La gestione del rischio di reputazione nelle banche

La gestione del rischio
di reputazione nelle banche
D
Nell’attuale contesto
economicofinanziario, il tema
della reputazione
acquisisce
per il mondo bancario
una rilevanza
sempre maggiore.
Sull’onda di questa
consapevolezza,
nell’ambito
delle proprie funzioni
di supervisione,
l’Autorità
di Vigilanza
ha predisposto
una serie articolata
di controlli
specificamente
indirizzati al presidio
dei rischi
reputazionali,
insidiosi al punto
di poter mettere
a repentaglio
l’imprescindibile
rapporto di fiducia
che intercorre
tra la banca
e la propria
clientela.
2
5·2009
Maria Antonietta Antonicelli*
Banca d’Italia
Il rischio di reputazione nelle banche:
l’azione di regolamentazione e di controllo prudenziale
Dal punto di vista dell’Autorità di Vigilanza (AdV), una solida reputazione delle banche rappresenta un elemento cruciale per il perseguimento degli obiettivi di supervisione a un duplice livello:
a) microprudenziale (sana e prudente gestione del singolo intermediario vigilato);
il deterioramento della reputazione di un intermediario può determinare perdite in
grado di compromettere la sua stessa stabilità e, più in generale, può ingenerare riflessi negativi sulla fiducia del pubblico, che è il presupposto della stabilità;
b) macroprudenziale (tutela della stabilità finanziaria); l’incrinarsi della reputazione
delle banche può tradursi in crisi di fiducia del mercato, con potenziali effetti destabilizzanti a livello sistemico (ad es. attraverso crisi di liquidità).
Inoltre, l’indebolimento della reputazione degli intermediari può riflettersi negativamente sulla reputazione della Vigilanza.
Negli ultimi anni, l’attenzione delle AdV al fattore reputazionale, tradizionalmente
elevata per le ragioni già richiamate, si è tradotta nella declinazione più articolata
di regole e controlli specificamente focalizzati sul presidio del rischio di reputazione
delle banche. In effetti, l’esposizione degli intermediari a rischi di reputazione è in
aumento. Le ragioni risiedono essenzialmente nell’evoluzione dell’industria finanziaria, intesa in senso lato come cambiamento della struttura e dell’operatività degli intermediari e dell’environment in cui essi operano. Riflettendosi in una crescente complessità delle stesse banche, dei prodotti e dei servizi offerti, degli schemi relazionali con i soggetti che ruotano all’esterno dell’azienda bancaria, tale evoluzione rende essenziale per la stabilità e la competitività degli operatori la capacità di
far evolvere coerentemente il modo di analizzare e gestire i rapporti con i propri
stakeholders. Sono questi ultimi, infatti, che, in base alla percezione dell’attitudine
* Le riflessioni presentate sono parte di un intervento tenuto al Convegno ABI “Basilea 2 e la crisi finanziaria”, svoltosi a Roma nel giugno 2009. Le opinioni espresse sono personali e non coinvolgono l’Istituto di
appartenenza.
della banca a soddisfare le loro esigenze/attese – ovvero in base alla fiducia nella
capacità anche prospettica della banca di corrispondere alle loro aspettative – concorrono a determinare il livello della reputazione aziendale.
Il rischio di reputazione delle banche – ovvero il rischio di incorrere in perdite a causa di un deterioramento della percezione della propria immagine da parte dei diversi stakeholders – è esplicitamente richiamato nel nuovo framework di vigilanza
prudenziale di Basilea 2. In particolare, nel “processo di controllo prudenziale” (Supervisory Review Process - SRP) – articolato nelle due fasi integrate del “processo interno di determinazione dell’adeguatezza patrimoniale” (Internal
Capital Adequacy Assessment Process - ICAAP), facente capo alle banche, e
del “processo di revisione e valutazione prudenziale” (Supervisory Review
and Evaluation Process - SREP), di competenza dell’AdV, è richiesta la spe1
cifica considerazione anche di tale tipologia di rischio .
