La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

1 Master Auditing e Controllo Interno - Orientamento Part Time Auditing e Controllo Interno nelle Banche I rischi Operativi: modelli di valutazione e problematiche.

Presentazioni simili


Presentazione sul tema: "1 Master Auditing e Controllo Interno - Orientamento Part Time Auditing e Controllo Interno nelle Banche I rischi Operativi: modelli di valutazione e problematiche."— Transcript della presentazione:

1 1 Master Auditing e Controllo Interno - Orientamento Part Time Auditing e Controllo Interno nelle Banche I rischi Operativi: modelli di valutazione e problematiche di controllo Dott. Paolo Traso Pisa, 9 Maggio 2009

2 2 Il Rischio Operativo Il contesto di riferimento

3 3 Il Rischio Operativo Definizione: “ The Operational Risk is the risk of loss resulting from inadequate or failed internal processes, people or systems or from external events” (definizione del Comitato di Basilea per la Vigilanza Bancaria)

4 4 Il Rischio Operativo La posizione dell’Organo di Vigilanza Nel dicembre 2006 (circolare 263) sono state pubblicate le nuove istruzioni di vigilanza inerenti all’applicazione del Nuovo Accordo sul Capitale con riferimento ai metodi avanzati di gestione del rischio operativo (A.M.A.). Nel documento viene indicato che, allo scopo di fronteggiare i rischi operativi gli intermediari devono dotarsi di: adeguati meccanismi di governo societario, ivi compresa una chiara struttura organizzativa, con linee di responsabilità ben definite, trasparenti e coerenti; processi efficaci per l’identificazione, il monitoraggio, l’attenuazione e la valutazione dei rischi operativi ai quali sono o potrebbero essere esposti e di adeguati meccanismi di controllo interno, ivi comprese valide procedure amministrative e contabili. La Banca d’Italia si attende che gli intermediari attivi a livello internazionale utilizzino metodi più complessi rispetto a quello Base, appropriati ai relativi profili di rischio. La Banca d’Italia si riserva altresì la facoltà di valutare l’adeguatezza del requisito patrimoniale che deriva dal metodo adottato dagli intermediari a fronte dei rischi operativi e dei rischi strategici e di reputazione, adottando ove necessario i provvedimenti ritenuti opportuni nell’ambito del processo di controllo prudenziale. (c.d. secondo pilastro).

5 5 Il Rischio Operativo REQUISITI PER L’ACCESSO Gli intermediari che intendono accedere al metodo diverso dal base devono presentare UNA delle seguenti caratteristiche:  DIMENSIONI idonee ad assicurare un’adeguata diversificazione delle attività nonché una capacità finanziaria tale da garantire la realizzazione degli interventi organizzativi, gestionali e metodologici necessari per il rispetto dei requisiti qualitativi.  Un elevato livello di SPECIALIZZAZIONE OPERATIVA che, pur non accompagnato da una dimensione rilevante, renda utile la realizzazione di un processo di gestione del Rischio Operativo.

6 6 Il Rischio Operativo GLI ORGANI DI GOVERNO DELLA BANCA Gli organi aziendali, secondo le rispettive competenze e responsabilità:  definiscono le linee generali del sistema di gestione e controllo dei rischi operativi;  sono responsabili della sua realizzazione  vigilano sul concreto funzionamento  verificano la sua complessiva funzionalità e rispondenza ai requisiti previsti dalla normativa LA RESPONSABILITA’ PRIMARIA DI UN EFFICACE GOVERNO DEI RISCHI OPERATIVI E’ RIMESSA AGLI ORGANI DI GOVERNO DELLA BANCA

7 7 Il Rischio Operativo FUNZIONI E ATTIVITA’ DI CONTROLLO Funzioni di controllo  Internal Auditing;  Attività/funzione di controllo dei rischi operativi (AMA) L’adeguatezza e l’efficacia del sistema di gestione dei rischi operativi deve essere sottoposta a periodica verifica da parte dell’Internal Audit

8 8 Il Rischio Operativo FUNZIONI DI INTERNAL AUDIT Compiti  Effettua verifiche periodiche sul sistema di gestione dei rischi operativi al fine di valutarne la funzionalità e l’efficacia nonché la conformità con i criteri minimi di idoneità;  informa gli organi di governo dell’attività svolta e dei risultati di questa. PER LE BANCHE AMA  verifica il processo di raccolta, gestione e conservazione dei dati sui rischi operativi;  effettua un’autonoma valutazione dell’adeguatezza del processo di autovalutazione (TSA)/processo di convalida interna (AMA). I risultati di tale verifica sono compendiati in una relazione contenente anche le proposte sugli interventi correttivi da attuare.

