Comments
Transcript
La gestione del rischio di reputazione nelle banche
La gestione del rischio di reputazione nelle banche D Nell’attuale contesto economicofinanziario, il tema della reputazione acquisisce per il mondo bancario una rilevanza sempre maggiore. Sull’onda di questa consapevolezza, nell’ambito delle proprie funzioni di supervisione, l’Autorità di Vigilanza ha predisposto una serie articolata di controlli specificamente indirizzati al presidio dei rischi reputazionali, insidiosi al punto di poter mettere a repentaglio l’imprescindibile rapporto di fiducia che intercorre tra la banca e la propria clientela. 2 5·2009 Maria Antonietta Antonicelli* Banca d’Italia Il rischio di reputazione nelle banche: l’azione di regolamentazione e di controllo prudenziale Dal punto di vista dell’Autorità di Vigilanza (AdV), una solida reputazione delle banche rappresenta un elemento cruciale per il perseguimento degli obiettivi di supervisione a un duplice livello: a) microprudenziale (sana e prudente gestione del singolo intermediario vigilato); il deterioramento della reputazione di un intermediario può determinare perdite in grado di compromettere la sua stessa stabilità e, più in generale, può ingenerare riflessi negativi sulla fiducia del pubblico, che è il presupposto della stabilità; b) macroprudenziale (tutela della stabilità finanziaria); l’incrinarsi della reputazione delle banche può tradursi in crisi di fiducia del mercato, con potenziali effetti destabilizzanti a livello sistemico (ad es. attraverso crisi di liquidità). Inoltre, l’indebolimento della reputazione degli intermediari può riflettersi negativamente sulla reputazione della Vigilanza. Negli ultimi anni, l’attenzione delle AdV al fattore reputazionale, tradizionalmente elevata per le ragioni già richiamate, si è tradotta nella declinazione più articolata di regole e controlli specificamente focalizzati sul presidio del rischio di reputazione delle banche. In effetti, l’esposizione degli intermediari a rischi di reputazione è in aumento. Le ragioni risiedono essenzialmente nell’evoluzione dell’industria finanziaria, intesa in senso lato come cambiamento della struttura e dell’operatività degli intermediari e dell’environment in cui essi operano. Riflettendosi in una crescente complessità delle stesse banche, dei prodotti e dei servizi offerti, degli schemi relazionali con i soggetti che ruotano all’esterno dell’azienda bancaria, tale evoluzione rende essenziale per la stabilità e la competitività degli operatori la capacità di far evolvere coerentemente il modo di analizzare e gestire i rapporti con i propri stakeholders. Sono questi ultimi, infatti, che, in base alla percezione dell’attitudine * Le riflessioni presentate sono parte di un intervento tenuto al Convegno ABI “Basilea 2 e la crisi finanziaria”, svoltosi a Roma nel giugno 2009. Le opinioni espresse sono personali e non coinvolgono l’Istituto di appartenenza. della banca a soddisfare le loro esigenze/attese – ovvero in base alla fiducia nella capacità anche prospettica della banca di corrispondere alle loro aspettative – concorrono a determinare il livello della reputazione aziendale. Il rischio di reputazione delle banche – ovvero il rischio di incorrere in perdite a causa di un deterioramento della percezione della propria immagine da parte dei diversi stakeholders – è esplicitamente richiamato nel nuovo framework di vigilanza prudenziale di Basilea 2. In particolare, nel “processo di controllo prudenziale” (Supervisory Review Process - SRP) – articolato nelle due fasi integrate del “processo interno di determinazione dell’adeguatezza patrimoniale” (Internal Capital Adequacy Assessment Process - ICAAP), facente capo alle banche, e del “processo di revisione e valutazione prudenziale” (Supervisory Review and Evaluation Process - SREP), di competenza dell’AdV, è richiesta la spe1 cifica considerazione anche di tale tipologia di rischio . L’evoluzione dell’industria finanziaria deve riflettersi nel modo di gestire i rapporti con gli stakeholder L’approccio risk-based di Basilea 2 tende a incentivare implicitamente le banche ad adottare schemi efficaci di valutazione e mitigazione di tutti i rischi insiti nel business, siano essi di natura creditizia, finanziaria, operativa o, appunto, reputazionale. Per tale via, il nuovo schema rafforza il collegamento tra i presidi patrimoniali e i presidi assicurati dai meccanismi di governo societario, organizzativi e di controllo interno. Tali meccanismi – attraverso l’operato di organi/funzioni di indirizzo strategico, di gestione e di controllo – devono assicurare la presenza, il funzionamento e l’aggiornamento nel tempo di un sistema efficace di Risk Management di tutti i rischi rilevanti per la banca. Il sistema aziendale di Reputational Risk Management (RRM) si incentra sull’analisi e sulla gestione dei rapporti con i diversi stakeholders. Considerata la natura peculiare dell’impresa bancaria, il framework con cui le banche analizzano e gestiscono i rapporti con lo stakeholder clientela – nelle sue molteplici dimensioni di depositante, risparmiatore, prenditore di fondi – riveste un rilievo centrale. Nel sistema bancario italiano, ciò è tanto più vero in relazione alla rilevanza della componente retail per l’attività delle banche. Negli anni recenti, in relazione a specifiche problematiche emerse, l’attenzione dell’AdV si è concentrata particolarmente sul rischio di reputazione delle banche connesso con le relazioni di clientela. Nella fase attuale, il rischio di reputazione degli intermediari è oggetto di una rinnovata e specifica enfasi, soprattutto per le sue manifestazioni connesse con lo sviluppo del modello di business originateto-distribute ed emerse durante la crisi finanziaria (ad es. in relazione all’offerta da parte delle banche, di supporto finanziario implicito – ovvero al di là delle proprie obbligazioni contrattuali, per motivi essenzialmente reputazionali – a operazioni di cartolarizzazione e veicoli fuori bilancio). Ciò ha indotto il Comita- 1 Cfr. Circolare della Banca d’Italia n. 263 del 27 dicembre 2006. Relativamente all’ICAAP, è utile rammentare che la normativa suddivide gli intermediari in tre classi, differenziate – dalla terza alla prima – da vincoli progressivamente più stringenti riguardo al grado di sofisticazione e di personalizzazione del processo (ad es. per le banche di classe 3, è la stessa normativa che suggerisce metodologie semplificate di conduzione dell’autovalutazione). 5·2009 3 to di Basilea a fornire specifiche indicazioni sul rischio di reputazione, concretiz2 zatesi anche in una più articolata definizione del rischio stesso . Il rischio di reputazione e gli altri rischi: il tema della “perimetrazione” Un primo aspetto da considerare nell’ambito del RRM e ai fini dell’ICAAP è la perimetrazione del rischio. Si tratta di una questione che – pur rivestendo un rilievo particolare per il rischio di reputazione, in relazione ad alcune sue peculiarità – ha una valenza più generale, che si estende a una serie di rischi richiamati dalla disciplina di Basilea 2 e/o da altre norme di vigilanza prudenziale: soprattutto la famiglia dei 3 rischi operativi e di non conformità , ma anche il rischio strategico nonché alcuni rischi connessi alla gestione del rischio di credito come il rischio residuo da Credit Risk 4 Management (CRM) e il rischio da cartolarizzazione . Ciò che accomuna i rischi in questione è il fatto che – pur essendone ormai diffusamente riconosciuti i rilevanti impatti potenziali sulla solidità degli intermediari e, dunque, la necessità di valutarli e presidiarli in modo specifico e adeguato – il grado di sviluppo delle relative conoscenze teoriche e delle tecniche di Risk Management è significativamente minore rispetto a rischi più maturi (quali i rischi di credito e di mercato). Anche per questo motivo, tuttavia, è fondamentale approfondire preventivamente il perimetro di riferimento di ciascuna tipologia di rischio, attraverso un’analisi accurata di cause, eventi e impatti (perdite) ad essa riconducibili, al fine di eliminare Analizzare cause, eventi e impatti per evitare sovrapposizioni con altri rischi potenziali sovrapposizioni con altri rischi. Si tratta di un aspetto evidentemente rilevante ai fini della misurazione del rischio, che necessita di una pre5 cisa individuazione delle perdite pertinenti , ma che ha anche una significativa valenza gestionale. Riconoscere un evento o una perdita quale elemento riconducibile univocamente a un dato rischio è il primo passo per prende- re atto di inefficienze, errori, debolezze nella gestione e nel controllo delle variabili rilevanti per quel rischio e quindi per attivare