Il rischio operativo e l’analisi delle sue componenti

La definizione di rischio operativo maggiormente accettata e condivisa è quella fornita nel 2004 dal Comitato di Basilea il quale, inizialmente, ha rivolto l’attenzione al rischio operativo del settore bancario mentre, successivamente, ha considerato il rischio operativo anche con riferimento agli altri settori diventando ben presto una delle più importanti categorie di rischio.

In particolare, il Comitato di Basilea ha definito il rischio operativo come “il rischio di subire delle perdite, derivante da inadeguati o difettosi processi interni, sistemi o persone dell’impresa o da eventi esterni” [Basel Commitee, 2004].

Il Comitato di Basilea ha, quindi, individuato quattro fattori di rischio operativo che possono essere descritti come segue:

- risorse umane: si tratta di eventi come errori, frodi, violazione di regole e procedure interne, problemi di incompetenza e negligenza del personale;

- sistemi informatici: questo fattore include aspetti tecnologici, come guasti nell’hardware e nel software, ingressi non autorizzati di estranei nei sistemi informatici e presenza di virus o guasti alle telecomunicazioni che possono causare perdite di dati, interruzioni dell’elettricità, errori di lavorazione nei processi;

- processi: questo fattore include procedure e controlli interni difettosi o inadeguati (per esempio il rischio di errori nel calcolo delle imposte o il rischio di errori contabili e di registrazione);

- eventi esterni: includono tutte le perdite provocate da cause esterne, non direttamente controllabili dal management (si pensi, ad esempio, agli atti criminali come i furti, il vandalismo, le rapine, il terrorismo, i terremoti e le altre catastrofi naturali, oppure al caso in cui a causa delle modifiche realizzate nel quadro politico, legale o regolamentare, l’impresa debba sostenere nuovi costi o subire una riduzione dei ricavi aziendali).

In altre parole, il rischio operativo è identificato dalle probabilità che si verifichino oscillazioni più o meno ampie dei risultati economici della gestione operativa caratteristica come conseguenza di eventi interni (come, ad esempio, variazioni dei volumi di produzione, di vendita e, di conseguenza, delle rimanenze, modifiche dei livelli di efficienza operativa e di economicità della gestione, procedure organizzative, ecc.) e di

52

eventi esterni (come ad esempio inflazione, cambiamenti tecnologici, contrazione della domanda, ecc.). Il grado di variabilità viene misurato dalle oscillazioni del risultato operativo. Il rischio operativo, in tale prospettiva, deve essere gestito per mantenere le perdite entro il limite di tolleranza definito dall’impresa. [Radic, 2009; Mantovani e Gurisatti, 2010; Chapman, 2006]

Del Pozzo (2009) fa notare, inoltre, che la variabilità dei risultati è causata da una serie di

driver del rischio che devono essere opportunamente individuati e classificati. In sintesi,

non ci si accontenta più di qualificare i diversi indicatori che esprimono la variabilità dei risultati di sintesi (come ad esempio il reddito, i flussi di cassa e così via), ma ci si spinge fino a individuare i fattori che esplicano tale variabilità.

In tale prospettiva il rischio operativo può essere utilmente distinto in:

- business risk di ogni attività economica, cioè il rischio di mercato e di settore in cui opera l’impresa, che riguarda i riflessi dei comportamenti dei clienti e dei concorrenti sulla gestione operativa. Il business risk è ineliminabile in quanto caratteristico di ogni attività economica e il suo eventuale trasferimento a terzi, avverrebbe a costi insostenibili in quanto farebbe venir meno la ragion d’essere imprenditoriale;

- rischio operativo in senso stretto, cioè il rischio collegato al processo produttivo e alle procedure organizzative, per la possibilità che non vengano svolte in modo adeguato le fasi tecniche o per la possibilità che si verifichino degli errori. Esso è quindi riconducibile a comportamenti umani e può essere ridotto mediante il controllo e la gestione dei possibili eventi dannosi con una conseguente riduzione della fluttuazione del rendimento del capitale al fine di migliorare il profilo rischio- rendimento. All’interno dei rischi operativi in senso stretto sono inclusi vari rischi: rischi ambientali, rischi legali, rischi del processo produttivo, rischi organizzativi, rischi di credito e così via.[Del Pozzo, 2009]

