1 Master Auditing e Controllo Interno - Orientamento Part Time Auditing e Controllo Interno nelle...

1

Master Auditing e Controllo Interno - Orientamento Part Time

Auditing e Controllo Interno nelle Banche

I rischi Operativi:

modelli di valutazione e problematiche di controllo

Dott. Paolo Traso Pisa, 9 Maggio 2009

2

Il Rischio Operativo

Il contesto di riferimento

3


Definizione:

“The Operational Risk is the risk of loss resulting from inadequate or failed internal processes, people or systems or from external events”

(definizione del Comitato di Basilea per la Vigilanza Bancaria)

4


La posizione dell’Organo di Vigilanza

Nel dicembre 2006 (circolare 263) sono state pubblicate le nuove istruzioni di vigilanza inerenti all’applicazione del Nuovo Accordo sul Capitale con riferimento ai metodi avanzati di gestione del rischio operativo (A.M.A.).

Nel documento viene indicato che, allo scopo di fronteggiare i rischi operativi gli intermediari devono dotarsi di:

adeguati meccanismi di governo societario, ivi compresa una chiara struttura organizzativa, con linee di responsabilità ben definite, trasparenti e coerenti;

processi efficaci per l’identificazione, il monitoraggio, l’attenuazione e la valutazione dei rischi operativi ai quali sono o potrebbero essere esposti e di adeguati meccanismi di controllo interno, ivi comprese valide procedure amministrative e contabili.

La Banca d’Italia si attende che gli intermediari attivi a livello internazionale utilizzino metodi più complessi rispetto a quello Base, appropriati ai relativi profili di rischio.

La Banca d’Italia si riserva altresì la facoltà di valutare l’adeguatezza del requisito patrimoniale che deriva dal metodo adottato dagli intermediari a fronte dei rischi operativi e dei rischi strategici e di reputazione, adottando ove necessario i provvedimenti ritenuti opportuni nell’ambito del processo di controllo prudenziale. (c.d. secondo pilastro).

5


REQUISITI PER L’ACCESSO

Gli intermediari che intendono accedere al metodo diverso dal base devono presentare UNA delle seguenti caratteristiche:

DIMENSIONI idonee ad assicurare un’adeguata diversificazione delle attività nonché una capacità finanziaria tale da garantire la realizzazione degli interventi organizzativi, gestionali e metodologici necessari per il rispetto dei requisiti qualitativi.

Un elevato livello di SPECIALIZZAZIONE OPERATIVA che, pur non accompagnato da una dimensione rilevante, renda utile la realizzazione di un processo di gestione del Rischio Operativo.

6


GLI ORGANI DI GOVERNO DELLA BANCA

Gli organi aziendali, secondo le rispettive competenze e responsabilità:

definiscono le linee generali del sistema di gestione e controllo dei rischi operativi;

sono responsabili della sua realizzazione

vigilano sul concreto funzionamento

verificano la sua complessiva funzionalità e rispondenza ai requisiti previsti dalla normativa

LA RESPONSABILITA’ PRIMARIA DI UN EFFICACE GOVERNO DEI RISCHI OPERATIVI E’ RIMESSA AGLI ORGANI DI GOVERNO DELLA BANCA

7


FUNZIONI E ATTIVITA’ DI CONTROLLO

Funzioni di controllo

Internal Auditing;

Attività/funzione di controllo dei rischi operativi (AMA)

L’adeguatezza e l’efficacia del sistema di gestione dei rischi operativi deve essere sottoposta a periodica verifica da parte dell’Internal Audit

8


FUNZIONI DI INTERNAL AUDIT

Compiti

Effettua verifiche periodiche sul sistema di gestione dei rischi operativi al fine di valutarne la funzionalità e l’efficacia nonché la conformità con i criteri minimi di idoneità;

informa gli organi di governo dell’attività svolta e dei risultati di questa.

PER LE BANCHE AMA

verifica il processo di raccolta, gestione e conservazione dei dati sui rischi operativi;

effettua un’autonoma valutazione dell’adeguatezza del processo di autovalutazione (TSA)/processo di convalida interna (AMA). I risultati di tale verifica sono compendiati in una relazione contenente anche le proposte sugli interventi correttivi da attuare.

