Risk assessment: cos’è e perché è importante per le banche
La globalizzazione dei mercati finanziari, lo sviluppo dell’information technology, la crescente concorrenza hanno in larga misura influito sull’attività bancaria e, soprattutto, sul suo risk management. Tanto che la gestione del rischio è diventata un pilastro per assicurare redditività e solidità alle banche, dato che questo processo a livello macro di valutazione, analisi, priorità e definizione di una strategia permette di mitigare le minacce alle risorse e ai profitti. Un obiettivo per il quale gioca un ruolo cruciale il risk assessment (la valutazione del rischio).
Di che cosa si tratta e in che cosa consiste? In breve, il risk assessment è una fase fondamentale del più ampio processo di risk management, che aiuta in generale le aziende, in particolare le banche, a prevenire e gestire possibili situazioni problematiche.
Come definizione del risk assessment, potremmo dire che è il processo di livello medio all’interno del risk management per garantire che tutti i rischi associati alle attività, in questo caso di un istituto di credito, siano identificati, misurati, limitati, controllati, mitigati e segnalati in modo tempestivo e completo.
Ma vediamo più in dettaglio che cos’è, come funziona, le fasi, i vantaggi e gli obiettivi di risk assessment.
Che cos’è il risk assessment
Il risk assessment, letteralmente la “valutazione del rischio”, fa riferimento a un processo che identifica potenziali rischi e analizza le loro conseguenze, sia a livello qualitativo che quantitativo. Il termine è utilizzato per descrivere il processo o il metodo generale in cui:
- Identificare i pericoli e i fattori di rischio che possono causare dei danni (cioè, l’identificazione del pericolo);
- Analizzare e valutare il rischio associato a tale pericolo (la cosiddetta, analisi del rischio e valutazione del rischio);
- Determinare i modi appropriati per eliminare il pericolo o controllare il rischio quando il pericolo non può essere eliminato (ossia, il controllo del rischio).
Qual è la differenza tra risk management e risk assessment?
Il risk assessment è un’attività preliminare al risk management: se il primo consiste nell’individuare e analizzare le diverse tipologie di rischio a cui una società potrebbe essere esposta, il secondo indica l’insieme delle operazioni che la società dovrebbe intraprendere per proteggere il proprio equilibrio economico e finanziario.
Scopri TIGREARM
La suite applicativa e di controllo delle informazioni bancarie e finanziarie.
Clicca sul bottone e vai alla pagina dedicata ai moduli TIGREARM oppure richiedi una DEMO gratuita
Il rischio è dato da quali elementi?
Prima di conoscere come funziona il risk assessment, vediamo com’è “composto” un rischio. Il rischio può essere espresso dalla formula:
Rischio = Pericolo x Magnitudo
Cioè, il rischio è il prodotto tra la pericolosità (la probabilità che un evento si verifichi in un determinato spazio/tempo) e la magnitudo, cioè la gravità delle conseguenze dannose.
È chiaro che, in questo contesto, diventa cruciale il risk control analytics. Che cos’è? È l’individuazione e l’analisi dei rischi per capire quali siano le priorità di intervento e produrre poi azioni strategiche per contenerli o attenuarli.
Quando si esegue l’analisi del rischio
L’analisi di rischio può essere svolta in qualsiasi momento e si applica a qualsiasi aspetto dell’attività, in questo caso quella bancaria, prendendo in esame un campo sterminato di pericoli e di scenari collegati che possono generare eventi accidentali indesiderati, dannosi e gravi.
Quali sono, in sintesi, le fasi del processo di rischio?
Sono quattro e sono le seguenti:
- Individuazione e registrazione dei rischi;
- Valutazione dei pericoli per determinare il livello di rischio;
- Individuazione delle misure di prevenzione e protezione;
- Attuazione delle misure.
Risk assessment 231: cosa contiene
Prima di procedere all’esame delle singole fasi, è d’obbligo sapere che cosa contenga l’articolo 6, comma 2, D.Lgs. 231/2001 secondo il quale il modello deve “a) individuare le attività nel cui ambito possono essere commessi i reati…”.
Esso rappresenta la parte centrale di tutto il processo di definizione del modello organizzativo ex D.Lgs 231/2001, perché consente di identificare i settori e i processi aziendali esposti alla possibile commissione di uno dei reati previsti dal Decreto 231 e, quindi, di predisporre tutte le contromisure atte a evitare che questi rischi si realizzino nel contesto di operatività dell’ente, nel nostro caso una banca.
Le fasi di valutazione del rischio
Come detto, sono quattro le fasi di valutazione del rischio. La prima è l’identificazione del rischio: il processo di individuazione e descrizione dei rischi che potrebbero aiutare o impedire a una società di raggiungere i propri obiettivi.
In questa fase attività bisogna tenere in massima considerazione due aspetti:
- Nell’ambito del perimetro D.Lgs. 231/2001, il focus dovrà essere nell’identificare quegli scenari, minacce o comportamenti caratterizzanti uno dei reati (specialmente in fattispecie di reati d’evento) che, sulla base dell’analisi del contesto, potrebbero manifestarsi. Per esempio, nel rischio corruzione, dato un contesto di relazioni con la PA e un business che prevede la gestione di appalti, si dovranno caratterizzare quelle ipotesi di condotte che potenzialmente possono esporre a condotte corruttive (per esempio: dazioni di regalie, selezione di partner in violazione di norme o in assenza di trasparenza);
- In analisi di Compliance più ampie (utilizzate anche a fini del D.Lgs. 231/2001) sarà utile identificare all’interno dei processi le possibili violazioni di norme a cui è sottoposta l’organizzazione in via generale dato che, in alcune fattispecie di reato, la violazione di norme (anche di mera condotta o semplici omissioni) può costituire “predicate offenses” di fattispecie a rilevanza penale.
Eseguita questa attività si dovrà, a livello documentale, dare evidenza del percorso logico svolto e, per esempio:
- Per fattispecie di reato che sono integrabili in modo variegato e con condotte composte o varie, fare un elenco di condotte o situazioni (minacce) che saranno successivamente sottoposte ad assessment;
- Per violazioni di norme che possono avvenire per sé e rientrano nel perimetro di analisi, creare un inventario dei principali adempimenti normativi e obblighi di controllo incombenti sulla società.
La seconda fase è l’analisi del rischio, assicurandosi di considerare:
- Incertezze, comprese quelle con possibili conseguenze negative e positive;
- Fonti di rischio;
- Eventi;
- Probabilità di eventi;
- Conseguenza di quegli eventi;
- Efficacia dei controlli attuali;
- Efficacia di potenziali controlli futuri.
Va sottolineato che l’analisi del rischio sarà più meticolosa e precisa se si utilizzeranno informazioni di alta qualità, cioè accurate e complete. Senza dimenticare che, a volte, occorre uscire dal cerchio operativo della propria società per ottenere alcune di queste informazioni. Inoltre, è necessario essere a conoscenza, documentare e comunicare opinioni, pregiudizi, presupposti, esclusioni ed eventuali limitazioni di qualsiasi tecnica utilizzata.
La terza fase è la valutazione del rischio: confrontare i risultati ottenuti durante l’analisi del rischio e confrontarli con i criteri di rischio esistenti della propria società per stabilire se sia indispensabile fare di più per trattare i rischi che si stanno valutando.
Infine, la quarta fase è l’attuazione delle misure, in cui si può scegliere di:
- Non fare nulla, in quanto si è già adeguati;
- Considerare l’implementazione di altri trattamenti di rischio;
- Riconsiderare gli obiettivi della propria organizzazione;
- Tornare alla fase di analisi del rischio per sviluppare una comprensione più approfondita del rischio in questione.
Scopri TIGREARM
La suite applicativa e di controllo delle informazioni bancarie e finanziarie.
Clicca sul bottone e vai alla pagina dedicata ai moduli TIGREARM oppure richiedi una DEMO gratuita
Quali sono i fattori che devono essere considerati per la valutazione del rischio?
Anzitutto, la probabilità che il pericolo si verifichi; in secondo luogo, la gravità degli effetti dopo che il pericolo si è verificato; in terzo luogo, frequenza e durata dell’esposizione al pericolo e, infine, la popolazione, ossia il numero di persone esposte al rischio.
Quali sono gli obiettivi del risk assessment
Il risk assessment ha lo scopo di individuare e analizzare i rischi per capire quali siano le priorità di intervento e produrre poi azioni strategiche per contenerli o attenuarli. È il punto fondamentale della strategia di gestione del rischio e al suo interno include altre fasi.