L’evoluzione dell’industria
finanziaria deve riflettersi
nel modo di gestire i rapporti
con gli stakeholder
L’approccio risk-based di Basilea 2 tende a incentivare implicitamente le
banche ad adottare schemi efficaci di valutazione e mitigazione di tutti i rischi insiti nel business, siano essi di natura creditizia, finanziaria, operativa o, appunto,
reputazionale. Per tale via, il nuovo schema rafforza il collegamento tra i presidi patrimoniali e i presidi assicurati dai meccanismi di governo societario, organizzativi e di controllo interno. Tali meccanismi – attraverso
l’operato di organi/funzioni di indirizzo strategico, di gestione e di
controllo – devono assicurare la presenza, il funzionamento e l’aggiornamento nel tempo di un sistema efficace di Risk Management di tutti i rischi rilevanti per la banca.
Il sistema aziendale di Reputational Risk Management (RRM) si incentra sull’analisi e sulla gestione dei rapporti con i diversi stakeholders. Considerata la natura peculiare dell’impresa bancaria, il framework con cui le banche analizzano e gestiscono i rapporti con lo stakeholder clientela – nelle sue molteplici dimensioni di depositante, risparmiatore, prenditore di fondi – riveste un rilievo centrale. Nel sistema bancario italiano, ciò è tanto più vero in relazione alla rilevanza della componente retail per
l’attività delle banche.
Negli anni recenti, in relazione a specifiche problematiche emerse, l’attenzione
dell’AdV si è concentrata particolarmente sul rischio di reputazione delle banche
connesso con le relazioni di clientela. Nella fase attuale, il rischio di reputazione
degli intermediari è oggetto di una rinnovata e specifica enfasi, soprattutto per
le sue manifestazioni connesse con lo sviluppo del modello di business originateto-distribute ed emerse durante la crisi finanziaria (ad es. in relazione all’offerta
da parte delle banche, di supporto finanziario implicito – ovvero al di là delle
proprie obbligazioni contrattuali, per motivi essenzialmente reputazionali – a
operazioni di cartolarizzazione e veicoli fuori bilancio). Ciò ha indotto il Comita-
1
Cfr. Circolare della Banca d’Italia n. 263 del 27 dicembre 2006. Relativamente all’ICAAP, è utile rammentare
che la normativa suddivide gli intermediari in tre classi, differenziate – dalla terza alla prima – da vincoli
progressivamente più stringenti riguardo al grado di sofisticazione e di personalizzazione del processo (ad
es. per le banche di classe 3, è la stessa normativa che suggerisce metodologie semplificate di conduzione
dell’autovalutazione).
5·2009
3
to di Basilea a fornire specifiche indicazioni sul rischio di reputazione, concretiz2
zatesi anche in una più articolata definizione del rischio stesso .
Il rischio di reputazione e gli altri rischi:
il tema della “perimetrazione”
Un primo aspetto da considerare nell’ambito del RRM e ai fini dell’ICAAP è la perimetrazione del rischio. Si tratta di una questione che – pur rivestendo un rilievo particolare per il rischio di reputazione, in relazione ad alcune sue peculiarità – ha una
valenza più generale, che si estende a una serie di rischi richiamati dalla disciplina
di Basilea 2 e/o da altre norme di vigilanza prudenziale: soprattutto la famiglia dei
3
rischi operativi e di non conformità , ma anche il rischio strategico nonché alcuni rischi connessi alla gestione del rischio di credito come il rischio residuo da Credit Risk
4
Management (CRM) e il rischio da cartolarizzazione . Ciò che accomuna i rischi in
questione è il fatto che – pur essendone ormai diffusamente riconosciuti i rilevanti
impatti potenziali sulla solidità degli intermediari e, dunque, la necessità di valutarli
e presidiarli in modo specifico e adeguato – il grado di sviluppo delle relative conoscenze teoriche e delle tecniche di Risk Management è significativamente minore rispetto a rischi più maturi (quali i rischi di credito e di mercato).