Tra le componenti del rischio operativo, quindi, rientrano:

- il business risk il quale include le modifiche sfavorevoli riguardanti il mercato in cui l’impresa opera, i clienti o i prodotti, i cambiamenti riguardanti l’ambiente economico e politico in cui l’impresa opera e, infine, i rischi strategici che l’impresa deve affrontare;

- il crime risk che include i furti, le frodi o gli attacchi di pirateria informatica che potenzialmente potrebbero colpire l’impresa;

53

- il disaster risk come, ad esempio, gli incendi, le inondazioni e altri disastri naturali o attività terroristiche;

- l’information technology risk che include gli accessi ai dati non autorizzati e il danneggiamento dei dati;

- i rischi legali i quali includono le perdite derivanti da azioni legali contro l’impresa e da documentazioni o pratiche legali inadeguate, incomplete o infondate;

- i rischi normativi relativi alla mancata osservazione delle norme fissate dagli organismi di regolamentazione;

- i rischi di reputazione derivanti da una cattiva pubblicità dell’impresa dovuta alle sue pratiche commerciali o ai controlli interni;

- i rischi di perdite del sistema dovuto al fallimento causato da guasti nelle procedure aziendali, nei processi, nei sistemi e nei controlli.

E’ necessario precisare che tra tutti i possibili driver del rischio operativo, ce ne sono alcuni particolarmente significativi in quanto se l’impresa riuscisse a decifrare correttamente la loro probabile evoluzione, potrebbero diventare delle fonti importanti di utili.

In particolare essi sono: - i prezzi di vendita;

- i volumi di produzione, di vendita e le conseguenti rimanenze;

- la dinamica competitiva del mercato di sbocco, i potenziali entranti e le quote di mercato;

- la dinamica competitiva dei mercati di approvvigionamento dei fattori produttivi ossia l’andamento della domanda e dell’offerta di materie prime, lavoro, capitale e servizi e le relative dinamiche di prezzo. [Del Pozzo, 2009; Chapman, 2006]

E’ necessario precisare, infine, che in letteratura vengono identificati quattro importanti tratti che caratterizzano i rischi operativi.

In primo luogo i rischi operativi sono diversi e multidimensionali; [Hoffman 1998; Marshall 2001; Milligan 2004]

In secondo luogo i rischi operativi sono carenti di indicatori finanziari e dati affidabili. Di conseguenza, da un lato la logica rischio-rendimento (applicata ai rischi finanziari) è difficilmente applicabile ai rischi operativi in quanto non esistono indicatori finanziari strettamente riferibili ad essi; pertanto essi non rispettano il principio per cui un maggiore rischio è associato a un maggior rendimento atteso. Dall’atro lato, anche gli approcci quantitativi sono difficilmente utilizzabili per i rischi operativi a causa della mancanza di

54

dati affidabili e della difficoltà di modellare i comportamenti umani. [Marshall 2001; Muzzy 2003; De Koker, 2006; Radic, 2009]

In terzo luogo i rischi operativi sono considerati una questione culturale. Infatti, a causa della loro diversità e del loro radicamento nell’impresa, la gestione dei rischi operativi non può essere considerata come un’attività svolta solamente dall’alta direzione ma, al contrario, essa dovrebbe coinvolgere tutti i soggetti che operano in azienda diventando parte integrante della cultura del rischio dell’impresa. [Rao e Dev, 2006]

In ultimo luogo i rischi operativi sono considerati più endogeni rispetto ai rischi finanziari e, in particolare, ai rischi di credito e ai rischi di mercato; infatti, solo leggendo la definizione proposta nel 2004 dal Comitato di Basilea, risulta chiaro che i rischi operativi sono dovuti più a cause interne che a cause esterne. [Moosa, 2007]