UNIVERSITA’ DEGLI STUDI DI PADOVA DIPARTIMENTO DI SCIENZE ECONOMICHE ED AZIENDALI “M.FANNO” CORSO DI LAUREA IN ECONOMIA E MANAGEMENT PROVA FINALE “TITOLO” GESTIONE DEL RISCHIO OPERATIVO: IL CASO DELLA BANKA KOMBETARE TREGTARE IN ALBANIA RELATORE: CH.MO PROF. LORENZO FORNI LAUREANDO/A: ORION FIERZA MATRICOLA N. 1002595 ANNO ACCADEMICO 2012. – 2013. INDICE SOMMARIO / ABSTRACT 3 CAPITOLO – 1 INTRODUZIONE 4 CAPITOLO – 2 REGOLAMENTI E DEFINIZIONE 6 2.1 FATTORI DI RISCHIO 6 2.2 PECULARITÀ DEL RISCHIO 7 2.3 CATALOGAZIONE DEI RISCHI OPERATIVI ( MAPPING ) 7 2.3.1 Eventi – La definizione di evento è “qualcosa che accade ad un certo punto in un certo momento.” 7 2.3.2 Business Line – Le aree di affari in cui vanno suddivise le attivita aziendali 8 2.4 COSTRUZIONE DI DATABASE 9 2.5 SCHEMA RIEPILOGATIVO 10 CAPITOLO - 3 MISURAZIONE E VALUTAZIONE 3.1 MISURAZIONE 3.2 RIEPILOGO DI MISURAZIONE DEL RISCHIO OPERATIVO 3.3 VALUTAZIONE 3.4 METODO BASE ( BASIC INDICATOR APPROACH – BIA) 3.5 METODO STANDARDIZZATO (STANDARDIZED APPROACH – TSA) 3.6 METODO AVANZATO DI MISURAZIONE (ADVANCED MEASUREMENT APPROACH – AMA) 3.7 USO COMBINATO DI PIÙ METODI CAPITOLO – 4 GESTIONE DEL RISCHIO 4.1 4.2 4.3 4.4 4.5 4.6 CREARE UN APPROPRIATO CONTESTO PER LA GESTIONE DEL RISCHIO OPERATIVO GESTIONE DEL RISCHIO OPERATIVO METODI PROSPETTICI TRASFERIMENTO DEI RISCHI OPERATIVI SUPPORTO TECNOLOGICO RUOLO DELLE AUTORITÀ DI VIGILIANZA 11 11 15 16 16 18 21 24 25 26 27 30 30 31 32 CAPITOLO – 5 CONCLUSIONI 33 APPENDICE A – DATI SUL RISCHIO OPERATIVO 35 A.1 PERCENTUALE AMMONTARE PERDITE A.2 PERCENTUALE NUMERO PERDITE A.3 PERCENTUALE AMMONTARE PERDITE A.4 PERCENTUALE NUMERO PERDITE 35 35 36 36 37 SOMMARIO Questo lavoro parla per la gestione del rischio operative. Quali sono le strade per avere un miglior attaggiamento nel confronto del rischio operativo. Rappresenta i metodi che vengono usati per calcolare il requisito patrimoniale, vengono paragonati i metodi diversi per trovare quale è il miglior metodo che deve adottare una banca. I metodi che devono essere adottati dalle banche dipendono dalle dimensioni delle banche e dal tipo della banca. Sono rappresentati anche i metodi per creare una struttura organizzativa efficiente al interno della banca con il compito di gestire il rischio. ABSTRACT This work is about the Operative risk and about the ways that are available for having a better attidute towards the operative risk. It represents the methods used to calculate the patrimonial requisit. The most suitable methods that a bank should adopt are compared. The kind of method that a bank should use, depends on its dimensions and its kind. Furthermore there are also represented the methods necessary to create an efficient organizational structure that should supervise the risk in the inside of a bank. Capitolo – 1 Introduzione Il concetto del rischio si manifesta nella volatilità dei risultati, cioè eventi inattesi che vengono causati da diverse attività. Una banca è sempre esposta a rischi diversi, che possono essere divisi in quattro macrocategorie: rischio di credito, rischio di mercato, rischio operativo e rischio di liquidità. Esistono anche altri due tipi di rischi, che però non hanno la stessa rilevanza dei rischi sopracitati: rischio strategico e rischio reputazionale. Vista l’importanza dei rischi nelle banche e con l’avvento della globalizzazione, è diventato necessario creare regole unificate per gestire meglio i rischi. Per questa ragione diversi Stati hanno formato un comitato per creare norme comuni, il Comitato di Basilea. Gli accordi di Basilea sono gli accordi nati dalla necessità di garantire l’affidabilità del sistema bancario; il raggiungimento di questo obiettivo porta a perseguire un obiettivo ancora più importante, che è quello di assicurare la stabilità dell’ambiente economico in cui operano famiglie ed imprese. Il primo accordo, Basilea 1, risale al 1988, Basilea 2 al 1998 con entrata in vigore in Italia nel 2002; nel 2010 è stato emanato il nuovo accordo, la cui entrata in vigore è prevista per il 2013 fino al 2018. Quest’ultimo accordo è stato stipulato in risposta alle crisi del 2000 e 2007-201? In questo accordo sono raffozati i requisiti patrimoniali per far fronte ai diversi rischi della banca. Gli accordi di Basilea si basano su tre pilastri: 1. Requisiti minimi patrimoniali (minimum capital requirements) 2. Processo di controllo prudenziale (supervisory review) 3. Disciplina di mercato (market discipline) Le regole emanate dal Comitato di Basilea non sono obbligatorie ma gli Stati che appartengono al Comitato hanno espresso la volontà di applicarle; per questo motivo i regolamenti del Comitato entrano in vigore soltanto quando le Banche Centrali o altri Istituti Governativi dei Paesi li emettono come regolamenti. Questo fa sì che anche i tempi di applicazione dei regolamenti nei vari Paesi siano diversi, quindi il Comitato lascia sempre un lungo periodo affinché tutti i Paesi iniziano ad applicare le regole. In questo lavoro ho preso in considerazione soltanto uno dei tipi di rischi, il rischio operativo. Il rischio operativo si sostanzia nel rischio di perdite derivanti dalla inadeguatezza o dalla disfunzione di procedure, risorse umane, sistemi interni oppure da eventi esogeni, e comprende anche il rischio legale. Il rischio operativo è definito dal Comitato di Basilea, che ne rappresenta anche i metodi di identificazione, gestione e misurazione; è diventato di grande rilevanza soltanto dopo gli anni ’90, infatti nel primo accordo di Basilea il rischio operativo non era previsto . L’importanza di identificazione, misurazione e gestione del rischio operativo aumenta con l’avanzamento della tecnologia, cioè l’introduzione di e-commerce, informatizzazione dell’informazione ecc. Questa rivoluzione tecnologica fa sì che nel 1998, con l’accordo di Basilea 2, il rischio operativo diventa una delle macrocategorie in cui sono classificati i rischi. L’accordo di Basilea 3 non comporta sostanziali modifiche nel rischio operativo. Anche se il rischio operativo è entrato tardi negli accordi di Basilea, la sua importanza è nota da anni ed esistono numerosi casi di negligenza del rischio che ha portato a fallimenti eclatanti, il più noto dei quali è il caso di Barings Bank o la banca della Famiglia Reale d’Inghliterra, andata in bancarotta ad opera di un trader a Singapore. Nel secondo capitolo si tratterà il metodo di creare i database in base ai regolamenti previsti da Basilea 2 e dalla Banca d’ Italia, verranno fornite le definizioni dei business line e dei tipi di eventi. Nel capitolo tre verranno rappresentati e confrontati i metodi di misurazione e valutazione del rischio con vari esempi. Il quarto capitolo riguarda il sistema di gestione, cioè la creazione di un sistema efficiente per la gestione del rischio e i principi sui quali deve basarsi questo sistema. L’ultimo capitolo contiene le conclusioni- Capitolo – 2 Regolamenti e definizione La definizione data di “Operational risk” in Basilea 3 è “the risk of direct or indirect loss resulting from inadequate or failed internal processes, people or from external events”; la stessa definizione viene utilizzata anche dalla Banca d’Italia. Rientrano in tale tipologia, tra l’altro, le perdite derivanti da frodi, errori umani, interruzioni dell’operatività, indisponibilità dei sistemi, inadempienze contrattuali, catastrofi naturali. La definizione è basata sulle cause del rischio operativo 2. 1 Fattori di rischio 1. Risorse umane – Negligenza, incompetenza, frodi, violazione di procedure ecc. 2. Processi – Procedure e controlli interni difèttosi o inadeguati. ( es. BKT quando il dipartimento dle tesoro deve compiere operazioni nel mercato è sempre il dipartimento di rischio che dà l’ accettazione per l’operazione, una negligenza di questa procedura fa sì che la banca assuma un maggior rischio nel mercato). 3. Sistemi informatici – Sono le perdite che vengono causate dal malfunzionameto del sistema informatico della banca: presenza di virus, interruzione di elettricità, hacker, perdità dei dati ecc. ( es. BKT in tutti i PC tranne quelli di dirigienti non è possibile inserire USB aprire pagine come youtube, facebook, hotmail al fine di non permettere l’ingresso di virus nel sistema, inoltre viene effettuato un backup sistematico anche più di una volta durante il giorno quando vengono portate a termine numerose operazioni). 4. Eventi esterni – Perdite causate da fattori esterni e non controllabili dal management della banca. (es. BKT una sede della banca era affondata a causa di alluvioni). 