Dal 1998 il Comitato di Basilea ha iniziato a sollevare il tema dei rischi
operativi e nel gennaio del 2001 ha reso pubblico un documento riguardante
la proposta di modifica per la regolamentazione del capitale minimo che le
banche devono detenere a fronte del rischio di mercato, di credito, operativo
e degli altri rischi ai quali sono sottoposte. Quindi una delle novità di tale
documento è proprio l'introduzione del requisito patrimoniale a fronte dei
rischi operativi.
A proposito di tali rischi si è dibattuto molto su una loro precisa
definizione, il che ha accentuato le problematiche connesse con una corretta
misurazione e un attento controllo degli stessi.
Per quanto riguarda le metodologie di misurazione, diversamente da quanto
avvenuto in passato per i rischi di mercato e di credtio, i rischi operativi
risultano difficilmente riportabili a uno schema teorico-statistico
prontamente utilizzabile al punto tale da definire tali rischi «non
quantificabili».
Nel corso degli anni si sono venute affermando varie famiglie di approcci
metodologici tra loro differenti. Lo stesso Comitato di Basilea ha proposto
una gamma di opzioni per il trattamento prudenziale per il rischio operativo
e più precisamente si prevede un trattamento articolato in tre metodologie
con livelli crescenti di complessità: indicatore semplice, metodo standard e
misurazione interna.
Più in generale si sono sviluppati due approcci per la misurazione dei rischi
operativi. Un primo approccio è quello qualitativo nella quale si sconta la
soggettività della stima e l'altro è l'approccio quantitativo che fonda la
misurazione dei rischi operativi su elementi oggettivi, ma è fortemente
condizionato dalla mancanza di raccolte strutturate di dati sulle perdite
subite (ovvero serie storiche di eventi).
A livello internazionale è partita da alcuni anni un'attività di
implementazione di data base delle perdite operative, sia aziendali (che si
basano sui dati della singola banca), sia consortili (che si fondano sulla
condivisione tra più operatori dei dati di perdita). Anche a livello nazionale
il gruppo di lavoro interbancario ABI ha sviluppato una metodologia di
valutazione dei rischi operativi che viene indicata con l'acronimo A.P.R.O.
(Approccio Rischio Operativo) ed ha avviato nel 2001 un progetto
aziendale per la raccolta strutturata di dati sulle perdite operative che va
sotto il nome di progetto DIPO (Data base Italiano delle Perdite Operative).
Inoltre le banche maggiormente attive si sono occupate non solo della
componente di studio e ricerca, ma anche di quella organizzativa, spinte
dalla consapevolezza che per portare a termine l'opera di implemantazione
di un modello di misurazione e gestione occorresse il coinvolgimento degli
organi amministrativi e dei massimi vertici aziendali. Le modalità di
coinvolgimento riguardano tutti i livelli della struttura, dai vertici alla base -
Consiglio d'Amministrazione, Comitati di gestione, funzione di Risk
Management, Internal Auditing, funzione di line.
Infine l'evoluzione degli scenari di mercato ha sottolineato l'importanza dei
principi di funzionamento dei sistemi di controllo interni definiti in una
accezione molto ampia come l'insieme delle regole, delle procesure e delle
strutture organizzative che mirano ad assicurare il rispetto delle strategie
aziendali e il perseguimento degli obiettivi d'impresa. Le trasformazioni
intervenute negli scenari di mercato (quali innovazione tecnologica,
innovazione di prodotto, trasformazione del rapporto con il cliente)
sottopongono a stress la macchina operativa dell'industria finanziaria,
costringendola ad uno sforzo progettuale/organizzativo di eccezionale
portata e a concentrare l'attenzione sulla qualità dei sistemi organizzativi.
