1
1 Gestione, controllo dei rischi operativi e riflessi sulla
gestione
1.1 Problemi definitori
Per molto tempo il rischio operativo ha sofferto di problemi definitori venendo
considerato semplicemente un insieme di rischi non classificabili tra quelli di credito
e di mercato, una famiglia di rischi differenziati per gli eventi da cui hanno origine,
per la severità delle perdite, per la probabilità di accadimento e per il tipo di impatto
che può essere ascrivibile a diverse circostanze: perdita vera e propria, mancate
occasioni o guadagni, penalità da organismi, svalutazione degli asset, ripercussioni
negative in termini di immagine e reputazione.
Nell’ultimo decennio numerosi sono gli studi e la pubblicazioni volte ad
individuare i criteri di identificazione di questa fattispecie di rischio. Non vi è ancora
un unanime consenso sulla definizione da dare, alcune banche internazionali adottano
definizioni diverse
1
:
«the potential of any activity to damage the organization, including physical,
financial, legal risk and risk to business relationships»
2
;
1
Cfr. Sironi, 2005.
2
Potenzialità di ogni attività di danneggiare l'organizzazione, compresi danni fisici, finanziari, il
rischio legale e rischio di relazioni di business.
2
«the risk that deficiencies in information system or internal controls will result in
financial loss, failure to meet regulatory requirement or an adverse impact an the
bank’s reputation»
3
;
«The risk of loss through inadequate system, controls and procedures, human
error or management failure»
4
;
«All risk are not banking (it excludes credit, market, and trading, and those
arising from business …)»
5
.
Come si può notare il rischio operativo viene definito in modo diverso
riconducendo a esso potenziali perdite derivanti da inefficienze dei sistemi
informativi, da errori umani, da controlli inadeguati, da rischi legali, reputazionali e
regolamentari.
Il rischio operativo viene anche definito in modo residuale, ricollegando a questa
fattispecie tutti i rischi diversi da quelli finanziari, di interesse, di credito e di
mercato. Il problema definitorio del rischio operativo è legato al fatto che in numerosi
casi le perdite associate al rischio operativo possono apparire connesse a tipologie di
rischio diverse quali rischio di mercato o di credito
6
.
Banca d’Italia (1999) include i rischi operativi negli “altri rischi”, sottolineando
che sono dovuti a fenomeni legati alla crescente complessità dell’attività bancaria:
inefficienze nelle procedure, controlli inadeguati, errori tecnici, eventi imprevisti,
3
Il rischio che le carenze nel sistema di informazione o di controlli interni si tradurrà in perdite
finanziarie, fallimento nel soddisfare le richieste di regolamentazione o in un impatto negativo sulla
reputazione della banca.
4
Il rischio di perdita per sistema inadeguato, controlli e procedure, errori umani o fallimenti di
gestione.
5
Tutti i rischi che non sono “bancari”(rischi di credito, mercato,trading).
6
Sempre Sironi, 2005, riporta il caso della banca britannica Barings del 1995: le perdite ingenti
relative al trader Nick Leeson furono apparentemente connesse al rischio di mercato, l’indice Nikkei
diminuendo ha provocato perdite sulle posizione in contratti future e opzioni, tali perdite erano, invece,
imputabili a rischio operativo, si tratto, infatti, in parte di negligenza, connessa al mancato rispetto
delle regole relative ai limiti attribuiti ai singoli operatori, ed in parte di frode in quanto le perdite
furono occultate per parecchio tempo.
3
sottolinea che occorre fare particolare attenzione ai rischi operativi connessi con
l'utilizzo di tecnologie che consentono il contatto a distanza con la clientela.
Tale definizione è incentrata sulle cause e non contempla il rischio organizzativo
il quale unitamente a quello di gestione delle risorse umane sono i principali
componenti delle politiche di gestione del rischio operativo.
Banca d’Italia non suggerisce nØ modelli nØ soluzioni, si limita soltanto a dare
linee guida, con lo scopo di garantire flessibilità alla struttura organizzativa della
banca, circa i rischi legati a frodi e infedeltà dei dipendenti, ai rischi legali, al rischio
di regolamento, al rischio di controparte negli accordi di compensazione, ai rischi di
fiducia della clientela per inefficienze nella prassi operativa, ai rischi di conflitti di
interesse (nel caso di svolgimento dei servizi di investimento).
Leggiamo, infatti
7
, «Le banche definiscono le procedure operative e di controllo
volte a minimizzare i rischi legati a frodi e infedeltà dei dipendenti. Le politiche di
gestione del personale devono evitare potenziali conflitti tra fini individuali e interessi
della banca. Esse inoltre adottano adeguate misure interne atte a evitare ogni
coinvolgimento, anche inconsapevole, in fatti di riciclaggio,… Le banche valutano i
rischi legali cui sono esposte; in particolare, nell'esercizio di attività non tradizionali e
con soggetti non residenti, verificano che alla controparte di una operazione non sia
vietato da norme di legge o regolamentari porre in essere l'operazione stessa». Questo
a sottolineare che Banca d’Italia rimanda alle singole banche a definire e valutare
quelli che possono essere i rischi ai quali va incontro e a trovare le procedure e le
politiche di gestione piø adeguate a minimizzare tali rischi.
7
Cfr. Banca d’Italia, 1999.
4
Una definizione di tipo residuale è stata adottata dall’ABI
8
: «il rischio operativo è
tutto ciò che non può essere configurato come rischio di credito e di mercato,
vengono esclusi il rischio strategico e reputazionale»; le categorie sono sei: rischio
operazionale, di frode e infedeltà, legale, informatico e tecnologico. Tale
classificazione ricalca l’orientamento di numerose realtà bancarie italiane esposto in
un lavoro di esponenti dell’ABI
9
, i quali classificano il rischio operativo come:
rischio transazionale (presente nell’attività di front office, back e middle office,
nell’information tecnology e nel comportamento delle risorse umane), rischio di
evento (azioni legali) e rischio di business (legati ad errori e/o omissioni nella
pianificazione aziendale, nella consulenza, nei processi decisionali e nella struttura
organizzativa).
Altra caratterizzazione
10
suddivide la categoria dei rischi oggetto della trattazione,
in rischi organizzativi, di rilevazione e casuali. Tale suddivisione è finalizzata a
quantificare il loro impatto sul capitale economico della banca. I primi sono
variazione del portafoglio di attività aziendali per scelte strutturali, normative o
procedurali dell’impresa; i secondi sorgono per la possibilità che l’attività di scambio
non entri correttamente nel sistema informativo oppure vi rientri in maniera parziale;
infine, i terzi si collegano a eventi aleatori quali la crisi di fiducia della clientela
(rischio di reputazione o immagine) o disastri. In definitiva, in questo caso, il rischio
operativo comporta la possibilità di fluttuazioni del valore del portafoglio di attività
aziendali dovute a variazioni inattese delle condizioni di operatività dell’impresa
rispetto a quelle del contesto.
8
Cfr. ABI, 2000.
9
Cfr. Pasquini Troiani, 1998.
10
Cfr. Vellela, 1999.
5
Queste sono alcune delle tante definizioni che vengono date del rischio operativo,
sono definizioni per così dire in “negativo”, si considera rischio operativo, come già
specificato, tutto ciò che non e nØ rischio di credito nØ rischio di mercato.
Nel 2001 nel “working paper”
11
del Comitato di Basilea si è giunti ad elaborare
una definizione in “positivo” definendo il rischio operativo come: “the risk of loss
resulting from inadequate or failed internal processes, people and systems or from
external events”, ossia rischio di perdite derivanti da inadeguati processi interni,
errori, umani, carenze nei sistemi o cause di eventi esterni
12
. Tale definizione sarà
ripresa e confermata nel Nuovo Accordo
13
del 2004, dove il Comitato darà, poi, le
linee giuda per il calcolo del coefficiente patrimoniale a fronte del rischio operativo.
La Banca d’Italia riprenderà nella circolare 263/2006, che recepisce il Nuovo
Accordo, questa definizione: «Per rischio operativo si intende il rischio di subire
perdite derivanti dall’inadeguatezza o dalla disfunzione di procedure, risorse umane
e sistemi interni, oppure da eventi esogeni. Rientrano in tale tipologia, tra l’altro, le
perdite derivanti da frodi, errori umani, interruzioni dell’operatività, indisponibilità
dei sistemi, inadempienze contrattuali, catastrofi naturali. Nel rischio operativo è
compreso il rischio legale, mentre non sono inclusi quelli strategici e di
reputazione»
14
.
Nella definizione di rischio operativo, così come fornita da Banca d’Italia,
sull’orientamento del Comitato di Basilea, non sono inclusi, nel calcolo del rischio, i
11
Cfr. Basel Committee on Banking Supervision, settembre 2001.
12
Questa definizione deriva da una precedente, inserita in un altro Working paper del Comitato, di
gennaio 2001, la quale precisava: “the risk of direct or indirect loss resulting from inadequate or failed
internal processes, people and systems or from external event”, le perdite dirette ed indirette che, sono
connesse rischio strategico e reputazionale e ad eventuali costi addizionali o pagamenti a terzi che una
banca deve sostenere per riparare alla conseguenze di problemi connessi alla concreta manifestazione
del rischio operativo sono state successivamente escluse dalla definizione.
13
Cfr. Basilea II, 2004.
14
Cfr. Circolare Banca d’Italia 263/2006.
6
rischi strategico e reputazionale; in realtà non esiste una definizione univoca per
queste due tipologie di rischio, il rischio strategico si ricollega alla perdita di
posizione competitiva, il rischio reputazionale può essere considerato un rischio di
secondo impatto in quanto è legato al manifestarsi di perdite non solo di rischio
operativo.
Per quanto riguarda, invece, il rischio legale esso viene incluso e Banca d’Italia ne
da una definizione precisa: “il rischio di perdite derivanti da violazioni di leggi o
regolamenti, da responsabilità contrattuale”; include, inoltre, l’esposizione ad
ammende, sanzioni pecuniarie o penalizzazioni derivanti da provvedimenti assunti
dall’organo di vigilanza, ovvero da regolamenti privati. Da non confondere con il
rischio di compliance, definito come “rischio di incorrere in sanzioni giudiziarie o
amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di
violazioni di norme imperative (leggi o regolamenti) o di autoregolamentazione
(statuti, codici)”.
Il rischio operativo caratterizzato secondo questa definizione porta ad individuare
quattro categorie di fattori, che lo possono generare: risorse umane, processi, fattori
esogeni e tecnologia.
I principali fattori umani da cui possono derivare perdite di tipo operativo sono
riconducibili ai comportamenti del personale, errori, frodi, violazioni di legge,
collusioni con attività criminali, violazioni di procedure interne, incompetenza o
negligenza.
Per quanto riguarda i processi possiamo ricondurre i fattori che generano rischio
operativo a malfunzionamenti di procedure, errori nei sistemi di misurazione dei
rischi connessi a problemi nei modelli, errori di contabilizzazione, lacune nel sistema
7
dei controlli e conseguente violazione della sicurezza informatica, errori nel
regolamento di operazioni in titoli e valute, errori nella definizione dei ruoli e
nell’attribuzione di responsabilità, violazioni della sicurezza.
I fattori a carattere tecnologico riguardano disfunzioni ed errori nel sistema
informatico, errori di programmazione nelle applicazioni, rischi di sicurezza
informatica, caduta dei sistemi di telecomunicazione, perdita di dati connessa a
fallimenti nei sistemi, (questo fattore di rischio è diventato sempre piø rilevante per
l’elevata dipendenza del settore finanziario dai sistemi informatici e dalle risorse
tecnologiche).
Infine, per quanto concerne i fattori esterni sono eventi che sfuggono al controllo
della banca, minacce ambientali, eventi politici o militari, cambiamenti legislativi e
fiscali, attività criminali.
Un’osservazione deve essere fatta in merito alla categoria dei fattori esterni. A
questa categoria potrebbero essere ricondotti quegli eventi che arrecano danno alla
reputazione rientrando dunque nella categoria di rischio reputazionale. Ad esempio, si
può pensare ad una banca che finanzia una impresa che risulta, successivamente,
attiva nella vendita di armi a governi i quali si presumono essere legati a gruppi
terroristici
15
, verisimilmente questa attività avrà ripercussioni sull’immagine della
banca, anche se quest’ultima non è a conoscenza degli affari dell’impresa. Tuttavia il
15
Cfr. Gabbi, 2005; l’autore rimarca il fortissimo legame tra rischio operativo e rischio reputazionale
sottolineando due condizioni che possono «trasformare» il primo in rischio di reputazione: 1) la
responsabilità dell’impresa o di un soggetto nell’adozione di scelte con effetti negativi per la
reputazione; 2) l’esistenza di specifiche variabili che contribuiscono alla trasformazione del rischio
originario (operativo, ma anche legale e strategico) in un fattore in grado di modificare il giudizio
esterno dell’impresa. Ribadisce che un sistema di misurazione e controllo globale dei rischi bancari
dovrebbe prevedere un sistema di valutazione dell’effetto sulla reputazione che i rischi operativi
potrebbero produrre, nella consapevolezza all’interno della banca che i rischi operativi possono
generare danni al valore aziendale e alla fiducia su cui si basa il rapporto con la clientela. Questa è una
condizione importante che impone un mercato come quelle bancario in cui la credibilità è un fattore
decisivo per il successo della propria offerta.
8
Comitato di Basilea non contempla nella definizione il rischio reputazionale, che
dovrebbe prevedere criteri differenti di misurazione e gestione che in questa sede non
approfondiamo.
Una classificazione di fattori così definita è utile al fine dell’individuazione dei
punti critici nell’ambito della struttura organizzativa della banca e nella conseguente
ricerca di rimedi. Infatti, è utile sottolineare che una definizione come proposta dal
Comitato, poi recepita in Italia con la circolare già citata, cela uno scopo importante
perseguito che è quello di far emergere le peculiarità di ogni singola banca in
relazione alle caratteristiche del proprio business e del proprio livello organizzativo;
questa è poi, di contro, la difficoltà che ogni banca trova nell’implementazione di
modelli in grado di definire il rischio operativo, perchè occorre un’attenta analisi
sotto molteplici profili, che siano processi, sistemi informativi, quantità ma
soprattutto qualità delle risorse umane.
A fianco a questo problema vi è poi l’esigenza di misurazione per la quale è
preferibile una classificazione del rischio operativo per tipologia degli eventi
apportatori di perdite, a cui è piø immediato ricollegare gli effetti causati dal
manifestarsi del rischio stesso. Proprio per questo motivo la definizione, sebbene
incentrata sulle cause da cui scaturiscono i fattori di rischio, è corredata di una
classificazione dei singoli eventi, con l’obiettivo di facilitare la raccolta di dati per la
costruzione di database, che come vedremo è uno dei maggiori aspetti di criticità per
la gestione del rischio operativo, che molte banche stanno affrontando per costruire
serie storiche attendibili.
9
Ai fini interni, comunque, le banche possono, anzi è auspicabile, sviluppare
definizioni che siano piø conformi al business della banca, alla sua cultura interna, ai
suoi profili organizzativi.
Il rischio operativo è quindi assunto involontariamente, non in vista di un profitto,
è presente in ogni attività produttiva e di sostegno, ha un impatto trasversale e
necessita di un processo di sensibilizzazione su tutte le componenti di business. Esso
è strettamente collegato al sistema dei controlli interni, non presenta una correlazione
univoca con la dimensione della banca e con il suo volume d’affari, il suo ritardo
temporale ha aspetti rischiosi in quanto nel momento in cui si rileva l’esistenza ha già
avuto la manifestazione finanziaria è quindi difficile da prevenire, qui sta alle banche
adoperarsi in modo da riuscire a trovare una soluzione adeguata.
1.2 Identificazione e classificazione del Rischio Operativo
I rischi operativi sono definiti da Basilea, nel Nuovo Accordo, come rischi di
perdite effettive derivanti da processi controlli inadeguati, errori umani, carenze nei
sistemi o eventi esterni.
Le perdite che rientrano nella definizione regolamentare del Comitato di Basilea
sono le perdite monetarie incluse in conto economico, compresi i costi connessi
all’evento ma non i programmi di investimento, i costi opportunità e i mancati
guadagni. Così ad esempio, se a causa di un errore del computer si interrompe
l’attività di trading la posizione della banca varia in modo sfavorevole, la perdita
dovrebbe includere, quindi, la variazione della posizione, i pagamenti ai clienti, il
10
costo del tecnico, ma se la banca decidesse di riacquistare un nuovo hardware, questo
investimento non sarebbe incluso dalla perdita.
Nell’ambito del progetto DIPO
16
si è stabilito che con il termine perdite effettive
ci si riferisce a flussi economici negativi caratterizzati da certezza, riconducibili
all’evento, non dovuti a compensazioni di costi e ricavi
17
.
L’identificazione è un passo importante, in quanto permette di comprendere quelli
che sono i possibili fattori che possono mettere a repentaglio la redditività della
banca. ¨ auspicabile che l’obiettivo di ciascun intermediario non sia solo quello di
adempiere, semplicemente, alle prescrizioni normative – considerando, solo i rischi
da cui derivano perdite effettive – ma quello di avere una visione ampia e
complessiva dell’attività, considerando tutti i rischi che possono mettere a repentaglio
il business dell’azienda e non solo quelli che generano perdite rilevabili dal bilancio.
In relazione agli obiettivi prefissati da ciascun intermediario il Nuovo Accordo,
all’Allegato 7
18
, illustra uno schema vincolante di macrocategorie di Eventi di Perdita
(even type, ET) da considerare – tavola 1 -. La determinazione di questi eventi di
perdita risulta particolarmente interessante poichØ consente di analizzare con maggior
grado di precisione la natura delle potenziali situazioni di rischio da cui possono
derivare perdite operative.
16
DIPO: “Database Italiano di Perdite Operative”, progetto avviato dall’ABI. Il DIPO rappresenta un
consorzio attraverso il quale le banche che vi partecipano, in forma anonima, condividono
informazioni relative ai singoli eventi di perdita subiti.
17
Sono quindi da escludere flussi economici negativi erroneamente computali, ad esempio quote di
stipendio pagate il mese successivo.
18
Cfr. anche Banca d’Italia, 2006, Titolo II, cap. 5, all, C.
11
TAVOLA 1: Classificazione delle tipologie di eventi di perdita.
Categoria
dell’evento
(livello 1)
Definizione
Categorie
(livello 2)
Esempi di attività
Attività non autorizzata
- Transazioni non registrate (intenzionalmente)
- Transazioni non autorizzate (con perdita monetaria)
- Valutazioni di mercato intenzionalmente errate
Frode interna
Perdite dovute a frode, appropriazione
indebita o violazioni/aggiramenti di leggi,
regolamenti o direttive aziendali – ad
esclusione degli episodi di discriminazione
o mancata applicazione di condizioni
paritarie – che coinvolgano almeno una
risorsa interna della banca.
Furto o frode
- Frode/frode creditizia/scoperti non autorizzati
- Furto/estorsione/appropriazione indebita/rapina
- Sottrazione di beni
- Distruzione dolosa di beni
- Contraffazione/falsificazione
- Manipolazione di assegni
- Contrabbando
- Appropriazione di conti/usurpazione di identità, ecc.
- Intenzionale inadempienza o evasione fiscale
- Corruzione/tangenti,
- Insider trading (a titolo personale)
Furto o frode
- Furto/rapina
- Contraffazione/falsificazione
- Manipolazione di assegni Frode esterna
Perdite dovute a frode, appropriazione
indebita o violazioni di leggi da parte di
terzi
Sicurezza dei sistemi
- Danni derivanti da pirateria informatica
- Sottrazione di informazioni (con perdita monetaria)
Discriminazione condizioni non paritarie - Tutti i tipi di discriminazione
Rapporto di impiego
- Retribuzioni, indennità, questioni relative alla
- cessazione del rapporto di impiego
- Attività sindacali
Rapporto di
impiego e
sicurezza
Perdite derivanti da atti non conformi alle
leggi o agli accordi in materia di impiego,
salute e sicurezza sul lavoro, dal
pagamento di risarcimenti a titolo di
lesioni personali o da episodi di
discriminazione o mancata applicazione di
condizioni paritarie.
Sicurezza sul lavoro
- Responsabilità civile (cadute e simili)
- Eventi relativi alla salute e alla sicurezza dei
- dipendenti
- Retribuzioni dei dipendenti
continua…
12
Categoria
dell’evento
(livello 1)
Definizione
Categorie
(livello 2)
Esempi di attività
Perdite derivanti da inadempienze,
involontarie o per negligenza, relative a
obblighi professionali verso clienti
specifici (inclusi i requisiti fiduciari e di
adeguatezza del cliente), ovvero dalla
natura o dalla caratteristica del prodotto.
Adeguatezza informativa e rapporti fiduciari
- Violazioni dei vincoli fiduciari o delle linee guida
- Adeguatezza/obblighi di informazione (“know-your-customer”,
ecc.)
- Violazioni dei requisiti di informativa per la clientela retail
- Violazione della privacy
- Strategie di vendita aggressive
- Creazione di operazioni fittizie/manipolazione di conti
(“churning”)
- Uso improprio di informazioni riservate
- Responsabilità del creditore
Prassi di business o di mercato improprie
- Antitrust
- Prassi di negoziazione o di mercato improprie
- Manipolazione del mercato, Insider trading (per conto
dell’azienda)
- Attività non autorizzate
- Riciclaggio di denaro proveniente da attività illecite
Difetti nella produzione
- Vizi di produzione (mancata autorizzazione, ecc.)
- Errori di modello
Selezioni, e sponsorizzazioni e limiti di
esposizione
- Mancata/inadeguata analisi dei bisogni del cliente
- Superamento dei limiti di esposizione del cliente
Clientela prodotti
e prassi di business
Attività di consulenza - Controversie riguardo alla performance effettiva
Danni a beni
materiali
Perdite dovute a danneggiamento o
distruzione di beni materiali per catastrofi
naturali o altri eventi
Catastrofi e altri eventi
- Perdite dovute a catastrofi naturali
- Perdite per atti umani di origine esterna (terrorismo,
vandalismo)
Interruzioni
dell’operatività e
disfunzioni dei
sistemi informatici
Perdite dovute a interruzioni
dell’operatività o a disfunzioni dei sistemi
informatici
Sistemi
- Hardware, Software
- Telecomunicazioni
- Interruzioni/guasti nell’erogazione di servizi di utilità
continua…
13
Categoria
dell’evento
(livello 1)
Definizione
Categorie
(livello 2)
Esempi di attività
Avvio, esecuzione e completamento delle
transazioni
- Difetti di comunicazione
- Errori di inserimento, manutenzione o acquisizione dei dati
- Mancato rispetto di scadenze o altre responsabilità
- Disfunzioni di modelli o sistemi
- Errori contabili o di assegnazione alle entità
- Negligenze nell’esecuzione di altre mansioni, Mancata
consegna
- Negligenze nella gestione delle garanzie
- Negligenze nella tenuta delle basi di dati
Monitoraggio e reporting
- Inadempienze negli obblighi di reporting
- In accurate segnalazioni al pubblico (perdite subite)
Acquisizione della clientela e relativa tenuta
della documentazione
- Assenza di autorizzazioni o di manleve del cliente
- Assenza o incompletezza della documentazione legale
Gestione dei conti della clientela
- Accesso non autorizzato ai conti
- Anagrafe dei clienti non corretta (perdite subite)
- Perdite o danni ai beni del cliente dovuti a negligenza
Controparti commerciali
- Inadempienze verso controparti diverse dalla clientela
- Controversie con controparti diverse dalla clientela
Esecuzione,
consegna e
gestione
dei processi
Perdite dovute a carenze nel trattamento
delle operazioni o nella gestione dei
processi, nonchØ alle relazioni con
controparti commerciali e venditori
Venditori e fornitori
- Outsourcing
- Controversie con venditori
Fonte: Basilea, 2004, allegato 7
14
Gli eventi di perdita possono quindi essere riassunti come segue:
a. frode interna (internal fraud) - alterazione intenzionale di dati,
sottrazione di beni e valori, operazioni basate su informazioni riservate,
attività non autorizzate;
b. frode esterna (exsternal fraud) - furto, contraffazione, falsificazione,
emissione di assegni a vuoto, pirateria informatica;
c. rapporto di impiego e sicurezza sul posto di lavoro (employment
practices and workplace safety) - risarcimenti richiesti da dipendenti,
responsabilità civile, problemi connessi alla legislazione in materia di
sicurezza sul lavoro;
d. pratiche connesse con la clientela, i prodotti e attività (clients, products
& business practices) - violazione del rapporto fiduciario, abuso di
informazioni confidenziali, riciclaggio di denaro di illecita provenienza,
vendita di prodotti non autorizzati, negligenza nella corretta esecuzione
delle obbligazioni nei confronti della clientela;
e. danni a beni materiali (damage to phycosical asset) - atti di terrorismo
vandalismo, terremoti, incendi, alluvioni;
f. disfunzioni e avarie di natura tecnica (busines distraction and system
faillure) – anomalie disfunzioni di infrastrutture informatiche, problemi
di telecomunicazioni, interruzioni erogazioni utenze;
g. esecuzione, consegna e gestione dei processi (execution, delivery &
process management) - perdite dovute a carenze nel perfezionamento
delle operazioni o nella gestione dei processi, nonchØ perdite dovute alle
relazioni con controparti commerciali, venditori e fornitori, sono perdite
15
connesse al funzionamento di alcuni processi interni addebitabili, in via
prevalente, a comunicazione errate o insufficienti , o problemi di
imprecisa o mancata definizione e attribuzione di compiti e
responsabilità.
La suddivisione del rischio per tipologia di eventi consente di ricollegare le
singole perdite alla natura dei fattori causali determinanti. Incrociando cause ed
eventi di perdita per la banca diventa agevole identificare il RO, costruire database,
misurarlo e tracciare una linea di demarcazione con i rischi di credito e di mercato,
per evitare doppi conteggi.
I doppi conteggi possono portare al calcolo del requisito patrimoniale troppo
elevato. Ad esempio, si pensi alla componente operativa che può essere presente
nell’impatto sul portafoglio bancario dovuto ad un brusco movimento dei tassi:
insufficienza nei controlli, carenza nel monitoraggio delle transazioni in tempo
reale, se il VAR per il rischio di mercato cattura l’intera esposizione queste
componenti dovrebbero essere tralasciate, proprio per evitare doppi conteggi.
Basilea
19
detta delle regole precise: «le perdite operative collegate al rischio di
credito e storicamente incluse nella banca dati relativa a quest’ultima tipologia di
rischio (ad esempio, carenze nella gestione delle garanzie reali) continueranno a
essere trattate come rischi di credito ai fini del calcolo dei requisiti patrimoniali
minimi. Pertanto, tali perdite non saranno soggette all’applicazione del requisito
previsto per il rischio operativo. Le perdite derivanti da rischio operativo collegate
ai rischi di mercato vengono trattate come rischio operativo in senso stretto ai fini
19
Cfr. Comitato di Basilea, 2004.
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
