Come noto è proprio nel contesto di Basilea 2 di regolamentazione internazionale dell’attività bancaria che si introduce il concetto di “rischio operativo”.
L’accordo di Basilea sui rischi operativi ha introdotto un vero e proprio “modello di gestione” in materia, in quanto coinvolge in modo integrato tutti gli aspetti critici degli impatti dei rischi operativi sull’ efficienza organizzativa ed evoluzione della Banca.
Ma che cos’è il rischio operativo? Può essere definito come il rischio di perdite derivanti da disfunzioni a livello di procedure, personale e sistemi interni, oppure da eventi esogeni.
La definizione di rischio operativo descritta sopra include il rischio legale, ma esclude quello strategico e di reputazione.
In ogni caso il rischio strategico e di reputazione sono trattati fra i cosiddetti rischi di II° pilastro dell’accordo di Basilea e quindi sempre nell’ambito della vigilanza prudenziale delle Banche.
Ma entriamo nel dettaglio della definizione di rischio operativo, descrivendone alcune caratteristiche salienti.
- È il rischio che si corre nello svolgimento di qualunque attività,
- È sempre esistito nelle Banche,
- È un rischio trasversale su tutte le attività,
- Per le sue caratteristiche può generare anche singoli eventi con elevato impatto,
- Fondamentale è il corretto censimento e la corretta classificazione di tutti gli eventi di rischio operativo.
Si tratta quindi di un rischio insito nell’attività operativa della banca e può riguardare a titolo esemplificativo casistiche quali:
- errori nello svolgimento delle mansioni operative,
- mancato rispetto di normative in vigore (interne e/o esterne),
- inadeguata configurazione di processi e procedure,
- malfunzionamento dei sistemi informatici,
- danni causati da fattori e agenti esterni (frodi, rapine, atti vandalici, eventi atmosferici,
- ).
La Classificazione e categorizzazione che l’accordo di Basilea propone per gli eventi di perdita legati al rischio di natura operativa è a un primo livello così costituita:
- Frode Interna
- Frode Esterna
- Rapporto di impiego e sicurezza del lavoro
- Clienti, Prodotti e Pratiche di Business
- Danni a beni materiali
- Interruzioni nell’operatività e disfunzioni dei sistemi informatici
- Esecuzione, Consegna e Gestione Processo
La normativa di Basilea classifica gli eventi di perdita fino al II° livello di dettaglio; le banche possono peraltro poi definire gli “Event type” delle perdite operative anche a livelli più dettagliati e associare a ciascuno di essi delle specifiche anagrafiche di rischio aziendale.
E’ fondamentale per le Banche monitorare e minimizzare il rischio operativo, in quanto può generare anche singoli eventi con elevato impatto sia economico che operativo, il cui rischio di verificarsi va minimizzato attraverso opportune azioni di mitigazione.
Si pensi ad esempio a casi accaduti di frode manageriale, di frodi compiute da dipendenti su portafogli di prodotti finanziari che hanno condotto al dissesto di istituzioni finanziarie, di contenziosi legali/fiscali per mancato rispetto delle normative ecc.
Quando parliamo di rischio operativo, dunque introduciamo anche il concetto di perdita operativa.
Ma che cosa sono le perdite operative?:
- Sono gli effetti economici negativi, che derivano da eventi di natura operativa, rilevati nella contabilità aziendale e che hanno anche un impatto sul conto economico dell’azienda.
- Sono quindi perdite che si verificano al conclamarsi di un evento di rischio operativo nella Banca.
Il monitoraggio e misurazione dei rischi operativi nelle banche avviene attraverso due fondamentali processi di risk management ovvero:
- Il Risk Self Assessment che è finalizzato all’individuazione e valutazione dei rischi operativi rilevanti per la Banca, in ottica probabilistica e forward looking (ovvero prospettica) ed è condotto attraverso l’esecuzione di interviste di valutazione con il management aziendale responsabile dei processi di business e di supporto.
- Il Data Loss Collection che con ottica storica ha come obiettivo:
- individuare gli eventi di natura operativa che generano perdite economiche o accantonamenti;
- classificare gli eventi di perdita operativa secondo dei criteri standard per garantire la riconducibilità dei dati interni;
- archiviare e catalogare le singole perdite ricostruendo l’intera evoluzione storica dell’evento partendo dall’accadimento fino al censimento dei singoli movimenti contabili di perdita e recupero.
I due processi di risk management, di cui sopra, prendono dunque in considerazione la misurazione e analisi del livello di rischio operativo della banca, rispettivamente nella visione prospettica e storica.
A fronte del livello di misurazione del rischio operativo effettuata le banche (secondo modelli di calcolo definiti dall’accordo di Basilea) accantonano capitale per fronteggiare le future perdite operative.
Il modello per gestire il rischio operativo implementato dalle Banche deve soddisfare allo stesso tempo i requisiti posti dall’accordo di Basilea e gli obiettivi e linee guida del Management su come deve essere gestita l’organizzazione del cosiddetto ORM (Operational Risk Management), in termini di ruoli, di processi e procedure.
Fondamentale, in tal senso, da parte dell’organizzazione della Banca effettuare una mappatura dei rischi operativi collegata ai processi aziendali, che a partire dalla classificazione degli event type di rischio operativo proposta dall’accordo di Basilea, tenga anche conto dei seguenti aspetti:
- Valutazione dei fattori di rischio
- Rilevazione degli eventi di perdita
- Valorizzazione economica delle attività
- Pianificazione delle azioni e controlli mitigatrici del rischio.
Il corretto censimento e la corretta classificazione di tutti gli eventi di rischio accaduti e delle relative perdite (processo di Loss data Collection/Raccolta perdite operative) è la premessa dunque, per un corretto svolgimento delle conseguenti pianificazioni/realizzazioni degli interventi utili a migliorare i processi di lavoro e a minimizzarne la probabilità del verificarsi degli eventi di rischio operativo in banca.
Il processo di gestione dei rischi operativi deve essere supportato e agevolato da strumenti informatici, che permettano in modo sistematico l’analisi e misurazione qualitativa e quantitativa dei rischi attuali e futuri (vedi processo self risk assessment e data loss collection di cui sopra), attraverso la costruzione anche di un data base centralizzato delle informazioni sugli eventi di rischio operativo.
Fondamentale è anche da parte del servizio di risk management della banca il reporting, dei risultati delle analisi e misurazioni del livello di rischio operativo, verso il top management e il CDA, che devono essere costantemente aggiornati e resi consapevoli sul livello di rischio riscontrato nella banca, anche ai fini dell’adozione delle opportune misure di mitigazione del rischio.
L’obiettivo finale è dunque consentire, nelle banche di tutte le tipologie e dimensioni, una gestione proattiva ed efficace dei rischi operativi, che consenta di minimizzare le perdite operative per tali eventi oltre che di rispettare le normative bancarie in materia.
Related Posts:
