SeminarioRischi Operativi

Definizione, contesto normativo e classificazione dei rischi operativi

Andrea Giacchero

Tor Vergata, Roma, Giugno 2010

1

Indice

RISCHI OPERATIVI

• DEFINIZIONE DI RISCHI OPERATIVI• QUADRO NORMATIVO: IL NUOVO ACCORDO DI BASILEA E I RISCHI OPERATIVI• IL PROCESSO DI OPERATIONAL RISK MANAGEMENT• UN MODELLO PER L’IDENTIFICAZIONE DEI RISCHI OPERATIVI

2

Definizione di rischi operativi

“Il rischio di perdite risultanti da inefficienze o inadeguatezze di processo, persone, sistemi o da eventi esterni, incluso il rischio legale ed esclusi i rischi

reputazionali, strategici e di business”(Comitato di Basilea, Third Consultative Paper, Aprile 2003)

“Il rischio di perdite risultanti da inefficienze o inadeguatezze di processo, persone, sistemi o da eventi esterni, incluso il rischio legale ed esclusi i rischi

reputazionali, strategici e di business”(Comitato di Basilea, Third Consultative Paper, Aprile 2003)

Rischio Operativo

Risk Driver(fattori di rischio)

Persone Sistemi Processi Contesto esterno

Loss Event Type(tipologia eventi pregiudizievoli)

Frodi interne/esterne Contratto di lavoro e sicurezza

sul posto di lavoro Clienti, prodotti e pratiche di

business Danni a beni materiali Avarie guasti ai sistemi Esecuzione, consegna e

gestione del processo

Loss Effect Type(tipologia di impatto)

Responsabilità legale Azione Autorità di

Regolamentazione Perdita o danno alle attività Restituzioni/Rimborsi Perdite per errore non

recuperate Write down Altre perdite

Il “Nuovo Accordo sulla Convergenza Internazionale della Misurazione del Capitale e dei coefficienti Patrimoniali” (c.d. Accordo di Basilea 2), recepito dalla Circolare della Banca d’Italia n. 263 del 27 Dicembre 2006, ha introdotto il requisito patrimoniale a fronte dei rischi operativi

3

Contesto normativoPrassi corrette per la gestione e il controllo del rischio operativi

Bisogna osservare una serie di principi e standard organizzativi che devono guidare gli intermediari nell’attività di progettare, gestire e verificare il sistema di Operational Risk Management, in un’ottica di un’efficace gestione e supervisione del rischio operativo. Tali principi riguardano:

– Creazione di un ambiente adatto alla gestione dei rischi;

– Gestione del rischio: Individuazione, Valutazione, Monitoraggio,Mitigazione/Controllo;

– Il ruolo della Autorità di Vigilanza;

– Il ruolo della trasparenza

4

Contesto normativoIl Nuovo Accordo di Basilea 1/2

Il Nuovo Accordo di Basilea prevede che le banche detengano un patrimonio di vigilanza a copertura non solo dai rischi di credito e di mercato ma anche dai rischi operativi. Sono possibili tre opzioni per il calcolo del requisito patrimoniale a fronte dei rischi operativi:

Il requisito patrimoniale è determinato attraverso l’applicazione di una percentuale fissa ( = 15%) della media dei valori positivi del margine di intermediazione riferito ai tre esercizi precedenti .

Basic Indicator Approach (BIA)

Il requisito patrimoniale viene calcolato applicando diverse percentuali (coefficiente Beta) al margine di intermediazione delle linee di business regolamentari (secondo lo schema fissato da Basilea 2). Per linea di business regolamentare si intende un insieme di attività della banca raggruppate per tipologia di operazione e clientela.

Standardised Approach (TSA)

I “metodi avanzati di misurazione” del rischio operativo prevedono l’elaborazione di un modello interno :

• Dati interni: perdite operative sperimentate dalla Banca nel passato (Loss Data Collection)

• Dati esterni: DIPO

• Valutazioni degli esperti: valutazione prospettica sui rischi operativi presenti nella Banca e sulle perdite che potenzialmente potrebbero scaturire da essi (Analisi di scenario)

Advanced Measurment Approach (AMA)

5

Standardised ApproachRequisiti

I requisiti di idoneità per il metodo standardizzato previsti dalla normativa della Banca d’Italia sono propedeutici ai requisiti di idoneità per i metodi avanzati di misurazione.