2.2 Pecularità del rischio 1. Inevitabilità – Inevitabile conseguenza delle attività svolte dalla banca stessa. Non ci sono possibilità di eliminarlo. 2. Endogeno – 3. Puro – Non è rischio speculativo e comporta prevalentemente perdite e non guadagni. 4. Non vale il principio, maggior rischio rendimento. 5. Eterogeneità – Ci sono fattori troppo diversi tra loro e manifestazioni diverse dello stesso fattore. 6. Difficoltà a trovare gli strumenti per coprire il rischio e trasferirlo ad altri soggetti. 2.3 Catalogazione dei rischi operativi ( mapping ) Per compiere la catalogazione dei rischi è necessario trovare le cause che portano ad un evento in un business line dell’azienda ed in seguito misurare l’effetto di questo evento. Prima di tutto, definiamo secondo il regolamento di Basilea 3 quali sono gli eventi e anche cos’è e quali sono i business line. 2.3.1 Eventi – La definizione di evento è “qualcosa che accade ad un certo punto in un certo momento.” 1. Frode interna – Perdite dovute ad attività non autorizzate, frode, appropriazione indebita o violazione di leggi, regolamenti o direttive aziendali che coinvolgono almeno una risorsa interna della banca 2. Frode esterna – perdite dovute a frode, appropriazione indebita o violazione di leggi da parte di soggetti esterni alla banca 3. Rapporto di impiego o sicurezza di lavoro – Perdite derivanti da atti non conformi alle leggi o agli accordi in materia di impiego, salute e sicurezza sul lavoro, dal pagamento di risarcimenti a titolo di lesioni personali o da episodi di discriminazione o di mancata applicazione di condizioni paritarie. 4. Clientela, prodotti e prassi professionali – Perdite derivanti da inadempienze relative a obblighi professionali verso clienti ovvero dalla natura o dalle caratteristiche del prodotto o del servizio prestato. 5. Danni da eventi esterni – Perdite derivanti da eventi esterni, quali catastrofi naturali, terrorismo, atti vandalici. 6. Interruzioni dell’operatività e disfunzioni dei sistemi – Perdite dovute a interruzioni dell’operatività, a disfunzione o a indisponibilità dei sistemi. 7. Esecuzione, consegna e gestione dei processi – Perdite dovute a carenza nel perfezionamento delle operazioni o nella gestione dei processi, nonché perdite dovute alle relazioni con controparti commerciali, venditori e fornitori. 2.3.2 Business Line – Le aree di affari in cui vanno suddivise le attivita aziendali 1. Corporate finance – Fusioni, acquisizioni, attività di collocamento (OPA, OPV, collocamenti privati – c.d. blocchi, emissioni obbligazionarie). Investment banking in azioni e capitale di debito (IPO, privatizzazioni, syndications, piazzamenti privati secondari, sottoscrizioni, etc.).Valutazione d’azienda. Cartolarizzazioni per conto terzi. Gestione straordinaria di finanza d’impresa. Aumenti di capitale (solo come lead manager). Servizi di consulenza e ricerca (struttura di capitale, strategia industriale, undertakings, ristrutturazione, etc.). Consulenza d’ investimento come bussiness specifico. 2. Trading and sales – Negoziazione in conto proprio del portafoglio di trading. Gestione della tesoreria e funding in conto proprio (Asset & Liability Management, etc.). Cartolarizzazione in conto proprio. Ricezione, trasmissione ed esecuzione di ordini verso clienti corporate e professionali. Attività di consulenza, assunzione a fermo, collocamento di strumenti finanziari e prodotti assicurativi (bancassurance, fondi, GPM, GPF, azioni, obbligazioni, derivati, etc.) verso clienti corporate e professionali. 3. Retail banking – Prestiti e depositi. Garanzie e impegni finanziari. Credito al consumo per clienti retail. Leasin e factoring. Altri tipi di transazioni con controparti retail come servizi di incasso e pagamento (collocamento di carte di debito e di credito, trasferimento fondi ed altri pagamenti per conto di clienti, cambio valuta, etc.) e custodia ed amministrazione titoli. 4. Commercial banking – Prestiti e depositi. Garanzie e impegni finanziari. Leasing e factoring. Finanziamenti all’esportazione e al commercio. Altri tipi di transazioni con controparti corporate non allocati in altre linee di bussiness. Servizi ancillari ad attività corporate come servizi di incasso e pagamento (trasferimento fondi ed altri pagamenti per conto di clienti, cambio valuta, etc.) e custodia ed amministrazione titoli. Reddito netto su portafogli non di trading. 5. Payment and settlement – Servizi e sistemi di pagamento, regolamento e compensazione (EBA, BIREL, TARGET, CLS, SWIFT, MASTERCARD, VISA, AMEX, etc.). Emissione e gestione di strumenti di pagamento e trasferimento fondi come business specifico. Banca corrispondente. 6. Agency services – Banca depositaria. Custodia e servizi correlati (gestione contante e garanzie reali, depositi presso terzi, etc.) come bussiness specifico. Servizi di esattoria. Servizi di tesoreria Enti. Banca fiduciaria. 7. Asset management – Gestione portafogli ed altre forme di gestione del risparmio (fondi comuni di investimento, fondi di pensione, GPM, GPF, hedge fund, etc.). Si intende solo la produzione e non la distribuzione di prodotti di risparmio gestito; fa eccezione l’attività di collocamento a clienti professionali effettuata da società dedicate. 8. Retail brokerage – Ricezione, trasmissione ed esecuzione di ordini verso clienti retail. Attività di consulenza, assunzione a fermo, collocamento di strumenti finanziari e prodotti assicurativi (bancassurance, fondi, GPM, GPF, azioni, obbbligazioni, derivati, etc.) verso clienti retail. 9. Corporate Items (solo banche AMA) – Attività che riguardano la banca nella sua interezza, quali dichiarazione annuale delle tasse, azioni o responsabilità degli esponenti aziendali, ecc. 2.4 Costruzione di database Dopo la procedura di mapping è necessario costruire il database nel quale vanno inseriti i dati storici degli eventi e nei quali i business line sono verificati. La costruzione di business line serve per avere una raccolta dei dati che possono essere usati per fare previsioni sul futuro mediante modelli statistici. Questi database aiutano le banche nella stima delle perdite e per prevedere il capitale neccessario che deve essere integrato dagli azionisti. Inoltre è utile alle banche per comprendere a fondo le cause delle perdite e per riuscire a coprire e migliorare queste perdite nel futuro. Ci sono diverse difficoltà nella costruzione di database; innanzitutto la raccolta di dati storici, ad esempio una nuova banca non è in possesso di questi dati, quindi risulta difficile la misurazione del rischio, mentre per un titolo la banca è in possesso dei dati e quindi può misurare il rischio di mercato. Esistono difficoltà nella misurazione delle perdite derivanti da eventi collegati con il rischio operativo. Alcuni eventi sono rari e non danno la possibilità di misurarne la probabilità e prevederne la perdita. Dopo le procedure di mapping e di database, il passo successivo è quello di valutare il rischio necessario per decidere la consistenza del capitale necessario a coprire le perdite. Ci sono tre metodi previsti da Basilea 2 per valutare il rischio operativo e quindi determinare i requisiti patrimoniali a fronte del rischio operativo. 1. Metodo base (Basic Indicator Approach – BIA) 2. Metodo standardizzato (Standardized Approach – TSA) 3. Metodo avanzato di misurazione (Advanced Measurement Approach – AMA) 2.5 Schema riepilogativo Capitolo - 3 Misurazione e Valutazione 3.1 Misurazione Due sono le distribuzioni da considerare per stimare le perdite derivante dal rischio operativo: distribuzione della frequenza delle perdite (loss frequency distribution) e distribuzione della severità delle perdite (loss severity distribution). La loss frequency distribution è la distribuzione delle perdite osservate nel corso dell’orizzonte temporale, che di norma è di un anno. Si ipotizza che la LFD sia una buona approssimazione della distribuzione di Poisson. Questa distribuzione ipotizza che le perdite si verifichino in modo casuale nel tempo. In un breve intervallo di tempo, ∆t, la probabilità di subire una perdità è pari a λ∆t. Nel perido di tempo (0, T) la probabilità di subire n perdite è pari a Il parametro λ può essere stimato come numero medio di perdite nell’unità di tempo. La distribuzione di Poisson gode della proprietà secondo cui la varianza della frequenza delle perdite è pari alla media, λ, della frequenza della perdite. Quindi per poter avviare tale modello occorre rilevare e analizzare le seguenti informazioni: Data di accadimento