Documento PDF

UNIVERSITA’ DEGLI STUDI DI PADOVA
DIPARTIMENTO DI SCIENZE ECONOMICHE ED AZIENDALI
“M.FANNO”
CORSO DI LAUREA IN ECONOMIA E MANAGEMENT
PROVA FINALE
“TITOLO”
GESTIONE DEL RISCHIO OPERATIVO: IL CASO DELLA BANKA
KOMBETARE TREGTARE IN ALBANIA
RELATORE:
CH.MO PROF. LORENZO FORNI
LAUREANDO/A: ORION FIERZA
MATRICOLA N. 1002595
ANNO ACCADEMICO 2012. – 2013.
INDICE
SOMMARIO / ABSTRACT
3
CAPITOLO – 1 INTRODUZIONE
4
CAPITOLO – 2 REGOLAMENTI E DEFINIZIONE
6
2.1 FATTORI DI RISCHIO
6
2.2 PECULARITÀ DEL RISCHIO
7
2.3 CATALOGAZIONE DEI RISCHI OPERATIVI ( MAPPING )
7
2.3.1 Eventi – La definizione di evento è “qualcosa che accade ad un certo punto in un certo momento.” 7
2.3.2 Business Line – Le aree di affari in cui vanno suddivise le attivita aziendali
8
2.4 COSTRUZIONE DI DATABASE
9
2.5 SCHEMA RIEPILOGATIVO
10
CAPITOLO - 3 MISURAZIONE E VALUTAZIONE
3.1 MISURAZIONE
3.2 RIEPILOGO DI MISURAZIONE DEL RISCHIO OPERATIVO
3.3 VALUTAZIONE
3.4 METODO BASE ( BASIC INDICATOR APPROACH – BIA)
3.5 METODO STANDARDIZZATO (STANDARDIZED APPROACH – TSA)
3.6 METODO AVANZATO DI MISURAZIONE (ADVANCED MEASUREMENT APPROACH – AMA)
3.7 USO COMBINATO DI PIÙ METODI
CAPITOLO – 4 GESTIONE DEL RISCHIO
4.1
4.2
4.3
4.4
4.5
4.6
CREARE UN APPROPRIATO CONTESTO PER LA GESTIONE DEL RISCHIO OPERATIVO
GESTIONE DEL RISCHIO OPERATIVO
METODI PROSPETTICI
TRASFERIMENTO DEI RISCHI OPERATIVI
SUPPORTO TECNOLOGICO
RUOLO DELLE AUTORITÀ DI VIGILIANZA
11
11
15
16
16
18
21
24
25
26
27
30
30
31
32
CAPITOLO – 5 CONCLUSIONI
33
APPENDICE A – DATI SUL RISCHIO OPERATIVO
35
A.1 PERCENTUALE AMMONTARE PERDITE
A.2 PERCENTUALE NUMERO PERDITE
A.3 PERCENTUALE AMMONTARE PERDITE
A.4 PERCENTUALE NUMERO PERDITE
35
35
36
36
37
SOMMARIO
Questo lavoro parla per la gestione del rischio operative. Quali sono le strade per avere
un miglior attaggiamento nel confronto del rischio operativo. Rappresenta i metodi che
vengono usati per calcolare il requisito patrimoniale, vengono paragonati i metodi diversi per
trovare quale è il miglior metodo che deve adottare una banca. I metodi che devono essere
adottati dalle banche dipendono dalle dimensioni delle banche e dal tipo della banca.
Sono rappresentati anche i metodi per creare una struttura organizzativa efficiente al interno
della banca con il compito di gestire il rischio.
ABSTRACT
This work is about the Operative risk and about the ways that are available for having
a better attidute towards the operative risk. It represents the methods used to calculate the
patrimonial requisit. The most suitable methods that a bank should adopt are compared. The
kind of method that a bank should use, depends on its dimensions and its kind. Furthermore
there are also represented the methods necessary to create an efficient organizational structure
that should supervise the risk in the inside of a bank.
Capitolo – 1 Introduzione
Il concetto del rischio si manifesta nella volatilità dei risultati, cioè eventi inattesi che
vengono causati da diverse attività. Una banca è sempre esposta a rischi diversi, che possono
essere divisi in quattro macrocategorie: rischio di credito, rischio di mercato, rischio operativo
e rischio di liquidità. Esistono anche altri due tipi di rischi, che però non hanno la stessa
rilevanza dei rischi sopracitati: rischio strategico e rischio reputazionale. Vista l’importanza
dei rischi nelle banche e con l’avvento della globalizzazione, è diventato necessario creare
regole unificate per gestire meglio i rischi. Per questa ragione diversi Stati hanno formato un
comitato per creare norme comuni, il Comitato di Basilea.
Gli accordi di Basilea sono gli accordi nati dalla necessità di garantire l’affidabilità del
sistema bancario; il raggiungimento di questo obiettivo porta a perseguire un obiettivo ancora
più importante, che è quello di assicurare la stabilità dell’ambiente economico in cui operano
famiglie ed imprese. Il primo accordo, Basilea 1, risale al 1988, Basilea 2 al 1998 con entrata
in vigore in Italia nel 2002; nel 2010 è stato emanato il nuovo accordo, la cui entrata in vigore
è prevista per il 2013 fino al 2018. Quest’ultimo accordo è stato stipulato in risposta alle crisi
del 2000 e 2007-201? In questo accordo sono raffozati i requisiti patrimoniali per far fronte ai
diversi rischi della banca.
Gli accordi di Basilea si basano su tre pilastri:
1. Requisiti minimi patrimoniali (minimum capital requirements)
2. Processo di controllo prudenziale (supervisory review)
3. Disciplina di mercato (market discipline)
Le regole emanate dal Comitato di Basilea non sono obbligatorie ma gli Stati che
appartengono al Comitato hanno espresso la volontà di applicarle; per questo motivo i
regolamenti del Comitato entrano in vigore soltanto quando le Banche Centrali o altri Istituti
Governativi dei Paesi li emettono come regolamenti. Questo fa sì che anche i tempi di
applicazione dei regolamenti nei vari Paesi siano diversi, quindi il Comitato lascia sempre un
lungo periodo affinché tutti i Paesi iniziano ad applicare le regole.
In questo lavoro ho preso in considerazione soltanto uno dei tipi di rischi, il rischio
operativo. Il rischio operativo si sostanzia nel rischio di perdite derivanti dalla inadeguatezza
o dalla disfunzione di procedure, risorse umane, sistemi interni oppure da eventi esogeni, e
comprende anche il rischio legale.
Il rischio operativo è definito dal Comitato di Basilea, che ne rappresenta anche i
metodi di identificazione, gestione e misurazione; è diventato di grande rilevanza soltanto
dopo gli anni ’90, infatti nel primo accordo di Basilea il rischio operativo non era previsto .
L’importanza di identificazione, misurazione e gestione del rischio operativo aumenta con
l’avanzamento della tecnologia, cioè l’introduzione di e-commerce, informatizzazione
dell’informazione ecc. Questa rivoluzione tecnologica fa sì che nel 1998, con l’accordo di
Basilea 2, il rischio operativo diventa una delle macrocategorie in cui sono classificati i rischi.
L’accordo di Basilea 3 non comporta sostanziali modifiche nel rischio operativo.
Anche se il rischio operativo è entrato tardi negli accordi di Basilea, la sua importanza
è nota da anni ed esistono numerosi casi di negligenza del rischio che ha portato a fallimenti
eclatanti, il più noto dei quali è il caso di Barings Bank o la banca della Famiglia Reale
d’Inghliterra, andata in bancarotta ad opera di un trader a Singapore.
Nel secondo capitolo si tratterà il metodo di creare i database in base ai regolamenti
previsti da Basilea 2 e dalla Banca d’ Italia, verranno fornite le definizioni dei business line e
dei tipi di eventi. Nel capitolo tre verranno rappresentati e confrontati i metodi di misurazione
e valutazione del rischio con vari esempi. Il quarto capitolo riguarda il sistema di gestione,
cioè la creazione di un sistema efficiente per la gestione del rischio e i principi sui quali deve
basarsi questo sistema. L’ultimo capitolo contiene le conclusioni-
Capitolo – 2 Regolamenti e definizione
La definizione data di “Operational risk” in Basilea 3 è “the risk of direct or indirect
loss resulting from inadequate or failed internal processes, people or from external events”; la
stessa definizione viene utilizzata anche dalla Banca d’Italia. Rientrano in tale tipologia, tra
l’altro, le perdite derivanti da frodi, errori umani, interruzioni dell’operatività, indisponibilità
dei sistemi, inadempienze contrattuali, catastrofi naturali. La definizione è basata sulle cause
del rischio operativo
2. 1 Fattori di rischio
1. Risorse umane – Negligenza, incompetenza, frodi, violazione di procedure ecc.
2. Processi – Procedure e controlli interni difèttosi o inadeguati. ( es. BKT quando il
dipartimento dle tesoro deve compiere operazioni nel mercato è sempre il dipartimento
di rischio che dà l’ accettazione per l’operazione, una negligenza di questa procedura
fa sì che la banca assuma un maggior rischio nel mercato).
