Capitolo 1: Il rischio operativo in banca
1.1 Definizione e caratteristiche del rischio operativo
Sebbene il rischio operativo sia intrinseco nell’attività bancaria1, esso è stato preso in considerazione dal Comitato di Basilea2 solo a partire dal 1998 con la delineazione dei primi sistemi di gestione e principalmente considerato in negativo come “qualsiasi rischio non classificabile
come rischio di mercato o di credito” 3 dal momento che non vi era una definizione universalmente accettata. La prima definizione in positivo risale al 20014 dove lo stesso Comitato lo descrive come“the risk of loss resulting from inadequate or failed internal processes, people and systems or
from external events”.5 Da questa definizione viene incluso il rischio legale6 e sono esclusi i rischi strategico e reputazionale7. E’ con gli Accordi di Basilea 2, la cui versione definitiva è del giugno 20048, che il rischio operativo assume un ruolo rilevante dal momento che viene inserito nel primo pilastro, assieme ai rischi di credito e di mercato, e vengono delineati tre modelli per il calcolo del coefficiente patrimoniale per il suo fronteggiamento, presentanti una progressiva complessità ma maggiori benefici in termini di riduzione del requisito. La crescente attenzione verso questo argomento si riflette nei documenti pubblicati successivamente dove il Comitato si concentra principalmente sul metodo avanzato e sugli aspetti di governance e mitigazione. Basilea 3, regolamentata in Europa tramite il CRR e il CRD IV9 e recepita da Banca d’Italia con la Direttiva 285/2013, non vede particolari cambiamenti: pur riprendendo la suddivisione nei tre pilastri, per
1 Per non essere esposta a tale rischio la banca dovrebbe, difatti, non essere operativa.
2 Il Comitato di Basilea, fondato nel 1974 dai governatori delle G10 a seguito del fallimento del sistema di Bretton Woods, ha l’obiettivo di rafforzare la regolamentazione, la vigilanza e le prassi bancarie a livello mondiale allo scopo di accrescere la stabilità finanziaria. Esso non possiede alcuna autorità sovranazionale formale e di fatto le sue decisioni non sono giuridicamente vincolanti. Per maggiori informazioni: Basel Committee on Banking Supervision, “A brief history of the Basel Committee”, 2014; Basel Committee on Banking Supervision, “Charter”, 2013.
3 Basel Committee on Banking Supervision, ”Operational risk management”, 1998.
4 Basel Committee on Banking Supervision, “Sound Practices for the Management and Supervision of Operational Risk”, 2001. Documento di consultazione, la versione definitiva è del febbraio 2003.
5 “Il rischio di subire perdite derivanti dall’inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni”. Vedi Banca d’Italia, “Nuove disposizioni di vigilanza prudenziale per le banche”, Titolo II capitolo 5 sezione 1, 2006.
6 “Il rischio legale comprende, fra l’altro, l’esposizione ad ammende, sanzioni pecuniarie o penalizzazioni derivanti da provvedimenti assunti dall’organo di vigilanza, ovvero da regolamenti privati”, vedi Basel Committee on Banking Supervision, “International Convergence of Capital Measurement and Capital Standards. A Revised Framework”, 2004. 7 Tali rischi, in quanto difficilmente quantificabili, vengono considerati nel secondo pilastro degli Accordi (vedi
paragrafo 1.3).
8 Vedi Basel Committee on Banking Supervision, “International Convergence of Capital Measurement and Capital Standards. A Revised Framework”, op. cit.
9 Il “Capital Requirement Regulation” (regolamento No. 575/2013 del 26 giugno 2013) è il regolamento che disciplina le materie rientranti nel primo pilastro e le regole sull’informativa al pubblico e, in quanto regolamento, ha diretta efficacia nei Paesi Membri. Il “Capital Requirements Directive IV Package” (direttiva 2013/36/UE del 26 giugno 2013) riguarda la parte più qualitativa (accesso al mercato, riserve di capitale, processi di controllo prudenziale e governo societario) e, dovendo essere recepita dai singoli Stati membri in quanto direttiva, sono state previste dalla disciplina delle discrezionalità nazionali per adattare tale regolamento alle caratteristiche del singolo Paese.
quanto concerne il rischio operativo vi si ritrovano la stessa definizione e gli stessi argomenti trattati quasi un decennio prima10. Alla luce della normativa vigente è dunque possibile individuare quelle che sono le caratteristiche di questa tipologia di rischio. In base alla definizione si possono suddividere le sue cause in quattro categorie11:
Ø i processi utilizzati, per esempio i modelli utilizzati non risultano corretti o si manifestano errori nel corso delle transazioni;
Ø le risorse umane, che possono danneggiare la banca perché non adeguatamente istruite o tramite vere e proprie frodi interne;
Ø sistemi informativi inadeguati, e si parla quindi di rischio tecnologico; Ø eventi esterni, per esempio disastri naturali o attività criminali.
Di seguito, la normativa elenca otto linee di business12 nelle quali si possono originare gli eventi di rischio operativo, che a loro volta sono suddivisi in sette categorie di eventi13:
Categoria di eventi Definizione
Frode interna Perdite dovute ad attività non autorizzata, frode, appropriazione indebita o violazione di leggi, regolamenti o direttive aziendali che coinvolgano almeno una risorsa interna della banca.
Frode esterna Perdite dovute a frode, appropriazione indebita o violazione di leggi da parte di soggetti esterni alla banca.
Rapporto di impiego e sicurezza sul lavoro
Perdite derivanti da atti non conformi alle leggi o agli accordi in materia di impiego, salute e sicurezza sul lavoro, dal pagamento di risarcimenti a titolo di lesioni personali o da episodi di discriminazione o di mancata
applicazione di condizioni paritarie Clientela, prodotti e prassi
professionali
Perdite derivanti da inadempienze relative a obblighi professionali verso clienti ovvero dalla natura o dalle caratteristiche del prodotto o del servizio prestato.
Danni da eventi esterni Perdite derivanti da eventi esterni, quali catastrofi naturali, terrorismo, atti vandalici. Interruzioni dell’operatività
e disfunzioni dei sistemi
Perdite dovute a interruzioni dell’operatività, a disfunzioni o a indisponibilità dei sistemi.
Esecuzione, consegna e gestione dei processi
Perdite dovute a carenze nel perfezionamento delle operazioni o nella gestione dei processi, nonché perdite dovute alle relazioni con controparti commerciali, venditori e fornitori.
Tramite questa categorizzazione, e in particolare tramite l’utilizzo di una matrice ottenuta incrociando le cause con gli eventi14, viene agevolata la raccolta e la classificazione degli eventi di
10 Per un maggiore approfondimento, vedi paragrafo 1.3.
11 Banca d’Italia, “Nuove disposizioni di vigilanza prudenziale per le banche”, 2006. Per un ulteriore approfondimento, vedi appendice tre di CRO Forum, “Minimum standards for reporting incidents to an insurance operational risk loss data consortium”, 2014. Tale appendice contiene una tabella riassuntiva con descrizione ed esempi delle cause, suddivise in cause di primo e di secondo livello.
12 Per le banche che utilizzano la metodologia AMA vi è la categoria aggiuntiva “Corporate items” relativa ad attività che riguardano la banca nella sua interezza. Vedi Banca d’Italia, “Nuove disposizioni di vigilanza prudenziale per le banche”, Titolo II capitolo 5 allegato A, 2006.
13 Banca d’Italia, “Nuove disposizioni di vigilanza prudenziale per le banche”, Titolo II capitolo 5 allegato C, 2006. 14 Si tratta della “mappatura dei rischi”, strumento usato all’interno del modello avanzato e che viene trattato nel paragrafo 3.2. Il Comitato cita questo metodo per la prima volta nel documento del 2001, “Sound Practices for the
perdita operativa per evitare la confusione con gli altri rischi di primo pilastro15 e per agevolare la determinazione dell’esposizione rischiosa. Come riportato da Birindelli e Ferretti16, il rischio operativo presenta una natura trasversale in quanto non si lega ad un comparto specifico dell’impresa finanziaria ma pervade tutte le attività, rendendo perciò la sua gestione cruciale per la sopravvivenza dell’intermediario. La banca ha dovuto quindi suddividere la sua attività in funzione dei propri processi perché essi sono tutte possibili fonti di perdite. In aggiunta, a differenza dei rischi di credito e di mercato che possono essere assunti su base volontaria17 e rientrano nell’insieme dei rischi speculativi, il rischio operativo viene incluso nell’insieme dei rischi puri, caratterizzati dal fatto che possono generare esclusivamente18 risultati negativi e non si possono assumere su base volontaria19. Per questo motivo esso viene ricompreso anche nella categoria dei rischi assicurabili: prima di Basilea 2 veniva infatti unicamente gestito o tramite l’utilizzo di assicurazioni, trasferendolo quindi in capo a soggetti terzi, o tramite politiche di accantonamento, facendolo quindi rimanere all’interno dell’intermediario. Un altro elemento caratteristico è il non chiaro legame tra l’esposizione al rischio operativo, la grandezza dell’intermediario ed il volume delle operazioni: non sempre si ha che banche di maggiori istituzioni presentano esposizioni maggiori rispetto a quelle di minori dimensioni, bisogna anche tener conto di quelle che sono le loro caratteristiche qualitative. Per cui, sebbene in linea di principio anche per il rischio operativo la perdita potenziale è determinata dalla combinazione della frequenza e dell’impatto delle perdite, il solo utilizzo di queste due dimensioni del rischio non è sufficiente. Per quanto riguarda le perdite operative20 è la stessa Banca d’Italia21 a fornirci una definizione delle varie classi22:
Management and Supervision of Operational Risk”, paragrafo 60, pagina 15. In Basilea 2 e in Basilea 3 si ritrova al paragrafo 673 mentre per un maggiore approfondimento si veda Basel Committee on Banking Supervision, “Observed range of practice in key elements of Advanced Measurement Approaches (AMA)”, 2006.