dell’evento perdita (variabile di riferimento per il calcolo della frequency di manifestazione, ad esempio su base mensile o annuale) Business unit nella quale la perdita è stata rilevata Codice del processo in cui è stata rilevata la perdita (tavola 1) Codice del rischio (tavola 2) Ammontare della perdita autorizzata Descrizione dell’accadimento della perdita Codice Processo Processo PR 01 Processo del credito PR 02 Processo del risparmio PR 03 Processi area finanza PR 04 Processi Prodotti/ mercati/ relazioni esterne PR 05 Processi incassi e pagamenti PR 06 Processo contabilità analitica/ gestionali/ informazione a terzi PR 07 Processo infrastrutture/ spese PR 08 Processo risorse umane PR 09 Processo risorse informatiche Tavola – 1 Elenco dei processi Codice rischio Rischio 01 Rischio di non conformità dei processi 02 Rischio di conflitti di interesse 03 Rischio di efficacia ed efficienza dei processi 04 Rischio legato alle risorse umane 05 Rischio di imagine 06 Rischio legato alla soddisfazione del cliente 07 Rischio legato al rispetto della normative di riferimento 08 Rischio generico (interruzione di attività) 09 Rischio di frode e rapina 10 Rischio di frode interna 11 Rapporto di impiego e sicurezza sul lavoro 12 Danni e beni materiali 13 Perdita ricevuta da ribaltimento da altri rischi Tavola – 2 Elenco dei rischi Dopo la determinazione della frequenza si procede con la stima dei parametri e delle possibili distribuzioni che possano essere utilizzate per fare previsioni sulla frequenza attesa che è la distribuzione di Poisson con il metodo di massima verosomiglianza. La stima può considerarsi buona se il plot assume un andamento lineare (il più vicino possibile alla retta a 45 gradi passante per l’origine). La loss severity distribution è l’analisi di severity ovvero, nel caso in cui si manifesti l’evento pregiudizievole, quale sarà l’ammontare futuro della perdita operativa. In questo caso si assume che la distribuzione sia LogNormale, che per le sue caratteristiche è una delle distribuzioni cosiddetta havy tail, in grado di tenere conto degli eventi con grande impatto oltre ad avere un’asimmetria positiva ed una forma appuntita. Le stime dei parametri di questa distribuzione sono pari alla media e alla deviazione standard del logaritmo delle perdite. La distribuzione LogNormale riesce a modellare i dati empirici meglio dell’esponenziale. Spesso la loss frequency distribution può essere combinata con la loss severity distribution per ottenere, per ogni tipo di perdita e per ogni area di attività la distribuzione delle perdite (la loss distribution). A questo punto si può utilizzare il metodo Monte Carlo dove l’ipotesi più comune è quella che le due distribuzioni siano indipendenti. Pertanto, in ogni simulazione Monte Carlo si procede nel modo seguente : 1. Si estrae un’osservazione dalla loss frequency distribution, per determinare il numero delle perdite in un anno. 2. Si estraggono n osservazioni dalla loss severity distribution, per determinare le perdite ( L1, L2, L3,…, Ln) subite in ciascuno degli n eventi 3. Si determina la perdita complessiva (L1 + L2 + L3 + … + Ln ) subita nell’anno Effettuando N simulazioni si ottiene una stima della loss distribution. Esempio dell’aggregazione di due funzioni Dopo questa procedura mediante metodi statistici, come il metodo Value at Risk (Var), vengono fatti diversi test statistici per analizzare la possibilità di subire la perdite e riuscire a prevederla. In seguito si valuta anche quanto alta potrebbe essere la somma che viene persa in ogni segmento dell’attività. Quindi, calcolando 7*8=56 Var si calcolano sette eventi per otto segmenti della banca. Basandosi su queste procedure e sui coefficienti viene accantonato il capitale necessario a coprire le perdite derivante dal rischio operativo. I limiti di questi metodi per misurare il rischio operativo stanno nel fatto che le banche non dispongono di dati storici per riuscire a misurare la probabilità di una perdita e quindi per trovare la parte di capitale che deve essere accantonato come riserva per coprire le perdite derivanti dal rischio operativo. Le banche hanno iniziato a dare più importanza al rischio operativo soltanto dopo gli anni ‘90 e non precedentemente, come avevano fatto per il rischio di mercato e di credito. Vista questa carenza nei dati le Autorità di vigilianza incoraggiano le banche ad utilizzare i propri dati unitamente a quelli esterni, in ogni caso corretti per l’inflazione. Le autorità di vigilianza incoraggiano anche un’altro metodo per per misurare il rischio: l’analisi di scenario. Sono i senior management che, in base al loro giudizio, stimano la frequenza media, λ, delle perdite associate a ciascuno scenario e i due parametri della loss severity distribution. Uno dei vantaggi delle analisi di scenario è che esse consentono di includere perdite che la banca non ha mai subito, ma che, ad avviso del senior management, potrebberto verificarsi, dati i controlli in essere e date le attività correnti della banca. Un altro vantaggio è rappresentato dal fatto che questo tipo di analisi costringe il senior management a pensare attivamente e in modo creativo ai possibili eventi avversi. I benefici possono essere diversi. In alcuni casi è possibile che vengano predisposte le strategie da seguire per minimizzare la severità delle perdite. In altri casi è possibile che vengano avanzate proposte per ridurre la stessa probabilità che l’evento avverso si verifichi. Il principale svantaggio delle analisi di scenario è rappresentato dal fatto che il senior management vi dovrebbe dedicare una gran quantità di tempo. È probabile che, al fine di alleggerirne l’onere, gli scenari di base verranno sviluppati dai consulenti e dalle strutture interne delle stesse banche. 3. 2 Riepilogo di misurazione del rischio operativo A prescindere dalla dimensione della banca e dalla natura delle attività da queste svolte, l’attività di Operational Risk Mangement si articola in queste fasi: 1. Mappatura dei processi aziendali e delle business unit, al fine di individuare i potenziali rischi operativi presenti all’interno della banca, attraverso la definizione: a) Della business line – oggetto di analisi b) Dell’event type che dà origine a un evento di perdita 2. Individuazione dei rischi operativi – che rientrano nella definizione di Basilea e con questa coerenti – che la banca è in grado di misurare 3. Raccolta e conservazione dei dati sui rischi operativi, comprendente almeno le perdite significative e i relativi recuperi 4. Screening dei dati di perdita, in termini di qualità, attendibilità e completezza degli stessi 5. Analisi statistica dei dati, finalizzata a produrre informazioni quantitative sulla frequenza e sull’impatto delle perdite operative. Analisi grafica in termini di frequenza e di impatto monetario della distribuzione statistica degli eventi di perdita (distribuzione empirica) Elaborazione di statistiche descrittive di sintesi delle distribuzioni empiriche (media, mediana, deviazione standard, ecc) Stima delle distribuzioni teoriche che meglio approssimano le distribuzioni empiriche, con l’ausilio di test grafici di accostamento ( Q-Q plot e P-P plot) e test statistici analitici ( Chi - quadro test, Kolmogorov – Smirnov test ecc ) Stima della distribuzione aggregata delle perdite, a partire dalle distribuzioni di frequenza e impatto con l’ausilio della simulazione di Monte Carlo 6. Quantificazione delle expected losses e delle unexpected losses sulla base della distribuzione aggregata delle perdite e calcolo del Value at Risk 7. Valutazione dei risultati dell’analisi statistica a fini gestionali, nell’ambito della quale definire e attuare interventi e correzione dei rischi manifestati soprattuto in ottica preventiva. 3.3 Valutazione Le banche sono libere di scegliere quale dei tre metodi scegliere ma questa libertà potrebbe essere limitata dalle Banche centrali di ogni Paese. Quindi le banche centrali possono obbligare le banche ad applicare uno dei metodi previsti o chiedere requisiti più alti. Le banche devono adottare il metodo più adeguato alle proprie caratteristiche e capacità di gestione, dimensioni e complessità operativa. Ai fini prudenziali sono previste soglie di accesso per i metodi diversi da quello di base. La Banca centrale può obbligare le banche di secondo livello ad applicare anche metodi combinati cioè usare nello stesso momento due metodi diversi per calcolare il requisito patrimonale applicando un metodo diverso per segmenti diversi dell’operatività. 