Relazioni tra rischi operativi e Business Continuity nella visione della Vigilanza Internazionale
description
Transcript of Relazioni tra rischi operativi e Business Continuity nella visione della Vigilanza Internazionale
Direzione Sviluppo StrategicoControllo Direzionale e Risk Management
Servizio Risk Management Rischi Operativi
Basilea II e l’analisi del Rischio Operativo
Relazioni tra rischi operativi e Business Continuity nella visione della
Vigilanza Internazionale
Dott. Paolo Cruciani
2Servizio Risk Management Rischi Operativi
Il “New Capital Accord”
una inadeguata valutazione del rischio operativo può portare, secondo il Comitato di Basilea, ad un visione distorta del:
profilo di rischio complessivo della banca, redditività a livello di impresa e di aree operative requisiti patrimoniali
una inadeguata valutazione del rischio operativo può portare, secondo il Comitato di Basilea, ad un visione distorta del:
profilo di rischio complessivo della banca, redditività a livello di impresa e di aree operative requisiti patrimoniali
Conseguenza
Innovazione di prodotto e processo Disintermediazione e sviluppo dei servizi Concentrazioni bancarie Casi di perdite diverse da credito e mercato di importo
rilevante
Innovazione di prodotto e processo Disintermediazione e sviluppo dei servizi Concentrazioni bancarie Casi di perdite diverse da credito e mercato di importo
rilevante
I presupposti
3Servizio Risk Management Rischi Operativi
Previsione di un “buffer” autonomo di capitale destinato ai Rischi Operativi
ampliare il numero dei rischi regolamentati ed evitare arbitraggi normativi
migliorare i sistemi di gestione e controllo
incoraggiare tecniche di attenuazione/trasferimento del rischio
ampliare il numero dei rischi regolamentati ed evitare arbitraggi normativi
migliorare i sistemi di gestione e controllo
incoraggiare tecniche di attenuazione/trasferimento del rischio
Obiettivi
Identificazione di un autonomo coefficiente di assorbimento patrimoniale per i
Rischi Operativi
Identificazione di un autonomo coefficiente di assorbimento patrimoniale per i
Rischi Operativi
La soluzione
4Servizio Risk Management Rischi Operativi
Requisito *EIRequisito *EI
Requisito*EIRequisito*EI
Le metodologie di calcolo del coefficiente patrimoniale
Basic Approach
Standardised Approach
Attivitàd’investimento
Aree d’affari Linee dibusiness
• Finanza d’impresa
• Negoziazione
Attività bancaria
Altre attività
• Retail
• Commercial
• Servizi di pagamento
• Agenzia e Custodia
• Retal Brokerage
• Asset management
Advanced Measurement Approach
Requisitomisurazione interna Requisitomisurazione interna
Componenti del modello
•Dati interni•Dati esterni•Analisi di scenario•Fattori qualitativi
Le metodologiestandard non consentono
di apprezzare il rischio legato ad
eventi catastrofici
Le metodologiestandard non consentono
di apprezzare il rischio legato ad
eventi catastrofici
5Servizio Risk Management Rischi Operativi
PR
OB
AB
ILIT
A’
IMPATTO
Perdita attesa
Accantonamento
Assorbimento Patrimoniale
Perdita inattesa
Quest’area non può essere coperta dal
Capitale Regolamentare
EventiEstremi
L’analisi delle distribuzioni definisce il capitale regolamentare richiesto
Media Soglia di confidenza
I coefficienti patrimoniali sono basati su tecniche Attuariali
6Servizio Risk Management Rischi Operativi
Gli aspetti Organizzativi di presidio del rischio
Soluzione
necessità di introdurre strutture organizzative, strumenti e procedure specificamente dedicate alla gestione del
rischio operativo
necessità di introdurre strutture organizzative, strumenti e procedure specificamente dedicate alla gestione del
rischio operativo
RilevazioneRilevazione AssessmentAssessment Monitoraggio
Monitoraggio
Controllo eMitigazioneControllo eMitigazione
Definire un processo autonomo di Operational Risk Management che preveda le seguenti fasi:
Definire un processo autonomo di Operational Risk Management che preveda le seguenti fasi:
7Servizio Risk Management Rischi Operativi
Le indicazioni di Basilea: le “Sound Practices”
Dall’esame dei processi in essere a livello europeo è stato elaborato un Decalogo operativo destinato a:
Indirizzare le strutture di presidio del rischio nelle singole aziende,
Orientare i processi di supervisione da parte degli organi di vigilanza nazionale
Dall’esame dei processi in essere a livello europeo è stato elaborato un Decalogo operativo destinato a:
Indirizzare le strutture di presidio del rischio nelle singole aziende,
Orientare i processi di supervisione da parte degli organi di vigilanza nazionale
Conseguenza
Le aziende bancarie stanno già adottando tecniche di mitigazione dei rischi operativi
Molte di queste tecniche rispondono ottimamente agli obiettivi dell’organo di Vigilanza
Le aziende bancarie stanno già adottando tecniche di mitigazione dei rischi operativi
Molte di queste tecniche rispondono ottimamente agli obiettivi dell’organo di Vigilanza
I presupposti
8Servizio Risk Management Rischi Operativi
I dieci principi dell’Operational Risk Management
Coinvolgimento del Top Management
Auditing “indipendente” sul processo di O.R.M.