3. Sistemi informatici – Sono le perdite che vengono causate dal malfunzionameto del
sistema informatico della banca: presenza di virus, interruzione di elettricità, hacker,
perdità dei dati ecc. ( es. BKT in tutti i PC tranne quelli di dirigienti non è possibile
inserire USB aprire pagine come youtube, facebook, hotmail al fine di non permettere
l’ingresso di virus nel sistema, inoltre viene effettuato un backup sistematico anche
più di una volta durante il giorno quando vengono portate a termine numerose
operazioni).
4. Eventi esterni – Perdite causate da fattori esterni e non controllabili dal management
della banca. (es. BKT una sede della banca era affondata a causa di alluvioni).
2.2 Pecularità del rischio
1. Inevitabilità – Inevitabile conseguenza delle attività svolte dalla banca stessa. Non ci
sono possibilità di eliminarlo.
2. Endogeno –
3. Puro – Non è rischio speculativo e comporta prevalentemente perdite e non guadagni.
4. Non vale il principio, maggior rischio rendimento.
5. Eterogeneità – Ci sono fattori troppo diversi tra loro e manifestazioni diverse dello
stesso fattore.
6. Difficoltà a trovare gli strumenti per coprire il rischio e trasferirlo ad altri soggetti.
2.3 Catalogazione dei rischi operativi ( mapping )
Per compiere la catalogazione dei rischi è necessario trovare le cause che portano ad
un evento in un business line dell’azienda ed in seguito misurare l’effetto di questo evento.
Prima di tutto, definiamo secondo il regolamento di Basilea 3 quali sono gli eventi e anche
cos’è e quali sono i business line.
2.3.1 Eventi – La definizione di evento è “qualcosa che accade ad un certo punto in un certo
momento.”
1. Frode interna – Perdite dovute ad attività non autorizzate, frode, appropriazione
indebita o violazione di leggi, regolamenti o direttive aziendali che
coinvolgono almeno una risorsa interna della banca
2. Frode esterna – perdite dovute a frode, appropriazione indebita o violazione di
leggi da parte di soggetti esterni alla banca
3. Rapporto di impiego o sicurezza di lavoro – Perdite derivanti da atti non
conformi alle leggi o agli accordi in materia di impiego, salute e sicurezza sul
lavoro, dal pagamento di risarcimenti a titolo di lesioni personali o da episodi
di discriminazione o di mancata applicazione di condizioni paritarie.
4. Clientela, prodotti e prassi professionali – Perdite derivanti da inadempienze
relative a obblighi professionali verso clienti ovvero dalla natura o dalle
caratteristiche del prodotto o del servizio prestato.
5. Danni da eventi esterni – Perdite derivanti da eventi esterni, quali catastrofi
naturali, terrorismo, atti vandalici.
6. Interruzioni dell’operatività e disfunzioni dei sistemi – Perdite dovute a
interruzioni dell’operatività, a disfunzione o a indisponibilità dei sistemi.
7. Esecuzione, consegna e gestione dei processi – Perdite dovute a carenza nel
perfezionamento delle operazioni o nella gestione dei processi, nonché perdite
dovute alle relazioni con controparti commerciali, venditori e fornitori.
2.3.2 Business Line – Le aree di affari in cui vanno suddivise le attivita aziendali
1. Corporate finance – Fusioni, acquisizioni, attività di collocamento (OPA, OPV,
collocamenti privati – c.d. blocchi, emissioni obbligazionarie). Investment
banking in azioni e capitale di debito (IPO, privatizzazioni, syndications,
piazzamenti privati secondari, sottoscrizioni, etc.).Valutazione d’azienda.
Cartolarizzazioni per conto terzi. Gestione straordinaria di finanza d’impresa.
Aumenti di capitale (solo come lead manager). Servizi di consulenza e ricerca
(struttura di capitale, strategia industriale, undertakings, ristrutturazione, etc.).
Consulenza d’ investimento come bussiness specifico.
2. Trading and sales – Negoziazione in conto proprio del portafoglio di trading.
Gestione della tesoreria e funding in conto proprio (Asset & Liability
Management, etc.). Cartolarizzazione in conto proprio. Ricezione, trasmissione
ed esecuzione di ordini verso clienti corporate e professionali. Attività di
consulenza, assunzione a fermo, collocamento di strumenti finanziari e prodotti
assicurativi (bancassurance, fondi, GPM, GPF, azioni, obbligazioni, derivati,
etc.) verso clienti corporate e professionali.
3. Retail banking – Prestiti e depositi. Garanzie e impegni finanziari. Credito al
consumo per clienti retail. Leasin e factoring. Altri tipi di transazioni con
controparti retail come servizi di incasso e pagamento (collocamento di carte di
debito e di credito, trasferimento fondi ed altri pagamenti per conto di clienti,
cambio valuta, etc.) e custodia ed amministrazione titoli.
4. Commercial banking – Prestiti e depositi. Garanzie e impegni finanziari.
Leasing e factoring. Finanziamenti all’esportazione e al commercio. Altri tipi di
transazioni con controparti corporate non allocati in altre linee di bussiness.
Servizi ancillari ad attività corporate come servizi di incasso e pagamento
(trasferimento fondi ed altri pagamenti per conto di clienti, cambio valuta, etc.)
e custodia ed amministrazione titoli. Reddito netto su portafogli non di trading.
5. Payment and settlement – Servizi e sistemi di pagamento, regolamento e
compensazione (EBA, BIREL, TARGET, CLS, SWIFT, MASTERCARD,
VISA, AMEX, etc.). Emissione e gestione di strumenti di pagamento e
trasferimento fondi come business specifico. Banca corrispondente.
6. Agency services – Banca depositaria. Custodia e servizi correlati (gestione
contante e garanzie reali, depositi presso terzi, etc.) come bussiness specifico.
Servizi di esattoria. Servizi di tesoreria Enti. Banca fiduciaria.
7. Asset management – Gestione portafogli ed altre forme di gestione del
risparmio (fondi comuni di investimento, fondi di pensione, GPM, GPF, hedge
fund, etc.). Si intende solo la produzione e non la distribuzione di prodotti di
risparmio gestito; fa eccezione l’attività di collocamento a clienti professionali
effettuata da società dedicate.
8. Retail brokerage – Ricezione, trasmissione ed esecuzione di ordini verso clienti
retail. Attività di consulenza, assunzione a fermo, collocamento di strumenti
finanziari e prodotti assicurativi (bancassurance, fondi, GPM, GPF, azioni,
obbbligazioni, derivati, etc.) verso clienti retail.
9. Corporate Items (solo banche AMA) – Attività che riguardano la banca nella
sua interezza, quali dichiarazione annuale delle tasse, azioni o responsabilità
degli esponenti aziendali, ecc.
2.4 Costruzione di database
Dopo la procedura di mapping è necessario costruire il database nel quale vanno
inseriti i dati storici degli eventi e nei quali i business line sono verificati. La costruzione di
business line serve per avere una raccolta dei dati che possono essere usati per fare previsioni
sul futuro mediante modelli statistici.
Questi database aiutano le banche nella stima delle perdite e per prevedere il capitale
neccessario che deve essere integrato dagli azionisti. Inoltre è utile alle banche per
comprendere a fondo le cause delle perdite e per riuscire a coprire e migliorare queste perdite
nel futuro.
Ci sono diverse difficoltà nella costruzione di database; innanzitutto la raccolta di dati
storici, ad esempio una nuova banca non è in possesso di questi dati, quindi risulta difficile la
misurazione del rischio, mentre per un titolo la banca è in possesso dei dati e quindi può
misurare il rischio di mercato. Esistono difficoltà nella misurazione delle perdite derivanti da
eventi collegati con il rischio operativo. Alcuni eventi sono rari e non danno la possibilità di
misurarne la probabilità e prevederne la perdita.
Dopo le procedure di mapping e di database, il passo successivo è quello di valutare il
rischio necessario per decidere la consistenza del capitale necessario a coprire le perdite. Ci
sono tre metodi previsti da Basilea 2 per valutare il rischio operativo e quindi determinare i
requisiti patrimoniali a fronte del rischio operativo.
