La gestione del rischio operativo (Operational Risk) è uno dei temi più rilevanti in ambito finanziario. Il Rischio Operativo è rappresentato dalla probabilità che l’attività finanziaria subisca delle oscillazioni di valore a causa di fattori non prevedibili che scaturiscono nel corso della normale operatività di una banca.
In generale, rientrano nella categoria dei rischi operativi:
- tutti quei rischi legati ad incombenze legali e burocratiche che possono inficiare il buon fine di un’operazione finanziaria;
- la possibilità di incorrere in frodi (interne o esterne alla banca) o irregolarità di esecuzione delle transazioni (clients, products, & business practice);
- la perdita fisica dei beni sottostanti l’attività finanziaria oggetto di valutazione.
I controlli permanenti sono una componente fondamentale del sistema di gestione del rischio operativo in banca. Essi contribuiscono a:
- garantire la sicurezza e l’efficienza dei processi operativi;
- proteggere il patrimonio della banca;
- migliorare la conformità alle normative.
I controlli permanenti devono quindi essere integrati nei processi operativi e svolgono un ruolo chiave nell’identificare, monitorare e mitigare i rischi.
In questo articolo, dopo aver descritto i principali controlli a presidio dei rischi operativi nelle banche, tracceremo le principali tendenze di innovazione ed una serie di casi d’uso con particolare riferimento alle applicazioni dell’Intelligenza Artificiale. Inoltre, approfondiremo le metodologie per valutare la migliore opzione di design del controllo in termini di sostenibilità e valore, nonché i modelli organizzativi ed operativi della funzione controlli permanenti.
Tipologie ed esempi di processi operativi bancari che prevedono controlli permanenti a presidio dei rischi operativi
Esistono diverse tipologie di controlli permanenti, tra cui:
- Controlli preventivi: mirano a prevenire il verificarsi di eventi rischiosi;
- Controlli concomitanti: vengono eseguiti durante lo svolgimento dell’attività per monitorare l’adeguatezza dei processi;
- Controlli successivi: verificano l’esito dell’attività e l’efficacia dei controlli precedenti.
L’efficacia dei controlli permanenti dipende da diversi fattori, tra cui:
- Adeguatezza della progettazione e implementazione dei controlli;
- Segregazione dei compiti e delle responsabilità;
- Formazione del personale;
- Supervisione e monitoraggio continuo.
Alcuni esempi di processi operativi bancari che prevedono controlli permanenti a presidio dei rischi operativi sono riportati nella tabella seguente.
| Tipologia di operazione | Esempi di controlli permanenti a supporto dei rischi operativi |
| Apertura di conti correnti | Verifica dell’identità del cliente (KYC) e antiriciclaggio (AML) Controllo dei requisiti di apertura del conto Valutazione del rischio di credito del cliente |
| Erogazione di prestiti | Valutazione del merito creditizio del cliente Analisi del rischio di inadempienza Definizione del piano di ammortamento e delle garanzie |
| Gestione dei pagamenti | Controllo delle autorizzazioni e dei limiti di spesa Verifica della correttezza dei dati di pagamento Prevenzione di frodi e transazioni illegali |
| Investimenti | Valutazione del profilo di rischio del cliente Adeguatezza del prodotto all’investitore Monitoraggio delle performance degli investimenti |
| Operazioni di tesoreria | Gestione del rischio di cambio Controllo dei rischi di controparte Monitoraggio dei limiti di esposizione |
| Controlli di accesso | Autenticazione forte e multi-fattore per l’accesso ai sistemi e alle informazioni Gestione dei privilegi di accesso basata sul principio del minimo privilegio Monitoraggio e controllo degli accessi anomali |
| Gestione degli incidenti informatici | Piano di risposta agli incidenti informatici ben definito e testato Investigazione e analisi degli incidenti per identificare le cause e le possibili soluzioni Implementazione di misure correttive per prevenire il ripetersi di incidenti simili |
Gestione del rischio operativo: i trend di innovazione del mondo dei controlli a presidio dei rischi operativi
Nella tabella di seguito è possibile visionare le principali tendenze di innovazione:
| Area | Benefici |
| Intelligenza Artificiale (AI) |
Analisi dei dati: L’AI aiuta ad analizzare grandi volumi di dati per identificare anomalie e potenziali rischi operativi. Automazione: L’AI può automatizzare compiti ripetitivi e manuali, liberando tempo per attività più strategiche. Chatbot: I chatbot possono essere utilizzati per rispondere alle domande dei clienti e fornire supporto in caso di problemi. |
| Cloud Computing |
Migliore accesso ai dati: Il cloud offre un accesso più facile e veloce ai dati per i team di controllo del rischio. Scalabilità: Il cloud consente di scalare le risorse in base alle esigenze, rendendolo ideale per le banche in crescita. Sicurezza: I fornitori di cloud offrono un elevato livello di sicurezza per i dati sensibili. |
| Robotic Process Automation (RPA) |
Automazione dei processi: L’RPA può automatizzare compiti ripetitivi e manuali, come l’inserimento di dati o la verifica di transazioni. Migliore efficienza: L’RPA può migliorare l’efficienza dei processi di controllo del rischio. Riduzione dei costi: L’RPA può ridurre i costi associati ai processi manuali. |
| Blockchain |
Migliore tracciabilità: La blockchain può migliorare la tracciabilità delle transazioni e ridurre il rischio di frode. Maggiore sicurezza: La blockchain offre un elevato livello di sicurezza per i dati. Smart contracts: Gli smart contracts possono automatizzare l’esecuzione di contratti, riducendo il rischio di errori e frodi. |
| Cybersecurity |
Minacce informatiche: Le minacce informatiche sono in aumento, e le banche devono investire nella sicurezza informatica per proteggersi. Test di penetrazione: Le banche devono condurre regolarmente test di penetrazione per identificare le vulnerabilità del loro sistema informatico. Piani di risposta agli incidenti: Le banche devono avere piani di risposta agli incidenti per gestire le minacce informatiche. |
Metodologie per valutare la migliore opzione di design del controllo in termini di sostenibilità e valore
Nella gestione del rischio operativo le metodologie per valutare la migliore opzione di design del controllo permanente dei rischi operativi in termini di sostenibilità e valore possono essere suddivise in due categorie principali:
- Analisi Costi-Benefici (CBA): In questo caso si confrontano i costi di implementazione e manutenzione del controllo con i benefici attesi in termini di riduzione del rischio operativo e miglioramento della performance aziendale;
- Analisi Multicriteri (MCA): La MCA considera un insieme di criteri di valutazione, come la sostenibilità, il valore, l’efficacia, la complessità e l’adattabilità del controllo. Nella voce “sostenibilità” è opportuno tener conto anche dei temi correlati all’ambiente, che richiedono una valutazione dell’impatto ambientale derivante dall’uso delle tecnologie di AI per l’esecuzione dei controlli. È bene precisare che, mentre in fase di applicazione dei modelli le tecnologie di AI possono essere considerate alla stregua dei sistemi informativi standard, nella fase di addestramento sono richieste notevoli risorse di calcolo, con i conseguenti riflessi anche in termini di consumo energetico.
La MCA può includere inoltre alcune metodologie specifiche come le seguenti:
- Metodo del “Loss Event Frequency” (LEF): stima la frequenza di eventi di perdita associati a un rischio operativo specifico;
- Metodo del “Loss Event Magnitude” (LEM): stima l’impatto finanziario di un evento di perdita;
- Metodo “Scenario Analysis”: valuta l’impatto di diversi scenari di rischio operativo sul design del controllo;
- Metodo “Monte Carlo Simulation”: simula l’impatto di diverse variabili incerte sul design del controllo.
La scelta della metodologia più appropriata dipende da diversi fattori, come la natura del rischio operativo, la complessità del controllo e le risorse disponibili. Si consideri, ad esempio, il controllo permanente del rischio operativo associato all’errore umano nell’inserimento dei dati, che può causare diverse tipologie di perdite, come ad esempio:
- Ritardi nei pagamenti;
- Transazioni errate;
- Frodi.
Nella gestione del rischio operativo la banca potrebbe valutare differenti opzioni di controllo, come:
- l’implementazione di un programma di formazione per migliorare la consapevolezza del personale sui rischi operativi e sulle procedure corrette per l’inserimento dei dati;
- l’implementazione di un software che controlla automaticamente l’accuratezza dei dati inseriti, o l’implementazione di una procedura di doppio controllo per le transazioni sensibili.