Il risk assessment, dunque, ha anche una valenza strategica, perché consente di fare delle previsioni sul rischio. Si procede andando a studiare per ogni pericolo che si è identificato nel contesto aziendale quale sia la probabilità che questo si verifichi per davvero. È utile a questo scopo avere statistiche che permettano una ricostruzione della storicità delle crisi subite dall’azienda, per capire quali pericoli si sono concretizzati e in che misura. L’assessment produrrà anche dati sugli eventuali impatti che il concretizzarsi dei rischi individuati possano provocare, in una scala che contempla diversi gradini dal meno grave al catastrofico, indicando anche le ripercussioni per l’azienda, come per esempio per una banca. Occorre anche evidenziare che l’assessment in una prospettiva strategica è utile anche per stabilire i limiti entro cui correre dei rischi in modo controllato e raggiungere gli obiettivi che l’istituto di credito o l’impresa si siano prefissati.
Chi si occupa del risk assessment?
Le procedure di valutazione del rischio, ossia la metodologia per svolgere questo compito o incarico, sono generalmente supervisionate dal Chief risk officer (CRO), una figura professionale qualificata, esperta del settore e in grado di gestire tutte le fasi del processo di analisi e valutazione.
Che cos’è l’ERM
Nel 2004, The Committee of Sponsoring Organizations of the Treadway Commission (COSO), l’iniziativa congiunta per combattere le frodi aziendali, ha proposto l’Enterprise Risk Management (ERM) allo scopo di guidare i manager per valutare e migliorare la gestione del rischio aziendale complessivamente intesa attraverso un modello integrato che intende comprendere tutti i rischi aziendali.
L’ERM, nell’ambito del Sistema di Controllo Interno (SCI), rientra nell’insieme delle regole, dei controlli e di ogni altra attività che contribuisce a mantenere l’organizzazione aziendale, nel nostro caso di una banca, costantemente orientata al perseguimento dei seguenti obiettivi:
- Conformità delle operazioni a leggi e regolamenti;
- Affidabilità e integrità delle informazioni (ivi comprese le informazioni finanziarie e di bilancio);
- Salvaguardia del patrimonio aziendale;
- Efficacia ed efficienza delle operazioni.
BCM significato
Il Business Continuity Management (BCM), o gestione della continuità aziendale, è un processo di gestione olistico che identifica i rischi potenziali che minacciano l’organizzazione di un’azienda e mette in opera un sistema di gestione resiliente, capace di fornire una risposta immediata ed efficace in caso di incidente, frode o danno, in grado di proteggere gli interessi di tutte le parti coinvolte, della reputazione e delle attività che creano valore.
L’obiettivo primario della gestione della continuità aziendale è quello di consentire a un’impresa di proseguire le sue attività principali in condizioni avverse. Come? Tramite l’introduzione di appropriate strategie di resilienza, di obiettivi temporali di recupero, di soluzioni di continuità tecnologica e organizzativa, di misure di gestione del rischio di interruzione dell’attività e di piani di gestione della crisi.
Risk management e risk assessment: mercato in crescita
Il valore del mercato globale dei sistemi dedicati alla gestione del rischio, stimato pari a 7,39 miliardi di dollari nel 2019, dovrebbe crescere fino a 28,87 miliardi entro il 2027, con una crescita media anno su anno del +18,7%, stando a uno studio redatto da Allied Market Research.
E una conferma arriva dal fatto che sempre più aziende, banche comprese, ricorrano a sistemi evoluti di risk management e di risk assessment allo scopo di tutelare il proprio business per l’aumento delle violazioni dei dati e della sicurezza nelle imprese, per l’inasprirsi delle normative governative e dei regolamenti di settore, per lo sviluppo del panorama dell’IoT (Internet of Things). A ciò si aggiunga che, come rileva ancora il report di Allied Market Research, l’integrazione dell’intelligenza artificiale nelle piattaforme di gestione dei rischi e l’incremento della domanda da parte delle economie in via di sviluppo, dovrebbero creare le premesse per una maggiore diffusione della cultura del rischio e dei prodotti tecnologici a essa connessi.
Proprio in tal senso, noi come Save Consulting Group abbiamo sviluppato e continuiamo ad evolvere la nostra piattaforma TigreArm; in particolare, attraverso il modulo MidaBI, aiutiamo il servizio di Risk Management bancario e finanziario nell’attuazione del RAF e delle relative politiche di governo dei rischi, attraverso un adeguato processo di gestione dei rischi.
Scopri TIGREARM
La suite applicativa e di controllo delle informazioni bancarie e finanziarie.
Clicca sul bottone e vai alla pagina dedicata ai moduli TIGREARM oppure richiedi una DEMO gratuita