Il RISCHIO OPERATIVO Misura e gestione La normativa di vigilanza NEMANJA RADIĆ 23/04/2009 AGENDA Introduzione I. La misura del rischio operativo II. La costruzione di un database delle perdite operative La valutazione del rischio operativo L’autodiagnosi del rischio operativo La gestione del rischio operativo I requisti patrimoniali sul rischio operativo III. 2 La definizione del rischio operativo I fattori di rischio Le pecularità del rischio operativo L’approccio dell’indicatore base L’approccio standardizzato L’approccio avanzato Il ruolo del secondo e del terzo pilastro Introduzione Secondo un recente studio della Federal Reserve Bank of Boston, tra il 1992 e il 2002 le istituzioni finanziarie hanno sofferto più di 100 perdite superiori a 100 milioni di dollari a causa del rischio operativo. Il rischio operativo è difficile da definire, ed esistono varie definizioni utilizzate dalle grandi banche internazionali e riportate nei loro bilanci. Il nuovo accordo sul capitale di Basilea del 2004 adotta una definizione di rischio operativo: esso è definito come ’’il rischio di perdite derivanti dalla inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni’’. Il Comitato di Basilea, sceglie di concentrarsi sulle perdite direttamente riconducibili al rischio operativo ed esclude le sue possibili conseguenze indirette, guardando non ai suoi effetti, ma alle sue cause. 3 I fattori di rischio I quatro fattori di rischio indicati dal Comitato del Basilea possono essere descritti come segue: 1. Risorse umane – si tratta di eventi come errori, frodi, violazioni di regole e procedure interne, problemi di incompetenza e negligenza (esempio di UBS Warburg nel dicembre 2001 subi una perdita di 50 milioni di dollari sul suo portafoglio azionario giapponese a causa di un errore di inserimento dei dati, relativo al numero di azioni negoziate). Sistemi informatici – questo fattore include aspetti tecnologici, come guasti nell’hardware e nel software, ingressi non autorizzati di estranei nei sistemi informatici e presenza di virus, guasti alle telecomunicazioni (per esempio, incursioni di hacker, perdite di dati, interruzioni dell’elettricità, errori di lavorazione nei processi). 2. 4 I fattori di rischio 3. Processi – questo fattore include procedure e controlli interni difettosi o inadeguati (per esempio, al rischio di errori nel calcolo delle imposte dovute dalla banca, nell’esecuzione e/o liquidazione di transazioni in titoli e in divise estere, in errori contabili e di registrazione, o, ancora nei sistemi di risk management della banca). 4. Eventi esterni – includono tutte le perdite cagionate da cause esterne, non direttamente controllabili dal management della banca (per esempio, modifice nel quadro politico, regolarmente o legale che comportino nuovi costi o una riduzione dei ricavi aziendali, atti criminali come furti, vandalismo, rapine e terrorismo, terremoti e altre catastrofi naturali). 5 Il classificazione del rischio operativo 6 Le pecularità del rischio operativo 1. La peculiarità del rischio operativo è solo una naturale e inevitabile conseguenza delle attività svolte dalla banca stessa. 2. Il rischio operativo è intrinsecamente connesso all’attività bancaria, e non è possibile eliminarlo. 3. Una seconda peculiarità è connessa alla sua natura di rischio puro piuttosto che speculativo. 4. Una terza peculiarità, riguarda il mancato rispetto del principio per cui un maggiore rischio è associato a un maggior rendimento atteso. 5. Una quarta peculiarità è che la sua comprensione e la sua identificazione sono generalmente più complesse rispetto a quelle dei rischi finanziari. Il rischio operativo si distingue dalle altre tipologie di rischio per la carenza di strumenti di copertura che consentano di prezzarlo e trasferirlo ad altri soggetti. 7 Alcuni esempi di rischio 8 La misura del rischio operativo I principali obiettivi di un sistema di misura del rischio operativo sono: 1. In primo luogo, esso dovrebbe consentire la tempestiva rilevazione e archiviazione degli eventi di perdita allorchè questi si manifestano. 2. In secondo luogo, dovrebbe permettere alla banca di stimare le perdite attese e le perdite inattese, destinate a essere coperte con capitale degli azionisti. 3. In terzo luogo, il sistema dovrebbe consentire una migliore comprensione dei fattori da cui origina il rischio operativo, cosi da consentire l’impostazione di adeguate politiche di contenimento e copertura del rischio, la cui efficacia possa essere verificata nel tempo. 9 La costruzione di un database delle perdite operative La construzione di una base di dati in cui archiviare le perdite legate al rischio operativo presenta diverse difficoltà: 1. Primo problema nasce dal fatto che alcuni eventi collegati al rischio operativo producono perdite difficili da quantificare. 2. Secondo problema è che alcuni degli eventi legati al rischio operativo sono assai rari (per esempio, le catastrofi naturali). 3. Terzo problema ha a che fare con la scarsa affidabilità dei dati storici per la stima della probabilità e dell’entità delle perdite future. 4. Ultimo problema deriva dal fatto che le grandi banche hanno cominciato a prestare attenzione al rischio operativo solo nel corso degli anni Novanta. 10 Database delle perdite operative dovrebbe includere le seguenti categorie di informazioni: Dati sulla perdita 11 Valore nominale ed effettivo, data d’inizio e di fine del fenomeno che ha causato la perdita, tipologia di esborso, tipo di valore e breve descrizione dell’evento che ha causato la perdita. Dati sul proprietario della perdita È necessario che ogni perdita venga riferita all’area di attività (o business unit) su cui tale perdita si è scaricata. Dati sui fattori di rischio Per ognuno dei quattro fattori di rischio è necessario rilevare una batteria di indicatori. Dati su eventuali rimborsi Questi informazioni sono necessari per poter verificare, l’efficacia dei diversi strumenti di mitigazione del rischio utilizzati dalla banca. La valutazione del rischio operativo La distibuzione delle perdite - descrive la dimensione della perdita, una volta che si verifica. La frequenza degli eventi di perdita - descrive il numero di eventi di perdita per un determinato intervallo di tempo. La Perdita di gravità può essere inserita in una tabella di dati storici, per esempio, la perdita delle misure di gravità yk, al tempo k. Definire Pk come indice dei prezzi al consumo al momento k, e VK come attività misura come il numero delle operazioni. Si potrebbe supporre che la gravità è proporzionale al volume di affari a V e il livello dei prezzi. 12 La valutazione del rischio operativo La frequenza degli eventi di perdita, è definito dalla variabile n, che rappresenta il numero di occorrenze di perdite nel corso del periodo. La funzione di densità è: pdf of loss frequency = f(n), n = 0, 1, 2,… Se x (o X) è la perdita della gravità quando si verifica una perdita, la sua densità è: pdf of loss severity = g (x | n=1), x≥0 Infine, la perdita totale per il periodo, è dato dalla somma delle singole perdite nel corso di un numero casuale di eventi: 13 Un esempio (1) La tabella successiva fornisce un semplice esempio di due di tali distribuzioni. Il nostro compito è ora quello di combinare queste due distribuzioni in una sola, quella del totale delle perdite nel corso del periodo. The two distributions can be combined into a distribution of aggregate loss through a process known as convolution (through tabulation). 14 Un esempio (2) 15 L’autodiagnosi del rischio operativo La concreta applicazione dei rischi operativi è limitata da diversi ostacoli, in particolare: Le basi di dati disponibili sono spesso limitate (in termini di numero di anni coperti e di variabili archiviate) e di cattiva qualità. È difficile definire in modo sufficientemente obiettivo e generale i control environment factors utilizzati per rappresentare i fattori di rischio da cui dipende il rischio operativo. Essendo difficile misurare formalmente la dipendenza delle diverse categorie di perdite operative dai fattori di rischio, diventa complessa e incerta anche la stima del grado di correlazione e di dipendenza tra tali categorie di perdite (cosi non è possibile stimare il VaR). 16 L’autodiagnosi del rischio operativo Per motivi precedenti molte banche hanno introdotto sistemi di valutazione soggetiva (self assessment o autodiagnosi) della propria vulnerabilità alle perdite operative. La principale controindicazione di questi meccanismi di autodiagnosi è che essi si basano principalmente sulle valutazioni del management. Vi è dunque il pericolo di una coincidenza tra controllato e controllore, che può essere arginato in due modi: 1. Gli exposure indicator e i livelli di rischio rilevati per ogni business unit dovrebbero essere riscontrati utilizzando ulteriori fonti informative, anche esterne e risultare in linea con le valutazioni medie disponibili a livello di settore bancario 17 L’autodiagnosi del rischio operativo 2. La valutazione del profilo di rischio di ogni business unit, pur essendo alimentata con dati e giudizi provenienti dalla business unit stessa, dovrebbe fare capo a un’unità indipendente, in seno al risk management o all’internal audit. I sistemi di autodiagnosi presenterano anche alcuni vantaggi: costituiscono un approcio relativamente flessibile e facilmente adattabile alla complessità organizzativa delle diverse banche; possono essere implementati a diversi livelli di sofisticazione. 18 La gestione del rischio operativo La gestione del rischio operativo si caratterizza per due obiettivi di fondo. 1. Primo è minimizzare l’esposizione al rischio. 2. Un secondo importante obiettivo è creare un adeguato sistema di incentivi alla riduzione del rischio. Una volta identificata e quantificata una certa area di rischio, la bancha ha a disposizione tre alternative: Keep – l’opzione keep si associa, solitamente agli eventi di rischio a basso impatto, siano essi a elevata o a bassa frequenza (eventi HFLI e LFLI). Gli eventi possono essere coperti con riserve. Insure – la possibilità di acquistare coperture assicurative. Le polizze assicurative vengono solitamente utilizzate a fronte di eventi a bassa frequenza e alto impatto (LFHI), in genere dovuti a fattori esterni di tipo naturale (terremoti), politici o regolamentari. 19 La gestione del rischio operativo Hedge – questa opzione è utilizzata per i rischi considerati incompatibili con la capacità di assorbimento delle perdite della banca. I fattori di rischio sono interni della banca e non a cause esterne. 20 Alcuni dati empirici 21 Alcuni dati empirici Basi di dati interbancarie sul rischio operativo: Morexchange (Multinational Operational Risk Exchange) – database introdotto nel novembre 2000 da grandi instituzioni finanziarie come J.P. Morgan, Royal Bank of Canada,… Il consorzio interbancario GOLD (Global Operational Loss Database) gestito dall’associazione bancaria britannica. Il database DIPO (Database Italiano Perdite Operative) gestito dalla Associazione Bancaria Italiana. 22 I requisti patrimoniali sul rischio operativo L’accordo del 2004 ha introdotto un requisto patrimoniale anche a fronte del rischio operativo, cosi da rendere il capitale minimo di vigilanza maggiormente sensibile all’effettivo profilo di rischio delle banche, avvicinandolo alle misure di rischio da esse adottate a fini gestionali. Il calcolo del requisto proposto dal Comitato di basilea si fonda su tre approcci alternativi, via via più complessi e precisi: AMA Sophistication Standard Approach Basic Indicators Approach 23 Better capital allocation L’approccio dell’indicatore base Questo approccio prevede che il requisto patrimoniale sia commisurato al margine d’intermediazione (MID) della banca. MID misura i suoi ricavi operativi lordi ed è in qualche misura assimilabile al fatturato delle imprese industriali. Il margine d’intermediazione viene moltiplicato per un coefficiente di rischio α=15% fissato dal Comitato di Basilea, e viene applicato al valore medio degli ultimi tre anni del margine d’intermediazione per ottenere il requisto patrimoniale kRO relativo al rischio operativo: dove N rappresenta il numero di anni, tra gli ultimi tre, in cui MID è stato positivo. 24 L’approccio standardizzato Questo approcio prevede che il requisto patrimoniale sia misurato separatamente per le principali linee di attività moltiplicando il loro margine d’intermediazione per uno specifico coefficiente di rischiosità βi, diverso per le singole business line. Il Comitato richiede che tutti i ricavi operativi della banca vengano ricondotti a una sola business line tra le otto indicate di Comitato di Basilea 2006. 25 L’approccio standardizzato I valori dei coefficienti βi vanno moltiplicati per il margine d’intermediazione facendo riferimento alla media degli ultimi tre anni, e anche sono stati fissati dal Comitato. Nell’approccio standardizzato il requisto patrimoniale relativo al rischio operativo è pari a: Dove MIDj,t-i indica il margine d’intermediazione della j-esima business line nell’anno t-i, mentre βj sono coefficienti indicati nella tabella. 