Risk management plan: perché è cruciale per le banche

Anche per le banche e le società finanziarie, come per tutte le imprese, dotarsi di un risk management plan è cruciale per prevenire l’insorgenza di rischi e incidenti, in quanto non pianificare è il vero rischio. Per questo motivo, l’ABI (Associazione bancaria italiana) punta molto sulla formazione in questo ambito, così come la Banca d’Italia, anche tramite studi, ricerca, webinar, convegni e pubblicazioni.

In linea generale, c’è da dire che per garantire la “salute” di una banca e di una società finanziaria, è necessario che il risk management plan includa un dettagliato cronoprogramma e un piano preciso d’azione con una serie di step da mettere in atto per sapere che cosa fare, quando e come muoversi all’interno di uno scenario di crisi, interno oppure esterno all’istituto bancario.

Dopotutto, i recenti fallimenti bancari, in particolare negli Stati Uniti, e le relative crisi finanziarie conseguenti, hanno evidenziato l’importanza della gestione del rischio nel settore bancario per scongiurare perdite finanziarie significative che possono rallentare o, addirittura, condizionare le economie, sia locali che globali.

Ma che cosa prevede la gestione del rischio in una banca? Quali tipi di minacce un istituto di credito deve gestire? E ancora: cosa possono fare le banche per ottimizzare i loro programmi di gestione del rischio? Perché per una banca è necessario dotarsi di un risk management plan?

Il rischio di non pianificare il rischio

La gestione del rischio bancario è il processo con cui una banca identifica, valuta e adotta misure per mitigare la possibilità che si verifichi qualcosa di negativo a causa delle sue decisioni operative o di investimento.

Ecco alcuni motivi dell’importanza della gestione del rischio per una banca:

• evitare di sprecare o perdere inutilmente il denaro di cui ha bisogno per rimanere in attività;
• evitare interruzioni delle proprie operazioni;
• mantenere la fiducia di investitori e clienti per continuare a fare business con loro;
• rispettare le leggi e i regolamenti per evitare di pagare multe per la non conformità alla normativa.

Tuttavia, per mettere a punto un proficuo risk management plan, il primo passo da compiere è conoscere quali siano i rischi a cui la banca è esposta. Ecco perché, anzitutto occorre fare un risk assessment. In dettaglio:

• definire i processi aziendali coinvolti;
• mappare e identificare chiaramente i rischi;
• valutare qualitativamente e quantitativamente tali rischi.

In sostanza, il team di una banca incaricato di redigere un risk management plan deve porsi alcuni semplici ma fondamentali interrogativi:

• cosa succede se il rischio “X” o “Y” si concretizzasse?
• quanto è probabile che ciò accada e che impatto può essere preventivato per tale incidente?
• se si verificasse il rischio “X” o “Y” quali sarebbero le conseguenze?

Le risposte a domande come queste costituiscono il background da cui iniziare a elaborare un risk management plan bancario.

In questo quadro, un fattore chiave è certamente la raccolta e l’analisi dei dati in possesso della banca. Con alcuni accorgimenti:

• tali dati devono essere il più aggiornati possibile, poiché basare un riskassessment sui dati di cinque anni prima sarebbe una mossa errata;
• tali dati devono essere il più capillari possibile.

I sei pilastri del risk management plan

Superato questo passaggio iniziale, lo step successivo è la formulazione del processo di gestione del rischio che comprende sei elementi, i quali costituiranno i pilastri di un risk management plan:

• identificazione, ossia definizione della natura dei rischi, compresa la loro origine e il motivo per cui rappresentano una minaccia per la banca;
• valutazione e analisi della probabilità che un rischio rappresenti una minaccia per la banca e quantificazione della sua gravità. Questo aiuta la banca a stabilire le priorità dei rischi che meritano maggiore attenzione;
• mitigazione, cioè progettazione e implementazione di politiche e processi bancari che limitino la possibilità che i rischi diventino minacce e che riducano al minimo i danni che tali minacce possono causare;
• monitoraggio, ovvero raccolta di dati sulla prevenzione delle minacce e sulla risposta agli incidenti per determinare il funzionamento della strategia di gestione del rischio della banca. Ciò comporta anche la ricerca delle tendenze emergenti in materia di rischio per determinare se il quadro di gestione del rischio di una banca debba (o dovrà) essere aggiornato;
• cooperazione per stabilire relazioni tra i rischi e le strategie di mitigazione nelle diverse aree operative della banca al fine di creare un sistema di risposta alle minacce più centralizzato e coordinato;
• rendicontazione, documentazione ed esame delle informazioni relative agli sforzi di gestione del rischio della banca per valutarne l’efficacia. Questo serve anche a monitorare l’evoluzione del profilo di rischio complessivo della banca nel corso del tempo.

I quattro errori da non fare

Oltre ai suggerimenti di cui sopra per la gestione di specifici tipi di rischi bancari, ci sono alcune cose che una banca può fare per mettere a punto un risk management plan efficace. Per non commettere errori, è utile conoscere quali siano i passi falsi più comuni che si possano fare:

• primo, mai sottovalutare l’impatto di un incidente;
• secondo, mai dimenticare che un incidente possa ricadere su vari fronti e settori dell’attività;
• terzo, mai pensare che i rischi siano tutti uguali. La loro gravità varia da caso a caso, da banca a banca;
• quarto, sempre considerare tutte le opportunità in gioco, non scartando l’ipotesi che un incidente possa trasformarsi anche in una circostanza positiva.

Per scongiurare questi possibili errori, ci sono una serie di buone pratiche da seguire per redigere un risk management plan. Vediamo quali sono.

Stabilire un quadro di governance

È importante coinvolgere nelle operazioni di gestione del rischio tutti coloro che lavorano in banca, non solo i dipendenti dei team di rischio e compliance. I responsabili dei dipartimenti dovrebbero fare un brainstorming con i loro team e poi collaborare con i dirigenti per sviluppare un profilo di rischio complessivo per la banca.

Controlli sugli stakeholders

Gli stakeholders (dai clienti ai dipendenti) che non si relazionano onestamente con una banca possono aumentare drasticamente i rischi che essa corre. Ecco perché una banca dovrebbe investire in tecniche di verifica e autenticazione dell’identità sia per i clienti, siano essi privati o aziende, sia per i propri dipendenti.

Conoscere il proprio cliente (KYC – Know your customer) aiuta a garantire che nessuno agisca illegalmente a vantaggio di altri. Conoscere la propria attività (KYB – Know your business) è essenziale per sapere chi sia realmente a capo di un’azienda e per assicurarsi chi sia responsabile di che cosa. Conoscere i propri dipendenti (KYE – Know your employee) è importante per garantire che tutta la pianta organica della banca agisca nell’interesse della banca stessa, poiché tanti rischi possono essere causati dall’uso improprio di informazioni privilegiate da parte dei dipendenti.

Automatizzare raccolta e analisi dei dati

Intelligenza artificiale e machine learning, in una parola automazione della raccolta e analisi dei dati dell’attività di una banca, sono sempre più cruciali. In primo luogo, monitorando i flussi di dati strettamente monetari e finanziari. In secondo luogo, utilizzando l’apprendimento automatico nella gestione del rischio bancario per creare “punteggi di allerta”. Si tratta di valutazioni basate sulla storia delle transazioni di un cliente, sulla storia dei casi della banca e su altri fattori che indicano la probabilità che un avviso di attività sospetta sia una vera e propria minaccia.

I dati sono fondamentali anche per tenere il passo sia con i singoli casi che con la segnalazione del rischio complessivo, con l’adeguamento normativo e la regolamentazione imposta dalle autorità di vigilanza.

Lavorare sui parametri di rischio

La gestione del rischio nel settore bancario, o in qualsiasi altro settore, non è un processo statico. Il personale o la clientela di una banca possono crescere e cambiare. Vengono sviluppati nuovi standard tecnologici, che possono portare sia a una maggiore sicurezza sia a nuove possibilità di rischio. Inoltre, vengono introdotti nuovi requisiti normativi per affrontare l’evoluzione del panorama delle minacce per le banche.

Ecco perché il processo di gestione del rischio nel settore bancario deve essere dinamico. Le banche devono valutare in che misura i loro attuali controlli gestiscano il rischio e quali aree di rischio possano richiedere ulteriore attenzione. Devono anche considerare i rischi che potrebbero affrontare nel prossimo futuro e stabilire se i loro sistemi siano in grado di adattarsi per gestire correttamente tali rischi.

Soprattutto, però, una banca deve creare e aggiornare i piani di gestione del rischio basati sull’analisi e implementare strutture di governance per garantire che tutti i dipendenti siano coinvolti e facciano la loro parte.