3.4 Metodo base ( Basic Indicator Approach – BIA) Nel metodo di base il requisito patrimoniale è pari al 15 per cento della media delle ultime tre osservazioni dell’indicatore rilevante (margine di intermediazione) riferite alla situazione di fine esercizo. Il margine di intermediazione è una differenza che compare nel conto economico: Interessi attivi – Interessi Passivi = Margine di interessi (MINT) MINT + rettifiche netti sui crediti = Margine d’interesse rettificato (MINTR) MINTR + dividendi ed altri proventi, ricavi netti per servizi, ecc = Margine di intermediazioni. Le osservazioni negative o nulle non vengono prese in considerazion nel calcolo del requisito patrimoniale complessivo. Il requisito viene quindi determinato come media delle sole osservazioni aventi valore positivo. Qualora il dato relativo all’indicatore rilevante, per alcune osservazioni del triennio di riferimento, non sussista, il calcolo del requisito va determinato sulla base della media delle sole osservazioni disponibile. Il capitale richiesto per coprire le perdite dal rischio operazionale si calcola nel seguente modo: CRBIA = [ ]/n CR – La somma del capitale richiesto IR – L’ indicatore rilevante α – è la percentuale richiesto da Basilea che è uguale a 15 per cento n – numero dei tre anni passati nei quali l’ indicatore rilevante è stato positivo Esempio di calcolo Metodo Base - BIA Indicatore rilevante Business Line A-3 A-2 A-1 Corporate finance 10 40 35 Trading and sales 10 40 35 Retail banking 10 40 35 Commercial banking 10 40 35 Payment and settlement 10 40 35 Agency services 10 40 35 Asset management 10 40 35 Retai brokerage 10 40 35 TOTAL 80 320 280 Media 170 Coefficiente Alpha 15% Capitale richiesto 25,5 Se nel totale vi fossero valori negativi, essi non dovevano essere presi in considerazione ma dovevano essere presi in considerazione quelli dell’anno A – 4, cioè i valori negativi non vengono mai contati. Come si vede dal calcolo va eseguita la somma di tutti gli indicatori rilevanti per ogni anno, in seguito è necessario trovare la somma che va moltiplicata per il quoziente alpha, uguale al 15 per cento; da questa si ricava la somma del capitale necessario per coprire le perdite operative. Come si vede con questo metodo l’importanza di ogni business line è la stessa quindi questo metodo valuta in modo ugualmente una perdita operativa in ognuno di business line, a differenza del metodo standardizzato. 3.5 Metodo Standardizzato (Standardized Approach – TSA) Il metodo standardizzato è un metodo migliore del metodo base per quanto riguarda la determinazione del capitale che deve essere stanziato per coprire le perdite operative. Con questo metodo ognuno dei business line ha un coefficiente diverso. Il coefficiente dipende dall’esposizione di questo segmento della banca nei confronti del rischio operativo. Diversamente dal metodo di base questo metodo aiuta le banche ad integrare il capitale nel segmento di attività in cui si rivela necessario e non in tutti i segmenti. Con il metodo standardizzato il capitale richiesto per coprire le perdite non dipende tanto dal numero di operazioni ma dal settore dove c’è più probabilità di subire perdite operative. Secondo le regolamentazioni della Banca d’Italia possono accedere al metodo standardizzato le banche individuali e i gruppi bancari che rispettano almeno una delle seguenti soglie: Patrimonio di vigilianza pari o superiore a 200 milioni di euro (soglia dimensionale) Patrimonio di vigilianza pari o superiore a 25 milioni di euro e l’ ammontare complessivo dell’indicatore rilevante delle linee di business diverse da Retail banking e Commercial banking pari ad almeno il 60 per cento dell’indicatore rilevante totale (soglia specialistica) Per poter utilizzare il metodo standardizzato devono essere soddisfati anche altre condizioni che riguardano aspetti dell’organizzazione interna e meccanismi di governo societario: Avere un’apposita funzione di risk management che sia responsabile dell’identificazione, valutazione, monitoraggio e controllo del rischio operativo Rilevare sistematicamente le perdite subite dalle diverse aree e creare gli incentivi atti migliorare la gestione del rischio operativo Disporre di procedure per la comunicazione, nell’ambito dell’intera banca, dell’esposizione al rischio operativo Disporre di un sistema di gestione del rischio operativo ben documentato Assoggettare a validazione e a revisione periodiche – da parte di organi interni indipendenti, revisori esterni e/o autorità di vigilianza – i processi di gestione del rischio operativo e il relativo sistema di valutazione Anche se tutti i criteri previsti dalla Banca d’Italia e il Comitato di Basilea sono soddisfatte, le autorità di vigilianza hanno sempre il diritto a chiedere un periodo di monitoraggio prima che il metodo venga usato per calcolare i requisiti patrimoniali. La Banca d’Italia obbliga il capogruppo o la banca individuale che vuole adottare il metodo standardizzato di darne preventiva comunicazione alla Banca d’Italia La comunicazione deve essere corredata da: Gli organigrammi che individuano i compiti e le responsabilità delle funzioni di gestione e di controllo dei rischi operativi Il verbale della delibera dell’ organo con funzione di supervisione strategica, con l’attestazione del rispetto della soglia di accesso Un documento che descrive il processo di valutazione e dei relativi esiti La relazione della revisone interna Con cadenza annuale va inviata alla Banca d’Italia l’attestazione formale dell’organo con funzione di supervisione strategica sul rispetto dei requisiti di idoneità e la relazione della revisione interna sull’adeguatezza del sistema di gestione dei rischi operativi. Per calcolare il requisito patrimonale servono gli otto business line in cui è suddivisa la banca. Ogni business line ha un margine di intermediazione e su questo margine viene calcolata anche la somma del capitale che deve essere accantonata come riserva obbligatoria per coprire i rischi operativi. Ogni business line ha un coefficiente beta che è diverso per settori diversi visto che non tutti i settori sono esposti nello stesso modo al rischio operativo. I coefficienti beta per calcolare la parte del patrimonio che deve essere utilizzata per coprire le perdite operative Business Lines Coefficienti Beta Corporate Finance 18% Trading and Sales 18% Retail Banking 12% Commercial Banking 15% Payment and Settlement 18% Agency Services 15% Retail Brokerage 12% Asset Management 12% Esempio di calcolo del requisiti patrimoniale METODO STANDARDIZZATO Indicatore rilevante Indicatore rilevante ponderato Anno Business Lines Anno A-3 A-2 A-1 A–3 A-2 A-1 Corporate financa 10 40 35 18% 1,8 7,2 6,3 Trading and sales 10 40 35 18% 1,8 7,2 6,3 Retail banking 10 40 35 12% 1,2 4,8 4.2 Commercial banking 10 40 35 15% 1,5 6 5,25 settlement 10 40 35 18% 1,8 7,2 6,3 Agency services 10 40 35 15% 1,5 6 5,25 Asset management 10 40 35 12% 1,2 4,8 4,2 Retail brokerage 10 40 35 12% 1,2 4,8 4,2 TOTALE 12 48 42 TSA 12 48 42 Payment and MEDIA 18,16 REQUISITO PATRIMONIALE 18,16 Questo è un esempio dove viene mostrato come può essere calcolato il requisito patrimoniale per coprire le perdite. Questo calcolo viene fatto mediante cinque passaggi: calcolo del margine di intermediazione per ogni business line e per ogni anno; calcolo del margine di intermediazione ponderato mediante i coefficienti beta; calcolo del totale per ogni anno; calcolo della media degli ultimi tre anni: anche in questo metodo, come nel metodo base, non vengono presi in considerazione i valori negativi; la media dei tre anni è la parte del capitale che va accantonata per coprire le perdite. 