CAPITOLO PRIMO
1
CAPITOLO PRIMO
I RISCHI OPERATIVI
1.1 IL RISCHIO OPERATIVO
Il rischio � stato, e lo � ancora, uno dei principali temi di studio nell'ambito
delle discipline economiche, e nel corso del tempo si � segmentato il
concetto stesso di rischio utilizzando numerose classificazioni. Sicuramente
una delle pi� ricorrenti � rappresentata dalla suddivisione tra rischi puri e
rischi speculativi.
Si definiscono rischi puri quei rischi che individuano situazioni che possono
risolversi in una perdita, ma non anche in un guadagno per il soggetto che
vi � esposto (es. l'incidente automobilistico). I rischi speculativi, invece,
sono associati a situazioni dalle quali pu� scaturire per il soggetto che vi �
esposto, sia un guadagno sia una perdita (es. il rischio di cambio)
1
.
In un'impresa il rischio pu� essere inteso come la variabilit� dei possibili
risultati intorno all'utile netto atteso (in termini di flussi) ovvero al valore
1
Cfr. Nike Consoulting (a cura di) Pappad� A. "I rischi operativi nelle banche.
Misurazione e gestione." Edibank 2001, p. 19, nel quale si precisa che: "Per quanto
riguarda la realt� bancaria si ricomprendono tra i rischi speculativi il rischio di credito, di
CAPITOLO PRIMO
2
atteso del proprio capitale economico
2
. Infatti attiene al probabile e futuro
impatto economico che da esso pu� derivare, e cio� l'ammontare monetario
delle possibili perdite a cui si andrebbe incontro mantenendo inalterata la
propria esposizione.
Il rischio � unico, ma sono molteplici le sue manifestazioni. � pratica
comune classificare il rischio in base all'ambiente da cui la probabile
perdita pu� trarre origine. Si distingue allora tra:
™ Rischio di mercato;
™ Rischio di credito;
™ Rischio di liquidit�;
™ Rischio operativo.
Il rischio di mercato riguarda le possibili perdite monetarie che derivano da
movimenti nelle variabili di mercato: tassi d'interesse, tassi di cambio,
prezzi azionari, prezzi delle merci. Il rischio di credito riguarda i possibili
impatti negativi derivanti da variazioni avverse nelle caratteristiche
creditizie del Paese in cui si investe, dell'emittente del titolo che si possiede
o del cliente a cui si � concesso un prestito. Il rischio di liquidit� pu�
presentarsi in due forme: la prima attiene alle perdite probabili che il
mercato, di cambio e di tasso d'interesse, mentre tra i rischi puri si trovano i rischi
operativi".
2
Cfr. Vellella M. "Valorizzazione del capitale economico e rischio operativo nella
banca" in Banche e Banchieri n. 6/1999, p. 538.
CAPITOLO PRIMO
3
possessore di un titolo scarsamente trattato sul mercato dovr� sostenere se
decidesse di venderlo poich� dovrebbe accettare prezzi pi� bassi rispetto a
quelli teorici (si parla in questo caso di market liquidity risk); la seconda
manifestazione riguarda invece tutti quei casi in cui la tesoreria di
un'impresa si trova in condizioni di carenza di liquidit�, e ha necessit� di
reperire fondi sul mercato a tassi superiori rispetto a quelli prevalenti (si
parla in questo caso di funding liquidity risk).
Il rischio operativo, tradizionalmente nato come categoria residuale, non ha
una definizione univoca e condivisa a livello generalizzato. Esso comunque
rappresenta un insieme composito di manifestazioni attinenti a perdite che
originano da fallimenti o interruzioni dei sistemi organizzativi, informativi
o informatici, ovvero da fenomeni di inadeguatezza o inefficienza del
capitale umano nonch� da eventi esterni (furti, incendi�)
3
.
La natura e l'entit� dei rischi cui sono esposti gli intermediari bancari e
finanziari ha subito negli ultimi anni alcuni rilevanti cambiamenti in
relazione all'evoluzione dell'attivit� svolta. In particolare, l'aumentato peso
dell'attivit� di servizio ha determinato una crescente importanza di alcune
tipologie di rischio, quali quello operativo, reputazionale e strategico prima
3
Per questa classificazione si veda Betti F. "Value at risk: un modello per il rischio" in
Newsletter AIFIRM Gennaio-Febbraio 2002, p. 3-4.
CAPITOLO PRIMO
4
trascurate
4
. Infatti, negli ultimi anni si � assistito, all'interno delle maggiori
istituzioni finanziarie internazionali, a un crescente interesse nei confronti
dei rischi operativi indicati come la principale causa delle pi� rilevanti
perdite e fallimenti verificatesi recentemente nel mondo bancario
5
.
Infatti, tali "horror stories", che hanno investito banche e istituzioni
finanziarie, dimostrano che spesso la causa di problemi rilevanti �
imputabile non a fattori esterni alla banca (l'andamento delle variabili di
mercato, l'inaffidabilit� di una controparte), ma a lacune interne alla banca
localizzabili nel suo personale, nei suoi sistemi interni di trattamento dei
dati o nella sua organizzazione. Si parla in questo caso, genericamente di
rischi operativi anche se non esiste ancora, come vedremo pi� avanti, per
questi rischi una definizione univoca e condivisa. Ci� che � certo � che la
crescente globalizzazione dei mercati, la miriadi di prodotti sempre pi�
complessi che la banca offre e la conseguente maggiore complessit� e
articolazione dell'organizzazione bancaria aumentano in modo esponenziale
4
Cfr. Bologna P. "Misurazione dei rischi operativi nelle banche" in Banche e Banchieri
n. 3/2002, p 233.
5
Nel 1974 c'� il fallimento della banca tedesca Herstatt Bank con ripercussioni sul sistema
di regolamento, e il fallimento della Franklin National Bank di New York. Nel 1985 il
sistema informatico della Bank of New York va in blocco per 28 ore. Alla fine degli anni
'80 inizio anni '90 si hanno una serie di perdite rilevanti dovute a sistemi di reporting
inadeguati (es DG Bank, Bank of Tokyo) ed ancora, una serie di manipolazioni
fraudolente di valutazioni e posizioni di mercato: Drexel, UBS, Natwest e il caso pi�
famoso della Barings bank nel 1995. Alla fine degli anni '90 ci sono state perdite dovute
alle attivit� degli hackers (es Citibank). V. Nike Consoulting (a cura di) Pappad� A. op.
ult. cit., p 17.
CAPITOLO PRIMO
5
la possibilit� che qualcosa nella macchina operativa esca fuori dal controllo
causando danni talmente grandi da mettere in ginocchio banche longeve e
fino a poco tempo prima considerate istituzioni incrollabili
6
. Ad accrescere
ulteriormente l'importanza di tale fattispecie di rischio, recenti studi, tra cui
quelli realizzati nell'ambito del Comitato di Basilea
7
, hanno stimato che
l'assorbimento di capitale economico della banca a fronte dei rischi
operativi si colloca in un range compreso tra il 15% e il 25% del
patrimonio, una quota abbondandemente superiore a quella prevista, in
media, per i rischi di mercato
8
. ( figura 1)
6
V. Pasquini C. Troiani M. "Rischi operativi, controlli interni e internal auditing" in
Bancaria n. 2/1998, p. 79.
7
Il comitato di Basilea per la vigilanza bancaria � un organismo di cooperazione
internazionale composto da rappresentanti delle banche centrali e delle autorit� di
vigilanza bancaria. I paesi rappresentati nel Comitato sono: Belgio, Canada, Germania,
Regno Unito, Stati Uniti, francia e Svizzera. Esso venne istituito dai Governatori delle
banche centrali alla fine del 1974, in seguito a gravi episodi intervenuti sui mercati
valutari e creditizi internazionali, al fine di assicurare ai paesi membri un luogo di
consultazione e coordinamento in materia di supervisione bancaria.
8
Cfr. Nike Consoulting (a cura di) Pappad� A. op. cit, p. 18.
CAPITOLO PRIMO
6
Figura 1 - Assorbimento del capitale delle banche.
Fonte: NiKe Consoulting (a cura di) Pappad� A., I Rischi operativi nelle banche.
Misurazione e gestione. Edibank 2001.
I rischi operativi sono probabilmente i rischi pi� antichi nella geografia
delle aziende bancarie, eppure ancora privi di un armonico schema di
regolamentazione. Il primo scoglio da superare per attrezzarsi a
fronteggiare il nuovo rischio � quello di �conoscere ed inquadrare bene il
nemico�. Diversi sono stati i tentativi di trovare una definizione nello stesso
tempo chiara e omnicomprensiva , e diversi sono stati i risultati, che vanno
da dettagliate e minuziose elencazioni di possibili situazioni �dannose� ( ad
esempio la definizioni data dalla Barclays Bank) e eleganti e complesse
definizioni facenti riferimento a dati di mercato (ad esempio la definizione
data da Security and Future Authority)
9
.
9
Si veda Nike Consoulting (a cura di) Pappad� A. op. cit., p. 18.
5%
10%
5%
20%60%
Rischio di tasso
Free capital
Rischi di
mercato
Rischi operativi
Rischio di
credito
CAPITOLO PRIMO
7
Mentre infatti, esiste una relativa omogeneit� nel classificare i cd
�economic risk� (rischi di mercato, rischi di credito, rischi di liquidit�), per
quanto riguarda gli altri rischi che dipendono dall'organizzazione interna
della banca, dalla qualit� del management e dal personale, esiste una grande
variabilit� di definizione
10
. (Tav. 1)
In particolare l'ultima definizione � sostanzialmente di tipo residuale.
Sarebbe come affermare che sono rischi operativi tutti quelli che non solo
classificabili n� tra i rischi di credito, n� tra i rischi di mercato e, pertanto,
non agevola l'individuazione delle aree specifiche che si intendono
delimitare
11
.
Tavola 1 - Alcune definizioni di rischio operativo.
����������������������������.
� il rischio che lacune nei sistemi informativi o nei controlli interni possano portare delle
perdite inattese. Il rischio � associato a errori umani, errori nei sistemi, procedure e
controlli inadeguati (BIS)
���������������������������������.Il
rischio causato da problemi nei processi di lavorazione delle transazioni o nei sistemi che
li supportano. Questo include errori, difetti di progettazione, omissioni, caduta di sistemi,
disastri naturali, atti deliberati quali frodi e atti terroristici. Il loro impatto deve essere
misurato considerando la mancata disponibiit� del servizio, la mancanza di informazioni,
le perdite economiche, l'accrescimento di costi, la perdita di reputazione o l'impedimento
a cogliere guadagni anticipati (Barklays Bank)
���������������������������������.
Volatilit� degli utili non connessa alla esposizione sul mercato finanziario o alla
erogazione dei crediti (SFA - Security and Future Authority)
����������������������������.
10
I rischi operativi si differenziano dai rischi di credito e di mercato in quanto rispetto a
quest'ultimi, l'esposizione agli operational risk non implica alcuna possibilit� di guadagno
bens� solo ed esclusivamente possibilit� di perdita.
CAPITOLO PRIMO
8
La difficolt� di trovare una definizione comune � sottolineata nel
documento del Comitato di Basilea �Operational risk management� del
1998, in cui nel tentativo di ricercare una definizione universalmente
accettata e condivisa, ha identificato due possibilit�:
™ Una definizione per esclusione
12
;
™ Una definizione �positiva�, fondata sulle possibili cause di tali rischi
13
.
Ne segu� un dibattito, nell'ambito del quale, si sollevarono forti critiche da
parte del mondo bancario contro la presunta intenzione di utilizzare l'ampia
definizione per esclusione poich� questa avrebbe reso assai complesso
stabilire i confini dei rischi operativi e non sarebbe potuta essere utilizzata
operativamente per la loro misurazione e gestione in banca
14
.