Anche per questo motivo, tuttavia, è fondamentale approfondire preventivamente il
perimetro di riferimento di ciascuna tipologia di rischio, attraverso un’analisi accurata
di cause, eventi e impatti (perdite) ad essa riconducibili, al fine di eliminare
Analizzare cause, eventi
e impatti per evitare
sovrapposizioni con altri rischi
potenziali sovrapposizioni con altri rischi. Si tratta di un aspetto evidentemente rilevante ai fini della misurazione del rischio, che necessita di una pre5
cisa individuazione delle perdite pertinenti , ma che ha anche una significativa valenza gestionale. Riconoscere un evento o una perdita quale elemento riconducibile univocamente a un dato rischio è il primo passo per prende-
re atto di inefficienze, errori, debolezze nella gestione e nel controllo delle variabili
rilevanti per quel rischio e quindi per attivare efficaci meccanismi di prevenzione o
Cfr. Proposed enhancements to the Basel II framework, Consultative Document, gennaio 2009 (Supplemental Pillar II Guidance, Cap. III.C, pp. 19 e ss.). Al punto 48 si legge: “Reputational risk can be defined as the
risk arising from negative perception on the part of customers, counterparties, shareholders, investors or regulators that can adversely affect a bank’s ability to maintain existing, or establish new, business relationships and continued access to sources of funding (e.g. through the interbank or securitisation markets). Reputational risk is multidimensional and reflects the perception of other market participants. Furthermore, it
exists throughout the organisation and exposure to reputational risk is essentially a function of the adequacy
of the bank’s internal risk management processes, as well as the manner and efficiency with which management responds to external influences on bank-related transactions”. Nel 1997, all’interno del documento Core Principles for Effective Banking Supervision (p. 22), lo stesso Comitato forniva la seguente definizione di rischio reputazionale: “Reputational risk arises from operational failures, failure to comply with relevant laws
and regulations, or other sources. Reputational risk is particularly damaging for banks since the nature of
their business requires maintaining the confidence of depositors, creditors and the general marketplace”.
3
Cfr. Disposizioni in materia di conformità contenute nel provvedimento della Banca d’Italia n. 688006 del
10 luglio 2007.
4
Riguardo alla trattazione di questi ultimi due rischi nell’ICAAP, ad esempio, gli approfondimenti condotti
nell’ambito dell’industria bancaria italiana si sono concentrati soprattutto sull’esigenza di escludere manifestazioni dei rischi in questione ricadenti in altre tipologie di rischio, identificate principalmente nella famiglia dei rischi operativi (cfr. Libro Bianco sul Pillar 2, Bancaria Editrice, 2008).
5
Ad es. per il calcolo del requisito regolamentare a fronte del rischio operativo nelle banche che adottano
sistemi AMA o per la stima, nell’ambito dell’ICAAP, di eventuali coperture patrimoniali dei diversi rischi richiamati sopra, ivi incluso il rischio di reputazione.
2
4
5·2009
mitigazione. La perimetrazione dei rischi – specie presso gli intermediari più grandi/complessi, che adottano definizioni dei rischi e metodologie di valutazione/gestione
più articolate di quelle regolamentari – rappresenta un ambito del più ampio con6
fronto SREP-ICAAP promosso dall’AdV .
Quanto detto vale tanto più per il rischio di reputazione, in considerazione della connotazione distintiva di questo rischio, rappresentata dal nesso
di causalità che lega il suo concretizzarsi:
Il rischio di reputazione può
trasformarsi in altri rischi
a) in gran parte dei casi, al manifestarsi di altri rischi (operativi e di compliance, stra7
tegici/di business ; di liquidità, di credito, ecc.) connessi con fatti, atti o comportamenti riguardanti lo specifico intermediario interessato; peraltro, danni di reputazione possono sorgere anche da una situazione di natura sistemica o settoriale;
b) a modifiche nella percezione dell’immagine della banca presso i suoi stakeholders.
A ciò, si aggiunge il fatto – ben noto, ma enfatizzato dalla crisi finanziaria di questi anni – che il rischio di reputazione può trasformarsi a sua volta in altri rischi. Ad esempio,
il deterioramento dell’immagine della banca (presso i depositanti o le controparti istituzionali) può determinare crisi di liquidità, mentre la prevenzione del deterioramento
della propria immagine può indurre la banca ad assumere rischi da cartolarizzazione,
attraverso forme di supporto alle operazioni ulteriori rispetto agli obblighi contrattuali. Nell’ambito del confronto che l’AdV sviluppa con gli intermediari durante lo SREP,
spetta alle singole banche, responsabili dell’ICAAP, prospettare approcci validi sia per
isolare i rischi reputazionali da altri rischi originati da uno stesso evento o comporta8
mento, sia per valutare i collegamenti tra il rischio di reputazione e gli altri rischi .
