La gestione dei rischi operativi nelle banche – focus sugli intermediari minori e possibili approcci operativi (a cura di Stefano Tezzon)


Le regole di gestione dei rischi operativi.

Il fenomeno dei rischi operativi è da anni oggetto di attenzione negli istituti finanziari (ma non solo in essi), a causa della crescente esposizione a tale tipologia di rischi dovuta a molteplici fattori fortemente eterogenei tra di loro1.

Tali fattori trovano origine nella crescente complessità della gestione dell’intermediario, nel maggiore utilizzo di tecnologie informatiche con aumento dei rischi legati ad interruzioni o guasti di sistema e alle frodi di natura informatica; nelle ormai frequenti operazioni straordinarie d’azienda dalle quali conseguono i problemi di integrazione tra sistemi informativi utilizzati; nella complessa gestione delle risorse umane, nella crescente competitività dei mercati e nella stressante ricerca di un giusto equilibrio tra complessità organizzativa e costi di esercizio.

Quelli appena citati sono solo alcuni dei driver ipotetici che alimentano il verificarsi di eventi di perdita, ma nella realtà è necessario conoscere approfonditamente l’impresa, il settore in cui opera e il proprio modello di business per avere una percezione dei rischi operativi insiti nell’agire aziendale

Le regole stabilite da Basilea II, e le successive attività di recepimento da parte della Banca d’Italia, disegnano oggi un framework normativo con forti richiami al principio di proporzionalità.

In funzione di tale principio le nuove disposizioni di vigilanza prudenziale utilizzano un impianto modulare che tiene conto della classe di appartenenza delle banche, prevedendo metodologie di calcolo dei requisiti patrimoniali sempre più complessi all’aumentare della classe di appartenenza.

La normativa individua tre classi di appartenenza “…che identificano, in linea di massima, banche di diverse dimensioni e complessità operativa…”2.

Come noto, per le banche di classe 3°, e quindi per quelle strutture che presentano un moderato livello di dimensionamento e di complessità operativa, la determinazione del requisito patrimoniale a fronte dei rischi operativi assunti può essere effettuata mediante metodi base, e con particolare riferimento ai rischi operativi, attraverso l’utilizzo del Basic indicator approach.

Tale approccio presenta notevoli vantaggi in termini gestionali basandosi su un indicatore rilevante di immediata disponibilità quale il margine di intermediazione.

La quantificazione di tale tipologia di rischio quindi si risolve nell’applicare un coefficiente regolamentare (pari al 15%) alla media dei valori positivi delle ultime tre osservazioni (su base annuale) dell’indicatore rilevante.

Più complesso è invece la quantificazione del rischio operativo nelle banche che utilizzano il metodo standardizzato o i metodi avanzati (AMA), che non è possibile approfondire in questa sede, e per i quali sono determinate specifiche soglie di accesso di natura dimensionale per il loro utilizzo, e specifici requisiti di natura organizzativa quali la struttura del sistema di controllo interno (di seguito anche SCI) e il processo di gestione dei rischi.

La gestione quantitativa e quella qualitativa dei rischi operativi

Si osserva come nelle banche rientranti in classe III°, se da un punto di vista quantitativo la valutazione dei rischi di natura operativa si basa su una proiezione standardizzata e correlata al volume d’affari dell’azienda, da un punto di vista qualitativo tale valutazione può assumere diversi gradi e profondità di analisi.

Occorre anche osservare che agli intermediari sempre di più è richiesta una gestione attiva dei rischi, volta a non subire gli effetti del verificarsi di questi, ma dovendo puntare invece ad istituire le opportune politiche di valutazione e di gestione, cominciando dal dimensionamento di parametri che l’organo di supervisione strategica deve fissare e che attengono al livello di propensione al rischio del management (risk appetite) e il grado di esternalizzazione o mitigazione del rischio (risk response).

Come anticipato, a seguito della crescente rilevanza del rischio operativo nell’attività bancaria, risulta estremamente importante che la valutazione di tale tipologia di rischio, e la sua conseguente gestione, oltre ad avere riflessi “quantitativi”, si concentri anche sul sistema di controllo interno attraverso un approccio di natura “qualitativa” frutto di giudizi professionali soggettivi del management.

Pertanto, oltre alle già dette valutazioni quantitative necessarie a stabilire il “quantum” ai fini del patrimonio di vigilanza, gli intermediari devono istituire un sistema di controllo interno capace di esercitare azioni mitigative nei confronti dei rischi, anche di natura operativa.

Alla mitigazione dei rischi operativi infatti concorre principalmente il disegno ed il corretto funzionamento del sistema di controllo interno; sistema che comincia ad operare già nelle fasi di puntuale e sistematica individuazione dei rischi operativi.