26 L’approccio standardizzato Il Comitato di Basilea ha previsto che le singole autorità di vigilanza nazionali possano introdurre anche un approccio standardizzato alternativo (ASA). In questo approccio, il MID effetivo di due business line particolarmente vulnerabili alle distorsioni (retail banking e commercial banking) può essere sostituito da un MID convenzionale pari al 3,5% dei prestiti in essere negli ultimi tre anni. I requisti per l’adozione dell’approccio standardizzato: Per potter utilizzare questo approccio la banca deve dimostrare che il suo consiglio di amministrazione e il top management sono attivamente coinvolti nella supervisione delle metodologie di gestione del rischio operativo. Se la banca utilizza l’approccio standardizzato è attiva in mondo internazionale, deve comunque investire adeguatamente in sistemi interni di misura del rischio operativo (modelli e metodologie per il controllo). 27 Managing Operational Risk Evaluation & mesure : approches Sensitivity to risks Top Down Risk Cartography Risk Global Assessmenet Regulatory capital requirements Regulatory Capital Reallocation to Business Lines Risk management requirements Sophistication Bottom Up Business Lines declaration of operational losses 28 Risk assessement based on historical data and scenarios Calculating regulatory capital L’approccio avanzato Si prevede che una banca che abbia sviluppato un modello per la misura del rischio e la determinazione del relativo capitale economico possa, subordinamente ad alcune condizioni qualitative e quantitative, utilizzarlo anche per determinare il requisto patrimoniale minimo obbligatorio. Il Comitato lascia ogni banca di scegliere la propria metodologia. Il Comitato di Basilea menzionava tre possibili approcci alla stima del rischio operativo per l'approccio avanzato: 1. 29 L’internal measurement approach - prevede che le attività della banca venissero segmentate in linee di business predefinite e che fosse identificata una gamma di possibili eventi rischiosi. L’approccio avanzato 2. Il loss distribution approach - prevedeva che la banca stimasse. Per ogni linea di business, l’intera distribuzione di probabilità delle perdite e la tagliasse in corrispondenza del percentile desiderato 3. Lo scorecard approach - prevedeva che la singola banca determinasse il capitale complessivo allocato al rischio operativo e successivamente lo attribuisse alle singole business line sulla base del relativo profilo di rischio. 30 I Condizioni per l'applicazione di standard e di approccio AMA Reporting Capital management Capital measurement Risk Reduction (insurance) Capital Allocation Operational environment and internal control Key Risk Indicators Risk Control Self Assessment Losses data Internal Losses External Losses Scenarios Analysis Procedures & gouvernance structure 31 Il ruolo del secondo e del terzo pilastro Il nuovo schema di adeguatezza patrimoniale proposto dal Comitato di basilea si fonda su tre pilastri: il primo stabilisce regole per il calcolo dei requisti patrimoniali, il secondo riguarda l’attività di supervisione svolta dalle autorità di vigilanza nazionali e il terzo mira a rafforzare l’effetto di disciplina che il mercato esercita sulle politiche di rischio delle banche. Minimum Capital Quantitative approach for : Market risk Credit risk Operational risk 32 Pillar 2 Prevede gli organi di vigilanza verifichino che ogni banca abbia sviluppato un efficace sistema di misurazione e controllo dei rischi, e ponga in essere adeguate strategie per garantire la propria adeguatezza patrimoniale. Pillar 3: Market Discipline Il Comitato ha definito un set di informazioni minime che ogni banca è tenuta a rendere pubbliche al mercato. Punti critici dell’accorodo del 2004 1. Il rischio operativo è un rischio tipicamente idiosincratico, e non sistemico. Di conseguenza questo rischio mette a repentaglio la sopravvivenza di singoli intermediari, ma non la stabilità complessiva del sistema. 2. Seconda critica si fonda sull’enorme difficoltà di misurare in modo adeguato e oggettivo questa tipologia di rischio. 3. Le possibili conseguenze negative di un requisito patrimoniale a fronte del rischio operativo. 4. Gli approcci dell’indicatore base e standardizzato sono stati criticati, soprattuto per la loro logica top down, che calcola il requisito patrimoniale partendo dal margine d’intermedazione dell’intera banca o di un’intera business line. 5. Il livello di confidenza del 99,9% prescritto negli approcci avanzati appare molto elevato. 33 Per ulteriori approfondimenti Philippe Jorion (2003), Financial Risk Manager Handbook (2nd Ed.), John Wiley and Sons Karen A. Horcher (2005), Essentials of Financial Risk Management, John Wiley and Sons … oltre al libro di testo: Resti A., Sironi A. (2008), Rischio e valore nelle banche, Egea, Milano 34 Contatto NEMANJA RADIĆ Email: [email protected] Web site: http://www.linkedin.com/in/nemanjaradic 35