9


ORM E INTERNAL AUDIT: DUE FUNZIONI DISTINTE Vincolo di separatezza organizzativa e operativa delle due funzioni

In considerazione della contiguità tra le due attività e al fine di assicurare a ciascuna piena efficacia

chiara individuazione e comunicazione all’interno della banca dei rispettivi compiti e responsabilità

articolazione di adeguati flussi informativi tra le due funzioni

SONO POSSIBILI FORME DI COLLABORAZIONE FRA L’AUDIT E LE STRUTTURE ORGANIZZATIVE INDIVIDUATE PER IL DISEGNO, LA REALIZZAZIONE E IL MANTENIMENTO DEL SISTEMA DI GESTIONE DEI RISCHI OPERATIVI. RIMANGONO NELLA ESCLUSIVA RESPONSABILITA’ DELLE COMPETENTI STRUTTURE ORGANIZZATIVE I COMPITI IMPLEMENTATIVI E REALIZZATIVI DEL SISTEMA. L’INDIPENDENZA DELL’AUDIT DEVE ESSERE PRESERVATA.

10


Evoluzione dell’importanza dei rischi operativi

Composizione storicadel capitale a Rischio

totale

Composizione correntedel capitale a Rischio

totale

Composizione futuradel capitale a Rischio

totale

Rischi Operativi 10%

Rischi di Mercato 35%

Rischi di Credito 55%Rischi di Credito 40% Rischi di Credito 35%



Rischi Operativi 25%Rischi Operativi 40%

11

Il Comitato di Basilea ha previsto tre diverse metodologie che consentono di determinare il requisito di capitale a fronte dei rischi operativi.

Questi approcci sono caratterizzati da un livello crescente di complessità a cui dovrebbe corrispondere, a parità di altre condizioni, un assorbimento patrimoniale descrescente.

I tre approcci proposti dal Comitato sono:

Metodo dell’Indicatore Semplice (Basic Indicator Approach – BIA)

Metodo Standard (Standardised Approach – SA)

Metodologia Interna (Advanced Measurement Approach – AMA)

Le metodologie di calcolo del requisito di capitale


12

Advanced Measurement Approach (A.M.A.)


Gli approcci standard legano la rischiosità di una banca al suo Gross Income, il quale, essendo un indicatore dimensionale, costituisce un’approssimazione grossolana del profilo di rischio; ad esempio una banca con livelli reddituali prossimi allo zero risulterebbe meno rischiosa di una banca redditizia di dimensioni analoghe.A differenza dei due approcci presentati, l’approccio avanzato:

non prevede parametri predefiniti dal regolatore ai quali attenersinon indica predefiniti algoritmi di calcolo.

Alla Banca è data la possibilità di definire e sviluppare modelli interni che tengano conto dell’effettivo profilo di rischio (risk sensitive) previo:

Il rispetto di alcuni standard qualitativi (governance e gestione) e quantitativi (modelli di calcolo) nella costruzione del modello OR,La validazione di Banca d’Italia.

13

I principali standard di natura qualitativa:

definizione di un sistema di gestione dei Rischi Operativi (Policy, Processi, Metodologie, Strumenti, etc.)

funzione dedicata alla gestione dei Rischi Operativi;

effettivo utilizzo del sistema di reporting degli OR;

coinvolgimento attivo Top Management della Banca

Auditabilità (interna ed esterna) di tutto il sistema di gestione;

verifica ed approvazione della vigilanza della metodologia quantitativa di misurazione

I principali standard di natura quantitativa:

dati interni ed esterni

analisi di scenario

contesto operativo e controllo interno

Il nuovo contesto di vigilanza: novità ed impatti



14

Il nuovo contesto di vigilanza: novità ed impatti



L’adozione di un Modello A.M.A. risulta funzionale al conseguimento dei seguenti obiettivi:

Reingegnerizzazione dei processi e dei controlli;

Individuazione delle priorità di auditing in funzione dei rischi rilevati;

Sensibilizzazione dei responsabili di processo sulla gestione/monitoraggio di rischi operativi;

Corretta misurazione delle performances delle varie Linee di Business;

Migliore allocazione del capitale;

Razionalizzazione delle politiche di copertura assicurativa.

15

Livello di Sofisticazione Crescente

RequisitoPatrimonialeOperational

Risk

Modellidi BasileaBasic

Indicator

I x

Comitatodi Basilea

StandardisedApproach

ni

Iii,1

Gross Income

Advanced MeasurementApproach

Modello

Interno

Gross Income


I modelli di quantificazione proposti dal Comitato di Basilea

16


Approccio regolamentare

REQ

UIS

ITO

DI C

APIT

ALE

EFFI

CIEN

ZA D

EI P

ROCE

SSI

COMPLESSITA’ DELL’APPROCCIO

REQUISITI ORGANIZZATIVI

COMPLESSITA’ DELL’APPROCCIO

REQUISITI ORGANIZZATIVI

BASIC

STANDARD

A.M.A.BASIC

STANDARD

A.M.A.

17

Struttura dell’Operational Risk Management

OPERATIONAL RISK MANAGEMENT

A. Identificazione B. Misurazione C. Monitoraggio D. Gestione/Controllo

C.1 Monitoraggio requisiti patrimoniali

di vigilanza

C.2 Monitoraggio profili di rischio

operativo

C.3 Rendicontazione Periodica

D.2 Mitigazione

D.3 Trasferimento

B.1 Analisi quantitativa dati

LDC

B.2 AnalisiQuantitativa su stime soggettive

A.1 LDC

A.2 Assessment

A.3 Indicatori

A.5 Scenario Assessment

B.4 Integrazione

B.3 Valutazione del contesto

operativo e del controllo interno

D.4 Ritenzione

E.1 Sviluppo e manutenzione di metodologie, modelli ed applicativi

E.2 Principi e Procedure

E.3 Comunicazione

E. Manutenzione/Principi e Comunicazione

A.4 Assicurazioni

E.4 Controllo

D.5 Piano ContinuitàOperativa

D.1 Definizione Piano di

gestione OR

OPERATIONAL RISK MANAGEMENT

A. Identificazione B. Misurazione C. Monitoraggio D. Gestione/Controllo

C.1 Monitoraggio requisiti patrimoniali

di vigilanza

C.2 Monitoraggio profili di rischio

operativo

C.3 Rendicontazione Periodica

D.2 Mitigazione

D.3 Trasferimento

B.1 Analisi quantitativa dati

LDC

B.2 AnalisiQuantitativa su stime soggettive

A.1 LDC

A.2 Assessment

A.3 Indicatori

A.5 Scenario Assessment

B.4 Integrazione

B.3 Valutazione del contesto

operativo e del controllo interno

D.4 Ritenzione

E.1 Sviluppo e manutenzione di metodologie, modelli ed applicativi

E.2 Principi e Procedure

E.3 Comunicazione

E. Manutenzione/Principi e Comunicazione

A.4 Assicurazioni

E.4 Controllo

D.5 Piano ContinuitàOperativa

D.1 Definizione Piano di

gestione OR

L’Operational Risk Management può essere schematizzato tramite la seguente catena del valore.

Il Gruppo MPS ha aderito al Consorzio Dipo ABI

18

I 4 requisiti quantitativi stabiliti dalla Vigilanza

Requisiti quantitativi imposti dal Comitato di Basilea

Dati EsterniDati Interni

Analisi di Scenario Assessment

Advanced Measurement Approach

19

DATI INTERNI – IL PERIMETRO DI RILEVAZIONE

Al fine di comprendere meglio il perimetro di rilevazione definito, il rischio operativo può essere scisso in due entità logiche:

• Evento: costituito dall’accadimento di un dato evento dovuto a cause di natura operativa (gestione delle risorse umane, dei processi, della tecnologia ed eventi esterni) che comporta la manifestazione di effetti economici di natura negativa (perdite operative);

• Perdita: costituita dagli effetti economici negativi derivanti da eventi di natura operativa, aventi impatti (solitamente negativi) sul conto economico.

