Resilienza operativa
Quale dovrebbe essere la tolleranza di una banca al rischio di non corretto funzionamento, quando non addirittura di completa interruzione, delle proprie attività? Quale dovrebbe essere il livello di interferenza connesso a ciascun tipo di rischio operativo che la banca è disposta ad accettare? In termini concreti, quali livelli di malfunzionamento e/o interruzione dei processi, della presenza o del contributo delle persone, della funzionalità dei prodotti e dei servizi offerti, delle attività svolte e dei sistemi utilizzati, nonché quale livello di esposizione a rischi connessi ad eventi esterni, dovrebbero risultare accettabili per una banca?
Il tema è molto importante ed è stato oggetto di una recente pubblicazione del Comitato di Basilea (“Principles of operational resilience”, che potete scaricare direttamente dal sito della BIS cliccando qui) e che riporta, tra l’altro, la seguente definizione di resilienza operativa (formattazione mia):
“The Committee defines operational resilience as the ability of a bank to deliver critical operations through disruption.
This ability enables a bank:
- to identify and protect itself from threats and potential failures;
- respond and adapt to, as well as recover and learn from disruptive events
in order to minimize their impact on the delivery of critical operations through disruption.
In considering its operational resilience, a bank:
- should assume that disruptions will occur;
- and take into account its overall risk appetite and tolerance for disruption.
In the context of operational resilience, the Committee defines tolerance for disruption as the level of disruption from any type of operational risk a bank is willing to accept given a range of severe but plausible scenarios.”
Quali sono le relazioni tra resilienza operativa e rischi operativi?
“Operational resilience is an outcome that benefits from the effective management of operational risk. Activities such as risk identification and assessment, risk mitigation (including the implementation of controls) and the monitoring of risks and control effectiveness work together to minimise operational disruptions and their effects.
In addition, management’s focus on the bank’s ability to respond to and recover from disruptions, assuming failures will occur, will support operational resilience.
An operationally resilient bank is less prone to incur untimely lapses in its operations and losses from disruptions, thus lessening incident impact on critical operations and related services, functions and systems. While it may not be possible to avoid certain operational risks, such as a pandemic, it is possible to improve the resilience of a bank’s operations to such events.”
Più in generale, i principi di resilienza operativa rappresentano un incentivo a perseguire una più rapida trasformazione digitale della banca? Se sì, per quali vie dovrebbero evolversi le relazioni tra le persone che lavorano in una banca e le tecnologie prescelte per supportarli? E la ricerca di una più elevata resilienza operativa potrebbe inibire i processi di innovazione oppure, al contrario, li renderà maggiormente necessari e rapidi? E come dovrebbe essere coniugata la ricerca di più elevati livelli di resilienza con il conseguimento di un maggior grado di sostenibilità ambientale? Per ultimo, quali scelte adottare nella malaugurata ipotesi di prosecuzione della pandemia negli anni a venire?