Rischio operativo

L’Accordo di Basilea II definisce il rischio operativo come “il rischio di subire perdite derivanti dall’inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni. Rientrano in tale tipologia, tra l’altro, le perdite derivanti da frodi, errori umani, interruzioni dell’operatività, indisponibilità dei sistemi, inadempienze contrattuali, catastrofi naturali. Nel rischio operativo è compreso il rischio legale, mentre non sono inclusi quelli strategici e di reputazione”29_.

Il rischio operativo è il rischio caratteristico di ogni attività d’impresa, ed è legato alla variabilità dei profitti attesi della gestione operativa. Tale rischio dipende dalle oscillazioni dei risultati economici della gestione operativa caratteristica, dovute sia da eventi interni, come variazioni dei volumi di vendita, di produzione, delle rimanenze, o dei livelli di efficienza produttiva, sia da eventi esterni, come variazioni della domanda e 28 _{Il VaR è una misura del valore a rischio di un investimento, basato su un certo intervallo e livello di} confidenza, e rappresenta l’ammontare residuo del capitale al verificarsi di un evento negativo. 29 _{Banca D’Italia, Nuove disposizioni di vigilanza prudenziale per le banche, 2011, Cit. Titolo II, Capitolo 5, pag} 1.

aumento dei prezzi. Le oscillazioni del risultato operativo, determinate appunto dal rischio operativo, devono rimanere al di sotto di un livello massimo sopportabile, definito dall’impresa stessa.

Vi sono quindi numerosi fattori che influenzano il verificarsi di tale tipologia di rischio. L’Accordo di Basilea II definisce una serie di eventi di perdita, di seguito riassunti in quattro fonti30_:

- processi interni: per il malfunzionamento di processi o singole attività, per perdite derivanti dai rapporti commerciali con clienti o fornitori, per la violazione della sicurezza informatica, e per una non corretta gestione e monitoraggio dei rischi; - risorse umane: comprende le perdite dovute a negligenze del personale,

comportamenti fraudolenti che possono portare a frodi, e quindi a potenziali grosse perdite per l’azienda, errate o incoerenti decisioni dei manager, inosservanza delle leggi o dei regolamenti, e inadempienze nei confronti delle istituzioni o dei clienti (rischio legale);

- sistemi tecnologici: per il malfunzionamento dei sistemi operativi, per la vulnerabilità del sistema informatico per la trattazione dei dati e la sicurezza in generale; - eventi esterni: riguardano le perdite derivanti dal contesto o settore in cui opera la società, o da eventi imprevedibili, come disastri naturali, furti, attività criminali, che minacciano il valore degli asset aziendali.

Il Comitato ha ritenuto necessario introdurre una specifica disciplina riguardo i rischi operativi, essendone le banche sempre più esposte, a causa per esempio delle maggiori dimensioni aziendali, dell’incremento della complessità interna e delle innovazioni degli strumenti finanziari, ma anche per i virus informatici sempre più sofisticati che rendono necessario l’aggiornamento continuo dei sistemi di controllo. Le banche devono comprendere le correlazioni esistenti tra le diverse tipologie di rischi, e cercare di prevederne i possibili effetti sui rischi operativi. Infine, per la prevenzione e la riduzione di tali rischi, l’Accordo suggerisce un attento rispetto delle norme.

30 _{L’esposizione completa delle tipologie di eventi di perdita si trova in Nuove disposizioni di vigilanza}

prudenziale per le banche, 2011, Titolo II, Capitolo 5, Allegato C, pag 43.

Il rischio operativo deve essere compreso nella determinazione dei requisiti patrimoniali delle banche, secondo quanto stabilito da Basilea II, insieme al rischio di credito e di mercato, già compresi nel calcolo.

Sono previsti tre metodi di calcolo del requisito patrimoniale a fronte del rischio operativo31_:

1. Metodo Base (BIA – Basic Indicator Approach): il capitale minimo è calcolato moltiplicando un coefficiente pari al 15% per il reddito medio annuale lordo della banca riferito ai tre esercizi precedenti. Questo approccio consente quindi alle banche di utilizzare un indicatore unico, similmente a quanto già previsto dall’Accordo di Basilea I, ed è riservato alle banche di minori dimensioni.

2. Metodo Standardizzato (TSA – Traditional Standardised Approach): il requisito patrimoniale è dato dalla somma dei requisiti calcolati a livello delle singole linee di business che compongono l’attività aziendale. Per ciascuna unità il requisito è determinato moltiplicando l’indicatore di esposizione al rischio operativo, il reddito lordo medio annuale riferito ai tre esercizi precedenti, per i coefficienti di ponderazione specifici per ciascuna business line, stabiliti dal Comitato. Le linee di attività sono: servizi finanziari per l’impresa (corporate finance); negoziazione e vendita (trading and sales); servizi bancari al dettaglio (Retail banking); servizi bancari a carattere commerciale (commercial banking); servizi di pagamento e regolamento (payment and settlement); gestioni fiduciarie (agency services); gestioni patrimoniali (asset management); intermediazione al dettaglio (retail

brokerage). Non tutte le banche possono utilizzare questo metodo, infatti sono

stabiliti dei limiti dimensionali e dei requisiti per l’accesso al TSA, ossia dei meccanismi di governo societario, degli adeguati controlli interni e un efficace sistema di gestione dei rischi operativi32_. 31 _{Banca D’Italia, Nuove disposizioni di vigilanza prudenziale per le banche, 2011, Titolo II, Capitolo 5, pag 1.} 32 _{Banca D’Italia, Nuove disposizioni di vigilanza prudenziale per le banche, 2011, Titolo II, Capitolo 5, pag 12.} Possono accedere al metodo standardizzato le banche che superino almeno uno dei seguenti limiti: - soglia dimensionale: patrimonio di vigilanza pari o superiore a 200 milioni di euro; - soglia specialistica: patrimonio di vigilanza pari o superiore a 25 milioni di euro e ammontare complessivo dell’indicatore rilevante delle linee di business diverse da Retail Banking e Commercial Banking pari ad almeno il 60 per cento dell’indicatore rilevante totale.

3. Metodo Avanzato (AMA – Advanced Measurement Approach): in quest’ultimo approccio il capitale minimo è calcolato dalla banca “attraverso modelli di calcolo basati su dati di perdita operativa ed altri elementi di valutazione dalla stessa raccolti ed elaborati”33_{. Il Comitato non stabilisce quindi dei modelli di riferimento,}

ma detta un insieme di requisiti che gli istituti devono osservare per accedere all’utilizzo di tali modelli. Le banche devono infatti dimostrare il costante impegno dei manager e dirigenti nel controllo dei metodi di misurazione del rischio operativo, assicurando allo stesso tempo l’indipendenza degli organi preposti alla misurazione dei rischi e la loro integrazione nel sistema di gestione quotidiano del rischio.

I metodi standard e avanzati sono quindi più verosimilmente utilizzabili dagli istituti di maggiori dimensioni, i quali possiedono attività aziendali diversificate e le risorse necessarie per garantire il rispetto dei requisiti previsti da tale disciplina, e anche dalle banche di dimensioni ridotte che svolgono attività particolarmente esposte ai rischi operativi, e potrebbero quindi trarre dei benefici per la prevenzione di tali rischi.

Le banche devono infatti utilizzare l’approccio che si adatta meglio alle proprie caratteristiche, alle capacità di gestione e complessità, utilizzando eventualmente anche una combinazione dei tre metodi. 33 _{Banca D’Italia, Nuove disposizioni di vigilanza prudenziale per le banche, 2011, Titolo II, Capitolo 5, CIt. pag} 2.

Capitolo 2