1. Metodo base (Basic Indicator Approach – BIA)
2. Metodo standardizzato (Standardized Approach – TSA)
3. Metodo avanzato di misurazione (Advanced Measurement Approach – AMA)
2.5 Schema riepilogativo
Capitolo - 3 Misurazione e Valutazione
3.1 Misurazione
Due sono le distribuzioni da considerare per stimare le perdite derivante dal rischio
operativo: distribuzione della frequenza delle perdite (loss frequency distribution) e
distribuzione della severità delle perdite (loss severity distribution).
La loss frequency distribution è la distribuzione delle perdite osservate nel corso
dell’orizzonte temporale, che di norma è di un anno. Si ipotizza che la LFD sia una buona
approssimazione della distribuzione di Poisson. Questa distribuzione ipotizza che le perdite si
verifichino in modo casuale nel tempo. In un breve intervallo di tempo, ∆t, la probabilità di
subire una perdità è pari a λ∆t. Nel perido di tempo (0, T) la probabilità di subire n perdite è
pari a
Il parametro λ può essere stimato come numero medio di perdite nell’unità di tempo.
La distribuzione di Poisson gode della proprietà secondo cui la varianza della frequenza delle
perdite è pari alla media, λ, della frequenza della perdite. Quindi per poter avviare tale
modello occorre rilevare e analizzare le seguenti informazioni:
 Data di accadimento dell’evento perdita (variabile di riferimento per il calcolo della
frequency di manifestazione, ad esempio su base mensile o annuale)
 Business unit nella quale la perdita è stata rilevata
 Codice del processo in cui è stata rilevata la perdita (tavola 1)
 Codice del rischio (tavola 2)
 Ammontare della perdita autorizzata
 Descrizione dell’accadimento della perdita
Codice Processo
Processo
PR 01
Processo del credito
PR 02
Processo del risparmio
PR 03
Processi area finanza
PR 04
Processi Prodotti/ mercati/ relazioni esterne
PR 05
Processi incassi e pagamenti
PR 06
Processo contabilità analitica/ gestionali/ informazione a
terzi
PR 07
Processo infrastrutture/ spese
PR 08
Processo risorse umane
PR 09
Processo risorse informatiche
Tavola – 1 Elenco dei processi
Codice rischio
Rischio
01
Rischio di non conformità dei processi
02
Rischio di conflitti di interesse
03
Rischio di efficacia ed efficienza dei processi
04
Rischio legato alle risorse umane
05
Rischio di imagine
06
Rischio legato alla soddisfazione del cliente
07
Rischio legato al rispetto della normative di riferimento
08
Rischio generico (interruzione di attività)
09
Rischio di frode e rapina
10
Rischio di frode interna
11
Rapporto di impiego e sicurezza sul lavoro
12
Danni e beni materiali
13
Perdita ricevuta da ribaltimento da altri rischi
Tavola – 2 Elenco dei rischi
Dopo la determinazione della frequenza si procede con la stima dei parametri e delle possibili
distribuzioni che possano essere utilizzate per fare previsioni sulla frequenza attesa che è la
distribuzione di Poisson con il metodo di massima verosomiglianza. La stima può
considerarsi buona se il plot assume un andamento lineare (il più vicino possibile alla retta a
45 gradi passante per l’origine).
La loss severity distribution è l’analisi di severity ovvero, nel caso in cui si manifesti
l’evento pregiudizievole, quale sarà l’ammontare futuro della perdita operativa. In questo caso
si assume che la distribuzione sia LogNormale, che per le sue caratteristiche è una delle
distribuzioni cosiddetta havy tail, in grado di tenere conto degli eventi con grande impatto
oltre ad avere un’asimmetria positiva ed una forma appuntita. Le stime dei parametri di questa
distribuzione sono pari alla media e alla deviazione standard del logaritmo delle perdite. La
distribuzione LogNormale riesce a modellare i dati empirici meglio dell’esponenziale.
Spesso la loss frequency distribution può essere combinata con la loss severity
distribution per ottenere, per ogni tipo di perdita e per ogni area di attività la distribuzione
delle perdite (la loss distribution). A questo punto si può utilizzare il metodo Monte Carlo
dove l’ipotesi più comune è quella che le due distribuzioni siano indipendenti. Pertanto, in
ogni simulazione Monte Carlo si procede nel modo seguente :
1. Si estrae un’osservazione dalla loss frequency distribution, per determinare il numero
delle perdite in un anno.
2. Si estraggono n osservazioni dalla loss severity distribution, per determinare le perdite
( L1, L2, L3,…, Ln) subite in ciascuno degli n eventi
3. Si determina la perdita complessiva (L1 + L2 + L3 + … + Ln ) subita nell’anno
Effettuando N simulazioni si ottiene una stima della loss distribution.
Esempio dell’aggregazione di due funzioni
Dopo questa procedura mediante metodi statistici, come il metodo Value at Risk
(Var), vengono fatti diversi test statistici per analizzare la possibilità di subire la perdite e
riuscire a prevederla. In seguito si valuta anche quanto alta potrebbe essere la somma che
viene persa in ogni segmento dell’attività. Quindi, calcolando 7*8=56 Var si calcolano sette
eventi per otto segmenti della banca. Basandosi su queste procedure e sui coefficienti viene
accantonato il capitale necessario a coprire le perdite derivante dal rischio operativo.
I limiti di questi metodi per misurare il rischio operativo stanno nel fatto che le banche
non dispongono di dati storici per riuscire a misurare la probabilità di una perdita e quindi per
trovare la parte di capitale che deve essere accantonato come riserva per coprire le perdite
derivanti dal rischio operativo. Le banche hanno iniziato a dare più importanza al rischio
operativo soltanto dopo gli anni ‘90 e non precedentemente, come avevano fatto per il rischio
di mercato e di credito. Vista questa carenza nei dati le Autorità di vigilianza incoraggiano le
banche ad utilizzare i propri dati unitamente a quelli esterni, in ogni caso corretti per
l’inflazione.
Le autorità di vigilianza incoraggiano anche un’altro metodo per per misurare il
rischio: l’analisi di scenario. Sono i senior management che, in base al loro giudizio, stimano
la frequenza media, λ, delle perdite associate a ciascuno scenario e i due parametri della loss
severity distribution. Uno dei vantaggi delle analisi di scenario è che esse consentono di
includere perdite che la banca non ha mai subito, ma che, ad avviso del senior management,
potrebberto verificarsi, dati i controlli in essere e date le attività correnti della banca. Un altro
vantaggio è rappresentato dal fatto che questo tipo di analisi costringe il senior management a
pensare attivamente e in modo creativo ai possibili eventi avversi. I benefici possono essere
diversi. In alcuni casi è possibile che vengano predisposte le strategie da seguire per
minimizzare la severità delle perdite. In altri casi è possibile che vengano avanzate proposte
per ridurre la stessa probabilità che l’evento avverso si verifichi. Il principale svantaggio delle
analisi di scenario è rappresentato dal fatto che il senior management vi dovrebbe dedicare
una gran quantità di tempo. È probabile che, al fine di alleggerirne l’onere, gli scenari di base
verranno sviluppati dai consulenti e dalle strutture interne delle stesse banche.
3. 2 Riepilogo di misurazione del rischio operativo
A prescindere dalla dimensione della banca e dalla natura delle attività da queste
svolte, l’attività di Operational Risk Mangement si articola in queste fasi:
1. Mappatura dei processi aziendali e delle business unit, al fine di individuare i potenziali
rischi operativi presenti all’interno della banca, attraverso la definizione:
a) Della business line – oggetto di analisi
b) Dell’event type che dà origine a un evento di perdita
2. Individuazione dei rischi operativi – che rientrano nella definizione di Basilea e con
questa coerenti – che la banca è in grado di misurare
3. Raccolta e conservazione dei dati sui rischi operativi, comprendente almeno le perdite
significative e i relativi recuperi
4. Screening dei dati di perdita, in termini di qualità, attendibilità e completezza degli stessi
5. Analisi statistica dei dati, finalizzata a produrre informazioni quantitative sulla frequenza
e sull’impatto delle perdite operative.
 Analisi grafica in termini di frequenza e di impatto monetario della distribuzione
statistica degli eventi di perdita (distribuzione empirica)
 Elaborazione di statistiche descrittive di sintesi delle distribuzioni empiriche
(media, mediana, deviazione standard, ecc)
 Stima delle distribuzioni teoriche che meglio approssimano le distribuzioni
empiriche, con l’ausilio di test grafici di accostamento ( Q-Q plot e P-P plot) e test
statistici analitici ( Chi - quadro test, Kolmogorov – Smirnov test ecc )
 Stima della distribuzione aggregata delle perdite, a partire dalle distribuzioni di
frequenza e impatto con l’ausilio della simulazione di Monte Carlo
6. Quantificazione delle expected losses e delle unexpected losses sulla base della
distribuzione aggregata delle perdite e calcolo del Value at Risk
7. Valutazione dei risultati dell’analisi statistica a fini gestionali, nell’ambito della quale
definire e attuare interventi e correzione dei rischi manifestati soprattuto in ottica
preventiva.
