1
Introduzione
I rischi operativi hanno sempre caratterizzato l’operatività e la gestione di aziende ed
istituzioni non solo di tipo finanziario. Nonostante ci sia sempre stata la percezione che
tale tipologia di rischio incidesse in maniera rilevante nelle perdite aziendali, solamente
negli ultimi anni si è iniziato a definire i rischi operativi come qualcosa di identificabile,
misurabile e trattabile al fine di avere una corretta gestione e percezione del rischio
complessivo (Panjer, 2006).
Si sta assistendo ad una continua evoluzione delle strutture organizzative e
dell’articolazione operativa connessa alla crescita dimensionale, allo sviluppo di nuovi
business e all’affermazione di nuove tecnologie che caratterizzano le aziende
finanziarie. Parallelamente a tale percorso evolutivo, si stanno sviluppando anche le
tipologie e le caratteristiche dei rischi operativi e sta aumentando la loro incidenza sulle
perdite di tali enti.
Tali ragioni hanno spinto il risk management delle aziende finanziarie e gli organi di
vigilanza a porre sempre maggiore attenzione a questa categoria di rischio.
La definizione di un approccio adeguato per la gestione e la quantificazione dei rischi
operativi è considerata una vera e propria sfida. Ciò a causa delle difficoltà che si
riscontrano prima di tutto nelle attività di individuazione delle perdite che sono
riconducibili a questa categoria di rischio e delle sue fonti. La causa di tali difficoltà è
da ricercare in due caratteristiche fondamentali delle perdite operative:
• La frequenza elevata e la dimensione media ridotta. ¨ infatti raro riscontrare perdite
di dimensioni rilevanti che sarebbero piø semplici da rilevare
1
;
• Esse sono intrinseche nelle attività e nei processi di business e facilmente
confondibili con l’attività caratteristica di certe business lines.
Un’altra caratteristica importante del rischio operativo è la sua natura endogena rispetto
all’impresa, a differenza dei rischi di mercato e di credito. Esso dipende infatti dalla
1
Ciò comunque non sottintende che le perdite di dimensione elevata siano irrilevanti in numero o
nell’impatto totale sulla gestione aziendale.
2
struttura e dell’efficacia dei sistemi e dei controlli interni alla società. Ciò implica che la
prima linea di difesa da tali rischi sia quindi una verifica delle procedure, dei sistemi e
delle strutture organizzative interne all’azienda e l’uso dei dati di perdita operativa per
individuare eventuali modifiche che possano prevenire potenziali eventi negativi futuri
(Jackson, 2003).
Una seconda linea di difesa contro i rischi operativi è il calcolo di adeguati requisiti
patrimoniali per assorbire tali perdite e far in modo che non venga così compromessa la
continuità dell’operatività aziendale. Anche per tali operazioni gli approcci proposti da
vari autori e dalle autorità creditizie sono diversi da quelli solitamente usati per i rischi
di mercato e di credito.
Il recente interesse per questa tipologia di rischio, unito alla complessità delle
operazioni di identificazione e gestione dei rischi operativi e delle relative perdite, ha
spinto anche le autorità di vigilanza creditizia a porre maggiore attenzione
sull’argomento. Infatti, il Comitato di Basilea per la Vigilanza Bancaria (BCBS) è
intervenuto in tal senso inserendo nell’Accordo di Basilea 2 e in documenti seguenti,
indicazioni stringenti circa i metodi di gestione dei rischi operativi applicabili al settore
bancario. Nonostante il presente lavoro tratti il caso di una Società di Gestione del
Risparmio, che quindi non è soggetta a tale disciplina, l’analisi approfondita di questa
tipologia di rischio da parte del Comitato di Basilea è sicuramente utile per fornire
indicazioni circa le caratteristiche e il procedimento attuabile anche da altri tipi di
istituzioni finanziarie.