15Sono le cosiddette “Boundary Losses”, ovverosia perdite su crediti originate da eventi di rischio operativo (credit risk
boundary losses, non coinvolte nel calcolo del requisito patrimoniale per il fronteggiamento del rischio operativo in quanto assoggettate alla disciplina del rischio di credito. Un esempio sono perdite derivanti da errori o frodi nel processo di concessione e gestione del credito) e perdite di confine con il rischio di mercato (market risk boundary losses, che al contrario devono essere considerate nel calcolo del requisito patrimoniale per il fronteggiamento del rischio operativo. Per esempio si possono avere perdite conseguenti a errori di inserimento dei prezzi o delle quantità nelle procedure di negoziazione dei titoli o a violazioni dei limiti operativi). La disciplina di questa materia si trova negli Accordi di Basilea 2 e 3, paragrafo 673. Per una tabella con descrizione e ulteriori esempi, vedi appendice 2 di CRO Forum, “Minimum standards for reporting incidents to an insurance operational risk loss data consortium”, op. cit. 16 Birindelli G., Ferretti P., “Il rischio operativo nelle banche. Modelli, gestione e disclosure”, Bancaria Editrice, 2009. 17 Rendendo quindi più agevole la loro misurazione e il loro controllo perché risulta più semplice determinare i fattori di rischio e le conseguenti perdite potenziali.
18 A meno di casi eccezionali (per esempio una modifica favorevole del contesto normativo) il rischio operativo può solo portare a perdite, non ci sono opportunità di guadagno derivanti dalla sua assunzione.
19 Per un approfondimento sulla distinzione tra rischi speculativi e rischi puri, Williams Arthur C., “Attitudes toward Speculative Risks as an Indicator of Attitudes toward Pure Risks”, The Journal of Risk and Insurance, 1966.
20 Si intende per perdita operativa gli effetti economici negativi derivanti da eventi di natura operativa, rilevati nella contabilità aziendale e tali da avere impatto sul conto economico.
Ø Per “data set di calcolo” si intende il sottoinsieme dei dati sui rischi operativi rilevati o stimati, di fonte interna o esterna alla banca, utilizzato per il calcolo del requisito patrimoniale;
Ø Un “evento di perdita prontamente recuperata” si ha quando la perdita viene completamente o parzialmente assorbita entro cinque giorni dalla data di accadimento;
Ø Con il termine “evento di rischio operativo profittevole” si fa riferimento a un episodio che da luogo a componenti di profitto;
Ø Una perdita si considera “attesa” (expected loss, ES) quando si manifesta mediamente su un orizzonte temporale di un anno mentre è “inattesa” (unexpected loss, UL) la mancanza eccedente la perdita attesa calcolata sulla distribuzione di rischio con un livello di confidenza del 99,9 per cento su un orizzonte temporale di un anno;
Ø Le “perdite multi-effetto” si hanno quando si registrano un insieme di perdite riferibili allo stesso evento che colpiscono differenti segmenti di operatività mentre si hanno “perdite sequenziali” quando le perdite derivanti da un singolo evento avvengono in momenti successivi;
Ø Si ha una “quasi perdita” quando un evento di rischio operativo non determina una perdita.
In base a queste definizioni si può quindi individuare e isolare il ruolo ricoperto dal rischio operativo in alcune perdite che si sono registrate negli ultimi anni. I casi più eclatanti sono sicuramente quelli della Barings Bank nel 1995, della Sumitomo Corporation nel 1996 e della Société Générale nel 2008, ma vi sono comunque eventi anche più recenti che saranno trattati di seguito.
Per quanto riguarda il primo caso tutto ha inizio qualche anno prima il fallimento della società quando, nel luglio del 1992, Nick Leeson, che all’epoca era a capo della filiale di Singapore, aprì il “famigerato” conto 88888 e iniziò a compiere operazioni non autorizzate con futures di entità sempre maggiore su tre differenti mercati23. Tutto questo ha causato una perdita per 1.3 miliardi di sterline che ha portato al fallimento della banca d’affari più antica di Londra, alla sua vendita alla ING per la cifra simbolica di una sterlina e alla condanna del trader a sei anni e mezzo di reclusione. Ma come è stato possibile tutto questo? Le ragioni sono diverse. Innanzitutto Leeson aveva il
21 Vedi Banca d’Italia (2006), titolo II, cap. 5, sezione 1, punto 3. Le definizioni riportate sono riferite ai metodi avanzati.
22 Si intende per classe di rischio operativo una categoria di rischi operativi omogenei in termini di natura, caratteristiche o manifestazioni.
23 Secondo la logica del “raddoppiamento” che consiste nel raddoppiare l’entità delle operazioni ogniqualvolta si ha una perdita. Per un approfondimento sul caso e sulla strategia impiegata da Leeson, vedi Brown S., Steenbeek O., “Doubling: Nick Leeson’s trading strategy”, 2008.
compito sia di compiere operazioni autonomamente che di amministrare e riportare le attività intraprese dalla filiale alla capogruppo, per cui veniva meno la segregazione dei compiti che oggi costituisce uno dei pilastri del sistema di gestione dei rischi. Fu deciso di attribuirgli tali responsabilità perché il compito iniziale di Leeson e del suo staff era quello di eseguire gli ordini piazzati dalle altre compagnie del gruppo Barings per conto della propria clientela ma, poiché in breve tempo queste istituirono un proprio team per eseguire tali operazioni, la filiale di Singapore iniziò ad operare autonomamente per sopperire a tale carenza operativa. Il primo errore operativo fu quindi quello di non rivedere la segregazione dei ruoli che ha di fatto consentito al trader di fare arbitraggi rischiosi sul suo conto speciale: in un primo momento esso aveva la funzione di “error
account”, cioè serviva per correggere i piccoli errori che si potevano verificare nelle transazioni dei
trader, ma in seguito lo stesso Leeson chiese specificatamente di escluderlo dal sistema di supervisione in modo tale da non renderlo più trasparente. Nel corso di pochi mesi le sue dimensioni aumentarono in maniera esponenziale, facendo anche crescere la reputazione dell’investitore, ma una serie di eventi non prevedibili ha fatto sì che la Barings non fosse più in grado di soddisfare i margini richiesti e il mercato (e la stessa capogruppo) ha scoperto l’enorme buco creato da Leeson. Si è assistito quindi ad una grave carenza nei sistemi dei controlli interni che, in un primo momento, hanno dato troppe responsabilità in mano ad un singolo individuo e, successivamente, non sono stati capaci di individuare l’entità di tutti i conti presenti all’interno del gruppo bancario e individuare in tempo l’anomalia.
Un altro caso di trading non autorizzato è stato scoperto pochi mesi dopo, nel 1996, quando Yasuo Hamanaka24 causò la perdita di 2.6 miliardi di dollari alla società Sumitomo con futures sul rame nel mercato inglese dei metalli (London Metal Exchange, LME). Il “Signore del Rame”, come veniva chiamato dagli investitori dal momento che la sua posizione gli permetteva di controllare di fatto il 5% mondiale di tale commodity, era riuscito a tenere il prezzo superiore a quello reale per diversi anni facendo registrare ingenti ricavi alla società tramite la vendita e le commissioni, che venivano calcolate in percentuale alla quantità detenuta. Anche in questo caso il cambiamento delle condizioni di mercato, in particolare un forte aumento dell’offerta di rame, ha portato alla rettifica verso il basso del prezzo e ad enormi perdite per la Sumitomo Corporation, che ha dovuto vendere allo scoperto le sue posizioni ad un prezzo molto inferiore a quanto stipulato originariamente. Tutto questo è stato reso possibile da sistemi di supervisione altamente inefficienti: a differenza da quanto avveniva nel mercato delle commodity statunitense, in quello londinese non era richiesto di riportare l’entità delle posizioni detenute per cui una gran parte degli operatori sapeva che
24 Vedi Gilligan G., “Jerome Kerviel the “Rogue Trader” of Societe Generale: bad luck, bad apple, bad tree or bad orchard?”, 2011.
