DEFINIZIONE E PECULIARITA’ DEL RISCHIO OPERATIVO

Il rischio operativo viene definito per la prima volta dal Comitato di Basilea nel 1998 come “qualsiasi rischio non classificabile come rischio di mercato o rischio di credito31_{”. Viene} considerato con un’accezione negativa dal momento che non vi era una definizione universalmente accettata. Questa risale al 200132 e, a differenza della prima definizione, ha una valenza positiva, infatti il Comitato definisce il rischio operativo come quel “rischio di subire perdite derivanti dall’inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni33”. In questa definizione viene incluso il rischio legale34 ed esclusi i rischi strategico e reputazionale, che sono considerati nel secondo pilastro essendo rischi difficilmente quantificabili. Il rischio operativo è la vera novità di Basilea II poiché, anche se è sempre esistito all’interno delle banche, non era prevista una specifica gestione attiva di questo rischio. Esso veniva essenzialmente gestito attraverso l’uso delle polizze assicurative e quindi veniva trasferito alle compagnie assicurative, infatti può essere identificato come rischio di furto, di frode, di incendio e in generale come rischi classificabili fra i rischi assicurabili. Il Comitato, prima della stipulazione di Basilea II, verificando l’importanza delle conseguenze che hanno interessato gli intermediari a causa di una sottovalutazione del rischio operativo, è intervenuto obbligando questi ultimi a quantificarlo e quindi a prevedere un accantonamento del patrimonio. Altre motivazioni che hanno condotto il Comitato di Basilea ad una maggiore gestione di questo rischio sono:

 La crescita dimensionale di molti sistemi bancari;

31 _{Basel Committe on Banking Supervision, “Operational risk management”, 1998.}

32 _{Basel Committe on Banking Supervision, “Sound Practies for the Management and Supervision of Operational Risk”,}

2001. Documento di Consultazione, la versione definitiva risale al febbraio 2003.

33

Banca d’Italia, “Nuove disposizioni di vigilanza prudenziale per le banche”, Titolo II, Capitolo 5, Sezione 1, 2006.

34

Il rischio di perdite derivanti da violazioni di leggi o regolamenti, da responsabilità contrattuale o extra-contrattuale ovvero da controversie.

38

 L’utilizzo di operazioni di M&A, che comporta l’unione di realtà diverse, queste unioni sono state fonti di perdite operative perché la commistione in termini operativi e informatici tra due banche non è immediata infatti vi è un periodo di assestamento in cui si può avere una duplicazione degli organi;

 Lo sviluppo dell’e-commerce e dell’e-banking, che ha esposto la banca a frodi esterne, problemi di sicurezza e criminalità informatica;

 L’outsourcing, ovvero il processo con il quale un’impresa o un ente pubblico assegna ad un fornitore esterno la gestione di una specifica attività aziendale svolta precedentemente all’interno dell’organizzazione;

 Comportamenti infedeli dei dipendenti, disfunzioni nei sistemi di controllo interno, scarsa trasparenza nella prestazione dei servizi di investimento.

Una delle particolarità che rappresenta anche una problematicità del rischio operativo è che, a differenza del rischio di mercato che viene associato all’attività di intermediazione finanziaria e del rischio di credito che viene ricollegato all’attività di intermediazione creditizia, questo non viene associato ad uno specifico ambito operativo della banca, ma piuttosto si riferisce all’intero sistema bancario, quindi riguarda tutti i suoi processi e tutte le sue operazioni ed è per questo motivo che è considerato un rischio trasversale. Un’altra peculiarità del rischio operativo è che è un rischio puro35, ovvero è un rischio che individua un tipo di risultato economico, pertanto determina sempre delle perdite (furto, incendio, infortunio, morte o invalidità dei dipendenti, ecc.).