9 9 Il Rischio Operativo ORM E INTERNAL AUDIT: DUE FUNZIONI DISTINTE  Vincolo di separatezza organizzativa e operativa delle due funzioni  In considerazione della contiguità tra le due attività e al fine di assicurare a ciascuna piena efficacia  chiara individuazione e comunicazione all’interno della banca dei rispettivi compiti e responsabilità  articolazione di adeguati flussi informativi tra le due funzioni SONO POSSIBILI FORME DI COLLABORAZIONE FRA L’AUDIT E LE STRUTTURE ORGANIZZATIVE INDIVIDUATE PER IL DISEGNO, LA REALIZZAZIONE E IL MANTENIMENTO DEL SISTEMA DI GESTIONE DEI RISCHI OPERATIVI. RIMANGONO NELLA ESCLUSIVA RESPONSABILITA’ DELLE COMPETENTI STRUTTURE ORGANIZZATIVE I COMPITI IMPLEMENTATIVI E REALIZZATIVI DEL SISTEMA. L’INDIPENDENZA DELL’AUDIT DEVE ESSERE PRESERVATA.

10 10 Il Rischio Operativo Evoluzione dell’importanza dei rischi operativi Composizione storica del capitale a Rischio totale Composizione corrente del capitale a Rischio totale Composizione futura del capitale a Rischio totale Rischi Operativi 10% Rischi di Mercato 35% Rischi di Credito 55% Rischi di Credito 40% Rischi di Credito 35% Rischi di Mercato 35% Rischi di Mercato 25% Rischi Operativi 25% Rischi Operativi 40%

11 11 Il Comitato di Basilea ha previsto tre diverse metodologie che consentono di determinare il requisito di capitale a fronte dei rischi operativi. Questi approcci sono caratterizzati da un livello crescente di complessità a cui dovrebbe corrispondere, a parità di altre condizioni, un assorbimento patrimoniale descrescente. I tre approcci proposti dal Comitato sono: Metodo dell’Indicatore Semplice (Basic Indicator Approach – BIA) Metodo Standard (Standardised Approach – SA) Metodologia Interna (Advanced Measurement Approach – AMA) Le metodologie di calcolo del requisito di capitale Il Rischio Operativo

12 12 Advanced Measurement Approach (A.M.A.) Il Rischio Operativo Gli approcci standard legano la rischiosità di una banca al suo Gross Income, il quale, essendo un indicatore dimensionale, costituisce un’approssimazione grossolana del profilo di rischio; ad esempio una banca con livelli reddituali prossimi allo zero risulterebbe meno rischiosa di una banca redditizia di dimensioni analoghe. A differenza dei due approcci presentati, l’approccio avanzato: non prevede parametri predefiniti dal regolatore ai quali attenersi non indica predefiniti algoritmi di calcolo. Alla Banca è data la possibilità di definire e sviluppare modelli interni che tengano conto dell’effettivo profilo di rischio (risk sensitive) previo: Il rispetto di alcuni standard qualitativi (governance e gestione) e quantitativi (modelli di calcolo) nella costruzione del modello OR, La validazione di Banca d’Italia.

13 13 I principali standard di natura qualitativa: definizione di un sistema di gestione dei Rischi Operativi (Policy, Processi, Metodologie, Strumenti, etc.) funzione dedicata alla gestione dei Rischi Operativi; effettivo utilizzo del sistema di reporting degli OR; coinvolgimento attivo Top Management della Banca Auditabilità (interna ed esterna) di tutto il sistema di gestione; verifica ed approvazione della vigilanza della metodologia quantitativa di misurazione I principali standard di natura quantitativa: dati interni ed esterni analisi di scenario contesto operativo e controllo interno Il nuovo contesto di vigilanza: novità ed impatti Advanced Measurement Approach (A.M.A.) Il Rischio Operativo

14 14 Il nuovo contesto di vigilanza: novità ed impatti Advanced Measurement Approach (A.M.A.) Il Rischio Operativo L’adozione di un Modello A.M.A. risulta funzionale al conseguimento dei seguenti obiettivi: Reingegnerizzazione dei processi e dei controlli; Individuazione delle priorità di auditing in funzione dei rischi rilevati; Sensibilizzazione dei responsabili di processo sulla gestione/monitoraggio di rischi operativi; Corretta misurazione delle performances delle varie Linee di Business; Migliore allocazione del capitale; Razionalizzazione delle politiche di copertura assicurativa.