Gli eventi sono a titolo esemplificativo: le frodi interne ed esterne, gli errori operativi, sicurezza sul lavoro, disastri naturali, ecc.; le perdite operative sono a titolo esemplificativo: multe, sanzioni, risarcimenti, ammanchi, ecc..

20

Le perdite – caratteristiche principali Le perdite per loro natura possono essere:a) Effettive: nel caso in cui rappresentano manifestazioni economiche negative che misurano il danno subito dall’azienda per cause ascrivibili ai rischi operativi (ovvero che producono una corrispondente “scrittura” in conto economico); b) Non Effettive: nel caso in cui rappresentano mancati guadagni costituiti dagli introiti futuri che sarebbero stati conseguibili se non si fosse manifestato un inefficace/inefficiente gestione dei fattori interni e/o l’accadimento di eventi esterni (ovvero che non producono una corrispondente “scrittura” in conto economico).Il perimetro di rilevazione include soltanto le manifestazioni economiche negative, ovvero le perdite effettive:Certe in contabilità: quando riferite in modo specifico a componenti negative del conto economico;Stimate in contabilità: accantonamenti a Fondi Rischi ed Oneri dovuti a atti/fatti aziendali già accaduti, il cui quantum è ancora incerto (cause legali, sanzioni future, ecc.).

Non sono inclusi nel perimetro:Costi opportunità: costi sostenibili e i proventi ottenibili dagli investimenti alternativi cui si è rinunciato impiegando risorse di cui si dispone in quantità limitata;Programmi d’investimento: spese annuali/pluriennali stanziate al fine di attuare una risoluzione strutturale alle perdite sostenute, innovando i processi, le tecnologie e le risorse umane in termini di efficacia ed efficienza.

21

Incidenza delle Perdite Operative in Conto EconomicoIncidenza delle Perdite Operative in Conto Economico

Conto Economico

Costi

ManifestazioniEconomicheNegative

Utile

Ricavi

Le OL di tipo a) sono evidenziabili nelle voci di conto economico ed incidono sulla determinazione dell’utile (la perdita si è manifestata)

Proventimancati

Le OL di tipo b,c) non sono evidenziate in voci di conto economico (non hanno avuto una manifestazione)

Altre

Costiopportunità

Mancato guadagnoMancato guadagno

Per perdite effettive lorde si intendono quelle non dovute a compensazioni di costi o di ricavi di esercizio erroneamente valutati, bensì sostenute per effetto di un evento pregiudizievole (singolo accadimento che genera una o più perdite) accaduto, di natura non sistemica (perdite che non abbiano impatto sul Sistema Bancario nel suo complesso), che siano oggettive e misurabili, in quanto appositamente censite nel sistema contabile della banca o tali per cui è possibile rintracciarne l’impatto sul conto economico, a prescindere dalle modalità di contabilizzazione. E’ stato convenuto che il valore da registrare è il costo necessario per la risoluzione dell’evento, al lordo delle somme recuperate (assicurative o altro). I recuperi assicurativi vengono censiti nel software in appositi campi, separati dalle perdite.

Le perdite – caratteristiche principali

22

Alcuni esempi di rischio operativo (1)

(t0) (t

1) (t

i) (t

i+1)(…)

Evento di rischio: Esecuzione dei processiViene effettuata un errato

inserimento delle condizioni d’ordine stabilite dal cliente

Fattore di rischio: Risorse Umane

Mancato rispetto delle condizioni d'ordine stabilite dal cliente

Gli effetti del rischio: La Banca, dopo aver ricevuto il

reclamo, sostiene l’onere a fronte delle richieste del cliente a causa

dell’errata digitazione delle condizioni all’atto della ricezione

dell’ordine.

I Rischi Operativi: dalla causa all’effettoIl sostenimento di una perdita operativa è il risultato di una catena di eventi: la gestione non adeguata di un fattore di rischio operativo (processi, persone e sistemi) determina l’accadimento di un evento di rischio:

Una volta manifestatosi l’evento di rischio può provocare una serie di effetti negativi per la banca in termini economici (vedi la decisione di rimborsare al cliente il mancato guadagno occorso a causa dell’errore dell’operatore).

