La trasformazione del rischio operativo negli Istituti di Credito - la sfida della Sicurezza su come affrontare i nuovi e vecchi rischi - Security ...
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
La trasformazione del rischio operativo negli Istituti di
Credito – la sfida della Sicurezza su come affrontare i
nuovi e vecchi rischi
Security Summit, Milano, 15 marzo
Beozzi Marco Giuseppe – Business Continuity Manager BSIEtimologia di “rischio”
• Non é chiaro se la parola rischio derivi dal latino
“risicum” o dalla parola araba “risq” o “rizq”.
Entrambi i termini rappresentano un evento fortuito,
ma il primo caso descrive l‟ infrangersi di una
imbarcazione su uno scoglio, e quindi ha una
accezione prettamente negativa, mentre il
secondo caso significa “l‟opportunità data dal
Signore” e quindi con una connotazione positiva.
Security Summit, Milano, 15 marzo 2Evoluzione della definizione di RO
• BASEL I 1999 – “Exposure to uncertainty of results due to events
not related to credit nor market risk”
• BASEL II 2001 – “Operational risk is the risk of loss resulting from
inadequate or failed internal processes, people and systems or
from external events.
(This definition includes legal risk, but excludes strategic and
reputational risk)”.
Security Summit, Milano, 15 marzo 3Esempi classici di RO
• Rischi connessi a errori umani e/o di processo
• Rischi connessi a perdite derivanti da inadeguati
sistemi di controllo interno
• Rischi derivanti da carenze dei sistemi informativi o
eventi catastrofici
• Rischi che danno origine a perdite impreviste, al
mancato conseguimento di profitti
• ….
Security Summit, Milano, 15 marzo 4Metodologie per i Rischi Operativi
Elementi base
Business Conoscenza
dei Processi
Processi Processi
1.
Perdite Effettive SottoprocessiSottoprocessi Area analisi Indicatori
di Rischio
Perdite Inattese KRI’s
Perdite Bench- 2.
Database mark Dati
Perdite attese
3. Operativi
Gestione KCI’s
Perdite
Risk Misure di
Overview controllo e Definire
Prevenzione Misure
Effetti Effetti
Implementazione
Gestione Misure
Security Summit, Milano, 15 marzo 5PO: definizione
Per perdita operativa si intende una perdita
derivante da fallimenti o inadeguatezza dei
processi interni, dovuti sia a risorse umane
sia a sistemi tecnologici, oppure derivanti
da eventi esterni.
Security Summit, Milano, 15 marzo 6PO: definizione
• In sostanza si tratta di perdite che scaturiscono da
eventi imprevisti (malfunzionamenti dei sistemi
informativi, violazioni dei sistemi di sicurezza, errori del
personale, malversazioni, frodi, rischi legali, …);
• Si tratta dunque di perdite influenzate da fattori
numerosi e difficilmente quantificabili.
• La conoscenza delle perdite operative (PO) è quindi
uno strumento importante (ma come vedremo non
sempre sufficiente) per una corretta gestione dei RO.
Security Summit, Milano, 15 marzo 7Processo di simulazione
Probabilità
Distribuzione
della frequenza
Probabilità
media
1 2 3 4 5 6
Numero dei eventi
Distribuzione
Probabilità
della severità
Ammontare
Grandezza della perdità (CHF)
Security Summit, Milano, 15 marzo 8Funzione di densità delle perdite
Perdita attesa Perdita inattesa Perdita estrema
Probabilità
99,9%
media intervallo di
confidenza
Area di interesse della
Business Continuity
cigno nero Extreme value theory
Ammontare
• Pricing adeguato • Capitale proprio • Riserve
• Accantonamenti (Basilea 2) • Assicurazioni
Security Summit, Milano, 15 marzo 9Perdita attesa, inattesa e stress loss
• Perdita attesa: rappresenta il valore delle perdite operative
che ci attendiamo (media);
• Perdita inattesa: rappresenta il valore massimo delle perdite
“nell‟intervallo di confidenza”, dedotto la perdita attesa;
• Perdita estrema: sono le perdite che sono più grandi delle
perdite inattese. Sono poche ma molto grandi (area
normalmente di interesse della Business Continuity). Non si
hanno in genere serie storiche degli eventi che causano le
perdite estreme
• Le soglie di rischio accettabile per le perdite estreme non
possono essere derivate da una pura analisi di probabilità
Security Summit, Milano, 15 marzo 10Database Di.PO. Security Summit, Milano, 15 marzo 11
Controlli interni
• L„esposizione ai rischi operativi può essere ridotta a
livelli accettabili con l„implementazione di
appropriate misure di rischio e di controlli.