3.3 Valutazione
Le banche sono libere di scegliere quale dei tre metodi scegliere ma questa libertà
potrebbe essere limitata dalle Banche centrali di ogni Paese. Quindi le banche centrali
possono obbligare le banche ad applicare uno dei metodi previsti o chiedere requisiti più alti.
Le banche devono adottare il metodo più adeguato alle proprie caratteristiche e capacità di
gestione, dimensioni e complessità operativa. Ai fini prudenziali sono previste soglie di
accesso per i metodi diversi da quello di base. La Banca centrale può obbligare le banche di
secondo livello ad applicare anche metodi combinati cioè usare nello stesso momento due
metodi diversi per calcolare il requisito patrimonale applicando un metodo diverso per
segmenti diversi dell’operatività.
3.4 Metodo base ( Basic Indicator Approach – BIA)
Nel metodo di base il requisito patrimoniale è pari al 15 per cento della media delle
ultime tre osservazioni dell’indicatore rilevante (margine di intermediazione) riferite alla
situazione di fine esercizo. Il margine di intermediazione è una differenza che compare nel
conto economico: Interessi attivi – Interessi Passivi = Margine di interessi (MINT)
MINT + rettifiche netti sui crediti = Margine d’interesse rettificato (MINTR)
MINTR + dividendi ed altri proventi, ricavi netti per servizi, ecc = Margine di
intermediazioni.
Le osservazioni negative o nulle non vengono prese in considerazion nel calcolo del
requisito patrimoniale complessivo. Il requisito viene quindi determinato come media delle
sole osservazioni aventi valore positivo. Qualora il dato relativo all’indicatore rilevante, per
alcune osservazioni del triennio di riferimento, non sussista, il calcolo del requisito va
determinato sulla base della media delle sole osservazioni disponibile.
Il capitale richiesto per coprire le perdite dal rischio operazionale si calcola nel seguente
modo:
CRBIA = [
]/n
CR – La somma del capitale richiesto
IR – L’ indicatore rilevante
α – è la percentuale richiesto da Basilea che è uguale a 15 per cento
n – numero dei tre anni passati nei quali l’ indicatore rilevante è stato positivo
Esempio di calcolo
Metodo Base - BIA
Indicatore rilevante
Business Line
A-3
A-2
A-1
Corporate finance
10
40
35
Trading and sales
10
40
35
Retail banking
10
40
35
Commercial banking
10
40
35
Payment and settlement
10
40
35
Agency services
10
40
35
Asset management
10
40
35
Retai brokerage
10
40
35
TOTAL
80
320
280
Media
170
Coefficiente Alpha
15%
Capitale richiesto
25,5
Se nel totale vi fossero valori negativi, essi non dovevano essere presi in
considerazione ma dovevano essere presi in considerazione quelli dell’anno A – 4, cioè i
valori negativi non vengono mai contati. Come si vede dal calcolo va eseguita la somma di
tutti gli indicatori rilevanti per ogni anno, in seguito è necessario trovare la somma che va
moltiplicata per il quoziente alpha, uguale al 15 per cento; da questa si ricava la somma del
capitale necessario per coprire le perdite operative. Come si vede con questo metodo
l’importanza di ogni business line è la stessa quindi questo metodo valuta in modo
ugualmente una perdita operativa in ognuno di business line, a differenza del metodo
standardizzato.
3.5 Metodo Standardizzato (Standardized Approach – TSA)
Il metodo standardizzato è un metodo migliore del metodo base per quanto riguarda la
determinazione del capitale che deve essere stanziato per coprire le perdite operative. Con
questo metodo ognuno dei business line ha un coefficiente diverso. Il coefficiente dipende
dall’esposizione di questo segmento della banca nei confronti del rischio operativo.
Diversamente dal metodo di base questo metodo aiuta le banche ad integrare il capitale nel
segmento di attività in cui si rivela necessario e non in tutti i segmenti. Con il metodo
standardizzato il capitale richiesto per coprire le perdite non dipende tanto dal numero di
operazioni ma dal settore dove c’è più probabilità di subire perdite operative.
Secondo le regolamentazioni della Banca d’Italia possono accedere al metodo
standardizzato le banche individuali e i gruppi bancari che rispettano almeno una delle
seguenti soglie:
 Patrimonio di vigilianza pari o superiore a 200 milioni di euro (soglia dimensionale)
 Patrimonio di vigilianza pari o superiore a 25 milioni di euro e l’ ammontare
complessivo dell’indicatore rilevante delle linee di business diverse da Retail banking
e Commercial banking pari ad almeno il 60 per cento dell’indicatore rilevante totale
(soglia specialistica)
Per poter utilizzare il metodo standardizzato devono essere soddisfati anche altre
condizioni che riguardano aspetti dell’organizzazione interna e meccanismi di governo
societario:
 Avere un’apposita funzione di risk management che sia responsabile
dell’identificazione, valutazione, monitoraggio e controllo del rischio operativo
 Rilevare sistematicamente le perdite subite dalle diverse aree e creare gli incentivi atti
migliorare la gestione del rischio operativo
 Disporre di procedure per la comunicazione, nell’ambito dell’intera banca,
dell’esposizione al rischio operativo
 Disporre di un sistema di gestione del rischio operativo ben documentato
 Assoggettare a validazione e a revisione periodiche – da parte di organi interni
indipendenti, revisori esterni e/o autorità di vigilianza – i processi di gestione del
rischio operativo e il relativo sistema di valutazione
Anche se tutti i criteri previsti dalla Banca d’Italia e il Comitato di Basilea sono soddisfatte, le
autorità di vigilianza hanno sempre il diritto a chiedere un periodo di monitoraggio prima che
il metodo venga usato per calcolare i requisiti patrimoniali.
La Banca d’Italia obbliga il capogruppo o la banca individuale che vuole adottare il
metodo standardizzato di darne preventiva comunicazione alla Banca d’Italia
La comunicazione deve essere corredata da:
 Gli organigrammi che individuano i compiti e le responsabilità delle funzioni di
gestione e di controllo dei rischi operativi
 Il verbale della delibera dell’ organo con funzione di supervisione strategica, con
l’attestazione del rispetto della soglia di accesso
 Un documento che descrive il processo di valutazione e dei relativi esiti
 La relazione della revisone interna
Con cadenza annuale va inviata alla Banca d’Italia l’attestazione formale dell’organo con
funzione di supervisione strategica sul rispetto dei requisiti di idoneità e la relazione della
revisione interna sull’adeguatezza del sistema di gestione dei rischi operativi.
Per calcolare il requisito patrimonale servono gli otto business line in cui è suddivisa
la banca. Ogni business line ha un margine di intermediazione e su questo margine viene
calcolata anche la somma del capitale che deve essere accantonata come riserva obbligatoria
per coprire i rischi operativi. Ogni business line ha un coefficiente beta che è diverso per
settori diversi visto che non tutti i settori sono esposti nello stesso modo al rischio operativo.
I coefficienti beta per calcolare la parte del patrimonio che deve essere utilizzata per
coprire le perdite operative
Business Lines
Coefficienti Beta
Corporate Finance
18%
Trading and Sales
18%
Retail Banking
12%
Commercial Banking
15%
Payment and Settlement
18%
Agency Services
15%
Retail Brokerage
12%
Asset Management
12%
Esempio di calcolo del requisiti patrimoniale
METODO
STANDARDIZZATO
Indicatore rilevante
Indicatore rilevante ponderato
Anno
Business Lines
Anno
A-3
A-2
A-1
A–3
A-2
A-1
Corporate financa
10
40
35
18%
1,8
7,2
6,3
Trading and sales
10
40
35
18%
1,8
7,2
6,3
Retail banking
10
40
35
12%
1,2
4,8
4.2
Commercial banking
10
40
35
15%
1,5
6
5,25
settlement
10
40
35
18%
1,8
7,2
6,3
Agency services
10
40
35
15%
1,5
6
5,25
Asset management
10
40
35
12%
1,2
4,8
4,2
Retail brokerage
10
40
35
12%
1,2
4,8
4,2
TOTALE
12
48
42
TSA
12
48
42
Payment and
MEDIA
18,16
REQUISITO PATRIMONIALE
18,16
Questo è un esempio dove viene mostrato come può essere calcolato il requisito patrimoniale
per coprire le perdite. Questo calcolo viene fatto mediante cinque passaggi: calcolo del
margine di intermediazione per ogni business line e per ogni anno; calcolo del margine di
intermediazione ponderato mediante i coefficienti beta; calcolo del totale per ogni anno;
calcolo della media degli ultimi tre anni: anche in questo metodo, come nel metodo base, non
vengono presi in considerazione i valori negativi; la media dei tre anni è la parte del capitale
che va accantonata per coprire le perdite.
3.6 Metodo Avanzato di Misurazione (Advanced Measurement Approach – AMA)
Il metodo avanzato di misurazione è un metodo più complicato matematicamente ma
d’altra parte più efficiente perché il requisito patrimoniale viene calcolato in modo più fair.
Questo metodo consente alla banca di utilizzare i propri criteri interni, qualitativi e
quantitativi, per determinare i requisiti patrimoniali a fronte del rischio operativo. Con questo
metodo l’obiettivo delle banche è quello di riuscire a quantificare il rischio operativo nello
stesso modo del rischio di credito. Per adattaro, però, devono convincere le autorità di
vigilanza che le perdite attese a fronte del rischio operativo sono già incorporate nei prezzi dei
loro servizi, le banche devono quantificare il capitale necessario per far fronte alle perdite
inattese. Le banche che usano questo metodo sono le banche di grande dimensioni e banche
internazionali ma ci sono anche banche che non sono regolate dalle banche centrali come per
esempio le banche di investimenti negli Stati Uniti. Le banche regolate dalle banche centrali
che usano il metodo AMA vengono sottoposti ad una vigilianza maggiore per quanto riguardo
il rischio operativo perché il metodo AMA è più giusto per quanto rigurda la misura del
requisito patrimoniale ma d’altra parte è più rischioso vista la mancanza di dati e le difficoltà
nel misurare le perdite operative o classificare una perdita come operativa o non.
Per queste ragioni nel accordo di Basilea 2 sono previste condizioni da soddisfare per
poter usare il metodo AMA nel calcolo del requisito patrimoniale. Queste condizioni da
soddisfare riguardano sia le soglie patrimoniale che requisiti organizzativi e quantitativi.
Soglie di accesso secondo la Banca d’Italia: possono chiedere l’autorizzazione ad
utilizzare i metodi AMA le banche individuali o i gruppi bancari che rispettano, al momento
della domanda, almeno una delle seguenti soglie
 Patrimonio di vigilianza pari o superiore a 200 milioni di euro (soglia dimensionale)
 Patrimonio di vigilianza pari o superiore a 25 milioni di euro e ammontare
complessivo dell’indicatore rilevante delle linee di business diverse da Retail Banking
e Commercial Banking pari ad almeno il 60 per cento del totale (soglia specialistica)
Le soglie di acceso nel metodo AMA sono uguali a quella del metodo standardizzato; ciò che
cambiano sono gli altri requisiti.
I requisiti organizzativi previsti dalla Banca d’Italia riguardano due campi di gestione del
rischio:
 I controlli interni - come deve essere istituita un’unita organizzativa solo per gestione
del rischio operativo. Riguarda il processo di convalidazione interna cioè la qualità
del sistema di gestione del rischio operativo. Un altro processo è quello della funzione
di revisone interna che diversamente dal processo di convalidazione esamina se il
sistema di gestione e di misurazione dei rischi operativi è stato efficace e controlla la
sua conformità con i requisiti di idoneità
 Sistema di gestione dei rischi operativi – è costituito da un insieme strutturato di
processi, funzioni e risorse per l’identificazione, la valutazione e il controllo dei rischi
operativi, con riguardo all’obiettivo di assicurare un’efficace azione di prevenzione ed
attenuazione dei rischi stessi; gli elementi essenziali sono:
 Il sistema di raccolta e conservazione dei dati
 Il sistema di reporting
 L’utilizzo gestionale del sistema di misurazione
I requisiti quantitativi quantitativi riguardano tre campi:
1. Sistema di misurazione dei rischi operativi – rappresenta l’insieme strutturato delle
risorse dei processi, delle funzioni e delle risorse per la determinazione del requisito
patrimoniale. La banca verifica l’accuratezza e l’adeguatezza del sistema di
misurazione dei rischi operativi e dei suoi risultati, con particolare riguardo alla
capacità di cogliere le principali determinanti di rischio operativo, specie quelle che
influiscono sulla coda delle distribuzioni, e di incorporare i cambiamenti intervenuti
nel profilo di rischio. La banca assicura inoltre la replicabilità delle stime e dei risultati
del modello di calcolo del requisito patrimoniale
2. I quattro componenti che servono per avere un sistema di misurazione migliore. La
banca deve definire i criteri e i processi per la raccolta e la conservazione dei dati.
 Dati interni di perdita operativa – costituicono la componente primaria per la
costruzione di un affidabile e accurato sistema di misurazione dei rischi
operativi. La banca deve individuare opportune soglie minime di perdita,
prendere in considerazione le caratteristiche minime delle classi di rischio
operativo. Queste soglie non devono comportare l’esclusione di significativi
dati di perdita. La banca deve includere nel data set di calcolo tutti i dati di
perdita operativa al di sopra delle soglie individuate. Solo in casi eccezionali è
previsto che la banca può ecludere dati che rappresentano una situazione tutto
distorta e incoerente del profilo di rischio operativo della banca.
Sistema di misurazione deve essere basato su un periodo di osservazione dei
dati non minore di cinque anni. Nel data set di calcolo deve essere incluso
l’importo delle perdite al lordo dei recuperi. La banca può non considerare le
perdite prontamente recuperate e quelle che sono recuperate parzialmente; la
perdita operativa viene scritta al netto del recupero.
 Dati esterni di perdita operativa – Il sistema di misurazione deve tenere conto
dei dati esterni di perdita operativa, in particolare per le perdite ad impatto
potenzialmente elevato, ancorchè poco frequenti, per le quali non sussiste una
sufficiente disponibilità dei dati interni, e per la valutazione dei nuovi segmenti
di operatività. I dati possono essere incorporati nel data set sempre tenendo
conto delle dimensioni e delle specificità della banca. Le principali fonti dei
dati vengono prese dalle altre banche, o vengono prese nel mercato o mediante
la raccolta dalle riviste specializzate. Le informazioni che vengono prese da
altre istituzioni finanziarie sono più affidabile di altri tipi di fonti, per questo la
banca deve fare sempre troppa attenzione.
 Analisi di scenario –
 Fattorio di contesto operativo e del sistema dei controlli interni – sono
principalmente finalizzati a incorporare nella stima del requisito patrimoniale
una componente prospettica (forward-looking), che rifletta con tempestività il
miglioramento o il peggioramento del profilo di rischio della banca a seguito
delle variazioni intervenute nei segmenti di operatività, nelle risorse umane,
tecnologiche ed organizzaive nonché nel sistema dei controlli interni.
3. Caratteristiche del modello di calcolo – il modello di calcolo rappresenta
adeguatamente il profilo di rischio operativo della banca, deve garantire un sufficiente
livello di stabilità dei risultati. Devono essere evitate le duplicazioni degli elementi che
concorrono alla riduzione del requisito patrimoniale. Deve essere fatta periodicamente
una valutazione sull’appropriatezza delle combinazioni e delle ponderazioni utilizzate
nell’ambito del calcolo. Il modello calcola un requisito patrimoniale sui rischi
operativi basato su un livello di confidenza pari o comparabile al 99,9 per cento su un
periodo di un anno. Il modello deve produrre, oltre al valore puntuale del requisito,
anche una stima attendibile del suo grado di variabilità.
La banca per trovare l’ammontare del capitale che serve per coprire le perdite
operative usa i metodi descritti sopra: loss frequency distribution e loss severity
distribution. La banca deve calcolare per ogni business line e per ogni tipo di evento
deve stimare la frequenza delle perdite; in totale devono essere calcolati 7 * 8 = 56
funzioni di distribuzioni. Dopo questa procedura la banca calcola per ogni tipo di
distribuzione il Value at Risk (Var). Var misura la parte del rischio operativo
inasppetato cioè misura la capitale che deve essere integrato per coprire le perdite
operative. Il Var si calcola su un intervallo di confidenza di 99,9 per cento. L’
intervallo di confidenza di 99,9 per cento e determinato dalla Banca d’ Italia perché ci
sono anche banche come J.P. Morgan negli Stati Uniti che calcola il Var su un
intervallo di confidenza di 95 per cento. Questo metodo di calcolo fa allocare in modo
più efficiente il capitale ma troppo complessa.
