Il RISCHIO OPERATIVO -...
35
Il RISCHIO OPERATIVO Misura e gestione La normativa di vigilanza NEMANJA RADIĆ 23/04/2009
Transcript of Il RISCHIO OPERATIVO -...
Il RISCHIO OPERATIVO
Misura e gestione
La normativa di vigilanza
NEMANJA RADIĆ 23/04/2009
AGENDAI. Introduzione
� La definizione del rischio operativo� I fattori di rischio� Le pecularità del rischio operativo
II. La misura del rischio operativo� La costruzione di un database delle perdite operative
La valutazione del rischio operativo� La valutazione del rischio operativo� L’autodiagnosi del rischio operativo� La gestione del rischio operativo
III. I requisti patrimoniali sul rischio operativo� L’approccio dell’indicatore base� L’approccio standardizzato� L’approccio avanzato� Il ruolo del secondo e del terzo pilastro
2
Introduzione
Secondo un recente studio della Federal Reserve Bank of Boston, tra il 1992 eil 2002 le istituzioni finanziarie hanno sofferto più di 100 perdite superiori a100 milioni di dollari a causa del rischio operativo.
� Il rischio operativo è difficile da definire, ed esistono varie definizioniutilizzate dalle grandi banche internazionali e riportate nei loro bilanci.
Il nuovo accordo sul capitale di Basilea del 2004 adotta una definizione di� Il nuovo accordo sul capitale di Basilea del 2004 adotta una definizione dirischio operativo: esso è definito come ’’il rischio di perdite derivanti dallainadeguatezza o dalla disfunzione di procedure, risorse umane e sistemiinterni, oppure da eventi esogeni’’.
Il Comitato di Basilea, sceglie di concentrarsi sulle perdite direttamentericonducibili al rischio operativo ed esclude le sue possibili conseguenzeindirette, guardando non ai suoi effetti, ma alle sue cause.
3
I fattori di rischio
I quatro fattori di rischio indicati dal Comitato del Basilea possono esseredescritti come segue:
1. Risorse umane – si tratta di eventi come errori, frodi, violazioni diregole e procedure interne, problemi di incompetenza e negligenza(esempio di UBS Warburg nel dicembre 2001 subi una perdita di 50milioni di dollari sul suo portafoglio azionario giapponese a causa di unmilioni di dollari sul suo portafoglio azionario giapponese a causa di unerrore di inserimento dei dati, relativo al numero di azioni negoziate).
2. Sistemi informatici – questo fattore include aspetti tecnologici, comeguasti nell’hardware e nel software, ingressi non autorizzati di estraneinei sistemi informatici e presenza di virus, guasti alle telecomunicazioni(per esempio, incursioni di hacker, perdite di dati, interruzionidell’elettricità, errori di lavorazione nei processi).
4
I fattori di rischio
3. Processi – questo fattore include procedure e controlli interni difettosi oinadeguati (per esempio, al rischio di errori nel calcolo delle impostedovute dalla banca, nell’esecuzione e/o liquidazione di transazioni in titolie in divise estere, in errori contabili e di registrazione, o, ancora neie in divise estere, in errori contabili e di registrazione, o, ancora neisistemi di risk management della banca).
4. Eventi esterni – includono tutte le perdite cagionate da cause esterne,non direttamente controllabili dal management della banca (per esempio,modifice nel quadro politico, regolarmente o legale che comportinonuovi costi o una riduzione dei ricavi aziendali, atti criminali come furti,vandalismo, rapine e terrorismo, terremoti e altre catastrofi naturali).
5
Il classificazione del rischio operativo
6
Le pecularità del rischio operativo1. La peculiarità del rischio operativo è solo una naturale e inevitabile
conseguenza delle attività svolte dalla banca stessa.