23

(t0) (t

1) (t

i) (t

i+1)(…)

Evento di rischio: Rapina alla filiale

Viene perpetrata una rapina ad una filiale della

banca

Fattore di rischio: Rischio Rapina

Gli effetti del rischio: La Banca, dopo aver denunciato contabilizzato quanto sottratto in

filiale interessa l’assicurazione per l’accaduto, documentando le giacenze di cassa esistenti.


In questo caso, a seconda delle specifiche della polizza, è possibile la refusione del maltolto da parte dell’Assicurazione. Così ci troveremo a gestire un evento multi-impatto, ovvero sia l’evento rapina sia l’evento recupero.


24

(t0) (t

1) (t

i) (t

i+1)(…)

Evento di rischio: Mancata chiusura

rapporti agganciati ad un cliente

Mancata estinzione addebito telepass su

conto corrente

Fattore di rischio: Sistemi

Gli effetti del rischio: La Banca, dopo aver ricevuto

l’addebito della fattura telepass del cliente che ha estinto il conto si trova nella situazione di dover onorare l’impegno al posto del

cliente, in quanto caduta in errore


In questo caso, in sede di piano di gestione dei rischi operativi, in considerazione delle perdite connesse a tali eventi si può proporre l’adeguamento delle procedure affinchè alla chiusura del conto corrente vengano chiusi tutti i servizi collegati.


25

(t0) (t

1) (t

i) (t

i+1)(…)

Evento di rischio: Reclamo di un cliente

per acquisto obbligazioni ParmalatVendita obbligazioni a soggetto con profilo di rischio non adeguato


Gli effetti del rischio: La Banca, dopo aver ricevuto il

reclamo del cliente che asserisce, di non avere profilo di rischio

adeguato per concludere l’operazione si trova costretta ad

accettare la doglianza



26

(t0) (t

1) (t

i) (t

i+1)(…)

Evento di rischio: Manutenzione ATM per

inserimento carta scontrini nella fessura riservata alla carta

Intervento di manutenzione straordinaria

Fattore di rischio: Eventi Esterni

Gli effetti del rischio: La Banca, dopo aver ricevuto la

segnalazione di malfunzionamento dell’ATM, per ripristinare il servizio

alla clientela, deve chiamare la ditta manutentrice e commissionare

l’intervento.


In questo caso, in sede di piano di gestione dei rischi operativi, in considerazione delle perdite connesse a tali eventi si può proporre l’adeguamento del contratto di manutenzione sulla base delle statistiche di interventi richiesti nel corso dell’anno.


27

(t0) (t

1) (t

i) (t

i+1)(…)

Evento di rischio: Portabilità MutuiLegge Bersani

Sostenimento delle spese notarili da parte della Banca


Gli effetti del rischio: La Banca, dopo che il cliente ha

manifestato la volontà di trasferire il mutuo presso altro istituto dovrà sostenere le spese notarili per la

stipula del nuovo contratto di mutuo.



28

(t0) (t

1) (t

i) (t

i+1)(…)

Evento di rischio: Clonazione carta bancomat

Segnalazione da parte del cliente di addebiti sconosciuti. La Banca

verifica se ci sono state segnalazione di possibili

clonazioni.


Gli effetti del rischio: La Banca, dopo aver effettuato gli accertamenti del caso, dopo aver sentito anche la polizia postale, provvede, una volta accertata la clonazione, a rifondere al cliente

l’importo delle operazioni fraudolente, in attesa del rimborso

del Fondo Interbancario di Garanzia



29

(t0) (t

1) (t

i) (t

i+1)(…)

Evento di rischio: Pagamento interessi di mora su

F24 per ritardato pagamentoAl sistema o all’operatore non

vanno a buon fine le operazioni di addebito del modello F24

Fattore di rischio: Sistemi/risorse umane

Gli effetti del rischio: La Banca, dopo aver accertato la

propria responsabilità per il pagamento della mora sostiene il

costo dell’inefficienza.