efficaci meccanismi di prevenzione o Cfr. Proposed enhancements to the Basel II framework, Consultative Document, gennaio 2009 (Supplemental Pillar II Guidance, Cap. III.C, pp. 19 e ss.). Al punto 48 si legge: “Reputational risk can be defined as the risk arising from negative perception on the part of customers, counterparties, shareholders, investors or regulators that can adversely affect a bank’s ability to maintain existing, or establish new, business relationships and continued access to sources of funding (e.g. through the interbank or securitisation markets). Reputational risk is multidimensional and reflects the perception of other market participants. Furthermore, it exists throughout the organisation and exposure to reputational risk is essentially a function of the adequacy of the bank’s internal risk management processes, as well as the manner and efficiency with which management responds to external influences on bank-related transactions”. Nel 1997, all’interno del documento Core Principles for Effective Banking Supervision (p. 22), lo stesso Comitato forniva la seguente definizione di rischio reputazionale: “Reputational risk arises from operational failures, failure to comply with relevant laws and regulations, or other sources. Reputational risk is particularly damaging for banks since the nature of their business requires maintaining the confidence of depositors, creditors and the general marketplace”. 3 Cfr. Disposizioni in materia di conformità contenute nel provvedimento della Banca d’Italia n. 688006 del 10 luglio 2007. 4 Riguardo alla trattazione di questi ultimi due rischi nell’ICAAP, ad esempio, gli approfondimenti condotti nell’ambito dell’industria bancaria italiana si sono concentrati soprattutto sull’esigenza di escludere manifestazioni dei rischi in questione ricadenti in altre tipologie di rischio, identificate principalmente nella famiglia dei rischi operativi (cfr. Libro Bianco sul Pillar 2, Bancaria Editrice, 2008). 5 Ad es. per il calcolo del requisito regolamentare a fronte del rischio operativo nelle banche che adottano sistemi AMA o per la stima, nell’ambito dell’ICAAP, di eventuali coperture patrimoniali dei diversi rischi richiamati sopra, ivi incluso il rischio di reputazione. 2 4 5·2009 mitigazione. La perimetrazione dei rischi – specie presso gli intermediari più grandi/complessi, che adottano definizioni dei rischi e metodologie di valutazione/gestione più articolate di quelle regolamentari – rappresenta un ambito del più ampio con6 fronto SREP-ICAAP promosso dall’AdV . Quanto detto vale tanto più per il rischio di reputazione, in considerazione della connotazione distintiva di questo rischio, rappresentata dal nesso di causalità che lega il suo concretizzarsi: Il rischio di reputazione può trasformarsi in altri rischi a) in gran parte dei casi, al manifestarsi di altri rischi (operativi e di compliance, stra7 tegici/di business ; di liquidità, di credito, ecc.) connessi con fatti, atti o comportamenti riguardanti lo specifico intermediario interessato; peraltro, danni di reputazione possono sorgere anche da una situazione di natura sistemica o settoriale; b) a modifiche nella percezione dell’immagine della banca presso i suoi stakeholders. A ciò, si aggiunge il fatto – ben noto, ma enfatizzato dalla crisi finanziaria di questi anni – che il rischio di reputazione può trasformarsi a sua volta in altri rischi. Ad esempio, il deterioramento dell’immagine della banca (presso i depositanti o le controparti istituzionali) può determinare crisi di liquidità, mentre la prevenzione del deterioramento della propria immagine può indurre la banca ad assumere rischi da cartolarizzazione, attraverso forme di supporto alle operazioni ulteriori rispetto agli obblighi contrattuali. Nell’ambito del confronto che l’AdV sviluppa con gli intermediari durante lo SREP, spetta alle singole banche, responsabili dell’ICAAP, prospettare approcci validi sia per isolare i rischi reputazionali da altri rischi originati da uno stesso evento o comporta8 mento, sia per valutare i collegamenti tra il rischio di reputazione e gli altri rischi . Il rischio di reputazione nelle banche: il framework di valutazione e gestione L’esperienza dell’industria bancaria italiana – come emerge dai resoconti dell’ICAAP – presenta tratti comuni riguardo all’individuazione