Quando si parla di rischio operativo è fondamentale definirne i contenuti, e quindi analizzare quelle che sono le cause del rischio per conoscere l’origine della perdita in modo da riuscire a presidiarla adeguatamente. Questo implica un’analisi di quattro punti:

 Processi36, (cercare casa editrice) che includono errori nei modelli, nella formulazione ed applicazione delle metodologie, errori di registrazione, di

35 _{Il rischio puro si contrappone al rischio speculativo che invece può determinare per l’impresa sia una perdita sia un}

profitto con una certa probabilità. Appartengono all’insieme dei rischi speculativi i rischi di mercato, i rischi finanziari, i rischi di produzione, ecc.

36 _{A. Sironi, C. Zazzara, “The new Basel Accord: Implications for Italian Banks”, 2003, pag. 111-112,} https://www.researchgate.net/publication/228461698_The_New_Basel_accord_posible_implications_for_italian_banks, data di ultima consultazione 21 novembre 2017.

39 contabilizzazione, violazioni della sicurezza informatica per insufficiente sistema dei controlli interni;

 Sistemi informatici, che comprendono disfunzioni ed errori nel sistema, errori di programmazione nelle applicazioni, caduta dei sistemi di telecomunicazione, si parla quindi di rischio tecnologico;

 Risorse umane, che riguardano errori per incompetenza, negligenza o mancanza di esperienza dei dipendenti, frodi, violazioni di regolamenti;

 Eventi esterni, per esempio attività criminali di soggetti esterni (furti, vandalismo, terrorismo), eventi politici e militari, calamità naturali.

La definizione delle cause non sarebbe stata sufficiente per permettere agli intermediari di gestire il rischio operativo, ecco perché il Comitato affianca alle cause gli eventi temuti37:

 Frode interna, rappresenta le perdite dovute ad attività non autorizzata, frode, appropriazione indebita o violazione di leggi, regolamenti o direttive aziendali che coinvolgano almeno una risorsa interna della banca;

 Frode esterna, riguarda le perdite dovute a frode, appropriazione indebita o violazione di leggi da parte di soggetti esterni alla banca;

 Rapporto di impiego e sicurezza sul lavoro, ovvero le perdite derivanti da atti non conformi alle leggi o agli accordi in materia di impiego, salute e sicurezza sul lavoro, dal pagamento ai risarcimenti a titolo di lesioni personali o da episodi di discriminazione o di mancata applicazione di condizioni paritarie;

 Clientela, prodotti e prassi professionali, rappresenta le perdite derivanti da inadempienze relative a obblighi professionali verso clienti ovvero dalla natura o dalle caratteristiche del prodotto o del servizio prestato;

 Danni da eventi esterni, che comprendono perdite derivanti da eventi esterni, quali catastrofi naturali, terrorismo, atti vandalici;

 Interruzioni dell’operatività e disfunzioni dei sistemi, che riguardano le perdite dovute a interruzioni dell’operatività, a disfunzioni o a indisponibilità dei sistemi;

40

 Esecuzione, consegna e gestione dei processi, ovvero perdite dovute a carenze nel perfezionamento delle operazioni o nella gestione dei processi, nonché perdite dovute alle relazioni con controparti commerciali, venditori e fornitori.

Solo incrociando cause ed eventi si agevola la determinazione del rischio operativo, e ciò permette di distinguerlo dal rischio di mercato e dal rischio di credito. Questa distinzione è utile perché, la definizione di rischio operativo del 1998 spesso causava una commistione tra questi tre rischi determinando il problema delle perdite operative “di confine” ovvero le cosiddette “Boundary Losses38_{” cioè le perdite su crediti originate da eventi di rischio} operativo (per esempio perdite derivanti da errori o frodi nel processo di concessione e gestione del credito) e perdite di confine con il rischio di mercato (per esempio perdite conseguenti a violazioni dei limiti operativi). Il pericolo è quello di sottostimare il rischio e di conseguenza il capitale da accantonare. La disciplina prudenziale si dedica in modo attento a questa materia che definisce stabilendo dei criteri ai fini della determinazione dei requisiti patrimoniali per evitare che ci sia una distorsione sul calcolo del requisito patrimoniale complessivo.