30

(t0) (t

1) (t

i) (t

i+1)(…)

Evento di rischio: Errori nella tabella prezzi servizi

esteroApplicazione di errate condizioni

economiche ai bonifici estero


Gli effetti del rischio: La Banca, dopo aver accertato il

malfunzionamento nel processo si accolla l’onere di rimborsare al

cliente la differenza.



31

(t0) (t

1) (t

i) (t

i+1)(…)

Evento di rischio: Rilevata Banconota di sospetta

falsità nelle operazioni di chiusura della cassa

Fattore di rischio: Frode Esterna

Gli effetti del rischio: La Banca, dopo aver inviato alla

Banca d’italia la banconota attende l’esito, che se positivo porterà alla spesatura della perdita relativa al

valore della banconota



32

(t0) (t

1) (t

i) (t

i+1)(…)

Evento di rischio: Apertura del Bancomat in fascia

attiva


Gli effetti del rischio: La Banca, ha sostenuto le spese di ripristino del macchiatore a causa dell’apertura in fascia attiva (fuori

orari temporizzati) del bancomat da parte dell’operatore di filiale



33

(t0) (t

1) (t

i) (t

i+1)(…)

Evento di rischio: Riparazione tastiera ATM in

seguito ad atto vandalico


Gli effetti del rischio: La Banca, ha sostenuto le spese di riparazione della tastiera dell’ATM dopo aver constatato l’avvenuta

rottura ad opera di vandali



34

Le fasi del processo di gestione

La fase di identificazioneLoss Data Collection, per la ricerca, raccolta e analisi descrittiva dei dati quantitativi interni ed esterni riferiti alle perdite operative;Assessment dei fattori di rischio e di controllo, rivolto al Middle-Management per l’autovalutazione della qualità dei presidi (in altri termini, qualità della gestione dei fattori di rischio) posti in essere per la gestione ed il controllo dei singoli eventi di rischio connessi ai processi aziendali; Indicatori, per l’analisi delle relazioni/dipendenze tra la manifestazione degli eventi di rischio e per l’individuazione di segnali di early-warning;Assicurazioni, per il censimento dei contratti assicurativi in essere e la raccolta delle informazioni relative ai recuperi assicurativi;Analisi di Scenario, per l’identificazione da parte del Top Management delle principali aree di criticità aziendale con l’obiettivo sia di quantificare il capitale a rischio sulla base delle stime soggettive (cd. Expert Opinion), sia di individuare le opportune azioni di mitigazione/trasferimento/ritenzione dei rischi.

35

La raccolta dei dati di perditaRicerca: consiste nelle attività di ricerca delle perdite operative (al lordo ed al netto dei recuperi), di individuazione delle fonti informative da cui attingere i dati e di definizione e formalizzazione delle modalità di censimento;Censimento: in cui si acquisiscono, attraverso l’applicativo dedicato alle attività di LDC, i dati di perdita individuati, operando il censimento materiale nel database. Ė possibile distinguere tra inserimento dei dati in modo automatico o manuale;Validazione: riguarda la verifica della qualità e della completezza dei dati raccolti a livello Locale, e di Gruppo la validazione in termini di completezza dell’informazione e coerenza complessiva dei dati; Partecipazioni a consorzi esterni: attività di trasferimento/ricezione dei dati a/da consorzi esterni (database esterni) per iniziative di data pooling;Invio dati a Organi di Vigilanza: si effettuano segnalazioni statistiche agli Organi di Vigilanza. I dati sono inviati anche alla funzione Controlli Interni della Capogruppo;Analisi eventi rilevanti: consiste nell’esame degli eventi di perdita con un impatto di rilievo a livello aziendale e di Gruppo al fine di comprendere le cause e le implicazioni in termini di mitigazione. Gli eventi esaminati sono individuati sulla base di criteri quantitativi (ad esempio l’ammontare delle perdite) ed, in via residuale, qualitativi; Reporting: per le attività di produzione di report a livello Locale e di Gruppo a richiesta o a scadenze prestabilite da presentare a funzioni interne o all’Organo di Vigilanza.

