I rischi operativi - Dipartimento di Studi Aziendali

I rischi operativi
Francesco Romito
Università RomaTre, a.a. 2008-2009
Agenda
ƒ
Definizione
ƒ
La regolamentazione
ƒ
La misurazione e la valutazione
ƒ
ƒ
Loss Distribution Approach (LDA)
ƒ
Risk Control Self Assessment
ƒ
Key Risk Indicators
ƒ
L’integrazione delle informazioni
La gestione e il controllo dei rischi operativi
Rischio e volatilità dei risultati
Rischio
=
Volatilità dei risultati
Rischio
di credito
Perdite
inattese (UL)
Rischio di
mercato
Value-at-risk
Rischio
operativo
OpVar
Capitale economico
Rischio strategico
Rischio reputazionale
Rischio di liquidità
……………
Volatilità dei risultati non
spiegata da VAR e UL
I rischi operativi: considerazioni generali
Peculiarità dei rischi operativi:
ƒ
ƒ
ƒ
ƒ
ƒ
sorgono inevitabilmente con l’esercizio dell’attività d’impresa
rischio prevalentemente endogeno con sottostante caratterizzato
da portafogli di processi (a differenza dei rischi di credito/mercato
che sono esogeni)
ha natura di rischio puro poiché comporta prevalentemente
manifestazioni di perdita e non di guadagno
eterogeneità dei fattori di rischio e del tipo di manifestazione
nel sistema bancario, i rischi operativi sono significativamente
aumentati in relazione a vari fattori (deregolamentazione e
globalizzazione, incremento dell’utilizzo della tecnologia informatica,
innovazione finanziaria, fusioni e acquisizioni, ristrutturazioni
aziendali, etc.)
Definizione regolamentare
di rischio operativo
Rischio di perdite derivanti dalla inadeguatezza o dalla
disfunzione di procedure, risorse umane e sistemi interni,
oppure da eventi esogeni
La definizione include il rischio legale ma esclude quello
strategico e di reputazione
La catalogazione dei rischi operativi
I possibili drivers
1) Why? Æ Causal relationships
9 utile per la determinazione dei punti di debolezza e dei rimedi organizzativi
2) What ? Æ Events Type
9 preferibile
per
l’identificazione
misurazione/attenuazione dei rischi
delle
perdite
e
per
la
3) Where ? Æ Effects/Accounts
9 funzionale a garantire completezza/integrità dei dati raccolti nonché per
l’attribuzione di responsabilità e l’allocazione del capitale
CAUSA
EFFETTO
Business A
EVENTO
Business B
Business C
La catalogazione dei rischi operativi
Cause
categories
Event
Effect
categories
categories
Internal
Internal Fraud
Fraud
Corporate
Corporate finance
finance
Legal
Legal Liability
Liability
External
External Fraud
Fraud
Trading
Trading &
& Sales
Sales
Regulatory,
Regulatory, Compliance
Compliance
&& Taxation
Taxation Penalties
Penalties
Systems
Systems
Employment
Employment
Practices
Practices
Retail
Retail Banking
Banking
External
External
Clients,
Clients, Products
Products
Business
Business Practice
Practice
Commercial
Commercial
Banking
Banking
Damage
Damage to
to
Physical
Physical Assets
Assets
Payments
Payments &
&
Settlements
Settlements
Business
Business
Disruption
Disruption
Agency
Agency
Services
Services
Execution,
Execution,
Delivery
Delivery
Asset
Asset
management
management
People
People
Process
Process
Retail
Retail
Brokerage
Brokerage
Write-down
Write-down
Restitution
Restitution
La catalogazione dei rischi operativi
La scelta adottata nella normativa prudenziale italiana
NUOVE DISPOSIZIONI DI VIGILANZA PRUDENZIALE PER LE BANCHE
TITOLO II – Capitolo 5
AlLLEGATO B
La catalogazione dei rischi operativi
La scelta adottata nella normativa prudenziale italiana
Agenda
ƒ
Definizione
ƒ
La regolamentazione
ƒ
La misurazione e la valutazione
ƒ
ƒ
Loss Distribution Approach (LDA)
ƒ
Risk Control Self Assessment
ƒ
Key Risk Indicators
ƒ
L’integrazione delle informazioni
La gestione e il controllo dei rischi operativi
La regolamentazione
Tre approcci:
a) Basic Indicator Approach (BIA);
Approccio
top-down
b) Standardised Approach (TSA);
c) Advanced Measurement Approach (AMA)
Approccio
bottom-up
L’approccio base
Il Basic Indicator Approach (BIA) prevede il calcolo del
requisito patrimoniale sulla base di una semplice aliquota
dell’indicatore rilevante (gross income) medio annuo
riferito ai tre esercizi precedenti
KBIA = GI * α
dove α è stato fissato al 15%.
L’approccio base
L’approccio base prevede requisiti qualitativi generali sul
coinvolgimento degli organi aziendali nel governo e nella
gestione dei rischi operativi (comuni agli approcci TSA e
AMA):
ƒ Definizione linee generali del sistema
ƒ Responsabilità per la realizzazione
ƒ Vigilanza sulla funzionalità
ƒ Verifica della rispondenza ai requisiti regolamentari
L’approccio standardizzato
Nel metodo standard (Standardised Approach) l’attività della
banca viene suddivisa in 8 linee di business (business lines):
L’approccio standardizzato
Il requisito patrimoniale è dato da:
KTSA = Σ8j=1 (GIj * βj)
dove GIj (j=1, …, 8) rappresenta il livello medio annuo del gross income
degli ultimi tre esercizi per ciascuna delle 8 business lines e βj è un
coefficiente, stabilito dal Comitato di Basilea per ogni business lines.