Questo metodo viene applicato poco in Italia visto i dimensioni non grandi
delle banche Italiane diversamente per quanto succede in Inghliterra e negli Stati Uniti
dove le banche sono dei dimensioni più grandi. Un’ altra ragione perché questo
metodo viene usato poco e anche perché la Banca d’ Italia non incentiva tanto le
banche del secondo livello di usare questo metodo visto la carenza dei dati. La Banca
d’ Italia incentiva di più di usare il metodo Standardizato che gli atri metodi.
3.7 Uso combinato di più metodi
In linea generale le banche adottano un unico metodo per il calcolo del requisito
patrimoniale sui rischi operativi, ma le autorità di vigilanza hanno dato la possibilità di usare
anche metodi che sono combinazioni dei metodi sopra descritti. L’uso dei metodi combinati è
sottoposto a diverse condizioni; in ogni caso l’uso dei metodi combinati deve coprire tutti i
segmenti di operatività. Anche in questo caso le condizioni da soddisfare sono quelle che si
usano sia per il metodo standardizzato sia quelle usate per i metodi avanzati. Questo tipo di
metodo per calcolare il rischio operativo è poco usato sia in Italia che nel resto del mondo.
L’utilizzo di questo tipo di metodo non è incentivato né dalla Banca d’Italia nè dai
regolamenti del Comitato di Basilea.
Capitolo – 4 Gestione del rischio
operativo
Il calcolo del capitale necessario a copertura dei rischi operativi è solo la prima parte
del lavoro che devono fare i manager per riuscire ad non portare il fallimento della banca. Una
altro aspetto del rischio operativo e quella di riuscire a prevedere prima di succedere e quando
succede trovare le soluzioni per non succedere più. Un altro compito dei manager e quella di
assicurarsi dal rischio operativo mediante diverse polizze assicurative o mediante al
traferimento del rischio. Qundi le banche devono avere strutture organizzative specializzate
nel gestione del rischio operativo per riuscire a gestire nel modo migliore il rischio operativo.
Le strutture organizzative quindi devono essere in grado di rispondere al rischio e non alle
perdite dovute dal rischio operativo. Per avere una struttura del genere ci vogliono sforzo sia
per progetarla e sia per mantenere in modo efficiente ed efficace nel tempo.
Proggetare un modello adeguato per la gestione dei rischi serve di soddisfare alcuni
condizioni:
1. La banca deve individuare una strategia di approccio al rischio operativo che miri a
chiari obiettivi quali: migliori prestazioni aziendali o abbattimento dei costi e dei
rischi. La banca deve individuare la sua esposizione davanti al rischio operativo e
individuare l’ evento e anche il segmento dove questo evento ha la frequenza più alta o
la perdita più grande. Individuare il rischio che può essere trasferito e quello matenuto.
2. La banca deve trovare le politiche per gestire in modo migliore il rischio che
includono la definizione del rischio operativo, le scelte organizzative, i ruoli, e le
responsabilità, i principi chiave di governo e tutto ciò che determina le discipline di
gestione. Le politiche non possono esistere da sole senza una cultura del rischio che
deve essere diffusa in tutta l’ organizzazione
3. La banca deve impostare un adeguato processo di gestione dei rischi operativi,
uniformandosi a standard de facto.
4. Deve possedere all’ interno dell’ organizzazione sistemi informatici che possono
sostenere l’ intero processo di gestione dei rischi operativi dall’ identificazione fino a
mitigazione e il reporting
5. Deve essere dedicato particolare attenzione alla mitigazione del rischio operativo
mediante mediante i sistemi di controllo o a progetti il cui l’ obiettivo sia di ridurre l’
esposizione, la frequenza e la severità di un evento rischioso.
Secondo il Comitato di Basile il processo di gestione del rischio operativo passa per
tre fasi:
I.
Individuazione e valutazione, equivale ad analizzare in maniera più approfondita l’
organizzazione aziendale e le sue vulnerabilità che si ricavano dalla mappatura dei
processi.
II.
Monitoraggio – si realizza mediante un processo di raccolta dei dati sulle perdite
operative ed eseguendo sistematicamente sessioni di auto – diagnosi. I dati che sono
raccolti devono essere archivati per poter essere usato quando si deve misurare il
rischio.
III.
Controllo e mitigazione, sono le fasi che di conseguenza portano ad adottare una
rispostaal rischio orientata all’ abbattimento dello stesso.
Il Comitato di Basilea ha individuato e dettato i requisiti organizzativi al fine di poter
adottare i vari metodi di calcolo. Quindi il Comitato ha individuato i due campi su cui
si deve lavorare per avere una struttura organizzativa in grado di gestire il rischio:
creare un appropriato contesto per la gestione del rischio operativo; gestione del
rischio (individuazione,valutazione, monitoraggio e controllo/ mitigazione.
4.1 Creare un appropriato contesto per la gestione del rischio operativo
Principio 1: Il consiglio di Amministrazione dovrebbe essere conspaevole dei
principali aspetti sul rischio operativo della banca in quanto distinta categoria di rischio da
gestire, e dovrebbe approvare e riesaminare periodicamente il sistema di gestione del rischio
operativo. Il sistema dovrebbe fornire una definizione a livello aziendale di tale rischio e
stabilire i criteri in base ai quali esso deve essere individuato, valutato, monitorato e
controllato/ mitigato.
Il consiglio di amministrazione deve aprovare ed istituire a livello aziendale un sistema
interno per la gestione del rischio. Il sistema deve basarsi su un definizione che specifichi
chiaramente ciò che costituisce il rischio operativo per la banca. Il consigli di amministazione
deve istituire una struttura interno alla banca che deve gestire in modo efficiente il rischio
operativo. È un compito del consiglio di amministrazione di riesaminare periodicamente e
continutivamente se il sistema stia gestendo in modo efficiente il rischio operativo. Il
consiglio di amministrazione deve essere flessibile per quanto riguarda i cambiamenti che
influiscono nel rischio operativo cioè deve essere flessibile per quanto riguarda le modifice
che devono essere fatto per migliorare il sistema e rispondere nel miglior modo ai
cambiamenti.
Principio 2: Il consiglio di amministrazione deve assicurarsi che il sistema di gestione
del rischio operativo sia sottoposto a un rigoroso compiuto processo di auditing interno da
parte di personale funzionalmente indipendente, adeguatamente formato e competente. La
funzione di audit interno non dovrebbe essere direttamente responsabile della gestione del
rischio operativo.
Nell’ sistema di organizzazione della banca deve essere presenta l’ ufficio di audit che deve
controllare se il sistema per la gestione del rischio e applicato secondo le norme previste dal
consiglio di amministrazione. Questo compito deve essere attesta periodicamente. Il consiglio
deve assicurare l’ indipenza per la funzione di auditing.
Principio 3: L’ alta direzione dovrebbe avere la responsabilità di attuare il sistema di
gestione del rischio operativo approvato dal consiglio di amministrazione. Il sistema dovrebbe
essere costantamente applicato all’ intera organizzazione bancaria, e il personale di ogni
livello dovrebbe essere consapevole delle proprie responsabilità in ordine alla gestione del
rischio operativo. L’ alta direzione dovrebbe inoltre avere la responsabilità di definire
politiche, processi e procedure aziendali per la gestione del rischio operativo in ogni prodotto,
attività, processo e sistema rilevante della banca.
La direzione generale deve specificare la struttura gerarchica, i funzioni e il reporting in modo
che il sistema funziona in modo più efficace. La direzione generale deve assicurarsi che il
personale sia con adeguato esperienza con capacità tecniche per svolgere le attività nella
banca. La direzione generale deve assicurarsi che c’ è una comunicazione interna tra il
personale che si occupa nella gesitione del rischio operativo e quelli che si occupa nella
gestione del rischio di credito, rischio di mercato e di altre tipo. Le politiche di retribuzione
devono essere in modo tale da non incentivare i manager ad fare operazione che espostono
tanto la banca davanti ai rischi. Deve essere prestata attenzione per quanto riguardo il metodo
dei conrolli di documenti e alle modalità di trattamento delle operazioni.
4. 2 Gestione del rischio operativo
In questa sezione vengono definiti i strumenti appropriati per la gestione del rischio.
La gestione del rischio operativo si basa principalmente su i strumenti che aiutano le banche
per anticipare o limitare una possibile causa di rischio e su strumenti di quantificazione dell’
impatto economico:
Principio 4: Le banche dovrebbero individuare e valutare il rischio operativo insito in
ogni prodotto, attività, processo e sistema rilevante. Esse dovrebbero inoltre assicurarsi che
prima di introdurre nuovi prodotti, processi e sistemi o di intraprendere nuove attività, il
connesso rischio operativo sia sottoposto ad adeguate procedure di valutazione.