36

Le fasi del processo di gestioneLa fase di identificazione

L’analisi qualitativa ha l’obiettivo di raccogliere valutazioni soggettive sull’evoluzione dei rischi aziendali (forward looking). L’informazione qualitativa richiede giudizi espressi da risorse esperte (qualificati responsabili di unità di business). Uno strumento di analisi qualitativa deve poter trasformare i giudizi espressi dagli esperti in stime di rischio quantitative e coerenti con le stime sui dati storici ed associare alle informazioni sulle stime di rischio le informazioni gestionali necessarie a supportare il decision making.La componente qualitativa del modello di gestione dei rischi operativi prevede due processi principali:

Valutazione dei fattori di contesto e di controllo: processo rivolto al middle management (nel documento, responsabili di processo) finalizzato all’autovalutazione della qualità dei presidi posti in essere per la gestione ed il controllo dei singoli eventi di rischio tipici.Analisi di Scenario: strumento rivolto al top management finalizzato ad ottenere stime soggettive su frequenza e impatto degli eventi di rischio per la conduzione di analisi di scenario.

La scelta di adottare due strumenti è legata:Al coinvolgimento di tutto il management al fine di responsabilizzare le linee operative nella gestione dei rischi operativi e creare una cultura del rischio tesa a creare valore per l’azienda.Al collegamento dei metodi e degli strumenti di Audit a quelli di Operational Risk Management con la condivisione, oltre dei modelli di classificazione, della mappa dei rischi operativi.Alla definizione di una metodologia di Scenario il cui questionario varia ad ogni analisi in funzione delle criticità e dei rischi identificati e consente, attraverso un numero di domande opportuno, di rivolgere i questionari direttamente ai Direttori Centrali della Capogruppo e ai Direttori Generali delle controllate.

I due processi, all’interno del più ampio Operational Risk Framework, sono finalizzati da un lato alla stima del CaR basato su stime soggettive e dall’altro alla raccolta delle informazioni gestionali di supporto alla definizione di un piano di mitigazione.

37

L’Assessment dei fattori di contesto e di controllo (di seguito Assessment) è rivolto al Middle Management (nel documento, responsabili di processo) e finalizzato all’autovalutazione della qualità dei presidi posti in essere per la gestione ed il controllo dei singoli eventi di rischio tipici.

Predisposizione dei questionari, in cui ogni azienda associa gli eventi di rischio operativi alle unità organizzative definite come responsabili di processo dal punto di vista dell’ORM;Esecuzione dei questionari, che consiste nella compilazione del questionario e nello svolgimento del data quality;Analisi Risultati e Reporting, al fine di individuare ed evidenziare i risultati delle valutazioni raccolte sugli eventi di rischio associati alle unità organizzative, da trasmettere alle funzioni Locali e di Gruppo.

L’analisi qualitativa – il risk self assessment

38

I processi sono mappati, secondo una struttura che prevede 4 livelli:

Processo <> Sottoprocesso <> Fase <> Attività

Per ogni singola attività sono stati individuati gli eventuali rischi operativi che potrebbero manifestarsi ed è stata individuata l’unità organizzativa che fa fronte a tale rischio.

Esempio di mappatura di processo:

Processo: Credito

Sottoprocesso: Credito Corporate

Fase: Contatto col cliente, Istruttoria, Analisi del rischio, Concessione, Revisione, Gestione del Credito, Monitoraggio del Credito, Gestione del Contenzioso

Attività: Analisi Preliminare Delle Esigenze Della Clientela, Contatto Con Il Cliente

Processo Credito.xlsx

L’analisi qualitativa – il risk self assessment

39

Le interrelazioni nelle fasi dell’identificazione “identificazione”

Gli input informativi sono raggruppati sulla base di modelli di classificazione al fine di poter utilizzare in maniera omogenea tutte le principali fonti informative sia qualitative, sia quantitative e recepire dati di provenienza esterna. I risultati di processo di Assessment e Loss Data Collection rappresentano le fonti alimentanti dello Scenario. L’efficacia e l’efficienza dell’“identificazione” viene garantita attraverso l’integrazioni e le sinergie di diverse metodologie e attività:Le metodologie di ORM e quelle di Audit condividono i modelli di classificazione standard (c.d. Operational Risk Map);L’integrazione con le attività Organizzative e di ICT si realizza con la definizione del Piano di Gestione dei rischi, ossia attraverso l’allocazione delle risorse agli interventi di mitigazione individuati mediante il processo di budgeting.