Hamanaka controllava una significativa percentuale del rame mondiale ma nessuno sapeva esattamente quanto, lasciando di fatto il trader libero di modificare il prezzo a suo piacimento. In seguito a questi due eventi e ad altri di minor impatto mediatico25 i regolatori si sono perciò decisi ad agire pesantemente per arginare il rischio operativo andando ad includerlo nel primo pilastro degli Accordi di Basilea anche se eliminare tale rischiosità, date le sue caratteristiche, risulta di fatto impossibile.
Un altro caso che ha avuto un impatto mediatico enorme, e che spesso viene riportato come esempio più importante per evidenziare l’importanza della gestione del rischio operativo, è quello del trader della società francese Société Générale Jerome Kerviel che nel 2008 ha causato una perdita di circa 4.9 miliardi di euro. Per una descrizione molto accurata della vicenda di rimanda al documento di Gilligan26 mentre di seguito si vanno a riportare i fattori operativi che hanno portato a tale ammanco e la difesa avanzata dallo stesso investitore. Innanzitutto è evidente una inefficienza nei sistemi di supervisione dal momento che Kerviel è riuscito ad eludere per anni i sistemi di gestione dei rischi utilizzando la sua esperienza pluriennale pregressa nel middle office della società. Successivamente si sono avuti problemi anche per quanto riguarda la supervisione: lo stesso governatore della Banca di Francia ha ammesso che la sua organizzazione non è riuscita ad individuare e arginare i problemi dei controlli interni dei rischi di Société Générale nonostante ben diciassette ispezioni condotte tra il 2006 e il 2007, con conseguenti critiche per non aver informato tempestivamente il mercato. Anche Eurex, la piazza d’affari svizzero-tedesca per i derivati, aveva ammonito la banca d’affari verso la fine del 2007, in quanto aveva sospetti sull’attività di Kerviel, senza però che questa prese i dovuti accorgimenti. D’altra parte il trader si è difeso accusando i suoi superiori di aver chiuso un occhio riguardo le sue posizioni fintanto che esse erano in positivo dal momento che sarebbe stato impossibile per un impiegato normale come lui agire in tal modo senza che nessuno se ne fosse accorto. Se da una parte i manager descrivono Kerviel come un trader disonesto e non trasparente dall’altra una gran parte del pubblico sostiene che per aver operato in tale modo egli ha avuto il sostegno di alcuni dirigenti, e forse anche un incentivo economico non irrilevante, per poi essere usato come capro espiatorio al momento del collasso.
25 Per esempio:
- nel 1994 la contea di Orange County ha subito una perdita di 1.7 miliardi di dollari a causa di investimenti non autorizzati da parte di Robert Citron;
- nello stesso anno Joseph Jett ha fatto perdere alla sua società 350 milioni di dollari tramite operazioni con obbligazioni del governo (dopo aver incassato l’anno precedente un bonus di nove milioni);
- nel 1995 Toshihide Iguchi ha ammesso di aver fatto più di 30.000 operazioni non autorizzate facendo perdere alla Daiwa Bank più di 1.1 miliardi di dollari.
26 Vedi Gilligan G., “Jerome Kerviel the “Rogue Trader” of Societe Generale: bad luck, bad apple, bad tree or bad orchard?”, op. cit.
Nonostante le lezioni apprese da questi scandali e la crisi finanziaria iniziata nel 2007, i provvedimenti intrapresi dalle Autorità di Vigilanza sembrano ancora non sufficientemente efficienti o non adeguatamente implementati per mitigare i rischi operativi che si verificano nel mercato. Altri esempi più recenti27 sono quelli di Adoboli Kewku, trader che nel 2012 ha guadagnato le prime pagine dei giornali di tutto il mondo per aver fatto perdere alla UBS 2.3 miliardi di dollari grazie alle sue operazioni non autorizzate ed è stato punito con sette anni di reclusione, e Magnus Peterson, che nel gennaio del 2105 è stato accusato di frode, falso in bilancio e trading fraudolento e condannato a tredici anni di carcere per aver ingannato gli investitori investendo pesantemente su fondi privati. Ancora più recente è il caso di Tom Hayes, ex trader di swap per UBS e Citigroup accusato di aver manipolato quotidianamente per anni il tasso interbancario Libor e per questo condannato, nell’agosto del 2015, a quattordici anni di reclusione.
Alla luce di questi eventi e dei problemi che ormai emergono nel mondo bancario, le Autorità di Vigilanza si stanno adoperando per cercare di contenere e ridurre tali problematiche agendo su aspetti quantitativi, che saranno trattati di seguito e nel secondo capitolo, e su argomenti prettamente qualitativi, che saranno trattati principalmente nel corso del terzo capitolo.
1.2 Una rassegna della letteratura
Come già accennato nel paragrafo precedente, l’importanza della gestione del rischio operativo è cresciuta esponenzialmente nel corso degli ultimi due decenni a seguito di importanti perdite ricollegabili ad esso28. Le più famose sono sicuramente quelle della Barings Bank del 1995, dove la mancanza di controlli causò una frode interna di così grandi dimensione da portare al fallimento la più antica banca d’affari di Londra, e il caso della Société Générale del 2008, dove una serie di operazioni non autorizzate ha provocato una perdita di 4,9 miliardi di euro29. E’ di grande interesse andare ad analizzare gli studi e le considerazioni di accademici e professionisti in materia di rischio operativo e capire come, nel corso degli anni, la letteratura economica ha dato diversa rilevanza a particolari elementi del processo di gestione di tale rischio.
27 Vedi Long P., “Wages of Sin” OperationalRisk & Regulation, vol.16, issue 8, p.16-20, 2015.
28 Per un approfondimento, Bodur, “Operational risk and operational risk related banking scandals”, 2012.
29 Per un approfondimento, Gilligan G., “Jerome Kerviel the “Rogue Trader” of Socièté Générale: bad luck, bad apple, bad tree or bad orchard?”, 2011; Brochet F., “Societe Generale: the Jerome Kerviel affair”, 2010.
Uno dei primi studiosi dell’argomento è stato Embrechts: il suo primo libro sugli eventi estremi in ambito assicurativo e finanziario risale al 199730 e tramite i suoi studi e i suoi lavori successivi si è affermato come uno dei più importanti ricercatori. In tale lavoro l’autore compie i primi tentativi di modellare le perdite estreme utilizzando il concetto di Extreme Value Theory (EVT), applicato in precedenza dai ricercatori in altri rami scientifici31, gettando così le basi per gli studi successivi in ambito di gestione del rischio operativo. Lo stesso studioso ha condotto studi su tale argomento: dapprima ha considerato tale concetto nell’ambito generale della gestione del rischio32, arrivando a concludere che esso presenta sia aspetti positivi che negativi33, per poi focalizzarsi sui modelli quantitativi per il rischio operativo. Tra i suoi più importanti lavori si ha uno studio34 condotto nel 2004 dove, insieme al collega Chavez-Demoulin, vengono discussi i più recenti sviluppi dell’EVT e viene affermato, anche sulla base di precedenti ricerche35, che tale teoria è estremamente utile per la stima del requisito patrimoniale con un alto intervallo di confidenza, sebbene la carenza dei dati di perdita operativi e la sua distribuzione rendano tale utilizzo opinabile. Embrechts giunge alla conclusione che il problema maggiore non risiede negli aspetti tecnici del modello ma bensì nella composizione dell’insieme dei dati che non sono presenti in quantità sufficiente per un’accurata calibrazione e spesso non presentano un accettabile grado di accuratezza. Risale al 2004 lo studio condotto da Moscadelli36, considerato ad oggi uno dei più importanti lavori sull’argomento, nel quale viene condotto un confronto tra le distribuzioni matematico-statistiche convenzionali e i modelli di EVT sui dati raccolti dal Comitato, tramite il LDCE del 200237, per verificare se essi
30 Embrechts P., “Modelling extremal events: for insurance and finance”, 1997.
31 Tale modello è stato, per esempio, applicato in campo ingegneristico da Castillo E., “Extreme value theory in engineering”, 1988; ed in ambito matematico e statistico, si veda per esempio Galambos J., “The asymptotic theory of extreme order statisctics”, 1987; Galambos J., “The development of the mathematical theory of the extreme in the past century”, p.273-293, 1994.
32 Embrechts P., “Extreme Value Theory: Potential and Limitations as an Integrated Risk Management Tool”, p. 449-456, 2000.; Embrechts P., Resnick S., Samorodnitsky G., “Extreme value theory as a risk management tool”, p.30-41, 1999.
33 Tra gli aspetti positivi si ha che l’EVT determina risultati consistenti quando si vanno a prendere in considerazione i vari fattori di rischio, può essere applicato in tutti i mercati, evita errori sistematici nelle stime delle code, ha una buona capacità di estrapolazione dei dati e dà risultati migliori se utilizzato a fianco ad altri strumenti di misurazione dal momento che sfrutta i loro risultati. D’altra parte, l’EVT non deve essere considerato come una panacea per tutti i problemi in materia di gestione del rischio dal momento che presenta diversi problemi da risolvere (per esempio la dipendenza tra i fattori di rischio), assume implicitamente che le perdite rientrino in un intervallo temporale di una decina di anni e si registrano diverse criticità computazionali.
34 Embrechts P., Chavez-Demoulin V., “Advanced extremal models for operational risk”, 2004.
35 Embrechts P., Furrer H., Kaufmann R., “Quantifying regulatory capital for operational risk”, p.217-233, 2003; Embrechts P., Kaufmann R., Samorodnitsky G., “Ruin theory revised: stochastic model for operational risk”, p.243-261, 2004.
36 Moscadelli M., “The modelling of operational risk: experience with the analysis of the data collected by the Basel Committee”, Banca d’Italia, temi di discussione no.517, 2004.
37 Il LDCE (Loss Data Collection Exercise) è stato lanciato nel 2002 dal gruppo di gestione del rischio (RMG) del Comitato di Basilea. Vi presero parte 89 banche alle quali furono richieste informazioni in merito a perdite operative relative all’anno precedente, l’allocazione interna di capitale, le perdite operative attese e alcuni indicatori di
rappresentino correttamente le perdite maggiori del data set. I risultati indicano che i primi non tengono conto adeguatamente di tali eventi estremi mentre i secondi, in particolar modo quelli trattati tramite il metodo Peaks-Over-Threshold e presentanti una distribuzione di tipo Pareto generalizzata (POT-GPD), riescono ad esprimere una stima accurata al 95° percentile e oltre di confidenza. Successivamente lo stesso Embrechts è tornato sull’argomento: merita sicuramente menzione il lavoro del 200638 dove, insieme allo stesso Chavez-Demoulin e Neslehova, presenta i progressi ottenuti nella EVT negli ultimi anni concentrandosi sui problemi della correlazione tra i dati di perdita e la loro aggregazione. In tale documento giunge alla conclusione che il miglior modo per trattare tali aspetti critici sia quello di calcolare il VaR per ogni variabile casuale di perdita determinata per ogni unità di rischio e poi ridurre la loro somma di un valore calcolato sulla base delle assunzioni di dipendenza iniziali. Nello stesso anno elabora un altro importante documento39 dove fa un confronto tra il modello EVT utilizzato da Moscadelli nel 2004 e quello basato sulla distribuzione g-and-h delineata da Dutta e Perry40, giungendo alla conclusione che il primo sia da preferire. Jobst41 prova invece ad utilizzare congiuntamente tali metodi per misurare il rischio operativo arrivando ad affermare che entrambi sono strumenti validi per raggiungere tale obiettivo ma il problema principale è da individuare nella scarsità dei dati storici di perdita operativa e, per tale motivo, sarebbe opportuno ridurre l’intervallo di confidenza richiesto nel calcolo del VaR.
Un altro argomento molto dibattuto nel corso degli anni è quello riguardante l’utilizzo dei modelli basati sulla statistica Bayesiana, un approccio adatto per combinare dati provenienti da diverse fonti42 e usato in ambito di rischio operativo principalmente per incorporare le opinioni degli esperti, e quindi dati esterni alla banca, nel data set informativo detenuto dall’intermediario. Esso è inoltre un metodo conveniente per tener conto dei parametri di incertezza, che risultano
rischiosità collegati a specifiche linee di business. Tale esercizio è stato effettuato dal Comitato per la prima volta nel 2001 e ripetuto nel 2008 e della Federal Reserve nel 2004. Per un approfondimento dei risultati, vedi Basel Committee on Banking Supervision, “The 2002 Loss Data Collection Exercise for Operational Risk: Summary of the Data Collected”, 2003; Basel Committee on Banking Supervision, “Results from the 2008 Loss Data Collection Exercise for Operational Risk”, 2009; Federal Reserve System, “Results of the 2004 Loss Data Collection Exercise for Operational Risk”, 2005. 38 Embrechts P. Chavez-Demoulin V., Neslehova J., “Quantitative models for operational risk: extremes, dependence and aggregation”, 2006.
39 Embrechts P., Degen M., Lembrigger D., “The Quantitative Modeling of Operational Risk: Between g-and-h and EVT”, 2006.
40 La g-and-h è una distribuzione introdotta da Tukey nel 1977 che si basa sulla trasformazione della variabile normale standard Z in Yg,h(Z) = [(egZ − 1)*exp(hZ2/2)]/g , dove g ed h sono funzioni di Z2. Per un approfondimento, vedi Dutta K., Perry J., “A tale of tails: an empirical analysis of loss distribution models for estimating operational risk capital”, Federal Reserve Bank of Boston, 2006.
41 Jobst A., “Operational Risk – The Sting is Still in the Tail But the Poison Depends on the Dose”, 2007.
42 Come espressamente richiesto dal Comitato negli Accordi di Basilea 2 e 3 per la metodologia AMA, la banca deve includere nel sistema di misurazione del rischio operativo i dati interni ed esterni, l’analisi di scenario e i Fattori di contesto operativo e di controllo interno.
particolarmente critici per gli eventi a bassa frequenza ed alto impatto quando vengono inclusi in un limitato set informativo. Uno dei primi utilizzi43 di tale metodo in materia di rischio operativo si ha con Carol che, all’inizio del millennio44, ha utilizzato l’inferenza Bayesiana per misurare diverse categorie di rischio giungendo alla conclusione che non solo esso riesce a soddisfare tale obiettivo anche per le tipologie di rischio più difficili da quantificare, come per esempio quelle legate alle risorse umane, ma può essere utilizzato anche per le analisi di scenario in modo tale da individuare più facilmente gli scenari che porterebbero alle massime perdite operative. Esso presenta però un elevato grado di soggettività poiché è strettamente legato al punto di vista dell’analista che lo utilizza e al data set informativo a disposizione, per cui si possono delineare differenti sistemi partendo dallo stesso problema, ma è comunque possibile effettuare un back test per individuare quello più efficace. In base a questa ricerca, Carol conclude che l’approccio Bayesiano è uno strumento fondamentale per la gestione del rischio operativo e rafforza tale deduzione con uno studio successivo45 dove fornisce una serie di esempi del suo utilizzo per rispondere a specifici problemi, integrando ognuno di essi con analisi di scenario. In quegli anni l’inferenza Bayesiana viene trattata marginalmente in diversi libri46 e viene implicitamente utilizzata in uno studio47 condotto da Roncalli e Franchot per incorporare dati interni ed esterni all’intermediario, ma è a partire dal 2006 che la letteratura si dedica attivamente a questo argomento. Una delle prime pubblicazioni a presentare dettagliati ed esaustivi esempi dell’utilizzo di questo metodo finalizzato alla stima della frequenza e dell’impatto dei rischi operativi, con il conseguente calcolo del capitale regolamentare, è quella di Shevchenko e Wütrich48. Successivamente gli stessi, insieme a Bülhmann49, hanno elaborato un modello (il cosiddetto “toy” model) basato sulla teoria della credibilità in grado di stimare i parametri delle distribuzioni di frequenza ed impatto per eventi HILF utilizzando dati interni ed esterni, questi ultimi ottenuti da stime di esperti e dall’industria bancaria. Tale estensione del modello a tre gruppi informativi è stata ripresa in seguito dagli stessi studiosi per ulteriori lavori: in un primo momento50 per modellare la dipendenza tra i rischi
43 Si sono occupati di tale argomento anche Alexander C., “Bayesian Methods for Measuring Operational Risks”
Derivatives, Use Trading and Regulation, Vol. 6, No. 2, pp 166-186, 2000; Alexander C., “The Bayesian approach to measuring operational risks”, 2001; King J., “Operational risk: measurement and modelling”, Wiley, 2001.
