OPERATIONAL RISK MANAGEMENT
Transcript
OPERATIONAL RISK MANAGEMENT
OPERATIONAL RISK MANAGEMENT GIULIO MIGNOLA Resp. Rischi Operativi Sanpaolo IMI SpA La presentazione è stata realizzata da San Paolo IMI ed è riservata esclusivamente ai soci CeTIF. La riproduzione e la diffusione anche parziale della stessa non è pertanto consentita se non previa autorizzazione. Milano, 13 ottobre 2006 ORM UNIT di Gruppo Introduzione 1 Le maggiori cause di dissesto nel sistema finanziario internazionale risiedono in rischi di carattere operativo, legati quindi al funzionamento delle attività aziendali, quali ad esempio rischi di perdite derivanti da : – frodi, – violazione dei sistemi, rapine, – non rispetto di conformità a norme e regolamenti, – comportamenti di business scorretti, – eventi naturali o sociali eccezionali, ecc. ORM UNIT di Gruppo Introduzione 2 Si tratta di episodi direttamente collegati ai diversi processi aziendali, all’assunzione di decisioni, all’allentamento di regole proprie della cultura aziendale e delle prassi operative. Le conseguenze degli eventi di natura operativa possono, oltre al semplice onere di conto economico, intaccare componenti immateriali del bilancio altrettanto rilevanti, come ad esempio la reputazione, il marchio o l’identità aziendali. ORM UNIT di Gruppo Definizione di Rischio Operativo La normativa di Basilea II definisce come rischio operativo: “Il rischio di perdite derivanti da disfunzioni a livello di procedure e sistemi interni, errori umani oppure da eventi esogeni.” Nell’accezione regolamentare tale definizione include il rischio giuridico ma esclude il rischio di reputazione e quello strategico. ORM UNIT di Gruppo Qual’è il valore aggiunto di una gestione strutturata del Rischio Operativo ? Le istituzioni finanziarie sono da sempre soggette al rischio operativo nello svolgimento del proprio business … … ma solo recentemente hanno cominciato a sviluppare un approccio standardizzato per la sua quantificazione ed hanno individuato formalmente una nuova specializzazione (Operational Risk Management) per la sua gestione Ma perché si è creata la necessità di avere dei gestori di rischio operativo proprio ora? Qual’è il valore aggiunto di questa nuova funzione aziendale ? Quali i benefici di questa nuova disciplina ? ORM UNIT di Gruppo Perché le Formula 1 hanno freni efficenti ? Per farle andare piano ? ORM UNIT di Gruppo Perché le Formula 1 hanno freni efficenti ? Per farle andare veloci e vincere ! ORM UNIT di Gruppo … i freni sono necessari, ma sono sufficienti? Che altro è necessario ? Piloti esperti Tachimetro, contagiri …. Conoscenza della pista e …. Roll bar Casco Tuta ignifuga …. ORM UNIT di Gruppo Quello che è mancato …. Per molto tempo le istituzioni finanziarie hanno assunto (consapevolmente ?) considerevoli esposizioni ai rischi operativi senza disporre di un processo strutturato per la loro misurazione e gestione Anche disponendo di “buoni piloti” l’informazione disponibile non era sufficiente per sapere cosa ci fosse dietro la prossima curva. Troppo spesso ci si è trovati di fronte a spiacevoli sorprese ORM UNIT di Gruppo … ha provocato … (con risonanza sulla stampa) Barings Bank (Frode interna) Cirio/Parmalat (collocamento titoli “aggressivo”) Enron (falso in bilancio) Sistema finanziario internazionale Continental Bank (rischio reputazionale) LCTM Errori di modello ORM UNIT di Gruppo Che cosa è cambiato ? L’ Operational Risk Management è stato istituito come disciplina formale per gestire questo tipo di problematiche … Operational Market Credit Risk Management … andando ad aggiungersi ed a completare le discipline del market e del credit risk management (come recepito dal nuovo accordo di Basilea sul capitale) ORM UNIT di Gruppo Perché è necessario l’Operational Risk Management proprio adesso I maggiori fattori di dissesto nel sistema finanziario sono legati a failures nella qualità delle “Operations” (frodi, attività non autorizzate, non compliance con regolamenti e norme, ecc.) L’evoluzione delle istituzioni finanziarie ha portato a Aumento della complessità dei mercati Aumento della dimensione delle Istituzioni (aggregazioni) Introduzione di nuove tecnologie, complesse e critiche per lo svolgimento del business Ambiente sempre più competitivo: dove timing e costi