3.6 Metodo Avanzato di Misurazione (Advanced Measurement Approach – AMA) Il metodo avanzato di misurazione è un metodo più complicato matematicamente ma d’altra parte più efficiente perché il requisito patrimoniale viene calcolato in modo più fair. Questo metodo consente alla banca di utilizzare i propri criteri interni, qualitativi e quantitativi, per determinare i requisiti patrimoniali a fronte del rischio operativo. Con questo metodo l’obiettivo delle banche è quello di riuscire a quantificare il rischio operativo nello stesso modo del rischio di credito. Per adattaro, però, devono convincere le autorità di vigilanza che le perdite attese a fronte del rischio operativo sono già incorporate nei prezzi dei loro servizi, le banche devono quantificare il capitale necessario per far fronte alle perdite inattese. Le banche che usano questo metodo sono le banche di grande dimensioni e banche internazionali ma ci sono anche banche che non sono regolate dalle banche centrali come per esempio le banche di investimenti negli Stati Uniti. Le banche regolate dalle banche centrali che usano il metodo AMA vengono sottoposti ad una vigilianza maggiore per quanto riguardo il rischio operativo perché il metodo AMA è più giusto per quanto rigurda la misura del requisito patrimoniale ma d’altra parte è più rischioso vista la mancanza di dati e le difficoltà nel misurare le perdite operative o classificare una perdita come operativa o non. Per queste ragioni nel accordo di Basilea 2 sono previste condizioni da soddisfare per poter usare il metodo AMA nel calcolo del requisito patrimoniale. Queste condizioni da soddisfare riguardano sia le soglie patrimoniale che requisiti organizzativi e quantitativi. Soglie di accesso secondo la Banca d’Italia: possono chiedere l’autorizzazione ad utilizzare i metodi AMA le banche individuali o i gruppi bancari che rispettano, al momento della domanda, almeno una delle seguenti soglie Patrimonio di vigilianza pari o superiore a 200 milioni di euro (soglia dimensionale) Patrimonio di vigilianza pari o superiore a 25 milioni di euro e ammontare complessivo dell’indicatore rilevante delle linee di business diverse da Retail Banking e Commercial Banking pari ad almeno il 60 per cento del totale (soglia specialistica) Le soglie di acceso nel metodo AMA sono uguali a quella del metodo standardizzato; ciò che cambiano sono gli altri requisiti. I requisiti organizzativi previsti dalla Banca d’Italia riguardano due campi di gestione del rischio: I controlli interni - come deve essere istituita un’unita organizzativa solo per gestione del rischio operativo. Riguarda il processo di convalidazione interna cioè la qualità del sistema di gestione del rischio operativo. Un altro processo è quello della funzione di revisone interna che diversamente dal processo di convalidazione esamina se il sistema di gestione e di misurazione dei rischi operativi è stato efficace e controlla la sua conformità con i requisiti di idoneità Sistema di gestione dei rischi operativi – è costituito da un insieme strutturato di processi, funzioni e risorse per l’identificazione, la valutazione e il controllo dei rischi operativi, con riguardo all’obiettivo di assicurare un’efficace azione di prevenzione ed attenuazione dei rischi stessi; gli elementi essenziali sono: Il sistema di raccolta e conservazione dei dati Il sistema di reporting L’utilizzo gestionale del sistema di misurazione I requisiti quantitativi quantitativi riguardano tre campi: 1. Sistema di misurazione dei rischi operativi – rappresenta l’insieme strutturato delle risorse dei processi, delle funzioni e delle risorse per la determinazione del requisito patrimoniale. La banca verifica l’accuratezza e l’adeguatezza del sistema di misurazione dei rischi operativi e dei suoi risultati, con particolare riguardo alla capacità di cogliere le principali determinanti di rischio operativo, specie quelle che influiscono sulla coda delle distribuzioni, e di incorporare i cambiamenti intervenuti nel profilo di rischio. La banca assicura inoltre la replicabilità delle stime e dei risultati del modello di calcolo del requisito patrimoniale 2. I quattro componenti che servono per avere un sistema di misurazione migliore. La banca deve definire i criteri e i processi per la raccolta e la conservazione dei dati. Dati interni di perdita operativa – costituicono la componente primaria per la costruzione di un affidabile e accurato sistema di misurazione dei rischi operativi. La banca deve individuare opportune soglie minime di perdita, prendere in considerazione le caratteristiche minime delle classi di rischio operativo. Queste soglie non devono comportare l’esclusione di significativi dati di perdita. La banca deve includere nel data set di calcolo tutti i dati di perdita operativa al di sopra delle soglie individuate. Solo in casi eccezionali è previsto che la banca può ecludere dati che rappresentano una situazione tutto distorta e incoerente del profilo di rischio operativo della banca. Sistema di misurazione deve essere basato su un periodo di osservazione dei dati non minore di cinque anni. Nel data set di calcolo deve essere incluso l’importo delle perdite al lordo dei recuperi. La banca può non considerare le perdite prontamente recuperate e quelle che sono recuperate parzialmente; la perdita operativa viene scritta al netto del recupero. Dati esterni di perdita operativa – Il sistema di misurazione deve tenere conto dei dati esterni di perdita operativa, in particolare per le perdite ad impatto potenzialmente elevato, ancorchè poco frequenti, per le quali non sussiste una sufficiente disponibilità dei dati interni, e per la valutazione dei nuovi segmenti di operatività. I dati possono essere incorporati nel data set sempre tenendo conto delle dimensioni e delle specificità della banca. Le principali fonti dei dati vengono prese dalle altre banche, o vengono prese nel mercato o mediante la raccolta dalle riviste specializzate. Le informazioni che vengono prese da altre istituzioni finanziarie sono più affidabile di altri tipi di fonti, per questo la banca deve fare sempre troppa attenzione. Analisi di scenario – Fattorio di contesto operativo e del sistema dei controlli interni – sono principalmente finalizzati a incorporare nella stima del requisito patrimoniale una componente prospettica (forward-looking), che rifletta con tempestività il miglioramento o il peggioramento del profilo di rischio della banca a seguito delle variazioni intervenute nei segmenti di operatività, nelle risorse umane, tecnologiche ed organizzaive nonché nel sistema dei controlli interni. 3. Caratteristiche del modello di calcolo – il modello di calcolo rappresenta adeguatamente il profilo di rischio operativo della banca, deve garantire un sufficiente livello di stabilità dei risultati. Devono essere evitate le duplicazioni degli elementi che concorrono alla riduzione del requisito patrimoniale. Deve essere fatta periodicamente una valutazione sull’appropriatezza delle combinazioni e delle ponderazioni utilizzate nell’ambito del calcolo. Il modello calcola un requisito patrimoniale sui rischi operativi basato su un livello di confidenza pari o comparabile al 99,9 per cento su un periodo di un anno. Il modello deve produrre, oltre al valore puntuale del requisito, anche una stima attendibile del suo grado di variabilità. La banca per trovare l’ammontare del capitale che serve per coprire le perdite operative usa i metodi descritti sopra: loss frequency distribution e loss severity distribution. La banca deve calcolare per ogni business line e per ogni tipo di evento deve stimare la frequenza delle perdite; in totale devono essere calcolati 7 * 8 = 56 funzioni di distribuzioni. Dopo questa procedura la banca calcola per ogni tipo di distribuzione il Value at Risk (Var). Var misura la parte del rischio operativo inasppetato cioè misura la capitale che deve essere integrato per coprire le perdite operative. Il Var si calcola su un intervallo di confidenza di 99,9 per cento. L’ intervallo di confidenza di 99,9 per cento e determinato dalla Banca d’ Italia perché ci sono anche banche come J.P. Morgan negli Stati Uniti che calcola il Var su un intervallo di confidenza di 95 per cento. Questo metodo di calcolo fa allocare in modo più efficiente il capitale ma troppo complessa. Questo metodo viene applicato poco in Italia visto i dimensioni non grandi delle banche Italiane diversamente per quanto succede in Inghliterra e negli Stati Uniti dove le banche sono dei dimensioni più grandi. Un’ altra ragione perché questo metodo viene usato poco e anche perché la Banca d’ Italia non incentiva tanto le banche del secondo livello di usare questo metodo visto la carenza dei dati. La Banca d’ Italia incentiva di più di usare il metodo Standardizato che gli atri metodi. 