Istituto bancario svizzero, privato e indipendente, fondato a Lugano nel 1952, Cornèr Banca è la casa madre di un gruppo che, oltre alla sede di Lugano e le due succursali in territorio svizzero (Locarno e Losanna), si caratterizza per l’orientamento all’internazionalizzazione con le affiliate Cornèr SIM SpA di Milano, Cornèr Banque (Luxembourg) SA e Cornèr Bank (Overseas) Ltd. di Nassau. L’attività della Banca si concentra sul private banking con un’offerta di prodotti e servizi molto ampia, flessibile e in continua evoluzione che vanno dalla gestione del patrimonio sino alla consulenza sulle più complesse problematiche di carattere legale, fiscale e aziendale. A questa si affianca l’offerta di servizi di tesoreria, forex (foreign exchange) e borsa. Altro importante ramo d’attività riguarda l’emissione di carte di credito (è stata la prima banca elvetica, nel 1975, ad emettere la Visa in Svizzera, mentre dal 1998 offre anche MasterCard). L’organico complessivo del Gruppo è composto da circa 800 collaboratori.
Gestire in modo efficace e pragmatico il rischio operativo
Cornèr Banca ha iniziato a prendere in considerazione la tematica della gestione del rischio operativo nel 2005, sulla base della relativa documentazione del Comitato di Basilea (in modo particolare le Prassi corrette per la gestione e il controllo del rischio operativo, e il Basilea II) ed in seguito sulle bozze di legge svizzere, ora divenute norma vincolante: “Abbiamo iniziato a interrogarci su questa problematica per capire quale doveva essere il modo migliore per gestire attivamente il rischio operativo. La riflessione si è svolta su vari aspetti, sia di natura concettuale che pratica: dal committment alla metodologia, al supporto informativo,
all’allocazione ed all’impegno di risorse interne, alla consulenza esterna, e chiaramente anche al budget di progetto. L’efficacia ed il pragmatismo sono state variabili chiave nelle nostre decisioni.” spiega Fiorenzo Ferrari (nella foto), Risk Manager di Cornèr Banca. La scelta finale si è focalizzata su Sdg, società italiana specializzata nel supporto metodologico e tecnologico alla gestione del rischio operativo, in quanto la soluzione proposta meglio di tutte inquadrava le necessità di Cornèr Banca.
Si parte dalla mappatura dei processi
La metodologia proposta da Sdg si articola nelle cinque fasi canoniche di gestione del rischio: identificazione, valutazione, monitoraggio, controllo e mitigazione. L’identificazione del rischio operativo – insito in ogni prodotto, attività, processo e sistema rilevante – rappresenta la fase più onerosa e impegnativa, in quanto implica la mappatura dei processi della banca al fine di andare a identificare le criticità. “Si tratta – prosegue Ferrari – della parte più ostica, che richiede più sforzi in termini di energia e di tempo e che, inoltre, va costantemente aggiornata. Noi abbiamo deciso di procedere in un modo non troppo pervasivo; non mappiamo infatti i processi a livello di dettaglio ma ad un livello intermedio che noi chiamiamo attività. Insieme ai processi mappiamo i controlli e gli strumenti, allegando a ciascuno, all’interno del tool informatico che abbiamo implementato, tutta una serie di informazioni (come e da chi vengono effettuati, in quali tempi ecc.) in modo da avere un quadro preciso sia delle attività e sia dei controlli su queste effettuati. L’esperienza di Sdg in questo ambito è stata per noi una risorsa importante soprattutto per quanto riguarda la definizione delle convenzioni di mappatura del processo (come mappare, fino a che livello scendere, da quali processi partire, ecc.)”
Identificato il metodo da adottare, il team di progetto ha definito un modulo di mappatura dei processi e nel 2006 ha iniziato a intervistare le persone coinvolte nei diversi processi per andare a raccogliere le informazioni necessarie: “Si tratta di un lavoro che ci ha consentito di capire meglio come lavoriamo e che ci permette oggi di avere processi uniformi per le diverse attività all’interno del Gruppo” precisa Ferrari. Sebbene questa attività abbia inizialmente coinvolto solo la Casamadre, la struttura dei processi è stata replicata in tutte le società del Gruppo (anche per questo motivo si è scelto di non scendere a un livello di attività troppo dettagliato), in modo da poter aggregare le informazioni ed avere così anche un quadro consolidato.