44 Carol A., “Bayesian methods for measuring operational risk”, 2000. 45 Carol A., “Managing operational risks with Bayesian networks”, 2003.
46 Cruz M., “Modeling, measuring and hedging operational risk ”, capitolo 10, Wiley, 2002; Panjer H., “Operational risks: modeling analytics”, Wiley, 2006.
47 Franchot A., Roncalli T., “Mixing internal and external data for managing operational risk”, 2002.
48Shevchenko P., Wüthrich M., “The structural modeling of operational risk via Bayesian inference: combining loss
data with expert opinions”, 2006.
49 Bühlmann H., Shevchenko P., Wüthrich M., ”A “toy” model for operational risk quantification using credibility
theory”, 2007.
50 Shevchenko P., Wüthrich M., Lambrigger D., “The quantification of operational risk using internal data, relevant external data and expert opinions”, 2007.
operativi, lasciando che i profili di rischio di muovano stocasticamente nel tempo e siano tra loro dipendenti, sin seguito51 per trattare una distribuzione multivariata con dipendenza tra i rischi. Gli studi più recenti sull’argomento vedono l’utilizzo di tale approccio per risolvere altri tipi di problemi. Bardoscia e altri studiosi52 hanno elaborato e testato un algoritmo capace di implementare tale modello in banche di piccole e media dimensione prendendo in considerazione la correlazione tra i loro processi interni e analizzando per la prima volta le conseguenze derivanti dall’utilizzare dati presi in giorni differenti. Giacometti e Fabozzi53 hanno esaminato invece altri due problemi: l’insufficienza dei dati e la presenza di soglie nella parte sinistra della distribuzione, vale a dire quelle relative alle perdite operative derivanti da eventi con alta frequenza e basso impatto. In presenza di queste condizioni lo studio ha dimostrato, tramite una serie di simulazioni su un piccolo campione di dati, che l’approccio Bayesiano risulta il metodo più affidabile e credibile per la stima del rischio operativo, consentendo inoltre di poter misurare i parametri della distribuzione di perdita e il VaR per ogni cella della matrice linee di business - eventi di perdita operativa operando una distinzione tra dati interni ed esterni. Anche Giudici54 giunge ad una conclusione simile elaborando e testando su dati reali un modello Bayesiano che prende in considerazione i dati di perdita interni e questionari di auto valutazione dei rischi (“Risk and control self-assessments”, RCSA).
Il problema di includere i dati esterni e le opinioni di esperti ai dati interni alla banca è stato trattato anche tramite modelli diversi da quelli basati sull’approccio Bayesiano. Uno dei primi documenti su tale argomento in materia di gestione del rischio è quello di Clemen e Winkler55 dove vengono presi in considerazione diversi metodi per combinare le distribuzioni di probabilità elaborate dagli specialisti esterni per provare ad evidenziare quelli che sono i principali problemi pratici e concettuali56 di tale processo. Essi giungono alla conclusione che per tener conto di tali criticità è opportuno prendere in considerazione sia gli aspetti matematici che comportamentali collegati all’aggregazione di tali informazioni al fine di ottenere un miglioramento della qualità delle misurazioni. Uno dei primi studi in tema di gestione del rischio operativo è quello effettuato da 51 Shevchenko P., Wüthrich M., Peters G., “Dynamic operational risk: modeling dependencies combining different sources of information”, 2007. Tale opera è stata successivamente ripresa da Santos con l’obiettivo di sviluppare una sua generalizzazione in base a condizioni più realistiche per poter analizzare gli effetti che gli eventi macroeconomici hanno sul rischio operativo. Con il suo studio, Santos ha rilevato che apparentemente tali eventi influiscono sull’impatto di tale rischio. Per un approfondimento vedi Santos H., Kratz M., Mosquera M., “Modelling macroeconomic effects and expert judgements in operational risk: a Bayesian approach”, 2012.
52 Bardoscia M., Aquaro V., Bellotti R., Consiglio A., De Carlo F., Ferri G., “A Bayesian networks approach to operational risk”, 2012.
53 Fabozzi F., Giacometti R., Zhou X., Tucker A., “Bayesian estimation of truncated data with applications to operational risk measurement”, 2012.
54 Giudici P., Gao L., Figini S., “Bayesian operational risk models”, 2013.
55 Clemen R., Winkler R., “Combining probability distributions from experts in risk analysis”, 1999.
56 Vengono individuati i problemi della selezione degli esperti (in termini quantitativi e qualitativi), la flessibilità strutturale del modello e i compiti dell’analisi di sensitività e del team incaricato ad effettuare l’autovalutazione.
Beroggi57 dove viene elaborato e testato un approccio per prendere in considerazione le opinioni di più esperti ai quali viene anche data la possibilità di modificare le proprie valutazioni nel corso del tempo. Successivamente è stato preso in considerazione il problema del cosiddetto
“under-reporting”, vale a dire il fatto che i dati pubblici sono spesso soggetti a soglie minime di
pubblicazione che ne limitano la capacità informativa e possono portare a errori nelle assunzioni alla base dei modelli, con conseguenti ricadute sulle stime del requisito patrimoniale. Su questo tema i più importanti lavori sono quelli di Guillen, Gustafsson e Nielsen58: in un primo momento viene elaborata una funzione di under-reporting al fine di semplificare il problema teorico, successivamente viene proposto un metodo per avvicinarsi il più possibile ai valori della distribuzione nel caso in cui questa fosse completamente resa pubblica, infine viene descritto un approccio per considerare congiuntamente tutti i problemi individuati nei dati interni ed esterni l’intermediario. Più recentemente la dottrina si è concentrata sul trattamento dei dati esterni presentanti soglie minime delineando degli approcci alternativi. Il Comitato afferma che essa debba essere stabilita in modo tale da non escludere gli eventi più rilevanti per l’intermediario, che si trova quindi di fronte ad un trade-off59 tra il costo da sostenere per abbassare la soglia, e dover quindi impiegare più risorse per raccogliere una maggiore quantità di informazioni, e la validità del modello, in quanto non considerare tutti gli eventi può portare alla sottostima o sovrastima del requisito patrimoniale60. Molti accademici hanno provato ad aggirare questo ostacolo elaborando modelli matematici che possono essere raggruppati in tre distinte categorie61: i modelli con l’approccio “naive”, che adattano senza restrizioni62 le distribuzioni della frequenza e dell’impatto dei dati sopra la soglia; i modelli con l’approccio “shifted”, che considera anche perdite minori traslando l’insieme dei dati per un valore predefinito63, e i modelli che si riferiscono ai “dati
57 Beroggi G., “Multi-expert operational risk management”, Systems, Man, and Cybernetics, p.32-44, 2000. Questo argomento è stato successivamente trattato in Gregoriou G., “Operational risk towards Basel III: best practices and issues in modeling, management, and regulation”, Wiley, p.3-21, 2009.
58 Guillen M., Gustafsson J., Nielsen J., Pritchard P., “Using external data in operational risk”, The Geneva Papers, p.178-189, 2007; Guillen M., Gustafsson J., Nielsen J., “Combining underreported internal and external data for operational risk measurement”, The Journal of Operational Risk, p.1-22, 2008; Gustafsson J., Nielsen J., “A mixing model for operational risk”, The Journal of Operational Risk, p.25-37, 2008. Per una più recente ed approfondita trattazione, vedi Bolancé C., Guillen M., Gustafsson J., Nielsen J., “Quantitative operational risk models”, 2012.
59 Vedi Ames M., Schuermann T., Scott H., “Bank capital for operational risk: a tale of fragility and instability”, op. cit. 60 Baud N., Frachot A., Roncalli T., “How to avoid over-estimating capital charge for operational risk?”, 2002.
61 La distinzione dei modelli è ripresa dal documento di Yu D., Brazauskas V., “Model uncertainty in operational risk modeling”, 2015.
62 Vale a dire che il modello, durante il processo di fitting, considera l’insieme dei dati come “completo” pur non essendolo, poiché non vengono considerati quelli sotto la soglia. Vedi Moscadelli M., Chernobai A., Rachev S., “Treatment of incomplete data in the field of operational risk: the effects on parameter estimates, EL and UL figures”, 2005.
63 Quindi i modelli con l’approccio naive sono un caso particolare di quelli con l’approccio shifted, dove la traslazione è pari a zero, vedi Yu, “Model uncertainty in operational risk modeling”, op. cit. Per ulteriori approfondimenti su questi modelli, vedi Dutta K.,Perry J.,”A tale of tails: an empirical analysis of loss distribution models for estimating
troncati” (truncated data), che sono stati oggetto di maggiore attenzione da parte degli studiosi64. Cavallo e Rosenthal65 hanno ottenuto riscontri positivi andando a modellare un data set informativo tramite la distribuzione lognormale e considerando le perdite inferiori al valore soglia spostando il modello di un valore che può essere stabilito discrezionalmente dall’esperto. Bolancé ed altri66 hanno compiuto uno studio approfondito e dettagliato sui modelli utilizzati per quantificare il rischio operativo ed hanno elaborato un proprio approccio per calcolare il VaR e l’Expected Shortfall tenendo conto sia dei dati esterni che della probabilità che essi non siano correttamente o interamente resi pubblici. Recentemente Yu67 arriva alla conclusione che i modelli naive risultano inappropriati per determinare correttamente la stima del VaR mentre gli altri due risultano più efficaci: gli approcci shifted hanno un maggiore grado di flessibilità, e riescono quindi ad adattarsi all’insieme dei dati, mentre l’approccio con i dati troncati produce un requisito minore rispetto agli altri metodi.
Un altro argomento molto discusso dagli studiosi negli anni è come poter prendere in considerazione la correlazione tra i rischi di perdita operativa individuati nella matrice descritta dal Comitato di Basilea dal momento che l’assunzione di perfetta dipendenza, che porta a sommare il capitale a rischio calcolato in ogni cella e perciò viene frequentemente percepita dalle banche come lo scenario più pessimistico, è considerata troppo conservativa e non realistica. Per questo motivo è stato consentito, a fronte di un’adeguata due diligence e di una revisione qualitativa su base continuativa, di considerare tale correlazione nel calcolo del requisito patrimoniale68. Come evidenziato dal LDCE del 2008, a tale data il 29% delle banche AMA non teneva in considerazione
operational risk capital”, gennaio 2007 ;Rozenfeld I., “Using shifted distributions in computing operational risk capital”, 2010.
64 Tra i documenti più importanti: Chernobai A., Men C., Trueck S., Rachev S., “A note on the estimation of the frequency and severity distribution of operational losses”, 2004; Bee M., “On maximum likelihood estimation of operational loss distribution”, 2005; Shevchenko P., Luo X., Donnelly J., “Addressing impact of truncation and parameter uncertainty on operational risk estimates”, 2007; Opdyke J.D., Cavallo A., “Estimating operational risk capital: The challenges of truncation, the hazards of MLE, and the promise of robust statistics”, op. cit.; Rozenfeld I., “Estimating operational risk capital from truncated data with constrained optimization”, 2012; Ergashev B., Pavlikov K., Uryasev S., Sekeris E., “Estimation of truncated data samples in operational risk modeling”, 2014.
65 Cavallo A., Rosenthal B., Wang X., Yan J., “Treatment of the data collection threshold in operational risk: a case study using the lognormal distribution”, The Journal of Operational Risk, p.3-38, 2012.
66 Bolancé C., Guillen M., Gustafsson J., Nielsen J., “Adding prior knowledge to quantitative operational risk models”, 2012.
67 Vedi Yu, “Model uncertainty in operational risk modeling”, op. cit.
68 “La banca può utilizzare stime della correlazione nel calcolo del requisito patrimoniale, a condizione che siano
documentati i criteri alla base delle ipotesi sulle correlazioni, che le tecniche utilizzate siano robuste, applicate con correttezza e che tengano conto dell’incertezza associata alle stime”. Vedi Banca d’Italia, “Nuove disposizioni di vigilanza prudenziale per le banche”, op. cit.
tale dipendenza mentre il metodo più utilizzato è quello che si avvale delle copule69. Tale concetto appare per la prima volta nel libro di Sklar70 del 1959 dove viene dimostrato che ogni funzione di distribuzione multidimensionale può essere divisa in funzioni marginali e una copula che descrive la dipendenza esistente tra le variabili presenti in esse71. Per quasi due decenni questo approccio è stato esclusivamente utilizzato nell’ambito della teoria dello spazio metrico. Il primo documento nel quale viene trattato per studiare la dipendenza tra variabili casuali risale al 1981, quando Schweizer e Wolff72 mostrano che gli assiomi di Renyi sono capaci di descrivere tale legame e comparano i risultati ottenuti con quelli derivanti dalle misure di dipendenza più utilizzate nella pratica. Dopo un altro periodo di silenzio da parte degli accademici, alla fine degli anni novanta i lavori di Joe73 e di Nelsen74 fecero attirare nuovamente l’attenzione su tale concetto, anche grazie alla scoperta che esso può essere impiegato con successo nella finanza75. Al giorno d’oggi è quasi impossibile elencare tutte le applicazioni delle copule in ambito finanziario: come afferma lo stesso Schweizer76, “l’era delle variabili indipendenti e identicamente distribuite (i.i.d.) è finita: quando la dipendenza è presa sul serio, le copule entrano automaticamente in gioco”. Uno degli attuali maggiori esponenti dell’argomento è Embrechts: tra i suoi più importanti lavori si hanno uno studio approfondito sulle varie tipologie di copula utilizzate in materia di gestione del rischio, con tanto di esempi pratici per la modellizzazione degli eventi estremi per il rischio assicurativo e di mercato77, una sua applicazione con gli strumenti alternativi di trasferimento del rischio (ART)78 e molte pubblicazioni rientranti nella gestione del rischio operativo79. Altri importanti studi sono stati fatti
69 “Le copule sono uno strumento generico per costruire distribuzioni multivariate e analizzare la struttura di dipendenza tra variabili casuali”. Vedi Bouyé E., Durrleman V., Nikeghbali A., Riboulet G., Roncalli T., “Copulas for finance. A reading guide and some applications”, 2000.
70 Sklar A., “Fonctions de répartition n dimensionset leurs marges”, 1959. Il teorema descritto in questo lavoro è conosciuto come Teoria di Sklar.
71 Nello stesso anno, Renyi ha proposto un insieme di assiomi per misurare la dipendenza tra due variabili casuali. Questo lavoro viene considerato essere il punto di partenza per gli studi di Sklar, al quale viene attribuito il merito di aver coniato la parola “copula”.
72 Schweizer B., Wolff E.F., “On nonparametric measures of dependence for random variables”, 1981. 73 Joe H., “Multivariate models and dependence concepts”, Chapman & Hall, 1997.
74 Nelsen R., “An introduction to copulas”, 1999.
75 Come si vede dalle parole di Embrechts: “[…] Perché si ha una così incredibile quantità di ricerche su tale argomento alla fine degli anni novanta? Ricordo che il concetto risale agli anni cinquanta ed è stato trattato anche prima, sebbene con un altro nome. Io posso darvi tre motivi: finanza, finanza, finanza. […]”. Embrechts, “Copulas: a personal view”, p.8, 2009.
76 Schweizer B., “Introduction to copulas”, 2007.
77 Embrechts P., Lindskog F., McNeil A., “Modelling dependence with copulas and applications to risk management”, 2001.
78 Blum P., Dias A., Embrechts P., “The ART of dependence modelling: the latest advances in correlation analysis”, 2002.
79 Embrechts P., McNeil A., Straumann D., “Correlation and dependency in risk management: properties and pitfalls”, 2002; Embrechts P., Höing A., Juri A., “Using Copulae to bound the Value-at-Risk for functions of dependent risks”, 2003; Chavez-Demoulin V., Embrechts P., Neslehova J., “Quantitative models for operational risk: extremes, dependence and aggregation”, 2006; Embrechts P., Puccetti G., “Aggregating risk across matrix structured loss data:
utilizzando le funzioni di copula congiuntamente ad altri modelli maggiormente impiegati nella pratica. Particolarmente importante è il modello descritto da Rachedi e Fantazzini80 che utilizza ben tre strumenti: la EVT per modellare la distribuzione di severità delle perdite, le copule per la loro dipendenza e un modello basato sulla distribuzione generalizzata di Poisson per trovare la correlazione tra gli eventi di perdita, arrivando a concludere che questo approccio è più efficiente del modello standard. La ricerca di Brechmann81 arriva ad una conclusione simile: esplicitando la dipendenza nel modello tramite l’utilizzo di copule e azzerando l’inflazione si ha che il requisito patrimoniale viene ridotto di circa un terzo rispetto a quanto calcolato tramite il modello descritto dal Comitato. Nel secondo capitolo verranno trattati le principali tipologie di copula che sono attualmente utilizzate dagli esperti nella pratica.
Queste considerazioni saranno riprese e approfondite nel corso del secondo capitolo, dove verrà trattato nel dettaglio il loro impiego pratico e le difficoltà che gli esperti sperimentano tutt’ora.
