finanziaria recente, i problemi di raccolta e di liquidità che si sono avuti e le principali carenze mostrate dai ruoli apicali dei principali gruppi finanziari. Tale studio ha evidenziato che le più importanti criticità sono state la mancanza di un efficiente Risk Appetite Framework e sistemi informatici non all’altezza della situazione. Date tali rilevazioni, il Comitato ha ritenuto opportuno rivedere quanto emanato precedentemente e nelle revisioni prima del 2011 e poi del 2014 ha aumentato notevolmente l’attenzione su questo argomento. Viene infatti affermato che il Consiglio di Amministrazione e l’Alta Direzione hanno il compito di approvare e aggiornare il regolamento che delinea i criteri riportanti la propensione e la tolleranza al rischio operativo andando a descrivere attentamente la natura, il tipo e il livello di rischiosità che la banca ha intenzione ed è in grado di assumersi. In aggiunta si ha una prima definizione di tali concetti:
Ø La “propensione al rischio” è il più alto livello di rischiosità che una società ha intenzione di accettare, alla luce del rapporto rischio-rendimento atteso, andando dunque a compiere le proprie valutazioni in un’ottica “forward looking”;
Ø Con il termine “tolleranza al rischio” si intende più specificatamente la variazione del livello di rischio che l’intermediario può sopportare alla luce degli obiettivi prefissati.
Come affermato in seguito dallo stesso Comitato non vi è una vera e propria distinzione tra i due concetti, tant’è vero che all’interno dei due documenti essi vengono considerati sinonimi, ma questo è il primo passo in avanti per una maggiore considerazione di questa problematica e delle difficoltà riguardanti le modalità di assunzione dei rischi in ottica futura. In tale prospettiva risulta fondamentale la ricerca del SSG del 2010343, nella quale si sono andati ad approfondire i risultati dello studio dell’anno precedente, dal momento che vengono alla luce diversi approfondimenti sulla materia. In primo luogo si ha che molti intermediari hanno fatto progressi nel concettualizzare, articolare e implementare un RAF sulla base delle proprie caratteristiche e che questo, insieme ad un atteggiamento proattivo da parte del Consiglio di Amministrazione e dell’Alta Direzione, assume un ruolo importante nei processi decisionali e nelle strategie che si intendono adottare. Sono state inoltre evidenziate tre importanti caratteristiche che accomunano i RAF maggiormente efficienti:
1. Dei legami molto forti all’interno della società;
2. Il Consiglio di Amministrazione che si assicura che l’Alta Direzione stabilisca chiaramente chi è responsabile per le decisioni di propensione al rischio, insieme agli incentivi e ai divieti per coloro che fanno parte delle varie linee di business;
343 Senior Supervisors Group (SSG), “Observations on development in risk appetite frameworks and IT infrastructure”, 2010.
3. La presenza all’interno della banca di un linguaggio comune per quanto riguarda la propensione e la tolleranza del rischio, in modo tale da evitare fraintendimenti, che deve essere ottenuto tramite affermazioni qualitative e corrette misurazioni della rischiosità.
Tutto questo deve essere perciò finalizzato da una parte ad evitare che le operazioni intraprese dalle linee di business non si discostino eccessivamente da quella che è la strategia principale voluta dai ruoli apicali della società, dall’altra a garantire una sufficiente flessibilità a tali piani strategici al fine di riflettere i cambiamenti del contesto finanziario e i provvedimenti decisi dal management in risposta a ciò. Sempre il SSG ha delineato i ruoli e le responsabilità che devono avere i vari organi all’interno dell’impresa al fine del corretto utilizzo del RAF:
Ø Il Consiglio di Amministrazione, insieme all’Alta Direzione, ha il compito di fissare il livello massimo di rischio che l’istituzione è in grado di assorbire;
Ø Il CEO, il CRO e il CFO devono massimizzare tale limite attraverso gli incentivi e i divieti per le linee di business, con il CdA che deve monitorare la situazione dal momento che è il responsabile principale per la rischiosità assunta dalla banca;
Ø Le linee di business hanno il dovere di agire entro i limiti posti dai loro superiori, garantendo un elevato livello di trasparenza all’interno dell’intermediario.
Guardando l’argomento da un punto di vista maggiormente pratico, gli strumenti principalmente utilizzati per la valutazione della tolleranza al rischio operativo sono due: l’”autovalutazione del controllo del rischio” (Risk Control Self-Assessment, RCSA) e gli “indicatori dei rischi chiave” (Key
Risk Indicator, KRI)344. Per quanto riguarda la prima metodologia, essa consiste sostanzialmente nella determinazione del livello massimo di rischiosità che l’intermediario è in grado di assorbire tramite la valutazione delle cause, attuali e future, che possono danneggiare l’istituzione e la successiva catalogazione. Si ha quindi che la prima fase può essere condotta o tramite specifici questionari da sottoporre a tutti i soggetti operanti all’interno dell’intermediario o tramite incontri di gruppo durante i quali vengono discussi gli aspetti più importanti, che risultano più efficaci per approfondire i problemi più gravi. In seguito i dati raccolti vengono impiegati per ottenere la cosiddetta “matrice dei rischi”, ovvero una rappresentazione matriciale nei quali vengono riportati tutte le fonti di rischio individuate, organizzate per probabilità di accadimento e perdita attesa, e vengono colorate a seconda della pericolosità:
Fig.22: Esempio di matrice dei rischi
Fonte: Samad-Khan A., “Assessing & measuring operational risk”, 2005.
Per quanto riguarda i KRI essi, a differenza dell’RCSA che consente di monitorare le rischiosità in maniera più generica, permettono la valutazione specifica dei singoli rischi consentendo di individuare in anticipo gli eventi che potenzialmente possono danneggiare gravemente la banca. Si ha perciò che per ogni linea di business vengono individuate le metriche (“metrics”), ovverosia le fonti dei possibili rischi, e per ognuna di esse si evidenziano e successivamente si quantificano i parametri che vi sono collegate. Alla fine del processo si giunge quindi ad avere dei possibili valori di rischio per ogni causa associata alle linee di business e si possono definire delle soglie che contraddistinguono i diversi livelli di rischio. Un interessante documento che approfondisce questo strumento è quello di Cremonino345 dove l’autore passa in rassegna i criteri per scegliere le metriche da quantificare e le varie categorie nelle quali possono essere classificate, andando in seguito ad illustrare un modo per utilizzare tale processo all’interno del sistema di gestione del rischio operativo e riconciliando il tutto con la cultura del rischio e le strutture di governance.
Parallelamente a quanto è accaduto per la regolamentazione, negli ultimi anni si è assistito ad una maggiore attenzione anche per quanto riguarda gli studi condotti dagli esperti e tutti sono concordi nell’affermare che esso è uno strumento incredibilmente utile per le imprese, in particolar modo al fine di incrementare la reputazione delle banche agli occhi del mondo non finanziario, ma è notevolmente difficile da implementare all’interno degli intermediari. Come si può leggere dall’articolo di Campbell346, dove viene riportato quanto detto alla conferenza tenuta a Singapore da OpRisk Asia, le società dovrebbero selezionare un paio di soggetti all’interno di ogni linea di business e assoggettare la loro retribuzione in base alle metriche che esprimono il ruolo della
345 Vedi Cremonino A., “Risk appetite as a core element of ERM: definition and process”, 2011.
cultura e la tolleranza e propensione al rischio all’interno di quel settore al fine di motivare tali individui a migliorare questi aspetti all’interno del loro reparto. Altri manager hanno invece sottolineato che, nonostante l’abbondanza di regole e divieti nell’industria bancaria, si continuano a registrare periodicamente perdite eccessive ed episodi di cattiva condotta, spostando l’attenzione sull’importanza del ruolo che i ruoli apicali rivestono nel comunicare i valori etici da seguire e la giusta condotta che i dipendenti devono dimostrare. Anche Dmitracova347 concorda su questi aspetti, ribadendo inoltre che i regolatori in passato si sono focalizzati troppo sulla quantificazione del rischio operativo e sul calcolo di un credibile requisito patrimoniale per il suo fronteggiamento mentre ora dovrebbero concentrarsi maggiormente sugli aspetti più qualitativi, dal momento che sono la base per la sopravvivenza di ogni intermediario finanziario. Anche Chapelle348 concorda su tale punto, ma non sminuisce l’importanza del capitale affermando che esso è la prima caratteristica che si evince nei RAF delle imprese e il suo confronto con il livello minimo delineato dal Comitato è espressione della volontà di assunzione del rischio da parte della banca. Un approccio ancora più pratico è quello adottato dal capo della GRI Financial Services, Maila349, che delinea un processo composto da tre fasi che secondo lui risulta più efficace nella pratica: il livello di propensione deve essere dapprima definito dai manager esecutivi in concomitanza con il Consiglio di Amministrazione, successivamente deve essere comunicato chiaramente agli impiegati svolgendo, laddove ritenuto necessario, degli appositi corsi di formazione e, infine, devono essere stabiliti degli efficaci sistemi di monitoraggio per constatare l’effettiva applicazione di tali concetti. Long350 si concentra invece sull’istruzione dei dipendenti, evidenziando il fatto che recentemente gli intermediari stanno prestando maggiore attenzione alle conoscenze che essi hanno acquisito e valorizzando l’importanza delle numerose certificazioni, anche in materia di cultura del rischio e Risk Appetite Framework, che diverse istituzioni inglesi rilasciano una volta frequentato un mirato corso e superato il relativo esame.
Se da una parte si stanno quindi facendo importanti passi in avanti per avere un migliore RAF, sia dal lato teorico dei regolatori e degli esperti che da quello pratico degli intermediari, vi è senza dubbio ancora molto lavoro da fare. Non bisogna però dimenticare che anche qui vale lo stesso discorso che si è fatto in precedenza per quanto riguarda il ruolo della cultura: le misure da adottare variano a seconda delle caratteristiche degli istituti finanziari e i risultati delle azioni dei manager si vedono solo nel medio/lungo termine, a condizione che nel frattempo non si verifichino rilevanti perdite operative o importanti cambiamenti all’interno dell’impresa.
347 Vedi Dmitracova O., “Op risk analysis underrates human behaviour - Fed”, Oprisk Journal 2015. 348 Vedi Chapelle A., “Risk appetite and framework”, Operational Risk & Regulation 2015.
349 Vedi Maila M., “Risk appetite: define, apply, control”, 2015. 350 Vedi Long P., “Keep your house in order”, Oprisk.net 2015.
3.2.3 Strumenti per la mitigazione del rischio operativo
Per andare a contenere il rischio operativo vi sono, come già accennato in precedenza, due casi: o tale rischiosità è contenuta e poco frequente, e perciò gli intermediari scelgono di mantenere tali fonti di rischio, oppure essa ha conseguenze rilevanti, e quindi o si decide di esternalizzare tali operazioni o si vanno ad acquistare appositi strumenti assicurativi. Se in merito alla prima casistica non vi è molto da dire, dal momento che il management delle imprese decide di volta in volta se tenere tali fonti di possibile perdita all’interno della propria azienda, per quanto riguarda l’altra opzione i regolatori hanno espresso il loro parere in diverse occasioni, anche se recentemente si sono focalizzati su altri argomenti.
Per quanto riguarda l’esternalizzazione, conosciuta più comunemente con il termine tecnico “outsourcing”, essa consiste nell’affidare le operazioni più rischiose ad imprese specializzate in quel settore in modo tale da ridurre al minimo le possibilità di cattiva riuscita dell’affare e massimizzare il rendimento atteso. Tale pratica però non elimina completamente il rischio per l’intermediario dal momento che rimane legato alla società che si incarica di portare a termine le operazioni e sopporta una percentuale sostanziosa delle perdite nel caso in cui l’opera non vada a buon fine. Per quanto riguarda i documenti specifici in materia di rischio operativo, il Comitato di Basilea tratta l’outsourcing esclusivamente nel documento emanato nel 2005 dove si legge che i rischi al quale l’intermediario esternalizzante è soggetto sono quelli di errori o frodi, inefficienze nei sistemi tecnologici o risorse finanziarie insufficienti a coprire le obbligazioni contratte o a fornire eventuali rimedi. Per fronteggiare tali pericoli sono stati quindi stabiliti ben nove principi da seguire nel momento in cui si decida di ricorrere a questo strumento che trattano le fasi del processo che vanno dalle modalità da utilizzare per la scelta delle attività e dei processi da impiegare per controllare le società che sono incaricate di compiere le operazioni fino alle prescrizioni rivolte ai supervisori. Si ha perciò che il Consiglio di Amministrazione ha il compito di stabilire i regolamenti da osservare, che devono essere realizzati tramite contratti rigorosamente redatti per iscritto, mentre le società coinvolte devono avere costantemente attivi degli efficaci programmi per la gestione e il monitoraggio di tali attività e devono comunicare periodicamente lo stato di avanzamento dei lavori e gli eventuali problemi rilevati. Esse inoltre si devono dotare di piani d’emergenza da utilizzare in caso di accadimento di episodi talmente gravi da mettere a rischio la buona riuscita dell’operazione e che, spesso e volentieri, vedono coinvolta anche la società esternalizzante.
Ulteriori prescrizioni da parte del Comitato si ritrovano anche nella Direttiva 285/2013 dove si vanno a considerare le pratiche di esternalizzazione delle funzioni di controllo e dell’attività di due diligence. Per quanto riguarda la prima, si ha che l’intermediario deve:
Ø Descrivere il profilo professionale dell’outsourcer individuato;
Ø Illustrare i presidi organizzativi idonei ad assicurargli una piena accessibilità a tutte le informazioni utili per la valutazione dei processi e dei rischi nei limiti dei compiti affidati; Ø Descrivere le modalità e la frequenza con cui gli organi aziendali verificano l’attività di
controllo esternalizzata;
Ø Definire la frequenza e il contenuto dei flussi informativi.
Un interessante documento è quello pubblicato da Gewald e Hinz351 dove viene illustrato un sistema matriciale che dovrebbe essere in grado di aiutare i ruoli apicali delle società ad individuare e quantificare il grado di rischio connesso all’attività di esternalizzazione, che viene suddivisa in tre classi: outsourcing delle strutture informatiche, del processo di business e dei servizi applicativi. Il fine ultimo è quello di trasformare i vari indicatori di rischio in un network Bayesiano al fine di fare analisi di scenario e, avvalendosi dell’aiuto di esperti, provare a fare previsioni sul futuro. Questo strumento può essere anche impiegato per individuare e ridurre quello che è il rischio di concentrazione, vale a dire il rischio di subire perdite a causa di mancanza di diversificazione. Secondo il BITS, che nel 2010 ha emanato una guida352 per utilizzare l’outsourcing al fine di arginare questa rischiosità, le istituzioni dovrebbero prestare una maggiore attenzione ai problemi sistemici che si possono verificare a causa di una mancanza di diversificazione all’interno dei gruppi bancari e dovrebbero valutare attentamente le operazioni di M&A poiché possono causare gravi problemi di concentrazione. Altre linee guida rilevanti sono quelle pubblicate dalla Guernsey353 nel 2011 e quelle del CEBS354 del 2006 dove si vanno a descrivere scrupolosamente i compiti del Consiglio di Amministrazione e dell’Alta Direzione, nonché di tutte le figure manageriali interne, nel processo di esternalizzazione e si vanno ad approfondire i principi emanati dal Comitato di Basilea, confermando ancora una volta il fatto che questa pratica sta sempre più diventando comune nel corso degli anni. Un articolo più recente è invece quello pubblicato nel 2013 dal The Economic Times355 dove viene affermato che l’attività di outsourcing espone le banche americane a numerosi eventi rischiosi, tra i quali quelli connessi al rischio reputazionale, operativo
351 Vedi Gewald H., Hinz D., “A framework for classifying the operational risks of outsourcing: integrating risks from systems, processes, people and external events within the banking industry”, 2004.
352 Vedi BITS (Financial Service Roundtable), “BITS guide to concentration risk in outsourcing relationships”, 2010. 353 Vedi Guernsey Financial Services Commission, “Outsourcing risk guidance note for banks”, 2011.
354 Vedi CEBS, “Guidelines on outsourcing”, 2006.
e strategico, poiché spesso si verificano situazioni in cui i manager risultano insufficientemente preparati e le comunicazioni con le terze parti, che spesso si trovano in un altro continente e presentano una cultura completamente differente, non sono né frequenti né esaustive. Al contrario, Venkateswar356 afferma che non necessariamente tutte le imprese che esternalizzano alcune attività assumono rischi operativi aggiuntivi ma spesso ciò fa registrare diversi aspetti positivi: una forte evoluzione delle infrastrutture tecnologiche, sistemi di gestione più efficienti e un’ottimizzazione del tempo e delle risorse a disposizione.
