Evoluzioni del Risk Management - Conference Paper di The Innovation Group Abbinato all'Evento "Risk Management Evolution"
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Evoluzioni del
Risk Management
Conference Paper di The Innovation Group
Abbinato all’Evento “Risk Management Evolution”
TO RISK
E
TIM
The Innovation Group Sponsorizzato da:
Innovating business and organizations through ICTEvoluzioni del Risk Management
The Innovation Group
Innovating business and organizations through ICT
RISCHIO è un termine molto ampio RISK
che non deve essere applicato solo agli eventi
dall’esito avverso, ma più in generale a tutti MANAGEMENT.
quegli episodi che possiedono una componente A fronte di queste due macro-categorie di
aleatoria, ovvero una indeterminatezza a priori rischi le aziende hanno gradualmente adottato
della dimensione del loro esito, in un intorno strumenti più o meno complessi per la gestione
positivo o negativo di quello più probabile. La del rischio, delineando negli anni un approccio
distinzione a questo riguardo più diffusa è quella generale alla disciplina che oggi prende il nome
tra rischi speculativi e rischi puri, dove i primi sono di Risk Management. Essa ha infatti come oggetto
quei rischi che possono portare sia ad una perdita la gestione, la prevenzione e il finanziamento
sia ad un guadagno, mentre quelli puri sono tali dell’insieme delle vulnerabilità aziendali e si
da non portare alcun beneficio ai soggetti che propone la gestione ottimale dei rischi tramite una
li subiscono. Molto spesso questa distinzione metodologia rigorosa e scientifica applicata alla
ha portato i primi (quelli speculativi) ad essere loro identificazione e valutazione. La componente
identificati con i rischi non assicurabili, anzi ricercati di ottimizzazione di questo approccio è andata
sulla base della propensione al rischio delle inoltre sempre più ampliandosi, grazie soprattutto
aziende e ai loro piani strategici, mentre i rischi puri alla diffusione delle nuove tecnologie e di nuovi
sono stati spesso accomunati a quelli assicurabili, paradigmi tecnologici, quali quello dei Big Data/
e quindi parzialmente esternalizzabili alla realtà Analytics: questi stanno infatti incrementando
aziendale. le capacità di previsione e stima dei rischi e degli
eventuali danni connessi, rendendo disponibile
un campione di analisi più ampio e accurato per il
calcolo delle probabilità.
EVOLUZIONE DEI RISCHI...
L’evento dedicato da The Innovation Group rischi emergenti, i continui cambiamenti nei profili
al tema dell’evoluzione del Risk Management di rischio delle aziende (dati dalla variabilità negli
(“Risk Management Evolution Conference”, dello scambi e dei movimenti internazionali) hanno
scorso 15 ottobre a Milano) è stato una preziosa reso maggiormente evidente il bisogno di una
occasione per fare il punto sui principali trend che struttura di risk management, così come di una
caratterizzano da un lato la percezione che si ha gestione della supply chain, che riconosca e sappia
oggi dei nuovi rischi, dall’altro lato, le principali ridurre l’esposizione di questa a potenziali effetti
misure di RM su cui è importante focalizzarsi. disruptive delle variabili ambientali, geopolitiche,
GLOBALIZZAZIONE, economiche e tecnologiche. Gli effetti sulle
DELOCALIZZAZIONI PRODUTTIVE, attività industriali ed economiche nazionali, ed
RISCHIO DA SUPPLY CHAIN E DA internazionali, relative ad esempio all’eruzione
INTERNAZIONALIZZAZIONE del vulcano islandese nel 2010 o al terremoto
Una delle aree che oggi sta suscitando maggior in Giappone nel 2011 sono diventati l’emblema
interesse è quella che riguarda i rischi relativi di come la produzione industriale possa venir
alla supply chain: le operations e le attività che influenzata sensibilmente dalla mancanza di
riguardano la gestione di quest’ultima stanno una strategia di gestione del rischio flessibile ed
infatti diventando sempre più sensibili alle adattiva.
dinamiche geopolitiche, ai disastri ambientali, ai E’ inoltre necessario ricordare come ad oggi la
prezzi delle commodities e alla reliance dei sistemi cosiddetta Global Supply Chain, ossia la diffusione
informativi e delle componenti tecnologiche, a di un modello di catena del valore delocalizzata
causa soprattutto dei fenomeni di globalizzazione, e su scala mondiale, sia una componente
internazionalizzazione e innovazione che hanno fondamentale non solo del sistema industriale,
interessato il comparto industriale negli ultimi ma anche dell’intera economia globale, della sua
vent’anni. In particolare, benché un crescente livello crescita, degli scambi internazionali e dei consumi
di sofisticazione stia rendendo le attività legate mondiali. Questo comporta un’ulteriore rilevanza
alla supply chain sempre più adattabili ai possibili del ruolo del risk management in relazione alle
attività della supply chain, in quanto strumento
Conference Paper The Innovation Group - Novembre 2013 1Evoluzioni del Risk Management
The Innovation Group
Innovating business and organizations through ICT
chiave che consente di gestire e in caso mitigare di diversificazione internazionale del business.
parzialmente le oscillazioni dell’economia globale. E’ inoltre importante effettuare un costante
Nel caso italiano sono attualmente percepiti come monitoraggio delle performance nei principali
sempre più urgenti rischi quali quelli relativi alle Paesi in cui si opera, al fine di assicurare un
attività e alle operazioni svolte al di fuori dei confini tempestivo allineamento delle attività pianificate
italiani: in un contesto di crescente instabilità con le necessità dei clienti e una rigida selezione
geopolitica, i rischi di mancato pagamento (rischio dei propri investimenti, ponendo quindi in essere
sovrano, bancario, imprese e PMI) e di instabilità procedure di valutazione dei potenziali ritorni e
normativa (trasferimento, esproprio, violazione della strategicità degli stessi.
contrattuale, conversione e trasferimento Un altro rischio rilevante è quello legato ai contratti
valutario) entrano oggi con maggiore insistenza a lungo termine con prezzo determinato dove un
nel portafoglio dei rischi dei CRO e delle aziende incremento non atteso dei costi sostenuti durante
italiane. Lo stesso discorso può essere tradotto la loro esecuzione potrebbe determinare una
anche all’interno dei confini del nostro paese, dal significativa riduzione della redditività o, in alcuni
momento che la persistente instabilità politica e casi, una perdita. Anche la gestione dei rischi di
finanziaria italiana, così come le rigidità normative e responsabilità nei confronti di clienti, o di terzi,
burocratiche, creano continue necessità di stima e connessi alla corretta esecuzione dei contratti
valutazione dei rischi derivanti, con la conseguente assume una valenza fondamentale nelle imprese
definizione di una strategia coerente. E’ indubbio che operano nei settori dell’alta tecnologia. Tali
infatti che l’ambiente italiano, oggi turbolento ed responsabilità, ad esempio, potrebbero essere
evidentemente instabile, comporta un continuo causate da un’eventuale ritardo o mancata
cambiamento delle probabilità di insorgenza dei fornitura dei prodotti/servizi oggetto del contratto,
fenomeni rischiosi e della loro rilevanza. da una potenziale non rispondenza degli
EVOLUZIONE DEI RISCHI IN stessi alle richieste del committente oppure da
CONTESTI INDUSTRIALI, STRATEGIE inadempienze o ritardi nella commercializzazione
DI TRASFERIMENTO DEL RISCHIO, e nella prestazione dei servizi post-vendita. A
APPROCCI INTEGRATI DI ENTERPRISE tal proposito, oltre a ricorrere a coperture di
RISK MANAGEMENT tipo assicurativo, è importante porre in essere
specifiche attività volte a identificare, valutare,
mitigare e monitorare i rischi e le incertezze legate
Intervista a: all’esecuzione dei contratti, come ad esempio
Gabriele Palandri, procedure di Lifecycle Management.
