Upload
lytram
View
227
Download
2
Embed Size (px)
Citation preview
Agenda
Definizione
La regolamentazione
La misurazione e la valutazione
Loss Distribution Approach (LDA)
Risk Control Self Assessment
Key Risk Indicators
L’integrazione delle informazioni
La gestione e il controllo dei rischi operativi
Rischio e volatilità dei risultati
Rischio=
Volatilità dei risultatiCapitale economico
Rischiodi credito
Perditeinattese (UL)
Rischio dimercato
Value-at-risk Volatilità dei risultati non spiegata da VAR e UL
Rischiooperativo
Rischio strategicoRischio reputazionale
Rischio di liquidità……………
OpVar
Peculiarità dei rischi operativi:
sorgono inevitabilmente con l’esercizio dell’attività d’impresa rischio prevalentemente endogeno con sottostante caratterizzato da portafogli di processi (a differenza dei rischi di credito/mercato che sono esogeni)ha natura di rischio puro poiché comporta prevalentemente manifestazioni di perdita e non di guadagno eterogeneità dei fattori di rischio e del tipo di manifestazionenel sistema bancario, i rischi operativi sono significativamenteaumentati in relazione a vari fattori (deregolamentazione e globalizzazione, incremento dell’utilizzo della tecnologia informatica, innovazione finanziaria, fusioni e acquisizioni, ristrutturazioni aziendali, etc.)
I rischi operativi: considerazioni generali
Rischio di perdite derivanti dalla inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni
La definizione include il rischio legale ma esclude quello strategico e di reputazione
Definizione regolamentaredi rischio operativo
CAUSA EFFETTO
EVENTOBusiness A
Business B
Business C
1) Why? Causal relationships
utile per la determinazione dei punti di debolezza e dei rimedi organizzativi
2) What ? Events Type
preferibile per l’identificazione delle perdite e per la misurazione/attenuazione dei rischi
3) Where ? Effects/Accounts
funzionale a garantire completezza/integrità dei dati raccolti nonché per l’attribuzione di responsabilità e l’allocazione del capitale
I possibili drivers
La catalogazione dei rischi operativi
Cause Event
categoriescategories
PeoplePeople
ExternalExternal
ProcessProcess
SystemsSystems
Internal FraudInternal Fraud
External FraudExternal Fraud
EmploymentPractices
EmploymentPractices
Clients, ProductsBusiness PracticeClients, ProductsBusiness Practice
Damage toPhysical Assets
Damage toPhysical Assets
Business DisruptionBusiness
Disruption
Execution, Delivery
Execution, Delivery
Corporate financeCorporate finance
Trading & SalesTrading & Sales
Retail BankingRetail Banking
Commercial Banking
Commercial Banking
Payments &Settlements
Payments &Settlements
Agency ServicesAgency Services
Assetmanagement
Assetmanagement
Effect
categories
RetailBrokerage
RetailBrokerage
Regulatory, Compliance & Taxation Penalties
Regulatory, Compliance & Taxation Penalties
RestitutionRestitution
Write-downWrite-down
Legal LiabilityLegal Liability
La catalogazione dei rischi operativi
La scelta adottata nella normativa prudenziale italianaNUOVE DISPOSIZIONI DI VIGILANZA PRUDENZIALE PER LE BANCHE TITOLO II – Capitolo 5
AlLLEGATO B
La catalogazione dei rischi operativi
Agenda
Definizione
La regolamentazione
La misurazione e la valutazione
Loss Distribution Approach (LDA)
Risk Control Self Assessment
Key Risk Indicators
L’integrazione delle informazioni
La gestione e il controllo dei rischi operativi
La regolamentazione
Tre approcci:
a) Basic Indicator Approach (BIA);
b) Standardised Approach (TSA);
c) Advanced Measurement Approach (AMA)
Approcciotop-down
Approcciobottom-up
L’approccio base
Il Basic Indicator Approach (BIA) prevede il calcolo del requisito patrimoniale sulla base di una semplice aliquota dell’indicatore rilevante (gross income) medio annuo riferito ai tre esercizi precedenti
KBIA = GI * α
dove α è stato fissato al 15%.
L’approccio base
L’approccio base prevede requisiti qualitativi generali sul coinvolgimento degli organi aziendali nel governo e nella gestione dei rischi operativi (comuni agli approcci TSA e AMA):
Definizione linee generali del sistema Responsabilità per la realizzazioneVigilanza sulla funzionalitàVerifica della rispondenza ai requisiti regolamentari
L’approccio standardizzatoNel metodo standard (Standardised Approach) l’attività della banca viene suddivisa in 8 linee di business (business lines):
L’approccio standardizzato
Il requisito patrimoniale è dato da:KKTSATSA = = ΣΣ88
j=1j=1 ((GIGIjj * * ββjj))dove GIj (j=1, …, 8) rappresenta il livello medio annuo del gross income
degli ultimi tre esercizi per ciascuna delle 8 business lines e βj è un coefficiente, stabilito dal Comitato di Basilea per ogni business lines.