3.7 Uso combinato di più metodi In linea generale le banche adottano un unico metodo per il calcolo del requisito patrimoniale sui rischi operativi, ma le autorità di vigilanza hanno dato la possibilità di usare anche metodi che sono combinazioni dei metodi sopra descritti. L’uso dei metodi combinati è sottoposto a diverse condizioni; in ogni caso l’uso dei metodi combinati deve coprire tutti i segmenti di operatività. Anche in questo caso le condizioni da soddisfare sono quelle che si usano sia per il metodo standardizzato sia quelle usate per i metodi avanzati. Questo tipo di metodo per calcolare il rischio operativo è poco usato sia in Italia che nel resto del mondo. L’utilizzo di questo tipo di metodo non è incentivato né dalla Banca d’Italia nè dai regolamenti del Comitato di Basilea. Capitolo – 4 Gestione del rischio operativo Il calcolo del capitale necessario a copertura dei rischi operativi è solo la prima parte del lavoro che devono fare i manager per riuscire ad non portare il fallimento della banca. Una altro aspetto del rischio operativo e quella di riuscire a prevedere prima di succedere e quando succede trovare le soluzioni per non succedere più. Un altro compito dei manager e quella di assicurarsi dal rischio operativo mediante diverse polizze assicurative o mediante al traferimento del rischio. Qundi le banche devono avere strutture organizzative specializzate nel gestione del rischio operativo per riuscire a gestire nel modo migliore il rischio operativo. Le strutture organizzative quindi devono essere in grado di rispondere al rischio e non alle perdite dovute dal rischio operativo. Per avere una struttura del genere ci vogliono sforzo sia per progetarla e sia per mantenere in modo efficiente ed efficace nel tempo. Proggetare un modello adeguato per la gestione dei rischi serve di soddisfare alcuni condizioni: 1. La banca deve individuare una strategia di approccio al rischio operativo che miri a chiari obiettivi quali: migliori prestazioni aziendali o abbattimento dei costi e dei rischi. La banca deve individuare la sua esposizione davanti al rischio operativo e individuare l’ evento e anche il segmento dove questo evento ha la frequenza più alta o la perdita più grande. Individuare il rischio che può essere trasferito e quello matenuto. 2. La banca deve trovare le politiche per gestire in modo migliore il rischio che includono la definizione del rischio operativo, le scelte organizzative, i ruoli, e le responsabilità, i principi chiave di governo e tutto ciò che determina le discipline di gestione. Le politiche non possono esistere da sole senza una cultura del rischio che deve essere diffusa in tutta l’ organizzazione 3. La banca deve impostare un adeguato processo di gestione dei rischi operativi, uniformandosi a standard de facto. 4. Deve possedere all’ interno dell’ organizzazione sistemi informatici che possono sostenere l’ intero processo di gestione dei rischi operativi dall’ identificazione fino a mitigazione e il reporting 5. Deve essere dedicato particolare attenzione alla mitigazione del rischio operativo mediante mediante i sistemi di controllo o a progetti il cui l’ obiettivo sia di ridurre l’ esposizione, la frequenza e la severità di un evento rischioso. Secondo il Comitato di Basile il processo di gestione del rischio operativo passa per tre fasi: I. Individuazione e valutazione, equivale ad analizzare in maniera più approfondita l’ organizzazione aziendale e le sue vulnerabilità che si ricavano dalla mappatura dei processi. II. Monitoraggio – si realizza mediante un processo di raccolta dei dati sulle perdite operative ed eseguendo sistematicamente sessioni di auto – diagnosi. I dati che sono raccolti devono essere archivati per poter essere usato quando si deve misurare il rischio. III. Controllo e mitigazione, sono le fasi che di conseguenza portano ad adottare una rispostaal rischio orientata all’ abbattimento dello stesso. Il Comitato di Basilea ha individuato e dettato i requisiti organizzativi al fine di poter adottare i vari metodi di calcolo. Quindi il Comitato ha individuato i due campi su cui si deve lavorare per avere una struttura organizzativa in grado di gestire il rischio: creare un appropriato contesto per la gestione del rischio operativo; gestione del rischio (individuazione,valutazione, monitoraggio e controllo/ mitigazione. 4.1 Creare un appropriato contesto per la gestione del rischio operativo Principio 1: Il consiglio di Amministrazione dovrebbe essere conspaevole dei principali aspetti sul rischio operativo della banca in quanto distinta categoria di rischio da gestire, e dovrebbe approvare e riesaminare periodicamente il sistema di gestione del rischio operativo. Il sistema dovrebbe fornire una definizione a livello aziendale di tale rischio e stabilire i criteri in base ai quali esso deve essere individuato, valutato, monitorato e controllato/ mitigato. Il consiglio di amministrazione deve aprovare ed istituire a livello aziendale un sistema interno per la gestione del rischio. Il sistema deve basarsi su un definizione che specifichi chiaramente ciò che costituisce il rischio operativo per la banca. Il consigli di amministazione deve istituire una struttura interno alla banca che deve gestire in modo efficiente il rischio operativo. È un compito del consiglio di amministrazione di riesaminare periodicamente e continutivamente se il sistema stia gestendo in modo efficiente il rischio operativo. Il consiglio di amministrazione deve essere flessibile per quanto riguarda i cambiamenti che influiscono nel rischio operativo cioè deve essere flessibile per quanto riguarda le modifice che devono essere fatto per migliorare il sistema e rispondere nel miglior modo ai cambiamenti. Principio 2: Il consiglio di amministrazione deve assicurarsi che il sistema di gestione del rischio operativo sia sottoposto a un rigoroso compiuto processo di auditing interno da parte di personale funzionalmente indipendente, adeguatamente formato e competente. La funzione di audit interno non dovrebbe essere direttamente responsabile della gestione del rischio operativo. Nell’ sistema di organizzazione della banca deve essere presenta l’ ufficio di audit che deve controllare se il sistema per la gestione del rischio e applicato secondo le norme previste dal consiglio di amministrazione. Questo compito deve essere attesta periodicamente. Il consiglio deve assicurare l’ indipenza per la funzione di auditing. Principio 3: L’ alta direzione dovrebbe avere la responsabilità di attuare il sistema di gestione del rischio operativo approvato dal consiglio di amministrazione. Il sistema dovrebbe essere costantamente applicato all’ intera organizzazione bancaria, e il personale di ogni livello dovrebbe essere consapevole delle proprie responsabilità in ordine alla gestione del rischio operativo. L’ alta direzione dovrebbe inoltre avere la responsabilità di definire politiche, processi e procedure aziendali per la gestione del rischio operativo in ogni prodotto, attività, processo e sistema rilevante della banca. La direzione generale deve specificare la struttura gerarchica, i funzioni e il reporting in modo che il sistema funziona in modo più efficace. La direzione generale deve assicurarsi che il personale sia con adeguato esperienza con capacità tecniche per svolgere le attività nella banca. La direzione generale deve assicurarsi che c’ è una comunicazione interna tra il personale che si occupa nella gesitione del rischio operativo e quelli che si occupa nella gestione del rischio di credito, rischio di mercato e di altre tipo. Le politiche di retribuzione devono essere in modo tale da non incentivare i manager ad fare operazione che espostono tanto la banca davanti ai rischi. Deve essere prestata attenzione per quanto riguardo il metodo dei conrolli di documenti e alle modalità di trattamento delle operazioni. 4. 