1.3 Il rischio operativo in Basilea 3
Il rischio operativo assume un ruolo importante all’interno degli Accordi di Basilea in quanto rientra in tutti e tre i suoi pilastri. La gestione del rischio operativo si focalizza in particolar modo sulle perdite inattese, che corrispondono agli eventi a bassa frequenza e ad alto impatto (HILF, High Impact Low Frequency) e si trovano nella coda della distribuzione, in quanto risultano difficili da modellare e possono causare gravi danni all’intermediario nel momento in cui si verificano. Per quanto riguarda le perdite attese, che coincidono con gli eventi ad alta frequenza e basso impatto (LIHF, Low Impact High Frequency) e compongono il corpo della distribuzione, esse solitamente non costituiscono una seria minaccia per la stabilità della banca: nella pratica vengono spesso incorporate nei costi di gestione e devono essere costantemente monitorate e trattate con appropriate misure, arrivando ad individuare la loro causa e trovando la soluzione migliore per ridurne l’impatto o minimizzarne la frequenza di accadimento. Le altre due categorie di eventi solitamente non vengono prese in considerazione dagli intermediari durante il processo di gestione del rischio
the case of operational risk”, 2007; Embrechts P., Hofert M., “Statistical inference for copulas in high dimensions: a simulation study”, 2013.
80 Rachedi O., Fantazzini D., “Multivariate models for operational risk: a copula approach using extreme value theory and Poisson shock models”, Operational risk towards Basel III: best practices and issues in modelling, management, and regulation, Wiley, p.197-218, marzo 2009.
81 Brechmann C.E., Czado C., Paterlini S., “Flexible dependence modeling of operational risk losses and its impact on total capital requirements”, 2013.
operativo: gli eventi a basso impatto e bassa frequenza vengono trattenuti all’interno delle istituzioni, in quanto non portatori di particolari situazioni critiche, mentre gli eventi ad alto impatto e alta frequenza causerebbero direttamente la bancarotta della banca. L’immagine sottostante riporta la classificazione in forma grafica, dove la prima matrice rappresenta la visione teorica mentre la seconda quella pratica:
Fig.1: Classificazione degli eventi (teorica e reale)
Fonte: Chernobai A., Rachev S., Fabozzi F., “Operational risk: a guide to Basel II capital requirements”, Wiley, pag. 25, 2007.
Il Comitato chiede quindi all’intermediario di coprire le perdite attese con le riserve presenti all’interno dell’intermediario, le perdite inattese con il capitale determinato tramite il modello utilizzato per il calcolo del requisito patrimoniale82 e la rimanente parte, corrispondente alle perdite eccedenti il livello di confidenza ( le cosiddette “stress losses”), di solito viene trattata tramite appositi strumenti assicurativi.
82 Gli Accordi di Basilea affermano che il requisito patrimoniale deve essere stimato come somma delle perdite attese e delle perdite inattese, con le prime che possono essere successivamente portate in detrazione qualora la banca dimostri che esse:
- sono individuate sulla base di criteri documentati e censite nel data set di calcolo; e - sono coperte da accantonamenti specifici a conto economico.
Fig.2: Distribuzione delle perdite operative
Fonte: Federal Reserve Board, “Basel II capital accord”, 2006.
Se per la distribuzione della frequenza viene comunemente utilizzata la poissoniana, la scelta della distribuzione dell’impatto è quella che crea più problemi agli esperti. Ciò è dovuto al fatto che il capitale stanziato per il fronteggiamento del rischio operativo viene usualmente utilizzato per arginare i singoli eventi di perdita, specialmente durante periodi di forte stress, rendendo perciò marginale il ruolo della correlazione tra i rischi dal momento che le risorse vengono concretamente impiegate per contenere gli ammanchi che si registrerebbero nello scenario più pessimistico. Si ha quindi che gli eventi di più grande dimensione dominano la distribuzione facendo sì che il loro impatto sui modelli risulti non proporzionale rispetto agli altri dati e mettendo gli studiosi di fronte ad un bivio: considerare tali eventi estremi, ottenendo quindi modelli più validi dal punto di vista informativo ma strutturalmente più fragili, oppure non includerli nel data set, arrivando di conseguenza a modelli più solidi ma meno validi83.
Con la stesura di Basilea 2 e l’introduzione del rischio nel primo pilastro è stato richiesto al singolo intermediario di calcolare il requisito minimo patrimoniale per il suo fronteggiamento tramite l’utilizzo di una84 delle metodologie previste: il metodo base (Basic Indicator Approach, BIA), il metodo standardizzato (Traditional Standardised Approach, TSA85) e il metodo avanzato
83 Opdyke J.D., Cavallo A., “Estimating operational risk capital: The challenges of truncation, the hazards of MLE, and the promise of robust statistics”, 2012. Queste considerazioni saranno comunque riprese e approfondite nel secondo capitolo.
84 Sotto il rispetto di determinate condizioni vi è la possibilità di avvalersi dell’uso combinato di più metodi, a livello individuale o consolidato, a patto che essi ricoprano tutta l’operatività della banca. Vedi Banca d’Italia, “Nuove disposizioni di vigilanza prudenziale per le banche”, Titolo II, capitolo 5 parte quarta, 2006.
85 A discrezionalità del supervisore nazionale può essere consentito l’utilizzo del metodo standardizzato alternativo (Alternative Standardised Approach, ASA) che consente alle banche che presentano elevati margini di interesse di
(Advanced Measurement Approach, AMA). Esse presentano una crescente complessità ed è richiesto alle banche e ai gruppi bancari di utilizzare quella che più risponde alle proprie caratteristiche dimensionali e operative, previo il soddisfacimento di determinati requisiti86 per l’utilizzo dei metodi diversi dal BIA, e viene inoltre incoraggiata l’adozione di tecniche più evolute man mano che la banca sviluppa le proprie tecniche di gestione del rischio operativo87. Nel secondo pilastro, relativo al Processo di Controllo Prudenziale, il rischio operativo rientra all’interno del processo ICAAP, procedura tramite la quale l’intermediario è chiamato a compiere un’autovalutazione qualitativa, in ottica attuale e prospettica, della propria adeguatezza patrimoniale andando a prendere in considerazione tutti i rischi alla quale esso è esposto, quindi anche quelli non rientranti nel primo pilastro, le strategie perseguite e l’evoluzione attesa del contesto economico-finanziario. Esso verrà poi controllato e valutato dall’Autorità di vigilanza che formulerà, tramite il processo SREP (Supervisory Review and Evaluation Process), un giudizio complessivo sulla banca e, se necessario, richiederà di apportare degli interventi correttivi. Infine, nel terzo pilastro, l’intermediario è chiamato a redigere la relazione Pillar 3, documento di disclosure al mercato nel quale vanno riportate le informazioni riguardanti il patrimonio e la gestione dei rischi. Di seguito sono approfonditi tali argomenti, a partire dal calcolo del requisito patrimoniale contenuto nel primo pilastro.
Alle banche che si avvalgono del metodo base viene richiesto di detenere un ammontare di capitale pari al 15% della media delle ultime tre osservazioni a valore positivo del margine di intermediazione88, che è quindi visto come parametro per l’esposizione al rischio operativo. Data la sua semplicità e la mancanza di richieste di compliance per la sua implementazione, questa metodologia è stata utilizzata dalla maggioranza delle banche di minori dimensioni89 pur dimostrando nel corso degli anni evidenti limiti dal punto di vista concettuale e pratico. Come
calcolare il loro requisito patrimoniale per il fronteggiamento del rischio operativo modificando il calcolo di due linee di business, quella del retail banking e del commercial banking.
86 Per il TSA vedi Banca d’Italia, “Nuove disposizioni di vigilanza per le banche”, titolo II, cap. 5, parte seconda, sez. II, paragrafo 1, 2006; per l’AMA vedi Banca d’Italia, “Nuove disposizioni di vigilanza per le banche”, titolo II, cap. 5, parte terza, sez. I, 2006.
87 In particolar modo, per le banche internazionali e per le banche con esposizioni maggiori verso i rischi operativi è auspicato l’utilizzo di metodologie più avanzate rispetto al metodo base in modo tale da rispecchiare il più elevato grado di rischiosità.
88Vedi Banca d’Italia, Circolare n. 262 del 22 dicembre 2005 (1° agg. del 18 novembre 2009, ultimo aggiornamento del
22 dicembre 2014): voce 120, su base individuale (pag. A.2.1.) e voce 120 su base consolidata (pag. B.2.1.) con riferimento alle componenti “di pertinenza del gruppo bancario” (par. 5.6 a pag. 1.5.2).
89Confermando quanto ipotizzato per primo da Harmer (“Banks Support New Capital Rules”, Journal of Banking and
Financial Services, 118, 2, pag. 42-45, 2004) e dalle ricerche successive effettuate da Moscadelli (“La fase di avvio della regolamentazione: stato dell’arte, profili di rilievo e iniziative di vigilanza in materia di rischi operativi”, Relazione al Convegno ABI, 2008).
evidenziato recentemente da Girling90 e dallo stesso Comitato91, l’utilizzo del margine di intermediazione non è corretto in quanto esso non considera i presidi posti in essere dalla banca, determinando così lo stesso requisito patrimoniale a banche uguali sotto il profilo del margine ma diverse dal punto di vista organizzativo, e presuppone che l’esposizione rischiosa sia correlata linearmente con la crescita dei ricavi, cosa non sempre vera.
Con il metodo standardizzato si registra un passo in avanti rispetto al BIA in termini di gestione del capitale in quanto le banche sono chiamate a determinare il requisito patrimoniale come la media delle ultime tre osservazioni del contributo TSA registrato alla chiusura dell’esercizio. Tale contributo è calcolato come somma92 dei margini di intermediazione delle linee di business ponderati con coefficienti regolamentari riportati nella tabella:
Business Lines Coefficiente regolamentare
Corporate Finance 18%
Trading & Sales 18%
Retail Banking 12%
Commercial Banking 15%
Payment & Settlement 18%
Agency Services 15%
Asset Management 12%
Retail Brokerage 12%
In base a questo calcolo, tale metodo viene preferito dalle imprese bancarie nelle quali l’attività è maggiormente concentrata nelle linee di business con il coefficiente più basso in modo tale da dover accantonare minori risorse93. Nonostante sia evidente l’evoluzione rispetto al metodo base, anche il metodo standardizzato presenta alcuni punti deboli. Oltre alla critica dell’uso del margine di intermediazione come parametro dell’esposizione al rischio94, il fatto di prevedere dei coefficienti uguali per tutte le banche è sicuramente un aspetto negativo dal momento che in questo modo non si tiene conto delle peculiarità delle singole imprese. E’ criticabile inoltre il fatto di sommare i
90 Girling P., “Operational risk management”, Wiley, 2013.
91 Basel Committee on Banking Supervision, “Operational risk – Revisions to the simpler approaches”, 2014.
92 Qualora l’indicatore rilevante ponderato di una linea di business risulti negativo, esso va incluso nel calcolo del
contributo TSA. Qualora il contributo TSA per un anno risulti negativo, il risultato deve essere posto pari a zero e partecipa al calcolo della media triennale.
93 Per un confronto nell’utilizzo delle due metodologie standardizzate, vedi Sundmacher, “the basic indicator approach and the standardised approach to operational risk: an example – and case study – based analysis”, 2007.
94 In aggiunta, nel documento di consultazione di ottobre 2014 (p.6) il Comitato afferma che i coefficienti regolamentari della metodologia base e standardizzata dovrebbero essere rivalutati poiché essi potrebbero essersi modificati nel corso del tempo. Tale criticità era già emersa al momento della pubblicazione di Basilea 2 ma fino ad ora non sono state effettuate le dovute verifiche e non si sono avute eventuali modifiche nei modelli.
contributi TSA delle singole linee di business perché, così facendo, si presuppone una perfetta correlazione tra gli eventi di perdita e non si prende in considerazione nessun tipo di beneficio dovuto alla diversificazione che si può avere all’interno dell’impresa bancaria95.
Accanto ai modelli standardizzati vi è la metodologia avanzata, la Advanced Measurement Approach (AMA), che consente alle banche autorizzate96 su base individuale dalla propria Banca Centrale nazionale di disegnare un proprio modello per il calcolo per requisito patrimoniale basandosi su una serie di requisiti qualitativi e quantitativi da rispettare. Introdotta anch’essa con gli Accordi di Basilea 2 e successivamente oggetto di precisazioni e approfondimenti tramite documenti emessi da parte del Comitato, gli obiettivi97 che questo metodo intende realizzare sono quelli di garantire un’elevata flessibilità alle banche al fine di seguire l’evoluzione del settore, incoraggiarle a migliorare il proprio sistema di governo del rischio operativo e migliorare la sensitività al rischio.
Per quanto riguarda i requisiti qualitativi, la circolare 285 del 201398 riporta un elenco con sette caratteristiche che la banca deve soddisfare per poter utilizzare il modello mentre Banca d’Italia99 li recepisce suddividendoli in due materie così articolate:
Requisiti organizzativi
Controlli interni Sistema di gestione dei rischi operativi
a) Funzione di controllo dei rischi operativi b) Processo di convalida interna c) Funzione di revisione interna
a) Sistema di raccolta e conservazione dati b) Sistema di reporting
c) Utilizzo gestionale del sistema di misurazione (use test) Fonte: Banca d’Italia, Circolare n. 285 del 17 dicembre 2013.
Come si può vedere, nella parte dedicata ai controlli interni viene richiesto alla banca di dotarsi di una funzione di controllo, la quale ha principalmente i compiti di progettare e mantenere i sistemi di gestione, misurare i rischi operativi e determinare il requisito patrimoniale, e di adottare un processo
95Sundmacher, “Operational risk measurement in banks: arbitrage, adjustments and alternatives”, 2004.
96 Le banche possono richiedere l’autorizzazione se rispettano almeno una delle due soglie indicate in Banca d’Italia, “Nuove disposizioni di vigilanza prudenziale per le banche”, Titolo II, cap. 5, parte terza, 2006. Alla fine di questo paragrafo vengono illustrati i requisiti stabiliti dall’EBA in conformità all’art. 312 del Regolamento (EU) No. 575/2013 (CRR).
97 Per una breve rassegna, Romito F., “I rischi Operativi”, 2008. 98 Banca d’Italia, Circolare n. 285 del 17 dicembre 2013.
di convalida interna su base continua indipendente dalla funzione di revisione interna, la quale ha il compito di valutarne l’efficacia e la conformità in base a requisiti di idoneità. Per quanto riguarda invece il sistema di gestione dei rischi operativi, esso ha l’obiettivo di assicurare un’efficace azione di prevenzione ed attenuazione dei rischi stessi tramite un sistema di raccolta e conservazione dati, un sistema di reporting interno all’intermediario e l’utilizzo di tale sistema strettamente integrato nei processi decisionali e nella gestione dei rischi (il cosiddetto concetto dello use test100). Di fatto tramite questi requisiti, più articolati rispetto a quelli richiesti per il metodo standardizzato, il Comitato ha richiesto alla banca di adeguarsi a questa metodologia più evoluta sul piano organizzativo istituendo un apposito processo di Operational Risk Management101 (ORM).
Passando ai requisiti quantitativi, il Comitato di Basilea non specifica l’approccio o le assunzioni sulla distribuzione che le banche devono utilizzare per la misurazione a causa della continua evoluzione dei metodi usati, ma afferma che esse devono essere in grado di dimostrare che la metodologia da loro utilizzata sia in grado di catturare gli eventi di perdita estremi, individuandoli con un intervallo di confidenza del 99,9% in un arco di tempo pari ad un anno. Banca d’Italia recepisce le direttive del Comitato suddividendole in tre categorie, per ognuna delle quali delinea precise disposizioni:
Ø I requisiti generali del sistema di misurazione dei rischi operativi, composto dall’insieme strutturato dei processi, delle funzioni e delle risorse per la determinazione del requisito patrimoniale. Tramite ciò si raccomanda che il modello presenti caratteri di robustezza e integrità dei dati, con particolare riguardo alla capacità di cogliere le determinanti di rischio operativo;
Ø I criteri per l’alimentazione e l’utilizzo delle quattro componenti dell’AMA, che rappresentano l’elemento distintivo della metodologia avanzata e sono costituiti dai dati interni ed esterni di perdita operativa, le analisi di scenario e i fattori di contesto operativo e del sistema dei controlli interni. Alle banche viene imposto che i processi per la raccolta e la conservazione delle informazioni siano conformi ad uno standard di qualità stabilito internamente, in termini di accuratezza, rilevanza e completezza, e che sia convalidato
100 Le Autorità competenti sono chiamate a verificare che le istituzioni utilizzino effettivamente l’AMA per scope gestionali e non puramente regolamentari, che il sistema di gestione del rischio operativo sia utilizzato su base continua e che tale metodologia sia utilizzata per migliorare l’organizzazione interna alla banca. Per un approfondimento su questo argomento, vedi sezione 2 art. 12-17 del documento EBA, “Final Draft Regulatory Technical Standards on the specification of the assessment methodology under which competent authorities permit institutions to use Advanced Measurement Approaches (AMA) for operational risk in accordance with Article 312 of Regulation (EU) No 575/2013”, 2015.
101 In accordo con il principio 8 del documento BCBS di febbraio 2003. Tale processo sarà trattato nel dettaglio nel terzo capitolo.
