Il rischio informatico se non correttamente gestito può causare danni notevoli con enormi ripercussioni sulla gestione economico-finanziaria nonché sulla reputazione dell’organizzazione
La crisi finanziaria ha enfatizzato sempre più la problematica relativa al controllo del rischio operativo degli intermediari finanziari da inquadrarsi in quella più ampia di gestione della “compliance”. In tale contesto, emerge con chiarezza che assetti di governo efficienti e funzioni di controllo autorevoli, attive e indipendenti, consentono di evitare o limitare le perdite conseguenti a situazioni di crisi intense e diffuse. L’ultimo aggiornamento, il 15esimo – della circolare n. 263 della Banca d’Italia in tema di vigilanza prudenziale e “Sistema dei controlli interni, sistema informativo e continuità operativa” – armonizza la disciplina con le disposizioni comunitarie facendo leva su alcuni principi di fondo, coerenti con le migliori prassi internazionali e con le raccomandazioni dei principali standard setter (Financial Stability Board, Comitato di Basilea per la vigilanza bancaria, EBA). Tra questi si evidenziano: il maggior coinvolgimento dei vertici aziendali; l’esigenza di assicurare una visione integrata e trasversale dei rischi; l’attenzione ai temi dell’efficienza e dell’efficacia dei controlli; la valorizzazione del principio di proporzionalità, che consente di graduare l’applicazione delle norme in funzione della dimensione e della complessità operativa delle banche.
Le principali novità introdotte dalla nuova normativa riguardano:
• la previsione di principi generali di organizzazione;
• i compiti degli organi aziendali rispetto alle funzioni strategiche, gestionali e di controllo;
• la definizione del Risk Appetite Framework (RAF);
• il rafforzamento dei controlli di primo, secondo e terzo livello e cioè responsabilità e perimetro di azione del risk management, della compliance e dell’internal audit;
• l’outsourcing;
• la disciplina del sistema informativo;
• la continuità operativa.
RISCHIO OPERATIVO E RISCHIO ICT – Secondo il Comitato di Basilea, per rischio operativo s’intende “the risk of loss resulted from inadequate or failed internal processes, people and systems, or from external events”, includendo l’aspetto tecnologico e di processo nel rapporto causale tra inadeguatezze di sistemi, processi e relativi danni finanziari e reputazionali.
In generale, il rischio operativo è un rischio che un’organizzazione non può evitare di assumere, ma che l’organizzazione deve imparare a individuare, valutare e “gestire”.
Il rischio operativo coinvolge numerose competenze e sistemi gestionali all’interno dell’azienda e può essere ricondotto a quattro categorie di fattori causali di cui le prime tre interne all’azienda:
1. Risorse umane: perdite derivanti da comportamenti del personale quali errori, frodi, non rispetto di regole e procedure interne, incompetenza o negligenza.
2. Processi: malfunzionamenti di procedure interne o, caso molto comune, di lacune nel sistema dei controlli.
3. Tecnologia: tutto ciò che è correlato all’ICT, agli impianti.
4. Fattori esogeni: minacce ambientali, attività criminali commesse da soggetti esterni, eventi politici o militari, cambiamenti nel contesto legislativo e fiscale.
Già nel 1998 le istituzioni finanziarie registravano perdite per più di 7 miliardi di dollari imputabili a rischi operativi e secondo una ricerca condotta dall’Operational Risk Inc., dal 1980 le istituzioni finanziarie hanno perso più di 200 miliardi di dollari a causa dei rischi operativi. Basti ricordare il trader della Société Générale che aveva accumulato enormi posizioni, scommettendo sugli indici dei mercati azionari europei, con operazioni non autorizzate, effettuate sfruttando una falla di autenticazione del sistema di trading. La banca, una volta scoperta la truffa, ha deciso di cancellare all’inizio della settimana tutte le posizioni prese dal trader, con perdite stimate intorno ai 4,9 miliardi di euro. Le interruzioni dell’operatività e le falle dei sistemi informatici rappresentano quindi una delle principali cause di perdite (per esempio si veda ancora il caso della perdita di 25 milioni di dati personali da parte dell’ufficio delle tasse inglesi avvenuta nel novembre 2007) insieme alle disfunzioni dei processi interni che trovano poi nei sistemi informativi la loro implementazione operativa.
RAF E RISCHIO ICT NELLE BANCHE – Pertanto, anche il rischio informatico deve trovare il proprio posizionamento all’interno del Risk Appetite Framework (RAF) delle banche ossia di quell’insieme di politiche, processi, controlli e sistemi che consente di stabilire, formalizzare, comunicare e monitorare gli obiettivi di rischio che una banca intende assumere. Il RAF è articolato in soglie e limiti di rischio, che consentono di individuare a priori i livelli e le tipologie di rischio che una banca intende assumere e individua i ruoli e le responsabilità di tutte le strutture aziendali coinvolte nel processo di gestione dei rischi. È richiesto che il RAF sia coerente con il piano strategico e con i risultati del processo interno di autovalutazione dell’adeguatezza patrimoniale (c.d. ICAAP). Le disposizioni indicano il contenuto minimale del RAF, la cui articolazione deve essere proporzionata alle dimensioni e alla complessità operativa di ciascuna banca.
Per la normativa di vigilanza, il “rischio informatico (o ICT)” è “il rischio di incorrere in perdite economiche, di reputazione e di quote di mercato in relazione all’utilizzo di tecnologia dell’informazione e della comunicazione”. Tale rischio pervade l’intera struttura delle banche e dei diversi processi aziendali. A differenza dei rischi di mercato, la sua valutazione non è immediata e – diversamente da altri rischi operativi – non è sempre trasferibile a terzi attraverso, per esempio, assicurazioni ed esternalizzazioni. L’individuazione del rischio ICT impone quindi un’attenta gestione dei sistemi anche in una prospettiva strategica in quanto il manifestarsi di tale rischio potrebbe condizionare profondamente il business aziendale o parte di esso. Non a caso quindi le nuove disposizioni dedicano ampio spazio ai principi di governo e organizzazione del sistema informativo, descrivendo anche le macrofasi di gestione del rischio ICT. Tali fasi sono:
1. Valutazione del rischio potenziale: in questa fase deve essere effettuata un’attenta mappatura e classificazione delle risorse ICT in termini di rischio informatico e del loro utilizzo nei processi aziendali.
2. Analisi del sistema di controllo interno e individuazione delle misure di attenuazione del rischio potenziale: l’analisi determina il rischio residuo da sottoporre ad accettazione formale dell’utente responsabile.
3. Gestione del rischio residuo: qualora il rischio residuo ecceda la propensione al rischio ICT, approvato dall’organo con funzione di supervisione strategica, l’analisi propone l’adozione di misure alternative o ulteriori di trattamento del rischio definite con il coinvolgimento della funzione di controllo dei rischi e sottoposte all’approvazione dell’organo con funzione di gestione.
La previsione di tali misure di prevenzione del rischio richiede che il management strategico insieme a figure chiave quali il CIO, il CRO (chief risk officer) e il CFO lavorino in maniera coordinata al fine di rispettare la road map che fissa il completamento dell’implementazione delle disposizioni della circolare 263 entro il 1 luglio 2016.
di Francesco Bellini presidente del Comitato Tecnico ICT di ANDAF e senior partner Eurokleis
Torna alla Home Page della sezione CFO
