effetto di diversificazione: 2 2 SCR def = SCR def, 1 +1,5 SCR def, 1 SCR def, 2 + SCR def, 2 dove: SCR def = requisito di capitale per il rischio di inadempimento della controparte SCR def, 1 = requisito di capitale per il rischio di inadempimento della controparte di tipo 1 SCR def, 2 = requisito di capitale per il rischio di inadempimento della controparte di tipo 2 44

Gli input principali del modello del rischio di inadempimento della controparte sono le stime della LGD (Loss Given Default) di un esposizione e la PD (probability of default) della controparte. L LGD è definita come la perdita di fondi propri di base che l assicuratore dovrebbe sostenere se la controparte fosse inadempiente; poiché di solito, in caso di inadempimento, è possibile raccogliere una parte dell esposizione, l LGD è rettificata da un fattore (1 RR) dove RR indica il tasso di recupero della controparte. Per accordi di riassicurazione o di cartolarizzazione, l LGD va calcolata come segue: LGD i =0,5 max Recoverables i + RM re, i - Collateral i ;0 dove: Recoverables i = migliore stima degli importi recuperabili dal contratto di riassicurazione (o SPV) più eventuali altri debitori derivanti dal contratto di riassicurazione o di cartolarizzazione SPV i RM re, i Collateral i = effetto sulla mitigazione del rischio sul rischio di sottoscrizione del contratto di riassicurazione o di cartolarizzazione i = valore risk-adjusted del collateral associate al contratto di riassicurazione o di cartolarizzazione SPV i L importo del Recoverables i va rettificato del valore dei debiti verso la stessa controparte che non saranno pagati in caso di default; tuttavia, se la controparte riassicurativa ha vincolato un ammontare per gli impegni in garanzia maggiore del 60% degli attivi sul suo bilancio, l LGD va calcolata come segue: LGD i =0,9 max Recoverables i + RM re, i - Collateral i ;0 Per un derivato i, l LGD va calcolata come segue: LGD i = 0,9 max Market Value i + RM fin, i - Collateral i ;0 dove: Market Value i = valore di mercato del derivato i; RM fin, i = effetto di mitigazione del rischio sul rischio di mercato del derivato i; Collateral i = valore risk-adjusted del collateral in relazione al derivato i. 45

Nel caso di prestito ipotecario, l LGD va calcolata come segue: LGD i = max Loan i -0,8 Mortgage i ;0 dove: Loan i = valore del prestito ipotecario i Mortgage i = valore risk-adjusted dell ipoteca collegata al prestito ipotecario i Gli effetti dell attenuazione del rischio, RM re, i e RM fin, i, sono la differenza tra: l (ipotetico) requisito patrimoniale per il rischio di sottoscrizione e di mercato sotto la condizione che l effetto mitigativo dell accordo di riassicurazione o della cartolarizzazione SPV non sia incluso nel suo calcolo SCR hyp e, il requisito di capitale per il rischio di sottoscrizione e di mercato come da definizione del relativo modulo SCR without Il requisito patrimoniale per le esposizioni di tipo 1 è: 3 V SCR def, 1 = 5 V LGD i i se V 7,05% LGD i i se 7,05% LGD i < V 20% LGD i i i se 20% LGD i V i con: i = tutte le controparti indipendenti con esposizione di tipo 1; LGD i = loss given default dell esposizione di tipo 1 verso la controparte i; V = varianza della distribuzione delle perdite delle esposizioni di tipo 1 verso la controparte i. La varianza della distribuzione delle perdite delle esposizioni di tipo 1 sarà uguale alla somma di V inter e V intra : dove: V inter = (j, k) PD k 1- PD k PD j 1- PD j 1,25 PD k + PD j - PD k PD j TLGD j TLGD k (a) la somma include tutte le possibili combinazioni (j, k) di differenti probabilità di default di controparti indipendenti; 46

(b) TLGD j e TLGD k sono la somma delle LGD di esposizioni di tipo 1 da controparti con una probabilità di default PD j e PD k rispettivamente V intra = 1,5 PD j 1- PD j 2 j LGD 2,5- PD PD j i j dove: (a) la prima somma copre tutte le differenti probabilità di default di ciascuna controparte indipendente; (b) la seconda somma comprende tutte le singole esposizioni che hanno una probabilità di default uguale a PD j ; (c) LGD i indica la loss given default su una singola esposizione i. La PD i indica la probabilità di default della controparte i in base al rating assegnato da un ECAI secondo la seguente tabella Rating AAA AA A BBB BB <BB Probability of default 0,002% 0,01% 0,05% 0,24% 1,20% 4,175% Tabella 14: Probabilità di default nel rischio di controparte Per controparti senza rating o appartenenti allo stesso gruppo sono state elaborate specifiche apposite per le quali si rimanda al documento di technical specifications. Il requisito patrimoniale per il rischio di insolvenza delle esposizioni della controparte di tipo 2 è calcolato come risultato di uno scenario predefinito: SCR def, 2 = BOF type 2 counterparty default shock Tale requisito deve essere uguale alla perdita di fondi propri che risulterebbe da un immediata caduta di valore delle esposizioni di tipo 2 del seguente ammontare: dove: 0,9 LGD receivables>3months + 0,15 LGD i LGD receivables>3months indica la loss given default totale dei receivables scaduti da più di 3 mesi; i LGD i indica la somma delle LGD delle esposizioni di tipo 2 ad eccezione dei receivables scaduti da più di 3 mesi. i 47

2.6 Il calcolo dell MCR Il calcolo dell MCR prevede una formula lineare con un floor del 25% e ed un cap del 45% dell SCR (dipende se calcolato con la formula standard o un modello interno). È previsto inoltre un absolute floor espresso in e che dipende dal tipo di impresa (vita o danni). I valori assoluti del floor indicat con AMCR sono: (a) 2.200.000 per le imprese di assicurazione danni (b) 3.200.000 per le imprese di assicurazione vita (c) 3.200.000 per le imprese di riassicurazione (d) la somma del punto (a) e (b) per le imprese di assicurazione che presentano sia il ramo vita che il ramo danni La formula per il calcolo dell MCR è differente per i rami vita e danni ed è composta da due step: 1) si procede al calcolo dei MCR linear e MCR combined ; 2) si calcola l MCR L MCR linear si calcola come segue MCR linear = MCR (linear, nl) + MCR (linear, l) dove: MCR (linear, nl) = componente lineare della formula per i rami danni o riassicurativi MCR (linear, l) = componente lineare della formula per i rami vita L MCR combined dell impresa è calcolato come segue MCR combined = min ( max 0,25 SCR, MCR linear ; 0,45 SCR) L MCR dell impresa va calcolato come segue MCR=max MCR combined ;AMCR 2.6.1 Formula lineare per il ramo danni o per impegni di riassicurazione La formula lineare per il ramo danni è la seguente: MCR (linear, nl) = s α s TP nl, s + β s P s 48

dove: TP nl, s indica le riserve tecniche al netto del risk margin per il ramo danni o riassicurativo nel segmento s dopo la deduzione dell importo recuperabile da contratti di riassicurazione e SPV, con un floor pari a zero; P s indica i premi incassati in contratti di assicurazione e riassicurazione nel segmento s durante gli ultimi 12 mesi, dopo una deduzione dei premi dei contratti riassicurativi, con un floor pari a zero. La segmentazione delle linee di business (LoB) da utilizzare per la formula indicata sopra e la calibrazione dei parametri e è la seguente j Line of Business α j β j A.1 Medical expenses insurance and proportional reinsurance 4,7% 4,7% A.2 Income protection insurance and proportional reinsurance 13,1% 8,5% A.3 Workers' compensation insurance and proportional reinsurance 10,7% 7,5% A.4 Motor vehicle liability insurance and proportional reinsurance 8,5% 9,4% A.5 Other motor insurance and proportional reinsurance 7,5% 7,5% A.6 Marine, aviation and transport insurance and proportional reinsurance 10,3% 14,0% A.7 Fire and other damage to property insurance and proportional reinsurance 9,4% 7,5% A.8 General liability insurance and proportional reinsurance 10,3% 13,1% A.9 Credit and suretyship insurance and proportional reinsurance 17,7% 11,3% A.10 Legal expenses insurance and proportional reinsurance 11,3% 6,6% A.11 Assistance and its proportional reinsurance 18,6% 8,5% A.12 Miscellaneous financial loss insurance and proportional reinsurance 18,6% 12,2% A.13 Non-proportional casualty reinsurance 18,6% 15,9% A.14 Non-proportional marine, aviation and transport reinsurance 18,6% 15,9% A.15 Non-proportional property reinsurance 18,6% 15,9% A.16 Non-proportional health reinsurance 18,6% 15,9% Tabella 15: Line od Business nel calcolo dell MCR 49

2.6.2 Formula lineare per il ramo vita o contratti di riassicurazione La formula per il calcolo dell MCR (linear, l) richiede i seguenti input TP (life, 1) = riserve tecniche al netto del risk margin per contratti con rendimento garantito in cui è prevista una partecipazione agli utili o in cui il sottostante prevede la partecipazione agli utili, dopo la deduzione dell importo recuperabile da contratti di riassicurazione e SPV, con un floor pari a zero TP (life, 2) = riserve tecniche al netto del risk margin per contratti con rendimento futuri in cui è prevista una partecipazione agli utili dopo la deduzione dell importo recuperabile da contratti di riassicurazione e SPV, con un floor pari a zero TP (life, 3) = riserve tecniche al netto del risk margin per contratti index-linked o unit-linked o contratti di riassicurazione collegati a tali contratti dopo la deduzione dell importo recuperabile da contratti di riassicurazione e SPV, con un floor pari a zero TP (life, 4) = riserve tecniche al netto del risk margin per tutti gli altri tipi di contratti assicurativi e riassicurativi dopo la deduzione dell importo recuperabile da contratti di riassicurazione e SPV, con un floor pari a zero CAR = il totale di capitale a rischio, essendo la somma, in relazione ad ogni contratto che prevede obblighi di assicurazione o riassicurazione, del capitale a rischio dei contratti La formula è la seguente: MCR (linear, l) =0,037 TP life, 1-0,052 TP life, 2 +0,007 TP life, 3 + 0,021 TP life, 4 + 0,007 CAR 2.7 Alcune critiche su Solvency II La formula standard utilizzata per il calcolo dell SCR ha senza dubbio il privilegio di comsiderare tutti i rischi a cui può essere esposta un impresa assicurativa ma risulta troppo complessa: 25 sottomoduli e 6 moduli per il calcolo del BSCR a cui va sommato il requisito per il rischio operativo e l aggiustamento per la capacità di assorbimento delle perdite delle riserve tecniche sembrano francamente eccessivi. Una formula così complessa potrebbe scatenare interpretazioni o approssimazione che renderebbero il calcolo disomogeneo tra i vari gruppi. Un attenzione particola va posta poi sul rischio spread: l ammontare di capitale necessario per coprire il rischio presente sulle obbligazioni è proporzionale alla loro maturity ed al rating; questo significa che le obbligazioni con una maturity più breve e/o un rating migliore richiede meno capitale rispetto a obbligazioni con scadenze maggiori e/o rating minori. Questa 50

considerazione può causare un problema al sistema bancario poichè i maggiori compratori di obbligazioni bancarie sono proprio i gruppi assicurativi. Questo scenario riguarderebbe in particola modo i bond subordinati poiché tali obbligazioni hanno un rating più basso rispetto a quello posseduto dalla banca: con l entrata in vigore di Solvency II questo tipo di strumenti potrebbero essere ritenuto meno appetibili dai gruppi assicurativi causando dei problemi di finanziamento agli istituti bancari. Un aspetto positivo riguarda invece la decisione sul fabbisogno di capitale richiesto che non è determinato dalla somma dei singoli moduli di rischi ma si tiene conto delle correlazioni che possono esserci tra i vari moduli. In questo modo viene favorita la diversificazione degli investimenti in portafoglio tra un numero individuale di rischi. Un ampia gamma di rischi incorrelati può così ridurre il costo marginale della sopportazione di un determinato rischio. 51

3 I RISCHI DI PRIMO PILASTRO SECONDO BASILEA 3 3.1 Basilea 3 Alcuni critici hanno sostenuto che l entrata in vigore di Basilea 2 abbia aggravato la crisi mondiale scoppiata nel 2008 e che la decisione di modificare la normativa appena entrata in vigore fosse un indicazione in tal senso. In realtà nel 2008 l accordo di Basilea 2 era appena entrato in vigore, dopo una lunga fase di gestazione, con il vincolo di non discostarsi troppo dalle regole precedenti (c.d. Basilea 1) almeno per i primi anni. Gli Stati Uniti poi, epicentro dello tsunami finanziario, non solo erano stati molto recalcitranti ad accettare le nuove norme, ma ne prevedevano l applicazione a partire dal 2009 e solo per una parte limitata del sistema bancario, preferendo mantenere le regole nazionali, meno sofisticate e meno risk-sensitive. Northern Rock, Bear Stearns e Lehman Brothers, per citare solo tre vittime eccellenti della crisi finanziaria, non applicavano Basilea 2. Ritenere responsabile una normativa entrata in vigore da pochi mesi o addirittura non ancora applicata sembra effettivamente un po eccessivo. La critica, però, non è del tutto senza fondamento, infatti sebbene gli accordi di Basilea 2 non possano essere considerati come l origine dell instabilità, le misure adottate si sono rivelate inadeguate ad affrontare un esperienza drammatica e per alcuni aspetti nuova. In particolare le principali debolezze riconosciute a Basilea 2 sono state le seguenti: il requisito minimo di capitale era inadeguato a sostenere le ingenti perdite che si sono affrontate durante la crisi e che il capitale fosse costituito per lo più da strumenti che non erano in grado di assorbire realmente le perdite; il compito di valutare il rischio di controparte spesso non è stato ben svolto né dalle agenzie di rating, né dalle stesse banche e dai loro sistemi interni; i requisiti di capitale risentono della ciclicità dell economia: in periodo di espansione economica i rischi associati alle controparti vengono percepiti in maniera inferiore e questo abbassa il requisito minimo di capitale e viceversa; Basilea 2 incentivava il processo di cartolarizzazione: se una banca cartolarizzava dei crediti, essa poteva inserirli tra gli elementi fuori bilancio, con un notevole effetto di riduzione sull ammontare registrato come RWA. Stimolato dalle critiche, il Comitato di Basilea, convinto della correttezza delle scelte attuate, ha verificato empiricamente i limiti e le imprecisioni dell attuale assetto regolamentare ed è intervenuto per porvi rimedio: il 12 settembre 2010, al fine di garantirne una maggiore solidità e scongiurare il ripetersi di una crisi come quella del 2008-09, il Comitato dei Governatori 52