Individuare il rischio operativo rappresenta il compito più importante per la banca per riuscire
a fare dopo un monitoraggio efficace. Per individuare il rischio la banca dovrebbe considerare
sia i fattori interni ( che riguardano aspetti di organizzazione interna, di qualità del personale
ecc.) anche i fattori esterni ( che riguardano i sistemi tecnologi, l’ evoluzione del sistema
bancario, ecc) La banca deve conoscere bene quale è l’ avversione al rischio, dove è il
segmento dove la banca ha la maggior probabilità di subire una perdita operativa ecc. Per
questi problemi la banca deve imipegare vari strumenti per individuare e valutare il rischio
operativo. I strumenti maggiormente usati sono quelli di: auto - diagnosi, mappatura dei
rischi, indicatori di rischio, misurazione del rischio ecc.
Principio 5: Le banche dovrebbe istituire un processo di regolare monitoraggio dei
profili di rischio operativo e delle esposizione alle perdite rilevante. Dovrebbe essere
operarante un regolare segnalazione delle informazioni pertinenti all’ alta direzione e al
consiglio di amministrazione, che promuova un attiva gestione del rischio operativo.
La banca deve possedere un adeguato processo per il monitoraggio del rischio operativo. Un
processo adeguato di processo di monitoraggio fa più facile il lavoro per individuare e per
correggere gli eventuali carenze relative a politiche, processi e procedure nella gestione del
rischio operativo. La banca dovrebbe definire gli indicatori che segnalano anticipatamente il
rischio qundi questi indicatori dovrebbe essere prospettici. Il consiglio di amministrazione
dovrebbe essre informato in modo continuativo sull’ andamento di monitoraggio e su i
risultati di monitoraggio per poter emettere regolamenti interni che diminusicono l’
esposizione davanti al rischio operazionale.
Principio 6: Le banche dovrebbero disporre di politiche, processi e procedure per
controllare e/o mitigare i rischi operativi rilevanti. Esse dovrebbero valutare periodicamente le
strategie per il controllo e la riduzione del rischio, nonché conformare – mediante appropriate
strategie il loro profilo di rischio operativo alla propensione al rischio e al profilo di rischio
complessivi.
Il controllo è un componente importante nella gestione del rischio, mediante questo processo
banca decide cosa deve fare con il rischio che è individuatoe come gestire. Mediante queste
procedure la banca mette in controllo il rischio operativo e quindi è in grado di sapere in
modo sicuro quanto potrebbe essere la perdite. Per i rischi individuati ma non controllabili la
banca può decidere di diminuire l’ operatività in quel segmento dove il rischio è
incontrollabile. Il consiglio di amministrazione deve diffondere nella banca un cultura di
controllo di rischio. È importante che il personale dei dipendenti non dovrebbe avere compiti
che sono in conflitto di interesse perché può portare i dipendenti in perdite o azioni
discutibile. La banche deve assicurarsi di essere in posseso di altre prassi interne per
controllare il rischio:
 Un rigoroso monitoraggio del rispetto dei limiti o delle soglie di esposizione al rischio
 Il mantenimento di presidi a protezione dell’ accesso ai locali della banca e dell’
utilizzo di beni e documenti
 L’ accertamento dei requisiti di competenza e formazione professionale dei dipendenti
 L’ individuazione di linee di attività o di prodotto la cui la redditività sembra
discostarsi da quella ragionevolmente attessa
 La regolare verifica e riconciliazione delle transazioni e dei conti
La banca dovrebbe assicurarsi di essere in grado di riuscire ad avere un sistema di controllo
efficiente nei casi in cui entra in un nuovo mercato, avvia un nuovo attività ecc. La banca può
mitigare il rischio mediante diversi strumenti come le polizze assicurative, il traferimento del
rischio, ecc. Possibilità di avere questi meccanismi per il controllo del rischio riduce nel
minimo l’ esposizione della banca davanti a questi rischi. Per diminuire l’ esposizione al
rischio possono essere usati sistemi tecnologi nuovi e più efficienti ma questi sistemi nuovi
possono diminuire il rischio operativo da un fattore ma l’ aumenta il rischio da un altro fattore
quindi deve prestare attenzione quando vengono fatti cambiamenti tecnologici.
Principio 7: Le banche dovrebbe predisporre piani di emergenza e di continuità
operativa per assicurare la prosecuzione dell’ attività e minimizzare le perdite in caso di gravi
disfunzioni operative.
La banca potrebbe trovarsi in gravi situazione causati da eventi al di fuori del controllo della
banca. Qunidi visto questi casi la banca deve avere sempre piani emergenti che prevedono
situazioni in cui la banca può trovarsi. Questi piani emergenti devono prendere in
considerazione la dimensione e la complessità delle operazioni della banca. La banca deve
predisporre strutture di emergenza che in ogni caso possono recuperare i documenti e tutto
quello che è importante per l’ attività della banca. I locali dove sono instaurate le strutture di
emergenza è consigliato di non essere nello stesso posto dove sono collocate gli uffici
principali. La banca deve eseguire sistematicamente il backup del sistema in modo di non
perdere documenti e altre cose importante per la sua attività. I piani dovrebbe essere
aggiornati in modo di riuscire a rispondere in miglior modo ai cambiamenti dei fattori esterni.
I piani di emergenza dovrebbe essere sottoposti ai test periodici per essere sicuri che possono
essere applicati anche nelle situazioni più improbabile previste dalla banca.
Alla fine il Risk Mangement che è un’ unità operativa e che è responsabile per la
gestionde del rischio operativo è responsabile:
 Gestire i rischi operativi come definiti nella politica
 Preparare la reportistica al’ alta direzione e al consiglio di amministrazione
 Elaborare le proposte per la mitigazione del rischio
 Gestire il processo di business continuity
4.2 Metodi prospettici
L’ ufficio di Risk Management deve trovare metodi per riuscire a prevedere il rischio
operativo prima che accade la perdita operativa. I metodi per riuscire fare previsioni sono
diverse. Possono usare dati delle altre banche o costruire modelli statistici diversi per vedere
la relazione di casualita dei fattori diversi sull rischio operativo.
I relazioni di casualità sono dei tipi diversi: da quelli che mettono in relazione come
funziona il rischio operativo quando viene assunto un nuovo lavoratore alle politiche di
incentivare i trader o altri persone che possono essere esposti tanto davanti al rischio
operativo. Ci sono relazioni del tipo che dipendono dallo stato economico del posto dove si
trova la banca per esempio quando l’ economia non va bene si aumentano gli atti vandalici
contro le banche. Quindi con questi modelli i managares riescono a mantenere meglio in
controllo il rischio.
Un’ altro metodo e quella per riuscire a prevedere i rischi operativi e quella di auto –
valutazione del rischio operativo e di controllo. Mediante questo metodo sono gli stessi i
manageri che gli viene chiesto quando sono esposti davanti al rischio operativo, questi
questionari vengono preparati dal consiglio di amministrazione o da altre società fuori dalla
banca che sono specializzati nel campo di gestione dei rischi nelle banche.
4.3 Trasferimento dei rischi operativi
Dopo che l’ unita organizzativa specilizzata per la gestione del rischio ha trovato il
requisito patrimoniale che deve essere usato per coprire le perdite operative viene il compito
per mitigare il rischio. Cioè i manager devono usufrire tutte le possibilita per riuscire a ridurre
fino a dove è possibile il patrimonio che andra per coprire il rischio operativo. Questa
procedura viene fatta mediante l’ utilizzo di polizze assicurative o altri meccanismi di
trasferimento del rischio operativo.
Le polizze assicurative per coprire il rischio operativo ci sono dei tipi diversi da quelli
che coprirono le perdite dalle alluvioni o dal malfunzionamento del sistema operativo ai quelli
di comportamenti fraudolenti dei traders. Ma per ridurre il requisito patrimoniale sia la banca
che le compgnie assicurative devono soddisfare alcune condizioni previste sia dalle
regolamenti della Banca d’ Italia anche quelli previsti dal Comitato di Basilea. Le condizioni
riguardano dal rating delle attività della impresa assicurativ anche condizioni di come
dovrebbe esere la durata della polizza asscurativa (non deve essere inferiore ad un’ anno) ci
sono anche condizione per la disdetta del contratto che deve essere almeno 90 giorni prima
ecc. Per la banche le condizioni da soddisfare riguardano il trattamento delle polizze
assicurative: devono essere adeguatamente documentate, tenere in modo trasparente, tenere
conto dei fattori che possano determinare incertezza nell’ efficacia della copertura
assicurativa, mediante l’ adozione di adeguati coefficienti di scarto ecc.
Gli altri meccanismi per il trasferimento del rischio sono riconsciuto dalla Banca d’
Italia, questi meccanismi devono avere standar elevati di qualità che sono comparibile con
quelle delle polizze assicurative. La banca che usa tale meccanismi deve avere un’ esperienza
nell’ uso di tali meccanismi.