diventano fattori cruciali “per stare sul mercato” La presenza di fenomeni generalizzati di aggregazione ha un forte effetto di attenuazione dell’identità aziendale – fattore critico per la qualità delle “Operations” ORM UNIT di Gruppo Motivazioni per la realizzazione di un sistema di ORM Dal punto di vista della tutela del patrimonio aziendale, la gestione del Rischio Operativo diventa un’esigenza critica per la salvaguardia della continuità operativa e della catena di produzione del valore delle diverse Business Units Dal punto di vista regolamentare il Nuovo Accordo di Basilea recepisce queste esigenze, le norma in requisiti minimi di Capitale e in “Sound Practices” di gestione, consentendo l’utilizzo di metodologie di gestione sofisticate che possono comportare anche una riduzione del requisito patrimoniale ORM UNIT di Gruppo Operational risk Management e creazione di valore per il top management Struttura di governance con ruoli e responsabilità ben definiti e chiara identificazione dei “risk owners” Compresione delle esposizioni ai singoli rischi Comprensione dell’esposizione complessiva al rischio (company wide) Determinazione del profilo rischio / rendimento corretta e completa Possibilità di stabilire chiari ed espliciti livelli di tolleranza al rischio Maggior efficacia nella risposta a situazioni di crisi (con consapevolezza dell’impatto sul profilo di rischio complessivo) ORM UNIT di Gruppo … e effetti sul valore dell’azienda Valutazione delle società di rating Costo del capitale Risparmio di capitale economico Ottimizzazione del valore per gli azionisti ORM UNIT di Gruppo L’approccio Sanpaolo IMI ORM UNIT di Gruppo L’approccio Sanpaolo IMI • Il Gruppo Sanpaolo IMI, coerentemente con la propria costante politica di allineamento alla best practice internazionale in tema di Risk Management, ha intrapreso negli ultimi anni una generale ed approfondita attività di affinamento dei modelli interni di misurazione dei rischi volta ad ottenere: un sistema di determinazione del capitale economico con risultati coerenti con il profilo di rischio effettivo un impianto organizzativo e metodologico volto all’allineamento al dettato della Nuova Normativa sul Capitale di Basilea 2 secondo i metodi avanzati AMA • In particolare il Gruppo, sulla scorta della crescente importanza degli eventi di tipo operativo verificatasi a livello internazionale, ha rivolto alla categoria dei Rischi Operativi particolare attenzione e ne ha fatto oggetto di specifici studi ed analisi i cui risultati hanno consentito l’avvio di un progetto dedicato avente per obiettivo: “… lo sviluppo di un sistema integrato di gestione degli Operational Risk coerente con le strategie di Governance del Gruppo ed in linea con le indicazioni della Normativa.” ORM UNIT di Gruppo Il Framework della gestione dei rischi operativi nel Gruppo Sanpaolo Governance: definizione e impianto dei processi aziendali di misurazione, monitoraggio e gestione dei Rischi Operativi Risk Self Assessment Processi di Misurazione Stime Soggettive Loss Data Loss Data Collection Integrazion e Bayesiana CaR Analisi Quantitativ a Aree di Business Quantitativa CaR Processi decentrati Analisi Risk Management Strumenti Metodologie Metodologie di misurazione Indicazioni gestionali Assessment della rischiosità del contesto operativo Infrastruttura IT: gestione ed implementazione degli strumenti e supporti tecnologici per la misurazione dei Rischi Operativi ORM UNIT di Gruppo Normativa interna e governance Il Gruppo Sanpaolo IMI ha definito la governance dei rischi operativi attraverso l’individuazione di precise linee di intervento: Definizione di una policy di Gruppo normata da un Regolamento di gestione dei rischi operativi (approvato dal CdA della Capogruppo e di tutte le società controllate); Individuazione di un modello organizzativo accentratodecentrato di presidio dei rischi operativi attuato attraverso i processi di misurazione, gestione e monitoraggio e costituito dalla seguente articolazione: Consiglio di Amministrazione Comitato Rischi Operativi ORM Unit di Gruppo ORM Decentrati Referenti ORM UNIT di Gruppo Architettura Organizzativa CONSIGLIO DI C.E. / Comitato tecnico Audit AMMINISTRAZIONE Direzione Audit COMITATO RISCHI OPERATIVI ORM Unit di Gruppo ORM Decentrati Dir