delle Banche centrali ha approvato un nuovo Accordo, il cosiddetto «Basilea 3» che impone requisiti patrimoniali più severi per l operatività delle banche. Gli obiettivi dichiarati prevedono: 1) aumentare l abilità del settore bancario nell assorbire shock dovuti a stress economici e finanziari, qualunque sia l origine; 2) aumentare la gestione del rischio e la governance; 3) rafforzare la trasparenza e l informativa delle banche. Per raggiungere tali obiettivi, la riforma si muove su due fronti: la regolamentazione microprudenziale e la regolamentazione macroprudenziale. A livello microprudenziale, è stato fatto un tentativo di rafforzare la capacità delle banche di sopportare situazioni di stress. La crisi ha permesso di rilevare una grave inefficienza degli Istituti bancari: essi si presentavano impreparati ad affrontare un evento di questa portata, fino ad un punto tale che le banche sono state costrette a ricostruire il loro capitale proprio nel momento in cui tale operazione risultava più difficile, cioè in piena crisi. Di fatto, le nuove regole hanno un notevole impatto non solo sulla quantità di patrimonio da detenere obbligatoriamente, ma anche sulla qualità degli strumenti utilizzabili per costituire il patrimonio stesso e per risolvere le incongruenze tra le varie giurisdizioni, impatto generato da una definizione più restrittiva dei requisiti che tali strumenti devono possedere. La dimensione macroprudenziale è focalizzata sul contenimento del rischio sistemico, ossia il rischio che turbative nel sistema finanziario possano destabilizzare il sistema economico. In realtà, il rafforzamento della patrimonializzazione delle singole banche renderà più solido l intero sistema bancario, ma questo approccio di tipo microprudenziale potrebbe non essere sufficiente, poiché il rischio per l intero sistema è maggiore della somma dei rischi sostenuti dalle singole istituzioni, come è emerso con particolare evidenza dalla crisi finanziaria iniziata nel 2007. È necessario quindi intervenire su due fronti pe limitare efficacemente il rischio sistemico. Il primo consiste nel ridurre la prociclicità, ossia la tendenza del sistema finanziario ad amplificare le oscillazioni del ciclo economico. Il secondo consiste nel tenere conto delle interconnessioni e delle esposizioni comuni tra le istituzioni finanziarie, in particolare quelle ritenute sistemicamente rilevanti. La struttura dell Accordo è rimasta invariata rispetto a Basilea 2, mantenendo la struttura a tre pilastri: il primo regola i criteri per il calcolo del patrimonio di riserva della banche; il secondo definisce i poteri di controllo e monitoraggio delle banche centrali sulla stabilità e l affidabilità dei sistemi bancari nazionali; 53

il terzo individua i requisiti di trasparenza informativa che consentono agli operatori di disporre informazioni su patrimonio, esposizione ai rischi, processi di valutazione dei rischi e sull adeguatezza patrimoniale delle banche. 3.2 Fondi Propri Con il Nuovo Accordo di Basilea 3 si è puntato a migliorare significativamente la qualità e la quantità del patrimonio delle banche con l obiettivo di aumentare la capacità di assorbire le perdite. Come in Solvency, i fondi propri ammessi alla copertura delle attività vengono classificati in diversi livelli (Tiers) in base alle caratteristiche degli strumenti finanziari: Common Equity Tier 1 (CET 1 o capitale primario di classe 1); Tier 1 (o capitale di classe 1); Tier 2 (o capitale di classe 2). Rispetto a Basilea 2, è stato eliminato il livello Tier 3 che poteva essere utilizzato solo a copertura dei rischi di mercato. Il Common Equity Tier 1 (CET 1) è definito nella Parte Due (articoli 26 e seguenti) del Regolamento UE 575/2013 ed è considerato la migliore forma di capitale per sostenere le perdite; è formato sostanzialmente da: a) azioni ordinarie; b) sovrapprezzi di emissione relativi agli strumenti di cui alla lettera a); c) utili non distribuiti; d) altre componenti di conto economico complessivo accumulate; e) altre riserve; f) fondi per rischi bancari generali. Gli elementi di cui alle lettere a) e b) possono essere considerati strumenti del capitale primario di classe 1 solo se: 1. gli strumenti sono versati ed il loro acquisto non è finanziato dall ente, né direttamente, né indirettamente; 2. gli strumenti sono emessi direttamente dall ente; 3. sono perpetui; 4. gli strumenti sono indicati chiaramente e separatamente nello stato patrimoniale del bilancio dell ente; 5. gli strumenti non sono coperti né sono oggetto di garanzia che aumenti il rango del credito da parte di altri soggetti; 54

6. gli strumenti sono di categoria inferiore a tutti gli altri crediti in caso di insolvenza o liquidazione dell ente e conferiscono ai loro possessori un credito sulle attività residue dell ente. Gli elementi di cui alle lettere da c) a f) sono riconosciuti come capitale primario di classe 1 soltanto se posso essere utilizzati senza restrizioni e senza indugi dall ente per la copertura dei rischi o delle perdite nel momento in cui essi si verificano. Ogni perdita su crediti e svalutazione verrà imputata direttamente agli utili non distribuiti, cioè al common equity di una banca. Come mostrato in precedenza, non è possibile includere nel CET1: l avviamento, in quanto esso non ha alcuna utilità per assorbire perdite, le imposte differite attive che dipendono da futura profittabilità dell ente bancario e gli investimenti in altre istituzioni finanziarie o nelle proprie azioni. Le deduzioni regolamentari verranno applicate direttamente al Common equity, al fine di evitare quella che finora era stata una pratica usuale per le banche: mostrare un elevato Tier 1 ed un basso Common Equity. Il livello Tier 1 è composto dalla somma del CET 1 più gli strumenti subordinati che corrispondono interessi o dividendi in modo totalmente discrezionale e non cumulativo e non presentano né una data di scadenza né incentivi al rimborso anticipato. Gli elementi di classe 2 (Tier 2) sono invece costituiti da: a) strumenti di capitale e prestiti subordinati; b) sovrapprezzi di emissione relativi agli strumenti di cui alla lettera a); c) per gli enti che calcolano gli importi delle esposizioni ponderate per il rischio con il metodo standardizzato, le rettifiche di valore su crediti generiche, al lordo degli effetti fiscali, fino all 1,25% degli importi delle esposizioni ponderati per il rischio calcolati con la formula standard; d) per gli enti che calcolano gli importi delle esposizioni ponderati per il rischio con i modelli interni, gli importi positivi, al lordo degli effetti fiscali, delle perdite attese fino allo 0,6% degli importi delle esposizioni ponderati per il rischio calcolati con i modelli interni. I fondi proprio devono soddisfare sempre i seguenti requisiti: a) un CET 1 del 4,5% rispetto all importo complessivo dell esposizione al rischio; b) un Tier 1 del 6% rispetto all importo complessivo dell esposizione al rischio; c) un coefficiente di capitale totale (Tier 1 + Tier 2) dell 8% rispetto all importo complessivo dell esposizione al rischio. Il livello minimo dei fondi propri richiesti corrisponde al capitale iniziale richiesto al momento dell autorizzazione. 55

Sebbene rispetto a Basilea 2 non sia aumentata la quantità dei coefficienti patrimoniali (infatti la somma di Tier 1 e Tier 2 rimane invariata), aumenta l importo del CET 1, assicurando così una protezione superiore anche in periodo di crisi. Una delle novità di Basilea 3 contenuta nella Direttiva 2013/36/UE riguarda l introduzione di buffer anticiclici poiché uno degli elementi più destabilizzanti della crisi è stata l amplificazione prociclica degli shock finanziari al complesso del sistema bancario:; tradizionalmente, si nota che nei periodi di forte espansione economica il credito bancario tenda ad un espansione esponenziale e che, invece, in quelli di recessione il credito concesso scenda in maniera molto ripida, aggravando così ancor di più la situazione. Le imprese che hanno una parte rilevante dei loro finanziamenti a breve termine o che comunque, pur avendo una grossa quota di prestiti a lungo termine, giungono a scadenza del prestito e si vedono negare nuovi finanziamenti, non possono adempiere ai propri impegni né nei confronti di altre imprese, né nei confronti degli istituti bancari: ne consegue una grave ripercussione sull intero sistema economico. Lo scopo principale di questi cuscinetti aggiuntivi è proprio quello di attenuare la prociclicità del sistema bancario, con particolare attenzione al credito bancario. Il buffer di conservazione di capitale (art. 129) deve essere costituito da common equity in misura pari al 2,5% del capitale ponderato per il rischio; saranno imposti alla banca solo vincoli di distribuzione degli utili, qualora i livelli di capitale scendano al di sotto del 2,5%, ma comunque al di sopra dei requisiti minimi patrimoniali. Il secondo buffer patrimoniale (art. 130) si chiama counter-cyclical buffer; la sua funzione consiste nel limitare gli impatti che i cicli economici possono avere sull attività, oltre che sulla struttura patrimoniale dell azienda. Per affrontare nel modo adeguato le potenziali perdite causate da una recessione economica, le Autorità di Vigilanza possono richiedere alle banche di accumulare riserve in periodi in cui si intravedono grandi rischi di perdite potenziali. I periodi in cui quest accumulo di risorse può essere demandato dall Autorità vengono generalmente identificati con i momenti di espansione economica, ovvero di espansione del credito, con il rischio che la valutazione di alcune concessioni sia distorta dal buon andamento generale dell economia. Ogni qualvolta le Autorità ritengano che l eccessiva crescita dei crediti concessi sia accompagnata da un aumento del rischio sistemico, il loro intervento sarà indirizzato ad assicurare che le banche abbiano dei buffers sufficienti ad evitare le perdite. Le banche, quando l Autorità nazionale lo ritenga opportuno, saranno soggette ad un coutercyclical buffer che potrà arrivare a un valore massimo del 2,5% dei RWA ( Risk 56

Weighted Assets ). Le richieste di buffer dovranno essere affrontate con CET 1 o altro capitale che possa assorbire completamente le perdite. Per le diverse banche ci saranno diversi buffers, in relazione alla composizione geografica dei loro portafogli. 3.3 Rischio di credito Il metodo standardizzato per il calcolo del rischio di credito prevede che il valore dell esposizione sia calcolato come il suo valore contabile dopo l applicazione di rettifiche di valore su crediti specifiche. Successivamente ogni esposizione deve essere classificata in una determinata classe in base alla controparte. Qui di seguito saranno analizzati i fattori di ponderazione da utilizzare per ogni singola classe di esposizione. 3.3.1 Esposizioni verso amministrazioni centrali o banche centrali Alle esposizioni verso amministrazioni centrali e banche centrali per le quali è disponibile una valutazione del merito di credito di un'ecai prescelta si applica un fattore di ponderazione del rischio in conformità alla tabella 16, corrispondente alla valutazione del merito di credito dell ECAI Classi di merito di credito 1 2 3 4 5 6 Fattore di ponderazione del rischio 0% 20% 50% 100% 100% 150% Tabella 16: fattori di ponderazione nel rischio di credito in caso di esposizioni verso banche e amministrazioni centrali Ai valori di questa tabella sono applicate le seguenti eccezioni: alle esposizioni verso la BCE si applica un fattore di ponderazione dello 0%; alle esposizioni verso le amministrazioni centrali e le banche centrali degli Stati membri denominate e finanziate nella valuta nazionale di dette amministrazione centrale e banca centrale si attribuisce un fattore di ponderazione del rischio dello 0 %; alle esposizioni verso le amministrazioni centrali e le banche centrali degli Stati membri denominate e finanziate nella valuta nazionale di uno Stato membro è attribuita la medesima ponderazione del rischio che sarebbe applicata a tali esposizioni denominate e finanziate nella loro valuta nazionale; 3.3.2 Esposizioni verso amministrazioni regionali o autorità locali Le esposizioni verso amministrazioni regionali o autorità locali sono ponderate per il rischio come le esposizioni verso enti, a meno che non siano trattate come esposizioni verso 57

amministrazioni centrali di rispettiva appartenenza; in tal caso non deve esserci alcuna differenza tra di rischio tra tali esposizioni in quanto le amministrazioni regionali e le autorità locali hanno specifici poteri di imposizione fiscale e un assetto istituzionale tale da ridurre il loro rischio di default 3.3.3 Esposizioni verso organismi del settore pubblico Alle esposizioni verso gli organismi del settore pubblico per i quali non è disponibile una valutazione del merito di credito fatta da un'ecai prescelta è assegnato un fattore di ponderazione del rischio corrispondente alla classe di merito di credito nella quale sono classificate le esposizioni verso l'amministrazione centrale di appartenenza dell organismo del settore pubblico interessato, conformemente alla seguente tabella Classi di merito di credito alla quale è assegnata l amministrazione centrale 1 2 3 4 5 6 Fattore di ponderazione del rischio 20% 50% 100% 100% 100% 150% Tabella 17: fattori di ponderazione nel rischio di credito in caso di esposizioni verso organismi del settore pubblico Per le esposizioni verso organismi del settore pubblico aventi sede in paesi la cui amministrazione centrale è priva di rating, il fattore di ponderazione del rischio è pari al 100 % mentre per le esposizioni verso organismi del settore pubblico con una durata originaria pari o inferiore a tre mesi il fattore di ponderazione del rischio è del 20 %. 3.3.4 Esposizioni verso banche multilaterali di sviluppo Le esposizioni verso banche multilaterali di sviluppo (tranne alcune eccezioni a cui si applica un fattore di ponderazione dello 0% come ad esempio il Fondo Europeo per gli investimenti) sono trattate come le esposizioni verso enti. 3.3.5 Esposizioni verso organizzazioni internazionali Alle esposizioni verso le seguenti organizzazioni internazionali si applica un fattore di ponderazione del rischio dello 0 %: a) l Unione Europea; b) il Fondo Monetario Internazionale; c) la Banca dei regolamenti internazionali; d) il fondo europeo di stabilità finanziaria; e) il meccanismo europeo di stabilità; 58

f) un'istituzione finanziaria internazionale stabilita da due o più Stati membri allo scopo di reperire finanziamenti e fornire assistenza finanziaria a favore dei suoi membri che sono colpiti o minacciati da gravi problemi di finanziamento. 3.3.6 Esposizioni verso enti Alle esposizioni verso enti si applicano fattori di ponderazione differenti a seconda della disponibilità o meno di una valutazione di merito creditizio di un ECAI prescelta. 3.3.6.1 Esposizioni verso enti provvisti di rating Alle esposizioni verso enti per i quali è disponibile una valutazione del merito di credito di un'ecai prescelta si applica un fattore di ponderazione del rischio in base alla durata residua, in conformità alla seguente tabella Classi di merito di credito 1 2 3 4 5 6 Fattore di ponderazione del rischio per esposizioni con durata residua superiore a 3 mesi 20% 50% 50% 100% 100% 150% Fattore di ponderazione del rischio per esposizioni con durata residua fino a 3 mesi 20% 20% 20% 50% 50% 150% Tabella 18: fattori di ponderazione nel rischio di credito in caso di esposizioni verso enti provvisti di rating 3.3.6.2 Esposizioni verso enti privi di rating Alle esposizioni verso gli enti per i quali non è disponibile una valutazione del merito di credito fatta da un'ecai prescelta è assegnato un fattore di ponderazione del rischio corrispondente alla classe di merito di credito nella quale sono classificate le esposizioni verso l'amministrazione centrale di appartenenza dell'ente interessato, conformemente alla seguente tabella Classi di merito di credito alla quale è assegnata l amministrazione centrale Fattore di ponderazione del rischio dell esposizione 1 2 3 4 5 6 20% 50% 100% 100% 100% 150% Tabella 19: fattori di ponderazione nel rischio di credito in caso di esposizioni verso enti privi di rating 59

3.3.7 Esposizioni verso imprese Alle esposizioni per le quali è disponibile una valutazione del merito di credito di un'ecai prescelta si applica un fattore di ponderazione del rischio in conformità alla tabella 20, corrispondente alla valutazione del merito di credito dell'ecai Classi di merito di credito 1 2 3 4 5 6 Fattore di ponderazione del rischio 20% 50% 100% 100% 150% 150% Tabella 20: fattori di ponderazione nel rischio di credito in caso di esposizioni verso imprese Alle esposizioni per le quali tale valutazione non è disponibile è attribuita una ponderazione del 100 % o la ponderazione delle esposizioni verso l'amministrazione centrale del paese nel quale l'impresa ha sede, qualora quest'ultima sia più elevata. 3.3.8 Esposizioni al dettaglio Le esposizioni che soddisfano i seguenti requisiti, ricevono una ponderazione pari al 70%: a) si tratta di esposizioni nei confronti di persone fisiche o di piccole e medie imprese (PMI); b) l'esposizione fa parte di un numero significativo di esposizioni aventi caratteristiche analoghe, cosicché i rischi ad essa associati sono sostanzialmente ridotti; c) l importo totale dovuto all ente, escluse le esposizioni garantite da immobili residenziali, non supera 1 milione di euro. 3.3.9 Esposizioni garantite da ipoteche su beni immobili Le esposizioni garantite da ipoteche su beni immobili hanno fattori di ponderazione diversi in base all utilizzo dell immobile: residenziale o non residenziale. Nel caso di esposizioni garantite pienamente e totalmente da ipoteche su immobili residenziali, il fattore di ponderazione da applicare è del 35%. Nel caso si tratti di immobili non residenziali, il fattore aumenta al 50%. 3.3.10 Esposizioni in stato di default Alla parte non garantita di una posizione in cui il debitore sia in default è attribuito un fattore di ponderazione del: a) 150% se le rettifiche di valore su crediti specifiche sono inferiore al 20% della parte non garantita dall esposizione al lordo di tali rettifiche; 60

b) 100% se le rettifiche di valore su crediti specifiche sono pari ad almeno il 20% della parte non garantita dall esposizione al lordo di tali rettifiche. 3.3.11 Posizioni associate ad un rischio particolarmente elevato Gli enti attribuiscono un fattore di ponderazione del rischio del 150% alle esposizioni che sono associate ad un rischio particolarmente elevato, tra le quali: a) investimenti in imprese di venture capital; b) investimenti in private equity; c) finanziamenti per immobili a fini speculativi. 3.3.12 Esposizioni sotto forma di obbligazioni garantite Alle obbligazioni garantite (ad esempio da amministrazioni centrali, banche centrali) per le quali è disponibile una valutazione del merito di credito di un ECAI prescelta si applica un fattore di ponderazione del rischio in conformità alla tabella 21, corrispondente alla valutazione del merito di credito dell'ecai: Classi di merito di credito 1 2 3 4 5 6 Fattore di ponderazione del rischio 10% 20% 20% 50% 50% 100% Tabella 21: fattori di ponderazione nel rischio di credito in caso di esposizioni sotto forma di obbligazioni garantite Nel caso non fosse disponibile una valutazione del merito di credito fatta da un ECAI prescelta, le esposizioni sono ponderate per il rischio sulla base del fattore di ponderazione attributo alle esposizioni di primo rango (senior) non garantite verso l emittente. Si applica la seguente corrispondenza tra i fattori di ponderazione del rischio: a) se le esposizioni verso l ente sono ponderate per il rischio al 20%, all obbligazione garantita è attribuito un fattore di ponderazione del 10%; b) se le esposizioni verso l ente sono ponderate per il rischio al 50%, all obbligazione garantita è attribuito un fattore di ponderazione del 20%; c) se le esposizioni verso l ente sono ponderate per il rischio al 100%, all obbligazione garantita è attribuito un fattore di ponderazione del 50%; d) se le esposizioni verso l ente sono ponderate per il rischio al 150%, all obbligazione garantita è attribuito un fattore di ponderazione del 100%. 61

3.3.13 Esposizioni sotto forma di quote o azioni di OIC Alle esposizioni sotto forma di quote o di azioni di OIC si applica un fattore di ponderazione del rischio del 100 %, a meno che: le quote o azioni di OIC possiedano una valutazione del merito di credito di un ECAI; in tal caso i fattori di ponderazione da applicare sono i seguenti: Classi di merito di credito 1 2 3 4 5 6 Fattore di ponderazione del rischio 20% 50% 100% 100% 150% 150% Tabella 22: fattori di ponderazione nel rischio di credito in caso di esposizioni sotto forma di quote di OIC sia possibile applicare il metodo look-through, cioè l ente, essendo a conoscenza delle esposizioni sottostanti di un OIC, può considerare tali esposizioni per calcolare il fattore medio di ponderazione del rischio per le sue esposizioni sotto forma di quote o azioni di OIC in base alle regole descritte in precedenza. 3.3.14 Esposizioni in strumenti di capitale Le seguenti esposizioni sono considerate esposizioni in strumenti di capitale: a) esposizioni non debitorie che conferiscono un credito residuale subordinato sulle attività o sul reddito dell emittente; b) esposizioni debitorie e altri titoli, partnership, derivati o altri veicoli, la cui sostanza economica è analoga a quelle delle esposizioni menzionate alla lettera a). Per tali esposizioni è assegnato un fattore di ponderazione del 100%. 3.4 Rischio di controparte Il rischio di controparte viene definito dalla direttiva come il rischio che la controparte di un operazione risulti inadempiente prima del regolamento definitivo dei flussi di cassa dell operazione. Viene calcolato relativamente a: 1) contratti su tassi di interesse: a) contratti swap su tassi di interesse in una sola valuta; b) contratti a termine sui tassi di interesse del tipo future; c) opzioni su tassi si interesse acquistate; d) altri contratti di natura analoga; 2) contratti su tassi di cambio e concernenti l oro: a) contratti swap su tassi di interesse in più valute; 62

b) contratti a termine su valute del tipo future; c) opzioni su valuta acquistate; d) altri contratti di natura analoga. Sono previsti 3 metodi di calcolo standard per quantificare il rischio di controparte: metodo del valore di mercato; metodo dell esposizione originaria; metodo standardizzato 3.4.1 Metodo di calcolo del valore di mercato Per determinare l esposizione creditizia potenziale futura, gli enti devono moltiplicare gli importi nominali o i valori sottostanti, per le percentuali di cui alla seguente tabella: Durata residua Contratti su tassi di interesse Contratti su tassi di cambio e oro Contratti su azioni Contratti su metalli preziosi eccetto l'oro Contratti su merci diverse dai metalli preziosi Un anno o meno 0% 1% 6% 7% 10% Più di un anno ma non più di cinque anni 0,5% 5% 8% 7% 12% Oltre cinque anni 1,5% 7,5% 10% 8% 15% Tabella 23: calcolo del valore di mercato nel rischio di controparte 3.4.2 Metodo dell esposizione originaria Il valore dell esposizione è pari all importo nominale di ciascun contratto moltiplicato per le percentuali in base alla seguente tabella: 63

Durata residua Contratti su tassi di interesse Contratti su tassi di cambio e oro Un anno o meno 0,5% 2% Più di un anno ma non più di due anni Incremento per ogni anno successivo 1% 5% 1% 3% Tabella 24: calcolo del rischio di controparte secondo il metodo dell esposizione originaria Per calcolare il valore dell esposizione nel caso dei contratti relativi ai tassi di interesse, l ente può scegliere di utilizzare la durata originaria o la durata residua. 3.4.3 Metodo standardizzato Gli enti possono usare il metodo standardizzato (MS) solo per il calcolo del valore dell esposizione per i derivati OTC e le operazioni con il regolamento a lungo termine. Nell applicazione del metodo standardizzato, gli enti calcolano il valore dell esposizione separatamente per ciascun insieme di attività soggette a compensazione, al netto delle garanzie reali, secondo la seguente formula: dove: Valore dell ' esposizione= β max CMV-CMC; RPT ij - RPC lj CCRM j CMV = valore di mercato del portafoglio di operazioni che compongono l insieme di attività soggette a compensazione con la controparte, al lordo delle garanzie reali dove: CMV= i CMV i con CMV i = valore di mercato corrente dell operazione i; CMC = valore di mercato corrente delle garanzie reali assegnate all insieme di attività soggette a compensazione CMC = l CMC l con CMC l = valore di mercato corrente della garanzia reale l; i = indice che individua l operazione l = indice che individua le garanzie j = indice che individua la categoria dell insieme di attività coperte j j l 64

Questi insiemi di attività coperte corrispondono a fattori di rischio per i quali posizioni di rischio di segno opposto possono essere compensate per determinare una posizione di rischio netta sulla quale si basa il calcolo dell esposizione; RPT ij = posizione di rischio sull operazione i con riferimento all insieme di attività coperte j; RPC lj = posizione di rischio sulla garanzia l con riferimento all insieme di attività coperte j; CCRM j = moltiplicatore CCR di cui alla tabella 25 con riferimento alle attività coperte j; 1,4 Categorie di insiemi di attività coperte CCRM 1. Tassi d interesse 0,2% 2. Tassi d interesse per le posizioni di rischio su titoli di debito di riferimento sottostanti ad un CDS e ai quali si applica un requisito patrimoniale dell 1,60% o inferiore 0,3% 3. Tassi d interesse per le posizioni di rischio su titoli di debito di riferimento sottostanti ad un CDS e ai quali si applica un requisito patrimoniale superiore all 1,60% 0,6% 4. Tassi di cambio 2,5% 5. Energia elettrica 4% 6. Oro 5% 7. Strumenti di capitale 7% 8. Metalli preziosi (eccetto oro) 8,5% 9. Altre merci (esclusi i metalli preziosi e l energia elettrica) 10% 10. Strumenti sottostanti ai derivati OTC che non rientrano in nessuna delle categorie di cui sopra 10% Tabella 25: valore del CCRM secondo le attività coperte 65

3.5 Alcuni commenti su Basilea III Uno degli aspetti più evidenti relativi al primo pilastro riguarda la dipendenza dei modelli standard dal rating calcolato da agenzie esterne: una soluzione a tal riguardo potrebbe riguardare l introduzione di rating interni elaborati dalla banca che, con il supporto di rating esterni, saranno utilizzati per condurre le decisioni di investimento. Al contrario di Solvency, nel calcolo del fabbisogno di capitale Basilea III somma le tre principali aree di rischio (mercato, credito e operativo) senza consentire alcun tipo di aggiustamento per possibili correlazioni. Infine l introduzione dei due buffer potrebbe mettere in competizione gli istituti bancari nella ricerca di capitali per aumentare il proprio requisito patrimoniale o costringere alla vendita di asset o rami d azienda. 66

4 MODELLI E PROCESSI PER LA GESTIONE DEL RISCHIO OPERATIVO 4.1 Rischio operativo Il rischio operativo non è stato mai stato preso in considerazione nell ambito bancario e assicurativo almeno fino ai primi anni Duemila grazie all introduzione della disciplina regolamentare Basilea 2 che introduce la definizione divenuta poi uno standard e adottata nella sostanza da Solvency II: rischio di perdite derivanti da inadeguatezza o dalla disfunzione di processi interni, delle persone, dei sistemi o da eventi esterni e da eventi esogeni 12. L esigenza di introdurre una specifica disciplina in materia nell ambito bancario prima e assicurativo poi, è da ricondurre all accresciuta esposizione di istituti bancari e assicurativi a tale categoria di rischio determinata, tra l'altro, dall incremento delle dimensioni aziendali, dalla complessità delle strutture organizzative e distributive, dall innovazione finanziaria, dal ricorso a schemi giuridici complessi nell attività operativa. Leggendo le prime pubblicazioni effettuate dalla BIS (Bank of International Settlements), emergono le circostanze che portarono all introduzione di tale rischio: rilevare un insieme complemento di rischi che non trovavano collocazione in precedenti sistemazioni e le cui manifestazioni si trovavano spesso impropriamente appostate o diluite tra generiche voci di costo all interno delle scritture contabili, vuoi perché se ne fraintendeva la natura, vuoi perché un esplicita connotazione avrebbe potuto comportare imbarazzanti conseguenze sul piano reputazionale (Hajek, 2011). Non esiste quindi un unica definizione di cosa può rientrare nel rischio operativo e cosa no ma si può provare a compilare un elenco (non esaustivo): falle nei processi di controllo e management; irregolarità nei processi IT; errori umani; frodi; rischi legali e giurisdizionali; disservizi vari. È evidente come un primo aspetto che caratterizza il rischio operativo è l eterogeneità delle sue manifestazioni (si varia da errori di sistemi IT a interruzioni di servizi come erogazione dell energia elettrica, da disastri ambientali a incendi dovuti a fughe di gas ecc.) nonché l essere caratterizzato dalla preponderanza, in termini di impatto assoluto, dei cosiddetti cigni 12 Il rischio operativo include i rischi giuridici ma non i rischi derivanti da decisioni strategiche e i rischi di reputazione (art. 101 Direttiva 2009/138/CE) 67

neri ossia di eventi che si verificano molto raramente ma che producono effetti catastrofici. Tali considerazioni forniscono una prima motivazione alla difficoltà di reperire una base statistica sufficiente delle manifestazioni del rischio operativo; questa indisponibilità ha implicazioni piuttosto rilevanti tanto da un punto di vista quantitativo (i.e. difficoltà di calibrazione dei modelli matematici tradizionali di proiezione per la quantificazione delle perdite potenziali future e quindi del capitale necessario a coprire tali perdite) quanto da un punto di vista di gestione fattiva del rischio operativo e va quindi tenuta in debita considerazione quando si decida di approcciarsi alla problematica. Naturalmente la gestione dei rischi operativi non è da considerarsi come processo esclusivamente passivo (analisi, misurazione e conseguente accantonamento di capitali) ma è necessario che essa entri nel merito dell operatività aziendale, migliorando l efficientamento dei processi con finalità di mitigazione dei rischi. Affinché ciò sia possibile è indispensabile che il personale responsabile delle funzioni componenti i processi partecipi sistematicamente alla valutazione della vulnerabilità delle attività che si trova a sovraintendere e sia posto in condizione di trasmettere agli organi di controllo il proprio giudizio senza possibilità di fraintendimento in merito all oggetto, al metodo e al merito di giudizio stesso. Nella trattazione di questo capitolo verranno esaminati i metodi standard proposti da Solvency II e Basilea III per la misurazione del rischio operativo e successivamente verranno proposte alcune metodologie alternative di calcolo. 4.2 Il rischio operativo in Solvency II formula standard La formula standard per il calcolo dei requisiti di solvibilità relativa ai rischi operativi concede poco spazio a esercizi interpretativi essendo in ultima analisi una funzione che, calibrata a priori, pone in relazione il volume delle attività all esposizione dei rischi in oggetto. Gli input da inserire nella formula sono i seguenti: pearn life = premi incassati durante i 12 mesi precedenti all anno di riferimento del calcolo per contratti di assicurazione nel ramo vita, senza deduzione dei premi ceduti ad un riassicuratore; pearn life-ul = premi incassati durante i 12 mesi precedenti all anno di riferimento del calcolo per contratti di assicurazione nel ramo vita dove il rischio di investimento è sostenuto 68

dall assicurato (ad esempio prodotti unit-linked 13 ), senza deduzione dei premi ceduti ad un riassicuratore; pearn non-life = premi incassati durante i 12 mesi precedenti all anno di riferimento del calcolo per contratti di assicurazione nel ramo danni, senza deduzione dei premi ceduti ad un riassicuratore; Earn life = premi incassati durante i 12 mesi precedenti per contratti di assicurazione nel ramo vita, senza deduzione dei premi ceduti ad un riassicuratore; Earn life-ul = premi incassati durante i 12 mesi precedenti per contratti di assicurazione nel ramo vita dove il rischio di investimento è sostenuto dall assicurato, senza deduzione dei premi ceduti ad un riassicuratore; Earn non-life = premi incassati durante i 12 mesi precedenti per contratti di assicurazione nel ramo danni, senza deduzione dei premi ceduti ad un riassicuratore; TP life = impegni su contratti di assicurazione vita. Per gli obiettivi di questo calcolo, le riserve tecniche non devono includere il risk margin e comprendere gli eventuali importi recuperabili da contratti di riassicurazione o SPV; TP life-ul = impegni su contratti di assicurazione vita dove il rischio di investimento è sostenuto dall assicurato. Per gli obiettivi di questo calcolo, le riserve tecniche non devono includere il risk margin e comprendere gli eventuali importi recuperabili da contratti di riassicurazione o SPV; TP nl = impegni su contratti di assicurazione danni. Per gli obiettivi di questo calcolo, le riserve tecniche non devono includere il risk margin e comprendere gli eventuali importi recuperabili da contratti di riassicurazione o SPV; Exp ul = ammontare di spese annuali sostenute durante gli ultimi 12 mesi per quanto riguarda i contratti del ramo vita dove il rischio di investimento è sostenuto dall assicurato; BSCR= SCR base Il fabbisogno di capitale per il rischio operativo secondo la formula standard è determinato come segue: SCR Op =min 0,3 BSCR;Op +0,25 Exp ul 13 Le polizze unit-linked sono polizze assicurative a carattere finanziario (non sono un modo per assicurarsi contro un evento dannoso ma sono un modo per investire il denao) che non prevedono, di norma, capitale e rendimento minimo garantito. 69

dove: Op = requisito di capitale di base per il rischio operativo per tutte le attività tranne quelle in cui il rischio di investimento è sostenuto dall assicurato è determinato come segue: Op=max Op premium ; Op provision con: 0,04 0,03 0,04 0, 1,2 0,03 0, 1,2 e Op provision =0,045 max 0, TP life - TP life-ul +0,03 max 0, TP non-life Tuttavia questa formula risulta alquanto semplicistica (tiene conto dei premi incassati e delle obbligazioni nei contratti in essere) e non è in grado di considerare eventi di portata eccezionale sia nella frequenza che nell impatto. 4.3 Il rischio operativo in Basilea III formula standard La normativa Basilea III prevede che gli istituti bancari possano scegliere di utilizzare uno (o una loro combinazione previa autorizzazione delle autorità competenti) dei seguenti modelli per misurare la propria esposizione al rischio operativo: Basic Indicator Approach (BIA) Standardised Approach ( TSA) Un fattore comune ai due approcci riguarda la presenza di requisiti qualitativi generali sul coinvolgimento degli organi aziendali nel governo e nella gestione dei rischi operativi: definizione linee generali del sistema; responsabilità per la realizzazione; vigilanza sulla funzionalità; verifica della rispondenza ai requisiti regolamentari. 70

4.3.1 Il Basic Indicator Approach Questo approccio prevede che il requisito patrimoniale sia commisurato al margine d intermediazione (MID) della banca. Il MID misura i suoi ricavi operativi lordi ed è in qualche misura assimilabile al fatturato delle imprese industriali. La normativa prevede che nel calcolo del MID (o indicatore rilevante) siano sommati i seguenti elementi (con segno positivo in caso di ricavi e segno negativo in caso di costi): a) interessi e proventi assimilati; b) interessi e oneri assimilati; c) proventi su azioni, quote ed altro titoli a reddito variabile/fisso; d) proventi per commissioni/provvigioni; e) Oneri per commissioni/provvigioni; f) Profitto (perdita) da operazioni finanziarie; g) Atri proventi di gestione. Gli istituti devono successivamente calcolare il valore medio degli ultimi tre del MID e moltiplicarlo per un fattore di rischio α = 15% fissato dal Comitato di Basilea per ottenere il requisito patrimoniale relativo al rischio operativo: ; % ; dove N rappresenta il numero di anni, tra gli ultimi tre, in cui il MID è stato positivo. 71

4.3.2 Lo Standardized Approach L approccio standard prevede che il requisito patrimoniale sia calcolato separatamente per le principali linee di attività moltiplicando il loro margine d intermediazione per uno specifico coefficiente di rischiosità diverso per le singole business line secondo la seguente tabella j Business line 1 Servizi finanziari per l impresa 18% 2 Negoziazioni e vendite 18% 3 Intermediazione al dettaglio 12% 4 Servizi bancari a carattere commerciale 15% 5 Servizi bancari al dettaglio 12% 6 Pagamenti e regolamenti 18% 7 Gestioni fiduciarie 15% 8 Gestioni patrimoniali 12% Tabella 26: coefficiente di rischiosità nello standardized approach Per il calcolo del requisito patrimoniale relativo al rischio operativo, i valori dei coefficienti vanno moltiplicati per il margine d intermediazione facendo riferimento alla media degli ultimi tre anni: 3 max j=1 K TSA = β j MID j, i-1;0 3 i=1 dove MID j, i-1 indica il margine di intermediazione della j-esima business line nell anno i-1. 8 Le banche che vogliono adottare il metodo standard devono avere un efficace sistema di gestione dei rischi operativi: classificazione delle attività nella business line regolamentari; sistema di raccolta e conservazione dei dati sui rischi operativi; valutazione annuale dell esposizione ai rischi operativi; sistema di reporting (risultati della valutazione, descrizione azioni di prevenzione e mitigazione); 72

effettuare un processo autovalutativo per valutare la qualità del sistema di gestione dei rischi operativi. Come riportato in precedenza, gli approcci standard per la misurazione del rischio operativo proposti dalle due normative sono troppo semplicistici e basati sulla grandezza (espressa dai premi nel caso delle assicurazioni e dal MID nel caso bancario) dell istituto; in questo modo non vengono rilevati tutti gli eventuali processi messi in piedi dal management per la gestione del rischio stesso e non vengono differenziati i vari tipi di rischi a cui può essere soggetta l attività bancaria e assicurativa. Per questo motivo per gli istituti risulta più utile dotarsi di sistemi e modelli interni al fine di una corretta allocazione del capitale. In particolare Basilea III prevede che l istituto possa utilizzare un proprio modello di valutazione (cosiddetto Advanced Measurement Approach AMA) del rischio operativo (preventivamente validato dall Autorità di Vigilanza) purchè siano rispettati i seguenti requisiti qualitativi e quantitativi tra i quali: il sistema interno di misurazione del rischio operativo deve essere perfettamente integrato nell attività quotidiana della banca; l istituto bancario deve disporre di una funzione indipendente di gestione del rischio operativo; i processi di gestione del rischio operativo ed i relativi sistemi devono essere sottoposti a revisione periodica; le analisi di scenario utilizzate per valutare la propria esposizione a eventi di particolare gravità devono essere condotte da esperti e validate e rivedute nel tempo. Nell ambito di Solvency invece, l ORSA incoraggia le imprese di assicurazione ad interrogarsi sulla struttura di un sistema interno dedicato al controllo e gestione del rischio e pertanto vede di buon occhio l utilizzo di processi atti ad aumentare la cultura del rischio all interno delle aziende. All interno di un gruppo, la scelta di un modello può essere diversificata in base alle caratteristiche delle aziende componenti il gruppo stesso: a tal proposito si rende necessario uno studio sui costi/benefici dell utilizzo di un modello piuttosto che di un altro. Ad esempio alcune aziende del gruppo possono presentare una dimensione ridotta che le espone ad un contenuto volume di operatività: in tal caso l adozione di un modello interno potrebbe apportare pochi benefici rispetto all utilizzo di un modello standard. Di seguito verranno esaminati i modelli e metodi (quantitativi e qualitativi) prevalentemente utilizzati nel business assicurativo e bancario. 73

4.4 Loss distribution approach L analisi quantitativa dei rischi operativi è materia ancora dibattuta e controversa soprattutto a causa del carattere sporadico degli eventi di perdita operativa che rende problematica la raccolta di serie storiche sufficientemente consistenti e rappresentative ovvero idonee all elaborazione di modelli inferenziali attendibili e robusti. La metodologia generalmente seguita prende il nome di Loss Distribution Approach con l obiettivo di simulare, relativamente ad un singolo rischio, le perdite in carico a molteplici scenari che nelle intenzioni riproducono un repertorio sufficientemente ampio di possibili combinazioni (frequencies; severities). Questa metodologia si compone di quattro fasi: 1) costruzione della distribuzione di frequency; 2) costruzione della distribuzione di severity; 3) costruzione della distribuzione aggregata delle perdite operative come convoluzione delle precedenti; 4) calcolo del 99,9 percentile di tale distribuzione. 4.4.1 Costruzione della distribuzione di frequency Per costruire la distribuzione aggregata sulla quale poi andrà calcolato il 99,9 percentile è necessario partire dall assunzione che tutti gli eventi facenti parte del rischio operativo siano reciprocamente indipendenti, che il costo di ogni incidente sia identicamente distribuito e che la variabile che rappresenta il numero di eventi e quella che rappresenta il costo di ogni singolo incidente siano indipendenti. Con queste assunzioni si può definire come impatto di perdita totale X in un determinato periodo (ad esempio un anno) la seguente variabile: k t X t = Z i, t i=1 con: k t = variabile aleatoria che segue la distribuzione della frequenza di accadimento degli eventi Z i = variabili aleatorie i.i.id. che seguono la distribuzione della severity (costo di ogni singolo evento). Per ricavare questo impatto è necessario partire da realizzazioni stocastiche (statisticamente compatibili con il campione) di k e Z e generare nuove combinazioni impatto/frequenza secondo le rispettive probabilità. 74

Le distribuzioni di probabilità di impatto e frequenza vengono approssimate con distribuzioni ideali e con l utilizzo di parametri che permettono di avvicinarsi il più possibile alla distribuzione reale. Per stimare la frequency può essere utile suddividere i dati di perdita (raccolti da fonti esterne o interne) in una serie di classi di rischio composte da dati omogenei e numericamente significativi all interno di un dato periodo. Successivamente si deve procedere alla scelta di una distribuzione che si adatti ai dati raccolti: solitamente la scelta ricade sulla distribuzione di Poisson poiché esprime le probabilità per il numero di eventi che si verificano successivamente ed indipendentemente in un dato intervallo di tempo, sapendo che mediamente se ne verifica un numero λ. Per stimare i parametri per i quali una funzione data esprima quanto più fedelmente possibile la regola di distribuzione teoricamente osservata, si assume che i dati osservati siano stati osservati in quanto più probabili. Pertanto i parametri devono essere specificati in modo che il valore della distribuzione sia massimo in corrispondenza dei valori osservati. Lo stimatore di massima verosimiglianza della Poisson corrisponde alla semplice media dei valori osservati e coincide con la varianza. Tuttavia, considerata la natura del campionamento dei dati che a volte può presentare cluster 14 di accadimenti lontani dalla media, è preferibile utilizzare la binomiale negativa che consente di trattare la varianza indipendentemente dalla media; infatti il limite della Poisson consiste nell uguagliare la media alla varianza, sottostimando quest ultima. Per stimare i parametri della binomiale negativa si utilizza il metodo dei momenti 15, contrariamente a quanto accade con la Poisson. È importante capire quali sono gli elementi da considerare per la scelta del tipo di frequenza: 1) la limitatezza dei dati a disposizione per la stima; 2) la conveniente proprietà matematica della Poisson per cui la somma di due variabili indipendenti Poisson è ancora una variabile Poisson; 3) la bassa sensibilità del VaR della distribuzione di perdita alle caratteristiche della frequenza. In particolare questo accade per le distribuzioni che presentano code molto spesse: i quantili elevati della perdita annua sono influenzati solo dal valore atteso del numero di eventi annui, ma non dalla sua intera distribuzione. 14 Per cluster si intende un gruppo omogeneo di dati 15 Nel metodo dei momenti la media e la varianza vengono stimate come derivata prima e derivata seconda della funzione generatrice dei momenti. 75