15 15 Livello di Sofisticazione Crescente Requisito Patrimoniale Operational Risk Modelli di Basilea Basic Indicator I x  I x  Comitato di Basilea Standardised Approach Gross Income Advanced Measurement Approach Modello Interno Gross Income Il Rischio Operativo I modelli di quantificazione proposti dal Comitato di Basilea

16 16 Il Rischio Operativo Approccio regolamentare REQUISITO DI CAPITALE EFFICIENZA DEI PROCESSI COMPLESSITA’ DELL’APPROCCIO REQUISITI ORGANIZZATIVI COMPLESSITA’ DELL’APPROCCIO REQUISITI ORGANIZZATIVI BASIC STANDARD A.M.A. BASIC STANDARD A.M.A.

17 17 Struttura dell’Operational Risk Management L’Operational Risk Management può essere schematizzato tramite la seguente catena del valore. Il Gruppo MPS ha aderito al Consorzio Dipo ABI

18 18 I 4 requisiti quantitativi stabiliti dalla Vigilanza Requisiti quantitativi imposti dal Comitato di Basilea Dati Esterni Dati Interni Analisi di Scenario Assessment Advanced Measurement Approach

19 19 DATI INTERNI – IL PERIMETRO DI RILEVAZIONE Al fine di comprendere meglio il perimetro di rilevazione definito, il rischio operativo può essere scisso in due entità logiche: Evento: costituito dall’accadimento di un dato evento dovuto a cause di natura operativa (gestione delle risorse umane, dei processi, della tecnologia ed eventi esterni) che comporta la manifestazione di effetti economici di natura negativa (perdite operative); Perdita: costituita dagli effetti economici negativi derivanti da eventi di natura operativa, aventi impatti (solitamente negativi) sul conto economico. Gli eventi sono a titolo esemplificativo: le frodi interne ed esterne, gli errori operativi, sicurezza sul lavoro, disastri naturali, ecc.; le perdite operative sono a titolo esemplificativo: multe, sanzioni, risarcimenti, ammanchi, ecc..

20 20 Le perdite – caratteristiche principali Le perdite per loro natura possono essere: a) Effettive: nel caso in cui rappresentano manifestazioni economiche negative che misurano il danno subito dall’azienda per cause ascrivibili ai rischi operativi (ovvero che producono una corrispondente “scrittura” in conto economico); b) Non Effettive: nel caso in cui rappresentano mancati guadagni costituiti dagli introiti futuri che sarebbero stati conseguibili se non si fosse manifestato un inefficace/inefficiente gestione dei fattori interni e/o l’accadimento di eventi esterni (ovvero che non producono una corrispondente “scrittura” in conto economico). Il perimetro di rilevazione include soltanto le manifestazioni economiche negative, ovvero le perdite effettive: Certe in contabilità: quando riferite in modo specifico a componenti negative del conto economico; Stimate in contabilità: accantonamenti a Fondi Rischi ed Oneri dovuti a atti/fatti aziendali già accaduti, il cui quantum è ancora incerto (cause legali, sanzioni future, ecc.). Non sono inclusi nel perimetro: Costi opportunità: costi sostenibili e i proventi ottenibili dagli investimenti alternativi cui si è rinunciato impiegando risorse di cui si dispone in quantità limitata; Programmi d’investimento: spese annuali/pluriennali stanziate al fine di attuare una risoluzione strutturale alle perdite sostenute, innovando i processi, le tecnologie e le risorse umane in termini di efficacia ed efficienza.