• I controlli dovrebbero essere allineati con gli
obiettivi di business della banca.
• L„implementazione di appropriate misure di rischio si
compone delle seguenti attività:
– Analisi criticità dei processi chiave di business
– Analisi delle minacce e degli eventi di perdita
– Analisi mitigazione rischio ed efficacità controlli
– Miglioramento selezione dei rischi
Security Summit, Milano, 15 marzo 12Controlli interni: obiettivi
• Fornire un livello di ragionevole sicurezza sulla
realizzazione degli obiettivi di business
• Fornire indicatori relativi alle attività operative e
all‟impiego efficace ed efficiente delle risorse e dei
servizi
• Fornire una reportistica sui rischi trasparente ed
affidabile
• Monitorare la conformità alle leggi ed ai
regolamenti esterni ed interni in vigore
Security Summit, Milano, 15 marzo 13Controlli Interni: definizione dei KRI
Key Risk Indicators:
Grandezze statistiche o numeriche in grado di fornire
utili elementi conoscitivi sulla posizione di rischio della
Banca.
Security Summit, Milano, 15 marzo 14Controlli interni: proprietà dei KRI
• Indicare il livello attuale del rischio assunto
• Fornire delle soglie di tolleranza chiare ed immediate
in base all‟obiettivo del controllo
• Fornire un segnale di attenzione sulla base
dell‟evoluzione storica
• Essere calcolabile a vari livelli di aggregazione
(attività, centro di costo, località, unità di business,…)
• Essere comparabile con uno o più indicatori di
performance (KPI)
• Essere coerente con la classificazione e misura delle
perdite operative.
Security Summit, Milano, 15 marzo 15Le cause dei Rischi Operativi
Informatico Risorse Processo Ambiente Fisico
Umane Esterno
•Sicurezza •Integrità •Errori •Outsourcing •Fuoco
•Performance •Competenza •Omissioni •Fornitori •Disastri
•Disponibilità •Management •Ritardi •Atti illeciti •Sicurezza
•Accessibilità •Violazioni •Legale •Terrorismo
normative
•Contratto •Furti
Rischi Interni Rischi Esterni
Security Summit, Milano, 15 marzo 16Rischio e Sicurezza
• la sicurezza è un “non evento” dinamico
• “Ciò porta a considerare la sicurezza non più come il
contrario del rischio (dal momento che invece i due
concetti sono complementari), ma come l‟esito di un lavoro,
che deve cambiare nel tempo e adeguarsi alle sfide poste da
nuove tecnologie: in questo senso va inteso l‟aggettivo
„dinamico‟. Il „non evento‟ è invece il prodotto di tale lavoro,
è il risultato di tanti fattori sia umani sia tecnologici sia
organizzativi e gestionali che permettono al sistema di
funzionare senza uscire dai binari dell‟ordinarietà, senza
rompersi, senza guastarsi”
S. Menoni, XXIII CONFERENZA ITALIANA DI SCIENZE REGIONALI
Security Summit, Milano, 15 marzo 17Valutazione della Sicurezza & Rischio
•Gli indicatori chiave di rischio
(KRI) sono delle metriche
misurabili per la gestione del
Sicurezza
rischio o delle grandezze
statistiche o numeriche in grado
di fornire utili elementi conoscitivi
sulla posizione di rischio
Rischio dell’organizzazione.