2. Il rischio operativo è intrinsecamente connesso all’attività bancaria, e nonè possibile eliminarlo.
3. Una seconda peculiarità è connessa alla sua natura di rischio puropiuttosto che speculativo.
4. Una terza peculiarità, riguarda il mancato rispetto del principio per cui unmaggiore rischio è associato a un maggior rendimento atteso.
5. Una quarta peculiarità è che la sua comprensione e la sua identificazionesono generalmente più complesse rispetto a quelle dei rischi finanziari.
Il rischio operativo si distingue dalle altre tipologie di rischio per la carenza distrumenti di copertura che consentano di prezzarlo e trasferirlo ad altrisoggetti.
7
Alcuni esempi di rischio
8
La misura del rischio operativo
I principali obiettivi di un sistema di misura del rischio operativo sono:
1. In primo luogo, esso dovrebbe consentire la tempestiva rilevazione earchiviazione degli eventi di perdita allorchè questi si manifestano.
2. In secondo luogo, dovrebbe permettere alla banca di stimare leperdite attese e le perdite inattese, destinate a essere coperte conperdite attese e le perdite inattese, destinate a essere coperte concapitale degli azionisti.
3. In terzo luogo, il sistema dovrebbe consentire una migliorecomprensione dei fattori da cui origina il rischio operativo, cosi daconsentire l’impostazione di adeguate politiche di contenimento ecopertura del rischio, la cui efficacia possa essere verificata neltempo.
9
La costruzione di un database
delle perdite operative
La construzione di una base di dati in cui archiviare le perdite legate alrischio operativo presenta diverse difficoltà:
1. Primo problema nasce dal fatto che alcuni eventi collegati al rischiooperativo producono perdite difficili da quantificare.
2. Secondo problema è che alcuni degli eventi legati al rischio operativo2. Secondo problema è che alcuni degli eventi legati al rischio operativosono assai rari (per esempio, le catastrofi naturali).
3. Terzo problema ha a che fare con la scarsa affidabilità dei dati storiciper la stima della probabilità e dell’entità delle perdite future.
4. Ultimo problema deriva dal fatto che le grandi banche hannocominciato a prestare attenzione al rischio operativo solo nel corsodegli anni Novanta.
10
Database delle perdite operative dovrebbe includere
le seguenti categorie di informazioni:
Dati sulla perdita
Dati sul proprietario della perdita
È necessario che ogni perdita venga riferita all’area di attività (o business unit) su cui tale perdita si
Valore nominale ed effettivo, data d’inizio e di fine del fenomeno che ha causato la perdita, tipologia di esborso, tipo di valore e breve descrizione dell’evento che ha causato la perdita.
della perdita
Dati sui fattori di rischio
Dati sui fattori di rischio
Per ognuno dei quattro fattori di rischio è necessario rilevare una batteria di indicatori.
business unit) su cui tale perdita si è scaricata.
Dati su eventuali rimborsi
Questi informazioni sono necessari per poter verificare, l’efficacia dei diversi strumenti di mitigazione del rischio utilizzati dalla banca.
11
La valutazione del rischio operativo
� La distibuzione delle perdite - descrive la dimensione della perdita,una volta che si verifica.
� La frequenza degli eventi di perdita - descrive il numero di eventidi perdita per un determinato intervallo di tempo.
La Perdita di gravità può essere inserita in una tabella di dati storici, perLa Perdita di gravità può essere inserita in una tabella di dati storici, peresempio, la perdita delle misure di gravità yk, al tempo k. Definire Pk comeindice dei prezzi al consumo al momento k, e VK come attività misuracome il numero delle operazioni. Si potrebbe supporre che la gravità èproporzionale al volume di affari aV e il livello dei prezzi.
12
La valutazione del rischio operativo
La frequenza degli eventi di perdita, è definito dalla variabile n, cherappresenta il numero di occorrenze di perdite nel corso del periodo. Lafunzione di densità è:
pdf of loss frequency = f(n), n = 0, 1, 2,…
Se x (o X) è la perdita della gravità quando si verifica una perdita, la suaSe x (o X) è la perdita della gravità quando si verifica una perdita, la suadensità è:
pdf of loss severity = g (x | n=1), x≥0
Infine, la perdita totale per il periodo, è dato dalla somma delle singoleperdite nel corso di un numero casuale di eventi:
13
Un esempio (1)La tabella successiva fornisce un semplice esempio di due di talidistribuzioni.