Tre livelli per β:
1. basso (12%) per le BL “Retail banking”, “Asset management” e
“Retail brokerage”
2. medio (15%) per le BL “Commercial banking” e “Agency services”
3. alto (18%) per le BL “Corporate Finance”, “Trading and Sales” e
“Payment and Settlement”
L’approccio standardizzato:
requisiti organizzativi
Oltre ai requisiti generali comuni al metodo Base, le banche che
intendono adottare il metodo Standard devono avere un efficace
sistema di gestione dei rischi operativi:
operativi
ƒ Classificazione delle attività nelle BL regolamentari
ƒ Sistema di raccolta e conservazione dei dati sui rischi operativi
ƒ Valutazione annuale dell’esposizione ai rischi operativi
ƒ Sistema di reporting (risultati della valutazione, perdite rilevanti,
descrizione azioni di prevenzione e mitigazione)
ƒ effettuare un processo di autovalutazione per valutare la qualità
del sistema di gestione dei rischi operativi (documentato e
sottoposto annualmente alla revisione interna).
Gli approcci avanzati (AMA)
Gli intermediari possono calcolare il requisito patrimoniale
per il rischio operativo utilizzando le risultanze di sistemi
interni di calcolo e misurazione, nel rispetto di alcuni criteri
quantitativi e qualitativi (bottom up approach).
Obiettivi:
• sensitività al rischio
• incentivi economici al miglioramento
dei sistemi di risk management
• garantire un’elevata flessibilità, al fine
di seguire l’evoluzione dell’industria
Gli approcci avanzati (AMA):
requisiti organizzativi
I requisiti qualitativi previsti per gli AMA sono più stringenti di
quelli previsti per lo Standardised Approach. In particolare:
•la banca istituisce una “funzione di controllo dei rischi
operativi”,
•il sistema di misurazione (e non di valutazione come nel
caso di STA) deve essere integrato con il processo di
gestione dei rischi day-to-day della banca (c.d. “use test”);
•processo di convalida interna;
•revisione indipendente dell’audit.
La funzione di controllo dei rischi
operativi
ƒ I compiti che spettano a tale funzione:
ƒ progettazione, sviluppo e manutenzione dei sistemi di gestione e
misurazione dei RO;
ƒ raccolta e conservazione dei dati;
ƒ valutazione del profilo di rischio operativo;
ƒ determinazione del requisito patrimoniale sui rischi operativi;
ƒ reporting (info sulle 4 componenti, aree di vulnerabilità, azioni di
prevenzione e mitigazione, trasferimento del rischio, etc).
ƒ Ai fini di un efficace svolgimento di tale funzione, la banca individua le
soluzioni organizzative ritenute più idonee (unità indipendente di
ORM non obbligatoria).
ƒ Per lo svolgimento di tale funzione, la banca utilizza risorse con
adeguata professionalità nella gestione e nelle metodologie di
misurazione dei rischi operativi e con approfondita conoscenza dei
processi aziendali.
Il sistema di misurazione: componenti
ƒ Dati interni
ƒ Dati esterni
ƒ Analisi di scenario
ƒ Fattori del contesto operativo e sistema dei
controlli interni
Dati interni di perdita operativa
ƒ Il sistema di rilevazione dei dati interni di perdita rappresenta
un prerequisito essenziale per la realizzazione di un sistema
di gestione/misurazione del rischio operativo.
ƒ Esistono numerosi aspetti da tenere in considerazione:
a) Definitori - Che cos’è una perdita operativa?
b) Organizzativi – Come raccolgo le mie perdite?
c) Informatici – Come archivio le mie perdite?
Dati interni: aspetti definitori
Che cos’è una perdita operativa? Risposta non facile
perché possono rientrare le seguenti definizioni di perdita:
•
Perdite dirette (direttamente collegabili a voci di
•
Perdite stimate (deducibili da voci della contabilità e da
•
•
•
•
contabilità);
archivi gestionali);
Near misses (eventi pericolosi che non hanno prodotto
perdite);
Costi opportunità (perdite consistenti in un mancato
guadagno);
Guadagni operativi (eventi operativi che hanno
comportato un guadagno anziché una perdita);
ecc.
Dati interni: aspetti organizzativi
Occorre disegnare un nuovo processo che
un’accurata e completa raccolta dei dati di perdita.
permetta
Il processo di rilevazione delle perdite dovrà, in ogni caso,
garantire:
• copertura (tutte le linee di business e tutte le società del
gruppo;
• correttezza (integrità della rilevazione);
• affidabilità (controllo sul processo di raccolta).
Dati interni: modello di raccolta
Il processo di raccolta dei dati di perdita potrà seguire due
modelli di “costruzione”:
• Event driven: il dato “gestionale” di perdita viene rilevato
direttamente dove l’evento pregiudizievole ha avuto origine;
• Accounting driven: il dato viene estratto dagli archivi
contabili con eventuale arricchimento delle informazioni
disponibili a livello gestionale.
Dati interni: modello di raccolta
Event driven - (approccio bottom-up)
• Il dato viene “segnalato” direttamente dalle strutture
organizzative decentrate in cui si è generata la perdita;
• Consente la tempestiva rilevazione di eventi di perdita
“presunti”;
• Favorisce la “completezza” della descrizione dell’evento;
• Presuppone un’attenzione delle strutture locali alle
tematiche relative ai rischi operativi;
• Innalza la cultura aziendale e favorisce uno sviluppo
“gestionale” dei rischi operativi attraverso una più agevole
individuazione dei relativi interventi di prevenzione e/o
mitigazione;
• Le strutture centrali svolgono prevalentemente un ruolo di
coordinamento e validazione del processo di raccolta.
Dati interni: modello di raccolta
Accounting driven - (approccio top-down)
• Il dato viene “estratto” direttamente dalla contabilità;
• Garantisce la rilevazione di eventi “certi” e non presunti;
• richiede l’esistenza di un sistema di contabilità analitica che
sia “strutturato” in modo coerente con la classificazione
presente nel DB delle perdite operative;
• La rilevazione del fenomeno “gestionale” non è tempestiva;
• Il dato richiede un arricchimento di informazioni descrittive
dell’evento;
• Considera solo le perdite operative contabilizzate,
trascurando gli eventi generatisi ma non ancora
contabilizzati
Dati interni – criteri di inclusione
ƒ L’importo delle perdite è considerato al lordo dei
recuperi.
ƒ Le perdite sequenziali e multi-effetto sono considerate
come un unico dato.
ƒ Boundary events: le perdite di confine con il rischio di
mercato sono incluse, non quelle con il rischio di
credito.
Dati esterni di perdita operativa
Il sistema di misurazione deve tenere conto di dati di
perdita esterni, soprattutto quelli ad alto impatto,
ancorché poco frequenti. Finalità:
•completare il database di perdite operative interno;
•migliorare la qualità e la credibilità dell’analisi di
scenario;
•validare i risultati ottenuti dai dati interni;
• benchmarking.
Individuazione di adeguate tecniche di scaling dei dati
rispetto alla realtà aziendale.
Dati esterni
Le principali fonti utilizzate dalle banche sono di
natura consortile (informazioni fornite da un insieme
di banche e altri intermediari finanziari), di mercato
(archivi forniti da fornitori del settore) o elaborati
internamente.
Alcuni esempi:
1. DIPO
2. ORX
3. FITCH OPDATA
Analisi di scenario
Tale analisi viene generata attraverso un processo
strutturato che:
Fissa criteri per la scelta delle classi di rischio e la
definizione delle ipotesi sottostanti;
„
„
Coinvolge gli esperti delle diverse linee di business;
Permette un raffronto con i dati di perdita, interni ed
esterni.
„
Fattori di contesto operativo e del
sistema dei controlli interni
Tali dati sono finalizzati all’inclusione di una componente
forward looking:
„
cambiamenti nei processi, nei sistemi informativi e nel
personale, possono far perdere di significatività i dati
storici;
„
mutamenti nella struttura di business sono difficili da
incorporare nei dati di perdita storici;
„
le nuove business line non possiedono una profondità
storica delle perdite.
„
Agenda
ƒ
Definizione
ƒ
La regolamentazione
ƒ
La misurazione e la valutazione
ƒ
ƒ
Loss Distribution Approach (LDA)
ƒ
Risk Control Self Assessment
ƒ
Key Risk Indicators
ƒ
L’integrazione delle informazioni
La gestione e il controllo dei rischi operativi
Metodologie di misurazione avanzata
(AMA)
Obiettivo della misurazione
stimare l’ammontare di capitale (CAR – capital at risk)
necessario a coprire le perdite attese e inattese derivanti
dai rischi operativi su un holding period annuale ad un
livello di confidenza del 99,9%
Loss Distribution Approach
Le fasi della metodologia attuariale
ƒ costruzione della distribuzione di frequency
ƒ costruzione della distribuzione di severity
ƒ costruzione della distribuzione aggregata delle perdite
operative come convoluzione delle precedenti
ƒ calcolo del 99,9° percentile di tale distribuzione
Loss Distribution Approach
Frequency distribution
Severity distribution
14
relative frequency
12
10
8
6
4
2
# events per period
Aggregazione per mezzo di simulazione Monte Carlo
o approssimazione analitica
Distribuzione composta
Unexpected losses
Op. VaR 99.9 percentile
19
17
15
13
11
9
7
5
3
1
0
Determinazione della loss distribution
• Si definisce l’impatto di perdita totale S per periodo (ad
esempio per anno)
Si = ∑ j =0 x j
ni
ƒ dove ni è una v.a. che segue la distribuzione della
frequenza
ƒ e le xi sono v.a. i.i.d. che seguono la distribuzione della
severity
• La S si può ottenere analiticamente o numericamente (Monte
Carlo)
La stima della frequency
ƒ
Indagare quanti eventi accadranno in un dato periodo (es. un
anno)
ƒ
Distribuzioni utilizzate:
ƒ
Poisson
ƒ
Binomiale
ƒ
Binomiale negativa
probability
Frequency distribution
0.2
0.18
0.16
0.14
0.12
0.1
0.08
0.06
0.04
0.02
0
0
1
2
3
4
5
6
7
n
ƒ
Tecniche di stima:
ƒ
metodo dei momenti
ƒ
metodo della massima verosimiglianza
8
9 10 11 12 13 14
La stima della frequency
ƒ
ƒ
ƒ
ƒ
Tale variabile si differenzia dalla severità per il fatto di essere di tipo
discreto.
Poisson e Geometrica hanno un solo parametro, Binomiale e Binomiale
Negativa due.
Considerata la natura del campionamento dei dati che a volte può
presentare cluster di accadimenti, e di conseguenza una varianza
maggiore, la binomiale negativa è senz’altro teoricamente preferibile.
Elementi da considerare per la scelta del tipo di frequenza sono:
1. la limitatezza dei dati a disposizione per la stima
2. la conveniente proprietà matematica della Poisson di chiusura
rispetto alla somma (la somma di due variabili indipendenti di
Poisson è ancora una variabile di Poisson)
3. la bassa sensibilità del VaR della distribuzione di perdita alle
caratteristiche della frequenza. In particolare ciò vale per
distribuzioni molto leptocurtiche: i quantili elevati della perdita
annua sono influenzati solamente dal valore atteso del numero di
eventi annui, ma non dalla sua intera distribuzione.
La distribuzione di Poisson
dove λ = E [N] , ovvero λ rappresenta il valor medio della
variabile N.
Utilizzando il metodo della massima verosimiglianza, lo stimatore
λ viene a coincidere con la media campionaria delle osservazioni
Questo parametro misura quindi il numero medio annuo di eventi
di perdita:
Severity: non-normalità dei dati
C o n fr o n to tr a la d is tr ib u z io n e e m p ir ic a (K e r n e l ) e u n a
d is tr ib u z io n e N o rm a l e c o n la s te ss a μ e σ : " z o o m " su ll e c o d e
0 ,0 9
0 ,0 8
0 ,0 7
0 ,0 6
F
r
e
q
u
e
n
z
a
0 ,0 5
0 ,0 4
0 ,0 3
0 ,0 2
0 ,0 1
0
0
2 00
VAR99
(N)=630
400
600
VAR99,5
(N)=692
80 0
VAR99,9
(N)=820
1000
1200
VAR99
(K)=820
1400
VAR99,5
(K)=1501
1 6 00
1800
2000
22 0 0
L o ss (m ig l i ai a d i Eu ro )
2400
2600
2800
3 0 00
VAR99,9
(K)=2855
La stima della severity
I rischi operativi danno luogo ad un gran numero di perdite di piccolo
importo e ad un bassissimo numero di perdite “estreme”
Non sempre il “corpo” e la “coda” dei dati
provengono dalla stessa distribuzione
ƒ
La distribuzione tradizionale che presenta il valore migliore dei test
di fitting sarà utilizzata per descrivere il “corpo” dei dati
La stima della severity: la coda
delle distribuzioni
PROBLEMA
ƒ
ƒ
I test grafici e formali potrebbero indurre a rifiutare tutte le
distribuzioni tradizionali
Sottostima della probabilità della coda
SOLUZIONE
MODELLI EVT
ƒIndicazioni sul comportamento delle perdite “estreme” vengono
tratte dall’applicazione delle tecniche EVT ai dati nella “coda”
Extreme Value Theory
ƒ
Consente di modellare i valori estremi di una
distribuzione di dati.
ƒ
I metodi tradizionali, siano essi parametrici o basati su
tecniche numeriche, focalizzano l’attenzione sui tratti
della distribuzione empirica dei rendimenti con
maggiore densità di frequenza e tendono ad ignorare
gli eventi rari.
Extreme Value Theory
ƒ Un’applicazione estesa della cornice teorica dell’EVT
consente di stimare la coda delle distribuzioni di
impatto.
ƒ Inversione della logica comunemente adottata dai
modelli tradizionali
ƒ Peaks-over-threshold (POT) models: tecnica che
sfrutta le proprietà asintotiche delle eccedenze dei
valori di una serie rispetto ad una determinata soglia
al fine di effettuare una stima parametrica della coda
da cui ricavare le misure di rischiosità.
La distribuzione generalizzata di
Pareto (GDP)
ƒ Teorema di Pickands – Balkema - de Haan: la
distribuzione delle perdite eccedenti una determinata
soglia, sufficientemente grande, è approssimata dalla
distribuzione generalizzata di Pareto (GPD),
indipendentemente dalla distribuzione di partenza
ƒ Una volta individuata la soglia, sarà sufficiente stimare
con metodi statistici i parametri della distribuzione
teorica che meglio approssima i dati empirici dei valori
eccedenti la soglia per ottenere una distribuzione di
probabilità degli stessi indipendentemente dalla forma
della distribuzione originaria.
La distribuzione generalizzata di
Pareto (GDP) (2)
ƒ Data una variabile casuale X con funzione di
distribuzione cumulata F, la distribuzione delle
eccedenze di X oltre una determinata soglia “u” può
essere così rappresentata:
Fu (x) = P(X-u ≤ x | X>u), con x ≥0 .
ƒ Si dimostra che, per u → ∞, ovvero per una soglia
sufficientemente grande da approssimare tale
condizione, Fu (x) ≈ Gξ,β(u) (x), dove
Gξ,β(u) (x) = 1- (1+ξx/β)-1/ξ
Gξ,β(u) (x) = 1- exp –x/β
se ξ≠0, ovvero
se ξ=0.
La distribuzione generalizzata di
Pareto (GDP) (3)
ƒ La GPD dipende da 2 parametri:
- β che identifica il parametro di scale
- ξ che identifica il parametro di shape, regola la
curtosi della distribuzione: più è alto maggiore è la
probabilità di eventi estremi
Shape parameter
GPD: la scelta della soglia
La scelta della soglia è un punto
l’implementazione di tale metodologia :
critico
per
ƒ un valore basso aumenta il numero di osservazioni
disponibili ma introduce osservazioni provenienti
dalla parte centrale della distribuzione, così
distorcendo la stima dei parametri rappresentativi
della forma della coda
ƒ un valore elevato riduce tale distorsione ma rende
più volatile il tail index e le stime di capitale .
GPD: la stima dei parametri
Esistono vari metodi per la stima dei parametri
METODI GENERICI
• massima verosimiglianza (MLE)
• metodo dei momenti
METODI SPECIFICI
• stimatore di Hill
• metodo dei momenti pesati (PWM)
GDP: stima dei paramentri
ƒLa performance dei metodi di stima dipende dalla proprietà dei dati
analizzati.
ƒTranne MLE, gli altri stimatori sono calcolabili sono ad alcune
condizioni (ad esempio quello basato sui momenti richiede
l’esistenza della varianza della distribuzione che, nel caso della GDP,
per ξ > 1 non esiste).
ƒAlcuni modelli privilegiano l’uso del metodo PWM per le seguenti
ragioni:
ƒ buone stime anche in situazioni di scarsità di dati ;
ƒ risultati più stabili in presenza di outliers;
ƒ risultati stabili al varia re della soglia, rispettivamente agli altri
metodi;
ƒ miglior fitting nella parte superiore della coda.
La funzione “mistura”
ƒ Modello parametrico risultante da due diverse distribuzioni: una, la
distribuzione F (x,θ), volta a descrivere il range di perdite medio
piccole, l’altra, la GPD, stimata mediante EVT.
ƒ La cdf risultante è perciò definita a tratti nel seguente modo:
La funzione “mistura”
L’espressione della pdf associata è
con
La funzione “mistura”
La funzione mistura
Log body:
internal data
GDP Tail: Internal data,
consortium data,
public external data,
Scenario based data
Continuity
condition
threshold
Passaggi per la stima della severity
ƒ
Calcolo dei primi quattro momenti del campione (media, varianza,
asimmetria e curtosi)
ƒ
Individuazione del tipo di funzione matematica da utilizzare per la
rappresentazione del fenomeno osservato
ƒ
Stima dei parametri delle distribuzioni candidate al fitting
ƒ
Selezione dei migliori fit sulla base di metodi grafici (es. pp-plot, qqplot, etc)
ƒ
Esecuzione dei test di goodness of fit: Kolmogorov-Smirnov (K-S)
e Anderson-Darling (A-D)
Metodi grafici di GoF: PP-plot
ƒ
Questo grafico è ottenuto unendo le coppie di prob teorica ed empirica
calcolate in corrispondenza di ciascuna osservazione xi
ƒ
Se il modello “replica” bene i dati i due termini di ciascuna coppia
tenderanno ad essere vicini: pertanto, da un punto di vista grafico, le
coppie si allineeranno attorno alla bisettrice
ƒ
La figura giace quindi nel quadrato unitario, poiché ogni coordinata
rappresenta una probabilità
PP-plot
ƒSe un punto del grafico è posizionato sotto (sopra) la bisettrice
significa il modello stimato indica una probabilità di sforare il livello xi
più grande (piccola) di quanto appaia dal puro dato empirico. In altre
parole la stima risulta più (meno) conservativa rispetto ai dati, ovvero
mostra un profilo di rischio maggiore (inferiore).
Inverted pp-plot
ƒ Il PP-plot adotta una scala lineare sulle probabilità, quindi tende ad
avere poco dettaglio sulla coda della distribuzione.
ƒ Per ovviare a questo inconveniente: considerare il complemento a 1
delle probabilità calcolate (i.e. la funzione di survival), su scala
doppio logaritmica; ciò è equivalente a rappresentare le coppie:
ƒ In questo grafico, la coda della distribuzione occupa l’area vicina
all’origine, mentre l’effetto della scala logaritmica è di fornire un
dettaglio maggiore sulla coda, evitando l’effetto di schiacciamento.
Inverted PP-plot
PP-plot e Inverted PP-plot
ƒ Confrontano livelli di probabilità e rendono immediato capire che
percentuale dei dati osservati il modello stimato è in grado di
descrivere adeguatamente.
ƒ Non forniscono invece indicazione alcuna circa il range di valori
della variabile casuale oggetto di studio: ad esempio, dall’esame
dell’inverted Pp-plot emerge che il modello coglie il primo 95%
della distribuzione, ma nulla sappiamo dell’ordine di grandezze
delle perdite sopra e sotto tale livello.
ƒ Per rispondere a questa domanda occorre analizzare il cosiddetto
qq-plot.
QQ-plot
ƒ Questo grafico è ottenuto unendo le coppie di quantili
calcolate in corrispondenza di ciascuna osservazione xi ;
ƒ In sostanza si mappano uno contro l’altro il p-quantile stimato ed
empirico per diversi valori di p.
ƒ Il p-quantile di una distribuzione parametrica F è quel valore x t.c.
dove F-1 rappresenta la funzione inversa della cdf della distribuzione.
Si tratta di quella valore che lascia alla sua sinistra una probabilità p.
QQ-plot
QQ-plot
ƒ L’interpretazione di questo grafico è analoga a quella del pp-plot.
ƒ Se il modello coglie bene i dati la linea sarà prossima alla bisettrice;
se la curva sta sotto (sopra) di essa i quantili stimati risultano
superiori (inferiori) a quelli empirici, e dunque il modello è più
(meno) conservativo di quanto i dati empirici rivelino.
ƒ A differenza del pp-plot, tale grafico rende più immediato capire in
che intervalli di perdita il fit è buono, ma soprattutto permette di
valutare l’entità dell’errore; ad esempio dall’esame del grafico
appare chiaramente che il modello stimato è in grado di riprodurre
correttamente le perdite fino a 1 milione.
ƒ Le perdite maggiori (corrispondenti ai quantili più elevati della
distribuzione) appaiono sottostimate all’incirca del 50%.
Survival plot
ƒ Un’altra modalità di confrontare l’aderenza di un fit ai dati è rappresentare
le funzioni cdf stimate ed empiriche.
•In questo tipo di grafico, una curva stimata che si posizioni più a destra
della corrispondente empirica indica una stima del profilo di rischio più
conservativa della misura empirica.
•Analogamente al qq-plot, questa rappresentazione soffre di un effetto di
schiacciamento nella parte più interessante, la coda, che non permette di
valutare correttamente la distanza tra le due curve
Survival plot
ƒ Una rappresentazione migliore della coda si ottiene allora
confrontando la funzione di survival
la stima è molto buona
fino al quantile 99.9%
(corrispondente al punto
10 -3 sull’asse
verticale), mentre per
quantili più elevati il
modello sottostima le
perdite storiche,
posizionandosi
alla sua sinistra.
Mean excess plot
Il me-plot riporta la media
campionaria degli eccessi
oltre la soglia u, al variare
della soglia stessa, ovvero
riporta sul grafico le coppie
(X i sono i dati maggiori di u).
• In particolare, tutte le distribuzioni continue per cui vale il teorema PBDH,
con ξ > 0, hanno una me-function asintoticamente rettilinea.
• Per elevati valori di soglia, se la GDP ha un buon GoF, nel me-plot
compare un tratto rettilineo da una certo valore in avanti.
• Regola pratica: nel procedimento di stima dei parametri della GPD si
fissa la soglia ove il me-plot inizia a manifestare un certo grado di
linearità.
La distribuzione aggregata
delle perdite
ƒ
La distribuzione aggregata delle perdite operative viene
determinata attraverso la convoluzione tra la distribuzione
di severity e quella di frequency.
ƒ
Non sono possibili soluzioni analitiche, se non in casi
particolari. In genere si utilizza la simulazione Monte
Carlo
La simulazione Monte Carlo
Si determinano un sufficiente numero di scenari di Frequency e
Severity e si costruisce la variabile S procedendo in questo
modo:
ƒ
si genera n campionandolo dalla distribuzione di frequency
ƒ
si generano n variabili xi campionate dalla distribuzione di
severity e se ne costruisce la somma S
ƒ
si ripete il processo per un numero sufficientemente grande
di scenari e si studia la distribuzione empirica delle S così
ottenuta
ƒ
dalla distribuzione cumulativa empirica di S si determina il
CaR come il percentile al livello desiderato
Capitale a rischio e perdita attesa
Il capitale a rischio per una singola “classe di rischio” è pari al value
at risk (VaR) tratto dalla distribuzione di perdita.
VaR è il quantile individuato dall’intervallo di confidenza α (i.e. α =
99,9 %) della distribuzione di perdita.
Ordinando le perdite in maniera crescente:
Il VaR è definito come:
La perdita attesa
Il capitale regolamentare è calcolato come somma di expected loss (EL)
e unexpected loss (UL):
VaR = UL + EL
Dove:
e
In considerazione della notevole sensitività della media delle perdite ai
valori di perdita estremi, le banche utilizzano la mediana per ottenere
uno stimatore più stabile delle perdite attese:
AMA: determinazione del requisito
patrimoniale
ƒ Il modello deve rappresentare adeguatamente il profilo di
rischio operativo della banca
ƒ Identificazione delle classi di rischio
ƒ Granularità ed omogeneità
AMA: determinazione del requisito
patrimoniale
ƒ Somma delle perdite attese ed inattese riferite alle
singole classi di rischio operativo
ƒ Fattori di riduzione:
ƒ Perdite attese
ƒ Correlazione
ƒ Assicurazione e altri meccanismi di trasferimento del
rischio
Criticità LDA
ƒ Ammontare delle stime e calibrazione del modello: ipotesi alternative
di modellizzazione, ritenute ugualmente valide da un punto di vista
statistico, possono dar luogo a risultati significativamente differenti
ƒ Significativa variabilità dei risultati rispetto a variazioni minime dei
parametri della distribuzione: trade-off fra utilizzo gestionale (stabilità) e
accuratezza teorica (sensitività)
ƒ Margini di arbitrarietà nel calcolo del requisito derivanti dalle
modalità di individuazione grafica della soglia, dalla tecnica di stima dei
parametri, etc.
I criteri di validazione
ƒ
La valutazione dei modelli ha tenuto presente taluni
criteri derivanti dalle caratteristiche necessarie per un
utilizzo a fini gestionali e regolamentari:
ƒ stabilità dei risultati,
ƒ ragionevolezza
economica
ed
impronta
conservativa nel dimensionamento del capitale,
ƒ contenimento degli spazi di discrezionalità nel
processo di misurazione,
ƒ necessario rigore dell’impianto modellistico.
ƒ
Benchmarking (TSA, economic capital)?
Risk Control Self Assessment
(RCSA)
L’approccio qualitativo alla valutazione dell’esposizione ai rischi operativi
e della validità dei controlli in essere
RCSA : obiettivi
Strumento qualitativo di autodiagnosi basato su indicazioni
soggettive fornite da esperti
OBIETTIVI
ƒ Individuare le aree di operatività più esposte al rischio operativo e le
cause sottostanti per attivare gli interventi di mitigazione più
opportuni
ƒ Elemento complementare all’analisi quantitativa:
forward
looking, eventi LFHI, BE&IC factors (quarta componente
regolamentare dei sistemi AMA)
ƒ Sviluppare l’attenzione alla gestione del rischio operativo,
sensibilizzando tutta la struttura
Non necessariamente associato a LDA: insufficienza dati di
perdita, scelta metodologica
RCSA: le possibili alternative
ƒ Scenario based approach
ƒ Analisi dei processi e indicazioni “qualitative” (Audit
scoring, Scorecard approach)
ƒ ………
Scenario Based Approach
ƒ
Strumento di analisi qualitativa che mira a definire, attraverso
indicazioni soggettive fornite dai business owners, scenari atti
ad individuare e valutare i rischi operativi, misurare l’esposizione,
le vulnerabilità, la qualità dei controlli e l’eventuale mitigazione
ƒ
La normativa richiede esplicitamente l’utilizzo degli scenari
nell’ambito del sistema di misurazione dei rischi operativi
ƒ
Non c’è uno standard metodologico per l’applicazione di tale
approccio, per l’utilizzo dei risultati né per la determinazione del
capitale a partire da tali risultati
Altri approcci qualitativi:
Audit scoring, Scorecard Approach
Obiettivi delle altre tecniche qualitative
ƒ Tradurre i giudizi qualitativi espressi a conclusione di processi di
autovalutazione/analisi in giudizi quantitativi all’interno di una scala di
valori che forniscono un ranking tra le diverse esposizioni al rischio
operativo
ƒ Gli score possono essere aggregati per linee di business / processo /
tipologia di evento e vengono utilizzati per aggiustare l’ammontare di
capitale per il rischio operativo calcolato secondo i metodi di stima
quantitativi (ad es. sulla base di un approccio LDA) .
ƒ Le analisi possono essere condotte dai risk owner ovvero da strutture
di controllo (Audit)
Caratteristiche
Scorecard
ƒ Si basano sulla selezione di singoli fattori di rischio, individuati dagli
esperti, per i quali viene richiesta ai risk owner una valutazione
qualitativa, cui viene attribuito un predefinito peso ai fini della
determinazione del punteggio aggregato (non sono richieste
risposte su frequenza e impatto medio e max)
ƒ Il personale di ogni unità compila tali scorecard periodicamente
ƒ Validazione da parte dell’ORM
ƒ Utilizzo dei dati interni per la validazione dei risultati
Audit scoring
ƒ Si basano sui risultati dell’anali di processo condotta dall’Internal
auditing, tradotti in punteggi e classifiche.
Tecniche poco diffuse nelle esperienze di validazione
Problemi
ƒ Gestione dei bias individuali
ƒ Individuazione dei fattori di rischio idonei ad esprimere in
maniera appropriata l’esposizione
ƒ Costruzione di tabelle a punti che permettono di sintetizzare in
un’unica misura il livello di rischio per singola linea di business,
processo, tipo di evento, etc. (in che modo? quali pesi attribuire?)
ƒ Valutazione della consistenza delle stime.
Pregi
ƒ Innalzano la consapevolezza dei responsabili delle unità di
business sulla rilevanza della gestione del rischio operativo
ƒ Sopperiscono alla mancanza di dati di perdita e anticipano le
variazioni nel profilo di rischio (es. cambiamento nel sistema di
controlli, nuovi business)
ƒ Agevolano l’individuazione dei fattori causali
ƒ Creano un forte legame tra misurazione e gestione
ƒ Consentono l’utilizzo presidi di controllo preesistenti
Key Risk Indicators
KRI: cosa sono
Variabili misurabili che forniscono segnali di un incremento del
rischio
ƒ Caratteristiche:
¾ misurabili (archivi aziendali)
¾ predittivi (verificabile?)
¾ dinamici e tempestivi
ƒ Tipologie:
¾ di esposizione (misurano i volumi di lavorazione di processi a
rischio)
¾ collegati alle perdite
¾ collegati alle cause
¾ collegati ai controlli
KRI: identificazione
Il processo di identificazione segue lo schema:
Le sfide dell’implementazione
ƒ Difficoltà nel
cause/effetti
correlare
univocamente
gli
indicatori
con
le
ƒ Grande mole di informazioni: quanti indicatori usare? Importanza
relativa?
ƒ Quali indicatori usare? KRI, KCI, KPI, KEI? Cluster di indicatori?
Sintetici o di dettaglio (monitoraggio processi vs informativa
gestionale)?
ƒ È possibile un benchmarking?
KRI: come usarli
Misurazione: integrazione
modelli LDA
Monitoraggio:
ƒAnalisi del trend;
ƒSuperamento
soglie
di
criticità (early warning);
ƒRelazione con altri indicatori
(altri processi/società);
ƒ Relazione con le perdite e
gli altri elementi del modello
(scenari etc.).
Condivisione con esperti:
ƒAnalisi superamento soglie;
ƒSpiegazione andamenti anomali;
ƒIndividuazione criticità e priorità di intervento;
ƒRevisione dell’indicatore.
Le 4 componenti AMA:
punti di forza e debolezza
L’integrazione: Banca “A”
L’integrazione: Banca “B”
Dati interni
Dati esterni
LDA
Analisi di
scenario
Capitale a
Rischio
Correzione
per effetto:
•Assicurazione
•perdite attese
Aggiustamento
per gli
indicatori di
rischio
Agenda
ƒ
Definizione
ƒ
La regolamentazione
ƒ
La misurazione e la valutazione
ƒ
ƒ
Loss Distribution Approach (LDA)
ƒ
Risk Control Self Assessment
ƒ
Key Risk Indicators
ƒ
L’integrazione delle informazioni
La gestione e il controllo dei rischi operativi
Approccio tradizionale alla gestione
e controllo dei rischi operativi
ƒ Controlli di linea
ƒ Internal Auditing
ƒ Affidamento sulla qualità delle risorse umane e sulla
cultura aziendale
Approccio avanzato
ƒ Obiettivo: visione integrata del profilo di rischio operativo e delle
necessarie azioni di mitigazione
ƒ Si aggiungono ai presidi tradizionali:
¾ Definizione di una governance e di una policy per il controllo e la
gestione degli OpRisk
¾ Creazione di una funzione di Operational Risk Management
¾ Sistemi di misurazione / valutazione del rischio
La gestione del rischio operativo
Identificazione
e
classificazione
Misurazione
Valutazione
Monitoraggio
Gestione
Gestione
del
capitale
Mitigazione
•Risk mapping
•Attribuzione a
processi/unità
•BIA
•TSA
•AMA
•LDA
•RCSA
–Audit scoring
–SBA
–KRI
•BPR
•Miglioramenti
SCI
•Trasferimento
dei rischi
•Risk mapping
rewiew
•Capitale
regolamentare
•Capitale
economico
•RAPM
•Sistemi di
incentivazione
Governo societario
La responsabilità primaria di un efficace governo dei rischi
operativi è rimessa agli organi di governo della banca.
COMPITI
ƒ
ƒ
ƒ
ƒ
Definiscono le linee generali del sistema,
sono responsabili della sua realizzazione,
vigilano sul suo concreto funzionamento,
verificano la sua complessiva funzionalità
rispondenza ai requisiti previsti dalla normativa,
INCENTIVI
COMMITMENT
e
La Gestione del Rischio Operativo richiede una
struttura di Governance coerente con le dimensioni
e la complessità organizzativa
ƒ Ownership dei rischi operativi da parte dei responsabili di business
line e coinvolgimento attivo di tutte le unità organizzative interessate
alla loro gestione (anche le filiali)
ƒ Creazione di una
management (ORM)
funzione
indipendente
di
operational
risk
ƒ Ruolo indipendente attribuito alla Funzione di Internal Auditing
ƒ Strutture di coordinamento orizzontale con funzione di integrazione
(Comitato rischi, Comitato OpRisk, …)
Gli attori
ƒ Area Rischi
ƒ Area Auditing
ƒ Area Organizzazione
ƒ Area Information Technology,
ƒ Area Pianificazione strategica e Controllo di Gestione
ƒ Aree produttive e commerciali
Il Comitato Rischi
ƒ E’ l’organo di verifica ed indirizzo del complessivo processo di
gestione del rischio operativo
ƒ Sottopone al vertice aziendale gli interventi per la corretta attuazione
del modello metodologico per la gestione dei rischi.
ƒ Monitora l’evoluzione dell’esposizione al rischio e propone al
vertice aziendale gli interventi di mitigazione
ƒ Composizione: ORM, Audit, Organizzazione, IT,….
La funzione di controllo dei rischi
operativi
ƒ I compiti :
ƒ progettazione, sviluppo e manutenzione dei sistemi di gestione e
misurazione dei RO;
ƒ raccolta e conservazione dei dati;
ƒ valutazione del profilo di rischio operativo;
ƒ determinazione del requisito patrimoniale sui rischi operativi;
ƒ reporting (info sulle 4 componenti, aree di vulnerabilità, azioni di
prevenzione e mitigazione, trasferimento del rischio, etc);
ƒ formulazione proposte di intervento, con le relative priorità, da
sottoporre al Comitato Rischi.
ƒ Per lo svolgimento di tale funzione, la banca utilizza risorse con
adeguata professionalità nella gestione e nelle metodologie di
misurazione dei rischi operativi e con approfondita conoscenza dei
processi aziendali.
ORM: il rapporto con le altre funzioni
coinvolte (1)
ƒ Chiarire ruoli e responsabilità tra le funzioni coinvolte per non
sovrapporre competenze e responsabilità ma perchè siano
complementari
ƒ Condividere standard e framework comuni ed integrati
A
r
nti
c
ici
gio
g
la
compliance
P
L.231
SOX
ORM
D
Fi
Mi
L.6
26
BC
Requisiti patrimoniali
sicurezza
audit
L.262
Si deve costituire
l’infrastruttura comune per
consentire alle altre
funzioni aziendali di
svolgere ciascuna i propri
compiti in modo ordinato
ed efficace
Le sfide per l’ORM
ƒ Inerzia al cambiamento
ƒ Sovrapposizione dei ruoli e boundary issues
ƒ Il sistema deve essere innestato nei processi decisionali (vicinanza al
business e use test)
ƒ Attenzione al passaggio dall’ambito progettuale all’esecuzione
(sostenibilità)
ƒ Modello di misurazione: non c’è una soluzione unica che vada bene
per tutti
ƒ Variazioni del contesto operativo (strutturali, fusioni, ...)
ORM: i risultati raggiunti
ƒ E’ stato definito in maniera positiva un rischio che era
« residuale »
ƒ Il Management ha capito che il rischio operativo
governato e disciplinato
ƒ Sono stati messi in atto provvedimenti organizzativi che
compiti e responsabilità
ƒ Sono stati raccolti molti dati
ƒ Sono stati sviluppati i primi report verso il Management
ƒ E’ stato stimato il capitale a fronte di un rischio che era
impossibile da misurare
ƒ Sono stati fatti significativi investimenti in formazione
considerato
dev’essere
definiscono
considerato