21 21 Incidenza delle Perdite Operative in Conto Economico Per perdite effettive lorde si intendono quelle non dovute a compensazioni di costi o di ricavi di esercizio erroneamente valutati, bensì sostenute per effetto di un evento pregiudizievole (singolo accadimento che genera una o più perdite) accaduto, di natura non sistemica (perdite che non abbiano impatto sul Sistema Bancario nel suo complesso), che siano oggettive e misurabili, in quanto appositamente censite nel sistema contabile della banca o tali per cui è possibile rintracciarne l’impatto sul conto economico, a prescindere dalle modalità di contabilizzazione. E’ stato convenuto che il valore da registrare è il costo necessario per la risoluzione dell’evento, al lordo delle somme recuperate (assicurative o altro). I recuperi assicurativi vengono censiti nel software in appositi campi, separati dalle perdite. Le perdite – caratteristiche principali

22 22 Alcuni esempi di rischio operativo (1) (t 0 )(t 1 )(t i )(t i+1 ) (…) Evento di rischio: Esecuzione dei processi Viene effettuata un errato inserimento delle condizioni d’ordine stabilite dal cliente Fattore di rischio: Risorse Umane Mancato rispetto delle condizioni d'ordine stabilite dal cliente Gli effetti del rischio: La Banca, dopo aver ricevuto il reclamo, sostiene l’onere a fronte delle richieste del cliente a causa dell’errata digitazione delle condizioni all’atto della ricezione dell’ordine. I Rischi Operativi: dalla causa all’effetto Il sostenimento di una perdita operativa è il risultato di una catena di eventi: la gestione non adeguata di un fattore di rischio operativo (processi, persone e sistemi) determina l’accadimento di un evento di rischio: Una volta manifestatosi l’evento di rischio può provocare una serie di effetti negativi per la banca in termini economici (vedi la decisione di rimborsare al cliente il mancato guadagno occorso a causa dell’errore dell’operatore).

23 23 (t 0 )(t 1 )(t i )(t i+1 ) (…) Evento di rischio: Rapina alla filiale Viene perpetrata una rapina ad una filiale della banca Fattore di rischio: Rischio Rapina Gli effetti del rischio: La Banca, dopo aver denunciato contabilizzato quanto sottratto in filiale interessa l’assicurazione per l’accaduto, documentando le giacenze di cassa esistenti. I Rischi Operativi: dalla causa all’effetto Il sostenimento di una perdita operativa è il risultato di una catena di eventi: la gestione non adeguata di un fattore di rischio operativo (processi, persone e sistemi) determina l’accadimento di un evento di rischio: In questo caso, a seconda delle specifiche della polizza, è possibile la refusione del maltolto da parte dell’Assicurazione. Così ci troveremo a gestire un evento multi-impatto, ovvero sia l’evento rapina sia l’evento recupero. Alcuni esempi di rischio operativo (2)

24 24 (t 0 )(t 1 )(t i )(t i+1 ) (…) Evento di rischio: Mancata chiusura rapporti agganciati ad un cliente Mancata estinzione addebito telepass su conto corrente Fattore di rischio: Sistemi Gli effetti del rischio: La Banca, dopo aver ricevuto l’addebito della fattura telepass del cliente che ha estinto il conto si trova nella situazione di dover onorare l’impegno al posto del cliente, in quanto caduta in errore I Rischi Operativi: dalla causa all’effetto Il sostenimento di una perdita operativa è il risultato di una catena di eventi: la gestione non adeguata di un fattore di rischio operativo (processi, persone e sistemi) determina l’accadimento di un evento di rischio: In questo caso, in sede di piano di gestione dei rischi operativi, in considerazione delle perdite connesse a tali eventi si può proporre l’adeguamento delle procedure affinchè alla chiusura del conto corrente vengano chiusi tutti i servizi collegati. Alcuni esempi di rischio operativo (3)

25 25 (t 0 )(t 1 )(t i )(t i+1 ) (…) Evento di rischio: Reclamo di un cliente per acquisto obbligazioni Parmalat Vendita obbligazioni a soggetto con profilo di rischio non adeguato Fattore di rischio: Risorse Umane Gli effetti del rischio: La Banca, dopo aver ricevuto il reclamo del cliente che asserisce, di non avere profilo di rischio adeguato per concludere l’operazione si trova costretta ad accettare la doglianza I Rischi Operativi: dalla causa all’effetto Il sostenimento di una perdita operativa è il risultato di una catena di eventi: la gestione non adeguata di un fattore di rischio operativo (processi, persone e sistemi) determina l’accadimento di un evento di rischio: Alcuni esempi di rischio operativo (4)