D’altra parte, stando a quanto si può leggere dal documento emanato dal Comitato nell’ottobre scorso, al momento la maggior parte degli intermediari dispongono di un regolamento scritto che disciplini l’attività di outsourcing, con la prima e la seconda linea di difesa incaricate della valutazione e del controllo della sua rischiosità al fine di aiutare i manager a sviluppare adeguati piani d’emergenza e attuarli tempestivamente. Nonostante questo, è evidente che i regolatori devono compiere ulteriori sforzi per disciplinare i rapporti esistenti tra gli intermediari e terze parti, data anche la continua evoluzione del settore finanziario e il crescente utilizzo di tecnologie sempre più evolute e complicate.
Per quanto riguarda gli strumenti per la mitigazione del rischio operativo, che rientrano nell’ambito assicurativo, sia i supervisori che gli studiosi hanno scritto poco sull’argomento, nonostante siano i meccanismi di trasferimento maggiormente utilizzati nella pratica. Come si può leggere dalle disposizioni indicate negli Accordi di Basilea 2, poi riprese integralmente in Basilea 3, una banca AMA può fare ricorso alle polizze assicurative solamente al soddisfacimento dei seguenti requisiti:
Ø La compagnia di assicurazione deve disporre di un rating maggiore o uguale alla terza classe di merito del credito (cioè “A”) e deve essere fornita da un soggetto terzo;
Ø La polizza deve avere una durata iniziale non inferiore ad un anno e deve prevedere un periodo di preavviso per la disdetta o il mancato rinnovo;
Ø Essa non deve prevedere esclusioni o limitazioni basate su provvedimenti concorsuali, ma può tuttavia escludere ammende, sanzioni pecuniarie o penalizzazioni derivanti da provvedimenti assunti dalle autorità competenti;
Ø La metodologia per il trattamento dello strumento deve essere ben documentata e deve tener conto in modo trasparente, coerente e ad un livello sufficiente di granularità della relazione tra la copertura assicurativa e impatto attuale o potenziale delle perdite utilizzate per la determinazione del requisito patrimoniale;
Ø La copertura deve inoltre tener conto dei fattori che possono determinare incertezza nella sua efficacia e deve fare riferimento alle perdite derivanti dai rischi operativi.
Come si può vedere da un documento pubblicato nel 2005 da Generali357, una delle compagnie assicurative che può vendere prodotti alle banche per la mitigazione del rischio operativo, le polizze tradizionali in questo ambito sono:
· La polizza BBB (Bankers Blanket Bond), che è il classico esempio di copertura “ad ombrello”, vale a dire che protegge da una serie di eventi di rischio, e rappresenta uno dei contratti maggiormente utilizzati per il fronteggiamento di eventi dolosi interni ed esterni che colpiscono il patrimonio della banca358. Questi strumenti vengono solitamente impiegati per proteggersi da comportamenti disonesti da parte degli impiegati, perdite o danneggiamenti alle proprietà dovute a furti, perdite di valore verificatesi durante il transito, contraffazione o alterazione di assegni, contraffazione di valuta o danneggiamento di locali e del loro contenuto359.
· Le polizze All Risk Opere d’Arte, progettate per difendersi dai furti degli oggetti rientranti nell’ambito artistico o per assicurarli da danni derivanti da fenomeni naturali o sinistri; · La Polizza Tutti i Rischi dell’informatica, pensata per assicurarsi dagli eventi di perdita
operativa rientranti nel campo IT;
· Le Polizze Globali Incendio e quelle Infortuni e Sanitaria, disegnate per tali eventi.
Nonostante il grande numero di casistiche coperte tramite questi strumenti, per ottenere un programma assicurativo completo e coerente gli istituti bancari spesso devono ricorrere a soluzioni mirate, specialmente per gli eventi a bassa frequenta e alto impatto, e devono usufruire delle coperture che rientrano nel ramo della responsabilità civile e in particolare:
· Le Polizze RCT/O, che riguardano la responsabilità per danni materiali e corporali causati a terzi e a prestatori di lavoro, ovvero ogni evento che presumibilmente possa coinvolgere la responsabilità dell’intermediario in caso di infortunio, malattia o morte sopravvenuta;