dei driver del rischio di reputazione, che a sua volta si riflettono in una tendenziale convergenza degli approcci adottati per valutare e gestire il rischio in questione. Il tema della perimetrazione dei rischi è all’attenzione sia delle AdV sia dell’industria, anche al fine di promuovere la convergenza, rispettivamente, delle prassi di supervisione adottate dalle AdV dei diversi paesi (nella valutazione dei framework di misurazione e gestione dei rischi adottati dalle banche) e delle best practices aziendali presso i diversi intermediari. Cfr. anche Compendium of Supplementary Guidelines on Implementation Issues of Operational Risk, CEBS, 2008, contenente tra l’altro indicazioni per l’identificazione univoca di eventi/perdite da rischio operativo o strategico o di mercato. 7 La Circ. 263/2006 definisce il rischio strategico come il “rischio attuale o prospettico di flessione degli utili o del capitale derivante da cambiamenti del contesto operativo o da decisioni aziendali errate, attuazione inadeguata di decisioni, scarsa reattività a variazioni del contesto competitivo”. In linea con le indicazioni del citato Libro Bianco sul Pillar 2, gran parte delle banche di Classe ICAAP 1 e 2 fanno riferimento a una definizione del rischio distinto in due componenti: a) rischio strategico puro, legato a fenomeni di forte discontinuità aziendale derivante dalle principali scelte strategiche adottate (ad es.: entrata in nuovi mercati; adozione di scelte operative radicalmente diverse da quelle fino a quel momento perseguite); b) rischio business (o commerciale), connesso con variazioni di utili/margini rispetto ai dati previsti non legate ad altri fattori di rischio (ad es. tassi di interesse) ma alla volatilità dei volumi o a cambiamenti nei gusti della clientela; a differenza del rischio strategico puro, tale fattispecie di rischio – che fa riferimento a un contesto operativo a strategia invariata – è ritenuto misurabile. 8 L’analisi dei rapporti di causalità tra rischio di reputazione e altri rischi è molto importante anche nell’ambito delle attività di stress testing, specificamente richieste all’interno dell’ICAAP e che – su impulso delle AdV, anche alla luce della crisi finanziaria – stanno assumendo un ruolo di crescente importanza nel framework di Risk Management delle banche. 6 5·2009 5 I rischi operativi, legali e di non conformità sono considerati il fattore più frequente di “innesco” del rischio di reputazione, attraverso il concretizzarsi di fatti, atti o comportamenti della banca che configurano: i) inadeguatezza o disfunzione di procedure, risorse umane e sistemi interni o eventi esogeni (rischio operativo); ii) violazioni di leggi o regolamenti, responsabilità contrattuale o extra-contrattuale (rischio legale); iii) non conformità a norme, standard di comportamento e operativi rilevanti, principi e valori a cui gli stakeholders annettono importanza (rischio di compliance). Inoltre, per molte banche, affinché il rischio reputazionale possa concretizzarsi, è necessaria la presenza – congiuntamente al manifestarsi di rischi operativi, legali e di non conformità – di due elementi in grado di contribuire a trasformare il rischio originario in rischio reputazionale: 1) diretta responsabilità della banca riguardo al aal’evento rischio; I danni reputazionali derivano da un deterioramento della percezione della banca presso i clienti 2) interazione dei comportamenti aziendali con variabili reputazionali (ad es. importanza socialmente attribuita a un dato evento rischio, significatività del marchio, esposizione a processi di comunicazione esterna). Il concretizzarsi del rischio di reputazione, per effetto dei fattori citati, è riferito principalmente allo stakeholder clientela, in quanto si ritiene che i danni re- putazionali potenzialmente più rilevanti per la banca derivino da un deterioramento della percezione della sua immagine presso i propri clienti. In particolare, l’analisi delle fonti del rischio di reputazione nei rapporti di clientela si concentra prevalentemente sul rischio di mancato rispetto di norme e regole vigenti. Risulta invece meno indagato il tema della non rispondenza alle aspettative dei clienti, ovvero il rischio di un disallineamento della banca rispetto a valori ed esigenze ritenuti comunque rilevanti dalla clientela, causato ad esempio da un’osservanza