26 26 (t 0 )(t 1 )(t i )(t i+1 ) (…) Evento di rischio: Manutenzione ATM per inserimento carta scontrini nella fessura riservata alla carta Intervento di manutenzione straordinaria Fattore di rischio: Eventi Esterni Gli effetti del rischio: La Banca, dopo aver ricevuto la segnalazione di malfunzionamento dell’ATM, per ripristinare il servizio alla clientela, deve chiamare la ditta manutentrice e commissionare l’intervento. I Rischi Operativi: dalla causa all’effetto Il sostenimento di una perdita operativa è il risultato di una catena di eventi: la gestione non adeguata di un fattore di rischio operativo (processi, persone e sistemi) determina l’accadimento di un evento di rischio: In questo caso, in sede di piano di gestione dei rischi operativi, in considerazione delle perdite connesse a tali eventi si può proporre l’adeguamento del contratto di manutenzione sulla base delle statistiche di interventi richiesti nel corso dell’anno. Alcuni esempi di rischio operativo (5)

27 27 (t 0 )(t 1 )(t i )(t i+1 ) (…) Evento di rischio: Portabilità Mutui Legge Bersani Sostenimento delle spese notarili da parte della Banca Fattore di rischio: Eventi Esterni Gli effetti del rischio: La Banca, dopo che il cliente ha manifestato la volontà di trasferire il mutuo presso altro istituto dovrà sostenere le spese notarili per la stipula del nuovo contratto di mutuo. I Rischi Operativi: dalla causa all’effetto Il sostenimento di una perdita operativa è il risultato di una catena di eventi: la gestione non adeguata di un fattore di rischio operativo (processi, persone e sistemi) determina l’accadimento di un evento di rischio: Alcuni esempi di rischio operativo (6)

28 28 (t 0 )(t 1 )(t i )(t i+1 ) (…) Evento di rischio: Clonazione carta bancomat Segnalazione da parte del cliente di addebiti sconosciuti. La Banca verifica se ci sono state segnalazione di possibili clonazioni. Fattore di rischio: Sistemi Gli effetti del rischio: La Banca, dopo aver effettuato gli accertamenti del caso, dopo aver sentito anche la polizia postale, provvede, una volta accertata la clonazione, a rifondere al cliente l’importo delle operazioni fraudolente, in attesa del rimborso del Fondo Interbancario di Garanzia I Rischi Operativi: dalla causa all’effetto Il sostenimento di una perdita operativa è il risultato di una catena di eventi: la gestione non adeguata di un fattore di rischio operativo (processi, persone e sistemi) determina l’accadimento di un evento di rischio: Alcuni esempi di rischio operativo (7)

29 29 (t 0 )(t 1 )(t i )(t i+1 ) (…) Evento di rischio: Pagamento interessi di mora su F24 per ritardato pagamento Al sistema o all’operatore non vanno a buon fine le operazioni di addebito del modello F24 Fattore di rischio: Sistemi/risorse umane Gli effetti del rischio: La Banca, dopo aver accertato la propria responsabilità per il pagamento della mora sostiene il costo dell’inefficienza. I Rischi Operativi: dalla causa all’effetto Il sostenimento di una perdita operativa è il risultato di una catena di eventi: la gestione non adeguata di un fattore di rischio operativo (processi, persone e sistemi) determina l’accadimento di un evento di rischio: Alcuni esempi di rischio operativo (8)

30 30 (t 0 )(t 1 )(t i )(t i+1 ) (…) Evento di rischio: Errori nella tabella prezzi servizi estero Applicazione di errate condizioni economiche ai bonifici estero Fattore di rischio: Sistemi Gli effetti del rischio: La Banca, dopo aver accertato il malfunzionamento nel processo si accolla l’onere di rimborsare al cliente la differenza. I Rischi Operativi: dalla causa all’effetto Il sostenimento di una perdita operativa è il risultato di una catena di eventi: la gestione non adeguata di un fattore di rischio operativo (processi, persone e sistemi) determina l’accadimento di un evento di rischio: Alcuni esempi di rischio operativo (9)

31 31 (t 0 )(t 1 )(t i )(t i+1 ) (…) Evento di rischio: Rilevata Banconota di sospetta falsità nelle operazioni di chiusura della cassa Fattore di rischio: Frode Esterna Gli effetti del rischio: La Banca, dopo aver inviato alla Banca d’italia la banconota attende l’esito, che se positivo porterà alla spesatura della perdita relativa al valore della banconota I Rischi Operativi: dalla causa all’effetto Il sostenimento di una perdita operativa è il risultato di una catena di eventi: la gestione non adeguata di un fattore di rischio operativo (processi, persone e sistemi) determina l’accadimento di un evento di rischio: Alcuni esempi di rischio operativo (10)

32 32 (t 0 )(t 1 )(t i )(t i+1 ) (…) Evento di rischio: Apertura del Bancomat in fascia attiva Fattore di rischio: Risorse Umane Gli effetti del rischio: La Banca, ha sostenuto le spese di ripristino del macchiatore a causa dell’apertura in fascia attiva (fuori orari temporizzati) del bancomat da parte dell’operatore di filiale I Rischi Operativi: dalla causa all’effetto Il sostenimento di una perdita operativa è il risultato di una catena di eventi: la gestione non adeguata di un fattore di rischio operativo (processi, persone e sistemi) determina l’accadimento di un evento di rischio: Alcuni esempi di rischio operativo (11)

33 33 (t 0 )(t 1 )(t i )(t i+1 ) (…) Evento di rischio: Riparazione tastiera ATM in seguito ad atto vandalico Fattore di rischio: Eventi Esterni Gli effetti del rischio: La Banca, ha sostenuto le spese di riparazione della tastiera dell’ATM dopo aver constatato l’avvenuta rottura ad opera di vandali I Rischi Operativi: dalla causa all’effetto Il sostenimento di una perdita operativa è il risultato di una catena di eventi: la gestione non adeguata di un fattore di rischio operativo (processi, persone e sistemi) determina l’accadimento di un evento di rischio: Alcuni esempi di rischio operativo (12)

34 34 Le fasi del processo di gestione La fase di identificazione Loss Data Collection, per la ricerca, raccolta e analisi descrittiva dei dati quantitativi interni ed esterni riferiti alle perdite operative; Assessment dei fattori di rischio e di controllo, rivolto al Middle-Management per l’autovalutazione della qualità dei presidi (in altri termini, qualità della gestione dei fattori di rischio) posti in essere per la gestione ed il controllo dei singoli eventi di rischio connessi ai processi aziendali; Indicatori, per l’analisi delle relazioni/dipendenze tra la manifestazione degli eventi di rischio e per l’individuazione di segnali di early-warning; Assicurazioni, per il censimento dei contratti assicurativi in essere e la raccolta delle informazioni relative ai recuperi assicurativi; Analisi di Scenario, per l’identificazione da parte del Top Management delle principali aree di criticità aziendale con l’obiettivo sia di quantificare il capitale a rischio sulla base delle stime soggettive (cd. Expert Opinion), sia di individuare le opportune azioni di mitigazione/trasferimento/ritenzione dei rischi.

35 35 La raccolta dei dati di perdita Ricerca: consiste nelle attività di ricerca delle perdite operative (al lordo ed al netto dei recuperi), di individuazione delle fonti informative da cui attingere i dati e di definizione e formalizzazione delle modalità di censimento; Censimento: in cui si acquisiscono, attraverso l’applicativo dedicato alle attività di LDC, i dati di perdita individuati, operando il censimento materiale nel database. Ė possibile distinguere tra inserimento dei dati in modo automatico o manuale; Validazione: riguarda la verifica della qualità e della completezza dei dati raccolti a livello Locale, e di Gruppo la validazione in termini di completezza dell’informazione e coerenza complessiva dei dati; Partecipazioni a consorzi esterni: attività di trasferimento/ricezione dei dati a/da consorzi esterni (database esterni) per iniziative di data pooling; Invio dati a Organi di Vigilanza: si effettuano segnalazioni statistiche agli Organi di Vigilanza. I dati sono inviati anche alla funzione Controlli Interni della Capogruppo; Analisi eventi rilevanti: consiste nell’esame degli eventi di perdita con un impatto di rilievo a livello aziendale e di Gruppo al fine di comprendere le cause e le implicazioni in termini di mitigazione. Gli eventi esaminati sono individuati sulla base di criteri quantitativi (ad esempio l’ammontare delle perdite) ed, in via residuale, qualitativi; Reporting: per le attività di produzione di report a livello Locale e di Gruppo a richiesta o a scadenze prestabilite da presentare a funzioni interne o all’Organo di Vigilanza.