Le due definizioni pi� largamente usate per i rischi operativi sono originate
dal Gruppo dei 30 e dal Comitato di Basilea. La definizione del Gruppo dei
30 �:
11
Si veda Pasquini C. Troiani M. "Rischi operativi, controlli interni e internal auditing"
in Bancaria n. 2/1998, p. 80; ed ancora Vellella M. "Valorizzazione del capitale
economico e rischio operativo nella banca", in Banche e Banchieri n. 6/1999, p.539.
12
"Any risk not categorised as market or credit risk".
13
"Risk of loss arising from varius types of human or technical error".
14
Si veda Basel Committee on Banking Supervision "Operational risk management"
September 1998; ed ancora Nike Consoulting (a cura di) Pappad� A. op. ult. cit. ed infine
Federation Bancarie De L'Union Europeenne "A new Capital Adequacy Framework",
March 2000, che cita testualmente: "Without a positive and bounded definition of what
the Committe means by operational risk it is difficult to understand how the application
of the charge could be made consistent�".
CAPITOLO PRIMO
9
Il rischio di perdite risultanti da sistemi e controlli inadeguati, errori umani
o fallimenti dirigenziali
15
.
In questa definizione sono menzionate tre dimensioni di rischio operativo:
persone, sistemi e procedure. L'elencazione separata di fallimenti
dirigenziali � interessante, infatti, il Gruppo dei 30 vede il management
come fattore determinante per la prevenzione dei rischi operativi. In primo
luogo il management � visto come un esempio, per un'organizzazione
orientata al controllo, che dovrebbe vigilare sulla societ� e procurare
soluzioni riguardanti la prevenzione dei rischi operativi.
Il Comitato di Basilea definisce i rischi operativi come:
I rischi di perdita diretta o indiretta risultante da errori o inadeguatezza
dei processi interni, delle risorse umane o da eventi esterni
16
.
Peraltro in un secondo tempo questa definizione � stata marginalmente
emendata con l'eliminazione delle parole �direct or indirect�
17
. Per cui la
definizione di rischio operativo � diventata la seguente:
15
Si veda Global Derivaties Study Group (1993) che cita testualmente: "The risk of losses
occuring as a result of inadequate systems and control, human error, or management failure".
16
Traduzione non ufficiale tratta da Basel Committe on Banking Supervision in " A new
Basel Capital Accord" January 2001 che letteralmente cita: "The risk of direct or indirect
loss resulting from inadequate or failed internal process, people or from external events".
17
Cfr. Basel Committe on Banking Supervision, in "Working paper on the regulatory
treatment of operational risk" September 2001. Secondo tale documento questa modifica
sarebbe stata apportata per le incertezze manifestate dall'industria bancaria al Comitato di
Basilea circa l'esatta interpretazione delle parole �direct or indirect�.
CAPITOLO PRIMO
10
Il rischio di perdita risultante da errori o inadeguatezze dei processi
interni, delle risorse umane e dei sistemi, oppure derivante da eventi esterni
18
Nella definizione data dal Comitato di Basilea i processi interni includono
sia le procedure in se stesse, sia i relativi controlli interni. Controlli interni
inadeguati, comunque, causano un grande rischio e, mancanza o
inappropriati controlli interni possono essere assimilati ad una �porta
aperta� mentre nessuno � a casa; quindi non dovrebbe sorprendere se sono
sati rubati dei �preziosi� poich� non sono state adottate misure di
prevenzione. Inoltre entrambe le definizioni (quella del Gruppo dei 30 e
quella del Comitato di Basilea) considerano gli errori umani come una
importante dimensione
19
.
18
Traduzione non ufficiale tratta dal documento a fini di consultazione "Working paper
on the Regulatori Treatment of Operational Risk", 28 september 2001, che testualmente
definisce i rischi operativi come: "The risk of loss resulting from inadequate or failed
internal process, people and systems or from external events".
19
Si veda Gerrit Jan Van den Brink in "Operational risk. The new challeng for banks",
Palgrave 2001, p.3.
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