Quindi, le banche dovranno:

avere un efficace sistema di gestione dei rischi operativi; in particolare, si richiede che siano attivati i seguenti processi:

a. definizione e manutenzione dei criteri di classificazione delle attività nelle linee di business regolamentari

b. raccolta dei dati rilevanti sui Rischi Operativic. reportingd. valutazione dell’esposizione ai Rischi Operativi

disporre di adeguati meccanismi di governo societario per i rischi operativi; è necessario, pertanto, che presso la Capogruppo e le singole Società del Gruppo il processo decisionale sia chiaramente e coerentemente stabilito in termini di livelli gerarchici e di responsabilità.

6

Standardised ApproachMisurazione mediante metodo standardizzato

Il metodo standardizzato prevede che l’attività della Banca sia suddivisa in otto linee di business regolamentari, le cui attività sono state descritte dalla Banca d’Italia.

Il calcolo del requisito patrimoniale complessivo è determinato sulla base della media dei requisiti patrimoniali delle linee di business riferiti alle ultime tre osservazioni su base annuale effettuate alla fine dell’esercizio. Per ciascun anno, il requisito patrimoniale è ottenuto dalla somma dei requisiti patrimoniali delle singole linee di business, calcolati applicando i coefficienti regolamentari (definiti ‘β’) all’indicatore rilevante (i.e. margine di intermediazione, voce di c/economico 120) delle Business Line (BL):

Business Line Cap. assorbitoCorporate Finance 18%*GITrading & Sales 18%*GIRetail Banking 12%*GICommercial Banking 15%*GIPayment & Settlement 18%*GIAgency Services 15%*GIAsset Management 12%*GIReatil Brokerage 12%*GI

Il capitale assorbito si ottiene moltiplicando il GI di ogni BL per il rispettivo fattore beta(stabilito dal Comitato di Basilea)

Beta Factors

7

Standardised ApproachAdozione del metodo

L’adozione del metodo standardizzato prevede che la banca effettui una comunicazione alla Banca d’Italia.

La comunicazione deve essere corredata da:

gli organigrammi che individuano i compiti e le responsabilità delle funzioni di gestione e di controllo dei rischi operativi; il verbale della delibera dell’organo con funzione di supervisione strategica, con

l’attestazione del rispetto della soglia di accesso; un documento che descrive il processo di auto-valutazione e i relativi esiti;La relazione della revisione interna.

Con cadenza annuale va inviata alla Banca d’Italia l’attestazione formale dell’organo con funzione di supervisione strategica sul rispetto dei requisiti di idoneità e la relazione della revisione interna sull’adeguatezza del sistema di gestione dei rischi operativi.

La Banca d’Italia adotta una procedura di silenzio-assenso, riservandosi la facoltà, anche successivamente a tale data, di valutare l’adeguatezza del metodo mediante apposite verifiche e di assumere le misure più opportune in caso accerti l’insussistenza o il mancato rispetto dei requisiti regolamentari.

8

Operatività

Strategie/Responsabilità

Flus

so d

i in

form

azio

ni

*Organizzazione, Sistemi Informativi, Contabilità e Bilancio, Controllo di Gestione.**Nei rischi operativi, la Revisione Interna, oltre all’attività di supervisore tipica di questa funzione, svolge un ruolo nella definizione del modello e nell’analisi del sistema dei controlli.

Revisione Interna

Supervisione** CdA

Comitato Rischi

MisurazioneControllo dei Rischie Capital Allocation

Referenti Business Lines

Funzioni di supporto*

Holding Società controllatedel Gruppo

TopManagement

delleSocietà del Gruppo

Funzione Risk Management e Revisione Interna

delle Società del Gruppo

Referenti Business Lines

Funzioni di supporto*

Il processo di Operational Risk ManagementStruttura organizzativa e ruoli

9

Il processo di Operational Risk ManagementStruttura organizzativa e ruoli

Di seguito le linee guida del sistema di Operational Risk Management (ORM), ossia del sistema dei controlli sulla gestione dei rischi operativi (controlli di 2° livello).