Come per le banche ed altri enti finanziari, anche per le Società di Gestione del
Risparmio, la sana e prudente gestione non può prescindere da una adeguata conoscenza
e management di tutte le categorie di rischio, comprendendo quindi anche il rischio
operativo. Tuttavia, l’interesse del settore della gestione collettiva del risparmio per tale
tipologia di perdite è molto. ¨ importante comunque sottolineare come si stia
diffondendo anche in questo settore la predisposizione ad attuare tali sistemi di gestione,
anche con l’aiuto dell’associazione di categoria.
La mancanza di indicazioni precise e rigorose circa la metodologia da usare per
identificare, misurare e controllare le perdite derivanti dai rischi operativi, lascia le
3
Società di Gestione del Risparmio libere di adottare un sistema modellato sulle esigenze
e caratteristiche delle singole aziende. Tale libertà riguarda anche la scelta
dell’approccio di misurazione delle perdite e stima del capitale da accantonare a riserva
per questa tipologia di rischi.
L’approccio solitamente consigliato per la stima del Capital at Risk relativo ai rischi
operativi è il Loss Distribution Approach (LDA). Tale metodo di stima è considerato
anche dal Comitato di Basilea sufficientemente preciso ed adeguato, infatti ad esso fa
riferimento quando tratta dell’Advanced Mesaurement Approach.
Scopo del presente lavoro è analizzare l’applicazione di un sistema di misurazione e
gestione dei rischi operativi da parte di una società di gestione del risparmio, ponendo
particolare attenzione al metodo di stima del Capital at Risk con l’uso del loss
distribution approach..
Questo elaborato segue un’esperienza di tirocinio presso l’ufficio RiskManagement e
Analisi Finanziaria dell’azienda oggetto di analisi, durante la quale ho avuto
l’opportunità di analizzare il sistema di gestione dei rischi operativi e le perdite rilevate
dal 2009, anno in cui tale procedura è stata definita e applicata. La parte piø importante
della mia esperienza riguarda l’implementazione del Loss Distribution Approach per la
stima del Capital at Risk per l’anno 2011, sulla base delle perdite rilevate nel 2010.
Il lavoro è strutturato come segue. Nel primo capitolo si cerca di definire in modo
preciso la natura dei rischi operativi partendo dalla ricerca di una definizione adeguata,
compito non semplice vista la loro natura, arrivando a delineare una tassonomia di tali
rischi appropriata per le società di gestione del risparmio. Vengono poi analizzate le
scarse indicazioni date dalla normativa circa la gestione di questa categoria di rischi da
parte delle SGR. Data tale scarsità di direttive, vengono elencati i dieci principi definiti
dal Comitato di Basilea per individuare delle prassi adeguate per il management dei
rischi operativi. Basandosi su tali prassi viene infine descritto un processo indicativo per
la modellazione, rilevazione e misurazione dei rischi operativi.
Il secondo capitolo tratta in maniera approfondita e teorica il Loss Distribution
Approach e le sue caratteristiche. Come detto precedentemente esso è utile per arrivare
ad un calcolo sufficientemente preciso del Capital at Risk. Tale precisione va a
4
discapito di un costo in termini di procedure di stima e misurazione del rischio superiore
a quello relativo all’uso di approcci alternativi meno sofisticati e meno precisi come il
Basic Indicator Approach e lo Standardized Approach.
Il terzo e ultimo capitolo, cardine del presente elaborato, tratta l’analisi di un caso
pratico di applicazione di una procedura di gestione e misurazione dei rischi operativi
da parte di una società di gestione del risparmio: PensPlan Invest SGR S.p.A.. Tale
analisi riguarda tutti i passi del procedimento, dalla fase di mappatura dei rischi, alla
stima del capital at risk per l’anno 2011, passando per operazioni di rilevazione delle
perdite e di simulazione di dati mancanti. Particolare attenzione viene posta
all’applicazione del Loss Distribution Approach per la stima della distribuzione
aggregata delle perdite e il calcolo del capitale da accantonare e all’analisi dei risultati
parziali e totali.