2 Gestione del rischio operativo In questa sezione vengono definiti i strumenti appropriati per la gestione del rischio. La gestione del rischio operativo si basa principalmente su i strumenti che aiutano le banche per anticipare o limitare una possibile causa di rischio e su strumenti di quantificazione dell’ impatto economico: Principio 4: Le banche dovrebbero individuare e valutare il rischio operativo insito in ogni prodotto, attività, processo e sistema rilevante. Esse dovrebbero inoltre assicurarsi che prima di introdurre nuovi prodotti, processi e sistemi o di intraprendere nuove attività, il connesso rischio operativo sia sottoposto ad adeguate procedure di valutazione. Individuare il rischio operativo rappresenta il compito più importante per la banca per riuscire a fare dopo un monitoraggio efficace. Per individuare il rischio la banca dovrebbe considerare sia i fattori interni ( che riguardano aspetti di organizzazione interna, di qualità del personale ecc.) anche i fattori esterni ( che riguardano i sistemi tecnologi, l’ evoluzione del sistema bancario, ecc) La banca deve conoscere bene quale è l’ avversione al rischio, dove è il segmento dove la banca ha la maggior probabilità di subire una perdita operativa ecc. Per questi problemi la banca deve imipegare vari strumenti per individuare e valutare il rischio operativo. I strumenti maggiormente usati sono quelli di: auto - diagnosi, mappatura dei rischi, indicatori di rischio, misurazione del rischio ecc. Principio 5: Le banche dovrebbe istituire un processo di regolare monitoraggio dei profili di rischio operativo e delle esposizione alle perdite rilevante. Dovrebbe essere operarante un regolare segnalazione delle informazioni pertinenti all’ alta direzione e al consiglio di amministrazione, che promuova un attiva gestione del rischio operativo. La banca deve possedere un adeguato processo per il monitoraggio del rischio operativo. Un processo adeguato di processo di monitoraggio fa più facile il lavoro per individuare e per correggere gli eventuali carenze relative a politiche, processi e procedure nella gestione del rischio operativo. La banca dovrebbe definire gli indicatori che segnalano anticipatamente il rischio qundi questi indicatori dovrebbe essere prospettici. Il consiglio di amministrazione dovrebbe essre informato in modo continuativo sull’ andamento di monitoraggio e su i risultati di monitoraggio per poter emettere regolamenti interni che diminusicono l’ esposizione davanti al rischio operazionale. Principio 6: Le banche dovrebbero disporre di politiche, processi e procedure per controllare e/o mitigare i rischi operativi rilevanti. Esse dovrebbero valutare periodicamente le strategie per il controllo e la riduzione del rischio, nonché conformare – mediante appropriate strategie il loro profilo di rischio operativo alla propensione al rischio e al profilo di rischio complessivi. Il controllo è un componente importante nella gestione del rischio, mediante questo processo banca decide cosa deve fare con il rischio che è individuatoe come gestire. Mediante queste procedure la banca mette in controllo il rischio operativo e quindi è in grado di sapere in modo sicuro quanto potrebbe essere la perdite. Per i rischi individuati ma non controllabili la banca può decidere di diminuire l’ operatività in quel segmento dove il rischio è incontrollabile. Il consiglio di amministrazione deve diffondere nella banca un cultura di controllo di rischio. È importante che il personale dei dipendenti non dovrebbe avere compiti che sono in conflitto di interesse perché può portare i dipendenti in perdite o azioni discutibile. La banche deve assicurarsi di essere in posseso di altre prassi interne per controllare il rischio: Un rigoroso monitoraggio del rispetto dei limiti o delle soglie di esposizione al rischio Il mantenimento di presidi a protezione dell’ accesso ai locali della banca e dell’ utilizzo di beni e documenti L’ accertamento dei requisiti di competenza e formazione professionale dei dipendenti L’ individuazione di linee di attività o di prodotto la cui la redditività sembra discostarsi da quella ragionevolmente attessa La regolare verifica e riconciliazione delle transazioni e dei conti La banca dovrebbe assicurarsi di essere in grado di riuscire ad avere un sistema di controllo efficiente nei casi in cui entra in un nuovo mercato, avvia un nuovo attività ecc. La banca può mitigare il rischio mediante diversi strumenti come le polizze assicurative, il traferimento del rischio, ecc. Possibilità di avere questi meccanismi per il controllo del rischio riduce nel minimo l’ esposizione della banca davanti a questi rischi. Per diminuire l’ esposizione al rischio possono essere usati sistemi tecnologi nuovi e più efficienti ma questi sistemi nuovi possono diminuire il rischio operativo da un fattore ma l’ aumenta il rischio da un altro fattore quindi deve prestare attenzione quando vengono fatti cambiamenti tecnologici. Principio 7: Le banche dovrebbe predisporre piani di emergenza e di continuità operativa per assicurare la prosecuzione dell’ attività e minimizzare le perdite in caso di gravi disfunzioni operative. La banca potrebbe trovarsi in gravi situazione causati da eventi al di fuori del controllo della banca. Qunidi visto questi casi la banca deve avere sempre piani emergenti che prevedono situazioni in cui la banca può trovarsi. Questi piani emergenti devono prendere in considerazione la dimensione e la complessità delle operazioni della banca. La banca deve predisporre strutture di emergenza che in ogni caso possono recuperare i documenti e tutto quello che è importante per l’ attività della banca. I locali dove sono instaurate le strutture di emergenza è consigliato di non essere nello stesso posto dove sono collocate gli uffici principali. La banca deve eseguire sistematicamente il backup del sistema in modo di non perdere documenti e altre cose importante per la sua attività. I piani dovrebbe essere aggiornati in modo di riuscire a rispondere in miglior modo ai cambiamenti dei fattori esterni. I piani di emergenza dovrebbe essere sottoposti ai test periodici per essere sicuri che possono essere applicati anche nelle situazioni più improbabile previste dalla banca. Alla fine il Risk Mangement che è un’ unità operativa e che è responsabile per la gestionde del rischio operativo è responsabile: Gestire i rischi operativi come definiti nella politica Preparare la reportistica al’ alta direzione e al consiglio di amministrazione Elaborare le proposte per la mitigazione del rischio Gestire il processo di business continuity 4.2 Metodi prospettici L’ ufficio di Risk Management deve trovare metodi per riuscire a prevedere il rischio operativo prima che accade la perdita operativa. I metodi per riuscire fare previsioni sono diverse. Possono usare dati delle altre banche o costruire modelli statistici diversi per vedere la relazione di casualita dei fattori diversi sull rischio operativo. I relazioni di casualità sono dei tipi diversi: da quelli che mettono in relazione come funziona il rischio operativo quando viene assunto un nuovo lavoratore alle politiche di incentivare i trader o altri persone che possono essere esposti tanto davanti al rischio operativo. Ci sono relazioni del tipo che dipendono dallo stato economico del posto dove si trova la banca per esempio quando l’ economia non va bene si aumentano gli atti vandalici contro le banche. Quindi con questi modelli i managares riescono a mantenere meglio in controllo il rischio. Un’ altro metodo e quella per riuscire a prevedere i rischi operativi e quella di auto – valutazione del rischio operativo e di controllo. Mediante questo metodo sono gli stessi i manageri che gli viene chiesto quando sono esposti davanti al rischio operativo, questi questionari vengono preparati dal consiglio di amministrazione o da altre società fuori dalla banca che sono specializzati nel campo di gestione dei rischi nelle banche. 4.3 Trasferimento dei rischi operativi Dopo che l’ unita organizzativa specilizzata per la gestione del rischio ha trovato il requisito patrimoniale che deve essere usato per coprire le perdite operative viene il compito per mitigare il rischio. Cioè i manager devono usufrire tutte le possibilita per riuscire a ridurre fino a dove è possibile il patrimonio che andra per coprire il rischio operativo. Questa procedura viene fatta mediante l’ utilizzo di polizze assicurative o altri meccanismi di trasferimento del rischio operativo. Le polizze assicurative per coprire il rischio operativo ci sono dei tipi diversi da quelli che coprirono le perdite dalle alluvioni o dal malfunzionamento del sistema operativo ai quelli di comportamenti fraudolenti dei traders. Ma per ridurre il requisito patrimoniale sia la banca che le compgnie assicurative devono soddisfare alcune condizioni previste sia dalle regolamenti della Banca d’ Italia anche quelli previsti dal Comitato di Basilea. Le condizioni riguardano dal rating delle attività della impresa assicurativ anche condizioni di come dovrebbe esere la durata della polizza asscurativa (non deve essere inferiore ad un’ anno) ci sono anche condizione per la disdetta del contratto che deve essere almeno 90 giorni prima ecc. Per la banche le condizioni da soddisfare riguardano il trattamento delle polizze assicurative: devono essere adeguatamente documentate, tenere in modo trasparente, tenere conto dei fattori che possano determinare incertezza nell’ efficacia della copertura assicurativa, mediante l’ adozione di adeguati coefficienti di scarto ecc. Gli altri meccanismi per il trasferimento del rischio sono riconsciuto dalla Banca d’ Italia, questi meccanismi devono avere standar elevati di qualità che sono comparibile con quelle delle polizze assicurative. La banca che usa tale meccanismi deve avere un’ esperienza nell’ uso di tali meccanismi. 