Actuary, Group Anche l’eventuale mancato rispetto della
Insurable compliance a specifiche normative rappresenta
Risks Manager, un rischio significativo per le aziende che
FINMECCANICA operano nell’ambito della progettazione, dello
sviluppo e della produzione di beni destinati al
settore della difesa. Tali prodotti, infatti, hanno
una particolare rilevanza in termini di tutela degli
interessi di sicurezza nazionale e, pertanto, la loro
Quali sono i rischi più importanti per
esportazione all’estero è soggetta all’ottenimento
una realtà industriale che opera, con
di specifiche autorizzazioni da parte delle autorità
presenza internazionale, nei settori
competenti. Il divieto, la limitazione o l’eventuale
dell’aerospazio e della difesa?
revoca (in caso, per esempio, di embargo o conflitti
L’universo dei rischi a cui sono esposte le realtà geopolitici) dell’autorizzazione per l’esportazione
industriali che operano nel settore dell’aerospazio dei prodotti potrebbe determinare effetti negativi
e della difesa è sicuramente molto ampio. rilevanti sull’attività e sulla situazione economica,
Innanzitutto le aziende di questo comparto, patrimoniale e finanziaria dell’azienda. Inoltre,
operando principalmente con clienti quali il mancato rispetto di tali normative potrebbe
istituzioni pubbliche e governi nazionali, sono comportare la revoca dei permessi. A tal proposito
fortemente dipendenti dai livelli di spesa di detti è opportuno monitorare costantemente la
organismi. E’ quindi opportuno porre in essere normativa di riferimento, subordinando l’avvio
modelli di business che permettano di far fronte delle azioni commerciali alla verifica del rispetto
alle contrazioni dei budget delle pubbliche delle limitazioni e all’ottenimento delle necessarie
amministrazioni, ricorrendo ad esempio a politiche autorizzazioni.
Conference Paper The Innovation Group - Novembre 2013 2Evoluzioni del Risk Management
The Innovation Group
Innovating business and organizations through ICT
Concludo ricordando che altri rischi rilevanti sono quelli legati modello comune di valutazione dei rischi e delle loro potenziali
al credit rating, alle fluttuazioni dei tassi di cambio, alla supply correlazioni, lasciando comunque la gestione operativa dei
chain, alla proprietà intellettuale, alla security, agli eventi naturali/
medesimi in capo alle singole funzioni aziendali (risk owner).
catastrofali e ambientali. E’ bene comunque sottolineare che affinché il processo di ERM
non sia sterile e fine a se stesso, una volta fissati gli obiettivi
Tra le possibili risposte al rischio, hanno grande
strategici dell’azienda, identificati e valutati i rischi che su
importanza quelle che vengono dalla possibilità
di essa insistono, si proceda fattivamente ad individuare ed
di trasferirlo: quale ritiene essere il migliore
implementare, di concerto con i risk owner, le opportune azioni
approccio da questo punto di vista?
di mitigazione monitorandole ed aggiornandole nel tempo.
La migliore strategia di trasferimento è quella che permette di
EMERGE IL RISCHIO REPUTAZIONALE
garantire un’adeguata copertura del rischio minimizzandone il
costo complessivo, sia che essa si realizzi attraverso strumenti Il rischio di immagine o rischio reputazione è spesso
assicurativi, finanziari o di Alternative Risk Transfer (ART). sottostimato, sia nelle imprese sia nel settore finanziario,
In particolare, definiti i livelli di risk appetite e risk tollerance nonostante sia diventato molto più semplice rispetto al passato
dell’azienda, è opportuno procedere diffondere notizie negative, a volte
ad una quantificazione storica del L’ERM ha il vantaggio anche false, sulle reti Social e nel
costo totale del rischio, ad una di definire un modello mondo digitale, quindi sfuggendo
valutazione delle coperture esistenti comune di valutazione dei a controlli di tipo tradizionale e
e ad una identificazione delle
potenziali soluzioni alternative al
rischi lasciando la gestione potenzialmente arrecando enorme
danno a un’impresa. Lo dimostrano
fine di individuare quella ottimale, operativa dei medesimi in casi riportati quotidianamente dai
anche attraverso l’utilizzo di metodi capo alle singole funzioni media, dal premier inglese Cameron
statistici non parametrici come ad es. aziendali (risk owner) (postato su Internet dalla cognata
il “Metodo Monte Carlo”. mentre stava dormendo con
Aggiungo che, prima di arrivare a definire la strategia ottimale documenti riservati sul letto) al danno d’immagine di recente
di trasferimento, è fondamentale aver effettuato una corretta subito dalla Barilla per responsabilità di una dichiarazione del suo
analisi dei rischi in azienda ed aver posto in essere tutte le stesso AD, che ha scatenato le reazioni sui siti Social dell’azienda.
possibili azioni di mitigazione e prevenzione.
Come affrontare in concreto gli aspetti di Il danno all’immagine o al brand è spesso un effetto collaterale
trasferimento assicurativo? Quali metodologie della mancanza di opportune policy e misure di controllo in
sono utilizzate? azienda, come spiegato nell’intervista che segue.
Dipende principalmente dalla dimensione dell’azienda e dal COME TENERE SOTTO CONTROLLO IL RISCHIO
volume di premi che essa genera sul mercato assicurativo. REPUTAZIONALE DELL’IMPRESA
Ovviamente più questo numero è importante maggiori sono
le soluzioni che un azienda può adottare, dal collocamento
tradizionale attraverso broker assicurativi, al collocamento diretto, Intervista a:
all’utilizzo di strutture captive (siano esse broker, compagnie Rudi Floreani,
di assicurazione o di riassicurazione). Come precedentemente Avvocato esperto
detto, l’importante è aver correttamente valutato le proprie di diritto delle
esposizioni e aver definito quanta parte di rischio si è disposti Assicurazioni,
a ritenere per poi procedere a definire la copertura ottimale e Uniparma
negoziarla al meglio con il mercato assicurativo. Assicurazioni
In generale, quali sono i vantaggi di un
approccio ERM (Enterprise Risk Management) e Quale definizione si dà oggi al Rischio
quali sono le indicazioni su come renderlo il più Reputazionale?
possibile efficace?
Warren Buffett sostiene che “ci vogliono vent’anni per costruirsi
Come è noto l’ERM è un processo attraverso il quale le una reputazione e cinque minuti per perderla”. La Banca d’Italia
organizzazioni affrontano i rischi legati alle loro attività con definisce il rischio reputazionale come “il rischio attuale o
l’obiettivo di ottenere benefici durevoli nell’ambito di ciascuna prospettico di flessione degli utili o del capitale derivante da
di esse preservando, nel lungo termine, la creazione di valore una percezione negativa dell’immagine della banca da parte di
economico e proteggendo le attività tangibili ed intangibili clienti, controparti, azionisti, investitori, Autorità di Vigilanza”.
degli stakeholder. A tal fine il processo ERM adotta un approccio La reputazione d’impresa, in qualsivoglia settore dell’economia
trasversale di risk management che ha il vantaggio di definire un essa operi, non è più considerata come un elemento astratto
Conference Paper The Innovation Group - Novembre 2013 3Evoluzioni del Risk Management
The Innovation Group
Innovating business and organizations through ICT
e sfuggente; per quanto fra le sue caratteristiche ovvero di norme di autoregolamentazione”
peculiari indubbia preminenza rivesta la sua (così ISVAP, circolare n. 20 del 26 marzo 2008).
difficile valutazione, essa è ormai trattata come
LE NUOVE MINACCE LEGATE AL
una risorsa ineliminabile e, pertanto, fondamentale
CYBER RISK
da gestire.
La reputazione può infatti esercitare una decisiva Un ruolo ancora parziale all’interno del panorama
influenza su molteplici variabili e contribuire, del Risk Management è attribuito oggi in Italia,
quindi, in misura significativa, se non determinante, così come a livello globale, al Cyber Risk, la cui
al successo di un’impresa o alla sua irreversibile gestione viene infatti lasciata interamente (o quasi)
disgregazione. Appare quindi senz’altro chiaro ai dipartimenti IT: questo fenomeno è attribuibile
come, tra i rischi da considerare nella definizione infatti sia a CIO eccessivamente protettivi nei
delle strategie aziendali, diventa insopprimibile confronti delle proprie competenze, sia nella
l’analisi del rischio reputazionale. sostanziale ignoranza delle tematiche tecniche
Facendo ricorso a definizioni il rischio reputazionale in ambito IT dei CRO. E’ comunque utile ricordare
può essere descritto come: l’inserimento alcuni anni fa, da parte del World
• un rischio di primaria importanza, potendo Economic Forum, del cyber risk tra i principali
determinare l’espulsione dell’impresa dall’arena rischi a cui oggi la società mondiale è sensibile
competitiva (delegittimazione da parte degli (o dovrebbe esserlo) abbia fatto particolare
stakeholder, consumatori o clienti); clamore e abbia portato all’attenzione dei risk
management il nuovo ruolo del rischio informatico.
• un rischio di secondo ordine, nelle fattispecie Lo scenario globale sulle minacce legate a Internet
nelle quali si manifesta come outcome di e all’ICT è in costante trasformazione. Da un lato
preliminari eventi sfavorevoli riconducibili a viene sottolineato da più fonti che i rischi sono in
rischi appartenenti ad altre categorie (rischio crescita e le minacce stanno cambiando natura,
operativo, legale, di compliance o strategico); responsabilità e target. Dall’altro lato, alcune nuove
• un rischio non (completamente) controllabile, tendenze che riguardano tutti, gli utenti, le aziende,
poiché il suo insorgere è intimamente i consumatori, obbligano i decisori aziendali a
connesso a fattori esterni ed indipendenti riconsiderare le proprie politiche e architetture di
rispetto all’operato dell’impresa (andamento security per riadattarle ai nuovi contesti. Il problema
del mercato in generale, crisi reputazionale di è che non basta dotarsi di misure di protezione,
settore etc.). bisogna essere pronti ad affrontare nel modo
corretto un’intrusione informatica, raccogliere
Quali sono le attività da attuare per prove, avere piani di risk&crisis management testati
ridurre i Rischi Reputazionali? e adeguati alle esigenze di “sopravvivenza” del
business. “Sappiamo che gli attaccanti agiscono
L’attività di audit sul rischio reputazionale e la
con un modello a più fasi - ha spiegato Davide
funzione di compliance consentono alle imprese
Gabrini, Sovrintendente della Squadra Reati
di tenere costantemente sotto controllo lo stato
Informatici della Procura di Milano, intervenendo
della propria reputazione attraverso strumenti
all’Evento Risk Management Evolution organizzato
che permettono di adottare tempestivamente
da TIG - Passano da un primo momento in cui
le contromisure opportune per ridurre il rischio
avviene l’infiltrazione (l’attaccante entra nei
reputazionale da rischio privo di qualsiasi controllo
sistemi dell’azienda), alla propagazione (l’attacco si
a rischio mitigabile.
dirige verso una specifica meta), all’aggregazione,
La gestione del rischio reputazionale non può
momento in cui l’attaccante comincia a raccogliere
essere attribuita esclusivamente alla funzione di
tutti i dati che gli intessano, fino all’uscita. Il
compliance. È tuttavia attribuito alla funzione di
tutto avviene spesso lasciando poche tracce e
compliance il presidio del rischio reputazionale
all’insaputa dei responsabili aziendali. Sappiamo
associato a eventi di non conformità: “Nell’ambito
anche che il grosso delle violazioni non viene
del sistema dei controlli interni, le imprese si
denunciato, in parte perché appunto “sommerse”
dotano, ad ogni livello aziendale pertinente,
o rilevate troppo tempo dopo, poi perché non si
di specifici presidi volti a prevenire il rischio di
vuole avere danni all’immagine dell’azienda, e in
incorrere in sanzioni giudiziarie o amministrative,
terzo luogo perché gli stessi responsabili IT cercano
perdite patrimoniali o danni di reputazione, in
di “sistemare il problema” senza troppo scalpore e
conseguenza di violazioni di leggi, regolamenti
senza ulteriori indagini”.
o provvedimenti delle Autorità di vigilanza
Conference Paper The Innovation Group - Novembre 2013 4Evoluzioni del Risk Management
The Innovation Group
Innovating business and organizations through ICT
L’incremento notevole nella frequenza, pericolosità, Alcuni accorgimenti che devono essere tenuti in
complessità degli attacchi informatici - in un considerazione sono legati alla necessità di limitare
momento in cui mancano di fatto prescrizioni e al minimo l’impatto delle attività successive al
regolamenti precisi su come attrezzarsi - dovrebbe dolo, evitando di nuocere l’acquisizione delle
portare le imprese a considerare il tema a tutto prove digitali, puntando quindi a non alterare lo
tondo, preparandosi ad affrontare incidenti e stato delle cose. Questo significa adottare misure
attacchi, predisponendo opportune misure di particolari per “isolare la scena del crimine” e in
detection, containement e recovery, e nel caso di generale utilizzare le procedure meno invasive.
incidenti, predisponendo azioni che permettono Inoltre, vale sempre la regola che ogni intervento
di effettuare analisi forensiche e quindi predisporre deve essere documentato nel dettaglio, per poter
azioni difensive. in un secondo tempo ricostruire la situazione e per
prevenire possibili contestazioni.
Un programma di Digital Forensics si inserisce in
DIGITAL FORENSICS E MISURE
questo contesto e lo completa, avendo il compito
DIFENSIVE MESSE IN ATTO DALLE
preciso di identificare, preservare, documentare i
AZIENDE
fatti, riguardanti i sistemi informativi dell’azienda, da
utilizzare in un momento successivo all’incidente,
in una fase quindi investigativa, come prove
dell’avvenuto attacco.
Intervista a
Incident Life-Cycle
Giuseppe Vaciago,
Avvocato
penalista esperto
in ICT Law1
Nella prassi di molte realtà aziendali italiane,
in queste circostanze, viene contattato
l’amministratore di sistema che, se da un lato può
essere in grado da un punto di vista tecnico di porre
Fonte: NIST Computer Security Incident Handling Guide, in essere le opportune verifiche e investigazioni
2012 preliminari, dall’altro lato potrebbe non avere le
competenze in ambito di Digital Forensics e quindi
“Gli scopi di un’analisi forense sono tipicamente rischiare di alterare una prova che invece potrebbe
quelli di confermare o escludere un evento – ha essere di fondamentale importanza in un futuro
quindi spiegato Davide Gabrini – cercando tutte giudizio.
le tracce e le informazioni utili che possono A livello legale sono ammissibili sia le indagini
circostanziarlo. La Digital Forensics si preoccupa difensive (introdotte dalla legge 397/00 e svolte
poi soprattutto delle modalità per acquisire da un legale esterno alla società) sia anche una
e conservare le tracce in modo idoneo, ossia più generica attività investigativa, volta comunque
garantendone l’integrità e la non ripudiabilità. a far valere un diritto in sede giudiziaria. Qualora
Sarà opportuno infine interpretare e correlare le sia necessario svolgere un’indagine difensiva
evidenze acquisite, per attribuirne la rilevanza, e su un’eventuale illecito commesso all’interno
poter riferire alle autorità sui fatti riscontrati”. della società è sicuramente preferibile, ove sia
consentito, adottare le indagini difensive previste
dal codice di procedura penale (art. 327-bis e 391-
Fasi di un’Analisi Forense bis e ss. c.p.p.).
1. Identificazione
2. Acquisizione/Preservazione
3. Analisi/Valutazione
4. Presentazione 1 - Da “Cybersecurity Market
Report”, aprile 2013,
The Innovation Group.
Conference Paper The Innovation Group - Novembre 2013 5Evoluzioni del Risk Management
The Innovation Group
Innovating business and organizations through ICT
Quali procedure di Digital Forensics devono tra cui:
prevedere le aziende per tutelarsi il più • Software di data recovery: consentono il recupero dei dati
possibile contro eventuali illeciti? presenti, cancellati o danneggiati da memorie di massa.
A livello tecnico le 4 regole fondamentali su cui si fonda la Digital • Software di data carving: permettono la ricostruzione, ove
Forensics sono: possibile, di un file danneggiato attraverso il recupero di
• Integrità del dato: quando si effettua un’indagine su un porzioni dello stesso file.
dato digitale (da una singola email, all’intero contenuto del
server di una società), è importante garantire che la prova sia
• Software di packet-sniffing: permettono di svolgere
un’attività di intercettazione passiva dei dati che transitano in
autentica e non modificata.
una rete telematica.
• Affidabilità: tale requisito viene soddisfatto quando il sistema Tali attività possono essere svolte sia per scopi legittimi (ad
informatico nel suo complesso è sicuro. In questo caso, le esempio l’analisi e l’individuazione di problemi di comunicazione
informazioni prodotte possono anch’esse essere considerate o di tentativi di intrusione) sia per scopi illeciti (intercettazione
ragionevolmente degne di fiducia. fraudolenta di password o altre informazioni sensibili). Ne
• Catena di custodia (Chain of custody): come avviene nelle consegue che, come sempre, è opportuno valutare quali siano
indagini tradizionali, tracciare la catena di custodia - ossia i limiti previsti dalla legge italiana all’utilizzo di questi strumenti.
fornire evidenza dei vari passaggi che ha fatto il singolo Esistono limiti legali ai controlli e alle misure
dato digitale - è essenziale per garantire la massima “tenuta” preventive che possono essere predisposte in
durante l’eventuale giudizio. azienda?
• Protezione fisica dei dati: tutti i dati recuperati dal sistema L’uso (che talvolta sfocia in abuso) dell’informatica nel contesto
compromesso devono essere assicurati fisicamente in un aziendale genera non solo i classici rischi ormai noti anche
luogo sicuro all’interno dell’azienda o anche all’esterno della ai non addetti al lavoro (dagli attacchi informatici volti allo
realtà aziendale. spionaggio industriale, al furto o al
Si raccomandano in particolare le Il datore di lavoro deve danneggiamento dei dati digitali), ma
seguenti azioni: predisporre e pubblicizzare comporta sempre di più la necessità
• Copia Bit-stream: prima di iniziare una policy interna rispetto di adottare modelli organizzativi in
grado di prevenire la commissione
ogni tipo di indagine è opportuno al corretto uso degli di cyber crimes o di reati comunque
procedere ad una copia bit-stream
del supporto di memorizzazione. strumenti informatici e agli connessi all’uso delle nuove
La copia bit-stream è una sorta eventuali controlli tecnologie.
di “clonazione” del supporto di Il rispetto delle misure di sicurezza
memorizzazione che preserva anche l’allocazione fisica dei previste dal Codice Privacy, non è sempre sufficiente a garantire
singoli file oltre che la loro posizione logica. una vera protezione e diventa necessario adottare procedure e
utilizzare strumenti in grado di controllare ogni tipo di anomalia
• Impronta di Hash: è una funzione univoca operante in un all’interno del sistema informatico. Tali strumenti di controllo
solo senso (ossia, non può essere invertita), attraverso la quale possono prevedere ad esempio le seguenti attività:
un documento di lunghezza arbitraria è trasformato in una
stringa di lunghezza fissa, relativamente limitata. Tale stringa,
• Monitoraggio della navigazione Web, compreso l’utilizzo di
social network.
che rappresenta una sorta di “impronta digitale” del testo
in chiaro, è definita valore di Hash o Message Digest. Sta a • Controllo dei messaggi di posta elettronica effettuati dal
indicare qualsiasi eventuale alterazione del documento anche dipendente nell’esercizio della sua attività lavorativa.
minima, perché in tal caso si ha una modifica dell’impronta.
