Direzione Sviluppo StrategicoControllo Direzionale e Risk Management

Servizio Risk Management Rischi Operativi

Basilea II e l’analisi del Rischio Operativo

Relazioni tra rischi operativi e Business Continuity nella visione della

Vigilanza Internazionale

Dott. Paolo Cruciani

2Servizio Risk Management Rischi Operativi

Il “New Capital Accord”

una inadeguata valutazione del rischio operativo può portare, secondo il Comitato di Basilea, ad un visione distorta del:

profilo di rischio complessivo della banca, redditività a livello di impresa e di aree operative requisiti patrimoniali

una inadeguata valutazione del rischio operativo può portare, secondo il Comitato di Basilea, ad un visione distorta del:

profilo di rischio complessivo della banca, redditività a livello di impresa e di aree operative requisiti patrimoniali

Conseguenza

Innovazione di prodotto e processo Disintermediazione e sviluppo dei servizi Concentrazioni bancarie Casi di perdite diverse da credito e mercato di importo

rilevante

Innovazione di prodotto e processo Disintermediazione e sviluppo dei servizi Concentrazioni bancarie Casi di perdite diverse da credito e mercato di importo

rilevante

I presupposti

3Servizio Risk Management Rischi Operativi

Previsione di un “buffer” autonomo di capitale destinato ai Rischi Operativi

ampliare il numero dei rischi regolamentati ed evitare arbitraggi normativi

migliorare i sistemi di gestione e controllo

incoraggiare tecniche di attenuazione/trasferimento del rischio

ampliare il numero dei rischi regolamentati ed evitare arbitraggi normativi

migliorare i sistemi di gestione e controllo

incoraggiare tecniche di attenuazione/trasferimento del rischio

Obiettivi

Identificazione di un autonomo coefficiente di assorbimento patrimoniale per i

Rischi Operativi

Identificazione di un autonomo coefficiente di assorbimento patrimoniale per i

Rischi Operativi

La soluzione

4Servizio Risk Management Rischi Operativi

Requisito *EIRequisito *EI

Requisito*EIRequisito*EI

Le metodologie di calcolo del coefficiente patrimoniale

Basic Approach

Standardised Approach

Attivitàd’investimento

Aree d’affari Linee dibusiness

• Finanza d’impresa

• Negoziazione

Attività bancaria

Altre attività

• Retail

• Commercial

• Servizi di pagamento

• Agenzia e Custodia

• Retal Brokerage

• Asset management

Advanced Measurement Approach

Requisitomisurazione interna Requisitomisurazione interna

Componenti del modello

•Dati interni•Dati esterni•Analisi di scenario•Fattori qualitativi

Le metodologiestandard non consentono

di apprezzare il rischio legato ad

eventi catastrofici

Le metodologiestandard non consentono

di apprezzare il rischio legato ad

eventi catastrofici

5Servizio Risk Management Rischi Operativi

PR

OB

AB

ILIT

A’

IMPATTO

Perdita attesa

Accantonamento

Assorbimento Patrimoniale

Perdita inattesa

Quest’area non può essere coperta dal

Capitale Regolamentare

EventiEstremi

L’analisi delle distribuzioni definisce il capitale regolamentare richiesto

Media Soglia di confidenza

I coefficienti patrimoniali sono basati su tecniche Attuariali

6Servizio Risk Management Rischi Operativi

Gli aspetti Organizzativi di presidio del rischio

Soluzione

necessità di introdurre strutture organizzative, strumenti e procedure specificamente dedicate alla gestione del

rischio operativo

necessità di introdurre strutture organizzative, strumenti e procedure specificamente dedicate alla gestione del

rischio operativo

RilevazioneRilevazione AssessmentAssessment Monitoraggio

Monitoraggio

Controllo eMitigazioneControllo eMitigazione

Definire un processo autonomo di Operational Risk Management che preveda le seguenti fasi:

Definire un processo autonomo di Operational Risk Management che preveda le seguenti fasi:

7Servizio Risk Management Rischi Operativi

Le indicazioni di Basilea: le “Sound Practices”

Dall’esame dei processi in essere a livello europeo è stato elaborato un Decalogo operativo destinato a:

Indirizzare le strutture di presidio del rischio nelle singole aziende,

Orientare i processi di supervisione da parte degli organi di vigilanza nazionale

Dall’esame dei processi in essere a livello europeo è stato elaborato un Decalogo operativo destinato a:

Indirizzare le strutture di presidio del rischio nelle singole aziende,

Orientare i processi di supervisione da parte degli organi di vigilanza nazionale

Conseguenza

Le aziende bancarie stanno già adottando tecniche di mitigazione dei rischi operativi

Molte di queste tecniche rispondono ottimamente agli obiettivi dell’organo di Vigilanza

Le aziende bancarie stanno già adottando tecniche di mitigazione dei rischi operativi

Molte di queste tecniche rispondono ottimamente agli obiettivi dell’organo di Vigilanza

I presupposti

8Servizio Risk Management Rischi Operativi

I dieci principi dell’Operational Risk Management

Coinvolgimento del Top Management

Auditing “indipendente” sul processo di O.R.M.

Responsabilità del Senior Management nel disegno e implementazione del Framework dell’O.R.M.

Identificazione e valutazione dei rischi operativi esistenti in tutte le attività aziendali

Implementazione del processo di monitoraggio dei rischi

Necessità di dotarsi di processi e procedure per il controllo e la mitigazione dei rischi operativi

Necessità di assicurare la Business Continuity

Controlli di Vigilanza per tutte le Banche (indipendentemente dalle dimensioni)

Valutazione periodica della qualità dei sistemi di O.R.M.

Obbligo di dare informativa al mercato sui sistemi di O.R.M.

11

22

33Ambiente

44

55

66

77

Processo

88

99

Super-visione

1010Disclosure

9Servizio Risk Management Rischi Operativi

I fatti dell’11 settembre hanno indotto una sostanziale modifica dell’articolo 7

Principle 7: Banks should have in place contingency and business continuity plans to ensure their ability to operate as going concerns and minimise losses in the event of severe business disruption.

• For reasons that may be beyond a bank’s control, a severe event may result in the inability of the bank to fulfil some or all of its business obligations, particularly where the bank’s physical, telecommunication, or information technology infrastructures have been damaged or made inaccessible. This can, in turn, result in significant financial losses to the bank, as well as broader disruptions to the financial system through channels such as the payments system. This potential requires that banks establish business resumption and contingency plans that take into account different types of plausible scenarios to which the bank may be vulnerable, commensurate with the size and complexity of the bank’s operations.

• Banks should identify critical business processes, including those where there is dependence on external vendors or other third parties, for which rapid resumption of service would be most essential. For these processes, banks should identify alternative mechanisms for resuming service in the event of an outage. Particular attention should be paid to the ability to restore electronic or physical records that are necessary for business resumption. Where such records are backed-up at an off-site facility, or where a bank’s operations must be relocated to a new site, care should be taken that these sites are at an adequate distance from the impacted operations to minimise the risk that both primary and back-up records and facilities will be unavailable simultaneously.

• Banks should periodically review their business resumption and contingency plans so that they are consistent with the bank’s current operations and business strategies. Moreover, these plans should be tested periodically to ensure that the bank will be able to execute the plans in the unlikely event of a severe business disruption.

Principle 7:

Banks should have in place contingency and business continuity plans to ensure their ability to operate as going concerns and minimise losses in the event

of severe business disruption.

Principle 7:

Banks should have in place contingency and business continuity plans to ensure their ability to operate as going concerns and minimise losses in the event

of severe business disruption.

10Servizio Risk Management Rischi Operativi

Cosa devono fare le banche

Definire gli eventi che possono interrompere significativa-mente gli affari (provocare inadempimento nelle obbligazioni assunte con i clienti)

Identificare i processi critici soggetti, direttamente o in seguito a disfunzioni che colpiscano i fornitori, al rischio di generare interruzioni del business

Definire, per questi processi, azioni preventive e piani di emergenza diretti a consentire il pronto ripristino dell’operatività

Revisionare periodicamente i propri piani di emergenza in funzione delle strategie aziendali e svolgere adeguati test per assicurare la corretta esecuzione dei piani in caso di effettiva interruzione di servizio.

11Servizio Risk Management Rischi Operativi

Quali sono le principali aree di rischio?

devono essere dotati di opportuni strumenti che garantiscano il rapido ripristino dell’operatività

Sistemi IT:

sono necessari adeguati sistemi di back up Dati:

devono essere previste misure preventive e piani di contingency in caso di perdita di personale chiave

Persone:

i processi critici devono essere dotati di modalità alternative di svolgimento in caso di evento catastrofico

Processi:

occorre limitare la dipendenza da singoli fornitori e monitorare le misure preventive adottate da quelli più critici

Fornitori: