OPERATIONAL RISK MANAGEMENT

OPERATIONAL RISK
MANAGEMENT
GIULIO MIGNOLA
Resp. Rischi Operativi
Sanpaolo IMI SpA
La presentazione è stata realizzata da San Paolo IMI ed è riservata esclusivamente ai soci CeTIF.
La riproduzione e la diffusione anche parziale della stessa non è pertanto consentita se non previa autorizzazione.
Milano, 13 ottobre 2006
ORM UNIT di Gruppo
Introduzione
1
Le maggiori cause di dissesto nel sistema finanziario
internazionale risiedono in rischi di carattere operativo, legati
quindi al funzionamento delle attività aziendali, quali ad esempio
rischi di perdite derivanti da :
– frodi,
– violazione dei sistemi, rapine,
– non rispetto di conformità a norme e regolamenti,
– comportamenti di business scorretti,
– eventi naturali o sociali eccezionali, ecc.
ORM UNIT di Gruppo
Introduzione
2
Si tratta di episodi
direttamente collegati ai diversi processi
aziendali, all’assunzione di decisioni, all’allentamento di regole
proprie della cultura aziendale e delle prassi operative.
Le conseguenze degli eventi di natura operativa possono, oltre al
semplice onere di conto economico, intaccare componenti
immateriali del bilancio altrettanto rilevanti, come ad esempio la
reputazione, il marchio o l’identità aziendali.
ORM UNIT di Gruppo
Definizione di Rischio Operativo
La normativa di Basilea II definisce come rischio operativo:
“Il rischio di perdite derivanti da disfunzioni a livello di
procedure e sistemi interni, errori umani oppure da eventi
esogeni.”
Nell’accezione regolamentare tale definizione include il rischio
giuridico ma esclude il rischio di reputazione e quello strategico.
ORM UNIT di Gruppo
Qual’è il valore aggiunto di una gestione
strutturata del Rischio Operativo ?
„
„
„
„
„
Le istituzioni finanziarie sono da sempre soggette al rischio
operativo nello svolgimento del proprio business …
… ma solo recentemente hanno cominciato a sviluppare un
approccio standardizzato per la sua quantificazione ed hanno
individuato formalmente una nuova specializzazione
(Operational Risk Management) per la sua gestione
Ma perché si è creata la necessità di avere dei gestori di rischio
operativo proprio ora?
Qual’è il valore aggiunto di questa nuova funzione aziendale ?
Quali i benefici di questa nuova disciplina ?
ORM UNIT di Gruppo
Perché le Formula 1 hanno freni efficenti ?
Per farle andare piano ?
ORM UNIT di Gruppo
Perché le Formula 1 hanno freni efficenti ?
Per farle andare veloci e vincere !
ORM UNIT di Gruppo
… i freni sono necessari, ma sono sufficienti?
„
„
Che altro è necessario ?
… Piloti esperti
… Tachimetro, contagiri ….
… Conoscenza della pista
e ….
… Roll bar
… Casco
… Tuta ignifuga
… ….
ORM UNIT di Gruppo
Quello che è mancato ….
Per molto tempo le istituzioni finanziarie hanno assunto (consapevolmente ?)
considerevoli esposizioni ai rischi operativi senza disporre di un processo
strutturato per la loro misurazione e gestione
Anche disponendo di “buoni piloti” l’informazione disponibile non era sufficiente
per sapere cosa ci fosse dietro la prossima curva. Troppo spesso ci si è trovati
di fronte a spiacevoli sorprese
ORM UNIT di Gruppo
… ha provocato … (con risonanza sulla stampa)
Barings Bank
(Frode interna)
Cirio/Parmalat
(collocamento titoli “aggressivo”)
Enron
(falso in bilancio)
Sistema finanziario internazionale
Continental Bank
(rischio reputazionale)
LCTM
Errori di modello
ORM UNIT di Gruppo
Che cosa è cambiato ?
„
L’ Operational Risk Management è stato istituito come disciplina
formale per gestire questo tipo di problematiche …
„
Operational
Market
Credit
Risk Management
… andando ad aggiungersi ed a completare le discipline del market
e del credit risk management (come recepito dal nuovo accordo di
Basilea sul capitale)
ORM UNIT di Gruppo
Perché è necessario l’Operational Risk
Management proprio adesso
„
„
„
I maggiori fattori di dissesto nel sistema finanziario sono legati a
failures nella qualità delle “Operations” (frodi, attività non autorizzate,
non compliance con regolamenti e norme, ecc.)
L’evoluzione delle istituzioni finanziarie ha portato a
… Aumento della complessità dei mercati
… Aumento della dimensione delle Istituzioni (aggregazioni)
… Introduzione di nuove tecnologie, complesse e critiche per
lo svolgimento del business
… Ambiente sempre più competitivo: dove timing e costi
diventano fattori cruciali “per stare sul mercato”
La presenza di fenomeni generalizzati di aggregazione ha un forte
effetto di attenuazione dell’identità aziendale – fattore critico per la
qualità delle “Operations”
ORM UNIT di Gruppo
Motivazioni per la realizzazione di un sistema
di ORM
„
Dal punto di vista della tutela del patrimonio aziendale, la
gestione del Rischio Operativo diventa un’esigenza critica per la
salvaguardia della continuità operativa e della catena di produzione
del valore delle diverse Business Units
„
Dal punto di vista regolamentare il Nuovo Accordo di Basilea
recepisce queste esigenze, le norma in requisiti minimi di Capitale e
in “Sound Practices” di gestione, consentendo l’utilizzo di
metodologie di gestione sofisticate che possono comportare anche
una riduzione del requisito patrimoniale
ORM UNIT di Gruppo
Operational risk Management e creazione
di valore per il top management
„
„
„
„
„
„
Struttura di governance con ruoli e responsabilità ben definiti e
chiara identificazione dei “risk owners”
Compresione delle esposizioni ai singoli rischi
Comprensione dell’esposizione complessiva al rischio (company
wide)
Determinazione del profilo rischio / rendimento corretta e completa
Possibilità di stabilire chiari ed espliciti livelli di tolleranza al rischio
Maggior efficacia nella risposta a situazioni di crisi (con
consapevolezza dell’impatto sul profilo di rischio complessivo)
ORM UNIT di Gruppo
… e effetti sul valore dell’azienda
„
Valutazione delle società di rating
„
Costo del capitale
„
Risparmio di capitale economico
„
Ottimizzazione del valore per gli azionisti
ORM UNIT di Gruppo
L’approccio Sanpaolo IMI
ORM UNIT di Gruppo
L’approccio Sanpaolo IMI
• Il Gruppo Sanpaolo IMI, coerentemente con la propria costante politica di allineamento alla
best practice internazionale in tema di Risk Management, ha intrapreso negli ultimi anni una
generale ed approfondita attività di affinamento dei modelli interni di misurazione dei rischi
volta ad ottenere:
un sistema di determinazione del capitale economico con risultati coerenti con il
profilo di rischio effettivo
un impianto organizzativo e metodologico volto all’allineamento al dettato della
Nuova Normativa sul Capitale di Basilea 2 secondo i metodi avanzati AMA
• In particolare il Gruppo, sulla scorta della crescente importanza degli eventi di tipo operativo
verificatasi a livello internazionale, ha rivolto alla categoria dei Rischi Operativi particolare
attenzione e ne ha fatto oggetto di specifici studi ed analisi i cui risultati hanno consentito
l’avvio di un progetto dedicato avente per obiettivo:
“… lo sviluppo di un sistema integrato di gestione degli Operational Risk coerente
con le strategie di Governance del Gruppo ed in linea con le indicazioni della
Normativa.”
ORM UNIT di Gruppo
Il Framework della gestione dei rischi
operativi nel Gruppo Sanpaolo
Governance: definizione e impianto dei processi aziendali di
misurazione, monitoraggio e gestione dei Rischi Operativi
Risk Self Assessment
Processi di Misurazione
Stime Soggettive
Loss
Data
Loss Data
Collection
Integrazion
e
Bayesiana
CaR
Analisi
Quantitativ
a
Aree di Business
Quantitativa
CaR
Processi
decentrati
Analisi
Risk
Management
Strumenti
Metodologie
Metodologie di misurazione
Indicazioni gestionali
Assessment della rischiosità del contesto operativo
Infrastruttura IT: gestione ed implementazione degli strumenti e
supporti tecnologici per la misurazione dei Rischi Operativi
ORM UNIT di Gruppo
Normativa interna e governance
Il Gruppo Sanpaolo IMI ha definito la governance dei rischi operativi
attraverso l’individuazione di precise linee di intervento:
… Definizione di una policy di Gruppo normata da un Regolamento
di gestione dei rischi operativi (approvato dal CdA della
Capogruppo e di tutte le società controllate);
… Individuazione di un modello organizzativo accentratodecentrato di presidio dei rischi operativi attuato attraverso i
processi di misurazione, gestione e monitoraggio e costituito dalla
seguente articolazione:
„ Consiglio di Amministrazione
„ Comitato Rischi Operativi
„ ORM Unit di Gruppo
„ ORM Decentrati
„ Referenti
ORM UNIT di Gruppo
Architettura Organizzativa
CONSIGLIO DI
C.E. / Comitato tecnico
Audit
AMMINISTRAZIONE
Direzione
Audit
COMITATO RISCHI
OPERATIVI
ORM Unit
di Gruppo
ORM Decentrati
Dir Retail e Private
ORM Decentrati
Direzione Imprese
ORM Decentrato
Direzione …
Referente Soc. ..
ORM Decentrato
Società …
(per Soc. più significative)
Referente
Funz. …
Referente
Area …
Referente
Banca
Rete…
Referente
Area
Estera…
Referente
Funz. …
Referente
Funz. …
Referente
Funz. …
(per Società di minor
rilevanza)
Referente
Soc.Controll.
ORM UNIT di Gruppo
La diffusione della cultura
„
„
Per rendere operativo il processo di misurazione si è istituito un
processo di formazione strutturato e formalizzato (a catalogo
nell’offerta formativa del Gruppo), in particolare rivolto a
… ORM decentrati
… Referenti
… Personale collocato nelle unità operative maggiormente sensibili
al tema (ad esempio “pagamenti internazionali” ecc.)
Il programma ha finora coinvolto circa 350 risorse nel Gruppo ed in
pieno svolgimento
ORM UNIT di Gruppo
Il Modello di misurazione
Visione prospettica
Visione storica
Giudizio critico dell’unità organizzativa
14
relative fr eque ncy
12
Questionario 1
1
2
Loss Event Type
3
4
…
10
8
6
4
19
17
15
13
9
11
7
5
0
3
2
1
2 3 4
1
2 3 4
…
4
3
…
4
… 15
… 15 …
…
15 …
…
15 …
…
…
…
Distribuzione della frequenza
degli eventi di perdita
Distribuzione dell’impatto
degli eventi di perdita
Questionario n
Questionario
Questionario
12
1
Questionario
1 2 11
2
1
3 10
# even ts p er per io d
Aggregazione
St
r
Az uttu
ien ra
da
le
Risk
Self
Assessmentc
Analisi statistica sui dati di perdita
15
…
…
Dimensione
Organizzativa
Analisi qualitativa
dell’adeguatezza dei processi
Giudizio critico dell’ORM decentrato
Perdita Ina ttesa
Distribuzione delle perdite
complessive annue
Op. VaR al 99.9 percentile
Integrazione
Bayesiana
Capitale
a Rischio
Scorecard VCO n
Scorecard VCO 12
Scorecard
VCO 11
1
2
Scorecard
1
VCO 10
Fattori di Rischio L2
1
2
1
2
2
3
4
3
4
3
Scorecard
VCO
… 1
4
3
4
1
2
…
3
4
…
15
…
…
…
…
15
…
…
15
…
…
15
…
…
15
…
…
ra
ttu le
ru nda
t
S ie
Az
In fase di prima applicazione
Valutazione
della rischiosità
del Contesto Operativo
ORM UNIT di Gruppo
Il Framework della gestione dei rischi operativi nel
Gruppo Sanpaolo: infrastruttura IT
Loss Data Collection
Risk Self Assessment
Censimento dati di perdita
Questionari
Perdite
operative
Dati esterni
Valutazione
Contesto operativo
Scorecard
Stime
soggettive
Analisi giudizi qualitativi
sulla rischiosità
dei processi produttivi
Motore di calcolo
statistico
OpRisk Evolution: piattaforma Intranet dedicata ai Rischi Operativi
CaR
ORM UNIT di Gruppo
L’architettura IT
Acquisizione
dati
consorzi
ORX/DIPO
Stime
Prodotte da RM
In ambiente R
OPRISK Evolution: piattaforma Intranet dedicata ai Rischi Operativi
Loss Data
Collection
Censimento dati di perdita
Valutazione
Modello Indicatori
Contesto operativo
Scorecard
Perdite
operative
Giudizi
Qualitativi
Motore di Calcolo
Statistico
Ripartizione Historical
CaR
Historical
Car
Componenti rilasciati
ed utilizzati
Risk
Self Assessment
Acquisizione
Questionari
Indicatori
Stime
soggettive
Motore di Calcolo
Statistico
RSA
CaR per UO
Historical
Car per UO
Integrazione Bayesiana
Componenti rilasciati
e nop utilizzati
Componenti non
ancora rilasciati
Requisito di Gruppo
ORM UNIT di Gruppo
Architettura tecnologica
OPRISK Evolution: piattaforma Intranet dedicata ai Rischi Operativi
Applicazione web su architettura standard J2EE
Application Server
Bea Weblogic 6.1
Web Server
Apache
Dbms
Oracle 9
Il prodotto OpRisk Evolution ingloba la piattaforma FastTrack.
FastTrack è un software infrastrutturale, realizzato su un modello Grid
Computing, per la gestione del load balancing all’interno di una rete privata
multicast di nodi TCP/IP.
ORM UNIT di Gruppo
Conclusioni
Il Gruppo Sanpaolo IMI ha messo in opera decisioni e azioni organizzative
che hanno permesso la:
„
„
predisposizione di un quadro complessivo di gestione dei R.O.
…
Normativo (Regolamento di Gruppo) e
…
Organizzativo (individuazione di ruoli e responsabilità)
definizione di una metodologia di misurazione del rischio che integri
…
Analisi storiche (backward looking) e
…
Risk Self Assessment (l’elemento che completa la misurazione dei
rischi operativi sopperendo all’incompletezza informativa dell’analisi
dei dati di perdita e fornendo una prospettiva forward looking)
in modo da permettere di far convergere le esigenze gestionali interne con
le richieste del dettato della nuova normativa di Basilea II
ORM UNIT di Gruppo