In altre parole, calcolando e registrando l’impronta, e
• Clonazione dell’hard disk del dipendente, al fine di verificare
la commissione di un eventuale illecito.
successivamente ricalcolandola, è possibile dimostrare se
i contenuti di un file, oppure del supporto, hanno subito o Tali tipologie di controllo, tuttavia, devono avvenire nel rispetto
meno modifiche, anche solo accidentali. della normativa in vigore a tutela della privacy dei lavoratori.
Molto spesso, infatti, accade che i controlli eccedano i limiti
Quali sono le caratteristiche principali degli previsti dagli articoli 4 e 8 dello Statuto dei Lavoratori richiamati
strumenti software di Digital Forensics? dagli articoli 113 e 114 del Codice Privacy. Per questo motivo, il
Garante della Privacy ha richiesto che il datore di lavoro rispetti
I software più utilizzati per svolgere attività di Digital Forensics
i seguenti principi:
possono essere facilmente reperiti in rete sia in versione open
source sia closed source. Prevedono numerosi strumenti di • Necessità: i sistemi informativi e i programmi informatici
particolare utilità per le attività di monitoraggio e di sorveglianza, devono essere configurati riducendo al minimo l’utilizzazione
di dati personali e identificativi dei dipendenti.
Conference Paper The Innovation Group - Novembre 2013 6Evoluzioni del Risk Management
The Innovation Group
Innovating business and organizations through ICT
• Correttezza: le caratteristiche essenziali tramite la tastiera di un personal computer
dei trattamenti devono essere rese note ai (keylogger).
lavoratori.
• Analisi occulta di computer portatili affidati in
• Pertinenza e non eccedenza: i trattamenti uso al dipendente.
devono essere effettuati per finalità determinate, Tuttavia, nel momento stesso in cui ricorrano i
esplicite e legittime (ad esempio per scopi presupposti dell’esercizio legittimo di un diritto in
difensivi, in caso di illecito commesso ai danni sede giudiziaria (c.d. “controllo difensivo”), il datore
di una società). di lavoro può, in casi eccezionali, superare i divieti
Il datore di lavoro deve anche adottare le seguenti sopracitati a patto che:
misure di tipo organizzativo: • Sia stato stipulato un accordo con le
• Indicare chiaramente e in modo rappresentanze sindacali o, in assenza di questo,
particolareggiato, quali siano le modalità di con l’ispettorato del lavoro (art. 4 Statuto dei
utilizzo degli strumenti messi a disposizione e Lavoratori) circa le modalità del controllo.
con quali modalità vengano effettuati controlli.
• Sia in grado di dimostrare che lo strumento
• Predisporre e pubblicizzare una policy interna di controllo utilizzato fosse da ritenersi
rispetto al corretto uso degli strumenti indispensabile, nel senso di costituire l’ultima
informatici e agli eventuali controlli da risorsa utilizzabile al fine di evitare danni o
sottoporre ad aggiornamento periodico. pregiudizi agli interessi dell’impresa, di terzi o
• Predisporre un’adeguata informativa ai sensi
degli stessi lavoratori.
dell’art. 13 del Codice Privacy con la quale Alla luce di quanto descritto, si può concludere
avvisare il dipendente circa l’attività di controllo che le indicazioni fornite dal Garante della Privacy
alla quale è soggetto. in tema di controllo “tecnologico” del dipendente
non rendono sempre facile lo svolgimento di
In ogni caso, il datore di lavoro non può procedere
un’attività di internal investigation compliant da
in modo sistematico ai seguenti controlli:
un punto di vista legale. Tuttavia, è anche vero che
• Lettura e registrazione dei messaggi di posta la prova raccolta violando le disposizioni in materia
elettronica, al di là di quanto tecnicamente di privacy, potrà comunque essere utilizzata sia per
necessario per garantire il servizio e-mail fini disciplinari nei confronti del dipendente, sia in
aziendale. sede giudiziaria per instaurare un procedimento
• Riproduzione ed eventuale memorizzazione civile o penale.
delle pagine web visualizzate dal lavoratore.
• Lettura e registrazione dei caratteri inseriti
... ED EVOLUZIONE DEL RISK MANAGEMENT
Il processo di sviluppo della disciplina del Risk un’ulteriore svolta nel ruolo e nei compiti del
Management ha subito negli ultimi anni una Risk Management, sullo sfondo di uno scenario
sostanziale accelerazione, passando da una in cui i profili di rendimento hanno mostrato un
visione fondamentalmente assicurativa, ad una sostanziale discostamento tra profili di rendimento
maggiormente gestionale. Se infatti in una fase e profili di rischio delle aziende e delle loro
iniziale, all’interno delle aziende, il rischio veniva strategie.
percepito come sostanzialmente negativo (down Inoltre, i cambiamenti che hanno caratterizzato
side risk) per i risultati e i rendimenti della stessa, negli ultimi anni il patrimonio aziendale delle
e dunque da assicurare, l’esperienza e le best imprese e il loro valore (passato da essere
practice hanno dimostrato come il termine rischio sostanzialmente materiale a immateriale) hanno
possa avere anche una valenza positiva (upside fatto sì che le minacce in grado di attaccare tale
risk), in quanto abilitatore di opportunità e creatore patrimonio, così come le dinamiche di gestione
di valore. dei rischi derivanti da tali minacce, si modificassero
Le crisi finanziarie e del credito sovrano che dal con esso. In quest’ottica, quindi, anche il paradigma
2007 hanno attraversato le economie mondiali, del risk management sta passando da una logica
e soprattutto quelle europee, hanno segnato materiale ad una immateriale, dimostrando di
Conference Paper The Innovation Group - Novembre 2013 7Evoluzioni del Risk Management
The Innovation Group
Innovating business and organizations through ICT
essere sempre più attento ai nuovi rischi relativi finanziamento del rischio: in particolare, oggi
alle componenti intangibili dell’azienda. i principali strumenti per il finanziamento del
Oggi il risk management, in qualsiasi area e settore rischio all’interno delle aziende italiane sono
venga applicato, è considerato una parte centrale sostanzialmente strumenti assicurativi. Al contrario,
nei processi di creazione di valore delle imprese, l’utilizzo di strumenti finanziari più complessi (e in
fermo restando il suo inserimento in una logica di alcuni casi creativi) per fronteggiare le necessità
gestione istituzionalizzata e flessibile. Tra le aree dei nuovi rischi emergenti dimostrano ad oggi
di questa disciplina, che sono state più di recente di essere scarsamente utilizzati in Italia, sia per la
oggetto di miglioramenti, emergono nuove mancanza di un’effettiva offerta in tal senso, sia
tecniche e standard di valutazione dei rischi e dei per una scarsa informazione ed educazione della
loro effetti, quali ad esempio lo stress- testing, ossia domanda.