36 36 Le fasi del processo di gestione La fase di identificazione L’analisi qualitativa ha l’obiettivo di raccogliere valutazioni soggettive sull’evoluzione dei rischi aziendali (forward looking). L’informazione qualitativa richiede giudizi espressi da risorse esperte (qualificati responsabili di unità di business). Uno strumento di analisi qualitativa deve poter trasformare i giudizi espressi dagli esperti in stime di rischio quantitative e coerenti con le stime sui dati storici ed associare alle informazioni sulle stime di rischio le informazioni gestionali necessarie a supportare il decision making. La componente qualitativa del modello di gestione dei rischi operativi prevede due processi principali: Valutazione dei fattori di contesto e di controllo: processo rivolto al middle management (nel documento, responsabili di processo) finalizzato all’autovalutazione della qualità dei presidi posti in essere per la gestione ed il controllo dei singoli eventi di rischio tipici. Analisi di Scenario: strumento rivolto al top management finalizzato ad ottenere stime soggettive su frequenza e impatto degli eventi di rischio per la conduzione di analisi di scenario. La scelta di adottare due strumenti è legata: Al coinvolgimento di tutto il management al fine di responsabilizzare le linee operative nella gestione dei rischi operativi e creare una cultura del rischio tesa a creare valore per l’azienda. Al collegamento dei metodi e degli strumenti di Audit a quelli di Operational Risk Management con la condivisione, oltre dei modelli di classificazione, della mappa dei rischi operativi. Alla definizione di una metodologia di Scenario il cui questionario varia ad ogni analisi in funzione delle criticità e dei rischi identificati e consente, attraverso un numero di domande opportuno, di rivolgere i questionari direttamente ai Direttori Centrali della Capogruppo e ai Direttori Generali delle controllate. I due processi, all’interno del più ampio Operational Risk Framework, sono finalizzati da un lato alla stima del CaR basato su stime soggettive e dall’altro alla raccolta delle informazioni gestionali di supporto alla definizione di un piano di mitigazione.

37 37 L’Assessment dei fattori di contesto e di controllo (di seguito Assessment) è rivolto al Middle Management (nel documento, responsabili di processo) e finalizzato all’autovalutazione della qualità dei presidi posti in essere per la gestione ed il controllo dei singoli eventi di rischio tipici. Predisposizione dei questionari, in cui ogni azienda associa gli eventi di rischio operativi alle unità organizzative definite come responsabili di processo dal punto di vista dell’ORM; Esecuzione dei questionari, che consiste nella compilazione del questionario e nello svolgimento del data quality; Analisi Risultati e Reporting, al fine di individuare ed evidenziare i risultati delle valutazioni raccolte sugli eventi di rischio associati alle unità organizzative, da trasmettere alle funzioni Locali e di Gruppo. L’analisi qualitativa – il risk self assessment

38 38 I processi sono mappati, secondo una struttura che prevede 4 livelli: Processo <> Sottoprocesso <> Fase <> Attività Per ogni singola attività sono stati individuati gli eventuali rischi operativi che potrebbero manifestarsi ed è stata individuata l’unità organizzativa che fa fronte a tale rischio. Esempio di mappatura di processo: Processo: Credito Sottoprocesso: Credito Corporate Fase: Contatto col cliente, Istruttoria, Analisi del rischio, Concessione, Revisione, Gestione del Credito, Monitoraggio del Credito, Gestione del Contenzioso Attività: Analisi Preliminare Delle Esigenze Della Clientela, Contatto Con Il Cliente Processo Credito.xlsx L’analisi qualitativa – il risk self assessment

39 39 Le interrelazioni nelle fasi dell’identificazione “identificazione” Gli input informativi sono raggruppati sulla base di modelli di classificazione al fine di poter utilizzare in maniera omogenea tutte le principali fonti informative sia qualitative, sia quantitative e recepire dati di provenienza esterna. I risultati di processo di Assessment e Loss Data Collection rappresentano le fonti alimentanti dello Scenario. L’efficacia e l’efficienza dell’“identificazione” viene garantita attraverso l’integrazioni e le sinergie di diverse metodologie e attività: Le metodologie di ORM e quelle di Audit condividono i modelli di classificazione standard (c.d. Operational Risk Map); L’integrazione con le attività Organizzative e di ICT si realizza con la definizione del Piano di Gestione dei rischi, ossia attraverso l’allocazione delle risorse agli interventi di mitigazione individuati mediante il processo di budgeting.