4.4.2 Costruzione della distribuzione di severity Le funzioni di ripartizione impiegate per rappresentare l entità economica dei sinistri sono molteplici e la selezione della funzione più adatta a tal scopo dipende dalle caratteristiche del campione impiegato; solitamente i rischi operativi danno luogo ad un gran numero di perdite di piccolo importo e ad un bassissimo numero di perdite estreme. Questo potrebbe portare a rifiutare tutte le distribuzioni tradizionali a causa della sottostima della probabilità della coda. La soluzione consiste nell utilizzare modelli EVT (Extreme Value Theory) che consentono di modellare i valori estremi di una distribuzione di dati. Al contrario, i metodi tradizionali focalizzano l attenzione sui tratti della distribuzione empirica dei rendimenti con maggiore densità di frequenza e tendono ad ignorare gli eventi rari. Uno degli approcci pratici per l analisi dei valori estremi consiste nell estrarre da un record di valori continui, i valori più alti registrati al di sopra di una certa soglia in un qualsiasi periodo. Questo metodo è conosciuto come POT model (Point Over Thresold) e naturalmente può portare ad estrarre diversi valori oppure nessuno. Il POT model è una tecnica che sfrutta le proprietà asintotiche delle eccedenze dei valori di una serie rispetto ad una determinata soglia al fine di effettuare una stima parametrica della coda da cui ricavare le misure di rischiosità. La procedura utilizzata consiste nel creare un modello statistico composto da due componenti: una distribuzione empirica dei dati raccolti fino ad una certa soglia u nel dominio (0; u); una distribuzione parametrica (o semiparametrica) valida per la coda del dominio oltre la soglia u (u; + ). La distribuzione semiparametrica è composta da una mistura di una distribuzione continua ed una distribuzione discreta, atta a modellare i valori ripetuti (c.d. ties) sopra la soglia u. Il seguente grafico tratto da un elaborazione di un importante istituto bancario italiano aiuta nella comprensione della composizione di una distribuzione corpo empirico + coda parametrica: 76

f corpo-coda Distribuzione empirica Distribuzione discreta per modellare i ties oltre la soglia Funzione mistura: distribuzione parametrica continua + distribuzione discreta Distribuzione parametrica oltre la soglia Figura 5: distribuzione corpo empirico + coda semiparametrica A questo punto diventa necessario trovare una distribuzione delle perdite eccedenti una certa soglia: in questo caso viene in soccorso il teorema di Pickands Balkema de Haan 16 secondo il quale se la soglia è sufficientemente grande, la distribuzione delle perdite è approssimata dalla distribuzione generalizzata di Pareto (GDP) indipendentemente dalla distribuzione di partenza. Una volta individuata la soglia, sarà sufficiente stimare con metodi statistici i parametri della distribuzione teorica che meglio approssima i dati empirici dei valori eccedenti tale soglia per ottenere una distribuzione di probabilità degli stessi indipendentemente dalla forma originaria. 4.4.2.1 La distribuzione generalizzata di Pareto (GDP) e la determinazione della sua soglia Data una variabile casuale X, l accadimento di una eccedenza (inteso come valore superiore ad una certa soglia u) è condizionato dall evento che l osservazione sia maggiore della soglia u. 16 Sia X la variabile aleatoria con supporto positivo che indica la singola perdita per una specifica Risk Class. La distribuzione degli eccessi oltre la soglia u, i.e. la distribuzione della variabile X-u X>u è data: f u (x u) = f(x)/1 F(u) Sia F u (y) la distribuzione condizionata degli eccessi y=x-u. Si dimostra che F u (y).gdp(µ; σ; ξ) Ne segue che: Se è possibile trovare u sufficientemente grande, la GPD è la distribuzione per il modelling della coda. 77

Tale probabilità condizionata, detta F la probabilità cumulata della variabile X, risulta: F u x = F x -F u 1-F u Si dimostra che, per u, ovvero per una soglia sufficientemente grande da approssimare tale condizione, F u x G (x) dove G x =1-1+ ξx β - 1ξ se ξ 0 dove: G x =1-exp - x se ξ = 0 β β= σ+ ξ u- µ x>0 x β 0 se ξ 0 0 x β - 1 ξ se ξ <0 La GDP dipende da tre parametri: il parametro µ definito come parametro di posizione: al suo variare si sposta la distribuzione; se µ aumenta, la distribuzione si sposta a destra, se diminuisce, si sposta a sinistra; il parametro σ definito come parametro di scala: se aumenta, la distribuzione si allarga, altrimenti si restringe; il parametro ξ definito come parametro di forma che regola la curtosi della distribuzione: più è alto, maggiore è la probabilità di eventi estremi. Una seria criticità all applicazione della teoria dei valori estremi è la determinazione della soglia di valore u della variabile aleatoria oltre la quale diventa legittimo utilizzare la GDP quale legge di distribuzione rappresentativa del comportamento agli estremi di un campione osservato; infatti scegliendo un valore basso, aumenta il numero di osservazioni disponibili ma introduce osservazioni provenienti dalla parte centrale della distribuzione, così distorcendo la stima dei parametri rappresentativi della forma della coda. Al contrario, 78

scegliendo un valore più alto, si riduce tale distorsione ma rende più volatile il tail index (indicato come inverso del parametro ξ) e le stime di capitale. Tuttavia per alcune risk class la base dati può essere costituita da dati di importo inferiore al valore di soglia oltre la quale può ritenersi valida l approssimazione asintotica della GDP. A tal proposito può essere utile considerare anche distribuzioni parametriche addizionali per il modelling della coda della severity, la maggior parte delle quali costituiscono inoltre generalizzazioni della GDP. Al fine di un utilizzo appropriato della GPD (o di sue possibili generalizzazioni), risulta dunque di fondamentale importanza un adeguata scelta del valore di tale soglia. Si è perciò considerato un set di 4 differenti algoritmi di ricerca della soglia, volti a determinare uno specifico valore della soglia stessa. Una delle tecniche utilizzate per determinare il valore della soglia consiste nel considerare un intervallo di soglie e di effettuare la stima dei parametri della distribuzione per ciascuna soglia dell intervallo, selezionando poi il valore di soglia in corrispondenza del quale il valore del parametro stimato appartiene all intorno dei valori più stazionari. La giustificazione di questo criterio si fonda sull idea per cui se una GDP rappresenta un modello accettabile per delle osservazioni oltre la soglia, allora le osservazioni oltre una più alta soglia u devono anch esse essere rappresentabili dalla medesima GDP; in particolare il valore del parametro di forma ξ dovrebbe rimanere invariato. In pratica, per individuare un valore di soglia utilizzabile nella rappresentazione dei valori estremi attraverso la GDP, è necessario disegnare il grafico di ξ in relazione a u e assumere quale valore di sia il più basso valore di u per il quale il valore di ξ rimanga pressoché costante. Questa procedura ha il compito di individuare la soglia dalla quale è possibile applicare la GDP; per effettuare il calcolo è necessario ordinare in ordine crescente gli importi delle perdite e successivamente calcolare lo stimatore di Hill relativo ad ogni importo, secondo la formula: H i, n = n j=i+1 logy j -logy n-i i dove indica l i-esimo importo di perdita, per < < <, con n il numero totale di valori nella serie di partenza. Tra questi valori si seleziona l estimatore che risulta più stazionario rispetto al proprio intorno: δ S i = H i-j - H i-j-1 2 j=1 79

con δ = 3, ampiezza dell intervallo considerato: l indice i trovato è la soglia, mentre l importo che, nella serie ordinata, si trova in posizione i costituisce il valore soglia. 4.4.2.2 Fitting della severity attraverso la GDP Per stimare i parametri della distribuzione GDP si segue esattamente lo stesso metodo utilizzato per il fitting della frequency in cui attraverso il metodo dei momenti si perveniva a due estimatori funzione di media e varianza della popolazione osservata; a cambiare sono soltanto le formule degli stimatori stessi: a = 1 2 2 E Y 1+ E Y S Y c = 1 2 1- E Y 2 S Y dove e sono, rispettivamente, la media e la deviazione standard dei valori osservati eccedenti la soglia prima calcolata. Una volta calibrato il modello è necessario misurare la qualità dell approssimazione ottenuta mediante alcuni test: uno di questi è il test di Kolmogorof-Smirnov. Il test misura l aderenza della distribuzione teorica ai dati osservati confrontando la discrepanza massima dei valori osservati con una tabella di valori critici; se tale discrepanza è superiore al valore critico per un fissato intervallo di confidenza si rigetta l ipotesi nulla di conformità della distribuzione teorica. In particolare sia X una v.c. continua con funzione di ripartizione F(x): il test vuole verificare che la variabile casuale X abbia una funzione di ripartizione uguale a quella teorica (ipotizzata come vara) F 0 (X). In simboli, il problema è del tipo: H 0 :F x = F 0 x, x contro H 1 :F x F 0 x, per qualche x Assumendo che sia la stima campionaria della vera funzione di ripartizione della variabile casuale X, il test vuole misurare una qualche distanza tra e. Se e sono vicine si accetta l ipotesi nulla, mentre la si rifiuta se e sono lontane. Come distanza si usa la seguente: 80

D n = sup - <x<+ F n x - F 0 x cioè la massima differenza (in valore assoluto) tra la funzione di ripartizione empirica e la funzione di ripartizione teorica. Per valori grandi di si rifiuta l ipotesi nulla, mentre la si accetta per valori piccoli. Dopo aver effettuato il test, viene successivamente calcolata un altra grandezza Q, uguale al rapporto tra il numero di importi oltre la soglia di stazionarietà, cioè il numero di elementi del vettore che prende in input la GDP e il numero di perdite presenti in tutta la serie storica di partenza. Questa grandezza indica che, nell intervallo temporale considerato, su N eventi di perdita, n 1 sono stati eventi estremi e di questo rapporto se ne dovrà tener conto nella convoluzione. Nel caso si abbiano a disposizione altri modelli oltre alla GDP, sarà necessario stabilire dei criteri di Model Selection per scegliere il modello che meglio si adatta ai dati empirici; a tal proposito si è deciso di illustrare due metodi utilizzati da alcuni istituti bancari: la divergenza di Kullback Leibler e l Akaike Information Criteria. Assumiamo che f( ϑ) sia un possibile modello da stimare e sia g(x) il modello vero, ovvero il Data Generating Process (DGP). L informazione di Kullback Leiblern di g in f( ϑ) (o divergenza di Kullback Leibler tra g e f( ϑ)) è una misura della distanza tra due distribuzioni di probabilità, che indica la la perdita di informazione che si ha utilizzando la distribuzione f( ϑ) per approssimare il vero modello g. In particolare, la distanza di Kullback Leibler(KL) è definita come: + KL(g;f ϑ = g(x) - ln g(x) dx f g ϑ 1 Dato un set di modelli candidati, all interno di questo framework appare naturale scegliere il modello che minimizza la perdita di informazione, i.e. minimizza KL(g;f ϑ. Sviluppano la (1) si ottiene + + KL g;f ϑ = g x ln g x dx- g x ln f x ϑ dx=s g, g -S g, f ϑ - - Poiché S(g, g) non dipende dal modello candidato, minimizzare KL equivale a minimizzare -S g, f ϑ 81

Sulla base delle proprietà degli stimatori di Maximum Likelihood (ML), è possibile dimostrare che l approssimazione empirica di -S g, f ϑ è data da: n AIC ϑ = -2 log f x i ϑ i=1 + 2k dove k è la dimensione di ϑ, ovvero il numero di parametri da stimare ed n la numerosità dei dati. Tale espressione coincide con il ben noto e utilizzato criterio di informazione di Akaike (AIC). Esso ottimizza il trade off tra adattamento del modello ai dati osservati (massima verosimiglianza) e complessità del modello (ridurre il numero di parametri). Da un punto di vista concettuale, le condizioni che nel loro assieme determinano la scelta del fit possono essere riarticolate in due gruppi: condizioni volte a verificare la rappresentatività del fit convergenza stime esistenza media minima numerosità dati sottostante alla stima condizioni volte a verificare la bontà (statistica) del fit test di Kolmogorof-Smirnov (GoF) (1) criterio di Akaike (AIC) (2) Da un punto di vista statistico i criteri (1) e (2) sono complementari i test GoF verificano se un dato modello (un fit) è compatibile con i dati oggetto di analisi (i.e. rappresentano procedure formali per testare l ipotesi H0: i dati si distribuiscono secondo il modello stimato). Il test di GoF non permette però di confrontare modelli diversi, perché la misura da esso prodotta (il p-value del test) non può essere utilizzata per effettuare un ranking di modelli concorrenti il criterio di Akaike fornisce invece un mezzo per effettuare l attività di model selection in quanto rappresenta una misura relativa di bontà del fit. Pertanto permette un ranking di modelli concorrenti. Di converso, trattandosi di misura solo relativa, non vi è alcuna garanzia che un modello scelto sulla base del solo AIC rappresenti bene i dati analizzati. È immediato quindi dedurre che separatamente i due criteri GoF e AIC non sono sufficienti a individuare un buon fit. Invece la loro azione congiunta permette di affrontare in modo 82

semplice ed elegante il problema della identificazione di un buon fit in quanto selezionano tra modelli concorrenti solo fit che mostrino un accordo con i dati. 4.4.2.3 Monte Carlo convolution Una volta calcolata la distribuzione di frequency e severity, è necessario determinare la distribuzione aggregata delle perdite attraverso la convoluzione delle due distribuzioni. Generalmente non sono possibili soluzioni analitiche e per questo si utilizza la simulazione di Monte Carlo. Con questo metodo si ricompongono le serie di severity e frequency simulando un numero elevato di possibili scenari e si costruisce la variabile S procedendo per step: 1) si estrae casualmente un valore n dalla distribuzione delle frequencies; 2) si estrae un numero casuale tra 0 e 1 per scegliere la serie da cui estrarre ogni importo di perdita: se questo è maggiore del percentile calcolato nella GDP (Q nel paragrafo precedente) l importo viene estratto dalla serie di valori non estremi, altrimenti dalla serie dei valori estremi; 3) si estraggono casualmente n variabili x i dalla distribuzione delle severities in base al parametro Q e se ne costruisce la somma; 4) si ripete il processo per un numero sufficiente grande di scenari e si studia la distribuzione empirica delle S così ottenuta; 5) dalla distribuzione cumulativa empirica di S si determina il CaR (Capitale a Rischio) come il percentile al livello desiderato. Il capitale a rischio per una singola classe di rischio è pari al Value at Risk (VaR) tratto dalla distribuzione di perdita. Il VaR è il quantile individuato dall intervallo di confidenza α (i.e. α = 99,9%) della distribuzione di perdita. Ordinando le perdite in maniera crescente (s 1:J s 2:J s J:J ) il VaR è definito come : VaR 99,9% = F s -1 99,9% =inf s j:j : j J 99,9% 4.4.3 Vantaggi e limiti del LDA I vantaggi nell utilizzo del LDA includono: utilizzo di distribuzioni statistiche ben conosciute può aiutare il processo di calibrazione; 83

dividere le perdite in base alle componenti di frequency e severity consente una valutazione più accurata di questi drivers che di solito sono caratterizzati da processi statistici differenti; costruire, implementare, validare e utilizzare modelli LDA non richiede delle grandi risorse computazionali; si tratta di modelli abbastanza flessibili e adattabili a nuovi business operativi. I limiti invece comprendono: l integrazione di dati interni, dati esterni, scenario analysis e giudizio di esperti può essere abbastanza complessa; l assunzione di indipendenza tra la distribuzione di frequency e quella di severity costituisce un grosso limite; l approccio statistico si basa sull assunzione che la natura dei processi sottostanti sia stabile; questo può non avvenire nelle aziende in cui le attività operative sono in continuo cambiamento, diventando più o meno rischiose. 4.5 Il problema della data quality L utilizzo di modelli più o meno sofisticati non può prescindere dall utilizzo di procedure e processi interni che garantiscano l appropriatezza, la completezza e l accuratezza dei dati raccolti all interno dell impresa. La principale funzione coinvolta nei processi nel processo di data quality è sicuramente quella legata all Information Technology (IT) che rappresenta la funzione che si occupa di assicurare il cosiddetto Data Quality tecnico, cioè di garantire che, nei passaggi tra sistemi e nelle elaborazioni all interno dello stesso sistema, la qualità iniziale del dato rimanga inalterata. La qualità dei dati costituisce un punto cruciale per ottenere l approvazione delle Autorità di Vigilanza, sia che si tratti della validazione di un modello standard, sia di quello di un modello interno. Infatti entrambe le normative prevedono dei vincoli che devono essere soddisfatti dai processi informativi per la gestione dei dati. Ad esempio nella Circolare 263 Banca d Italia Titolo II, Capitolo 5 vengono definiti gli elementi caratterizzanti del sistema di gestione dei rischi operativi: a) il sistema di raccolta e conservazione dei dati; b) il sistema di reporting; c) utilizzo gestionale del sistema di misurazione. Per quanto riguarda il punto a), la banca deve predisporre un sistema di raccolta e conservazione dei dati sui rischi operativi idoneo ad assicurare efficacia ai sistemi di gestione 84