Tre livelli per β: 1. basso (12%)basso (12%) per le BL “Retail banking”, “Asset management” e
“Retail brokerage”2. medio (15%)medio (15%) per le BL “Commercial banking” e “Agency services”3. alto (18%)alto (18%) per le BL “Corporate Finance”, “Trading and Sales” e
“Payment and Settlement”
L’approccio standardizzato: requisiti organizzativi
Oltre ai requisiti generali comuni al metodo Base, le banche che intendono adottare il metodo Standard devono avere un efficace sistema di gestione dei rischi operativisistema di gestione dei rischi operativi:
Classificazione delle attività nelle BL regolamentariSistema di raccolta e conservazione dei dati sui rischi operativiValutazione annuale dell’esposizione ai rischi operativiSistema di reporting (risultati della valutazione, perdite rilevanti, descrizione azioni di prevenzione e mitigazione)effettuare un processo di autovalutazione per valutare la qualitàdel sistema di gestione dei rischi operativi (documentato e sottoposto annualmente alla revisione interna).
Gli approcci avanzati (AMA)Gli intermediari possono calcolare il requisito patrimoniale per il rischio operativo utilizzando le risultanze di sistemi interni di calcolo e misurazione, nel rispetto di alcuni criteri rispetto di alcuni criteri quantitativi e qualitativiquantitativi e qualitativi (bottom up approach).Obiettivi:
• sensitività al rischio
• incentivi economici al miglioramento dei sistemi di risk management
• garantire un’elevata flessibilità, al fine di seguire l’evoluzione dell’industria
Gli approcci avanzati (AMA): requisiti organizzativi
I requisiti qualitativi previsti per gli AMA sono più stringenti di quelli previsti per lo Standardised Approach. In particolare:
•la banca istituisce una “funzione di controllo dei rischi operativi”,
•il sistema di misurazione (e non di valutazione come nel caso di STA) deve essere integrato con il processo di gestione dei rischi day-to-day della banca (c.d. “use test”);
•processo di convalida interna;
•revisione indipendente dell’audit.
La funzione di controllo dei rischi operativi
I compiti che spettano a tale funzione:progettazione, sviluppo e manutenzione dei sistemi di gestione emisurazione dei RO;raccolta e conservazione dei dati;valutazione del profilo di rischio operativo;determinazione del requisito patrimoniale sui rischi operativi;reporting (info sulle 4 componenti, aree di vulnerabilità, azioni di prevenzione e mitigazione, trasferimento del rischio, etc).
Ai fini di un efficace svolgimento di tale funzione, la banca individua le soluzioni organizzative ritenute più idonee (unità indipendente di ORM non obbligatoria).
Per lo svolgimento di tale funzione, la banca utilizza risorse con adeguata professionalità nella gestione e nelle metodologie di misurazione dei rischi operativi e con approfondita conoscenza dei processi aziendali.
Il sistema di misurazione: componenti
Dati interni
Dati esterni
Analisi di scenario
Fattori del contesto operativo e sistema dei controlli interni
Dati interni di perdita operativa
Il sistema di rilevazione dei dati interni di perdita rappresenta un prerequisito essenziale per la realizzazione di un sistema di gestione/misurazione del rischio operativo.
Esistono numerosi aspetti da tenere in considerazione:
a) Definitori - Che cos’è una perdita operativa?b) Organizzativi – Come raccolgo le mie perdite?c) Informatici – Come archivio le mie perdite?
Dati interni: aspetti definitori
Che cos’è una perdita operativa?Che cos’è una perdita operativa? Risposta non facile perché possono rientrare le seguenti definizioni di perdita:•• Perdite direttePerdite dirette (direttamente collegabili a voci di
contabilità);•• Perdite stimatePerdite stimate (deducibili da voci della contabilità e da
archivi gestionali);•• NearNear missesmisses (eventi pericolosi che non hanno prodotto
perdite);•• Costi opportunitàCosti opportunità (perdite consistenti in un mancato
guadagno);•• Guadagni operativiGuadagni operativi (eventi operativi che hanno
comportato un guadagno anziché una perdita);• ecc.
Dati interni: aspetti organizzativi
Occorre disegnare un nuovo processo che permetta un’accurata e completa raccolta dei dati di perdita.
Il processo di rilevazione delle perdite dovrà, in ogni caso, garantire:
•• coperturacopertura (tutte le linee di business e tutte le società del gruppo;
•• correttezzacorrettezza (integrità della rilevazione);•• affidabilitàaffidabilità (controllo sul processo di raccolta).
Dati interni: modello di raccolta
Il processo di raccolta dei dati di perdita potrà seguire due modelli di “costruzione”:
•• EventEvent drivendriven:: il dato “gestionale” di perdita viene rilevato direttamente dove l’evento pregiudizievole ha avuto origine;
•• AccountingAccounting drivendriven:: il dato viene estratto dagli archivi contabili con eventuale arricchimento delle informazioni disponibili a livello gestionale.
Dati interni: modello di raccolta
EventEvent drivendriven -- (approccio bottom-up)
• Il dato viene “segnalato” direttamente dalle strutture organizzative decentrate in cui si è generata la perdita;
• Consente la tempestiva rilevazione di eventi di perdita “presunti”;
• Favorisce la “completezza” della descrizione dell’evento;• Presuppone un’attenzione delle strutture locali alle
tematiche relative ai rischi operativi;• Innalza la cultura aziendale e favorisce uno sviluppo
“gestionale” dei rischi operativi attraverso una più agevole individuazione dei relativi interventi di prevenzione e/o mitigazione;
• Le strutture centrali svolgono prevalentemente un ruolo di coordinamento e validazione del processo di raccolta.
Dati interni: modello di raccoltaAccountingAccounting drivendriven -- (approccio top-down)
• Il dato viene “estratto” direttamente dalla contabilità;• Garantisce la rilevazione di eventi “certi” e non presunti;• richiede l’esistenza di un sistema di contabilità analitica che
sia “strutturato” in modo coerente con la classificazione presente nel DB delle perdite operative;
• La rilevazione del fenomeno “gestionale” non è tempestiva;• Il dato richiede un arricchimento di informazioni descrittive
dell’evento;• Considera solo le perdite operative contabilizzate,
trascurando gli eventi generatisi ma non ancora contabilizzati
Dati interni – criteri di inclusione
L’importo delle perdite è considerato al lordo dei recuperi.
Le perdite sequenziali e multi-effetto sono consideratecome un unico dato.
Boundary events: le perdite di confine con il rischio di mercato sono incluse, non quelle con il rischio di credito.
Dati esterni di perdita operativaIl sistema di misurazione deve tenere conto di dati di perdita esterni, soprattutto quelli ad alto impatto, ancorché poco frequenti. Finalità:
•completare il database di perdite operative interno;
•migliorare la qualità e la credibilità dell’analisi di scenario;
•validare i risultati ottenuti dai dati interni;
• benchmarking.
Individuazione di adeguate tecniche di scaling dei dati rispetto alla realtà aziendale.
Dati esterniLe principali fonti utilizzate dalle banche sono di natura consortile (informazioni fornite da un insieme di banche e altri intermediari finanziari), di mercato (archivi forniti da fornitori del settore) o elaborati internamente.
Alcuni esempi:1. DIPO2. ORX3. FITCH OPDATA
Tale analisi viene generata attraverso un processo strutturato che:
Fissa criteri per la scelta delle classi di rischio e la definizione delle ipotesi sottostanti;
Coinvolge gli esperti delle diverse linee di business;
Permette un raffronto con i dati di perdita, interni ed esterni.
Analisi di scenario
Tali dati sono finalizzati all’inclusione di una componente forward looking:
cambiamenti nei processi, nei sistemi informativi e nel personale, possono far perdere di significatività i dati storici;
mutamenti nella struttura di business sono difficili da incorporare nei dati di perdita storici;
le nuove business line non possiedono una profonditàstorica delle perdite.
Fattori di contesto operativo e del sistema dei controlli interni
Agenda
Definizione
La regolamentazione
La misurazione e la valutazione
Loss Distribution Approach (LDA)
Risk Control Self Assessment
Key Risk Indicators
L’integrazione delle informazioni
La gestione e il controllo dei rischi operativi
Metodologie di misurazione avanzata (AMA)
Obiettivo della misurazione
stimare l’ammontare di capitale (CAR – capital at risk)necessario a coprire le perdite attese e inattese derivanti
dai rischi operativi su un holding period annuale ad un livello di confidenza del 99,9%
Loss Distribution Approach
Le fasi della metodologia attuariale
costruzione della distribuzione di frequencycostruzione della distribuzione di severitycostruzione della distribuzione aggregata delle perdite
operative come convoluzione delle precedenticalcolo del 99,9° percentile di tale distribuzione
0
2
4
6
8
10
12
14
1 3 5 7 9 11 13 15 17 19
# events per period
rela
tive
freq
uenc
y
Aggregazione per mezzo di simulazione Monte Carloo approssimazione analitica
Distribuzione composta
Op. VaR 99.9 percentile
Unexpected losses
Severity distribution Frequency distribution
Loss Distribution Approach
Determinazione della loss distribution• Si definisce l’impatto di perdita totale S per periodo (ad
esempio per anno)
dove ni è una v.a. che segue la distribuzione della frequenzae le xi sono v.a. i.i.d. che seguono la distribuzione della severity
• La S si può ottenere analiticamente o numericamente (Monte Carlo)
∑ == in
j ji xS0
La stima della frequency
Indagare quanti eventi accadranno in un dato periodo (es. un anno)
Distribuzioni utilizzate:PoissonBinomialeBinomiale negativa
Tecniche di stima:metodo dei momentimetodo della massima verosimiglianza
Frequency distribution
00.020.040.060.080.1
0.120.140.160.180.2
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14
n
prob
abili
ty
La stima della frequencyTale variabile si differenzia dalla severità per il fatto di essere di tipo discreto.Poisson e Geometrica hanno un solo parametro, Binomiale e BinomialeNegativa due.Considerata la natura del campionamento dei dati che a volte puòpresentare cluster di accadimenti, e di conseguenza una varianzamaggiore, la binomiale negativa è senz’altro teoricamente preferibile.Elementi da considerare per la scelta del tipo di frequenza sono:
1. la limitatezza dei dati a disposizione per la stima2. la conveniente proprietà matematica della Poisson di chiusura
rispetto alla somma (la somma di due variabili indipendenti di Poisson è ancora una variabile di Poisson)
3. la bassa sensibilità del VaR della distribuzione di perdita alle caratteristiche della frequenza. In particolare ciò vale per distribuzioni molto leptocurtiche: i quantili elevati della perdita annua sono influenzati solamente dal valore atteso del numero dieventi annui, ma non dalla sua intera distribuzione.
La distribuzione di Poisson
dove λ = E [N] , ovvero λ rappresenta il valor medio dellavariabile N.
Utilizzando il metodo della massima verosimiglianza, lo stimatoreλ viene a coincidere con la media campionaria delle osservazioni
Questo parametro misura quindi il numero medio annuo di eventidi perdita:
0
0 ,0 1
0 ,0 2
0 ,0 3
0 ,0 4
0 ,0 5
0 ,0 6
0 ,0 7
0 ,0 8
0 ,0 9
0 2 00 4 0 0 6 0 0 80 0 1 0 0 0 1 2 0 0 1 4 0 0 1 6 00 1 8 0 0 2 0 0 0 22 0 0 2 4 0 0 2 6 0 0 2 8 0 0 3 0 00
C on fron to tra la d is tr ib uz io ne e m p ir ic a (K e rne l ) e u na d is tr ib uz ion e N o rm a l e c on la s te ss a μ e σ : " zo om " su ll e c od e
Frequenza
L o ss (m ig l i ai a d i Eu ro )VAR99 (N)=630
VAR99,5(N)=692
VAR99,9(N)=820
VAR99 (K)=820 VAR99,5
(K)=1501VAR99,9 (K)=2855
Severity: non-normalità dei dati
I rischi operativi danno luogo ad un gran numero di perdite di piccolo importo e ad un bassissimo numero di perdite “estreme”
La stima della severity
Non sempre il “corpo” e la “coda” dei dati provengono dalla stessa distribuzione
La distribuzione tradizionale che presenta il valore migliore dei test di fitting sarà utilizzata per descrivere il “corpo” dei dati
La stima della severity: la coda delle distribuzioni
PROBLEMA
I test grafici e formali potrebbero indurre a rifiutare tutte ledistribuzioni tradizionaliSottostima della probabilità della coda
SOLUZIONE
MODELLI EVT
Indicazioni sul comportamento delle perdite “estreme” vengono tratte dall’applicazione delle tecniche EVT ai dati nella “coda”
Consente di modellare i valori estremi di una distribuzione di dati.
I metodi tradizionali, siano essi parametrici o basati su tecniche numeriche, focalizzano l’attenzione sui tratti della distribuzione empirica dei rendimenti con maggiore densità di frequenza e tendono ad ignorare gli eventi rari.
Extreme Value Theory
Extreme Value Theory
Un’applicazione estesa della cornice teorica dell’EVT consente di stimare la coda delle distribuzioni di impatto.
Inversione della logica comunemente adottata dai modelli tradizionali
Peaks-over-threshold (POT) models: tecnica che sfrutta le proprietà asintotiche delle eccedenze dei valori di una serie rispetto ad una determinata soglia al fine di effettuare una stima parametrica della coda da cui ricavare le misure di rischiosità.
La distribuzione generalizzata di Pareto (GDP)
Teorema di Pickands – Balkema - de Haan: la distribuzione delle perdite eccedenti una determinata soglia, sufficientemente grande, è approssimata dalla distribuzione generalizzata di Pareto (GPD), indipendentemente dalla distribuzione di partenza
Una volta individuata la soglia, sarà sufficiente stimare con metodi statistici i parametri della distribuzione teorica che meglio approssima i dati empirici dei valori eccedenti la soglia per ottenere una distribuzione di probabilità degli stessi indipendentemente dalla forma della distribuzione originaria.
La distribuzione generalizzata di Pareto (GDP) (2)
Data una variabile casuale X con funzione di distribuzione cumulata F, la distribuzione delle eccedenze di X oltre una determinata soglia “u” può essere così rappresentata:
Fu (x) = P(X-u ≤ x | X>u), con x ≥0 .Si dimostra che, per u → ∞, ovvero per una soglia sufficientemente grande da approssimare tale condizione, Fu (x) ≈ Gξ,β(u) (x), dove
Gξ,β(u) (x) = 1- (1+ξx/β)-1/ξ se ξ≠0, ovveroGξ,β(u) (x) = 1- exp –x/β se ξ=0.