Il rischio di reputazione nelle banche:
il framework di valutazione e gestione
L’esperienza dell’industria bancaria italiana – come emerge dai resoconti dell’ICAAP
– presenta tratti comuni riguardo all’individuazione dei driver del rischio di reputazione, che a sua volta si riflettono in una tendenziale convergenza degli approcci
adottati per valutare e gestire il rischio in questione.
Il tema della perimetrazione dei rischi è all’attenzione sia delle AdV sia dell’industria, anche al fine di promuovere la convergenza, rispettivamente, delle prassi di supervisione adottate dalle AdV dei diversi paesi
(nella valutazione dei framework di misurazione e gestione dei rischi adottati dalle banche) e delle best
practices aziendali presso i diversi intermediari. Cfr. anche Compendium of Supplementary Guidelines on
Implementation Issues of Operational Risk, CEBS, 2008, contenente tra l’altro indicazioni per l’identificazione univoca di eventi/perdite da rischio operativo o strategico o di mercato.
7
La Circ. 263/2006 definisce il rischio strategico come il “rischio attuale o prospettico di flessione degli utili o
del capitale derivante da cambiamenti del contesto operativo o da decisioni aziendali errate, attuazione
inadeguata di decisioni, scarsa reattività a variazioni del contesto competitivo”. In linea con le indicazioni
del citato Libro Bianco sul Pillar 2, gran parte delle banche di Classe ICAAP 1 e 2 fanno riferimento a una
definizione del rischio distinto in due componenti: a) rischio strategico puro, legato a fenomeni di forte discontinuità aziendale derivante dalle principali scelte strategiche adottate (ad es.: entrata in nuovi mercati;
adozione di scelte operative radicalmente diverse da quelle fino a quel momento perseguite); b) rischio business (o commerciale), connesso con variazioni di utili/margini rispetto ai dati previsti non legate ad altri
fattori di rischio (ad es. tassi di interesse) ma alla volatilità dei volumi o a cambiamenti nei gusti della clientela; a differenza del rischio strategico puro, tale fattispecie di rischio – che fa riferimento a un contesto
operativo a strategia invariata – è ritenuto misurabile.
8
L’analisi dei rapporti di causalità tra rischio di reputazione e altri rischi è molto importante anche nell’ambito delle attività di stress testing, specificamente richieste all’interno dell’ICAAP e che – su impulso delle
AdV, anche alla luce della crisi finanziaria – stanno assumendo un ruolo di crescente importanza nel framework di Risk Management delle banche.
6
5·2009
5
I rischi operativi, legali e di non conformità sono considerati il fattore più frequente
di “innesco” del rischio di reputazione, attraverso il concretizzarsi di fatti, atti o
comportamenti della banca che configurano:
i) inadeguatezza o disfunzione di procedure, risorse umane e sistemi interni o eventi esogeni (rischio operativo);
ii) violazioni di leggi o regolamenti, responsabilità contrattuale o extra-contrattuale
(rischio legale);
iii) non conformità a norme, standard di comportamento e operativi rilevanti, principi e valori a cui gli stakeholders annettono importanza (rischio di compliance).
Inoltre, per molte banche, affinché il rischio reputazionale possa concretizzarsi, è
necessaria la presenza – congiuntamente al manifestarsi di rischi operativi, legali e
di non conformità – di due elementi in grado di contribuire a trasformare il rischio
originario in rischio reputazionale:
1) diretta responsabilità della banca riguardo al aal’evento rischio;
I danni reputazionali derivano
da un deterioramento
della percezione della banca
presso i clienti
2) interazione dei comportamenti aziendali con variabili reputazionali (ad
es. importanza socialmente attribuita a un dato evento rischio, significatività del marchio, esposizione a processi di comunicazione esterna).
Il concretizzarsi del rischio di reputazione, per effetto dei fattori citati, è riferito principalmente allo stakeholder clientela, in quanto si ritiene che i danni re-
putazionali potenzialmente più rilevanti per la banca derivino da un deterioramento
della percezione della sua immagine presso i propri clienti. In particolare, l’analisi delle
fonti del rischio di reputazione nei rapporti di clientela si concentra prevalentemente
sul rischio di mancato rispetto di norme e regole vigenti. Risulta invece meno indagato
il tema della non rispondenza alle aspettative dei clienti, ovvero il rischio di un disallineamento della banca rispetto a valori ed esigenze ritenuti comunque rilevanti dalla
clientela, causato ad esempio da un’osservanza meramente formale di norme e regole
vigenti o dalla mancata intercettazione in tali corpi normativi (oltre che nei comportamenti degli intermediari) di valori ed esigenze importanti per i clienti.
La natura peculiare del rischio in questione e l’assenza di metriche condivise a livello accademico e scientifico (nonché la mancanza di dati di perdita pertinenti) si riflettono nell’adozione, presso gran parte degli operatori, di schemi di valutazione
di tipo prevalentemente qualitativo, basati su sistemi expert-based finalizzati a verificare l’esposizione al rischio e a individuare le azioni di mitigazione.
In conseguenza del perimetro adottato per definire il rischio di reputazione, il framework di prevenzione/mitigazione del rischio si incentra principalmente su tre elementi:
1) la definizione di policy orientate ad assicurare la conformità alle norme nelle relazioni di clientela (soprattutto in materia di servizi di investimento, trasparenza delle
operazioni e dei servizi, tutela del consumatore);
2) il presidio dei processi individuati come rilevanti per il rischio di reputazione, al fine di assicurare la compliance con norme esterne e interne e policy aziendali;
3) la comunicazione esterna.
Per quanto riguarda i primi due elementi, l’adeguamento alle norme Mifid ha rappresentato per molti operatori l’occasione per aggiornare regole, processi e procedure riguardanti la strutturazione e la commercializzazione dei prodotti e la prestazione di
consulenza. Tra i principali presidi, figurano il ruolo del Comitato Nuovi Prodotti (in
6
5·2009
qualche caso appositamente istituito al fine di rafforzare la prevenzione/mitigazione
del rischio reputazionale) e gli aspetti organizzativi e procedurali della gestione dei
reclami della clientela. Soprattutto per le banche di minori dimensioni, l’allestimento
di un sistema di prevenzione e mitigazione del rischio di reputazione (riguardante soprattutto i rapporti con i clienti) fa leva sull’attivazione della funzione di compliance.
Quanto alla comunicazione esterna, in alcuni casi essa è ritenuta il principale strumento
per il presidio della reputazione, da preservare attraverso la regolamentazione dei processi di comunicazione, anche distinguendo i rapporti con i media e gli enti esterni da
quelli con gli utenti della comunicazione, rispettivamente, finanziaria e commerciale.
In linea generale, gli schemi di prevenzione/mitigazione del rischio di reputazione
appaiono orientati principalmente a gestire il rischio potenziale di danni reputazionali, mentre risulta meno sviluppata la trattazione dei meccanismi di governo di crisi reputazionali già emerse e di contenimento dei relativi effetti.
Il rischio di reputazione nelle banche:
alcune considerazioni conclusive
La recente esperienza della crisi dei mercati e le connesse riflessioni delle AdV (e anche dell’industria) suggeriscono di prendere in considerazione una definizione ampia, ancorchè semplice, del rischio di reputazione, volta a qualificarlo come un rischio
originato principalmente da tutti i diversi rischi insiti nell’operatività della banca e
collegato alla (in)capacità di intercettare e gestire le aspettative degli stakeholders.
Da tale qualificazione del rischio di reputazione discendono alcune conclusioni.
In primo luogo, il presidio di tale specifico rischio viene a dipendere in misura rilevante dalla qualità della governance aziendale e dei sistemi di gestione/controllo di
tutti i diversi rischi aziendali. L’identificazione e la gestione del rischio di
reputazione ha come premessa indispensabile l’attenta analisi di tutti i rischi insiti nell’attività aziendale, volta a identificare i potenziali effetti reputazionali, a tenerne conto nella valutazione dell’esposizione a tali rischi
e nelle relative decisioni di risk management, a predisporre le coperture
patrimoniali ritenute necessarie o le misure di mitigazione idonee a pre-
La reputazione è un asset
fondamentale per la stabilità
e la competitività
di qualsiasi banca
servare il livello di reputazione considerato auspicabile rispetto alle proprie strategie di business, al contesto, alle aspettative degli stakeholders.
In linea con la proporzionalità che caratterizza il framework di Basilea 2, gli intermediari più grandi/complessi sono chiamati a sviluppare approcci progressivamente
evoluti di valutazione e gestione del rischio di reputazione, coerenti con la maggio9
re articolazione dei potenziali drivers del rischio , della platea di stakeholder e delle
relative aspettative. Tuttavia, la necessità di proteggere e consolidare la propria reputazione, tenendo conto delle specifiche attese della propria platea di stakeholders, rileva per tutti gli intermediari, essendo la reputazione un asset fondamentale
per la stabilità e la competitività di qualsiasi banca. In proposito, è stata già sottoli-
9
Ad es. tenendo conto di: grado di complessità dell’operatività; presenza ed entità di conflitti di interesse,
in relazione al carattere multibusiness dell’operatività; grado di internazionalizzazione; intensità della comunicazione con il mercato e delle pressioni sui risultati; ecc.
5·2009
7
neata la rilevanza per le banche italiane della gestione della propria reputazione
nei confronti della clientela retail; si può aggiungere l’importanza, per le numerose
banche a vocazione locale, della vicinanza al territorio e alle sue istanze.
Ciascuna banca è dunque chiamata a sviluppare il proprio approccio al RRM, finalizzato a individuare e neutralizzare le fonti del rischio di reputazione nella consapevo10
lezza sia delle peculiarità del rischio sia del carattere dinamico degli obiettivi aziendali di reputazione. Elementi minimali di un sistema di RRM dovrebbero essere:
1) la chiara assegnazione delle responsabilità e dei compiti relativi alla gestione del
rischio di reputazione;
2) l’identificazione delle potenziali minacce per la propria reputazione e, più specificamente, delle variabili in grado di incidere sulla percezione della reputazione
aziendale da parte dei propri stakeholders;
3) l’analisi dell’impatto potenziale del rischio reputazionale sui risultati aziendali;
4) l’individuazione degli obiettivi di reputazione per ciascuna categoria di stakeholder;
5) l’allestimento di un sistema di monitoraggio della percezione degli stakeholder;
6) la definizione, il supporto operativo e il controllo di procedure che – integrandosi nel
più generale sistema di Risk Management della banca e attraverso il presidio di processi
(funzionali ed efficienti), prodotti (appropriati e con condizioni eque), comportamenti (sostanzialmente corretti), comunicazioni con l’esterno (trasparenti) – siano finalizzate a prevenire danni di reputazione e a contenere gli effetti di quelli eventualmente già occorsi;
7) la revisione dell’approccio stesso di RRM, periodicamente o in risposta a cambiamenti rilevanti della banca o del contesto di riferimento.
Nelle relazioni con la clientela, il presidio del rischio di reputazione dovrà tener conto –
in questa fase – dei cambiamenti indotti dall’applicazione della nuova normativa in materia di trasparenza delle operazioni e dei servizi bancari e finanziari e di correttezza
11
delle relazioni tra intermediari e clienti . Le norme tendono a:
a) semplificare gli obblighi informativi degli intermediari, con aspettative di minori
costi per le banche e di maggiore comprensione dell’informazione per i clienti;
b) rafforzare la tutela della clientela, mediante la previsione di obblighi organizzativi delle banche volti ad assicurare un’adeguata attenzione al cliente in ogni fase dell’attività;
c) promuovere una riduzione del contenzioso e della conflittualità con la clientela, attraverso l’introduzione di regole per la corretta ed efficace gestione dei reclami. In base
alle analisi di impatto svolte dall’AdV, i maggiori costi di compliance delle banche saranno compensati dal contenimento dei rischi legali, di non conformità e di reputazione.
Più in generale, le sollecitazioni regolamentari a impostare rapporti leali e trasparenti con la clientela e a migliorare l’organizzazione e i processi a supporto di tali
relazioni mirano a rafforzare la capacità delle banche non soltanto di proteggere la
reputazione da rischi di deterioramento ma anche di consolidarla e svilupparla, valorizzandone il contributo alla creazione del valore.
Maria Antonietta Antonicelli; Vigilanza Bancaria e Finanziaria - Banca d’Italia
Specie la natura eterogenea e l’impossibilità di gestirlo nell’ambito di strategie di diversificazione del rischio globale, essendo un rischio da minimizzare, anzi da evitare in assoluto.
11
Cfr. Documento per la consultazione pubblicato dalla Banca d’Italia nel marzo 2009.
10
8
5·2009