Retail e Private ORM Decentrati Direzione Imprese ORM Decentrato Direzione … Referente Soc. .. ORM Decentrato Società … (per Soc. più significative) Referente Funz. … Referente Area … Referente Banca Rete… Referente Area Estera… Referente Funz. … Referente Funz. … Referente Funz. … (per Società di minor rilevanza) Referente Soc.Controll. ORM UNIT di Gruppo La diffusione della cultura Per rendere operativo il processo di misurazione si è istituito un processo di formazione strutturato e formalizzato (a catalogo nell’offerta formativa del Gruppo), in particolare rivolto a ORM decentrati Referenti Personale collocato nelle unità operative maggiormente sensibili al tema (ad esempio “pagamenti internazionali” ecc.) Il programma ha finora coinvolto circa 350 risorse nel Gruppo ed in pieno svolgimento ORM UNIT di Gruppo Il Modello di misurazione Visione prospettica Visione storica Giudizio critico dell’unità organizzativa 14 relative fr eque ncy 12 Questionario 1 1 2 Loss Event Type 3 4 … 10 8 6 4 19 17 15 13 9 11 7 5 0 3 2 1 2 3 4 1 2 3 4 … 4 3 … 4 … 15 … 15 … … 15 … … 15 … … … … Distribuzione della frequenza degli eventi di perdita Distribuzione dell’impatto degli eventi di perdita Questionario n Questionario Questionario 12 1 Questionario 1 2 11 2 1 3 10 # even ts p er per io d Aggregazione St r Az uttu ien ra da le Risk Self Assessmentc Analisi statistica sui dati di perdita 15 … … Dimensione Organizzativa Analisi qualitativa dell’adeguatezza dei processi Giudizio critico dell’ORM decentrato Perdita Ina ttesa Distribuzione delle perdite complessive annue Op. VaR al 99.9 percentile Integrazione Bayesiana Capitale a Rischio Scorecard VCO n Scorecard VCO 12 Scorecard VCO 11 1 2 Scorecard 1 VCO 10 Fattori di Rischio L2 1 2 1 2 2 3 4 3 4 3 Scorecard VCO … 1 4 3 4 1 2 … 3 4 … 15 … … … … 15 … … 15 … … 15 … … 15 … … ra ttu le ru nda t S ie Az In fase di prima applicazione Valutazione della rischiosità del Contesto Operativo ORM UNIT di Gruppo Il Framework della gestione dei rischi operativi nel Gruppo Sanpaolo: infrastruttura IT Loss Data Collection Risk Self Assessment Censimento dati di perdita Questionari Perdite operative Dati esterni Valutazione Contesto operativo Scorecard Stime soggettive Analisi giudizi qualitativi sulla rischiosità dei processi produttivi Motore di calcolo statistico OpRisk Evolution: piattaforma Intranet dedicata ai Rischi Operativi CaR ORM UNIT di Gruppo L’architettura IT Acquisizione dati consorzi ORX/DIPO Stime Prodotte da RM In ambiente R OPRISK Evolution: piattaforma Intranet dedicata ai Rischi Operativi Loss Data Collection Censimento dati di perdita Valutazione Modello Indicatori Contesto operativo Scorecard Perdite operative Giudizi Qualitativi Motore di Calcolo Statistico Ripartizione Historical CaR Historical Car Componenti rilasciati ed utilizzati Risk Self Assessment Acquisizione Questionari Indicatori Stime soggettive Motore di Calcolo Statistico RSA CaR per UO Historical Car per UO Integrazione Bayesiana Componenti rilasciati e nop utilizzati Componenti non ancora rilasciati Requisito di Gruppo ORM UNIT di Gruppo Architettura tecnologica OPRISK Evolution: piattaforma Intranet dedicata ai Rischi Operativi Applicazione web su architettura standard J2EE Application Server Bea Weblogic 6.1 Web Server Apache Dbms Oracle 9 Il prodotto OpRisk Evolution ingloba la piattaforma FastTrack. FastTrack è un software infrastrutturale, realizzato su un modello Grid Computing, per la gestione del load balancing all’interno di una rete privata multicast di nodi TCP/IP. ORM UNIT di Gruppo Conclusioni Il Gruppo Sanpaolo IMI ha messo in opera decisioni e azioni organizzative che hanno permesso la: predisposizione di un quadro complessivo di gestione dei R.O. Normativo (Regolamento di Gruppo) e Organizzativo (individuazione di ruoli e responsabilità) definizione di una metodologia di misurazione del rischio che integri Analisi storiche (backward looking) e Risk Self Assessment (l’elemento che completa la misurazione dei rischi operativi sopperendo all’incompletezza informativa dell’analisi dei dati di perdita e fornendo una prospettiva forward looking) in modo da permettere di far convergere le esigenze gestionali interne con le richieste del dettato della nuova normativa di Basilea II ORM UNIT di Gruppo