Vigilanza Internazionale Basilea II e l’analisi del Rischio Operativo Relazioni tra rischi operativi e Business Continuity nella visione della Vigilanza Internazionale Dott. Paolo Cruciani

Il “New Capital Accord” I presupposti Innovazione di prodotto e processo Disintermediazione e sviluppo dei servizi Concentrazioni bancarie Casi di perdite diverse da credito e mercato di importo rilevante Conseguenza una inadeguata valutazione del rischio operativo può portare, secondo il Comitato di Basilea, ad un visione distorta del: profilo di rischio complessivo della banca, redditività a livello di impresa e di aree operative requisiti patrimoniali

Previsione di un “buffer” autonomo di capitale destinato ai Rischi Operativi La soluzione Identificazione di un autonomo coefficiente di assorbimento patrimoniale per i Rischi Operativi Obiettivi ampliare il numero dei rischi regolamentati ed evitare arbitraggi normativi migliorare i sistemi di gestione e controllo incoraggiare tecniche di attenuazione/trasferimento del rischio

Le metodologie di calcolo del coefficiente patrimoniale standard non consentono di apprezzare il rischio legato ad eventi catastrofici Basic Approach Requisito = a *EI Attività d’investimento Aree d’affari Linee di business Finanza d’impresa Negoziazione Attività bancaria Altre attività Retail Commercial Servizi di pagamento Agenzia e Custodia Retal Brokerage Asset management Standardised Approach Requisito = S i=1,8 (bi *EIi) Advanced Measurement Approach Componenti del modello Requisito = misurazione interna Dati interni Dati esterni Analisi di scenario Fattori qualitativi

I coefficienti patrimoniali sono basati su tecniche Attuariali L’analisi delle distribuzioni definisce il capitale regolamentare richiesto PROBABILITA’ IMPATTO Accantonamento Media Soglia di confidenza Assorbimento Patrimoniale Quest’area non può essere coperta dal Capitale Regolamentare Eventi Estremi Perdita attesa Perdita inattesa

Gli aspetti Organizzativi di presidio del rischio necessità di introdurre strutture organizzative, strumenti e procedure specificamente dedicate alla gestione del rischio operativo Soluzione Definire un processo autonomo di Operational Risk Management che preveda le seguenti fasi: Rilevazione Assessment Monitoraggio Controllo e Mitigazione

Le indicazioni di Basilea: le “Sound Practices” I presupposti Le aziende bancarie stanno già adottando tecniche di mitigazione dei rischi operativi Molte di queste tecniche rispondono ottimamente agli obiettivi dell’organo di Vigilanza Conseguenza Dall’esame dei processi in essere a livello europeo è stato elaborato un Decalogo operativo destinato a: Indirizzare le strutture di presidio del rischio nelle singole aziende, Orientare i processi di supervisione da parte degli organi di vigilanza nazionale

I dieci principi dell’Operational Risk Management Coinvolgimento del Top Management Auditing “indipendente” sul processo di O.R.M. Responsabilità del Senior Management nel disegno e implementazione del Framework dell’O.R.M. Identificazione e valutazione dei rischi operativi esistenti in tutte le attività aziendali Implementazione del processo di monitoraggio dei rischi Necessità di dotarsi di processi e procedure per il controllo e la mitigazione dei rischi operativi Necessità di assicurare la Business Continuity Controlli di Vigilanza per tutte le Banche (indipendentemente dalle dimensioni) Valutazione periodica della qualità dei sistemi di O.R.M. Obbligo di dare informativa al mercato sui sistemi di O.R.M. 1 2 3 Ambiente 4 5 6 7 Processo 8 9 Super-visione 10 Disclosure

I fatti dell’11 settembre hanno indotto una sostanziale modifica dell’articolo 7 Principle 7: Banks should have in place contingency and business continuity plans to ensure their ability to operate as going concerns and minimise losses in the event of severe business disruption. Principle 7: Banks should have in place contingency and business continuity plans to ensure their ability to operate as going concerns and minimise losses in the event of severe business disruption. For reasons that may be beyond a bank’s control, a severe event may result in the inability of the bank to fulfil some or all of its business obligations, particularly where the bank’s physical, telecommunication, or information technology infrastructures have been damaged or made inaccessible. This can, in turn, result in significant financial losses to the bank, as well as broader disruptions to the financial system through channels such as the payments system. This potential requires that banks establish business resumption and contingency plans that take into account different types of plausible scenarios to which the bank may be vulnerable, commensurate with the size and complexity of the bank’s operations. Banks should identify critical business processes, including those where there is dependence on external vendors or other third parties, for which rapid resumption of service would be most essential. For these processes, banks should identify alternative mechanisms for resuming service in the event of an outage. Particular attention should be paid to the ability to restore electronic or physical records that are necessary for business resumption. Where such records are backed-up at an off-site facility, or where a bank’s operations must be relocated to a new site, care should be taken that these sites are at an adequate distance from the impacted operations to minimise the risk that both primary and back-up records and facilities will be unavailable simultaneously. Banks should periodically review their business resumption and contingency plans so that they are consistent with the bank’s current operations and business strategies. Moreover, these plans should be tested periodically to ensure that the bank will be able to execute the plans in the unlikely event of a severe business disruption.

Cosa devono fare le banche Definire gli eventi che possono interrompere significativa-mente gli affari (provocare inadempimento nelle obbligazioni assunte con i clienti) Identificare i processi critici soggetti, direttamente o in seguito a disfunzioni che colpiscano i fornitori, al rischio di generare interruzioni del business Definire, per questi processi, azioni preventive e piani di emergenza diretti a consentire il pronto ripristino dell’operatività Revisionare periodicamente i propri piani di emergenza in funzione delle strategie aziendali e svolgere adeguati test per assicurare la corretta esecuzione dei piani in caso di effettiva interruzione di servizio.

Quali sono le principali aree di rischio? devono essere dotati di opportuni strumenti che garantiscano il rapido ripristino dell’operatività Sistemi IT: sono necessari adeguati sistemi di back up Dati: devono essere previste misure preventive e piani di contingency in caso di perdita di personale chiave Persone: i processi critici devono essere dotati di modalità alternative di svolgimento in caso di evento catastrofico Processi: occorre limitare la dipendenza da singoli fornitori e monitorare le misure preventive adottate da quelli più critici Fornitori: