Quali sono i modelli di controllo vincenti? Ancora citazioni
Thu 19 Jun 2008, 05:15 AM Stampa
[Nelle recenti turbolenze dei mercati finanziari] alcune banche, pur in presenza di operatività e tipologia di indebitamento analoghi a quelli medi del settore, sono state in grado di evitare o limitare fortemente le perdite grazie alla efficacia e alla prontezza con le quali hanno affrontato il momento di difficoltà del mercato. L’esame del modo di operare di tali intermediari virtuosi ha posto in luce alcune specifiche caratteristiche organizzative dimostratesi cruciali per realizzare tale risultato:
- i vertici aziendali, attivamente coinvolti nella gestione della banca, erano consapevoli delle specifiche tipologie di rischi insiti nell’operatività prescelta e interpretavano il proprio ruolo in modo attivo e propositivo;
- i flussi informativi erano strutturati in modo da essere completi, tempestivi e direttamente rivolti agli organi di amministrazione e controllo;
- il sistema di controllo interno si articolava in funzioni autorevoli, indipendenti, sempre aggiornate e “al passo” con l’evolversi dell’operatività dell’azienda.
[...]
Le funzioni di gestione e controllo - coinvolgendo l’intera organizzazione aziendale dai vertici al front office – devono essere sempre in grado di cogliere tutte le caratteristiche dei rischi connessi all’operatività svolta e di valutare appieno interrelazioni e sinergie tra le diverse tipologie di rischio.
[...]
Per lungo tempo strumenti e processi del controllo “a norma” sono stati ritenuti sufficienti per assicurare la regolarità dell’attività bancaria e scongiurare perdite; in un contesto finanziario innovativo quale quello attuale gli organi e le funzioni di controllo interno devono poter svolgere un ruolo proattivo nella gestione aziendale, contribuendo ad indirizzare l’operatività verso settori che consentano la crescita della banca nel rispetto degli obiettivi di sana e prudente gestione.
Anna Maria Tarantola Ronchi, Direttore Centrale per la Vigilanza Creditizia e Finanziaria, Banca d'Italia, Il sistema dei controlli interni nella governance bancaria, intervento al Convegno DEXIA Crediop, “Il sistema dei controlli aziendali: alla ricerca di una governance”, Roma, 6 giugno 2008
Cosa può fare il risk management per rendere più sicuri i mercati ed evitare le crisi degli intermediari? Ci si aspetta molto, ma in episodi clamorosi la realtà delude le attese. Secondo quanto si afferma nell'intervento sopra citato, l'efficacia del risk management dipende dal suo riconoscimento a livello di governance, e dalla qualità / efficacia dei sistemi e dei processi che lo attuano. Sono d'accordo: il risk management deve essere connaturato alle visioni strategiche e alle scelte direzionali e gestionali. La consapevolezza dei rischi si costruisce sulle informazioni, e servono sistemi potenti, ordinati ed estensibili per ottenerle e farle pervenire ai decisori.
Tuttavia, sono scettico sull'importanza del controllo rispetto alla gestione, e dei modelli/sistemi rispetto all'esperienza, specialmente quando si apprezza la capacità del risk management di evitare rischi estremi. Chi se l'è cavata meglio nelle recenti turbolenze di mercato? Le banche italiane, ad esempio, che hanno ignorato i comparti e le tecniche operative più rischiose. Chi ne ha tratto profitto? Market leader come Goldman Sachs che hanno preso posizione corta sui rischi subprime. Può darsi che molte banche siano riuscite a limitare per tempo un'esposizione lunga su questi mercati, ma sicuramente tra i perdenti troviamo molti operatori che avevano posizioni monitorate (con VaR e tutto il resto), che rispettavano limiti di esposizione, e che continuavano a scommettere perché la redditività risk-adjusted attesa rimaneva ottima, e che soprattutto pensavano di uscire prima della crisi, con il market timing.