meramente formale di norme e regole vigenti o dalla mancata intercettazione in tali corpi normativi (oltre che nei comportamenti degli intermediari) di valori ed esigenze importanti per i clienti. La natura peculiare del rischio in questione e l’assenza di metriche condivise a livello accademico e scientifico (nonché la mancanza di dati di perdita pertinenti) si riflettono nell’adozione, presso gran parte degli operatori, di schemi di valutazione di tipo prevalentemente qualitativo, basati su sistemi expert-based finalizzati a verificare l’esposizione al rischio e a individuare le azioni di mitigazione. In conseguenza del perimetro adottato per definire il rischio di reputazione, il framework di prevenzione/mitigazione del rischio si incentra principalmente su tre elementi: 1) la definizione di policy orientate ad assicurare la conformità alle norme nelle relazioni di clientela (soprattutto in materia di servizi di investimento, trasparenza delle operazioni e dei servizi, tutela del consumatore); 2) il presidio dei processi individuati come rilevanti per il rischio di reputazione, al fine di assicurare la compliance con norme esterne e interne e policy aziendali; 3) la comunicazione esterna. Per quanto riguarda i primi due elementi, l’adeguamento alle norme Mifid ha rappresentato per molti operatori l’occasione per aggiornare regole, processi e procedure riguardanti la strutturazione e la commercializzazione dei prodotti e la prestazione di consulenza. Tra i principali presidi, figurano il ruolo del Comitato Nuovi Prodotti (in 6 5·2009 qualche caso appositamente istituito al fine di rafforzare la prevenzione/mitigazione del rischio reputazionale) e gli aspetti organizzativi e procedurali della gestione dei reclami della clientela. Soprattutto per le banche di minori dimensioni, l’allestimento di un sistema di prevenzione e mitigazione del rischio di reputazione (riguardante soprattutto i rapporti con i clienti) fa leva sull’attivazione della funzione di compliance. Quanto alla comunicazione esterna, in alcuni casi essa è ritenuta il principale strumento per il presidio della reputazione, da preservare attraverso la regolamentazione dei processi di comunicazione, anche distinguendo i rapporti con i media e gli enti esterni da quelli con gli utenti della comunicazione, rispettivamente, finanziaria e commerciale. In linea generale, gli schemi di prevenzione/mitigazione del rischio di reputazione appaiono orientati principalmente a gestire il rischio potenziale di danni reputazionali, mentre risulta meno sviluppata la trattazione dei meccanismi di governo di crisi reputazionali già emerse e di contenimento dei relativi effetti. Il rischio di reputazione nelle banche: alcune considerazioni conclusive La recente esperienza della crisi dei mercati e le connesse riflessioni delle AdV (e anche dell’industria) suggeriscono di prendere in considerazione una definizione ampia, ancorchè semplice, del rischio di reputazione, volta a qualificarlo come un rischio originato principalmente da tutti i diversi rischi insiti nell’operatività della banca e collegato alla (in)capacità di intercettare e gestire le aspettative degli stakeholders. Da tale qualificazione del rischio di reputazione discendono alcune conclusioni. In primo luogo, il presidio di tale specifico rischio viene a dipendere in misura rilevante dalla qualità della governance aziendale e dei sistemi di gestione/controllo di tutti i diversi rischi aziendali. L’identificazione e la gestione del rischio di reputazione ha come premessa indispensabile l’attenta analisi di tutti i rischi insiti nell’attività aziendale, volta a identificare i potenziali effetti reputazionali, a tenerne conto nella valutazione dell’esposizione a tali rischi e nelle relative decisioni di risk management, a predisporre le coperture patrimoniali ritenute necessarie o le misure di mitigazione idonee a pre- La reputazione è un asset fondamentale per la stabilità e la competitività di qualsiasi banca servare il livello di reputazione considerato auspicabile rispetto alle proprie strategie di business, al contesto, alle aspettative degli stakeholders. In linea con la proporzionalità che caratterizza il framework di Basilea 2, gli intermediari più grandi/complessi sono chiamati a sviluppare approcci progressivamente evoluti di valutazione e gestione