La gestione diretta dei rischi operativi (controlli di 1° livello) compete a tutte le strutture operative (linee di Business, Aree operative della Capogruppo e Aree e Funzioni delle Società controllate) che, nel limite delle proprie funzioni, devono modificare o ridurre i rischi operativi attraverso:

gli interventi dettati dal Consiglio d’Amministrazione o dal Comitato Rischi; gli interventi ritenuti da esse necessarie anche su indicazioni della reportistica e delle comunicazioni

informative.

Le responsabilità del Consiglio di Amministrazione, del Collegio Sindacale, dell’Alta Direzione e dell’Area Revisione Interna derivano dalle specificazioni indicate nel documento per la consultazione di Banca d’Italia, il quale definisce il ruolo di ogni attore.

Il Consiglio di Amministrazione deve essere attivamente coinvolto nella supervisione del sistema di gestione dei rischi operativi:

approvando le strategie e le politiche del sistema di gestione dei rischi operativi (il Modello Teorico e i Metodi e Strumenti per la gestione dei rischi operativi) e le riesamina con cadenza almeno annuale, sulla base delle informazioni provenienti dalle strutture preposte; esaminando, annualmente, il documento descrittivo del processo di Autovalutazione del sistema di gestione dei rischi operativi e la connessa relazione dell’Auditing; attestando, annualmente, il rispetto e la sussistenza dei requisiti previsti per l’applicazione del metodo standardizzato, sia a livello individuale che a livello consolidato; verificando, periodicamente, l’esposizione alle diverse tipologie di rischio operativo.

10

Il processo di Operational Risk ManagementStruttura organizzativa e ruoli

Il Collegio Sindacale, nell’ambito delle sue funzioni istituzionali, deve vigilare sul grado di adeguatezza del sistema di gestione dei rischi operativi e sul suo concreto funzionamento;

L'Alta Direzione deve:

presiedere la fase operativa dell’attività di realizzazione dei processi ORM; predisporre i presidi organizzativi, le attività e le metodologie necessarie al conseguimento degli obiettivi generali approvati dal Consiglio di Amministrazione;

L’Area Revisione Interna deve:

esaminare, in forma autonoma ed indipendente, l’efficacia e l’efficienza dei processi ORM; effettuare revisioni periodiche sul sistema di gestione dei rischi operativi adottato al fine di valutarne

la funzionalità e l’efficacia, nonché la conformità ai criteri minimi di idoneità;

collaborare con l’Operational Risk Management per il disegno, lo sviluppo, la realizzazione,

l’esecuzione e il mantenimento del sistema di gestione dei rischi operativi e del relativo processo di

Autovalutazione; svolgere, con cadenza almeno annuale, un’autonoma valutazione dell’adeguatezza del processo di

Autovalutazione e produrre un’apposita relazione da far approvare e tenere al CdA

11

Il processo di Operational Risk ManagementStruttura organizzativa e ruoli

sviluppando i principi e le metodologie per la misurazione del rischio, il trattamento dei dati di perdita, la quantificazione dell’esposizione complessiva ai rischi operativi, la policy interna e implementando la strategia di gestione precedentemente approvata in CdA;

effettuando il monitoraggio periodico dei trend di perdita e del valore del capitale assorbito; individuando e proponendo i potenziali interventi di mitigazione;

L’ORM Centrale rappresenta il punto di riferimento per qualsiasi problematica di natura tecnica, metodologica ed organizzativa incontrata da qualsiasi Unità della Banca nell’espletamento delle attività, che prevedono il suo coinvolgimento nell’ambito del processo di gestione dei rischi operativi. In particolare:coordina le unità organizzative coinvolte nel processo di ORM a livello di Gruppo nel suo complesso:

supporta le figure organizzative interessate dal processo di gestione dei rischi operativi, in primis ai referenti ORM, svolgendo attività di consulenza su problematiche tecniche, metodologiche ed organizzative;interagisce con le Autorità di Vigilanza e le Associazioni di Categoria (i.e. ABI) per lo sviluppo e consolidamento della materia.

L’ORM Decentrato rappresenta il principale interlocutore dell’ORM Centrale ed ha tra le sue principali attività:proporre all'ORM Centrale modifica ed integrazioni al modello di governance e all'approccio metodologico per tener conto di eventuali specificità della Banca/Società di appartenenza;condividere le linee guida comunicate dall’ORM Centrale;recepire le proposte in merito alle strategie di gestione dei rischi operativi;porre in essere operativamente le attività definite ed essere responsabile del buon esito delle stesse, attraverso un’attività di supervisione del corretto stato di avanzamento dei lavori;applicare metodologia, tool e tecniche definite dall’ORM Centrale per la gestione dei rischi operativi;svolgere attività di coordinamento tra le strutture della Banca.

12

Un modello per l’identificazione dei rischi operativi

Modello Loss Event: il modello per la classificazione dei Loss Event Type proposto da Basilea è strutturato in tre livelli i cui primi due obbligatori. Il terzo livello esemplificativo è caratterizzato da un maggior dettaglio descrittivo, la cui specifica concreta sarà effettuata da ogni singola banca sulla base delle caratteristiche di ogni specifica area di business.

Dimensione Organizzativa: Il modello della dimensione organizzativa rappresenta l’associazione della mappa dei processi aziendali allo schema delle Business Line fornito da Basilea: secondo tale schema le attività della banca vengono suddivise in otto linee di business.

Modello Risk Factor: Il Modello dei Fattori di Rischio Operativo stabilisce una specifica dei risk driver definiti da Basilea (persone, processi, sistemi, contesto esterno). Può essere caratterizzato da una struttura ad n livelli contraddistinti da un diverso grado di dettaglio.

Modello Loss Effect: il modello proposto in uno dei documenti Basilea* individua 6 categorie di perdite (effetti) avutesi in seguito un evento pregiudizievole

Regole di Governo: definisce i macroruoli degli attori coinvolti nel processo di gestione dei rischi operativi e le singole attività di dettaglio.

*Quantitative Impact Study II

13

Loss Data CollectionIntroduzione

La prima fase dello sviluppo di un processo di gestione dei rischi operativi consiste, quindi, nel ricondurre le fenomenologie di perdita (anche potenziali) e i fattori di rischio ad esse connessi ad uno schema di riferimento univoco in grado di cogliere tre fondamentali dimensioni di analisi:

la tipologia di evento, al fine di specificare “cosa” è avvenuto (tipologia di evento pregiudizievole che genera la perdita);

la tipologia di fattore di rischio, che rappresenta la “causa” alla quale vengono ricondotti gli eventi di perdita (effettivi e potenziali) rilevati;

la dimensione organizzativa, nella quale viene definito lo schema dei processi e delle unità operative, ossia il “dove” rispetto al quale viene condotta l’analisi dei rischi e delle perdite.

Nello sviluppo di un Modello Avanzato, la costituzione di una serie storica di perdite operative interne costituisce un’importante priorità progettuale, al fine di collegare le stime di rischio della Banca alle perdite effettivamente subite.

Il periodo di osservazione dei dati interni di perdita deve essere di almeno cinque anni; qualora la banca adotti un AMA per la prima volta, tale periodo di osservazione può essere ridotto a tre anni.

14

Loss Data CollectionPerimetro di raccolta 1/3

Le Perdite Operative sono le perdite avutesi per effetto di un evento pregiudizievole, consistenti in una manifestazione economica negativa, che misura il danno subito dalla Banca per cause ascrivibili agli OperationalRisk.

Evento pregiudizievole: si intende il singolo accadimento pregiudizievole (es. frodi, rapine, etc.) che genera una o più perdite. Manifestazione: identifica ogni singola conseguenza derivante dall’accadimento dell’evento dannoso (es. ammanco valori, danno alle cassette di sicurezza, etc.). Cause: come da definizione di Rischi Operativi, ossia processi, persone, sistemi ed eventi esterni.

Le sole perdite rilevanti ai fini di Loss Data Collection sono quelle che hanno incidenza diretta sul conto economico della Banca*, non dovute a politica commerciale o a compensazioni di costi o ricavi di esercizio erroneamente valutati in precedenza.

* Riconducibili all’evento direttamente o attraverso rilevazioni gestionali/ dipartimentali.

15

Loss Data CollectionPerimetro di raccolta 2/3

Il processo di Loss Data Collection si basa su uno schema in linea con l’approccio “Guidato dagli Eventi” proposto dal Comitato di Basilea e ribadito dall’ABI a proposito del DIPO:– Focus sugli Eventi che generano perdite operative– Perdite Operative di varia natura (diversi Effetti) che devono essere tutte riconducibili

allo stesso Evento che le ha causate

Raccogliere le perdite ai fini dell’analisi dei rischi operativi richiede, quindi, di avere una disaggregazione dei dati che consenta di identificare, unitamente alle perdite, l’evento che le ha generate. Una esemplificazione di pluralità di effetti riconducibili allo stesso evento può essere fornita da:

– evento rapina che può generare perdite per sottrazione di numerario, danni ai fabbricati e danni all’elettronica.

– una procedura che produce un errato inoltro dell’ordine di bonifico, produce “n”perdite/effetti pari al numero di c/c colpiti dall’errore operativo.

16

Loss Data CollectionPerimetro di raccolta 3/3

Le perdite del percorso A (effettive ed isolate) si suddividono a loro volta in:

– perdite certe: si intendono le perdite effettive rilevate contabilmente, non dovute a compensazioni di costi o di ricavi di esercizio erroneamente valutati, bensì sostenute per effetto di un evento pregiudizievole accaduto di natura non sistemica; si tratta di perdite oggettive e misurabili in quanto appositamente censite nel sistema contabile della banca o tali per cui sia possibile rintracciarne l’impatto sul conto economico, a prescindere dalle modalità di contabilizzazione e dalle voci contabili ove vengono inserite. I singoli valori da registrare rappresentano le varie tipologie di costi necessari per la risoluzione dell’evento, al netto dei costi sostenuti in “miglioramento dei controlli”, in azioni preventive e in investimenti in nuovi sistemi, ma allordo delle somme recuperate (assicurative o altro).

– accantonamenti di perdita: si hanno quando l’importo della perdita, derivante dall’accadimento di un evento pregiudizievole, non è certo, ma il principio di competenza economica impone di effettuare una previsione. In tal caso la contabilizzazione avviene mediante accantonamenti a specifici fondi rischi effettuati a fronte degli eventi verificatisi. In questo caso, la stima di perditaviene rivista, ed eventualmente variata, ad ogni periodica chiusura del bilancio, fino a che la perdita non si realizza, e l’accantonamento viene eliminato mediante utilizzo del fondo.

Questa distinzione è importante ai fini dell’organizzazione del sistema di rilevazione delle perdite operative, sia esso manuale piuttosto che automatizzato; la procedura deve infatti tenere presente il differente trattamento contabile delle perdite, la scarsa rilevanza dell’informazione fornita dalla data di contabilizzazione, nonché la necessità di aggiornare annualmente tutti i record relativi alle previsioni di perdita degli anni precedenti.

17

Loss Data CollectionFramework generale

È l’elemento centrale della raccolta, in cui far confluire i dati di perdita operativa

Gli aspetti basilari della LDC da considerare sono:

Specificità dell’organizzazione bancaria in cui viene

organizzata

La Loss Data Collection dipende fortemente da:

•Ricerca•Censimento•Validazione•Monitoraggio•Reporting

•attendibilità delle informazioni•completezza delle serie storiche di perdita

Database delle perdite

operative

Fasi della LDC Obiettivi

Modello organizzativo adottato per la struttura dell’Operational

Risk Management (ORM)

18

Loss Data CollectionFramework generale: regole di Governance 1/3

Al fine di garantire efficacia (tempo/qualità di produzione delle informazioni) ed efficienza(Impiego complessivo di risorse) all’intero processo di LDC, risulta fondamentale la definizione di regole interne che:

diano una definizione univoca di rischi operativi e di eventi di perdita da adottare uniformemente all’interno della Banca; individuino le figure organizzative coinvolte e consentano, di conseguenza, l’adeguata allocazione delle risorse; assegnino ruoli e responsabilità ai singoli attori, per il corretto svolgimento delle attività assegnate.

I principi di carattere generale, che devono guidare gli attori coinvolti nella raccolta dei dati, sono: globalità nella copertura degli eventi di perdita da censire (in termini di processi, localizzazione geografica, tipologia di rischi); tempestività e continuità nella fase di ricerca dei dati.