� Il nostro compito è ora quello di combinare queste due distribuzioni inuna sola, quella del totale delle perdite nel corso del periodo.
� The two distributions can be combined into a distribution of aggregateloss through a process known as convolution (through tabulation).
14
Un esempio (2)
15
L’autodiagnosi del rischio operativo
La concreta applicazione dei rischi operativi è limitata da diversi ostacoli,in particolare:
� Le basi di dati disponibili sono spesso limitate (in termini di numero dianni coperti e di variabili archiviate) e di cattiva qualità.
� È difficile definire in modo sufficientemente obiettivo e generale i� È difficile definire in modo sufficientemente obiettivo e generale icontrol environment factors utilizzati per rappresentare i fattori dirischio da cui dipende il rischio operativo.
� Essendo difficile misurare formalmente la dipendenza delle diversecategorie di perdite operative dai fattori di rischio, diventa complessa eincerta anche la stima del grado di correlazione e di dipendenza tra talicategorie di perdite (cosi non è possibile stimare ilVaR).
16
L’autodiagnosi del rischio operativo
Per motivi precedenti molte banche hanno introdotto sistemi di valutazionesoggetiva (self assessment o autodiagnosi) della propria vulnerabilità alleperdite operative.
� La principale controindicazione di questi meccanismi di autodiagnosi è cheessi si basano principalmente sulle valutazioni del management.
� Vi è dunque il pericolo di una coincidenza tra controllato e controllore, chepuò essere arginato in due modi:
1. Gli exposure indicator e i livelli di rischio rilevati per ogni business unitdovrebbero essere riscontrati utilizzando ulteriori fonti informative,anche esterne e risultare in linea con le valutazioni medie disponibili alivello di settore bancario
17
L’autodiagnosi del rischio operativo2. La valutazione del profilo di rischio di ogni business unit, pur essendo
alimentata con dati e giudizi provenienti dalla business unit stessa,dovrebbe fare capo a un’unità indipendente, in seno al risk managemento all’internal audit.
I sistemi di autodiagnosi presenterano anche alcuni vantaggi: costituiscono unapprocio relativamente flessibile e facilmente adattabile alla complessitàorganizzativa delle diverse banche; possono essere implementati a diversilivelli di sofisticazione.
18
La gestione del rischio operativoLa gestione del rischio operativo si caratterizza per due obiettivi di fondo.
1. Primo è minimizzare l’esposizione al rischio.
2. Un secondo importante obiettivo è creare un adeguato sistema diincentivi alla riduzione del rischio.
Una volta identificata e quantificata una certa area di rischio, la bancha ha adisposizione tre alternative:disposizione tre alternative:
� Keep – l’opzione keep si associa, solitamente agli eventi di rischio abasso impatto, siano essi a elevata o a bassa frequenza (eventi HFLI eLFLI). Gli eventi possono essere coperti con riserve.
� Insure – la possibilità di acquistare coperture assicurative. Le polizzeassicurative vengono solitamente utilizzate a fronte di eventi a bassafrequenza e alto impatto (LFHI), in genere dovuti a fattori esterni di tiponaturale (terremoti), politici o regolamentari.
19
La gestione del rischio operativo
� Hedge – questa opzione è utilizzata per i rischi consideratiincompatibili con la capacità di assorbimento delle perdite della banca. Ifattori di rischio sono interni della banca e non a cause esterne.