una tecnica di simulazione finalizzata allo studio
COMPLIANCE ALLE NORME E RISK
delle conseguenze di condizioni di rischio sia
MANAGEMENT
contenute (Sensitivity Analysis) sia estreme (Stress
Tests). Oggi, pur in presenza di un contesto normativo
Facendo riferimento alla sfera dei rischi assicurabili, complesso, la Legge 231 del 2001 e i successivi
il processo che vede oggi coinvolte le strutture di aggiornamenti rimangono il principale riferimento
gestione dei rischi all’interno di un’azienda prevede per quanto riguarda i controlli che devono essere
sostanzialmente tre passaggi, contestualizzati predisposti in azienda sul fronte dell’identificazione
nel panorama dei più generali obiettivi strategici e mitigazione del rischio-reato (tra cui anche quelli
delle imprese, e degli strumenti al di fuori di esse informatici), i rischi operativi, strategici, finanziari
che possono fungere da supporti esterni alle (di credito e liquidità), ambientali, di sicurezza dei
dinamiche di finanziamento dei rischi. Questi tre lavoratori. Anche di recente nuovi reati sono entrati
step sono: a far parte del Dlgs 231 (delitti sulla privacy, frode
i. Analisi del rischio, che a sua volta prevede informatica con sostituzione d’identità, indebito
una fase di identificazione del rischio, una di utilizzo e falsificazione di carte di credito) con il Dl
descrizione e una di stima di questo; 93 del 14 agosto 2013.
A fronte quindi di un’identificazione sempre
ii. Valutazione del rischio; più ampia di responsabilità, le aziende rischiano
iii. Trattamento del rischio, che sulla base dei sanzioni pecuniarie forti a meno che i loro vertici
risultati riscontrati nelle fasi precedenti di stima possano dimostrare di aver predisposto un sistema
e valutazione può portare alla decisione di interno di prevenzione degli illeciti, un opportuno
evitare, mitigare o finanziare un determinato modello di mappatura delle aree di rischio,
rischio; controlli, vigilanza, formazione dei dipendenti e
quant’altro.
Nel caso dei rischi assicurabili, è evidente che
Il sistema interno per evitare o contrastare i reati
la scelta preferenziale è, per definizione, quella
(MOG, modello organizzativo).
che comporta l’adozione di una strategia di
OBIETTIVI STRATEGICI
ANALISI DEL RISCHIO
Identificazione
Descrizione
Stima
VALUTAZIONE DEL RISCHIO
TRATTAMENTO DEL RISCHIO
RISK AVOIDANCE RISK MITIGATION RISK FINANCING
ART INSURANCE FINANCIAL
INSTRUMENT
Conference Paper The Innovation Group - Novembre 2013 8Evoluzioni del Risk Management
The Innovation Group
Innovating business and organizations through ICT
Normativa “231”: quali gli nel senso che il Decreto viene periodicamente
aggiornamenti più recenti, cosa aggiornato dal legislatore, ampliando il novero
cambia per le aziende, quali sono i dei reati-presupposto che possono far sorgere
nuovi di rischi da controllare? la responsabilità amministrativa dell’ente.
Così, se all’inizio il rischio-reato da gestire era
Intervista a: essenzialmente limitato ai rapporti con la
Patrizia Ghini, pubblica amministrazione, coinvolgendo di fatto
Dottore un numero relativamente limitato di imprese
Commercialista, (in pratica, quelle che partecipavano ad appalti
Esperta in pubblici), attualmente detto rischio è decisamente
consulenza più ampio, interessando la generalità delle imprese
direzionale e societarie. Basti pensare ai più recenti rischi-
organizzazione reato da gestire, che riguardano, ad esempio,
aziendale, Anorc le violazioni della normativa antinfortunistica
e di quella ambientale. La compliance “231” è
Dall’evoluzione del contesto
diventata sicuramente più complessa e coinvolge
normativo negli ultimi anni quali
trasversalmente praticamente tutti i processi
considerazioni possono essere tratte
aziendali.
in relazione al tema dei controlli
nell’ambito delle attività d’impresa?
Aggiornare il Modello organizzativo “231”
Le normative emanate dal 2000 in avanti
evidenziano un’attenzione crescente del legislatore 1. Mappatura delle aree a Rischio
al tema dei controlli societari. Lo stimolo, in Italia
2. Aggiornamento dei protocolli di controllo
come in altri Paesi, almeno in parte va ricondotto
ad avvenimenti di cronaca economico-finanziaria, 3. Adeguamento del sistema di prevenzione
che hanno messo in risalto la gravità e vastità 4. Analisi della probabilità di nuovi reati
dell’impatto anche sociale di illeciti amministrativi
compiuti in attività aziendali nella moderna Con riferimento al settore bancario,
economia globale. quali sono i riferimenti specifici e
Così, al fine di arginare il ripetersi di simili episodi di quali le best practice che possono
criminalità d’impresa, sono state via via introdotte essere adottate?
norme generali e settoriali volte a rafforzare i
controlli societari. Dalla normativa Draghi, alla Per le banche ci sono specifici vincoli dettati dalle
riforma del diritto societario, passando per la direttive dell’Autorità di Vigilanza. In particolare
responsabilità amministrativa degli enti e le sono da considerare le disposizioni in tema di
normative su market abuse e market manipulation, sistema dei controlli interni, di recente modificate
fino alla c.d. legge sul risparmio e ai Codici di dopo una lunga consultazione pubblica.
autodisciplina per le società quotate, abbiamo Come si stanno muovendo le imprese
così assistito ad una convulsa evoluzione del italiane e quali sono i suggerimenti
“sistema dei controlli”. L’intervento regolamentare per ottimizzare – contenendo i costi e
è stato, tuttavia, asistematico, conducendo a una organizzandosi nel modo migliore – i
proliferazione di organi e organismi di controllo controlli sui rischi?
e connessi processi, che, spesso, finiscono col
sovrapporsi, creando possibili inefficienze e Da un lato si avverte maggiormente e in maniera
accrescendo i costi, senza che appaia sempre più generalizzata l’esistenza di un rischio-reato,
chiaro quale sia il reale valore aggiunto che dall’altro, tuttavia, il perdurare della crisi economica
forniscono all’impresa, agli stakeholders e alla spinge al taglio dei costi. Gli obiettivi di gestione
comunità in generale. de rischi e del contenimento dei costi sembrano,
in prima battuta, in contrasto tra loro.
Nello specifico della normativa “231”, La gestione del rischio, infatti, richiede attività
quali sono gli aggiornamenti più che hanno inevitabilmente un costo, sia in termini
recenti e cosa cambia per le aziende di denaro che di valore tempo. Tuttavia, è utile
in termini di compliance? Quali sono i considerare che al concetto di rischio è associato il
nuovi di rischi da controllare? possibile impatto negativo di un certo evento sulla
La disciplina di cui al DLgs 231 del 2001 è dinamica, gestione aziendale. Tale impatto negativo a sua
Conference Paper The Innovation Group - Novembre 2013 9Evoluzioni del Risk Management
The Innovation Group
Innovating business and organizations through ICT
volta può consistere in una perdita o in maggiori razionalizzazione del sistema dei controlli, in modo
costi. In effetti, quindi, dalla corretta gestione da renderli effettivi e allo stesso tempo adeguati
del rischio può derivare, in ultima istanza, una alle dimensioni e alla complessità del business
complessiva riduzione dei costi gestionali, ordinari (oltre che, ovviamente, rispettare le disposizioni
e straordinari. normative e regolamentari), evitando sia aree
Detto risultato sembra passare per una grigie che sovrapposizioni e ridondanze.
EVOLUZIONE DEL RISK MANAGEMENT NEL
SETTORE BANCARIO
Nel corso delle loro operazioni, le banche sono di procedure, risorse umane o sistemi interni,
sempre di fronte a diverse tipologie di rischio oppure da eventi esogeni tra i quali rientra il
che possono avere un effetto potenzialmente cyber risk e il rischio legale.
negativo sullo svolgimento della propria attività.
La gestione del rischio nel settore bancario include
• Rischio di reputazione: rischio di percezione
negativa dell’immagine della banca da parte dei
pertanto l’identificazione dei rischi, ovvero una
suoi stakeholders interni ed esterni.
sua definizione, misurazione e valutazione, con
l’obiettivo di minimizzare gli effetti negativi legati • Rischio strategico: rischio di perdite causate da
a tali rischi che possono incidere negativamente una carenza di visione di lungo periodo nella
sul risultato finanziario e patrimoniale complessivo. gestione della banca, traducibili in decisioni
Di conseguenza, una efficacie gestione del aziendali errate o inadeguatezza nell’attuazione
rischio è condizione necessaria per garantire una delle decisioni di fronte alle pressioni competitive
generazione di valore affidabile e sostenibile, in un esterne.
contesto di rischio controllato, proteggendo così la Il rischio di credito, unitamente al rischio di mercato
solidità finanziaria e la reputazione d’impresa. ed al rischio operativo, è diventato di grande attualità
Nello specifico, i principali rischi a cui una banca è soprattutto in seguito agli accordi di Basilea, accordi
tipicamente esposta nel corso delle proprie attività internazionali tra i governatori delle banche centrali
sono rappresentati da: dei paesi G10, in vigore dal gennaio 2007.
• Rischio di liquidità: incapacità da parte della Già a partire dalla fine degli anni Novanta le grandi
banca di rispettare gli impegni di pagamento alle banche italiane hanno avviato, soprattutto in
scadenze a causa della difficoltà di reperire fondi occasione delle operazioni di consolidamento,
(“funding liquidity risk”) o di liquidare attività sul importanti progetti volti al rafforzamento dei sistemi
mercato (“asset liquidity risk”). e delle procedure di risk management. Tale revisione
• Rischio di credito: rischio per cui, nell’ambito di degli assetti e dei processi organizzativi legati
alla gestione del rischio si è poi necessariamente
un accordo di credito, un debitore non assolva
rafforzata con l’entrata in vigore della disciplina
anche solo in parte ai suoi obblighi di rimborso
prudenziale di Basilea II e con l’adozione delle
del capitale e/o al pagamento degli interessi al
metodologie avanzate per il calcolo dei requisiti
suo creditore.
patrimoniali. Coerentemente con i criteri esposti
• Rischio di mercato: probabilità di ottenere negli accordi di Basilea, le banche sono quindi
dalle operazioni di negoziazione di strumenti tenute a formare una unità organizzativa speciale
finanziari un rendimento diverso da quello atteso. incaricata della gestione del rischio. Inoltre, sono
Il rischio di mercato si traduce nella perdita o tenute a prescrivere ed esplicitare le procedure per
nel guadagno potenziali di una posizione o di l’identificazione dei rischi, ovvero loro misurazione
un portafoglio di titoli suscettibili di variazioni e valutazione, nonché le procedure per la relativa
funzioni delle principali variabili di mercato, tra gestione. Il rischio di credito dei clienti, secondo tali
le quali si annoverano le oscillazioni dei tassi di accordi, deve essere riclassificato e calcolato dalle
interesse, dei tassi di cambio, del prezzo delle banche per garantire la stabilità e la solidità del
materie prime. sistema bancario; gli accordi definiscono pertanto
• Rischio operativo: rischio di subire perdite
requisiti patrimoniali minimi (“Primo Pilastro”) ed
impongono un processo di controllo prudenziale
derivanti dall’inadeguatezza o dalle disfunzioni
Conference Paper The Innovation Group - Novembre 2013 10Evoluzioni del Risk Management
The Innovation Group
Innovating business and organizations through ICT
(“Secondo Pilastro”). Le modalità con cui le banche o unità di business, entità giuridiche.
i gruppi bancari italiani devono fornire al pubblico le L’Accordo di Basilea III, finalizzato nel dicembre 2010,
informazioni, definite sinteticamente “Terzo Pilastro”, rappresenta il passo più significativo del menzionato
sono state stabilite dalla Banca d’Italia con la Circolare processo di riforma. Con l’espressione Basilea III si
n. 263 del 27 dicembre 2006: “Nuove disposizioni di indica un insieme di provvedimenti approvati dal
Vigilanza prudenziale per le banche”(Allegato A, Comitato di Basilea per la vigilanza bancaria in diretta
Titolo IV). risposta alla crisi finanziaria del 2007-08; l’intento
La crisi finanziaria 2007-2008 e le conseguenti di tale revisione è consistito nel perfezionamento
ricadute sulla stabilità finanziaria degli istituti di della preesistente regolamentazione prudenziale
credito ha successivamente messo in crisi tale contenuta nelle disposizioni di Basilea II, oltre che
impostazione, evidenziandone i limiti e le criticità. nell’efficientamento dell’azione di vigilanza e della
Le linee di azione delle autorità, sia nazionali sia capacità degli intermediari di gestione del rischio. Le
internazionali, in risposta alla crisi finanziaria sono nuove regole introdotte con Basilea III definiscono
state indirizzate anzitutto lungo due direttrici: da un nello specifico nuovi standard internazionali per
lato, l’attuazione di misure coordinate a sostegno l’adeguatezza patrimoniale delle banche e nuovi
della tenuta del sistema finanziario internazionale vincoli di liquidità (si vedano al riguardo le fasi di
(come ad esempio dimostrato dagli interventi “non applicazione, in decorrenza ogni 1° gennaio, dei
convenzionali” delle banche centrali per garantire nuovi requisiti riportati in Tabella 1). Le riforme sono
al sistema la necessaria liquidità). Dall’altro lato, la ascrivibili a due ordini di principio:
realizzazione di una profonda riforma delle regole
della finanza, che correggesse le evidenti lacune
• Microprudenziali, ossia riguardanti la
regolamentazione a livello di singolo istituto
mostrate dal quadro regolamentare previgente.
bancario; queste riforme intendono rafforzare
La riforma della finanza ha confermato la centralità
la resistenza dei singoli istituti bancari alle fasi di
di una corretta valutazione dei rischi da parte
stress, crisi o stagnazioni;
delle banche. Ad esempio, le nuove regole per
la misurazione dei rischi di controparte e del • Macroprudenziali, ossia riguardanti i rischi a livello
trading book, che dovrebbero contribuire alla di sistema che possono accumularsi nel settore
quantificazione dell’attivo ponderato per il rischio bancario, nonché l’amplificazione prociclica di
al denominatore dei ratios patrimoniali, mirano tali rischi nel tempo.
a catturare, con maggiore accuratezza rispetto La Banca d’Italia a tal proposito ha diffuso, in data
al passato, importanti fattori di rischiosità. Al 3 luglio 2013, un comunicato stampa contenete le
contempo, il G20 ha invitato le autorità di Vigilanza
“Nuove disposizione di vigilanza prudenziali per
nazionali a richiedere alle banche un rafforzamentole banche”3. La nuova disciplina si ispira ad alcuni
del complessivo sistema di gestione dei rischi. basilari principi di fondo: il coinvolgimento dei vertici
Importanti indicazioni sono state fornite, tra gli aziendali, la visione integrata dei rischi, l’efficienza e
altri, dal Senior Supervisory Group, dal Comitato di
l’efficacia dei controlli, l’applicazione delle norme
Basilea e dalla European Banking Authority. in funzione della dimensione e della complessità
Gli orientamenti complessivamente emersi si operativa delle banche.
muovono lungo tre direttrici2: In sintesi, il presidio dei rischi è un processo
1. Organizzativa: alla visione tradizionale di unità
complesso e sempre più strategico, il quale coinvolge
organizzativa dedicata al “controllo di secondoil management a più livelli e una molteplicità di
funzioni aziendali; esso si articola in diverse fasi,
livello” deve affiancarsi la concezione di “processo
aziendale” che sia capace di coinvolgere ugualmente rilevanti e fortemente integrate.
pienamente tutta la struttura dell’azienda, Un’adeguata misurazione, che presuppone
dall’unità commerciale agli organi di vertice; anzitutto una accurata definizione dei rischi sia per
tipologia sia caratteristiche, deve essere considerata
2. Funzionale: il ruolo del risk management deve
necessaria ad una efficace gestione che, a sua volta,
aumentare la propria centralità all’interno dei
deve delineare le corrette politiche di controllo,
processi strategici e al controllo di gestione,
mitigazione e prezzamento del business bancario.
promuovendo una logica di “redditività corretta
2 - http://www.astrid-online.
per il rischio”; it/Dossier--d1/Italia----/Studi-
-ric/Tarantola_10_11_11.pdf
3. Contenutistica: l’approccio per “silos”, centrato michele.ghisetti@theinnovationgroup.it
cioè su singoli profili di rischiosità, deve 3 - http://www.bancaditalia.
evolvere in una visione “olistica” dell’esposizione i t / v i g i l a n z a /n o r m a t i v a /
complessiva, attenta alle interazioni tra rischi, norm_bi/circ-reg/vigprud
Conference Paper The Innovation Group - Novembre 2013 11Evoluzioni del Risk Management
The Innovation Group
Innovating business and organizations through ICT
Basilea III - Fasi di applicazione.
Fasi 2013 2014 2015 2016 2017 2018 2019
Indice di leva (leverage ratio) Sperimentazione dal 1° gennaio 2013 - 1° gennaio 2107 Migrazione al
informativa dal 1° gennaio 2015 primo pilastro
Requisito minimo per il common equity 3,5% 4,0% 4,5% 4,5%
Buffer di conservazione del capitale 0,625% 1,25% 1,875% 2,5%
Requisito minimo per il common equity più buffer
3,5% 4,0% 4,5% 5,125% 5,75% 6,375% 7,0%
di conservazione del capitale
Capitale
Applicazione delle deduzioni dal CET1* 20% 40% 60% 80% 100% 100%
Requisito minimo per il patrimonio di base (Tier 1) 4,5% 5,5% 6,0% 6,0%
Requisito minimo per il patrimonio totale 8,0% 8,0%
Requisito minimo per il patrimonio totale più
8,0% 8,625% 9,25% 9,875% 10,5%
buffer di conservazione del capitale
Strumenti di capitale non più computabili nel
Esclusione su un arco di 10 anni con inizio dal 2013
non-core Tier 1 o nel Tier 2
Liquidity coverage ratio - requisito minimo 60% 70% 80% 90% 100%
Liquidità
introduzione
Net stable funding ratio requisito
minimo
* Compresi gli importi eccedenti il limite per le attività per imposte (DTA), i diritti relativial servicing dei mutui ipotecari (MSR) e gli investimenti in istitutuzioni finanziarie.
Periodi di transizione.
Fonte: Comitato di Basilea per la vigilanza bancaria - http://www.bis.org/bcbs/basel3_it.htm
NUOVE SFIDE INCONTRATE sistemi di ricognizione dei rischi che si basano sulla
DALLE BANCHE NELLA GESTIONE raccolta di perdite operative, indicatori di rischio
DEL RISCHIO OPERATIVO, ed analisi di scenario. La sfida oggi consiste nella
REPUTAZIONALE E DEL CYBER RISK. capacità di utilizzare tali informazioni in senso
previsionale (c.d. “forwardlooking approach”):
obiettivo è la prevenzione dei fenomeni di rischio
al fine di attivare tempestivamente misure di
Intervista a:
contenimento e/o trasferimento del rischio.
Gabriele
Da un punto di vista metodologico la ricerca volge
Maucci, Head
al perfezionamento della stima di “perdita attesa”
of Operational
per legarle a classi di prodotti/servizi/mercati più
& Reputational
vicini al linguaggio parlato dai “risk owners”. Per le
Risks Strategies,
analisi di scenario, critica è la capacità di identificare
UNICREDIT
le “story lines”: queste devono basarsi su adeguate
ipotesi di stress del sistema interno dei controlli e/o
dei fattori ambientali (es: nuove prassi commerciali,
Quali sono le principali sfide che
nuove tecnologie, nuova regolamentazione…).
incontra oggi una banca nella
Infine cruciale è il collegamento con il “processo di
gestione del Rischio Operativo e
budget” sia in termini di definizione di appetito al
Reputazionale?
rischio che in termini di “ambizioni” economiche e
Le Banche che adottano sistemi di misurazione patrimoniali; il c.d. “Risk Appetite” deve esplicitare il
avanzati (AMA – Advanced Model Approach) – rischio operativo, anche mediante l’identificazione
nell’ambito del framework regolamentare degli di “statements” qualitativi; gli obiettivi commerciali
accordi di Basilea – hanno a disposizione robusti ed i progetti di trasformazione, che potrebbero
Conference Paper The Innovation Group - Novembre 2013 12Puoi anche leggere