4.4 Supporto tecnologico Il sistema tecnologico ha un grande impatto interno della banca per la gestione dei rischi operativi. Il sistema tecnologico aiuta i manger per controllare e mitigare il rischio operativo in modo più efficiente. Mediante la tecnologia informatica i manager hanno in disposizione un sistema nel quale vengono raccolti i dati per tutto le operazioni della banca. Mediante il sistema loro possono elaborare in miglior modo i metodi per la misurazione e valutazione del rischio. Il sistema aiuta i manager di avere possibilità di reporting in modo più veloce e continuativo. Quindi il sistema tecnologico è presente in tutti i livelli di gestione di rischio operativo dall’ identificazione al controllo e mitigazione del rischio operativo. L’ applicazione del sistema tecnologico ha anche dentro il rischio operativo. Un malfunzionamento del sistema o interruzione del processo diventa in una perdita opertiva per la banca. Quindi le banche tendono a scegliere anche in questo campo un personale con elevata qualificazione per mantenere il sistema tecnologico. Nella gerarchia delle banche troviamo sempre un dipartimento dove lavorano solo per il mantenimento del sistema informativo. La figura di IT e diventata molto importante nella struttura organizzativa delle banche visto l’ evoluzione e il ruolo sempre e più importante che ha tecnologia nella gestione delle attività bancarie. 4.5 Ruolo delle autorità di vigilianza I regolamenti sia della Banca d’ Italia anche quelle di Comitato di Basilea hanno previsto anche il ruolo che devono avere le autorità di vigilianza nei confronti delle banche. Le autorità di vigilianze sono dei tipi diversi i principali in Italia sono: Banca d’ Italia, Ministero delle finanza, Consob ecc. Il lavoro di viglianza di questi enti governativa si basa in due principi che sono emante dal Comitato di Basilea: Principio 1: Le autorità di vigilianza bancaria dovrebbero richiedere che tutte le banche, a prescindere dalla loro dimensioni, dispongano di un efficace sistema per individuare, valutare, monitorare, controllare/mitigare i rischi operativi, e che esso sia inquadrato in un approcio complessivo alla gestione del rischio. È un compito delle autorità di vigilianza per controllare se i sistemi adottati da diverse banche sono corrispondenti con i regolamenti e soddisfano le condizioni per essere funzionanti in modo efficiente. Quindi le autorità di vigilianza giocano un ruolo cruciale nel verifichare se i sistemi adottati funzionano in modo efficiente, questo compito di controllo aiuta le banche, perché se il sistema non funziona bene loro possono modificare e quindi non avere perdita operative. Principio 2: Le autorità di vigilianza dovrebbero condurre, in modo diretto o indiretto, regolari valutazioni indipendenti delle politiche, procedure e prassi applicate dalla banca nella gestione del rischio operativo. Esse dovrebbero inoltre assicurarsi che sussitano adeguati meccanismi di segnalazione che permettono loro di tenersi informate sugli sviluppi intervenuti nelle banche. Il secondo principio ci dice che le autorità hanno il compito di controllare e verificare l’ efficacia del processo di gestione del rischio operativo, quali sono i metodi che usano le banche per individuare il rischio, controlare la qualità dei piani di emergenz, come funzione il sistema di controllo interno ecc. In fine le autorià devono fare un rapporto sulle punti debole del sistema, e quindi dare compito alla banca di migliorare il sistema per poter minimizzare le perdite che possono avere da un funzionamento del sistema in modo non migliore da quello che può funzionare. Capitolo – 5 Conclusioni Sulla base del lavoro descritto, il rischio operativo è una componente importante per la banca. La creazione di un sistema per gestire il rischio operativo dovrebbe iniziare dalla creazione di un database nel quale i risk managers possono registrare tutte le perdite derivanti dal rischio operativo. L’esistenza di un database è importante per la banca non solo per conoscere i propri punti deboli e migliorarli, ma anche per formulare previsioni più certe in futuro. I regolamenti sia della Banca d’Italia che quelli del Comitato di Basilea prevedono diversi metodi per calcolare il requisito patrimoniale per coprire il rischio operativo. Dagli esempi di calcolo, il metodo BIA richiede un valore di patrimonio maggiore degli altri metodi. Possiamo concludere che il metodo BIA dovrebbe essere usate dalle banche di media – piccola dimensione. Questi tipi di banche sono più esposte al rischio operativo vista la mancanza di dati. Le ingenti spese che devono essere eseguite per implementare un sistema tecnologico avanzato che possa aiutare nella gestione del rischio rendono improbabile per una banca di piccole dimensioni l’utilizzo di metodi più avanzati nella gestione del rischio. Il metodo TSA viene usato principalmente dalle banche di dimensioni maggiori e che hanno le risorse sia umane che tecnologiche per usare questi metodi. Questo metodo è migliore della BIA perché con questo metodo i segmenti diversi della banca vengono ponderati poichè non tutti i segmenti possono portare la stessa perdita per la banca nel caso si verifichi uno degli eventi previsti. I metodi avanzati AMA sono i metodi che vengono usate di più dalle banche internazionali che hanno sia le risorse umane che tecnologiche. Questi metodi misurano il rischio in un modo migliore e più esatto. Per quanto rigurda la gestione possiamo concludere che le banche devono avere nella loro organizzazione aziendale una struttura organizzativa solo per la gestione del rischio operativo. Il sistema deve gestire il rischio su quattro livelli: individuazione del rischio, misurazione e valutazione, monitoraggio, controllo e mitigazione. Un ruolo importante nella creazione del sistema di gestione gioca il sistema tecnologico che aiuta i risk managers di avere pià facilità nel compito di gestione del rischio, ma dall’ altra parte un malfunzionamento del sistema tecnologico può essere una causa per l’ aumento del rischio. Un gioco importante nella gestione del rischio giocano anche le autorità vigilative che aiutano le banche ad avere il rischio in controllo mediante le verifiche che fanno nelle banche. Il rischio operativo è un rischio che è sempre presente nelle attività bancaria ed e’ sempre soggetto cambiamento: perché le persone che lavorano nelle banche sono esseri umani e come tutti gli esseri umani potrebbero’ errare. Potrebbe errare anche un sistema tecnologico. Anche il miglior sistema tecnologico possibile ha i suoi limiti e quindi potrebbe non funzionare. In piu’ gli eventi esterni sono molto difficili da prevedere e quindi la perdita puo venire anche da questa causa. Il rischio operativo non può essere scomparso e diversificato mai. Appendice A – Dati sul rischio operativo A.1 Percentuale ammontare perdite A.2 Percentuale numero perdite A.3 Percentuale ammontare perdite A.4 Percentuale numero perdite BANCA D' ITALIA, (2011), Nuove Disposizioni di vigilianza prudenziale per le banche. Circolare n. 263 del 27 decembre 2006. Aggiornato, Rome. BASEL COMMITTEE ON BANKING SUPERVISION. (2006). Convergenza Internazionale della Misurazione del Capitale e dei Coefficienti Patrimoniali. Basel: Bank for International Settlements. BASEL COMMITTEE ON BANKING SUPERVISION. (2003). Operational Risk. Consultative Document. Basel. BASEL COMMITTEE ON BANKING SUPERVISION. (2003). Prassi corrette per la gestione e il controllo del rischio operativo. Basel: Bank for International Settlements. CROUHY, M., GALAI, D., & MARK, R. (2001). Risk Management. New York: McGraw-Hill. HOFFMAN, D. G. (2002). Managing Operational Risk. 20 Firmwide Best Practice Strategies. New York: John Willey & Sons. HULL, J. C. (2008). Risk Management and Financial Istitution. New York: Pearson Education. MOOSA, I. (2011). Operational Risk as a Function of the State of the Economy. Economic Modelling , 2137-2142. POGLIAGHI, P., & VANDALI, W. (2008). Guida pratica al Secondo Pilastro di Basilea 2. I 10 rischi del processo ICAAP di valutazione dell' adeguatezza del capitale interno. Rome: Bancaria Editrice. RESTI, A., & SIRONI, A. (2008). Rischio e valore nelle banche: Misura, Regolamentazione, Gestione. Milano: EGEA. WANG, T., & HSU, C. (2013). Board Composition and Operational Risk Events of Financial Institutions. Journal of Banking & Finance , 2042-2051.
© Copyright 2024 Paperzz