20
Alcuni dati empirici
21
Alcuni dati empirici
Basi di dati interbancarie sul rischio operativo:
� Morexchange (Multinational Operational Risk Exchange) – databaseintrodotto nel novembre 2000 da grandi instituzioni finanziariecome J.P. Morgan, Royal Bank of Canada,…
� Il consorzio interbancario GOLD (Global Operational LossDatabase) gestito dall’associazione bancaria britannica.
� Il database DIPO (Database Italiano Perdite Operative) gestito dallaAssociazione Bancaria Italiana.
22
I requisti patrimoniali sul rischio operativo
L’accordo del 2004 ha introdotto un requisto patrimoniale anche a frontedel rischio operativo, cosi da rendere il capitale minimo di vigilanzamaggiormente sensibile all’effettivo profilo di rischio delle banche,avvicinandolo alle misure di rischio da esse adottate a fini gestionali.
� Il calcolo del requisto proposto dal Comitato di basilea si fonda su treapprocci alternativi, via via più complessi e precisi:approcci alternativi, via via più complessi e precisi:
AMA
ApproachStandard Approach
Basic
Approach
Basic IndicatorsApproach
Sophistication Better capital allocation
23
L’approccio dell’indicatore base
Questo approccio prevede che il requisto patrimoniale sia commisurato almargine d’intermediazione (MID) della banca. MID misura i suoi ricavioperativi lordi ed è in qualche misura assimilabile al fatturato delle impreseindustriali.
� Il margine d’intermediazione viene moltiplicato per un coefficiente dirischio α=15% fissato dal Comitato di Basilea, e viene applicato al valorerischio α=15% fissato dal Comitato di Basilea, e viene applicato al valoremedio degli ultimi tre anni del margine d’intermediazione per ottenere ilrequisto patrimoniale kRO relativo al rischio operativo:
dove N rappresenta il numero di anni, tra gli ultimi tre, in cui MID è stato positivo.
24
L’approccio standardizzato
Questo approcio prevede che il requisto patrimoniale sia misuratoseparatamente per le principali linee di attività moltiplicando il loromargine d’intermediazione per uno specifico coefficiente di rischiosità βi,diverso per le singole business line.
� Il Comitato richiede che tutti i ricavi operativi della banca venganoricondotti a una sola business line tra le otto indicate di Comitato diricondotti a una sola business line tra le otto indicate di Comitato diBasilea 2006.
25
L’approccio standardizzato
I valori dei coefficienti βi vanno moltiplicati per il margined’intermediazione facendo riferimento alla media degli ultimi tre anni, eanche sono stati fissati dal Comitato.
� Nell’approccio standardizzato il requisto patrimoniale relativo al rischiooperativo è pari a:
Dove MIDj,t-i indica il margine d’intermediazione della j-esima business linenell’anno t-i, mentre βj sono coefficienti indicati nella tabella.
26
L’approccio standardizzatoIl Comitato di Basilea ha previsto che le singole autorità di vigilanza nazionalipossano introdurre anche un approccio standardizzato alternativo (ASA). Inquesto approccio, il MID effetivo di due business line particolarmentevulnerabili alle distorsioni (retail banking e commercial banking) può esseresostituito da un MID convenzionale pari al 3,5% dei prestiti in essere negliultimi tre anni.� I requisti per l’adozione dell’approccio standardizzato:� I requisti per l’adozione dell’approccio standardizzato:
� Per potter utilizzare questo approccio la banca deve dimostrare che il suoconsiglio di amministrazione e il top management sono attivamentecoinvolti nella supervisione delle metodologie di gestione del rischiooperativo.
� Se la banca utilizza l’approccio standardizzato è attiva in mondointernazionale, deve comunque investire adeguatamente in sistemi interni dimisura del rischio operativo (modelli e metodologie per il controllo).
