- 1 - Superare la complessità della quantificazione dei rischi connessi ai sistemi informativi attraverso una metodologia strutturata Il rischio accettato Lecce 21 maggio 2004 Marcella di DomenicoLuca Marzegalli
- 2 - Rischio operativo dei sistemi informativi RISCHIO DI MERCATO RISCHIO DI CREDITO Il Rischio secondo Basilea II Stima di perdite quantificabili e contabilizzabili sul conto economico Tecnologie Sistemi informatici (malfunzionamenti e guasti di server, apparati di rete e altri sistemi hardware, etc.) Dati (manomissione o perdita di dati, etc.) Procedure Errori nelle procedure di backup, nelle procedure di aggiornamento delle utenze, etc. Personale Accesso non autorizzato ai sistemi, attacchi informatici, frodi, etc. Il Rischio Operativo dei Sistemi Informativi Perdite RISCHIO OPERATIVO SISTEMI INFORMATIVI
- 3 - Perché valutarli Minore immobilizzazione di capitale in base alle condizioni stabilite dagli accordi di Basilea II Continuo monitoraggio del sistema e individuazione dei fattori chiave per il miglioramento Valutazione del ritorno economico sugli investimenti volti a migliorare il sistema informativo Possibilità di legare il prezzo dei servizi offerti ai rischi effettivamente assunti dalla banca Possibilità di risparmiare capitale trasferendo al mondo assicurativo una parte dei rischi
- 4 - Basilea II - Approcci Vantaggi Basic Indicator Approach (BIA) Standardized Approach (SA) Advanced Measurement Approach (AMA) Complessità e costi Il requisito di capitale richiesto è pari al prodotto del Gross Income (GI) a livello di Gruppo per un coefficiente α, provvisoriamente fissato al 15%. Il requisito di capitale si ottiene suddividendo lattività della banca in business line standard e applicando al GI di ciascuna di esse un coefficiente β che va da un 12% a un 18%; il requisito a livello di Gruppo è la somma dei requisiti delle business lines. In questa opzione dello spettro di metodologie di misurazione, il capitale regolamentare è ottenuto applicando una metodologia interna della banca
- 5 - AMA: Approcci Proposti da Basilea 2 TEMPI DI IMPLEMEN- TAZIONE COSTIRISORSEINTERNENECESSARIE NECESSITA DATI DI PERDITA IMA LDA SCORECARD Internal Measurement Analysis Il requisito di capitale dipende dalla somma delle perdite attese e inattese. Le perdite attese di ogni linea di business sono calcolate esaminando i dati storici di perdita media; le perdite inattese si ottengono moltiplicando le perdite attese per un fattore gamma fornito da analisi di settore (standard industry factor). Loss Distribution Analysis Il requisito di capitale viene ricavato dallapplicazione di una distribuzione statistica che modella i dati storici di perdita (interni ed esterni), in modo simile al modelli usati per calcolare i rischi di credito e di mercato. Scorecard Il requisito di capitale viene calcolato attraverso unanalisi dei dati storici di perdita ma con unevoluzione nel tempo guidato non solamente dal cambiamento dei dati storici ma anche dallanalisi di indicatori quantitativi sui rischi futuri e stime qualitative prodotte dai sistemi di controllo. Medi Lunghi Medio Brevi Medio Bassi Medio Alti Medio Alti Alta Molto Alta Media Basse Medie Alte
- 6 - Reperibilità di serie storiche consistenti sui dati di perdita Necessità di utilizzare dati storici interni ed esterni continuamente aggiornati sulla frequenza degli eventi e sulle perdite subite a seguito di incidenti ai sistemi informativi Definizione di una base statistica per valutare eventi a bassa probabilità di accadimento ed alto impatto economico Eterogeneità delle fonti informative Difficoltà nellidentificazione del livello di dettaglio adeguato di analisi del contesto Complessità nelladattare dati esterni al contesto specifico Difficoltà nellintegrazione di dati qualitativi Complessità della valutazione RILEVAZIONE INFORMAZIONI POSIZIONAMENTO E CONTESTO OPERATIVO STIMA PERDITA Mancanza di una metodologia consolidata che tragga beneficio dellutilizzo dati provenienti dalle varie fonti Necessità di un adeguato livello di precisione delle stime, compatibile con il budget a disposizione Difficoltà nellintegrare diversi approcci e modelli per avere risultati più precisi Necessità di continui controlli sulla metodologia applicata Difficoltà nellintegrazione di dati soggettivi Necessità di gestione della complessità attraverso una metodologia che sia adeguata al contesto di riferimento e alla disponibilità di dati sia interni che esterni I maggiori benefici si traggono da modelli di stima efficienti, ossia in grado di prevedere la perdita in base a poche variabili significative e facilmente osservabili.
- 7 - La metodologia RILEVAZIONE CONTESTO INPUTSIMULAZIONEOUTPUT Quantitativo Qualitativo RILEVAZIONE PERDITE Quantitativo FREQUENZA - IMPATTO CALIBRAZIONE REQUISITO PATRIMONIALE INDICATORI DI CONTROLLO ELEMENTI DI MITIGAZIONE DEL RISCHIO MODELLIZZAZIONE PERDITA FATTORI DI CORREZIONE (Cambiamenti, Assicurazioni, Qualità dei Controlli …)
- 8 - La metodologia: INPUT RILEVAZIONE CONTESTO RILEVAZIONE PERDITE BUSINESS INFRASTRUTTURA TECNOLOGICA PROCESSI CHIAVE RELAZIONI ESTERNE STRUTTURA ORGANIZZATIVA CATEGORIZZAZIONE DATI STORICI INTERNI Basato su analisi della documentazione esistente in azienda e sulla ricostruzione storica dei key informants DATI STORICI ESTERNI Basati su un archivio di rilevazioni annuali di campione significativo di aziende RILEVAZIONE INDICATORI CHIAVE DI PROCESSO E CONTROLLO
- 9 - La metodologia: SIMULAZIONE MODELLIZZAZIONE FREQ./IMPATTO INDIVIDUAZIONE COMPONENTI DI RISCHIO CALIBRAZIONE Basata su dati qualitativi derivati dallesperienza MODELLIZZAZIONE DATI STORICI FREQUENZA IMPATTO MODELLIZZAZIONE PERDITA CONFRONTO MODELLI AFFINAMENTO MODELLO MOD. 1 MOD. 2 MOD. 3 MOD. 4 SCELTA MODELLO MODELLO FINALE PERDITA FATTORI DI CORREZIONE (Cambiamenti futuri, Assicurazioni, Qualità dei Controlli …)
CARMM® Il Tool Computer Aided Risk Management Methodology Interfaccia utente intuitiva Linearità nella compilazione dei questionari Procedure guidate per il raggiungimento delle stime Possibilità di effettuare e confrontare Simulazioni CARMM ® Requisiti per poter utilizzare Advanced Measurement Approaches (AMA) Valutazione pregeresso Campionatura tecnica
RIFERIMENTI GRAZIE DELLATTENZIONE Luca Marzegalli CEFRIEL – Politecnico di Milano Security Lab Via Fucini MILANO tel. 02 – fax. 02 – Marcella Di Domenico Siemens Informatica S.p.A. Gruppo Siemens Business Services Security Manager Via del Maggiolino ROMA tel fax