Le analisi volte all’individuazione nel continuo dei rischi operativi, alla rilevazione del sistema di controllo interno, alla valutazione dei rischi operativi in funzione degli effetti mitigativi del SCI, e infine le relative retroazioni costituiscono uno degli assi portanti del più complesso processo di gestione del rischio e delle conseguenti attività volte alla produzione della rendicontazione ICAAP.

Gli approcci metodologici sono tendenzialmente quelli di risk assessment (RS), di risk self assessment (RSA), di risk and control assessment (RCA) e infine di risk and control self assessment (CRSA).

Queste rappresentano metodologie di individuazione e valutazione indicate per la gestione dei rischi operativi con un crescente grado di complessità che culmina nel CRSA.

Tale metodologia si fonda sull’analisi dei rischi inerenti, nella rilevazione del sistema di controllo interno, e nella valutazione del rischio residuo, il tutto in collaborazione con i diversi owner di processo.

Non può escludersi il fatto che l’esperienza e la conoscenza del business di chi vive in prima linea l’azienda è sicuramente un bagaglio informativo decisamente importante e significativo per valutare, e conseguentemente gestire, i rischi operativi. Questo a prescindere dalla possibilità da parte dell’organizzazione e dei sistemi informativi interni di immagazzinare più o meno puntualmente le conseguenze in termini economici e gestionali dell’accadimento di eventi di perdita che trovano il proprio driver nei rischi operativi.

Ma i rischi operativi non sono facili da “ingabbiare”, e le problematiche legate alla loro gestione sono molte, diverse, e per certi versi indipendenti dalla classe di appartenenza dell’intermediario (esistono rischi operativi tanto negli intermediari di più ampie dimensioni quanto in quelli di minore e anzi, alcuni di questi sono maggiormente frequenti in quelli di ridotte dimensioni – si pensi al rischio di outsourcing)

Il raggio d’azione dei rischi operativi quindi è di vasta portata, insistendo su tutti i processi aziendali e su tutte le strutture di una banca, nonché sullo spettro dei prodotti offerti.

Inoltre i fattori di rischio (risk driver) che possono comportare eventi di perdita (event type) sono molti, di diversa natura e di non facile catalogazione; basta riflettere sulle molteplici problematiche che su uno stesso processo aziendale potrebbero innescarsi e che potrebbero correlarsi a fattori di rischio estremamente variegati (risorse umane, fattori tecnologici, scarsa integrazione tra strutture, inadeguato livello di formalizzazione dei processi, eventi esogeni ecc.).

Queste caratteristiche rendono la gestione del rischio operativo di notevole complessità e di non facile inquadramento. Occorre pertanto conoscere con puntualità il business dell’intermediario, la struttura organizzativa, il sistema di controllo, il contesto di riferimento e molti altri dati ancora per poter con precisione individuare gli eventi potenziali di perdita e fornirne una valutazione in termini di probabilità di accadimento ed impatto.

Con riferimento al sistema di controllo interno e alla sua strutturazione, che negli intermediari segue l’impostazione basata su controlli di linea, di II° e III° livello, occorre osservare che sono proprio le azioni mitigative esercitate da tale sistema a lavorare per l’abbattimento dell’impatto e della probabilità di accadimento degli eventi di perdita.

La possibile gestione dei rischi operativi in un intermediario di classe III°.

Come per le altre tipologie di rischio, anche negli intermediari di classe III° i rischi operativi possono essere gestiti attraverso uno specifico processo che preveda determinati flussi di reporting e determinate retroazioni.

Tale processo costituirà un asse portante del più ampio sistema di controllo interno e delle politiche di gestione dei rischi.

Partendo dall’individuazione della struttura organizzativa e dalla rilevazione di un albero dei processi attraverso cui si sviluppa l’intero business aziendale, svolgendo poi le tipiche tecniche di analisi di processo, si arriva alla rilevazione dei rischi e dei controlli correlati alle diverse fasi attraverso cui i processi si sviluppano. Questo dovrà essere svolto in collaborazione con i diversi owner individuati.

L’output finale di tale processo, che prende vita dalla tipica metodologia di CRSA, è la rappresentazione di tutti i diversi processi aziendali e del loro grado di esposizione ai rischi di natura operativa.