In questo caso, la banca potrebbe utilizzare la MCA per valutare contemporaneamente:
- i costi e i benefici di ciascuna opzione di controllo: I costi includerebbero i costi di sviluppo ed implementazione del controllo, nonché i costi di manutenzione e formazione. I benefici includerebbero la riduzione del rischio di perdite operative e il miglioramento dell’efficienza operativa;
- la sostenibilità delle diverse opzioni di controllo: Ad esempio, la formazione del personale potrebbe avere un impatto ambientale positivo riducendo la necessità di stampare materiale cartaceo;
- il valore complessivo di ciascuna opzione di controllo, tenendo conto sia dei benefici tangibili (come la riduzione del rischio di perdite) che dei benefici intangibili (come il miglioramento della reputazione della banca).
Modelli organizzativi ed operativi della funzione controlli permanenti nella gestione del rischio operativo
Nella gestione del rischio operativo i modelli organizzativi ed operativi della funzione controlli permanenti di una banca possono variare in base a diversi fattori, tra cui la dimensione e complessità della banca, la struttura organizzativa, i profili di rischio ed i requisiti normativi.
Tuttavia, è possibile individuare alcuni modelli comuni:
- Modello centralizzato: In questo caso la funzione controlli permanenti è accentrata in un’unica unità organizzativa che ha la responsabilità per l’intera banca. Questo modello offre una maggiore coerenza e standardizzazione dei processi di controllo anche se, in alcuni casi, può essere meno flessibile e adattabile alle esigenze specifiche delle diverse aree di business;
- Modello decentrato: In questo caso la funzione controlli permanenti è distribuita tra diverse unità organizzative, ciascuna con responsabilità per una specifica area di business. Questo modello offre una maggiore flessibilità e adattabilità alle esigenze specifiche delle diverse aree di business ma è, in genere, più difficile da coordinare e monitorare;
- Modello misto: In questo caso la funzione controlli permanenti è una combinazione di modelli centralizzati e decentrati, alla ricerca di un equilibrio tra coerenza e flessibilità.
L’uso di tecnologie informatiche, che possono essere erogate in cloud per tutte le funzioni della banca, suggerisce l’adozione di un modello misto in cui tutti i controlli legati all’analisi di dati digitali avvengano sui sistemi centralizzati, mentre gli utenti possono essere distribuiti sulle varie filiali.
Questo modello può consentire di raggiungere i principali obiettivi della funzione controlli permanenti:
- Proteggere il patrimonio;
- Assicurare la compliance normativa;
- Migliorare l’efficienza operativa;
- Preservare la reputazione.
Attuazione di un progetto per la realizzazione di una soluzione di AI nell’ambito dei controlli operativi
Per la gestione del rischio operativo la realizzazione di un progetto volto alla realizzazione di una soluzione di Intelligenza Artificiale si basa sull’applicazione di un insieme di pratiche mirate a sviluppare e mantenere i modelli di apprendimento automatico in produzione in modo affidabile ed efficiente, noto come MLOps.
I modelli di apprendimento automatico, eventualmente combinati con approcci simbolici, sono testati e sviluppati in sistemi sperimentali isolati. In questa fase le figure professionali coinvolte sono principalmente i Data Scientist ed i Machine Learning Engineer che interagiscono con l’area funzionale del cliente nelle fasi di Business Understanding e Validazione, e con l’area IT nella fase di Data Understanding.
Il rilascio in produzione dei processi di acquisizione dei dati e di applicazione dei modelli prevede la collaborazione dei Data Scientist e dei Machine Learning Engineer con gli ingegneri del software e gli sviluppatori che gestiscono l’infrastruttura IT.
Similmente agli approcci DevOps, MLOps ha l’obiettivo di aumentare l’automazione e migliorare la qualità dei modelli di produzione, concentrandosi al contempo anche sui requisiti aziendali e normativi. A tal fine, è possibile implementare meccanismi di re-training automatico dei modelli di Machine Learning o di addestramento continuo delle reti neurali.
Dimensionamento di un progetto per la realizzazione di una soluzione di AI nell’ambito dei controlli operativi
Per stimare la durata ed il costo di un progetto per la realizzazione di una soluzione di AI per la gestione del rischio operativo vanno tenuti in considerazione tre macro-voci:
- I servizi professionali volti all’integrazione dei dati ed all’addestramento dei modelli di AI;
- L’uso della piattaforma tecnologica, e le attività di integrazione della stessa nell’infrastruttura IT del cliente;
- Il mantenimento della soluzione sia rispetto ai modelli di AI che rispetto alla soluzione per l’utente finale.
Autore: Francesco Cupello