I modelli VaR applicati agli asset subprime erano parziali e davano numeri sbagliati: sovrastimavano il rating medio, sottostimavano i rischi di correlazione, ignoravano i rischi di modello, liquidità e reputazione. E' possibile avere modelli più accurati che scontano tutti questi rischi nascosti? Cogliere tutti i rischi e valutare appieno le loro interrelazioni è un esercizio classificatorio che non fa presa su un problema oltre i limiti della capacità umane. Con uno sforzo titanico ci si può provare, ma che significato hanno a questo punto le misure di rischio? Non sono più le statistiche gaussiane del mercato "normale", sono congetture su fenomeni aleatori ignoti di cui, nel migliore dei casi, si può immaginare (e graduare) la potenza. Sono rischi estremi (
cigni neri): se spaventano da morire, nessuno li assume, e il loro mercato scompare. Se invece seducono molti trader, e trascinano un boom di mercato, allora accumulano un potenziale destabilizzante che prima o poi esplode.
Che fare in questi casi per fronteggiarli? Due sole sono le strade: evitarli stando fuori dal mercato, o scommettere sulla crisi, ovvero posizionarsi contro il cigno nero negativo, accumulando per un certo tempo un flusso di perdite sopportabili, per ottenere dopo lo scoppio enormi guadagni.
Onestamente, non vedo bene la via di mezzo, con una squadra di fisici e ingegneri che dice al trader "più veloce!", "rallenta ... ". E' facile trovare numeri che danno ragione a chi sviluppa il business e fa utili a palate, a prescindere dal fatto che i trader e i CEO siano di solito più arroganti e sgamati dei risk manager. Con questo approccio ingenuo, quando il mercato gira, è troppo tardi: "frena, frenaa!!!", poi lo schianto.
Come tenere conto di questo, ora che ci si accinge a riordinare il sistema dei controlli interni delle banche? Dei tre livelli di controllo, quello che morde veramente è il primo (quello di linea). A monte del primo livello, sono importantissime le scelte di governance, soprattutto le decisioni di posizionamento sui mercati, dove stare, dove non entrare, da dove uscire. I controlli di secondo livello (gestione rischi e monitoraggio della risk-adjusted performance) sono un importante elemento di riflessione ordinata e di costruttiva dialettica nelle scelte gestionali, ma possono poco contro scelte strategiche e operative avventate. I controlli di terzo livello (internal auditing) vigilano sull'integrità e sul corretto funzionamento del sistema, ma scadono in formalismi del tutto inutili se i primi due livelli non hanno consistenza. Poi c'è la compliance, la sorveglianza sul rispetto delle regole normative, che è indispensabile: qui eventualmente sono le leggi ridondanti a creare problemi, ma ci si può fare poco. Una volta c'era l'ispettorato, che vigilava anche sul rispetto dei regolamenti interni, cosa che oggi fanno i middle - back office e talora gli internal auditors. Sarebbe opportuno fondere i ruoli di controllo "compatibili", prima che gli operativi defenestrino il quarto controllore che va a chiedere spiegazioni sulla stessa cosa (potrebbe essere un ispettore della Vigilanza, e sarebbe una tragedia).
Si riuscirà a a fare ordine in questo Castello kafkiano? Bisogna potare i processi duplicati, e quelli esclusivamente formali. Occorre poi ripensare lo spazio per l'outsourcing, individuando con realismo i casi nei quali un consulente può fare bene quello che la banca al suo interno non riesce a coprire. Non è solo un problema di competenze, ma di trattabilità del punto di controllo con metodologie e processi più o meno efficaci.
E per i problemi che sfuggono al controllo? Un bel divieto, o autolimitazioni accettate per buone ragioni. Meglio controllori arcigni che squadre di metodòlogi e tonnellate di
policies e procedure che danno soltanto l'illusione di avere la situazione sotto controllo.
Luca