La distribuzione generalizzata di Pareto (GDP) (3)
La GPD dipende da 2 parametri:
- β che identifica il parametro di scale
- ξ che identifica il parametro di shape, regola la curtosi della distribuzione: più è alto maggiore è la probabilità di eventi estremi
GPD: la scelta della soglia
La scelta della soglia è un punto critico per l’implementazione di tale metodologia :
un valore basso aumenta il numero di osservazioni disponibili ma introduce osservazioni provenienti dalla parte centrale della distribuzione, cosìdistorcendo la stima dei parametri rappresentativi della forma della coda
un valore elevato riduce tale distorsione ma rende più volatile il tail index e le stime di capitale .
GPD: la stima dei parametri
Esistono vari metodi per la stima dei parametri
METODI GENERICI METODI SPECIFICI
• massima verosimiglianza (MLE)• metodo dei momenti
• stimatore di Hill• metodo dei momenti pesati (PWM)
GDP: stima dei paramentri
La performance dei metodi di stima dipende dalla proprietà dei dati analizzati.
Tranne MLE, gli altri stimatori sono calcolabili sono ad alcune condizioni (ad esempio quello basato sui momenti richiede l’esistenza della varianza della distribuzione che, nel caso della GDP, per ξ > 1 non esiste).
Alcuni modelli privilegiano l’uso del metodo PWM per le seguentiragioni:
buone stime anche in situazioni di scarsità di dati ;risultati più stabili in presenza di outliers;risultati stabili al varia re della soglia, rispettivamente agli altri
metodi;miglior fitting nella parte superiore della coda.
La funzione “mistura”
Modello parametrico risultante da due diverse distribuzioni: una, la distribuzione F (x,θ), volta a descrivere il range di perdite medio piccole, l’altra, la GPD, stimata mediante EVT. La cdf risultante è perciò definita a tratti nel seguente modo:
La funzione mistura
Log body:internal data
threshold
Continuity condition
GDP Tail: Internal data,consortium data,
public external data,Scenario based data
Calcolo dei primi quattro momenti del campione (media, varianza, asimmetria e curtosi)
Individuazione del tipo di funzione matematica da utilizzare per la rappresentazione del fenomeno osservato
Stima dei parametri delle distribuzioni candidate al fitting
Selezione dei migliori fit sulla base di metodi grafici (es. pp-plot, qq-plot, etc)
Esecuzione dei test di goodness of fit: Kolmogorov-Smirnov (K-S) e Anderson-Darling (A-D)
Passaggi per la stima della severity
Metodi grafici di GoF: PP-plot
Questo grafico è ottenuto unendo le coppie di prob teorica ed empirica
calcolate in corrispondenza di ciascuna osservazione xi
Se il modello “replica” bene i dati i due termini di ciascuna coppia tenderanno ad essere vicini: pertanto, da un punto di vista grafico, le coppie si allineeranno attorno alla bisettrice
La figura giace quindi nel quadrato unitario, poiché ogni coordinata rappresenta una probabilità
PP-plot
Se un punto del grafico è posizionato sotto (sopra) la bisettrice significa il modello stimato indica una probabilità di sforare il livello xipiù grande (piccola) di quanto appaia dal puro dato empirico. In altre parole la stima risulta più (meno) conservativa rispetto ai dati, ovvero mostra un profilo di rischio maggiore (inferiore).
Inverted pp-plotIl PP-plot adotta una scala lineare sulle probabilità, quindi tende ad avere poco dettaglio sulla coda della distribuzione. Per ovviare a questo inconveniente: considerare il complemento a 1 delle probabilità calcolate (i.e. la funzione di survival), su scala doppio logaritmica; ciò è equivalente a rappresentare le coppie:
In questo grafico, la coda della distribuzione occupa l’area vicina all’origine, mentre l’effetto della scala logaritmica è di fornire un dettaglio maggiore sulla coda, evitando l’effetto di schiacciamento.
PP-plot e Inverted PP-plot
Confrontano livelli di probabilità e rendono immediato capire che percentuale dei dati osservati il modello stimato è in grado di descrivere adeguatamente. Non forniscono invece indicazione alcuna circa il range di valori della variabile casuale oggetto di studio: ad esempio, dall’esame dell’inverted Pp-plot emerge che il modello coglie il primo 95% della distribuzione, ma nulla sappiamo dell’ordine di grandezze delle perdite sopra e sotto tale livello. Per rispondere a questa domanda occorre analizzare il cosiddettoqq-plot.
QQ-plot
Questo grafico è ottenuto unendo le coppie di quantili
calcolate in corrispondenza di ciascuna osservazione xi ; In sostanza si mappano uno contro l’altro il p-quantile stimato ed empirico per diversi valori di p.Il p-quantile di una distribuzione parametrica F è quel valore x t.c.
dove F-1 rappresenta la funzione inversa della cdf della distribuzione. Si tratta di quella valore che lascia alla sua sinistra una probabilità p.
QQ-plot
L’interpretazione di questo grafico è analoga a quella del pp-plot. Se il modello coglie bene i dati la linea sarà prossima alla bisettrice; se la curva sta sotto (sopra) di essa i quantili stimati risultano superiori (inferiori) a quelli empirici, e dunque il modello è più(meno) conservativo di quanto i dati empirici rivelino. A differenza del pp-plot, tale grafico rende più immediato capire in che intervalli di perdita il fit è buono, ma soprattutto permette di valutare l’entità dell’errore; ad esempio dall’esame del grafico appare chiaramente che il modello stimato è in grado di riprodurre correttamente le perdite fino a 1 milione.Le perdite maggiori (corrispondenti ai quantili più elevati della distribuzione) appaiono sottostimate all’incirca del 50%.
Survival plotUn’altra modalità di confrontare l’aderenza di un fit ai dati è rappresentare le funzioni cdf stimate ed empiriche.
•In questo tipo di grafico, una curva stimata che si posizioni più a destra della corrispondente empirica indica una stima del profilo di rischio piùconservativa della misura empirica.•Analogamente al qq-plot, questa rappresentazione soffre di un effetto di schiacciamento nella parte più interessante, la coda, che non permette di valutare correttamente la distanza tra le due curve
Survival plot
Una rappresentazione migliore della coda si ottiene alloraconfrontando la funzione di survival
la stima è molto buonafino al quantile 99.9% (corrispondente al punto10 -3 sull’asseverticale), mentre per quantili più elevati ilmodello sottostima le perdite storiche, posizionandosialla sua sinistra.
Mean excess plotIl me-plot riporta la media campionaria degli eccessi oltre la soglia u, al variare della soglia stessa, ovvero riporta sul grafico le coppie
(X i sono i dati maggiori di u).• In particolare, tutte le distribuzioni continue per cui vale il teorema PBDH,
con ξ > 0, hanno una me-function asintoticamente rettilinea. • Per elevati valori di soglia, se la GDP ha un buon GoF, nel me-plot
compare un tratto rettilineo da una certo valore in avanti.• Regola pratica: nel procedimento di stima dei parametri della GPD si
fissa la soglia ove il me-plot inizia a manifestare un certo grado di linearità.
La distribuzione aggregata delle perdite operative viene determinata attraverso la convoluzione tra la distribuzione di severity e quella di frequency.
Non sono possibili soluzioni analitiche, se non in casi particolari. In genere si utilizza la simulazione Monte Carlo
La distribuzione aggregatadelle perdite
Si determinano un sufficiente numero di scenari di Frequency e Severity e si costruisce la variabile S procedendo in questo modo:
si genera n campionandolo dalla distribuzione di frequencysi generano n variabili xi campionate dalla distribuzione di severity e se ne costruisce la somma Ssi ripete il processo per un numero sufficientemente grande di scenari e si studia la distribuzione empirica delle S cosìottenuta dalla distribuzione cumulativa empirica di S si determina il CaR come il percentile al livello desiderato
La simulazione Monte Carlo
Capitale a rischio e perdita attesa
Il capitale a rischio per una singola “classe di rischio” è pari al valueat risk (VaR) tratto dalla distribuzione di perdita.
VaR è il quantile individuato dall’intervallo di confidenza α (i.e. α = 99,9 %) della distribuzione di perdita.
Ordinando le perdite in maniera crescente:
Il VaR è definito come:
La perdita attesa
Il capitale regolamentare è calcolato come somma di expected loss (EL) e unexpected loss (UL):
VaR = UL + EL
In considerazione della notevole sensitività della media delle perdite ai valori di perdita estremi, le banche utilizzano la mediana per ottenere uno stimatore più stabile delle perdite attese:
Dove: e
AMA: determinazione del requisito patrimoniale
Il modello deve rappresentare adeguatamente il profilo di rischio operativo della banca
Identificazione delle classi di rischio
Granularità ed omogeneità
AMA: determinazione del requisito patrimoniale
Somma delle perdite attese ed inattese riferite alle singole classi di rischio operativoFattori di riduzione:
Perdite atteseCorrelazione Assicurazione e altri meccanismi di trasferimento del rischio
Criticità LDA
Ammontare delle stime e calibrazione del modello: ipotesi alternative di modellizzazione, ritenute ugualmente valide da un punto di vista statistico, possono dar luogo a risultati significativamente differenti
Significativa variabilità dei risultati rispetto a variazioni minime dei parametri della distribuzione: trade-off fra utilizzo gestionale (stabilità) e accuratezza teorica (sensitività)
Margini di arbitrarietà nel calcolo del requisito derivanti dalle modalità di individuazione grafica della soglia, dalla tecnica di stima dei parametri, etc.
I criteri di validazione
La valutazione dei modelli ha tenuto presente taluni criteri derivanti dalle caratteristiche necessarie per un utilizzo a fini gestionali e regolamentari:
stabilità dei risultati, ragionevolezza economica ed impronta conservativa nel dimensionamento del capitale,contenimento degli spazi di discrezionalità nel processo di misurazione,necessario rigore dell’impianto modellistico.
Benchmarking (TSA, economic capital)?
Risk Control Self Assessment(RCSA)
L’approccio qualitativo alla valutazione dell’esposizione ai rischi operativie della validità dei controlli in essere
RCSA : obiettiviStrumento qualitativo di autodiagnosi basato su indicazioni soggettive fornite da esperti
OBIETTIVIIndividuare le aree di operatività più esposte al rischio operativo e le cause sottostanti per attivare gli interventi di mitigazione piùopportuniElemento complementare all’analisi quantitativa: forwardlooking, eventi LFHI, BE&IC factors (quarta componente regolamentare dei sistemi AMA)Sviluppare l’attenzione alla gestione del rischio operativo, sensibilizzando tutta la struttura
Non necessariamente associato a LDA: insufficienza dati di perdita, scelta metodologica
RCSA: le possibili alternative
Scenario based approach
Analisi dei processi e indicazioni “qualitative” (Auditscoring, Scorecard approach)
………
Scenario Based Approach
Strumento di analisi qualitativa che mira a definire, attraversoindicazioni soggettive fornite dai business owners, scenari atti ad individuare e valutare i rischi operativi, misurare l’esposizione, le vulnerabilità, la qualità dei controlli e l’eventuale mitigazione
La normativa richiede esplicitamente l’utilizzo degli scenari nell’ambito del sistema di misurazione dei rischi operativi
Non c’è uno standard metodologico per l’applicazione di tale approccio, per l’utilizzo dei risultati né per la determinazione del capitale a partire da tali risultati
Obiettivi delle altre tecniche qualitative
Tradurre i giudizi qualitativi espressi a conclusione di processi di autovalutazione/analisi in giudizi quantitativi all’interno di una scala di valori che forniscono un ranking tra le diverse esposizioni al rischio operativo
Gli score possono essere aggregati per linee di business / processo / tipologia di evento e vengono utilizzati per aggiustare l’ammontare di capitale per il rischio operativo calcolato secondo i metodi di stima quantitativi (ad es. sulla base di un approccio LDA) .
Le analisi possono essere condotte dai risk owner ovvero da strutture di controllo (Audit)
Caratteristiche
ScorecardSi basano sulla selezione di singoli fattori di rischio, individuati dagli esperti, per i quali viene richiesta ai risk owner una valutazione qualitativa, cui viene attribuito un predefinito peso ai fini della determinazione del punteggio aggregato (non sono richieste risposte su frequenza e impatto medio e max)Il personale di ogni unità compila tali scorecard periodicamenteValidazione da parte dell’ORMUtilizzo dei dati interni per la validazione dei risultati
Audit scoringSi basano sui risultati dell’anali di processo condotta dall’Internalauditing, tradotti in punteggi e classifiche.
Tecniche poco diffuse nelle esperienze di validazione
Problemi
Gestione dei bias individuali
Individuazione dei fattori di rischio idonei ad esprimere in maniera appropriata l’esposizione
Costruzione di tabelle a punti che permettono di sintetizzare in un’unica misura il livello di rischio per singola linea di business, processo, tipo di evento, etc. (in che modo? quali pesi attribuire?)
Valutazione della consistenza delle stime.
Innalzano la consapevolezza dei responsabili delle unità di business sulla rilevanza della gestione del rischio operativo
Sopperiscono alla mancanza di dati di perdita e anticipano le variazioni nel profilo di rischio (es. cambiamento nel sistema di controlli, nuovi business)
Agevolano l’individuazione dei fattori causali
Creano un forte legame tra misurazione e gestione
Consentono l’utilizzo presidi di controllo preesistenti
Pregi
KRI: cosa sono
Variabili misurabili che forniscono segnali di un incremento delrischio
Caratteristiche:misurabili (archivi aziendali)predittivi (verificabile?)dinamici e tempestivi
Tipologie:di esposizione (misurano i volumi di lavorazione di processi a rischio)collegati alle perdite collegati alle causecollegati ai controlli
Le sfide dell’implementazione
Difficoltà nel correlare univocamente gli indicatori con le cause/effetti
Grande mole di informazioni: quanti indicatori usare? Importanza relativa?
Quali indicatori usare? KRI, KCI, KPI, KEI? Cluster di indicatori? Sintetici o di dettaglio (monitoraggio processi vs informativa gestionale)?
È possibile un benchmarking?
KRI: come usarli
Monitoraggio:Analisi del trend;Superamento soglie di
criticità (early warning);Relazione con altri indicatori
(altri processi/società);Relazione con le perdite e
gli altri elementi del modello (scenari etc.).
Condivisione con esperti:Analisi superamento soglie;Spiegazione andamenti anomali;Individuazione criticità e priorità di intervento;Revisione dell’indicatore.