40

L’analisi di scenario

L’analisi di scenario si compone delle seguenti attività:Analisi dati LDC e Assessment: in cui si analizzano le informazioni rivenienti da LDC e da Assessment per individuare gli eventi di rischio rilevanti;Predisposizione dei questionari: in cui per ciascuna Area di Business, si aggregano gli eventi di rischio rilevanti in aree di Criticità, permettendo di strutturare le domande dei questionari. Le domande prima dell’esecuzione sono condivise con le aziende nell’ambito del Tavolo Rischi Operativi, in cui si condividono le risultanze, arrichendole laddove possibile e necessario delle evidenze e del know how dei partecipanti;Esecuzione dei questionari: in cui il Top Management, nell’eseguire il questionario, è chiamato a stimare per ogni domanda frequency, severity, worst case, nonché ad indicare i possibili interventi di mitigazione, ritenzione e trasferimento del rischio;Analisi risultati e reporting: in cui vengono formalizzati i risultati dello Scenario, per la presentazione ai Responsabili delle Aree di Business. Dei risultati dello Scenario viene fornita comunicazione agli Organi Esecutivi.

41

• L’Analisi di Scenario è un requisito previsto dal regolatore per l’adozione di modelli avanzati di misurazione dei Rischi Operativi.

• L’Analisi di Scenario “si basa sulle esperienze di qualificati responsabili di unità operative”.

L’analisi di scenario

42

L’Analisi di Scenario:• Integra l’analisi dei dati storici di perdita con le stime soggettive, al

fine di identificare annualmente il complessivo profilo di rischio operativo dell’azienda.

• Supporta l’individuazione delle opportune azioni di assunzione, trasferimento e mitigazione dei rischi in linea con quanto previsto dal regolatore (gestione e monitoraggio dei rischi).

• Consente di:– Raccogliere le valutazioni soggettive del top management;– Tradurre le valutazioni raccolte in stime quantitative coerenti con

l’analisi statistica delle perdite storiche.

43

La componente qualitativa – l’analisi di scenario

Nella fase di esecuzione dei questionari le valutazioni richieste sono espresse dal top management in un’ottica “forward looking” e rappresentano una stima delle potenziali perdite operative e devono, pertanto, essere espresse al lordo dei relativi rimborsi assicurativi che si prevede possano essere ottenuti. Le stime soggettive richieste per ogni domanda sono tre:Frequenza attesa (frequency): stima della frequenza attesa di accadimento con cui il rischio rilevato potrebbe manifestarsi nel periodo di analisi. Impatto atteso (severity): l’impatto medio del singolo evento di rischio rilevato. Le classi di impatto fra le quali scegliere variano in funzione della precedente risposta sulla classe di frequenza.Caso peggiore (worst case): caso peggiore d’impatto, definito ad un determinato intervallo di confidenza. Anche in questo caso le classi da scegliere variano in funzione della risposta alla precedente domanda (impatto medio).

In sede di esecuzione dei questionari, inoltre, vengono individuate le leve gestionali praticabili per un efficace ed efficiente trattamento delle criticità. A tal fine, con il Top Management vengono condivise ed ulteriormente razionalizzate le proposte del Tavolo dei Rischi Operativi in termini di:fattore di rischio su cui intervenire;intervento di mitigazione, trasferimento e ritenzione del rischio.L’output di tale fase costituisce l’elemento fondamentale per la predisposizione del Piano di Gestione ove vengono definiti gli interventi attuativi in merito al trattamento del rischio.

1 Master Auditing e Controllo Interno - Orientamento Part Time Auditing e Controllo Interno nelle...

Documents

Transcript of 1 Master Auditing e Controllo Interno - Orientamento Part Time Auditing e Controllo Interno nelle...