Le fasi attraverso cui si sviluppa il CRSA sono:

1. mappatura dei processi aziendali e dei rischi potenziali in collaborazione con ogni singolo owner di processo al fine di pervenire ad una matrice dei rischi per singolo processo3;

2. rilevazione del sistema di controllo per ogni processo mappato al fine di pervenire ad una matrice dei controlli per singolo processo;

3. analisi della matrice rischi/controlli e strutturazione degli effetti mitigativi esercitati dal sistema di controllo rispetto ai rischi potenziali individuati (analisi di mitigazione);

4. valutazione qualitativa dei rischi individuati in termini di impatto e probabilità, e relativa assegnazione di un ranking riconducibile a diverse classi di valore (risk score);

5. reporting e costituzione dei cruscotti direzionali;

3 I rischi potenziali vengono individuati e ricompresi in determinate classi di appartenenza. Questa fase può essere supportata da appositi modelli di rischio (c.d. risk model) che guidano gli utilizzatori verso una maggiore accuratezza nell’idividuare gli event type generatori di perdita.

6. monitoraggio periodico del processo.

Cosi’ come per l’individuazione dei rischi, anche la rilevazione del sistema di controllo deve tener conto della natura del controllo stesso (di linea, di secondo o anche di terzo livello) sia della sua strutturazione(in termini di disegno e corretta applicazione).

Ne deriva che il CRSA abbia una natura ciclica, dovendo ripercorrersi periodicamente proprio perche si basa sui processi aziendali (che per loro natura non sono statici ma dinamici in funzione del business, della regolamentazione ecc.) e sul sistema di controllo interno (di cui occorre valutare nel continuo lo “stato di salute”).

Le mappature de processi aziendali si basano sull’analisi delle diverse fasi attraverso cui si sviluppano. Per ogni fase vengono individuati gli input di partenza, e vengono analizzate le diverse attività attraverso cui vengono prodotti uno o più output.

In corrispondenza di ogni fase di processo, sono elencati e brevemente descritti i rischi che potenzialmente insistono sulla fase, e i controlli rilevati.

I rischi individuati in questa parte della mappatura sono rilevati a livello potenziale e non tengono conto dei controlli che presidiano e che insistono su tali rischi.

Solo dopo la costituzione delle mappature di processo è possibile effettuare la valutazione degli effetti mitigativi del SCI.

In corrispondenza di ogni rischio potenziale descritto, si indicano i controlli tracciati nelle varie fasi del processo che possono esercitare effetti mitigativi su quel rischio.

A questo punto può eseguirsi in collaborazione con gli owner di processo la valutazione del rischio attraverso la formulazione di un Risk Score sintetico. Anche in questo caso la valutazione dei rischi è effettuata in linea con le impostazioni metodologiche comunemente conosciute che si basano su i due fattori di impatto e probabilità, e per i quali possono costituirsi apposite scale di valori.

Sotto questo aspetto sarà importante capire la quantità di dati a disposizione, la loro natura e la loro accuratezza. Quanto più ricco e articolato è tale “magazzino dati”, tanto più accurata potrà essere la costruzione delle scale dei fattori di impatto e di probabilità, che potranno anche ancorarsi a valori economici (come le soglie di perdita registrate) o gestionali (coma le frequenza di accadimento).

Infine la costituzione di un adeguato sistema di reporting è importante per valorizzare l’intero processo di CRSA, rappresentando per altro l’input di altri importanti processi aziendali, quali:

  • il processo di audit per le formulazioni dei relativi piani in ottica risk based e come base di partenza per audit di conformità operativa (compliance audit) o di processo (operational audit).

  • il processo della compliance, per la valutazione del rischio di non conformità nei diversi processi aziendali.

  • il processo di risk management, per la valutazione degli impatti in termini di assorbimento di capitale e per le relative azioni di mitigazione/copertura.

  • il processo ICAAP;

  • il processo regolamentare interno.

Sarà importante infine stabilire i destinatari del reporting modulando questo in funzione delle diverse esigenze.

Tendenzialmente i report di CRSA saranno maggiormente dettagliati per le strutture operative e sintetici per l’alta direzioni e gli organi di governo societario.

1 La regolamentazione di vigilanza definisce il rischio operativo come il rischio di perdite derivanti da disfunzioni a livello di procedure, personale e sistemi interni, oppure da eventi esogeni. Tale definizione include il rischio di non conformità alle norme (compliance) ed esclude il rischio strategico e reputazionale. 2 Cfr. Circolare n. 263 del 27 dicembre 2006, nuove disposizioni di vigilanza prudenziale per le banche.

Fonti bibliografiche:

  • Prassi corrette per la gestione del rischio operativo, febbraio 2003, Comitato di Basilea per la vigilanza bancaria.

  • Internal auditing chiave per la corporate governance, Carolyn A. Dittmeier, ed. EGEA 2007.

  • La misurazione del rischio operativo nelle banche, di Simona Cosma, Bancaria editrice ed. 2008.