27
Managing Operational RiskEvaluation & mesure : approches
Top Down
Risk CartographyRisk Global Assessmenet
Regulatory CapitalReallocation to Business Lines
Sensitivity to risks
Bottom Up
Business Lines
operational losses
Business Linesdeclaration of
operational losses
Risk assessement based on historical data and scenarios
Calculatingregulatory capital
Risk management requirementsRegulatory capital requirements
Sophistication
28
L’approccio avanzato
Si prevede che una banca che abbia sviluppato un modello per la misuradel rischio e la determinazione del relativo capitale economico possa,subordinamente ad alcune condizioni qualitative e quantitative, utilizzarloanche per determinare il requisto patrimoniale minimo obbligatorio.
� Il Comitato lascia ogni banca di scegliere la propria metodologia.� Il Comitato lascia ogni banca di scegliere la propria metodologia.
� Il Comitato di Basilea menzionava tre possibili approcci alla stima delrischio operativo per l'approccio avanzato:
1. L’internal measurement approach - prevede che le attività dellabanca venissero segmentate in linee di business predefinite e chefosse identificata una gamma di possibili eventi rischiosi.
29
L’approccio avanzato
2. Il loss distribution approach - prevedeva che la banca stimasse. Perogni linea di business, l’intera distribuzione di probabilità delle perditee la tagliasse in corrispondenza del percentile desiderato
3. Lo scorecard approach - prevedeva che la singola bancadeterminasse il capitale complessivo allocato al rischio operativo esuccessivamente lo attribuisse alle singole business line sulla base delrelativo profilo di rischio.
30
I Condizioni per l'applicazione di standard e di
approccio AMA
Reporting
Capital management�Capital measurement� Risk Reduction (insurance)�Capital Allocation
Operational environment and internalcontrol
Losses data
Procedures & gouvernance structure
Scenarios Analysis
� Internal Losses� External Losses� Scenarios Analysis
� Key Risk Indicators� Risk Control Self Assessment
31
Il ruolo del secondo e del terzo pilastro
Il nuovo schema di adeguatezza patrimoniale proposto dal Comitato di basileasi fonda su tre pilastri: il primo stabilisce regole per il calcolo dei requistipatrimoniali, il secondo riguarda l’attività di supervisione svolta dalle autoritàdi vigilanza nazionali e il terzo mira a rafforzare l’effetto di disciplina che ilmercato esercita sulle politiche di rischio delle banche.
Minimum Capital Pillar 2 Pillar 3: Market DisciplineQuantitative approach for :� Market risk� Credit risk
Prevede gli organi di vigilanza verifichino che ogni banca abbia sviluppato un efficace sistema di misurazione e controllo dei rischi, e ponga in essere adeguate strategie per garantire la propria adeguatezza patrimoniale.
Il Comitato ha definito un set di informazioni minime che ogni banca è tenuta a rendere pubbliche al mercato.Operational risk
32
Punti critici dell’accorodo del 20041. Il rischio operativo è un rischio tipicamente idiosincratico, e non
sistemico. Di conseguenza questo rischio mette a repentaglio lasopravvivenza di singoli intermediari, ma non la stabilità complessiva delsistema.
2. Seconda critica si fonda sull’enorme difficoltà di misurare in modoadeguato e oggettivo questa tipologia di rischio.
3. Le possibili conseguenze negative di un requisito patrimoniale a fronte3. Le possibili conseguenze negative di un requisito patrimoniale a frontedel rischio operativo.
4. Gli approcci dell’indicatore base e standardizzato sono stati criticati,soprattuto per la loro logica top down, che calcola il requisitopatrimoniale partendo dal margine d’intermedazione dell’intera banca odi un’intera business line.
5. Il livello di confidenza del 99,9% prescritto negli approcci avanzati apparemolto elevato.
33
Per ulteriori approfondimenti
� Philippe Jorion (2003), Financial Risk Manager Handbook (2nd Ed.), John Wiley and Sons
� Karen A. Horcher (2005), Essentials of Financial Risk Management, John Wiley and SonsManagement, John Wiley and Sons
… oltre al libro di testo:� Resti A., Sironi A. (2008), Rischio e valore nelle banche, Egea, Milano
34