del rischio di reputazione, coerenti con la maggio9 re articolazione dei potenziali drivers del rischio , della platea di stakeholder e delle relative aspettative. Tuttavia, la necessità di proteggere e consolidare la propria reputazione, tenendo conto delle specifiche attese della propria platea di stakeholders, rileva per tutti gli intermediari, essendo la reputazione un asset fondamentale per la stabilità e la competitività di qualsiasi banca. In proposito, è stata già sottoli- 9 Ad es. tenendo conto di: grado di complessità dell’operatività; presenza ed entità di conflitti di interesse, in relazione al carattere multibusiness dell’operatività; grado di internazionalizzazione; intensità della comunicazione con il mercato e delle pressioni sui risultati; ecc. 5·2009 7 neata la rilevanza per le banche italiane della gestione della propria reputazione nei confronti della clientela retail; si può aggiungere l’importanza, per le numerose banche a vocazione locale, della vicinanza al territorio e alle sue istanze. Ciascuna banca è dunque chiamata a sviluppare il proprio approccio al RRM, finalizzato a individuare e neutralizzare le fonti del rischio di reputazione nella consapevo10 lezza sia delle peculiarità del rischio sia del carattere dinamico degli obiettivi aziendali di reputazione. Elementi minimali di un sistema di RRM dovrebbero essere: 1) la chiara assegnazione delle responsabilità e dei compiti relativi alla gestione del rischio di reputazione; 2) l’identificazione delle potenziali minacce per la propria reputazione e, più specificamente, delle variabili in grado di incidere sulla percezione della reputazione aziendale da parte dei propri stakeholders; 3) l’analisi dell’impatto potenziale del rischio reputazionale sui risultati aziendali; 4) l’individuazione degli obiettivi di reputazione per ciascuna categoria di stakeholder; 5) l’allestimento di un sistema di monitoraggio della percezione degli stakeholder; 6) la definizione, il supporto operativo e il controllo di procedure che – integrandosi nel più generale sistema di Risk Management della banca e attraverso il presidio di processi (funzionali ed efficienti), prodotti (appropriati e con condizioni eque), comportamenti (sostanzialmente corretti), comunicazioni con l’esterno (trasparenti) – siano finalizzate a prevenire danni di reputazione e a contenere gli effetti di quelli eventualmente già occorsi; 7) la revisione dell’approccio stesso di RRM, periodicamente o in risposta a cambiamenti rilevanti della banca o del contesto di riferimento. Nelle relazioni con la clientela, il presidio del rischio di reputazione dovrà tener conto – in questa fase – dei cambiamenti indotti dall’applicazione della nuova normativa in materia di trasparenza delle operazioni e dei servizi bancari e finanziari e di correttezza 11 delle relazioni tra intermediari e clienti . Le norme tendono a: a) semplificare gli obblighi informativi degli intermediari, con aspettative di minori costi per le banche e di maggiore comprensione dell’informazione per i clienti; b) rafforzare la tutela della clientela, mediante la previsione di obblighi organizzativi delle banche volti ad assicurare un’adeguata attenzione al cliente in ogni fase dell’attività; c) promuovere una riduzione del contenzioso e della conflittualità con la clientela, attraverso l’introduzione di regole per la corretta ed efficace gestione dei reclami. In base alle analisi di impatto svolte dall’AdV, i maggiori costi di compliance delle banche saranno compensati dal contenimento dei rischi legali, di non conformità e di reputazione. Più in generale, le sollecitazioni regolamentari a impostare rapporti leali e trasparenti con la clientela e a migliorare l’organizzazione e i processi a supporto di tali relazioni mirano a rafforzare la capacità delle banche non soltanto di proteggere la reputazione da rischi di deterioramento ma anche di consolidarla e svilupparla, valorizzandone il contributo alla creazione del valore. Maria Antonietta Antonicelli; Vigilanza Bancaria e Finanziaria - Banca d’Italia Specie la natura eterogenea e l’impossibilità di gestirlo nell’ambito di strategie di diversificazione del rischio globale, essendo un rischio da minimizzare, anzi da evitare in assoluto. 11 Cfr. Documento per la consultazione pubblicato dalla Banca d’Italia nel marzo 2009. 10 8 5·2009