40 40 L’analisi di scenario L’analisi di scenario si compone delle seguenti attività: Analisi dati LDC e Assessment: in cui si analizzano le informazioni rivenienti da LDC e da Assessment per individuare gli eventi di rischio rilevanti; Predisposizione dei questionari: in cui per ciascuna Area di Business, si aggregano gli eventi di rischio rilevanti in aree di Criticità, permettendo di strutturare le domande dei questionari. Le domande prima dell’esecuzione sono condivise con le aziende nell’ambito del Tavolo Rischi Operativi, in cui si condividono le risultanze, arrichendole laddove possibile e necessario delle evidenze e del know how dei partecipanti; Esecuzione dei questionari: in cui il Top Management, nell’eseguire il questionario, è chiamato a stimare per ogni domanda frequency, severity, worst case, nonché ad indicare i possibili interventi di mitigazione, ritenzione e trasferimento del rischio; Analisi risultati e reporting: in cui vengono formalizzati i risultati dello Scenario, per la presentazione ai Responsabili delle Aree di Business. Dei risultati dello Scenario viene fornita comunicazione agli Organi Esecutivi.

41 41 L’Analisi di Scenario è un requisito previsto dal regolatore per l’adozione di modelli avanzati di misurazione dei Rischi Operativi. L’Analisi di Scenario “si basa sulle esperienze di qualificati responsabili di unità operative”. L’analisi di scenario

42 42 L’Analisi di Scenario: Integra l’analisi dei dati storici di perdita con le stime soggettive, al fine di identificare annualmente il complessivo profilo di rischio operativo dell’azienda. Supporta l’individuazione delle opportune azioni di assunzione, trasferimento e mitigazione dei rischi in linea con quanto previsto dal regolatore (gestione e monitoraggio dei rischi). Consente di: –Raccogliere le valutazioni soggettive del top management; –Tradurre le valutazioni raccolte in stime quantitative coerenti con l’analisi statistica delle perdite storiche.

43 43 La componente qualitativa – l’analisi di scenario Nella fase di esecuzione dei questionari le valutazioni richieste sono espresse dal top management in un’ottica “forward looking” e rappresentano una stima delle potenziali perdite operative e devono, pertanto, essere espresse al lordo dei relativi rimborsi assicurativi che si prevede possano essere ottenuti. Le stime soggettive richieste per ogni domanda sono tre: Frequenza attesa (frequency): stima della frequenza attesa di accadimento con cui il rischio rilevato potrebbe manifestarsi nel periodo di analisi. Impatto atteso (severity): l’impatto medio del singolo evento di rischio rilevato. Le classi di impatto fra le quali scegliere variano in funzione della precedente risposta sulla classe di frequenza. Caso peggiore (worst case): caso peggiore d’impatto, definito ad un determinato intervallo di confidenza. Anche in questo caso le classi da scegliere variano in funzione della risposta alla precedente domanda (impatto medio). In sede di esecuzione dei questionari, inoltre, vengono individuate le leve gestionali praticabili per un efficace ed efficiente trattamento delle criticità. A tal fine, con il Top Management vengono condivise ed ulteriormente razionalizzate le proposte del Tavolo dei Rischi Operativi in termini di: fattore di rischio su cui intervenire; intervento di mitigazione, trasferimento e ritenzione del rischio. L’output di tale fase costituisce l’elemento fondamentale per la predisposizione del Piano di Gestione ove vengono definiti gli interventi attuativi in merito al trattamento del rischio.


Scaricare ppt "1 Master Auditing e Controllo Interno - Orientamento Part Time Auditing e Controllo Interno nelle Banche I rischi Operativi: modelli di valutazione e problematiche."

Presentazioni simili


Annunci Google