•Gli indicatori chiave di
performance (KPI) sono delle
metriche misurabili
dell’efficacia/efficienza di un
sistema/servizio e piu’
generalmente rappresentano il
raggiungimento dei fattori critici di
successo di un’organizzazione.
•I “security” KPI costituiscono
KRI = KPI degli indicatori quantitativi
dell’efficacia/efficienza delle
soluzioni di mitigazione del
rischio dell’ organizzazione.
Security Summit, Milano, 15 marzo 18Evoluzione della valutazione del RO
• R = Probabilità x Impatto
• R = Pericolosità x Vulnerabilità x Esposizione
Hazard Vulnerabilità
Rischio
Security Summit, Milano, 15 marzo 19Mitigazione del RO
• Poiché spesso non si hanno adeguate informazioni
sulla pericolosità (serie storiche degli eventi) gli Isituti
di Credito cercano di misurare ed intervenire sulla
Vulnerabilità e sulla Esposizione….
ad es. per
l’area IT
Security Summit, Milano, 15 marzo 20The next step
• Come sintesi di diverse proprietà nel campo della
gestione del rischio operativo, sempre più
frequentemente ci si riferisce al concetto di
resilienza definita come la capacità di un sistema
complesso di affrontare i fattori di rischio indotti
raggiungendo il punto di equilibrio più prossimo alle
prestazioni attese.
• R = Probabilità x Impatto
• R = Pericolosità x Vulnerabilità x Esposizione
• R = f (probability(Hazard), losses(Vulnerability, Exposure), Resilience)*
* Stefan Hochrainer, Macroeconomic Risk Management Against Natural Disasters
Security Summit, Milano, 15 marzo 21Caso di studio per i Rischi Interni
• Integrando i concetti visti fino ad ora, la resilienza puó essere
misurata introducendo degli opportuni KRI = KPI dinamici (non
correlati tra loro) e strettamente legati ai processi analizzati in un
modello causale multi fattoriale.
• Ad es. per un processo di back office:
∑ (Perdite Operative) = α (system downtime) + β(turn over del personale sul processo) +
γ(data quality)+ ∆(variazione del n. delle transazioni nel tempo)
operational loss data internal controls
date losses n. of losses system downtime employee data quality transactions
2.07.10 $243.412,00 10004 3 22 94% 250096
3.07.10 $91.234,00 7284 1 24 96% 208111
4.07.10 $2.734.000,00 17972 10 19 88% 345611
.. … … .. … …. ….
31.07.10 $17.654,00 7287 0 24 96% 238908
Possiamo quindi calcolare il valore di α, β, γ e ∆ sotto il quale il processo può
essere fortemente compromesso (ad es. il turn over massimo accettabile del
personale per non avere inoperatività sul processo analizzato).
Security Summit, Milano, 15 marzo 22Nuovi aspetti organizzativi
L’aspetto piú innovativo della gestione del rischio operativo in
un’ ottica di Enterprise Risk Management non è solo l’adozione
di nuovi strumenti di misura e mitigazione, ma l’acquisizione di
nuovi modelli organizzativi.
Nell’ambito della gestione di ERM si stanno accorpando le
funzioni di BCM con quelle di Service Manager (sia verso le
entità interne e sia nei confronti degli outsourcers), con
l’obiettivo di garantire una continuità di servizio che agisca non
solo nelle situazioni di emergenza, ma attraverso il rispetto degli
opportuni KRI e KPI inseriti negli SLA dei principali servizi,
anche con funzione preventiva nel day-to-day
Security Summit, Milano, 15 marzo 23Bibliografia
• M. G. Cruz, “Modeling, measuring and hedging
operational risk”, Wiley 2002
• C. Alexander, “Operational Risk”, FT Prentice Hall,
2003
• A. Pappadà, “I rischi operativi nelle banche”,
Edibank 2003
• “Nuovo accordo di Basilea sui requisiti patrimoniali”,
BIS 2003-2004
• “Sound practices for the management and
supervision of operational risk”, BIS 2003
Security Summit, Milano, 15 marzo 24Puoi anche leggere