Obiettivi

Principi generali

La definizione di strutture, ruoli e responsabilitàdegli attori che intervengono nel processo di LDC ha l’obiettivo di garantire:

la creazione di serie storiche di perdita consistenti e rappresentative della “rischiosità operativa”; l’omogeneità e la coerenza dei dati raccolti; la qualità del processo di produzione dei dati; il rispetto di scadenze comuni con valenza interna ed esterna; la gestione della comunicazione orizzontale e verticale.

19

Loss Data CollectionFramework generale: regole di Governance 2/3

Gli attori coinvolti nel processo di Loss Data Collection nel caso di gruppo bancario possono essere:

l’ORM Centrale, con funzione di coordinamento e presidio dell’intero processo;

Auditing Interno, con il ruolo di supervisor del progetto;

l’ORM Decentrato, all’interno di ogni singola entità, con il compito di gestire, ottimizzare e regolare i rapporti con i referenti delle unità coinvolte nel progetto;

una struttura decentrata di Referenti Operational Risk all’interno delle diverse strutture identificate come fonti informative all’interno.

20

Loss Data CollectionFramework generale: regole di Governance 3/3

La mission dell’ORM Centrale consiste nel:

definire le metodologie e le strategie di raccolta dei dati di perdite operative; definire e manutenere il modello dati del DB perdite operative; validare i contenuti della base dati; definire criteri standardizzati per l’analisi e il reporting dei dati di perdite operative.

Ruoli degli attori

L’Auditing Interno svolge il ruolo di supervisor del progetto, mediante:

condivisione nella definizione della metodologia a supporto del processo di Loss Data Collection; attività di revisione dell’intero processo di raccolta dei dati di perdita

Il principale interlocutore dell’ORM Centrale è costituito dall’ORM Decentrato in cui si svolge la LDC. La sua missionconsiste nel:

condividere le linee guida comunicate dall’ORM Centrale e porre in essere operativamente le attività definite; svolgere attività di coordinamento del processo di raccolta e di supervisione del corretto stato di avanzamento dello stesso; arricchimento dei dati / prima validazione; essere responsabile del buon esito del processo di raccolta, assicurando tempi, correttezza e completezza dei dati di competenza contenuti nel database predisposto.

I Referenti Operational Risk, individuati all’interno delle diverse fonti informative della Banca, dovranno predisporre e consegnare i dati di perdita operativa all’ORM della propria società secondo le modalità e tempistiche definite in fase di analisi. In particolare, dovranno:

segnalare le perdite compilando il modello dati predisposto dall’ORM Centrale; consegnare il flusso informativo all’ORM Centrale secondo la tempistica concordata.

21

Loss Data CollectionFramework generale: fasi della Loss Data Collection

•Individuazione fonti informative

•Individuazione perdite operative

•Miglioramento delle fonti e test di completezza

•Definizione e formalizzazione dei criteri di censimento, al fine di garantire:

•Accuratezza dell’informazione

•Tempestivitàdell’alimentazione

•Arricchire / completare i dati censiti

•Conferma documentata della validitàdell’informazione

•Reporting aziendale

•Reporting di gruppo

RicercaRicerca CensimentoCensimento ValidazioneValidazione ReportingReportingMonitoraggioMonitoraggio

•Verificare il regolare processo della raccolta

•Garantire il mantenimento della qualità raggiunta nella fase di alimentazione del database di raccolta dati

22

Loss Data CollectionFramework generale: obiettivi

Ciascun dato di perdita operativa raccolto presso le fonti informative è oggetto di uno screening analitico, al fine di associare a ciascuna perdita le categorie di Loss Event Type, Loss Effect Type, Risk Factor e Business Line proposte dal Comitato di Basilea.

Perdita operativa

Attraverso la Loss Data Collection si cerca di ricostruire, con la massima precisione, il singolo evento di perdita, al fine di garantire l’attendibilità e la completezza del dato raccolto (soprattutto in termini di frequency, severity e attributi informativi).