Altro passo importante nella fase di identificazione riguarda la descrizione delle tipologie di evento di rischio operativo. Spiega Ferrari: ”In questo ambito abbiamo preso spunto e completato gli esempi forniti nel Basilea II, adattandoli alla realtà di attività svolte da ogni società del Gruppo Cornèr Banca, e fornendo per ogni tipologia una descrizione precisa”.
Contemporaneamente in Cornèr Banca, dopo avere definito chiaramente il significato di perdita operativa, è iniziata una fase di ricerca di dati storici relativi ai tre anni precedenti, con il duplice scopo sia di costruire un database significativo, ma soprattutto di capire dove erano collezionate le informazioni utili per capire i dettagli delle perdite. Inoltre è stata istituzionalizzata a livello aziendale una procedura di rilevazione e segnalazione delle perdite operative direttamente all’ufficio di Risk Management, in modo che tutte le persone coinvolte nelle diverse attività sapessero come comportarsi in caso di perdite operative: “È stato molto importante divulgare in azienda una vera e propria cultura della gestione del rischio operativo, e questo ci introduce alla seconda componente della fase di valutazione ossia quella relativa al risk self assessment”, continua Ferrari.
Il risk self assessement è un’autovalutazione del rischio operativo da parte delle persone addette a una determinata attività: una volta mappato il processo e individuate le criticità sono state intervistate le persone coinvolte per capire quale fosse la percezione delle potenziali perdite a fronte di un determinato evento di rischio operativo. “La procedura di autovalutaizone, che è stata eseguita a partire dal secondo semestre 2006, ha richiesto molto tempo perché bisognava far ragionare le persone in un modo nuovo, far loro comprendere l’importanza del rischio operativo perché mentre il rischio di credito e quello di mercato sono impliciti al sistema bancario, quello relativo all’operatività è un concetto nuovo”. L’obiettivo è poi quello di aggregare le informazioni relative alle perdite subite con quelle che pervengono dai questionari di risk self assessmnet in modo da avere un’informazione unica definendo dei veri e propri indicatori di rischio.
Tutto il processo di gestione del rischio operativo è stato supportato dal tool ORSSweb (Operational Risk Support System) sviluppato da Sdg. Si tratta di un applicativo web oriented, basato su database relazionale e sviluppato in ambiente Microsoft che supporta tutta l’attività di gestione del rischio operativo: dalla mappatura dei processi e delle tipologie di eventi e rischi a più livelli; dall’archiviazione di documenti allegati a processi e attività a quella delle perdite operative in modo classificato associandole a processi e attività; dalla realizzazione di sessioni online di autodiagnosi (risk self assessment) fino alla valorizzazione di indicatori associandoli a processi e attività; infine produce report sull’andamento delle perdite e sul profilo del rischio.
Gli impatti e i vantaggi
Deciso per l’esigenza di rispondere alla normativa, il progetto di gestione del rischio operativo sviluppato da Cornèr Banca ha comportato una parziale revisione dei processi finalizzata a un’operatività più efficace. Ma qual è stato l’impatto sull’organizzazione della Banca? “Sicuramente c’è stato, e c’è tuttora, un coinvolgimento del servizio organizzazione, soprattutto nella fase di mappatura dei processi e dei controlli. Per quanto riguarda l’organizzazione della banca nel suo complesso l’impatto non è stato particolarmente invasivo; l’aspetto importante, invece, è l’avere diffuso prima di tutto un concetto nuovo, una nuova cultura. Anche il top management si è trovato per la prima volta a confrontarsi con questo tipo di rischio e, quindi, con un modo diverso di vedere certe operazioni e certe attività”, spiega Ferrari. E i vantaggi? “Oltre al grande vantaggio di avere un metodo di mappatura dei processi omogeneo a livello di tutte le società del gruppo, abbiamo ora un regolare monitoraggio delle perdite operative ed una metodologia efficace e pragmatica di (auto)valutazione del rischio, che ci permettono di reagire prontamente ad eventi di rischio operativo e di trovare azioni concrete di mitigazione. Questo progetto ci rende inoltre più competitivi, dato che il 3° pilastro di Basilea II richiede di rendere pubbliche le informazioni relative alle azioni messe in atto dalla banca per gestire il rischio operativo. La metodologia adottata e lo strumento informatico implementato ci consentono di dimostrare pubblicamente che in Cornèr Banca il rischio operativo siamo in grado di gestirlo davvero”.