4.4 Supporto tecnologico
Il sistema tecnologico ha un grande impatto interno della banca per la gestione dei
rischi operativi. Il sistema tecnologico aiuta i manger per controllare e mitigare il rischio
operativo in modo più efficiente. Mediante la tecnologia informatica i manager hanno in
disposizione un sistema nel quale vengono raccolti i dati per tutto le operazioni della banca.
Mediante il sistema loro possono elaborare in miglior modo i metodi per la misurazione e
valutazione del rischio. Il sistema aiuta i manager di avere possibilità di reporting in modo più
veloce e continuativo. Quindi il sistema tecnologico è presente in tutti i livelli di gestione di
rischio operativo dall’ identificazione al controllo e mitigazione del rischio operativo. L’
applicazione del sistema tecnologico ha anche dentro il rischio operativo. Un
malfunzionamento del sistema o interruzione del processo diventa in una perdita opertiva per
la banca. Quindi le banche tendono a scegliere anche in questo campo un personale con
elevata qualificazione per mantenere il sistema tecnologico. Nella gerarchia delle banche
troviamo sempre un dipartimento dove lavorano solo per il mantenimento del sistema
informativo. La figura di IT e diventata molto importante nella struttura organizzativa delle
banche visto l’ evoluzione e il ruolo sempre e più importante che ha tecnologia nella gestione
delle attività bancarie.
4.5 Ruolo delle autorità di vigilianza
I regolamenti sia della Banca d’ Italia anche quelle di Comitato di Basilea hanno
previsto anche il ruolo che devono avere le autorità di vigilianza nei confronti delle banche.
Le autorità di vigilianze sono dei tipi diversi i principali in Italia sono: Banca d’ Italia,
Ministero delle finanza, Consob ecc. Il lavoro di viglianza di questi enti governativa si basa in
due principi che sono emante dal Comitato di Basilea:
Principio 1: Le autorità di vigilianza bancaria dovrebbero richiedere che tutte le
banche, a prescindere dalla loro dimensioni, dispongano di un efficace sistema per
individuare, valutare, monitorare, controllare/mitigare i rischi operativi, e che esso sia
inquadrato in un approcio complessivo alla gestione del rischio.
È un compito delle autorità di vigilianza per controllare se i sistemi adottati da diverse
banche sono corrispondenti con i regolamenti e soddisfano le condizioni per essere
funzionanti in modo efficiente. Quindi le autorità di vigilianza giocano un ruolo cruciale nel
verifichare se i sistemi adottati funzionano in modo efficiente, questo compito di controllo
aiuta le banche, perché se il sistema non funziona bene loro possono modificare e quindi non
avere perdita operative.
Principio 2: Le autorità di vigilianza dovrebbero condurre, in modo diretto o indiretto,
regolari valutazioni indipendenti delle politiche, procedure e prassi applicate dalla banca nella
gestione del rischio operativo. Esse dovrebbero inoltre assicurarsi che sussitano adeguati
meccanismi di segnalazione che permettono loro di tenersi informate sugli sviluppi
intervenuti nelle banche.
Il secondo principio ci dice che le autorità hanno il compito di controllare e verificare
l’ efficacia del processo di gestione del rischio operativo, quali sono i metodi che usano le
banche per individuare il rischio, controlare la qualità dei piani di emergenz, come funzione il
sistema di controllo interno ecc. In fine le autorià devono fare un rapporto sulle punti debole
del sistema, e quindi dare compito alla banca di migliorare il sistema per poter minimizzare le
perdite che possono avere da un funzionamento del sistema in modo non migliore da quello
che può funzionare.
Capitolo – 5 Conclusioni
Sulla base del lavoro descritto, il rischio operativo è una componente importante per la
banca. La creazione di un sistema per gestire il rischio operativo dovrebbe iniziare dalla
creazione di un database nel quale i risk managers possono registrare tutte le perdite derivanti
dal rischio operativo. L’esistenza di un database è importante per la banca non solo per
conoscere i propri punti deboli e migliorarli, ma anche per formulare previsioni più certe in
futuro.
I regolamenti sia della Banca d’Italia che quelli del Comitato di Basilea prevedono
diversi metodi per calcolare il requisito patrimoniale per coprire il rischio operativo. Dagli
esempi di calcolo, il metodo BIA richiede un valore di patrimonio maggiore degli altri
metodi. Possiamo concludere che il metodo BIA dovrebbe essere usate dalle banche di media
– piccola dimensione. Questi tipi di banche sono più esposte al rischio operativo vista la
mancanza di dati. Le ingenti spese che devono essere eseguite per implementare un sistema
tecnologico avanzato che possa aiutare nella gestione del rischio rendono improbabile per una
banca di piccole dimensioni l’utilizzo di metodi più avanzati nella gestione del rischio.
Il metodo TSA viene usato principalmente dalle banche di dimensioni maggiori e che
hanno le risorse sia umane che tecnologiche per usare questi metodi. Questo metodo è
migliore della BIA perché con questo metodo i segmenti diversi della banca vengono
ponderati poichè non tutti i segmenti possono portare la stessa perdita per la banca nel caso si
verifichi uno degli eventi previsti.
I metodi avanzati AMA sono i metodi che vengono usate di più dalle banche
internazionali che hanno sia le risorse umane che tecnologiche. Questi metodi misurano il
rischio in un modo migliore e più esatto.
Per quanto rigurda la gestione possiamo concludere che le banche devono avere nella
loro organizzazione aziendale una struttura organizzativa solo per la gestione del rischio
operativo. Il sistema deve gestire il rischio su quattro livelli: individuazione del rischio,
misurazione e valutazione, monitoraggio, controllo e mitigazione. Un ruolo importante nella
creazione del sistema di gestione gioca il sistema tecnologico che aiuta i risk managers di
avere pià facilità nel compito di gestione del rischio, ma dall’ altra parte un malfunzionamento
del sistema tecnologico può essere una causa per l’ aumento del rischio.
Un gioco importante nella gestione del rischio giocano anche le autorità vigilative che
aiutano le banche ad avere il rischio in controllo mediante le verifiche che fanno nelle banche.
Il rischio operativo è un rischio che è sempre presente nelle attività bancaria ed e’
sempre soggetto cambiamento: perché le persone che lavorano nelle banche sono esseri umani
e come tutti gli esseri umani potrebbero’ errare. Potrebbe errare anche un sistema
tecnologico. Anche il miglior sistema tecnologico possibile ha i suoi limiti e quindi potrebbe
non funzionare. In piu’ gli eventi esterni sono molto difficili da prevedere e quindi la perdita
puo venire anche da questa causa. Il rischio operativo non può essere scomparso e
diversificato mai.
Appendice A – Dati sul rischio operativo
A.1 Percentuale ammontare perdite
A.2 Percentuale numero perdite
A.3 Percentuale ammontare perdite
A.4 Percentuale numero perdite
BANCA D' ITALIA, (2011), Nuove Disposizioni di vigilianza prudenziale per le banche. Circolare n. 263
del 27 decembre 2006. Aggiornato, Rome.
BASEL COMMITTEE ON BANKING SUPERVISION. (2006). Convergenza Internazionale della
Misurazione del Capitale e dei Coefficienti Patrimoniali. Basel: Bank for International Settlements.
BASEL COMMITTEE ON BANKING SUPERVISION. (2003). Operational Risk. Consultative Document.
Basel.
BASEL COMMITTEE ON BANKING SUPERVISION. (2003). Prassi corrette per la gestione e il controllo
del rischio operativo. Basel: Bank for International Settlements.
CROUHY, M., GALAI, D., & MARK, R. (2001). Risk Management. New York: McGraw-Hill.
HOFFMAN, D. G. (2002). Managing Operational Risk. 20 Firmwide Best Practice Strategies. New York:
John Willey & Sons.
HULL, J. C. (2008). Risk Management and Financial Istitution. New York: Pearson Education.
MOOSA, I. (2011). Operational Risk as a Function of the State of the Economy. Economic Modelling ,
2137-2142.
POGLIAGHI, P., & VANDALI, W. (2008). Guida pratica al Secondo Pilastro di Basilea 2. I 10 rischi del
processo ICAAP di valutazione dell' adeguatezza del capitale interno. Rome: Bancaria Editrice.
RESTI, A., & SIRONI, A. (2008). Rischio e valore nelle banche: Misura, Regolamentazione, Gestione.
Milano: EGEA.
WANG, T., & HSU, C. (2013). Board Composition and Operational Risk Events of Financial Institutions.
Journal of Banking & Finance , 2042-2051.