EventType

EffectType

BusinessLine

RiskFactor

23

Loss Data CollectionLe fonti informative

Fonte informativa

E’ identificabile nell’entità organizzative in grado di fornire le informazioni riguardanti le dimensioni principali sia di ogni evento

di perdita rilevato che degli effetti ad esso associati:

Possibili Aree/Funzioni come “fornitori” di dati sulle perdite operative possono essere:

– Contabilità

– Ufficio Reclami

– Area Legale

– Area Personale

24

Loss Data CollectionLe fonti informative: esempi

Possibili Aree/Funzioni come “fornitori” di dati sulle perdite operative possono essere:

– Contabilità

– Ufficio Reclami

– Area Legale

– Area Personale

25

Loss Data CollectionLe fonti informative: esempi

In sintesi, per ogni fonte informativa le attività da svolgere sono:

– Analisi: in tale fase vengono esaminati i contenuti informativi della fonte alimentante al fine di distinguere gli eventi rilevanti ai fini dell’analisi dei rischi operativi da quelli che non rientrano nell’ambito di analisi. Vengono, inoltre, individuate analiticamente le tipologie di evento da estrarre da ogni fonte, in modo da evitare sovrapposizioni e da massimizzare il trade-off costi/benefici. Si analizzano anche le modalità con cui ogni fonte informativa alimenta la contabilità al fine di poter effettuare controlli e quadrature

– Definizione del processo di raccolta “a regime”: si definiscono, individuando ruoli e responsabilità, le modalità con cui ogni Area/Funzione dovrà fornire le perdite operative (secondo le tipologie individuate nella fase di analisi) alle unità di ORM. Durante tale fase vengono anche individuate eventuali modifiche ad archivi già presenti presso le fonti oggetto di esame al fine di abilitare/facilitare l’attività di raccolta

26

Loss Data CollectionLe fonti informative: esempi

Contabilità

– Devono essere individuate le voci di Bilancio contenenti esclusivamente e parzialmente perdite operative.

In seguito, le informazioni relative ai singoli eventi di perdita raccolti in Contabilità vengono, se necessario, integrate con le informazioni disponibili presso le varie fonti gestionali.

Reclami

– Devono essere analizzati i reclami inerenti eventi di perdita operativa per i quali vi è stata l’autorizzazione a procedere al pagamento.

Legale

– I dati sono relativi alle perdite in seguito contenziosi con clienti: comprendono gli esborsi giàeffettuati in seguito sentenze sfavorevoli e gli accantonamenti effettuati a copertura dei possibili esborsi.

Personale

– I dati da raccogliere fanno riferimento alle pratiche relative alle cause in materia di gestione del contenzioso giuslavoristico: in particolare le perdite operative raccolte si riferiscono sia agli accantonamenti effettuati a fronte di cause aperte, per le quali vi è una previsione di perdita, sia alle spese certe a seguito di transazione o sentenza;

27

Altre fonti– Altre fonti informative da individuare sono quelle che gestiscono le perdite

operative che si riferiscono a:

- Rapine, con perdite per ammanco valori, danni all’elettronica e danni ai fabbricati;

- Danni ai fabbricati o all’elettronica per cause naturali, disastri o altri eventi (vandalismo, …);

- Atti di frode interna;

- Errori effettuati nell’attività di raccolta ordini e negoziazione per conto terzi relativamente a operazioni su strumenti finanziari.

Loss Data CollectionLe fonti informative: esempi

28

Dati esterniDIPO

DIPO è il Data Base Consortile sui Rischi Operativi dell’ABI

L'uso dei dati esterni di perdite operative è molto importante, perché consente di:

– raccogliere dati sulle perdite operative subite dalle altre banche;

– ottenere informazioni su alcune variabili caratteristiche degli intermediari e delle loro business line, dal momento che le serie storiche di perdite operative di cui si dispone all’interno di ogni singola entità potrebbero non avere sufficiente spessore, tale da permettere analisi robuste;

– effettuare studi ed approfondimenti, tramite analisi di stress, sulle soluzioni organizzative e sulle metodologie di misurazione e di gestione del Rischio Operativo;

– confrontare, in termini di profilo di rischiosità, l’allineamento dell’azienda al sistema, attraverso i dati opportunamente scalati ed utilizzati come benchmark;

– Contare su ulteriori dati come valida base per la stima dei parametri delle distribuzioni di frequency (numero di eventi nell'arco temporale di riferimento) e severity(Impatto del singolo evento) in quei casi in cui la profondità delle serie di dati interni risulti insufficiente;

– arricchire il reporting, attraverso il confronto tra i dati interni ed il sistema.

