La trasformazione del rischio operativo negli Istituti di Credito - la sfida della Sicurezza su come affrontare i nuovi e vecchi rischi - Security ...

 
La trasformazione del rischio operativo negli Istituti di Credito - la sfida della Sicurezza su come affrontare i nuovi e vecchi rischi - Security ...
La trasformazione del rischio operativo negli Istituti di
Credito – la sfida della Sicurezza su come affrontare i
                  nuovi e vecchi rischi

             Security Summit, Milano, 15 marzo

          Beozzi Marco Giuseppe – Business Continuity Manager BSI
Etimologia di “rischio”

• Non é chiaro se la parola rischio derivi dal latino
  “risicum” o dalla parola araba “risq” o “rizq”.

  Entrambi i termini rappresentano un evento fortuito,
  ma il primo caso descrive l‟ infrangersi di una
  imbarcazione su uno scoglio, e quindi ha una
  accezione prettamente negativa, mentre il
  secondo caso significa “l‟opportunità data dal
  Signore” e quindi con una connotazione positiva.

                   Security Summit, Milano, 15 marzo          2
Evoluzione della definizione di RO

• BASEL I 1999 – “Exposure to uncertainty of results due to events
  not related to credit nor market risk”

• BASEL II 2001 – “Operational risk is the risk of loss resulting from
  inadequate or failed internal processes, people and systems or
  from external events.
  (This definition includes legal risk, but excludes strategic and
  reputational risk)”.

                        Security Summit, Milano, 15 marzo            3
Esempi classici di RO

• Rischi connessi a errori umani e/o di processo
• Rischi connessi a perdite derivanti da inadeguati
  sistemi di controllo interno
• Rischi derivanti da carenze dei sistemi informativi o
  eventi catastrofici
• Rischi che danno origine a perdite impreviste, al
  mancato conseguimento di profitti
• ….

                   Security Summit, Milano, 15 marzo          4
Metodologie per i Rischi Operativi

Elementi base
                                              Business      Conoscenza
                                                            dei Processi
                                        Processi      Processi

           1.
             Perdite Effettive              SottoprocessiSottoprocessi        Area analisi Indicatori
                                                                                    di Rischio
                       Perdite Inattese                                     KRI’s
 Perdite   Bench-     2.
Database    mark                                                                                  Dati
                       Perdite attese
                      3.                                                                        Operativi
   Gestione                                                                 KCI’s
    Perdite
                Risk                       Misure di
              Overview                    controllo e         Definire
                                          Prevenzione         Misure

                             Effetti                                            Effetti
                                                   Implementazione

                                                   Gestione Misure

                                        Security Summit, Milano, 15 marzo                                   5
PO: definizione

Per perdita operativa si intende una perdita
derivante da fallimenti o inadeguatezza dei
processi interni, dovuti sia a risorse umane
sia a sistemi tecnologici, oppure derivanti
da eventi esterni.

              Security Summit, Milano, 15 marzo                6
PO: definizione

• In sostanza si tratta di perdite che scaturiscono da
  eventi imprevisti (malfunzionamenti dei sistemi
  informativi, violazioni dei sistemi di sicurezza, errori del
  personale, malversazioni, frodi, rischi legali, …);
• Si tratta dunque di perdite influenzate da fattori
  numerosi e difficilmente quantificabili.
• La conoscenza delle perdite operative (PO) è quindi
  uno strumento importante (ma come vedremo non
  sempre sufficiente) per una corretta gestione dei RO.

                      Security Summit, Milano, 15 marzo                7
Processo di simulazione
Probabilità

                     Distribuzione
                     della frequenza

                                                                        Probabilità
                                                                                      media
              1   2 3 4        5 6
                  Numero dei eventi

                      Distribuzione
Probabilità

                      della severità
                                                                                              Ammontare

                  Grandezza della perdità (CHF)

                                         Security Summit, Milano, 15 marzo                           8
Funzione di densità delle perdite

                 Perdita attesa       Perdita inattesa                        Perdita estrema
Probabilità

                                                              99,9%
                            media                        intervallo di
                                                          confidenza
                                                                          Area di interesse della
                                                                           Business Continuity

                                                                               cigno nero   Extreme value theory

                                                                                                Ammontare
              • Pricing adeguato    • Capitale proprio                   • Riserve
              • Accantonamenti        (Basilea 2)                        • Assicurazioni

                                         Security Summit, Milano, 15 marzo                                         9
Perdita attesa, inattesa e stress loss

• Perdita attesa: rappresenta il valore delle perdite operative
  che ci attendiamo (media);

• Perdita inattesa: rappresenta il valore massimo delle perdite
  “nell‟intervallo di confidenza”, dedotto la perdita attesa;

• Perdita estrema: sono le perdite che sono più grandi delle
  perdite inattese. Sono poche ma molto grandi (area
  normalmente di interesse della Business Continuity). Non si
  hanno in genere serie storiche degli eventi che causano le
  perdite estreme
• Le soglie di rischio accettabile per le perdite estreme non
  possono essere derivate da una pura analisi di probabilità

                      Security Summit, Milano, 15 marzo           10
Database Di.PO.

Security Summit, Milano, 15 marzo               11
Controlli interni

• L„esposizione ai rischi operativi può essere ridotta a
  livelli accettabili con l„implementazione di
  appropriate misure di rischio e di controlli.
• I controlli dovrebbero essere allineati con gli
  obiettivi di business della banca.
• L„implementazione di appropriate misure di rischio si
  compone delle seguenti attività:
   – Analisi criticità dei processi chiave di business
   – Analisi delle minacce e degli eventi di perdita
   – Analisi mitigazione rischio ed efficacità controlli
   – Miglioramento selezione dei rischi

                   Security Summit, Milano, 15 marzo                 12
Controlli interni: obiettivi

• Fornire un livello di ragionevole sicurezza sulla
  realizzazione degli obiettivi di business
• Fornire indicatori relativi alle attività operative e
  all‟impiego efficace ed efficiente delle risorse e dei
  servizi
• Fornire una reportistica sui rischi trasparente ed
  affidabile
• Monitorare la conformità alle leggi ed ai
  regolamenti esterni ed interni in vigore

                   Security Summit, Milano, 15 marzo         13
Controlli Interni: definizione dei KRI

Key Risk Indicators:

Grandezze statistiche o numeriche in grado di fornire
utili elementi conoscitivi sulla posizione di rischio della
Banca.

                   Security Summit, Milano, 15 marzo     14
Controlli interni: proprietà dei KRI

• Indicare il livello attuale del rischio assunto
• Fornire delle soglie di tolleranza chiare ed immediate
  in base all‟obiettivo del controllo
• Fornire un segnale di attenzione sulla base
  dell‟evoluzione storica
• Essere calcolabile a vari livelli di aggregazione
  (attività, centro di costo, località, unità di business,…)
• Essere comparabile con uno o più indicatori di
  performance (KPI)
• Essere coerente con la classificazione e misura delle
  perdite operative.

                    Security Summit, Milano, 15 marzo    15
Le cause dei Rischi Operativi

Informatico      Risorse            Processo                Ambiente         Fisico
                 Umane                                      Esterno

•Sicurezza       •Integrità         •Errori                 •Outsourcing     •Fuoco

•Performance     •Competenza        •Omissioni              •Fornitori       •Disastri

•Disponibilità   •Management        •Ritardi                •Atti illeciti   •Sicurezza

•Accessibilità                      •Violazioni             •Legale          •Terrorismo
                                     normative
                                                            •Contratto       •Furti

                 Rischi Interni                                   Rischi Esterni

                              Security Summit, Milano, 15 marzo                           16
Rischio e Sicurezza

• la sicurezza è un “non evento” dinamico

• “Ciò porta a considerare la sicurezza non più come il
  contrario del rischio (dal momento che invece i due
  concetti sono complementari), ma come l‟esito di un lavoro,
  che deve cambiare nel tempo e adeguarsi alle sfide poste da
  nuove tecnologie: in questo senso va inteso l‟aggettivo
  „dinamico‟. Il „non evento‟ è invece il prodotto di tale lavoro,
  è il risultato di tanti fattori sia umani sia tecnologici sia
  organizzativi e gestionali che permettono al sistema di
  funzionare senza uscire dai binari dell‟ordinarietà, senza
  rompersi, senza guastarsi”
                                S. Menoni, XXIII CONFERENZA ITALIANA DI SCIENZE REGIONALI

                      Security Summit, Milano, 15 marzo                                     17
Valutazione della Sicurezza & Rischio

                                                •Gli indicatori chiave di rischio
                                                (KRI) sono delle metriche
                                                misurabili per la gestione del

Sicurezza
                                                rischio o delle grandezze
                                                statistiche o numeriche in grado
                                                di fornire utili elementi conoscitivi
                                                sulla posizione di rischio
                Rischio                         dell’organizzazione.

                                                •Gli indicatori chiave di
                                                performance (KPI) sono delle
                                                metriche misurabili
                                                dell’efficacia/efficienza di un
                                                sistema/servizio e piu’
                                                generalmente rappresentano il
                                                raggiungimento dei fattori critici di
                                                successo di un’organizzazione.

                                                •I “security” KPI costituiscono
                              KRI = KPI         degli indicatori quantitativi
                                                dell’efficacia/efficienza delle
                                                soluzioni di mitigazione del
                                                rischio dell’ organizzazione.

            Security Summit, Milano, 15 marzo                                     18
Evoluzione della valutazione del RO

• R = Probabilità x Impatto

• R = Pericolosità x Vulnerabilità x Esposizione

                Hazard        Vulnerabilità

                         Rischio

                    Security Summit, Milano, 15 marzo   19
Mitigazione del RO

• Poiché spesso non si hanno adeguate informazioni
  sulla pericolosità (serie storiche degli eventi) gli Isituti
  di Credito cercano di misurare ed intervenire sulla
  Vulnerabilità e sulla Esposizione….

ad es. per
 l’area IT

                     Security Summit, Milano, 15 marzo           20
The next step

• Come sintesi di diverse proprietà nel campo della
  gestione del rischio operativo, sempre più
  frequentemente ci si riferisce al concetto di
  resilienza definita come la capacità di un sistema
  complesso di affrontare i fattori di rischio indotti
  raggiungendo il punto di equilibrio più prossimo alle
  prestazioni attese.

• R = Probabilità x Impatto
• R = Pericolosità x Vulnerabilità x Esposizione

• R = f (probability(Hazard), losses(Vulnerability, Exposure), Resilience)*

                          * Stefan Hochrainer, Macroeconomic Risk Management Against Natural Disasters

                         Security Summit, Milano, 15 marzo                                     21
Caso di studio per i Rischi Interni

 • Integrando i concetti visti fino ad ora, la resilienza puó essere
   misurata introducendo degli opportuni KRI = KPI dinamici (non
   correlati tra loro) e strettamente legati ai processi analizzati in un
   modello causale multi fattoriale.

 • Ad es. per un processo di back office:
  ∑ (Perdite Operative) = α (system downtime) + β(turn over del personale sul processo) +
     γ(data quality)+ ∆(variazione del n. delle transazioni nel tempo)

     operational loss data                                  internal controls
    date            losses   n. of losses        system downtime employee       data quality   transactions
2.07.10    $243.412,00            10004                         3         22           94%          250096
3.07.10      $91.234,00            7284                         1         24           96%          208111
4.07.10   $2.734.000,00           17972                        10         19           88%          345611
..       …              …                   ..                      …           ….             ….
31.07.10     $17.654,00             7287                        0         24           96%          238908

Possiamo quindi calcolare il valore di α, β, γ e ∆ sotto il quale il processo può
essere fortemente compromesso (ad es. il turn over massimo accettabile del
personale per non avere inoperatività sul processo analizzato).

                                     Security Summit, Milano, 15 marzo                                    22
Nuovi aspetti organizzativi

L’aspetto piú innovativo della gestione del rischio operativo in
un’ ottica di Enterprise Risk Management non è solo l’adozione
di nuovi strumenti di misura e mitigazione, ma l’acquisizione di
nuovi modelli organizzativi.

Nell’ambito della gestione di ERM si stanno accorpando le
funzioni di BCM con quelle di Service Manager (sia verso le
entità interne e sia nei confronti degli outsourcers), con
l’obiettivo di garantire una continuità di servizio che agisca non
solo nelle situazioni di emergenza, ma attraverso il rispetto degli
opportuni KRI e KPI inseriti negli SLA dei principali servizi,
anche con funzione preventiva nel day-to-day

                          Security Summit, Milano, 15 marzo           23
Bibliografia

• M. G. Cruz, “Modeling, measuring and hedging
  operational risk”, Wiley 2002
• C. Alexander, “Operational Risk”, FT Prentice Hall,
  2003
• A. Pappadà, “I rischi operativi nelle banche”,
  Edibank 2003
• “Nuovo accordo di Basilea sui requisiti patrimoniali”,
  BIS 2003-2004
• “Sound practices for the management and
  supervision of operational risk”, BIS 2003

                   Security Summit, Milano, 15 marzo            24
Puoi anche leggere
DIAPOSITIVE SUCCESSIVE ... Annulla