Il rischio operativo e reputazionale

Il rischio operativo si definisce come il rischio di subire perdite derivanti dall’inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni. Il rischio operativo include il rischio legale, ossia il rischio di perdite derivanti da violazioni di leggi o regolamenti, da responsabilità contrattuale o extracontrattuale quindi da altre controversie; sono esclusi i rischi strategici e di reputazione.

A partire dal 2007 con il Nuovo Accordo di Basilea, il rischio operativo è una nuova tipologia di rischio che deve essere presa in considerazione nel calcolo dei requisiti patrimoniali delle banche (che va ad aggiungersi al rischio di credito e di mercato già presenti).

La rilevanza di tale tipologia di rischio è alquanto elevata e in continuo aumento: è sufficiente pensare ai danni causati dal cyber risk per avere consapevolezza degli eventi operativi causati da controlli per la protezione delle informazioni non presidiati.

Tre sono gli approcci disponibili per la misurazione del rischio operativo:

• il metodo semplificato (BIA, Basic Indicator Approach) consente alle banche di utilizzare un indicatore unico (una percentuale del profitto medio annuale lordo) per calcolare i propri requisiti patrimoniali;
• il metodo standard: le banche che lo utilizzano devono calcolare i requisiti patrimoniali utilizzando uno specifico indicatore di rischio (il capitale o il profitto lordo medio annuale) per ciascuna delle proprie unità aziendali;
• il metodo avanzato di misurazione (AMA, Advanced Measurement Approach): le banche possono utilizzare un proprio modello matematico e statistico per valutare l’esposizione a tale rischio, purché tale tecnica sia sufficientemente esaustiva, sistematica e validata.

Tra i casi riconducibili al rischio operativo possiamo ricordare:

Il caso Société Générale (2008)
Un gestore, attraverso le password dei colleghi, carpite grazie a conoscenze informatiche, apre posizioni in derivati fino a un valore nozionale di 50 miliardi di euro, cumulando perdite di 5 miliardi di euro. Société Générale non fallisce, ma deve vendere in tre giorni 23,4 miliardi di derivati per chiudere le posizioni, facendo ribassare i mercati, poi lancia un’operazione di aumento di capitale di 5,5 miliardi di euro per coprire la frode.

Il caso New York Stock Exchange (6 maggio 2010)
L’indice DJIA Dow Jones perde circa 1000 punti, il –10%, in meno di due minuti senza ragioni. La causa: errore umano nella fase di inserimento di un ordine di vendita su un future che include un pacchetto di azioni Procter & Gamble, tra le più note imprese USA e componente dell’indice Dow Jones. L’ordine di vendita, pari a 15 milioni USD, viene iscritto per 16 miliardi USD. Per questa distrazione P&G perde il 30% e trascina l’indice al ribasso.

Il caso Mastercard (2005)
Furto informatico di dati finanziari personali che riguarda ben oltre 40 milioni di carte di credito e debito.

Il rischio legale, associato al rischio operativo, si manifesta a seguito di violazioni di norme, comportamenti illeciti (frodi interne), ricorso a schemi negoziali non conformi agli ordinamenti. L’effetto si traduce in perdite a carico dell’intermediario.

La reputazione d’impresa è ormai considerata come una componente fondamentale da gestire. La reputazione influisce su molteplici variabili e contribuisce o meno al decollo e alla continuità di una realtà aziendale. Tale rischio è ormai fondamentale in tutte le strategie aziendali.

Il rischio reputazionale può essere definito come:

• un rischio di primaria importanza perché da esso può dipendere o meno la permanenza dell’azienda nello scenario di mercato;
• un rischio di secondo livello: accade infatti a seguito di un evento a rischio operativo, legale, di compliance o strategico;
• un rischio comunque non controllabile a pieno, poiché dipende anche da fattori esterni all’organizzazione.

L’attività di compliance sul rischio reputazionale permette alle strutture aziendali di controllare lo stato della propria reputazione attraverso strumenti che consentono di intervenire con tempestività e applicare eventuali azioni di mitigazione a tale scopo per ridurne o eliminarne l’impatto.

Almeno sino a tempi recenti la reputazione è stata valutata come una forma di fiducia dei consumatori o degli stakeholder verso il futuro, in connubio con un prodotto, un servizio, una consulenza, una marca, una persona o un’organizzazione. Di conseguenza, il verificarsi di eventi connessi a tale rischio è stato considerato come una perdita di fiducia.