e di misurazione di tali rischi. I dati sui rischi operativi comprendono sia i dati riferiti alle quattro componenti di cui si è tenuto conto nel sistema di misurazione sia altri dati utilizzati per finalità gestionali. Tale sistema deve garantire il raggiungimento e il mantenimento dei requisiti di completezza, affidabilità e aggiornamento dei dati. A tale fine la banca: - sviluppa sistemi informativi adeguati ad assicurare nel tempo l integrità, la riservatezza e la disponibilità delle informazioni raccolte; - effettua periodiche verifiche sul sistema di raccolta e conservazione dei dati sui rischi operativi. Nella predisposizione del sistema di reporting (punto b), la banca deve predisporre un sistema di reporting che assicuri informazioni tempestive in materia di rischi operativi agli organi aziendali e ai responsabili delle funzioni organizzative interessate. La frequenza e il contenuto del reporting devono essere coerenti con il livello di rischio e possono variare in base al destinatario e all utilizzo dell informazione. Particolare rilevanza assumono le informazioni in merito ai seguenti aspetti: - informazioni articolate su alcune componenti (ad esempio, maggiori perdite e relativi recuperi; evoluzione dei fattori di contesto operativo e del sistema dei controlli interni tali da modificare significativamente il profilo di rischio operativo); - identificazione delle aree di vulnerabilità, descrizione delle azioni per la prevenzione e l attenuazione dei rischi operativi e indicazione dell efficacia delle stesse; - valutazioni sui rischi operativi connessi con l introduzione di nuovi prodotti, attività, processi e sistemi rilevanti; - stima del contributo dei rischi operativi alla determinazione del capitale economico; - indicazioni sulle modalità di trasferimento del rischio. Infine nelle caratteristiche relative al punto c) viene sottolineato come il sistema di misurazione dei rischi operativi deve risultare strettamente integrato nei processi decisionali e nella gestione dei rischi. Esso non deve essere limitato alla determinazione del requisito regolamentare, ma deve essere funzionale a rafforzare il sistema di gestione dei rischi operativi, ai fini del miglioramento dei processi aziendali e del sistema dei controlli interni. Infine se la banca vuole adottare i metodi AMA per il calcolo del requisito patrimoniale solo a condizione che il sistema di misurazione dei rischi operativi risulti essere utilizzato a fini gestionali. Tale condizione deve sussistere dal momento della presentazione della domanda di autorizzazione. 85

Per quanto riguarda la normativa assicurativa in vigore in Italia, nell art. 12 del Regolamento 20 dell IVASS si impone che le informazioni rispettino i principi di accuratezza, completezza, tempestività, coerenza, trasparenza e pertinenza così definiti: a) accuratezza: le informazioni devono essere verificate al momento della ricezione e anteriormente rispetto al loro uso; b) completezza: le informazioni devono coprire tutti gli aspetti rilevanti dell impresa in termini di quantità e qualità, inclusi gli indicatori che possono avere conseguenze dirette o indirette sulla pianificazione strategica dell attività; c) tempestività: le informazioni devono essere puntualmente disponibili, in modo da favorire processi decisionali efficaci e consentire all impresa di prevedere e reagire con prontezza agli eventi futuri; d) coerenza: le informazioni devono essere registrate secondo metodologie che le rendano confrontabili; e) trasparenza: le informazioni devono essere presentate in maniera facile da interpretare, garantendo la chiarezza delle componenti essenziali; f) pertinenza: le informazioni utilizzate devono essere in relazione diretta con la finalità per cui vengono richieste ed essere continuamente rivedute e ampliate per garantirne la rispondenza alle necessità dell impresa. Inoltre la Direttiva 2009/138/CE si esprime in merito ai modelli interni: i dati utilizzati devono essere accurati, completi e appropriati e l aggiornamento dei dati deve avvenire almeno annualmente. Pertanto la qualità dei dati è requisito rilevante nel processo di validation, che deve includere una valutazione dell accuratezza, completezza e appropriatezza dei dati utilizzati nel modello interno. Come visto, il dato assume un importanza rilevante, soprattutto nel caso di utilizzo di modelli interni: il tipo di dato disponibile condiziona la scelta dei metodi di calcolo utilizzabili e quindi la qualità stessa del modello e l efficacia delle misurazioni; dati di alta qualità potenziano il modello interno, poiché ampliano l insieme delle tecniche statistiche (potenzialmente) utilizzabili, e consentono scelte metodologiche più adeguate ai profili di rischio del business. Tuttavia pensare che la richiesta di data quality sia legata principalmente ai modelli interni sarebbe un errore: tale richiesta, al contrario, è trasversale in tutti i pilastri di cui si compongono i due accordi: il primo pilastro ha bisogno di informazioni quantitative contabili, finanziarie, volte ad alimentare il processo ALM, documentate formalmente e volte ad identificare fattori di dipendenza ed integrazione; il secondo pilastro esprime fabbisogni più 86

orientati al reporting real time, alla tracciabilità del processo di risk management e di feedback verso i diversi business; il terzo pilastro manifesta oltre che l esigenza di disporre di sistemi di consolidamento delle informazioni (peraltro anche avvertita dagli altri due pilastri), di produzione di flussi informativi a certe scadenze e di robustezza di meccanismi di reporting esterni. Pertanto l IT costituisce una parte essenziale in ogni sistema di controllo interno indipendentemente dal tipo di rischio (registrazioni contabili e finanziarie, obblighi di compliance o operativi) e di conseguenza, a livello di impresa, è una componente imprescindibile della gestione del rischio aziendale. 4.6 Il rischio IT Se da un lato i sistemi di IT sono indispensabili per la gestione dei dati all interno di un azienda, dall altro essi stessi possono essere soggetti a rischi. In questo modo si crea un specie di circolo vizioso dove i processi ed i sistemi che forniscono dati per misurare il rischio, diventano essi stessi parte di quel rischio da misurare. Questo diventa sempre più vero quanto più l operatività di un azienda dipende dall integrità del suo sistema IT. Il suo successo dipende, in misura maggiore, dalla sua abilità di utilizzare basi dati estremamente ricche e complesse, e consentire al management di prendere decisioni in base ai cambiamenti del settore. Le performance di un organizzazione finanziaria o assicurativa subiranno un impatto negativo se queste andranno incontro a in falle, errori o interruzioni di servizio. Perciò ogni organizzazione deve implementare un processo di aggiornamento e miglioramento dei propri sistemi informatici. I rischi che possono colpire i sistemi IT sono: errore umano; frode interna tramite manipolazione del software; frode esterna; presenza di applicazioni e di macchinari obsoleti; danni ad asset fisici; malfunzionamenti dei sistemi informativi. Questi rischi possono essere gestibili ma sarà necessario aumentare la specializzazione delle persone coinvolte nei processi informatici, investendo su un team di esperti in economia/finanza e ingegneri informatici. 87

Pertanto l Information Technology è costituisce un aspetto critico del business, rendendo di fatto l IT risk, una volta concepito come componente marginale del rischio operativo, un vero e proprio rischio da identificare e gestire. Tuttavia tale sfida risulta molto difficile l IT possiede spesso caratteristiche tali per cui è richiesta una particolare attenzione sull allineamento del business, ruoli e responsabilità, politiche e procedure e competenze tecnologiche. La lista che segue descrive alcune considerazioni in relazione all ambiente di controllo e all IT: sempre maggiore dipendenza delle istituzioni di servizi finanziari dall Information Technology, dall uso esteso di Internet, dalla sempre maggiore complessità dei prodotti finanziari e dall aumento dei canali di distribuzione; l IT è spesso erroneamente considerato come una entità separata del business e di conseguenza come un diverso ambiente di controllo; l IT è complesso non solo in relazione alle sue componenti tecnologiche ma anche nel modo in cui tali componenti si integrano nel sistema generali dei controlli dell azienda; l IT può introdurre nuovi e maggiori rischi che richiedono nuovi e avanzate attività di controllo per gestire e mitigare con successo tali rischi; l IT richiede spesso che sia garantita l affidabilità anche di terze parti se processi o componenti IT significativi sono dati in outsourcing; spesso l ownership dei controlli IT non è chiaramente definita ed assegnata. Per questi motivi la gestione del rischio informatico è diventata una delle priorità da parte dei legislatori; ad esempio all interno del 15 aggiornamento del 2 luglio 2013 della Circolare 263 Banca d Italia, è stato dedicato un intero capitolo (Capitolo 8, Titolo V) alla gestione del rischio informativo. La Circolare prevede che all interno dell organizzazione devono essere individuati organi e funzioni aziendali con ruoli e responsabilità relativi allo sviluppo e gestione del sistema informativo. Inoltre vengono descritti i requisiti relativi a: organo con funzione di supervisione strategica; organo con funzione di gestione; organizzazione della funzione ICT; sicurezza informatica; controllo del rischio informatico; compiti della revisione interna. Una menzione particolare merita l organo di revisione interna (o internal audit) che deve essere in grado di fornire valutazioni sui principali rischi tecnologici identificabili e sulla 88

complessiva gestione del rischio informatico dell intermediario. Tuttavia l analisi del rischio informatico non dev essere effettuato esclusivamente dalla funzione di internal audit ma coinvolge anche il personale della funzione IT, le funzioni di controllo dei rischi e di sicurezza informatica secondo le metodologie e responsabilità definite dall organo con funzione di gestione. Il processo di analisi si compone di due fasi: valutazione del rischio potenziale a cui sono esposte le risorse informatiche esaminate; tale attività interessa tutte le iniziative di sviluppo di nuovi progetti e di modifica rilevante del sistema informativo; il trattamento del rischio, volto ad individuare, se necessario, misure di attenuazione, di tipo tecnico o organizzativo, idonee a contenere il rischio potenziale. La sezione III conclude infine che i risultati del processo (livelli di classificazione, rischi potenziali e residui, lista delle minacce considerate, elenco dei presidi individuati), ogni loro aggiornamento successivo, le assunzioni operate e le decisioni assunte, sono documentati e portati a conoscenza dell organo con funzione di gestione. Un ultimo aspetto da considerare riguarda al sicurezza e la protezione dei dati: nella gestione della sicurezza informatica andrebbe posta particolare attenzione agli aspetti organizzativi in quanto una struttura accuratamente disegnata consente di costituire un contrasto efficace alle minacce dirette al sistema informativo. In particolare, l organizzazione di un sistema informativo richiede lo svolgimento di una serie di attività a diversi livelli, che si possono ricondurre a tre specifiche funzioni: definizione delle policy in tema di sicurezza informatica coerentemente con gli indirizzi espressi dai vertici aziendali (e.g. definizione dei principi generali di sicurezza sulla gestione del sistema informativo da parte dei diversi profili aziendali; definizione dei ruoli e responsabilità connessi alla funzione di sicurezza informatica); realizzazione e gestione delle misure di sicurezza in attuazione delle policy di cui al punto precedente (e.g. regolamentazione dell accesso a reti, sistemi, basi dati con meccanismi di autenticazione; separazione di ambienti di test, sviluppo e produzione) verifica e controllo della corretta attuazione e dell efficienza delle misure di sicurezza adottate (e.g. monitoraggio di accessi, operazioni e altri eventi al fine di prevenire e gestire gli incidenti di sicurezza informatica; controllo della coerenza delle misure di sicurezza adottate con gli standard nazionali e/o internazionali e le normative vigenti in materia). 89

4.7 Alcuni commenti sui sistemi IT Come visto nei paragrafi precedenti, la base di partenza per il controllo del rischio è costituita dalla qualità dell infrastruttura informatica. Al giorno d oggi si producono quotidianamente un infinità di dati che devono essere gestiti per garantire la raccolta e l elaborazione della migliore informazione possibile. In tal senso, la sfida per le banche e assicurazioni sarà quella di creare (o arricchire se già presenti) degli archivi informatici che dovranno contenere, incrociare e garantire la coerenza di dati provenienti da più funzioni aziendali (e.g. contabilità, controllo di gestione). Infatti la quadratura dei dati originati da fonti differenti, sovente all origine dei problemi, è facilmente controllabile dall Autorità di vigilanza e può penalizzare e inficiare un modello seppur sofisticato. In aggiunta al sistema di raccolta dati, sarà necessaria la costruzione di un motore di calcolo che elabori i dati per le più disparate funzioni (input per i modelli interni e standard, reporting interno ed esterno ecc.). Il motore di calcolo dev essere sufficientemente robusto al fine di supportare le modalità di quantificazione dei diversi elementi di rischio (assicurativi, finanziari ed operativi). Tuttavia l area dei sistemi informativi all interno degli istituti bancari e assicurativi mostra una serie di debolezze strutturali (mancata integrazione dei sistemi, scarsa tracciabilità dei dati, mancanza di documentazione sui dati ecc.) che per essere superati necessitano di investimenti consistenti in macchine e persone. Tali investimenti devono però comprendere lo sviluppo dei processi di gestione dei sistemi informativi; in caso contrario il sistema IT costituirà soltanto un costo e potrebbe addirittura inficiare il corretto svolgimento di tutte le attività aziendali. 4.8 Loss data collection Uno degli elementi chiave per identificare, misurare, e gestire il rischio operativo è la disponibilità di informazioni sufficienti riguardanti i dati sulle perdite. Il processo di Loss Data Collection (LDC) non riguarda solo la raccolta di dati, ma anche la qualità dei dati raccolti. La disponibilità di dati omogenei, completi ed affidabili è critica per lo sviluppo, la calibrazione e l utilizzo di modelli di misura del rischio operativo che supporta l identificazione e la pianificazione delle azioni atte alla mitigazione del rischio operativo. Il principale obiettivo del processo di LDC è la valutazione dei processi di causa-effetto relativi agli eventi operativi (i.e. la quantificazione delle perdite). Gli effetti dovrebbero catturare sia impatti finanziari/economici diretti, sia quelli non economici. 90

Il processo di raccolta dati dovrebbe includere le potenziali perdite e dovrebbe consentire l analisi delle perdite registrate in base alla causa scatenante. La raccolta di informazioni basate solo sugli effetti non è generalmente sufficiente poiché ciascuna perdita dovrebbe idealmente essere analizzata in varie dimensioni. La LDC dovrebbe essere molto più che un processo di raccogliere dati di perdite in una database; dovrebbe consistere in un maturo e valutabile processo che ingloba diversi step o fasi, ognuna delle quali presenta diverse sfide. Questi step includono: 1) definizione e valutazione; 2) dati sulle perdite; 3) validazione; 4) analisi; 5) reporting. 4.8.1 Definizione ed identificazione della perdita Il primo passo riguarda la definizione di come le perdite saranno identificate e la scelta di quali dovranno essere inserite nel database. Questo processo dovrebbe includere i seguenti aspetti: chi è il responsabile per l identificazione delle perdite? Ad esempio, dovrebbe essere applicato un processo top-down (e.g. senior management) o uno bottom-up (segnalazioni provenienti dal basso con validazioni da parte del senior manager); decidere se la perdita dovrebbe essere assegnata all area in cui si sono avuti gli effetti della perdita o all area che ha causato tale perdita; il livello di automazione della raccolta dati; la soglia usata per definire il livello di ammontare minimo al di sotto del quale non è necessario raccogliere dati di dettaglio. La sfida principale consiste nell evitare tutte le possibili distorsioni che possono risultare dalle persone riluttanti a registrare le perdite causate dal loro lavoro o dalla business area di appartenenza. Questa funzione di registrazione andrebbe integrata nella cultura del rischio all interno dell azienda. 91

4.8.2 Dati sulle perdite Lo step successivo riguarda l identificazione delle dimensioni qualitative e quantitative delle perdite che devono essere registrate. I tipici fattori quantitativi che devono essere inclusi sono: la grandezza delle perdite; se la perdita è conosciuta con certezza o no; se la perdita è incerta, è necessario stabilire quali criteri adottare per valutare la probabile perdita. Se esiste effettivamente una distribuzione di probabilità, può essere utile utilizzare la media o la mediana; identificazione degli eventuali recuperi che possono essere conosciuti o solo attesi. Nella maggior parte dei casi i recuperi sono incerti una volta che la perdita si è manifestata. Inoltre, in caso di uno o più possibilità di recupero, può accadere che le varie possibilità di recupero non siano simultanee, il che significa che la stima dovrà tener conto del fattore temporale. I tipici fattori qualitativi da considerare sono i seguenti: identificazione di criteri per registrare i cosiddetti linked-event (i.e. un singolo evento che impatta su più business line) o quando la responsabilità di un evento risulta difficilmente assegnabile. In generale, in presenza di linked-events, la perdita viene assegnata alla business line in cui l evento si è manifestato mentre nel caso di responsabilità poco chiara, l evento può essere splittato in più business line/processi; identificazione di criteri robusti per registrare perdite che sono associate a più di un evento; i criteri devono minimizzare la possibilità di conteggio multiplo e/o omissioni; identificazione dei key parameters da raccogliere per ogni perdita. È cruciale identificare le informazioni minime da raccogliere; in caso di eventi che causano grosse perdite è possibile raccogliere ulteriori dati. In generale è necessario stabilire un trade-off tra utilità dei dati raccolti ed efficienza del processo di raccolta. 4.8.3 Validazione dei dati Lo scopo della validazione dei dati riguardanti le perdite consiste nell assicurare che la raccolta dei dati sia stata completa, accurata e propriamente classificata. Data la natura dell attività di LDC, la validazione deve costituire un processo continuo. Come qualsiasi processo di controllo, la validazione deve essere documentata ed eseguita da una funzione/persona indipendente rispetto all unità addetta alla raccolta di dati. Gli aspetti da considerare a questo punto sono: 92

identificazione, creazione, allocazione dei ruoli all interno dell organizzazione per eseguire le validazioni; questo dipenderà sull approccio LDC utilizzato e dalla gerarchia organizzativa; tempistiche del processo di validazione; il livello di validazione richiesto; questo dovrebbe bilanciare i costi della validazione con i benefici ottenuti; il livello appropriato di documentazione richiesto per il processo di validazione. 4.8.4 Analisi dei dati Questo step riguarda l analisi dei dati che sono stati raccolti; l analisi riguarda lo studio della distribuzione di frequency e severity (e.g con il metodo illustrato nel paragrafo precedente). Le medie, mediane, varianze e spessore delle code sono utilizzate per calibrare e validare i modelli previsionali riguardanti il rischio operativo. Uno dei problemi chiave riguarda il livello di granularità (inteso come livello di dettaglio dei dati) utilizzato per definire ciascun segmento: una maggiore granularità aumenta l omogeneità dei dati ma riduce la sufficienza dei dati. 4.8.5 Reporting L ultimo step riguarda lo sviluppo, la produzione e la distribuzione di report fruibili per ogni tipo di stakeholder, sia interno che esterno. Questo tipicamente richiede l utilizzo di un sistema di reporting con il quale è possibile accedere ai dati e produrre i report in tempo reale, che sia flessibile e che magari comprenda funzionalità che permettono di dettagliare ciascun dato presentato. Come tutti i processi informativi, la portata, la metodologia, la validazione e la frequenza di produzione dei report devono essere ben definiti ed il processo di reporting dovrebbe avere adeguate risorse per essere efficiente. Uno degli aspetti più importanti del processo di LDC è assicurare che i dati raccolti siano sufficienti per l utilizzo che se ne vuole fare; questo aspetto può essere abbastanza complesso data il grosso numero di dati che possono essere raccolti così come la natura del processo di valutazione delle perdite che può richiedere l intervento di esperti esterni e stime quantitative. Per questo motivo, il processo di validazione dei dati dovrebbe coprire più dimensioni come la definizione della perdita, l identificazione della causa della perdita, metodi di stima, completezza dei dati catturati ecc. 93

Inoltre la disponibilità di dati completi, consistenti, e significativi diventa un problema cruciale nella gestione del rischio operativo e questo risulta vero sia per i modelli legati al rischio operativo sia dal punto di vista del management. È possibile che siano presenti distorsioni durante il processo di raccolta dati: essi possono essere mancanti in alcune business line, tipi di eventi o periodi di tempo. I dati possono anche essere distorti a causa dell utilizzo di una soglia minima in modo da controllare il costo di registrazione di perdite con alta frequenza e bassa severità. Questo approccio, se da un lato può risultare ragionevole da un punto di vista pratico, può però portare a distorsioni significative nei risultati analitici. 4.9 Risk Control Self Assessment Oltre a tecniche meramente quantitative, l impresa può integrare e coordinare la sua identificazione e gestione del rischio attraverso un processo di valutazione soggettiva (Risk Control Self Assessment, RCSA). Il processo di RCSA costituisce un elemento integrale di tutta la parte relativa alla gestione e valutazione del rischio operativo e consente di migliorare le capacità dell impresa di capire, controllare e sorvegliare il proprio rischio operativo. Il RCSA fornisce uno strumento di identificazione dei gap che minacciano il raggiungimento di prefissati obiettivi di business e permette un monitoraggio continuo su quello che il management sta facendo per cancellare questi gap. I risultati ottenuti dal RCSA possono essere utilizzati per formulare piani di azione per colmare i gap evidenziati e per effettuare considerazioni costi-benefici. Un altro aspetto importante del RCSA è la complementarietà del processo con gli strumenti di audit e management ed il fatto che viene accettato sempre più come mezzo per soddisfare i requisiti di corporate governance e normativi. Tra i benefici ottenuti nell adozione di un processo di RCSA ci sono: presenza di un meccanismo per coinvolgere il management nel processo di gestione e controllo del rischio; utilizzo di un linguaggio e valori comuni all interno dell organizzazione; chiarezza e determinate responsabilità nei piani di azione; presenza di un aperta discussione sugli argomenti relativi al rischio ed al controllo tra lo staff ed il management che comporta una maggiore trasparenza di comprensione del rischio e le sue implicazioni all interno del business; 94

attuazione di un cambio culturale che consentirà di gestire il rischio a tutti i livelli dell organizzazione durante l attività quotidiana. Tuttavia, per ottenere questi benefici, il RCSA deve essere attentamente disegnato, pianificato ed eseguito per ottenere la massima possibilità di successo ed il raggiungimento di tutti i vantaggi potenziali. Le caratteristiche tipiche di un processo RCSA sono: l identificazione degli obiettivi di business che possono essere identificati sia in termini di target di business che di scopi dei processi; l identificazione di rischi che possono minacciare il raggiungimento di questi obiettivi e delle attività e processi influenzati dai diversi rischi identificati; identificare i controlli messi in atto per evitare il perdurare dei rischi; determinare quali sono le falle presenti nel processo di controllo; valutazione dell efficacia dei controlli e del livello di rischio residuo che permane dopo il controllo. Per raggiungere gli obiettivi di auto-valutazione è necessario considerare ulteriori categorie di eventi: ad esempio può essere utile l identificazione di risk drivers che possono dimostrarsi dei buoni indicatori di come sta cambiando il profilo di rischio dell azienda. Tendenzialmente i risk drivers per loro natura sono molto predittivi per quanto riguarda eventuali problemi futuri. Esistono diverse categorie di risk drivers e le più comuni includono le persone, la soddisfazione dei clienti, i volumi delle transazioni, i livelli di automazione/manualità dei processi ecc. Ogni risk driver può essere poi ulteriormente dettagliato: ad esempio quello riguardante le persone può comprendere livelli dello staff, abilità ecc. 4.9.1 Key controls, risk owners e key risk indicators La selezione dei controlli da effettuare nel RCSA è critica per capire quali controlli sono effettivamente utili per la gestione del rischio e quali no; i controlli che presentano la miglior difesa contro un rischio particolare sono considerati key controls. I controlli possono essere suddivisi in: preventivi o ex-ante, che prevengono dall accadimento di un rischio; investigativi o ex-post, che rilevano i rischi che possono accadere. Esempi di controlli tipici all interno del settore finanziario e non possono includere politiche e procedure, key performance indicators, controllo di gestione, separazione delle funzioni ecc. Una volta che i controlli sono stati definiti, è necessario che vengano allineati ai rischi che sono associati a obiettivi di business o processi. Alcune volte i controlli sono inappropriati 95

(i.e. non adatti al rischio che deve essere controllato) e risultare un ostacolo nella realizzazione del business e degli obiettivi prefissi. Dall altro lato, se sono presenti controlli non necessari relativi ai rischi che devono essere gestiti, si possono introdurre inefficienze o addirittura ulteriori rischi di tipo operativo nel caso di errori di performance. Un efficace processo di RCSA faciliterà l identificazione di: presenza di over control o aree di mancato controllo; controlli eseguiti in maniera superficiale. Per questo fine, può essere utile valutare ogni controllo come efficace, imperfetto o eccessivo : la classificazione può rendere più facile identificare se esiste la necessità di modificare i controlli ed aiuta nell attuazione di piani di azione risultanti dall analisi RCSA. I rischi valutati come insufficientemente controllati (cioè presentano un inaccettabile livello di esposizione al rischio) dovrebbero essere soggetti ad azioni correttive per portare l esposizione al rischio residuo a livelli accettabili. Dall altro lato, se esistono rischi che risultano over-controllati, sarà necessario riallocare le risorse verso aree che risultano poco coperte. Il RCSA può includere un verifica esplicita dell efficacia dei controlli, e.g. un modo è assegnare un addetto al controllo (risk owner) con la responsabilità di verificare se i controlli assegnati funzionano correttamente. I risk owner si possono considerare gli attori principali dell attività di RCSA nonché interlocutori del risk management nella segnalazione di anomali e nella raccolta di elementi di valutazione dei requisiti di regolarità nello svolgimento delle attività. In linea di principio la cernita dei risk owner è diretta e logica conseguenza dell assunzione sul piano metodologico delle funzioni aziendali quali entità a rischio; in tal senso i responsabili di funzione possono essere ritenuti referenti naturali nell effettuazione del RCSA. Il risk owner è chiamato a consegnare periodicamente una valutazione in merito a: frequenza attesa degli eventi di perdita relativi al processo di sua competenza; impatto atteso degli eventi di perdita relativi al processo di sua competenza; impatto della perdita estrema (il valore della perdita massima realizzabile in un singolo evento); grado di adeguatezza dei controlli inerenti il processo in esame. Per garantire la sistematicità della raccolta, la corretta compilazione, la storicizzazione e la coerenza, nonché la completezza delle valutazioni espresse dai risk owner, il ciclo di vita dei questionari di self assessment viene automatizzato mediante specifici applicativi software. 96

La gestione informatizzata dei questionari presenta indubbi vantaggi quali per esempio la possibilità di profilare gli utenti in relazione alle unità organizzative di appartenenza che a loro volta individuano univocamente i processi e i rischi di pertinenza così da condizionare la visibilità dei questionari e l abilitazione delle opzioni di valutazione al riconoscimento di specifici profili utente. I questionari basati sul RCSA possono aggiungere valore tramite la dimostrazione: comprensione dei ruoli e responsabilità di ogni area dell organizzazione per quanto riguarda il rischio operativo; identificazione dei rischi operativi affrontati; valutazione dl rischio residuo tramite una comparazione dei controlli attualmente utilizzati con un set ottimale (o standard) di controlli. Per quanto riguarda la valutazione del rischio, alcune imprese compiono una valutazione del rischio prima che i controlli vengano messi in atto ed una valutazione residuale (i.e. dopo che i controlli esistenti sono diventati operativi). La differenza attesa tra le due valutazioni sarà tanto più ampia quanto più l estensione e l efficacia dei controlli messi in atto sarà elevata. Altre aziende utilizzano un RCSA per valutare il livello corrente (residuale) dell esposizione al rischio operativo con i controlli attivi, senza immaginare uno scenario senza controllo. Questo tipo di approccio è adatto per valutare rischi già gestiti e per misurare eventuali gap da colmare. A prescindere dal metodo utilizzato, spesso si sceglie un livello target per l esposizione al rischio residuo. Se il livello target è più basso del rischio residuo misurato, si dovrebbero mettere in atto processi per portare il rischio residuo ad un livello più accettabile. Una volta che sono stati apportati dei miglioramenti al controllo, sarà necessario riformulare una valutazione per determinare se il livello target è stato raggiunto. Il processo di RCSA dovrebbe rimanere sempre semplice e costantemente monitorato. Esistono alcuni metodi per ottenere una revisione continua del processo: creare uno storico" dei miglioramenti ottenuti nello svolgimento delle attività e dei benefici ottenuti nell applicazione del RCSA; inserire il processo di RCSA come attività regolare per rinforzare la gestione del rischio; sviluppare, misurare e monitorare dei Key Risk Indicators (KRIs) per monitorare il profilo di rischio e l esposizione del RCSA; 97

sviluppare un nuovo RCSA dopo ogni cambio significativo nella struttura aziendale o nell ambiente operativo. In particolare, i KRIs sono uno strumento importante per controllare il rischio che può essere usato a supporto di una serie di attività e processi legati alla gestione del rischio operativo inclusi: identificazione, valutazione e controllo del rischio, implementazione della propensione al rischio effettiva. Gli indicatori sono una misura utile per monitorare l esposizione al rischio nel tempo; pertanto qualsiasi tipo di dato che possa essere utile a tale funzione può essere considerato un risk indicator. Tuttavia, l indicatore diventa key quando rileva un esposizione al rischio particolarmente importante (un key risk) oppure se compie il proprio lavoro particolarmente bene. In particolare, una misura può essere considerata un risk indicator se può essere utile nella misurazione: del quantum (importo) di un esposizione verso un dato rischio o verso un set di rischi; dell efficacia di qualsiasi controllo che è stato implementato per ridurre o mitigare una determinata esposizione al rischio; delle performance della struttura di gestione del rischio. In tal senso, un azienda tipicamente farà uso di tre differenti tipi di indicatori: risk indicators, control effectiveness indicators e performance indicators. La distinzione tra i tre tipi di indicatori è puramente didattica poiché i processi misurati sono in continua evoluzione e cambiamento e le aree di applicazione degli indicatori possono sovrapporsi. 4.9.1.1 Risk indicators In un contesto di rischio operativo, un risk indicator è una misura che fornisce indicazioni sul livello di esposizione dell azienda verso un dato rischio operativo in un particolare momento. Per fornire tali informazioni, il risk indicator deve avere una relazione esplicita con il rischio del quale si vuole misurare l esposizione. Ad esempio è possibile scegliere l aumento del numero di reclami dei clienti come indicatore della possibile presenza di un errore potenzialmente sistemico. In altre parole, è possibile pensare che la variazione nel valore di questo indicatore sia associata a cambiamenti nell esposizione al rischio operativo. 98