Responsabilità del Senior Management nel disegno e implementazione del Framework dell’O.R.M.
Identificazione e valutazione dei rischi operativi esistenti in tutte le attività aziendali
Implementazione del processo di monitoraggio dei rischi
Necessità di dotarsi di processi e procedure per il controllo e la mitigazione dei rischi operativi
Necessità di assicurare la Business Continuity
Controlli di Vigilanza per tutte le Banche (indipendentemente dalle dimensioni)
Valutazione periodica della qualità dei sistemi di O.R.M.
Obbligo di dare informativa al mercato sui sistemi di O.R.M.
11
22
33Ambiente
44
55
66
77
Processo
88
99
Super-visione
1010Disclosure
9Servizio Risk Management Rischi Operativi
I fatti dell’11 settembre hanno indotto una sostanziale modifica dell’articolo 7
Principle 7: Banks should have in place contingency and business continuity plans to ensure their ability to operate as going concerns and minimise losses in the event of severe business disruption.
• For reasons that may be beyond a bank’s control, a severe event may result in the inability of the bank to fulfil some or all of its business obligations, particularly where the bank’s physical, telecommunication, or information technology infrastructures have been damaged or made inaccessible. This can, in turn, result in significant financial losses to the bank, as well as broader disruptions to the financial system through channels such as the payments system. This potential requires that banks establish business resumption and contingency plans that take into account different types of plausible scenarios to which the bank may be vulnerable, commensurate with the size and complexity of the bank’s operations.
• Banks should identify critical business processes, including those where there is dependence on external vendors or other third parties, for which rapid resumption of service would be most essential. For these processes, banks should identify alternative mechanisms for resuming service in the event of an outage. Particular attention should be paid to the ability to restore electronic or physical records that are necessary for business resumption. Where such records are backed-up at an off-site facility, or where a bank’s operations must be relocated to a new site, care should be taken that these sites are at an adequate distance from the impacted operations to minimise the risk that both primary and back-up records and facilities will be unavailable simultaneously.
• Banks should periodically review their business resumption and contingency plans so that they are consistent with the bank’s current operations and business strategies. Moreover, these plans should be tested periodically to ensure that the bank will be able to execute the plans in the unlikely event of a severe business disruption.
Principle 7:
Banks should have in place contingency and business continuity plans to ensure their ability to operate as going concerns and minimise losses in the event
of severe business disruption.
Principle 7:
Banks should have in place contingency and business continuity plans to ensure their ability to operate as going concerns and minimise losses in the event
of severe business disruption.
10Servizio Risk Management Rischi Operativi
Cosa devono fare le banche
Definire gli eventi che possono interrompere significativa-mente gli affari (provocare inadempimento nelle obbligazioni assunte con i clienti)
Identificare i processi critici soggetti, direttamente o in seguito a disfunzioni che colpiscano i fornitori, al rischio di generare interruzioni del business
Definire, per questi processi, azioni preventive e piani di emergenza diretti a consentire il pronto ripristino dell’operatività
Revisionare periodicamente i propri piani di emergenza in funzione delle strategie aziendali e svolgere adeguati test per assicurare la corretta esecuzione dei piani in caso di effettiva interruzione di servizio.
11Servizio Risk Management Rischi Operativi
Quali sono le principali aree di rischio?
devono essere dotati di opportuni strumenti che garantiscano il rapido ripristino dell’operatività
Sistemi IT:
sono necessari adeguati sistemi di back up Dati:
devono essere previste misure preventive e piani di contingency in caso di perdita di personale chiave
Persone:
i processi critici devono essere dotati di modalità alternative di svolgimento in caso di evento catastrofico
Processi:
occorre limitare la dipendenza da singoli fornitori e monitorare le misure preventive adottate da quelli più critici
Fornitori: