Introduzione 4
Nel secondo capitolo viene invece trattata la gestione del rischio operativo:
la crescente rischiosità dell’attività bancaria infatti ha fatto si che la gestione dei
rischi divenisse fondamentale per l’operatività di una banca, che deve quindi
adoperare tecniche di copertura adatte per una giusta allocazione del capitale.
Purtroppo, a differenza delle altre tipologie di rischio
4
, per quanto riguarda quello
operativo ancora non esistono idonei strumenti di protezione, poiché spesso le
perdite da esso derivanti possono essere connesse a tipologie di rischio diverse e
per i pochi dati a disposizione. Nonostante ciò, è comunque possibile illustrare le
principali fasi relative alla gestione
Infine nel terzo ed ultimo capitolo viene illustrato il risultato di ricerche
effettuate sui bilanci di alcune banche quotate, in modo da applicare gli
argomenti trattati all’analisi di alcuni casi aziendali, facendo riferimento alle
funzioni di operational risk management e ai modelli di gestione del rischio
operativo.
I Gruppi italiani quotati presi in considerazione sono: Gruppo Banca
Antoniana Popolare e Veneta, Gruppo Intesa, Gruppo Banca Lombarda e
Piemontese SpA, Gruppo Banca di Credito Cooperativo, Gruppo BNP Paribas,
Gruppo BPU, Gruppo Capitalia, Gruppo Carige, Gruppo Credito Emiliano,
Deutsche Bank, Gruppo MPS, Gruppo Sanpaolo IMI, Gruppo Sella ed infine
Gruppo Unicredito Italiano.
Seguirà un riepilogo delle informazioni raccolte per sintetizzare la
situazione delle banche italiane quotate nei confronti del rischio operativo.
4
Per il rischio di mercato infatti vengono adottati i modelli VaR; per quello di credito invece il modello
CreditMetrics.
1 • Il rischio operativo: definizione e quadro normativo 5
Capitolo 1
Il rischio operativo: definizione e quadro normativo
In campo economico-finanziario, il concetto di rischio si riferisce alla
possibilità che una determinata operazione generi un risultato diverso da quello
previsto e atteso. Nel caso in cui l’esito ottenuto porti solo ed esclusivamente
conseguenze negative, allora si dice che la banca ha assunto un rischio puro;
quando invece l’evento non atteso può manifestarsi sia in senso positivo che in
senso negativo, si parla di rischio speculativo.
Il rischio operativo è un rischio puro, nel senso che non ha opportunità di
profitto e non è attribuibile a determinate scelte strategiche o di gestione. Esso è
presente in tutte le attività di un’organizzazione ed è legato alla possibilità di
perdite dovute a variazioni inattese delle condizioni di operatività dell’impresa
rispetto a quelle programmate.
1.1 Che cos’è il rischio operativo?
Il primo problema che si incontra quando si intende affrontare il tema di
rischio operativo è quello di una sua corretta definizione. Ancora infatti non si ha
una spiegazione su cosa sia esattamente questa tipologia di rischio. Nel tempo ci
sono stati da parte delle grandi banche molti sforzi definitori che hanno avuto
importanti conseguenze, sia sul piano pratico che gestionale.
In seguito alla proposta di Basilea II
5
, le banche hanno la possibilità di
utilizzare al proprio interno definizioni di rischi operativi differenti, in termini di
eventi e perdite da ricondurre a questa ampia categoria
6
.
5
Nella definizione proposta dal Comitato si fa generico riferimento agli “altri rischi”, diversi dai rischi di
credito e di mercato: essa risulta focalizzata sui quattro maggiori event-type, individuati come cause di
manifestazione dei rischi operativi, categorie a loro volta riconducibili ad una pluralità di accadimenti di
perdita (“A new capital adequacy framework”, Comitato di Basilea, 1999).
1 • Il rischio operativo: definizione e quadro normativo 6
Qui di seguito vengono riportate alcune tra le definizioni individuate:
- “Il rischio operativo è un rischio caratteristico di qualunque impresa ed
attività imprenditoriale, ed è riconducibile alla possibilità che
malfunzionamenti nei sistemi informativi e di produzione ed in quelli di
supporto possano provocare una diminuzione di ricavi o un incremento
nei costi con una conseguente riduzione inattesa nel livello dei profitti”
7
;
- “Il rischio operativo è il rischio di perdite risultanti dai sistemi e da
controlli inadeguati, errori umani o fallimenti delle scelte gestionali”
8
;
- “Rischio che operazioni improprie di elaborazione o gestione dei sistemi
si traducano in perdite monetarie. Esso comprende le perdite che possono
verificarsi in caso di fallimento del sistema di controlli, di trading non
autorizzato, di frode da parte delle funzioni di front e back office, di
inesperienza del personale, di sistemi informatici carenti, instabili o
inadeguati”
9
;
- “Questa categoria comprende tutti quei rischi che hanno in comune la
perdita di controllo di uno o più ambiti operativi dell’azienda”
10
;
- “Il rischio operativo è quello legato a disfunzioni del sistema operativo
interno e soprattutto a quello informativo o a comportamenti infedeli di
dipendenti o comunque dei responsabili di determinati settori operativi”
11
;
6
Questo non significa che non esiste una definizione di rischi operativi valida in assoluto e che questa
possa essere corretta ed adattata in base alle specifiche caratteristiche dell’intermediario.
7
Da “Rischio e copertura patrimoniale nelle banche”, U. Rigoni, Giappichelli, Torino, 1998.
8
Da “La gestione dei rischi finanziari nella banca”, G. Lusignani, Il Mulino, Bologna, 1997.
9
Da “La gestione del rischio e l’allocazione del capitale delle banche”, A. Sironi, Egea, Milano, 1996.
10
Da “Valorizzazione del capitale economico e rischio operativo nella banca - Banche e Banchieri” n.6,
1999.
11
Da “Basel Committee on banking supervision”, Oct 1998.
1 • Il rischio operativo: definizione e quadro normativo 7
- “E’ il rischio di perdite dovute a errori umani o al malfunzionamento dei
processi operativi”
12
.
Anche alcune grandi banche internazionali hanno provato a dar una loro
definizione
13
:
- “The potential of any activity to damage the organization, including
physical, financial, legal risks and risks to business relationships”;
- “All risks which are not banking (i.e. it excludes credit, market, and
trading risks, and those arising from business decisions etc.)”;
- “The risk of loss through inadequate systems, controls and procedures,
human error or management failure”.
Come si può notare, queste definizioni differiscono tra loro per certi
elementi particolari: alcune infatti affermano che “rischio operativo” è qualsiasi
rischio che non rientri tra quelli classici
14
(definizione piuttosto residuale); altre
invece fanno riferimento a perdite che possono derivare da errori umani e/o
informatici e controlli non adeguati.
I caratteri comuni di queste proposte definitorie sono proprio da ricercarsi tra i
fattori che possono causare tale rischio: è infatti possibile rilevare quattro event-
type (l’inadeguatezza dei processi interni, il fattore umano, i danni sui sistemi e
gli eventi esterni).
Nella Tabella 1.1 sono sintetizzate alcune definizioni di rischi operativi,
che consentono di confrontare l’orientamento del Comitato di Basilea, di Banca
d’Italia e della Federal Reserve Bank statunitense.
12
Da “Wikipedia, l’enciclopedia libera”, www.wikipedia.it.
13
Tali definizioni sono state prese dal testo “Il rischio operativo nelle banche”, G. Gabbi, M. Marsella, M.
Massacesi, Egea, Milano, 2005.
14
Sono rischi classici quelli tipicamente finanziari, cioè il rischio di credito e di mercato.
1 • Il rischio operativo: definizione e quadro normativo 8
Tabella 1.1 – Le diverse definizioni di rischi operativi nell’ottica normativa
Fonte Anno Definizione
Comitato di Basilea Gennaio 2001 Rischio di perdite dirette o indirette derivanti da
errori o inadeguatezze dei processi interni,
dovuti sia a risorse umane sia a sistemi
tecnologici, oppure derivanti da eventi esterni
15
Comitato di Basilea Aprile 2003 Rischio di perdite derivanti da disfunzioni a
livello di procedure, personale e sistemi interni,
oppure da eventi esogeni
16
Banca d’Italia Aprile 1999 Rischi riconducibili a inefficienze nelle
procedure, controlli inadeguati, errori umani e
tecnici, eventi imprevisti. Particolare attenzione
ai rischi operativi connessi all'utilizzo di
tecnologie che consentono il contatto a distanza
con la clientela
Federal Reserve
Bank
Novembre 2002 Rischio derivante dalle potenziali perdite
inattese conseguenti a sistemi informativi
inadeguati, problemi operativi, inefficienze nei
controlli interni, frodi o catastrofi impreviste
Fonte: Banca d’Italia, Comitato di Basilea e Federal Reserve Bank, pubblicazioni varie.
Il Comitato di Basilea, nel Basel Committee 2001a
17
, ha formulato la
definizione riportata in tabella (piuttosto “ampia”), semplificata poi attraverso un
successivo documento del settembre 2001: tale modifica vede l’introduzione
degli eventi esterni come causa di manifestazione e del rischio legale, mentre
esclude i rischi reputazionale,strategico e sistemico
18
.
15
“The risk that deficiencies in information systems or internal controls will result in unexpected loss.
The risk is associated with human error, system failures and inadequate procedures and controls”.
16
“The risk of loss resulting from inadequate or failed internal processes, people and systems or from
external events”.
17
Basel Committee del mese di gennaio 2001 riguardo la riforma del sistema di adeguatezza
patrimoniale.
18
Da “Rischio e valore nelle Banche. Risk management e capital allocation”, A. Sironi, Egea, Milano,
2005.
1 • Il rischio operativo: definizione e quadro normativo 9
La Banca d’Italia
19
, nella stesura delle Istruzioni di Vigilanza per le
banche, ha sottolineato la minimizzazione dei rischi legati a frodi e infedeltà dei
dipendenti, richiamando l’importanza della valutazione dei rischi legali, specie se
“in attività non tradizionali e con soggetti non residenti”.
Anche la Federal Reserve Bank americana ha suggerito nel 2002 una
focalizzazione sulle aree a maggior rischio, sottolineando l’importanza di un
adeguato risk management, per considerare eventuali circostanze catastrofiche
imprevedibili.
1.2 Rischio operativo: fattori determinanti e caratteristiche
Come già accennato nel paragrafo precedente, tra le aree di criticità del
rischio operativo si trova quella riguardante la mancanza di una sua precisa
definizione. Ma la proposta del Comitato di Basilea fatta nel settembre del 2001
(“The risk of loss resulting from inadequate or failed internal processes, people
and systems or from external events”) permette l’individuazione dei cosiddetti
event-type, ovvero quattro categorie di fattori causali al quale possono essere
ricondotte le perdite inattese derivanti da questa tipologia di rischio: essi sono
risorse umane, tecnologia, processi e fattori esterni
20
.
x� Risorse umane (human error): questa categoria include eventi come
errori, frodi, violazioni delle regole e delle procedure interne. In generale
tali fattori si riferiscono a problemi di incompetenza o negligenza del
personale della banca.
x� Tecnologia (system and telecommunication failure): in questa categoria
rientrano problemi relativi a sistemi informativi, errori di programmazione
19
Cfr. Banca d’Italia, “Istruzioni di Vigilanza per le banche”, Marzo 2003, Titolo IV.
20
Da “Il rischio operativo nelle banche”, G. Gabbi, M. Marsella, M. Massacesi, Egea, Milano, 2005.
1 • Il rischio operativo: definizione e quadro normativo 10
nelle applicazioni, interruzioni nella struttura di rete fino ad includere
eventuali fallimenti dei sistemi di telecomunicazione e di informazione in
genere.
x� Processi (security risk, settlement error, transaction risk and model risk):
tali fattori comprendono violazioni della sicurezza informatica connessi ad
un insufficiente sistema di controlli interni, errori nel regolamento di
operazioni in titoli e valute con controparti residenti e non, errori di
contabilizzazione, registrazione o documentazione delle transazioni ed
errori nei sistemi di misurazione dei rischi connessi a problemi nei modelli
e nelle metodologie.
x� Fattori esterni (external events): quest’ultima categoria di fattori causali
si riferisce ad eventi che sfuggono al controllo della banca, come
cambiamenti nel contesto politico, regolamentare, legislativo e fiscale che
arrecano danno alla redditività dell’azienda, atti criminali compiuti da
soggetti esterni alla banca (ad esempio furti, atti di vandalismo o di
terrorismo) ed eventi naturali dannosi (terremoti o inondazioni).
Oltre ai fatti sopra riportati, tra i fattori esterni sarebbe possibile includere
anche il danno reputazionale, ma come già accennato, la definizione resa
dal Comitato di Basilea comprende sì il rischio legale, ma non quelli
strategici e di reputazione ai fini del calcolo del requisito patrimoniale
minimo per il rischio operativo. Il reputation risk, ovvero il rischio che
inefficienze riscontrate nelle attività di risk management riconducibili alla
gestione dei rischi finanziari e dei rischi operativi possano deteriorare
l’immagine che la banca vanta nei confronti del mercato
21
, è escluso dalla
definizione e andrebbe quindi considerato come una categoria a sé.
21
I rischi di reputazione, come i rischi strategici, non sono facilmente misurabili. Spesso sono devastanti
e comportano perdite maggiori di quelle dirette, come problemi sull’affidabilità della banca,
sull’ottenimento di finanziamenti o sulla capacità di fidelizzare i clienti.
1 • Il rischio operativo: definizione e quadro normativo 11
I fattori determinanti sopra elencati costituiscono nel loro insieme
l’operational risk ed è quindi possibile affermare che tale rischio è la possibilità
che comportamenti illegali o inappropriati delle risorse umane, carenze
tecnologiche, errori o carenze nei processi produttivi e fattori esterni possano
generare perdite nello svolgimento dell’attività d’impresa.
La tabella nella pagina seguente (Tabella 1.2) sono riportati sinteticamente
le diverse cause di manifestazione che possono essere ricollegate al rischio
operativo.
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