4.9.1.2 Control effectiveness indicators I control effectiveness indicators sono misure che forniscono informazioni sulla misura in cui un determinato controllo sta conseguendo gli obiettivi prefissati. Nel fare questo, essi possono essere usati per misurare l efficacia di particolari controlli in un particolare momento. Per fornire tali informazioni, l indicatore deve essere in relazione sia con il controllo che deve essere valutato e sia con il rischio specifico contro cui il controllo stesso è stato costruito. Ad esempio si può considerare il numero di false dichiarazioni di identità da parte dei clienti (ad indicare la presenza di un inefficienza nei controlli sull informazione dei clienti) o il numero di accessi alla rete non registrati all interno di un periodo (ad indicare una debolezza nei controlli sull accesso deli utenti). 4.9.1.3 Performance indicators I performance indicators sono indicatori che misurano le prestazioni o il raggiungimento di obiettivi. Sebbene spesso sono considerati più rilevanti nei processi finanziari, di contabilità o di controllo di gestione, essi sono applicabili al rischio operativo sia per quel che riguarda il raggiungimento di determinati targets per ridurre l esposizione, sia per stabilire quanto bene un entità all interno dell azienda sta gestendo il rischio operativo. Esempi di performance indicators sono le ore di interruzione di un sistema di IT, la percentuale di transazioni che contengono errori, la percentuale di processi automatizzati che richiedono l intervento manuale. Gli indicatori possono essere utilizzati come strumenti per rilevare i cambiamenti nell esposizione al rischio dell azienda; se attentamente selezionati, gli indicatori possono fornire indicazioni per identificare: eventuali rischi emergenti e problemi che possono necessitare di alcuni aggiustamenti; il livello corrente di esposizione; eventi che si sono materializzati in passato e per i quali potrebbe essere necessario intervenire nuovamente. La frequenza con cui un indicatore viene misurato è un fattore importante; generalmente un indicatore continuamente aggiornato consente di rilevare informazioni rappresentative. Tuttavia ci possono essere dei casi in cui una misurazione frequente dell indicatore porta a rilevare solo piccolo cambiamenti nel profilo di rischio. In tali circostanze è importante considerare un trend temporale più lungo prima di poter affermare che ci sia stato un effettivo cambiamento nell esposizione al rischio. 99

Un pregio dell utilizzo dei KRIs consiste nella loro abilità di collegare il livello di esposizione in tempo reale con il profilo di rischio desiderato. Tramite il monitoraggio di una serie di risk indicators ed il confronto dei loro valori e dei loro trend con i limiti imposti, l azienda è in grado di verificare se la propria esposizione al rischio è coerente con il profilo target di rischio. Tuttavia, nell utilizzo di tali indicatori per supportare il monitoraggio e la gestione del profilo di rischio è necessario considerare la Legge di Goodhart secondo la quale qualsiasi regolarità statistica tenderà a collassare quando l attenzione posta su di essa aumenterà per scopi di controllo. 100

5 - NOTE CONCLUSIVE Basilea III e Solvency II sono state costruite con lo scopo di assicurare sufficiente capitale regolamentare detenuto dalle imprese dei rispettivi settori. In particolare Basilea III tenta di aumentare l ammontare di capitale totale e la sua qualità come strumento contro il fallimento delle banche, includendo alcuni rischi che erano poco considerati da Basilea II. Dall altro lato Solvency II cerca di aumentare la protezione dei clienti che hanno sottoscritto una qualche polizza creando degli incentivi per una buona gestione del rischio e assicurare che la quantità/qualità del capitale richiesto sia calibrato con i rischi a cui ogni singola compagnia assicurativa è esposta. Entrambi gli accordi prescrivono degli approcci risk-based per minimizzare il capitale richiesto a supervisionare e promuovere l uso integrato di modelli nelle imprese per gestire il rischio e valutare la solvibilità. Tuttavia le due normative hanno trovato differenti soluzioni a problemi simili poiché esse sono state adattate ai business caratteristici dei rispettivi settori, spesso come risultato di negoziazioni bilaterali, e condizionate dalla visione di quelli coinvolti nel loro sviluppo in maniera frammentata. Ad esempio, confrontando i requisiti relativi al primo pilastro, emerge che sia Basilea che Solvency affrontano due problemi fondamentali: l ammontare di capitale che è necessario per supportare il business di un entità e i suoi componenti che possono essere inclusi nel capitale. In entrambi gli accordi, viene seguito un processo simile composto da tre fasi per determinare il capitale: calcolare l ammontare di capitale richiesto; classificare il capitale nella varie categorie; valutare l ammissibilità degli strumenti in ciascuna categoria. Inoltre, entrambi gli accordi forniscono un sistema di livelli (tiers) di capitale che tuttavia differiscono l uno dall altro: sono presenti varie categorie di capitale, ma non sono consistenti l un l altro in termini di categorie, terminologia utilizzata per descrivere le categorie, o i criteri applicati per determinare il contenuto di ciascuna categoria. Alcune di queste differenze nei livelli possono essere spiegate dalla differenze nei modelli di business. Tutto il capitale riconosciuto in Basilea II è presente nel bilancio mentre sotto Solvency questo non accade. L inclusione di tali strumenti (e.g. azioni sottoscritte ma non versate) che possono essere utilizzati per assorbire le perdite nel capitale disponibile ed incluse nell SCR ma non nell MCR può essere economicamente giustificato dal fatto che il business assicurativo è meno soggetto al rischio di runs. Pertanto è molto difficile confrontare le richieste di capitale sotto i due accordi. Le metodologie e le categorie di rischio sono diverse, quindi le comparazioni potrebbero non essere valide. Ad esempio, le richieste contenute in Solvency II riflettono le correlazioni presenti tra le principali aree di rischio mentre in Basilea III ogni area viene trattata 101

separatamente. Inoltre è molto probabile che alcuni rischi simili richiedano fabbisogni di capitali diversi secondo i due accordi. Le nature differenti dei due approcci per calcolare il fabbisogno di capitale, le differenti tecniche di mitigazione del rischio e la natura ad hoc con cui gli standard di capitale sono stati negoziati, molto probabilmente porteranno ad una richiesta di capitale diversa per rischi simili. Uno dei punti di contatto tra le due normative riguarda sicuramente il trattamento del rischio operativo: gli approcci standardizzati proposti da Basilea III e Solvency II presuppongono la medesima logica valutativa. In entrambi i casi il requisito patrimoniale viene espresso utilizzando un approccio a fattori che proporziona il requisito patrimoniale alla consistenza del portafoglio assicurativo o dell operatività ordinaria della banca. La metodologia proposta dai legislatori va contestualizzata al quadro generale di oggettiva difficoltà nel reperire dati statistici significativi e affidabili per la calibrazione di modelli più sofisticati. Premesso ciò, l approccio standardizzato nella sua attuale formulazione risulta spesso incoerente rispetto all effettiva esposizione al rischio di assicurazioni o banche e rischia conseguentemente di introdurre distorsioni anche significative nei requisiti patrimoniali per chi adotta approcci standardizzati. Non stupisce quindi che la valutazione del requisito patrimoniale connesso al rischio operativo utilizzando modelli interni e approcci avanzati stia diventando sempre più di rilevanza strategica. La scelta del modello giusto da adottare è un elemento estremamente delicato e deve essere effettuata tenendo in debita considerazione le finalità per cui il modello viene creato, la disponibilità di dati, di strumenti, di know how all interno dell azienda. Infatti una problematica fondamentale nell utilizzo di modelli più sofisticati riguarda la disponibilità di dati statistici per la calibrazione dei modelli di valutazione. Tali basi dati si basano sulle risultanze di attività di Loss Data Collection ossia nella creazione di database delle perdite. La creazione di una LDC efficiente presenta alcune aree di specificità: difficoltà di riscostruire nel breve periodo una storicità sufficiente di dati; difficoltà di creare campioni significativi per permettere una segmentazione dei dati di perdita in funzione, al minimo, dei macroeventi di riferimento; difficoltà nella raccolta di informazioni di perdita; importanza di un corretto e consapevole censimento e classificazione di eventi/perdite per evitare doppie contabilizzazioni/omissioni; importanza della definizione di un corretto set di classificazione delle perdite che permetta la calibrazione del modello di valutazione e al contempo la gestione operativa del rischio. 102

Le difficoltà connesse all adozione di un modello interno di valutazione sono di contro ripagate dalla possibilità di realizzare una connessione diretta tra il risk management ed il requisito patrimoniale. Un efficiente politica di gestione del rischio infatti comporterebbe una riduzione delle perdite operative, che si evidenzierebbe nei risultati della LDC e quindi nella calibrazione del modello statistico, con conseguente riduzione immediata del requisito patrimoniale dovuto al rischio operativo. Pertanto la modellazione e la gestione del rischio operativo sta rapidamente scalando la lista delle priorità all interno delle compagnie di assicurazione e degli istituti bancari poiché è aumentata la consapevolezza della natura potenzialmente letale di tali rischi, della loro irriconoscibilità spesso intrinseca e se non altro, dei significativi requisiti patrimoniali che possono emergere con l utilizzo della formula standard. Approcci più sofisticati stanno diventando disponibili non solo per integrare i modelli e la gestione del rischio operativo ma anche per generare spunti e intuizioni nel complesso flusso di rischi invisibili all interno di un azienda, che consentano un adeguata mitigazione del rischio e lo sviluppo di misure robuste da integrare nei processi di business. 103

BIBLIOGRAFIA - ACCENTURE, 2012. Basel III Handbook. - AGRÒ, M. F., 2010. L evoluzione della vigilanza prudenziale nel comparto assicurativo: il passaggio da Solvency I a Solvency II. - BANCA D ITALIA, 2013. Nuove disposizioni di vigilanza prudenziale per le banche. Circolare n. 263 del 27 dicembre 2006 15 aggiornamento del 2 luglio 2013 - CANTLE, N., CLARK, D., KENT, J., VERHEUGEN, H., 2012. A brief overview of current approaches to operational risk under Solvency II. Milliman White Paper, Londra. - COMMISSIONE DELLE COMUNITÀ EUROPEE, 2009. Comunicazione della Commissione. - COMMISSIONE EUROPEA, 2002. Note all attenzione del sottocomitato di solvibilità. - DE FELICE, M. e MORICONI, F., 2011. Una nuova finanza d impresa. Le imprese di assicurazioni, Solvency II, le Autorità di vigilanza. Il Mulino, Bologna. - DI FONZO, F., 2012. La regolazione del mercato assicurativo comunitario ed italiano: stato dell arte e prospettive future. - D ORO, M., 2007. La disciplina del mercato assicurativo e le prospettive di integrazione europea. - EIOPA, 2013. Technical Specification on the Long Term Guarantee Assessment (Part I). - FHEILI, M. I., 2011. Information technology at the forefront of operational risk: banks are at a greater risk. - FONDO MONETARIO INTERNAZIONALE, 2011. Possible Unintended Consequences of Basel III and Solvency II. - FURLAN, C., 2008. La solvibilità delle imprese assicuratrici: linee evolutive ed aspetti critici. - HAJEK, S., 2011. Solvency 2. Strumenti per il risk management delle aziende asicurative. Egea, Milano. - INSTITUTE OF OPERATIONAL RISK, 2010. Operational Risk Sound Practice Guidance. - ISVAP, 2008. Regolamento n.20 del 26 marzo 2008. - LURASCHI, P., 2013. Aspetti quantitativi del rischio operativi. Risk Management News, Numero 28 Agosto 2013. - LURASCHI, P., CORRIGAN, J., 2013. Operational risk modelling framework. Milliman Research Report, Londra. 104

- MIANI, S., DREASSI, A., 2008. Il requisito di capitale per il rischio operativo: confronto nel mercato assicurativo italiano tra le metodologie proposte per Solvency2. Diritto ed Economia delle Assicurazioni, Milano, 2008. - O SHEA, M., 2013. Comparison of the Regulatory Approach in Insurance and Banking in the Context of Solvency II. European Actuarial Consultative Group, Bruxelles. - PARLAMENTO EUROPEO e CONSIGLIO EUROPEO, 2009. Direttiva 2009/138/CE del 25 novembre 2009 in materia di accesso ed esercizio delle attività di assicurazione e riassicurazione. - PARLAMENTO EUROPEO e CONSIGLIO EUROPEO, 2013. Regolamento n. 575/2013 del 26 giugno 2013, relativo ai requisiti prudenziali per gli enti creditizi e le imprese di investimento. - RAZZANTE, R. Tratti essenziali del quadro normativo di riferimento. - ROMITO, F., 2009. I rischi operativi. Università RomaTre, Roma. - SDA BOCCONI SCHOOL OF MANAGEMENT E CAPGEMINI ITALIA S.P.A., 2012. La gestione degli impatti operativi sulle aree organizzazione & IT e commerciale & comunicazione. - ZAHRES, M., 2011. Solvency II and Basel III. Reciprocal effects should not be ignored. Deutsche Bank Research, Francoforte. 105