29

Valutazione dell’esposizione ai rischi operativi

Il processo di valutazione dell’esposizione ai rischi operativi consiste in un’analisi diagnostica dei processi aziendali volta ad individuare potenziali eventi di rischio operativo, in grado di generare effetti economici negativi per la Banca.Con riferimento ai processi del gruppo maggiormente rilevanti, il processo di valutazione dell’esposizione ai rischi operativi si suddivide in due fasi:

1. Preparazione dei questionari: produzione di una matrice, in cui le tipologie di evento di rischio operativo sono associati ai processi. Gli strumenti utilizzati per la rilevazione dei rischi sono:

il modello dei processi, che, fornendo una rappresentazione schematica dei processi posti in essere dalla Banca per perseguire le proprie finalità di business, è funzionale a collocare gli eventi di rischio in specifici punti dell’organizzazione; lo schema di classificazione degli eventi di perdita

2. Esecuzione dei questionari: attività finalizzata a realizzare una valutazione qualitativa dei rischiidentificati tramite questionari rivolti a risorse esperte dei processi (Process owner) analizzati ed in grado di fornire giudizi sul grado di esposizione della Banca ai rischi operativi individuati.

L’obiettivo della valutazione dell’esposizione ai rischi operativi è quello di individuare qualitativamente il contributo, in termini di impatto potenziale sul conto economico, di ogni tipologia di evento all’esposizione al rischio operativo dell’unità considerata, indicando le criticità effettive ed eventuali priorità di intervento.

30

Misurazione mediante metodo AMAL’approccio AMA prevede l’integrazione di dati ed informazioni ricavati da:dati internidati esterni (DIPO)analisi di scenario, basate sui giudizi espressi da risorse esperte della Banca. Questo approccio si basa sulle esperienze di qualificati responsabili di unità di business ed esperti di gestione del rischio, ed è volto a produrre fondate valutazioni di plausibili perdite ad alto impatto;fattori di contesto operativo e di controllo interno, utilizzati per una valutazione del rischio piùprospettica, al fine di favorire l’allineamento delle valutazioni del fabbisogno di mezzi propri con gli obiettivi di gestione del rischio e, infine, riconoscere con tempestività il miglioramento o il peggioramento nei profili del rischio operativo.

In genere, la metodologia utilizzata per l'analisi dei dati di perdita storici, eventualmente completati dai dati esterni opportunamente scalati, e per l’analisi di scenario si basa su un approccio di tipo attuariale.

Tale approccio si fonda sul presupposto che l’informazione utile, contenuta nelle serie storiche dei dati di perdita, è completamente catturata da due grandezze derivate:

distribuzione di frequency (numero atteso di eventi nell’arco temporale di riferimento); distribuzione di severity (impatto atteso per singolo evento).

La stima delle distribuzioni di frequency e severity avviene in maniera indipendente, in quanto si assume che non vi sia alcuna dipendenza fra l’importo della perdita e il numero delle volte che la perdita stessa si ripete durante l’anno. La ricostruzione di queste due distribuzioni permette l’elaborazione delle informazioni contenute nei dati. Gli output dell'analisi dei dati di perdita storici e dell'analisi di scenario dovranno essere integrati con le informazioni rivenienti dall'analisi dei fattori di contesto operativo e di controllo interno.

31

Reporting dei rischi operativi

Occorre produrre un Risk Report, fornendo informazioni sui dati interni di perdita, classificati per tipologia di evento e per fattore di rischio; l’obiettivo è quello di dare informazioni sulle perdite significative per identificare e valutare le eventuali aree di vulnerabilità della Banca.

I report, elaborati dalle strutture di Risk Management sia della Capogruppo (ORM Centrale) sia delle Societàdel Gruppo (ORM Decentrato), prevedono quattro principali destinatari:

Consiglio di Amministrazione Comitato Rischi Risk Management della Capogruppo: i report prodotti dalle strutture di Risk Management delle Società del Gruppo saranno inviati, oltre che alle strutture interessate della loro Banca, anche all’ORM Centrale, che ne prenderà visione e provvederà al consolidamento dell’informativa prodotta; altre Aree/Linee di business di Capitalia

La struttura del report risulterà suddivisa in tre sezioni:

raccolta dei dati interni di perdita analisi di scenario quantificazione del capitale assorbito.

L’obiettivo è di dare una rappresentazione completa dei fenomeni legati ai rischi operativi, con valenza anche di tipo gestionale.