Un nuovo ruolo per il risk management

Non c’è dubbio che il risk management negli ultimi anni abbia acquisito un peso e una visibilità crescente, anche da parte della direzione e degli organi sociali. Questa crescita di visibilità è stata in larga misura dovuta al ruolo della regolamentazione e alle responsabilità attribuite. Il vero punto di svolta risale a Basilea 2, che ha aperto la possibilità, teoricamente a tutte le banche, di adottare i modelli interni per il rischio di credito che hanno consentito significativi risparmi di capitale. È stato l’inizio di una vera e propria “età dell’oro” per il risk management, in grado di trasformare script modellistici in tangibili risparmi di capitale e di consentire di migliorare i ratios patrimoniali senza dover ricorrere – o dovendo ricorrere in misura minore – al mercato, con tutti vantaggi che questo comporta per la stabilità del management e dalla compagine azionaria.

Se da un punto di vista teorico la capacità di modellizzare i rischi dovrebbe rappresentare per una banca l’elemento competitivo discriminante, il risk manager è stato sempre più visto come un Rwa optimizer, il cui “valore” consiste nel consentire alla banca di risparmiare capitale. Con questo non si vuole sottovalutare l’importanza che l’adozione dei modelli interni ha avuto sulle prassi di business delle banche, che sono significativamente migliorate grazie anche ai requisiti organizzativi e di data quality richiesti per l’autorizzazione all’uso di modelli interni. Ne è però conseguita – anche su spinta del supervisore – la necessità di internalizzare al massimo le competenze, che ha prodotto una crescita notevole delle funzioni di risk management (includendo anche la convalida), che hanno assunto dimensioni in alcuni casi particolarmente rilevanti, attraendo anche risorse ad alta specializzazione (soprattutto quantitativa). Ma, come tutte le “età dell’oro”, anche questa sta probabilmente volgendo alla fine….

Sono diverse le “forze” che stanno muovendo verso un ripensamento radicale sia del ruolo del risk management sia del suo modello operativo. Tra le più rilevanti, il costo sempre maggiore delle strutture di risk management che sempre meno si accompagna a vantaggi tangibili: infatti, una volta conseguita la riduzione del capitale “one off” i costi rimangono stabili nel tempo. Un secondo gruppo di forze riguardano il peggioramento della congiuntura di questi ultimi anni, i margini di prudenza richiesti dal regolatore, l’attività di omogeneizzazione compiuta a livello europeo con i Trim e un approccio dei supervisori a una ricerca di stabilità del livello di capitale (conseguito attraverso modelli che sono sempre più Ttc e sempre meno Pit). Inoltre le modifiche in fase di adozione con la cosiddetta Basilea 4 introdurranno vincoli stringenti sia sui portafogli potenzialmente oggetto di modelli interni sia sui floor complessivi e per singolo portafoglio, che ridurranno la “convenienza” meramente regolamentare di adottare modelli Airb. Senza dimenticare infine l’emergere di “nuovi” rischi, che derivano dall’innovazione tecnologica, tradizionalmente fuori dalla “confort zone” dei risk manager. Tra i rischi Ict un ruolo di grande rilevanza è rivestito dal cyber risk soprattutto con la crescita dell’utilizzo di canali digitali in particolare nel retail banking, con le potenziali ricadute reputazionali su un business che è fondamentalmente fiduciario.

Il risk management è, e non potrà che rimanere, una fondamentale funzione di controllo, ma non può ridursi ad essere il garante della compliance regolamentare perché perderebbe di vista il suo vero obiettivo che è quello di orientare la banca ad un’assunzione dei rischi consapevole e coerente con il proprio risk appetite. Il risk manager deve tornare a convivere con un certo livello di indeterminatezza, pensare agli «unknown unknonws», riesaminare criticamente i controlli in ottica di «state of compromise», non limitarsi ad essere la “longa manus” del supervisore. Ovviamente è più difficile a farsi che a dirsi, ma questa presa di coscienza è inevitabile…

Va anzitutto chiarito che la regolamentazione e, soprattutto, la supervisione continueranno a giocare un ruolo importante, anche data la continua e sempre più pervasiva innovazione normativa. Tuttavia, il risk management deve riappropriarsi della sua funzione di misurazione e indirizzo strategico alla gestione dei rischi della banca, senza appiattirsi del tutto sulla regolamentazione. Questo cambiamento non potrà non essere accompagnato da un profondo ripensamento del proprio ruolo e ambiti di attività (risk mandate) e della propria organizzazione (risk organization). D’altro canto non è ipotizzabile che ciò avvenga con un’ulteriore crescita dimensionale e dei relativi costi. Un ripensamento del modello operativo della funzione di risk management diventa pertanto indispensabile se si vuole mantenere un rapporto accettabile tra benefici (più o meno tangibili) e costi. Per il risk manager si apre, quindi, un “new normal”, che non consisterà in un ritorno al passato, ma che anzi richiederà competenze diverse da quelle attuali e la capacità di leggere i rischi non “a silo”, o con un approccio all’integrazione dei rischi esclusivamente quantitativo, ma di sviluppare una visone olistica, saper leggere le interrelazioni tra diverse tipologie di rischi e, in particolare, tra alcuni rischi che a prima vista potrebbero apparire tipicamente di compliance, ma che invece sono fortemente connessi con tipologie di rischi tradizionalmente più vicine al risk management.

PwC ha recentemente svolto uno studio presso alcune delle principali banche internazionali per delineare le principali sfide e le relative linee evolutive della funzione di risk management. L’indagine individua alcuni fattori chiave. Primo, l’estensione dell’ambito di attività del risk management a tipologie di rischio diverse da quella tradizionali, ai quali la funzione di risk management deve rispondere con skill accresciute e diverse. Secondo, riduzione dei costi: sebbene i costi direttamente collegati alla funzione di risk management siano una frazione dei costi totali (tra il 3% e il 5%), alcune delle banche intervistate hanno dichiarato di voler ridurre i costi della funzione di risk management fino al 20%. Questo approccio implica necessariamente un ripensamento dei modelli organizzativi, inclusa una semplificazione dei processi, strategie di “delocalizzazione” di alcune attività (tipico caso quello dello sviluppo dei modelli – off/near shoring). Terzo, maggiore integrazione con le altre funzioni, in particolare Finance e Compliance, sia in ottica di ottimizzazione degli investimenti che di interazione fra rischi. Infine, maggior enfasi sulla tecnologia, in particolare per quanto riguarda l’automazione e l’integrazione tra i vari processi (stress testing, modelling, monitoraggio, reporting, capital planning, ecc.) e la gestione di grandi volumi di dati tramite advanced analytics non legati a requisiti regolamentari.

Semplicemente che ci aspettiamo che i trend delineati definiranno il ruolo del risk management in banca nei prossimi anni, tenendo conto che le modifiche regolamentari in corso e i progressi fatti renderanno sempre meno “attrattiva” l’attività del risk management in termini di risparmi di capitale attesi, ma d’altro canto costituirà un presidio fondamentale verso rischi emergenti e di cui ancora non si colgono in pieno gli impatti potenziali.