Misurazione: integrazionemodelli LDA
L’integrazione: Banca “B”
Dati interni
Dati esterni
Analisi di scenario
Capitale a Rischio
Aggiustamento per gli indicatori di rischio
Correzione per effetto:
•Assicurazione
•perdite attese
LDA
Agenda
Definizione
La regolamentazione
La misurazione e la valutazione
Loss Distribution Approach (LDA)
Risk Control Self Assessment
Key Risk Indicators
L’integrazione delle informazioni
La gestione e il controllo dei rischi operativi
Approccio tradizionale alla gestione e controllo dei rischi operativi
Controlli di linea
Internal Auditing
Affidamento sulla qualità delle risorse umane e sulla cultura aziendale
Approccio avanzato
Obiettivo: visione integrata del profilo di rischio operativo e delle necessarie azioni di mitigazione
Si aggiungono ai presidi tradizionali:
Definizione di una governance e di una policy per il controllo e la gestione degli OpRisk
Creazione di una funzione di Operational Risk Management
Sistemi di misurazione / valutazione del rischio
La gestione del rischio operativo
•Risk mapping
•Attribuzione a processi/unità
•BPR•Miglioramenti SCI•Trasferimento dei rischi•Risk mappingrewiew
•Capitale regolamentare•Capitale economico•RAPM•Sistemi di incentivazione
•BIA•TSA•AMA•LDA•RCSA
–Audit scoring–SBA–KRI
Identificazionee
classificazione
Misurazione -
Valutazione
Monitoraggio
Gestione
Mitigazione
Gestionedel
capitale
Governo societario
La responsabilità primaria di un efficace governo dei rischi operativi è rimessa agli organi di governoorgani di governo della banca.
COMPITI COMPITI Definiscono le linee generali del sistema, sono responsabili della sua realizzazione, vigilano sul suo concreto funzionamento,verificano la sua complessiva funzionalità e rispondenza ai requisiti previsti dalla normativa,
INCENTIVI INCENTIVI
COMMITMENTCOMMITMENT
La Gestione del Rischio Operativo richiede unastruttura di Governance coerente con le dimensioni
e la complessità organizzativa
Ownership dei rischi operativi da parte dei responsabili di business line e coinvolgimento attivo di tutte le unità organizzative interessate alla loro gestione (anche le filiali)
Creazione di una funzione indipendente di operational riskmanagement (ORM)
Ruolo indipendente attribuito alla Funzione di Internal Auditing
Strutture di coordinamento orizzontale con funzione di integrazione (Comitato rischi, Comitato OpRisk, …)
Gli attori
Area Rischi
Area Auditing
Area Organizzazione
Area Information Technology,
Area Pianificazione strategica e Controllo di Gestione
Aree produttive e commerciali
Il Comitato Rischi
E’ l’organo di verifica ed indirizzo del complessivo processo di gestione del rischio operativo
Sottopone al vertice aziendale gli interventi per la corretta attuazione del modello metodologico per la gestione dei rischi.
Monitora l’evoluzione dell’esposizione al rischio e propone al vertice aziendale gli interventi di mitigazione
Composizione: ORM, Audit, Organizzazione, IT,….
La funzione di controllo dei rischi operativi
I compiti :progettazione, sviluppo e manutenzione dei sistemi di gestione emisurazione dei RO;raccolta e conservazione dei dati;valutazione del profilo di rischio operativo;determinazione del requisito patrimoniale sui rischi operativi;reporting (info sulle 4 componenti, aree di vulnerabilità, azioni di prevenzione e mitigazione, trasferimento del rischio, etc);formulazione proposte di intervento, con le relative priorità, dasottoporre al Comitato Rischi.
Per lo svolgimento di tale funzione, la banca utilizza risorse con adeguata professionalità nella gestione e nelle metodologie di misurazione dei rischi operativi e con approfondita conoscenza dei processi aziendali.
audit
compliance
sicurezza
ORM
SOX L.231
L.262
L.62
6
MiFiD
Requisiti patrimoniali
BCPAntiric
iclaggio
Si deve costituire l’infrastruttura comune per consentire alle altre funzioni aziendali di svolgere ciascuna i propri compiti in modo ordinatoed efficace
ORM: il rapporto con le altre funzioni coinvolte (1)
Chiarire ruoli e responsabilità tra le funzioni coinvolte per non sovrapporre competenze e responsabilità ma perchè siano complementariCondividere standard e framework comuni ed integrati
Le sfide per l’ORM
Inerzia al cambiamentoSovrapposizione dei ruoli e boundary issuesIl sistema deve essere innestato nei processi decisionali (vicinanza al business e use test)Attenzione al passaggio dall’ambito progettuale all’esecuzione (sostenibilità)Modello di misurazione: non c’è una soluzione unica che vada bene per tuttiVariazioni del contesto operativo (strutturali, fusioni, ...)
ORM: i risultati raggiunti
E’ stato definito in maniera positiva un rischio che era considerato « residuale »Il Management ha capito che il rischio operativo dev’essere governato e disciplinatoSono stati messi in atto provvedimenti organizzativi che definiscono compiti e responsabilitàSono stati raccolti molti datiSono stati sviluppati i primi report verso il ManagementE’ stato stimato il capitale a fronte di un rischio che era considerato impossibile da misurareSono stati fatti significativi investimenti in formazione