Tutto ciò che devi sapere sul Risk Management bancario - Il blog di Augeos

Funzioni di controllo: l’importanza dell’Operational Risk Management

Scritto da Augeos | 19 febbraio 2024

L'Operational Risk Management è ormai un elemento essenziale per garantire che le funzioni di controllo operino correttamente all'interno di un'organizzazione bancaria. I rischi sono, infatti, insiti nel modo in cui sono pianificati e gestiti i processi, e soprattutto nel modo in cui ciascun attore svolge i suoi task. Imparare a gestire il rischio in maniera dinamica significa quindi studiare accuratamente la fisionomia di ogni operazione, acquisendo e catalogando i dati provenienti da tutte le funzioni per costruire mappe dettagliate degli scenari plausibili. Mappe che del resto saranno in costante evoluzione, dato che variabili di sistema e framework di riferimento continueranno a loro volta a cambiare con frequenza. Sulla base delle mappe così realizzate, i Chief Risk Officer possono così dare vita a cicliche fasi di valutazione che di volta in volta aggiornano le priorità di cui tenere conto e naturalmente i rischi a cui la banca è esposta sotto il profilo operativo. Si cambia, in altre parole, radicalmente prospettiva: anziché puntare a mitigare le minacce potenziali, predisponendo piani di contenimento o prevedendo l'entità dei danni generati da un incidente, si lavora per ottimizzare i processi in modo che i risultati ottenuti si discostino il meno possibile dai risultati attesi anche nel momento in cui dovesse verificarsi lo scenario peggiore.

 

Cos'è l’Operational Risk Management

Ma cos'è esattamente l'operational risk management? Per definirlo, partiamo dall'ambito che la disciplina cerca di circoscrivere e gestire: il Comitato di Basilea per la vigilanza bancaria descrive il rischio operativo come "il rischio di perdite derivanti da processi interni, persone, sistemi o eventi esterni inadeguati o falliti". Il che significa che si tratta di minacce che gravano sulla business continuity, sull'impatto ambientale dell'organizzazione, sulle crisi che possono abbattersi sul settore in cui opera, sulla salute delle persone e sulla sicurezza degli asset fisici e informatici".

La gestione del rischio operativo deve quindi corrispondere all'insieme dei processi, degli strumenti e delle competenze che consentono a un'organizzazione di valutare le minacce, supportare il processo decisionale per prevederle e mitigarle e attuare un sistema di controllo efficace per rendere accettabili i rischi identificati.

Tra le attività che rientrano nella sfera di questa disciplina ci sono:

  • il controllo di eventuali comportamenti scorretti da parte dei dipendenti;
  • la verifica di eventuali perdite di dati determinati da incidenti di cybersecurity;
  • il monitoraggio dei rischi legati alle componenti di automazione dei processi;
  • la mitigazione delle minacce alla sicurezza fisica dei dipendenti e dei processi;
  • la prevenzione delle conseguenze derivate da disastri naturali;
  • la lotta alle frodi interne ed esterne.

 

Le funzioni impattate dall'Operational Risk Management

Come sottolinea la Circolare 285 di Banca d’Italia del 2013, sono tre le tipologie di funzioni di controllo presenti in un istituto finanziario:

  1. funzioni di primo livello (compiti di controllo che riportano ai responsabili delle strutture operative, ovvero eseguiti nell’ambito del back office);
  2. funzioni di secondo livello (unità preposte alla definizione delle politiche di governo dei rischi e del processo di gestione dei rischi);
  3. funzioni di terzo livello (dedicate alla revisione interna e all'individuazione di violazioni delle procedure e della regolamentazione).

La prima categoria, di primo livello, comprende i controlli di linea, diretti ad assicurare il corretto svolgimento delle operazioni. Essi sono effettuati dalle stesse strutture operative anche attraverso unità dedicate esclusivamente a compiti di controllo che riportano ai responsabili delle strutture operative, ovvero eseguiti nell’ambito del back office. Per quanto possibile, vanno incorporati nelle procedure informatiche.

Le strutture operative sono le prime responsabili del processo di gestione dei rischi: nel corso dell’operatività giornaliera tali strutture devono identificare, misurare o valutare, monitorare, attenuare e riportare i rischi derivanti dall’ordinaria attività aziendale in conformità con il processo di gestione dei rischi; esse devono rispettare i limiti operativi loro assegnati coerentemente con gli obiettivi di rischio e con le procedure in cui si articola il processo di gestione dei rischi. Ci sono poi controlli di secondo livello, sui rischi e sulla conformità, che hanno l’obiettivo di assicurare, tra l’altro, la corretta attuazione del processo di gestione dei rischi, il rispetto dei limiti operativi assegnati alle varie funzioni e la conformità dell’operatività aziendale alle norme, incluse quelle di autoregolamentazione. Le funzioni preposte a tali controlli sono distinte da quelle produttive, concorrendo alla definizione delle politiche di governo dei rischi e del processo di gestione dei rischi.

C'è infine la revisione interna (controlli di terzo livello), volta a individuare violazioni delle procedure e della regolamentazione nonché a valutare periodicamente la completezza, l’adeguatezza, la funzionalità (in termini di efficienza ed efficacia) e l’affidabilità del sistema dei controlli interni e del sistema informativo, con cadenza prefissata in relazione alla natura e all’intensità dei rischi.

Tra le principali funzioni di controllo a cui è possibile applicare il nuovo approccio all'Operational Risk Management ci sono Compliance e AML (Anti Money Laundry), come funzioni di secondo livello, e l'Audit, di terzo livello. La Circolare 285, così come già la Circolare 263 del 2006, ha imposto l'ampliamento degli ambiti di verifica in particolare delle funzioni aziendali preposte ai controlli di secondo livello, rendendo necessaria la predisposizione di una relazione annuale sugli esiti dei controlli effettuati in corso d’esercizio, da sottoporre a delibera del Consiglio di Amministrazione e, quindi, inviare all’Autorità di vigilanza.

Nell’ambito dei rischi operativi, ricordiamo, si sono aggiunti – in special modo negli ultimi anni – i rischi di tipo informatico, rispetto ai quali è imprescindibile elaborare e applicare strategie strutturate di Operational Risk Management.

 

Quali sono i vantaggi dell'Operational Risk Management

La gestione del rischio operativo, come detto, è essenziale per garantire la business continuity, ma svolge un ruolo primario anche nell'ottica di ridurre i costi di conformità e di migliorare l'efficienza dei processi.

Le attività di controllo associate all'operational risk management, infatti, semplificano il processo decisionale basato su metriche quantitative: i controlli interni possono così essere sviluppati sulla base di valutazioni del rischio e i processi aziendali essere progettati per prevenire e rilevare le attività potenzialmente dannose.

Un altro plus che deriva da un'oculata gestione del rischio operativo è quello di aiutare l'azienda a ridurre le perdite potenziali derivanti da minacce emergenti e non previste: stabilire un piano d'azione efficace prepara l'azienda a raggiungere i propri obiettivi strategici assicurando la continuità aziendale nonostante le interruzioni impreviste delle attività. Un solido programma di gestione del rischio operativo comunica inoltre ai clienti e agli stakeholder che il business, nel complesso, è preparato ad affrontare eventuali crisi, iniettando fiducia nel mercato e contribuendo a migliorare il vantaggio competitivo dell'azienda.

 

Come l'Operational Risk Management mitiga i rischi di mancata conformità al GDPR

La gestione del rischio relativa alla compliance del GDPR (General Data Protection Regulation) costituisce una sfida non indifferente anche per le organizzazioni più strutturate. Sono proprio le aziende inserite in ecosistemi articolati quelle che hanno maggiore difficoltà a garantire la conformità dei processi che implicano la raccolta, la conservazione e il trattamento dei dati sensibili. Le banche rientrano a pieno titolo in questa definizione, e con quanto previsto dall'introduzione delle disposizioni previste dalla PSD2, che di fatto implica una ristrutturazione completa della normativa di riferimento in materia di sistemi e servizi di pagamento. Ambiti che a cascata generano maggiore complessità in materia di compliance, rischi informatici, rischi cyber, rischi operativi e, non ultimi, rischi reputazionali. Tra le altre cose, la PSD2 regola anche i rapporti di forza tra i vari attori attivi in una dimensione completamente nuova, quella dell'open banking. Integrando un approccio Risk Based a modelli efficaci di governo della privacy è possibile presidiare il rischio informatico intersecandolo con l'individuazione di procedure e condotte atte a garantire il rispetto dell'impianto regolamentare del GDPR. I due temi sono, infatti, per molti versi affini, essendo entrambi collegati all'integrità dei sistemi IT e alla corretta gestione delle risorse informatiche necessarie a conservare e a trattare le informazioni da tutelare. Attraverso lo sviluppo di una roadmap che comprenda fasi specifiche di analisi, mappatura, valutazione e mitigazione dei rischi, le banche possono così elaborare un modello flessibile, in grado di accompagnare l'ampliamento delle attività di Risk Management man mano che cresce il raggio d'azione del business all'interno del proprio ecosistema.