5
Capitolo 1
I rischi operativi
Il primo passo importante del presente elaborato è senza dubbio descrivere le
caratteristiche generali dei rischi operativi per le istituzioni finanziarie e in particolar
modo per le Società di Gestione del Risparmio.
Per svolgere tale compito, in questo capitolo si cerca innanzitutto di trovare una
definizione precisa di “rischio operativo” procedendo poi con una classificazione delle
categorie di rischi di tale tipo. Tali operazioni sono tutt’altro che banali e le difficoltà
che si riscontrano nel loro svolgimento sono caratteristiche di un ambito in cui le
particolarità della tipologia delle perdite in analisi sono di difficile identificazione e
sono intrinseche all’attività delle aziende stesse.
Si tenta poi di definire una procedura generale di gestione dei rischi operativi per le
SGR, partendo da una breve analisi delle poche norme giuridiche a riguardo e
integrandole con le prassi definite dal Comitato di Basilea per il settore bancario
2
.
1.1 La definizione di “rischio operativo”
Definire la nozione di “rischio operativo” non è affatto semplice. Questo è dovuto al
fatto che è un concetto sfumato, come dice Coruchy (2001), poichØ è difficile fare una
distinzione netta tra il rischio operativo e le normali incertezze e problemi affrontati da
un’organizzazione nelle sue operazioni giornaliere.
Per molto tempo, l’unica definizione per tali rischi è stata data in negativo. Cioè si
definiva il rischio operativo qualsiasi rischio non correlato coi rischi di mercato e di
credito.
2
Ciò con la consapevolezza che tali prassi sono state definite per un settore diverso da quello a cui fa
riferimento il presente elaborato, e cercando quindi di adattarle allo scopo prefissato.
6
Tale definizione rendeva però difficile l’analisi e la misurazione dei suddetti rischi, in
particolare la loro descrizione in negativo si adatta difficilmente alla definizione di quali
sono gli scopi della loro analisi, come sottolineato da Moosa (2008).
Un altro interessante punto di vista riguardo l’inquadramento dei rischi operativi
all’interno della classificazione dei rischi per un’istituzione finanziaria è dato da
Kuritzkes e Scott (2002) ed è rappresentato nella seguente figura:
Figura 1.1. Classificazione dei rischi nelle istituzioni finanziarie. Fonte: Kuritzkes e Scott (2002).
Come spiegato da Van Grinsven (2009), i rischi finanziari sono quelli assunti
direttamente dall’istituzione finanziaria dato il suo ruolo di intemediario finanziario e
sono suddivisibili in: rischio di credito, rischio di mercato e rapporto attività/passività
(ALM). Oltre a questi, rientrano tra i rischi finanziari anche il rischio di liquidità, il
rischio derivante dalla sottoscrizione di assicurazioni, etc.
I rischi non finanziari si verificano quando un’istituzione finanziaria incorre in perdite
operative dovute a cause non finanziarie, appunto. Tali rischi sono comuni a tutte le
organizzazioni. Si è appurato che il 25-30% delle perdite sono riconducibili ai rischi
non finanziari. Essi sono suddivisibili in:
• rischi interni: perdite dovute problemi interni come frodi, errori umani, costi di
compliance, fallimenti del sistema interno, responsabilità legali, etc.
• rischi esterni: perdite dovute a eventi esterni incontrollabili come attacchi
terroristici o disastri naturali. L’esempio piø classico di rischio di questa tipologia è
l’attacco terroristico avvenuto nel 2001.
7
• rischi d’impresa: rischi residui non attribuibili a rischi interni o esterni come calo
dei volumi di vendita, cambiamenti della domanda o cambi regolatori.
Secondo tale definizione, fanno parte dei rischi operativi i rischi non finanziari interni
ed esterni.
La definizione maggiormente usata e ritenuta valida è quella sancita dal Comitato di
Basilea per la vigilanza bancaria nel 2003
3
, secondo cui si definisce rischio operativo il
“rischio di subire perdite derivanti dall’inadeguatezza o dalla disfunzione di procedure,
risorse umane e sistemi interni, oppure da eventi esterni” (BCBS, 2003).
Nonostante quella appena citata sia ritenuta la definizione migliore dalla maggior parte
degli operatori
4
, negli anni successivi sono state formulate alcune critiche e proposte
alternative ad essa.
Le critiche principali volte alla definizione fornita dal Comitato di Basilea per la
vigilanza bancaria sono (Moosa, 2008):
• Turing (2003) la descrive come “ampia e totalmente inutile”;
• Herring (2002) critica la totale omissione dei rischi d’impresa e reputazionali nella
definizione;
• Hadjiemmanuil (2003) la descrive come “opaca” e “open-ended”, poichØ omette di
specificare i fattori di rischio o la sua relazione con le altre forme di rischio. Tale
critica è stata argomentata anche da Mango e Vender (2007), secondo cui la
definizione fornita dal BCBS è “ingannevolmente breve per un’area di rischio così
vasta”. Tale inadeguatezza sarebbe alla base dell’integrazione della definizione
fatta l’anno successivo, in cui sono descritti i sette tipi di eventi di perdita
operativa
5
.
3
Nonostante l’analisi di questo elaborato sia riferita ad un ambito non bancario, i riferimenti al trattato di
Basilea II e a rapporti del comitato di Basilea sono necessari e utili visto l’alto grado di analisi dei rischi
operativi da parte di tale organismo.
4
Ciò è dovuto anche al fatto che l’analisi e la misurazione dei rischi operativi è obbligatoria per il settore
bancario e che i principi e regole da seguire in tali operazioni sono dettate proprio dal Comitato di
Basilea.
5
Tali categorie di rischio vengono descritte nel paragrafo successivo.
8
Alcuni autori, inoltre, hanno tentato di modificare la definizione fornita dal Comitato di
Basilea:
• Doering (2003) definisce il rischio operativo come “il rischio di impatto negativo
nel business come conseguenza di una sua conduzione in maniera inappropriata o
inadeguata o che può derivare da fattori esterni”.
• Jobst (2007) definisce il rischio operativo come “il rischio di perdite derivanti da
risultati negativi che scaturiscono da atti compiuti (o negligenze) nello svolgimento
di attività di business, come processi interni inadeguati o fallimenti nei processi
interni e nei sistemi informatici, cattiva condotta del personale o eventi esterni”.
Nonostante le critiche e le proposte alternative, la definizione fornita dal Comitato di
Basilea è generalmente accettata e usata come riferimento dalle istituzioni finanziarie.
1.2 La classificazione dei rischi operativi
L’eterogeneità che caratterizza i rischi operativi rende necessario definire un sistema per
classificarli ed identificare i loro componenti (Moosa, 2008).
Come accennato in BCBS (2001), c’è un alto grado di ambiguità inerente al processo di
categorizzazione delle perdite e dei costi inerenti ai rischi operativi.
Una prima classificazione si può avere già dalla definizione di tali rischi data dal
Comitato di Basilea, secondo cui i fattori di rischio sono l’inadeguatezza o la
disfunzione di procedure, risorse umane e sistemi interni, oppure eventi esterni. Essa
può essere rappresentata dalla seguente figura.
9
Figura 1. 2. Classificazione dei rischi operativi secondo la definizione del Comitato di Basilea del 2003. Fonte:
Moosa (2007).
Tale classificazione è utile per avere una visione generale delle cause di rischio.
Tuttavia chi gestisce i rischi operativi e ha come scopo la riduzione dell’esposizione
aziendale ad essi, necessita di una maggiore disaggregazione delle cause di rischio per
identificare le aree in cui gli interventi programmati avranno l’effetto desiderato, cioè
eliminando le fonti di rischio nettamente o diminuendone l’impatto e la frequenza.
10
Una classificazione “per cause” maggiormente dettagliata è riportata nella seguente
tabella.
FONTE DI RISCHIO CATEGORIE ESEMPI Azioni dei dipendenti Defezioni dei dipendenti Dispute lavorative Danni ai dipendenti Scioperi Appropriazioni indebite Riciclaggio Trasferimento fondi non autorizzati Frodi fiscali Insider trading Manipolazione dei mercati Trading non autorizzato Errori dei dipendenti Controlli qualità inadeguati Sicurezza inadeguata Supervisione inadeguata Esecuzioni delle transazioni inadeguate Perdita di informazioni sensibili Esecuzioni delle transazioni incomplete Problemi delle nuove tecnologie Errori operativi legati alle tecnologie Hardware obsoleto Fallimenti del sistema Virus Sicurezza dei dati Hacking Testing inadeguato Software incompatibile Sistema inadeguato Manutenzione del sistema Fax Internet E-mail Telephone Furto Riciclaggio esterno Inondazioni Uragani Terremoti Bufere Incendi dolosi Esplosioni Guerre Errori ed omissioni Misfatti legati al trading Risorse Umane Processi Tecnologie Rischi esterni Frodi esterne Disastri naturali Disastri non naturali Telecomunicazioni Sistema Software Frodi interne Lavoro, salute e sicurezza Sicurezza Hardware Problemi tecnologici generali Rischi legati ai processi di transazione e business
Tabella 1. 1. Classificazione dei rischi operativi per cause. Fonte: Moosa (2007).
11
Ancora piø utile alla rilevazione e gestione dei rischi operativi è una classificazione
basata sui tipi di evento, poichØ le perdite possono essere considerate come
“materializzazione” degli eventi di rischio (Moosa, 2007).
Il Comitato di Basilea in BCBS ( June 2004), partendo da un’analisi dei rischi operativi
operata da aziende del settore industriale ha proceduto con una classificazione per
eventi di rischio. Il risultato è simile alla classificazione dei rischi fatta dal settore
assicurativo:
• Frode interna: perdite dovute a frodi che coinvolgono almeno un soggetto interno
all’azienda (es: corruzione o tangenti, furti interni, insider trading, etc.);
• Frode esterna: uguale alla frode interna, con la differenza che viene eseguita da un
soggetto esterno all’azienda (es: computer hacking, furto di informazioni, furto,
falsificazione, etc.);
• Pratiche occupazionali e sicurezza sul lavoro: perdite derivanti da violazioni dei
rapporti lavorativi, salute e norme di sicurezza (es: discriminazioni, problemi di
salute e sicurezza, etc.);
• Clienti, prodotti e pratiche commerciali: perdite derivanti dal mancato rispetto di
obblighi coi clienti o da difetti nei prodotti (es: controversie sui servizi di
consulenza, violazioni di regole sulla concorrenza, difetti dei prodotti, violazione
della privacy, etc.);
• Danni a beni fisici: perdite derivanti da danni inflitti a beni fisici da disastri naturali
o altri eventi (es: terrorismo, vandalismo, disastri naturali, etc.);
• Interruzioni e problemi del sistema: perdite derivanti da interruzioni o problemi del
sistema, delle telecomunicazioni e dei servizi (es: hardware, software,
telecomunicazioni, interruzioni dei servizi, etc.);
• Esecuzione, consegna e gestione dei processi: perdite derivanti da elaborazioni
delle transazioni non riuscite con le controparti, come i fornitori (es: registrazione
incorretta dei clienti, perdita o incompletezza di documentazione legale, errori di
acconto, etc.).
Quanto detto fin’ora riguardo alla tassonomia dei rischi operativi è stato definito dal
Comitato di Basilea per il settore bancario, ma può facilmente essere adattato a qualsiasi
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
