Il RISCHIO OPERATIVO - Servizio di Hosting di Roma Tre

Il RISCHIO OPERATIVO
Misura e gestione
La normativa di vigilanza
NEMANJA RADIĆ
23/04/2009
AGENDA
Introduzione
I.
La misura del rischio operativo
II.
La costruzione di un database delle perdite operative
La valutazione del rischio operativo
L’autodiagnosi del rischio operativo
La gestione del rischio operativo
I requisti patrimoniali sul rischio operativo
III.
2
La definizione del rischio operativo
I fattori di rischio
Le pecularità del rischio operativo
L’approccio dell’indicatore base
L’approccio standardizzato
L’approccio avanzato
Il ruolo del secondo e del terzo pilastro
Introduzione
Secondo un recente studio della Federal Reserve Bank of Boston, tra il 1992 e
il 2002 le istituzioni finanziarie hanno sofferto più di 100 perdite superiori a
100 milioni di dollari a causa del rischio operativo.
Il rischio operativo è difficile da definire, ed esistono varie definizioni
utilizzate dalle grandi banche internazionali e riportate nei loro bilanci.
Il nuovo accordo sul capitale di Basilea del 2004 adotta una definizione di
rischio operativo: esso è definito come ’’il rischio di perdite derivanti dalla
inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi
interni, oppure da eventi esogeni’’.
Il Comitato di Basilea, sceglie di concentrarsi sulle perdite direttamente
riconducibili al rischio operativo ed esclude le sue possibili conseguenze
indirette, guardando non ai suoi effetti, ma alle sue cause.
3
I fattori di rischio
I quatro fattori di rischio indicati dal Comitato del Basilea possono essere
descritti come segue:
1.
Risorse umane – si tratta di eventi come errori, frodi, violazioni di
regole e procedure interne, problemi di incompetenza e negligenza
(esempio di UBS Warburg nel dicembre 2001 subi una perdita di 50
milioni di dollari sul suo portafoglio azionario giapponese a causa di un
errore di inserimento dei dati, relativo al numero di azioni negoziate).
Sistemi informatici – questo fattore include aspetti tecnologici, come
guasti nell’hardware e nel software, ingressi non autorizzati di estranei
nei sistemi informatici e presenza di virus, guasti alle telecomunicazioni
(per esempio, incursioni di hacker, perdite di dati, interruzioni
dell’elettricità, errori di lavorazione nei processi).
2.
4
I fattori di rischio
3.
Processi – questo fattore include procedure e controlli interni difettosi o
inadeguati (per esempio, al rischio di errori nel calcolo delle imposte
dovute dalla banca, nell’esecuzione e/o liquidazione di transazioni in titoli
e in divise estere, in errori contabili e di registrazione, o, ancora nei
sistemi di risk management della banca).
4.
Eventi esterni – includono tutte le perdite cagionate da cause esterne,
non direttamente controllabili dal management della banca (per esempio,
modifice nel quadro politico, regolarmente o legale che comportino
nuovi costi o una riduzione dei ricavi aziendali, atti criminali come furti,
vandalismo, rapine e terrorismo, terremoti e altre catastrofi naturali).
5
Il classificazione del rischio operativo
6
Le pecularità del rischio operativo
1.
La peculiarità del rischio operativo è solo una naturale e inevitabile
conseguenza delle attività svolte dalla banca stessa.
2.
Il rischio operativo è intrinsecamente connesso all’attività bancaria, e non
è possibile eliminarlo.
3.
Una seconda peculiarità è connessa alla sua natura di rischio puro
piuttosto che speculativo.
4.
Una terza peculiarità, riguarda il mancato rispetto del principio per cui un
maggiore rischio è associato a un maggior rendimento atteso.
5.
Una quarta peculiarità è che la sua comprensione e la sua identificazione
sono generalmente più complesse rispetto a quelle dei rischi finanziari.
Il rischio operativo si distingue dalle altre tipologie di rischio per la carenza di
strumenti di copertura che consentano di prezzarlo e trasferirlo ad altri
soggetti.
7
Alcuni esempi di rischio
8
La misura del rischio operativo
I principali obiettivi di un sistema di misura del rischio operativo sono:
1.
In primo luogo, esso dovrebbe consentire la tempestiva rilevazione e
archiviazione degli eventi di perdita allorchè questi si manifestano.
2.
In secondo luogo, dovrebbe permettere alla banca di stimare le
perdite attese e le perdite inattese, destinate a essere coperte con
capitale degli azionisti.
3.
In terzo luogo, il sistema dovrebbe consentire una migliore
comprensione dei fattori da cui origina il rischio operativo, cosi da
consentire l’impostazione di adeguate politiche di contenimento e
copertura del rischio, la cui efficacia possa essere verificata nel
tempo.
9
La costruzione di un database
delle perdite operative
La construzione di una base di dati in cui archiviare le perdite legate al
rischio operativo presenta diverse difficoltà:
1.
Primo problema nasce dal fatto che alcuni eventi collegati al rischio
operativo producono perdite difficili da quantificare.
2.
Secondo problema è che alcuni degli eventi legati al rischio operativo
sono assai rari (per esempio, le catastrofi naturali).
3.
Terzo problema ha a che fare con la scarsa affidabilità dei dati storici
per la stima della probabilità e dell’entità delle perdite future.
4.
Ultimo problema deriva dal fatto che le grandi banche hanno
cominciato a prestare attenzione al rischio operativo solo nel corso
degli anni Novanta.
10
Database delle perdite operative dovrebbe includere
le seguenti categorie di informazioni:
Dati sulla perdita
11
Valore nominale ed effettivo, data d’inizio e di fine del
fenomeno che ha causato la perdita, tipologia di
esborso, tipo di valore e breve descrizione
dell’evento che ha causato la perdita.
Dati sul proprietario
della perdita
È necessario che ogni perdita
venga riferita all’area di attività (o
business unit) su cui tale perdita si
è scaricata.
Dati sui fattori di
rischio
Per ognuno dei quattro fattori di
rischio è necessario rilevare una
batteria di indicatori.
Dati su eventuali
rimborsi
Questi informazioni sono necessari per poter
verificare, l’efficacia dei diversi strumenti di
mitigazione del rischio utilizzati dalla banca.
La valutazione del rischio operativo
La distibuzione delle perdite - descrive la dimensione della perdita,
una volta che si verifica.
La frequenza degli eventi di perdita - descrive il numero di eventi
di perdita per un determinato intervallo di tempo.
La Perdita di gravità può essere inserita in una tabella di dati storici, per
esempio, la perdita delle misure di gravità yk, al tempo k. Definire Pk come
indice dei prezzi al consumo al momento k, e VK come attività misura
come il numero delle operazioni. Si potrebbe supporre che la gravità è
proporzionale al volume di affari a V e il livello dei prezzi.
12
La valutazione del rischio operativo
La frequenza degli eventi di perdita, è definito dalla variabile n, che
rappresenta il numero di occorrenze di perdite nel corso del periodo. La
funzione di densità è:
pdf of loss frequency = f(n), n = 0, 1, 2,…
Se x (o X) è la perdita della gravità quando si verifica una perdita, la sua
densità è:
pdf of loss severity = g (x | n=1), x≥0
Infine, la perdita totale per il periodo, è dato dalla somma delle singole
perdite nel corso di un numero casuale di eventi:
13
Un esempio (1)
La tabella successiva fornisce un semplice esempio di due di tali
distribuzioni.
Il nostro compito è ora quello di combinare queste due distribuzioni in
una sola, quella del totale delle perdite nel corso del periodo.
The two distributions can be combined into a distribution of aggregate
loss through a process known as convolution (through tabulation).
14
Un esempio (2)
15
L’autodiagnosi del rischio operativo
La concreta applicazione dei rischi operativi è limitata da diversi ostacoli,
in particolare:
Le basi di dati disponibili sono spesso limitate (in termini di numero di
anni coperti e di variabili archiviate) e di cattiva qualità.
È difficile definire in modo sufficientemente obiettivo e generale i
control environment factors utilizzati per rappresentare i fattori di
rischio da cui dipende il rischio operativo.
Essendo difficile misurare formalmente la dipendenza delle diverse
categorie di perdite operative dai fattori di rischio, diventa complessa e
incerta anche la stima del grado di correlazione e di dipendenza tra tali
categorie di perdite (cosi non è possibile stimare il VaR).
16
L’autodiagnosi del rischio operativo
Per motivi precedenti molte banche hanno introdotto sistemi di valutazione
soggetiva (self assessment o autodiagnosi) della propria vulnerabilità alle
perdite operative.
La principale controindicazione di questi meccanismi di autodiagnosi è che
essi si basano principalmente sulle valutazioni del management.
Vi è dunque il pericolo di una coincidenza tra controllato e controllore, che
può essere arginato in due modi:
1.
Gli exposure indicator e i livelli di rischio rilevati per ogni business unit
dovrebbero essere riscontrati utilizzando ulteriori fonti informative,
anche esterne e risultare in linea con le valutazioni medie disponibili a
livello di settore bancario
17
L’autodiagnosi del rischio operativo
2.
La valutazione del profilo di rischio di ogni business unit, pur essendo
alimentata con dati e giudizi provenienti dalla business unit stessa,
dovrebbe fare capo a un’unità indipendente, in seno al risk management
o all’internal audit.
I sistemi di autodiagnosi presenterano anche alcuni vantaggi: costituiscono un
approcio relativamente flessibile e facilmente adattabile alla complessità
organizzativa delle diverse banche; possono essere implementati a diversi
livelli di sofisticazione.
18
La gestione del rischio operativo
La gestione del rischio operativo si caratterizza per due obiettivi di fondo.
1.
Primo è minimizzare l’esposizione al rischio.
2.
Un secondo importante obiettivo è creare un adeguato sistema di
incentivi alla riduzione del rischio.
Una volta identificata e quantificata una certa area di rischio, la bancha ha a
disposizione tre alternative:
Keep – l’opzione keep si associa, solitamente agli eventi di rischio a
basso impatto, siano essi a elevata o a bassa frequenza (eventi HFLI e
LFLI). Gli eventi possono essere coperti con riserve.
Insure – la possibilità di acquistare coperture assicurative. Le polizze
assicurative vengono solitamente utilizzate a fronte di eventi a bassa
frequenza e alto impatto (LFHI), in genere dovuti a fattori esterni di tipo
naturale (terremoti), politici o regolamentari.
19
La gestione del rischio operativo
Hedge – questa opzione è utilizzata per i rischi considerati
incompatibili con la capacità di assorbimento delle perdite della banca. I
fattori di rischio sono interni della banca e non a cause esterne.
20
Alcuni dati empirici
21
Alcuni dati empirici
Basi di dati interbancarie sul rischio operativo:
Morexchange (Multinational Operational Risk Exchange) – database
introdotto nel novembre 2000 da grandi instituzioni finanziarie
come J.P. Morgan, Royal Bank of Canada,…
Il consorzio interbancario GOLD (Global Operational Loss
Database) gestito dall’associazione bancaria britannica.
Il database DIPO (Database Italiano Perdite Operative) gestito dalla
Associazione Bancaria Italiana.
22
I requisti patrimoniali sul rischio operativo
L’accordo del 2004 ha introdotto un requisto patrimoniale anche a fronte
del rischio operativo, cosi da rendere il capitale minimo di vigilanza
maggiormente sensibile all’effettivo profilo di rischio delle banche,
avvicinandolo alle misure di rischio da esse adottate a fini gestionali.
Il calcolo del requisto proposto dal Comitato di basilea si fonda su tre
approcci alternativi, via via più complessi e precisi:
AMA
Sophistication
Standard
Approach
Basic
Indicators
Approach
23
Better capital
allocation
L’approccio dell’indicatore base
Questo approccio prevede che il requisto patrimoniale sia commisurato al
margine d’intermediazione (MID) della banca. MID misura i suoi ricavi
operativi lordi ed è in qualche misura assimilabile al fatturato delle imprese
industriali.
Il margine d’intermediazione viene moltiplicato per un coefficiente di
rischio α=15% fissato dal Comitato di Basilea, e viene applicato al valore
medio degli ultimi tre anni del margine d’intermediazione per ottenere il
requisto patrimoniale kRO relativo al rischio operativo:
dove N rappresenta il numero di anni, tra gli ultimi tre, in cui MID è stato positivo.
24
L’approccio standardizzato
Questo approcio prevede che il requisto patrimoniale sia misurato
separatamente per le principali linee di attività moltiplicando il loro
margine d’intermediazione per uno specifico coefficiente di rischiosità βi,
diverso per le singole business line.
Il Comitato richiede che tutti i ricavi operativi della banca vengano
ricondotti a una sola business line tra le otto indicate di Comitato di
Basilea 2006.
25
L’approccio standardizzato
I valori dei coefficienti βi vanno moltiplicati per il margine
d’intermediazione facendo riferimento alla media degli ultimi tre anni, e
anche sono stati fissati dal Comitato.
Nell’approccio standardizzato il requisto patrimoniale relativo al rischio
operativo è pari a:
Dove MIDj,t-i indica il margine d’intermediazione della j-esima business line
nell’anno t-i, mentre βj sono coefficienti indicati nella tabella.
26
L’approccio standardizzato
Il Comitato di Basilea ha previsto che le singole autorità di vigilanza nazionali
possano introdurre anche un approccio standardizzato alternativo (ASA). In
questo approccio, il MID effetivo di due business line particolarmente
vulnerabili alle distorsioni (retail banking e commercial banking) può essere
sostituito da un MID convenzionale pari al 3,5% dei prestiti in essere negli
ultimi tre anni.
I requisti per l’adozione dell’approccio standardizzato:
Per potter utilizzare questo approccio la banca deve dimostrare che il suo
consiglio di amministrazione e il top management sono attivamente
coinvolti nella supervisione delle metodologie di gestione del rischio
operativo.
Se la banca utilizza l’approccio standardizzato è attiva in mondo
internazionale, deve comunque investire adeguatamente in sistemi interni di
misura del rischio operativo (modelli e metodologie per il controllo).
27
Managing Operational Risk
Evaluation & mesure : approches
Sensitivity to risks
Top Down
Risk Cartography
Risk Global
Assessmenet
Regulatory capital requirements
Regulatory Capital
Reallocation to
Business Lines
Risk management requirements
Sophistication
Bottom Up
Business Lines
declaration of
operational losses
28
Risk assessement based on
historical data and scenarios
Calculating
regulatory capital
L’approccio avanzato
Si prevede che una banca che abbia sviluppato un modello per la misura
del rischio e la determinazione del relativo capitale economico possa,
subordinamente ad alcune condizioni qualitative e quantitative, utilizzarlo
anche per determinare il requisto patrimoniale minimo obbligatorio.
Il Comitato lascia ogni banca di scegliere la propria metodologia.
Il Comitato di Basilea menzionava tre possibili approcci alla stima del
rischio operativo per l'approccio avanzato:
1.
29
L’internal measurement approach - prevede che le attività della
banca venissero segmentate in linee di business predefinite e che
fosse identificata una gamma di possibili eventi rischiosi.
L’approccio avanzato
2.
Il loss distribution approach - prevedeva che la banca stimasse. Per
ogni linea di business, l’intera distribuzione di probabilità delle perdite
e la tagliasse in corrispondenza del percentile desiderato
3.
Lo scorecard approach - prevedeva che la singola banca
determinasse il capitale complessivo allocato al rischio operativo e
successivamente lo attribuisse alle singole business line sulla base del
relativo profilo di rischio.
30
I Condizioni per l'applicazione di standard e di
approccio AMA
Reporting
Capital management
Capital measurement
Risk Reduction (insurance)
Capital Allocation
Operational environment and internal
control
Key Risk Indicators
Risk Control Self Assessment
Losses data
Internal Losses
External Losses
Scenarios Analysis
Procedures & gouvernance structure
31
Il ruolo del secondo e del terzo pilastro
Il nuovo schema di adeguatezza patrimoniale proposto dal Comitato di basilea
si fonda su tre pilastri: il primo stabilisce regole per il calcolo dei requisti
patrimoniali, il secondo riguarda l’attività di supervisione svolta dalle autorità
di vigilanza nazionali e il terzo mira a rafforzare l’effetto di disciplina che il
mercato esercita sulle politiche di rischio delle banche.
Minimum Capital
Quantitative approach for :
Market risk
Credit risk
Operational risk
32
Pillar 2
Prevede gli organi di vigilanza verifichino che ogni
banca abbia sviluppato un efficace sistema di
misurazione e controllo dei rischi, e ponga in
essere adeguate strategie per garantire la propria
adeguatezza patrimoniale.
Pillar 3: Market Discipline
Il Comitato ha definito un set di
informazioni minime che ogni banca è
tenuta a rendere pubbliche al
mercato.
Punti critici dell’accorodo del 2004
1.
Il rischio operativo è un rischio tipicamente idiosincratico, e non
sistemico. Di conseguenza questo rischio mette a repentaglio la
sopravvivenza di singoli intermediari, ma non la stabilità complessiva del
sistema.
2.
Seconda critica si fonda sull’enorme difficoltà di misurare in modo
adeguato e oggettivo questa tipologia di rischio.
3.
Le possibili conseguenze negative di un requisito patrimoniale a fronte
del rischio operativo.
4.
Gli approcci dell’indicatore base e standardizzato sono stati criticati,
soprattuto per la loro logica top down, che calcola il requisito
patrimoniale partendo dal margine d’intermedazione dell’intera banca o
di un’intera business line.
5.
Il livello di confidenza del 99,9% prescritto negli approcci avanzati appare
molto elevato.
33
Per ulteriori approfondimenti
Philippe Jorion (2003), Financial Risk Manager Handbook
(2nd Ed.), John Wiley and Sons
Karen A. Horcher (2005), Essentials of Financial Risk
Management, John Wiley and Sons
… oltre al libro di testo:
Resti A., Sironi A. (2008), Rischio e valore nelle banche,
Egea, Milano
34
Contatto
NEMANJA RADIĆ
Email:
[email protected]
Web site: http://www.linkedin.com/in/nemanjaradic
35