Sistema di data collection per Basilea 2 Operational Risk
Applicativo per la raccolta di incidenti afferenti il rischio operativo bancario Basilea 2 Operational Risk, Iso 27001 compliant
Audit Box Basilea 2 Operational Risk software


Audit box Basilea 2 software di data collection

Audit Box 2.0
Basilea 2 - Operational Risk Data Collection


Cos'è Audit Box ?

Audit Box è un ambiente di servizio contenente know-how tecnico organizzativo di alto profilo, gestito mediante un software leggero e non invasivo, per la gestione e l'auditing degli eventi afferenti il Rischio Operativo bancario (Basilea 2 Operational Risk).

Audit Box è destinato alla industry del banking, in modo prevalente ma non esclusivo. Qualunque sistema standardizzato o statutory comprendente la gestione della non conformità e/o la verifica indipendente può infatti avvalersi di Audit Box. La release 2.0 attualmente in commercio comprende due versioni: Audit Box Light e Audit Box Floware WF Engine (Plexus).

Audit Box è l'unico sistema di raccolta di eventi afferenti il rischio operativo bancario dotato di motore di workflow, Floware (Courier Agent) della Plexus Recognition Bantek, la soluzione di workflow su larga scala più collaudata e utilizzata.

Giunto alla settima release, compatibile con Internet e fornito come motore di workflow indipendente dalle applicazioni, FloWare continua a essere il prodotto con la più grande varietà di installazioni.

Le principali potenzialità di Plexus sono:


  • essere uno strumento versatile e sicuro;
  • disporre di un motore di WorkFlow svincolato dagli applicativi, capace di integrarsi in modo naturale con ogni tipo di applicazione;
  • portabile sulla maggior parte delle piattaforme (Microsoft, Unix, Linux);
  • disporre di un tool (Map Builder) che permette di creare e modificare rapidamente le mappe di flusso, rendendo disponibili tali modifiche direttamente all'ambiente applicativo di run-time (concetto tipico degli ambienti BPM);
  • disporre di un tool (Rule Architect) per definire regole di gestione degli oggetti. Tali regole, indipendenti dall'applicazione utilizzata, sono subito disponibili nell'applicativo;
  • disporre di strumenti di tracciamento e certificazione degli eventi e delle modifiche effettuate agli oggetti;
  • disporre di funzionalità per implementare architetture distribuite (multi WF server) e ridondati (load balancing integrato);
  • possibilità di essere installato in ambienti ad alta affidabilità nativi.

Dotato di tali caratteristiche, FloWare ha sempre consentito di sviluppare applicazioni di gestione processi solide e “mission critical” che realmente permettono di ridisegnare e ottimizzare la struttura aziendale, migliorare le attività e posizionarsi definitivamente al vertice dei settori di competenza.


Ambito di utilità di Audit Box 2.0

La vision di Audit Box è quella di strumento base della funzione di ORM (Operational Risk Management) – e indirettamente di strumento dell' Audit – in una logica Basilea 2 compliant.

Come è noto, gli elementi del nuovo accordo del Comitato di Basilea e delle correlate analisi di impatto appaiono sufficientemente stabilizzati per concludere che:

a) il rischio operativo inciderà sensibilmente sul capital punishment delle banche che non adotteranno approaches avanzati alla trattazione dell'OR o, in alternativa, non ridimensioneranno il business;
b) comparativamente, il rischio operativo determinerà l'overall change della quantità di capitale di regolazione molto più che il rischio di credito (in altri termini: le banche sembrano differire tra loro per la capacità di trattare l'OR molto più che per la capacità di trattare il CR);
c) gli approaches avanzati e intermedio (standardizzato) richiederanno in prima istanza rilevazioni empiriche di accadimenti afferenti l'OR, non necessariamente aventi manifestazione legale o contabile, comportanti perdite certe o stimate, rilevanti, classificati (eventi);
d) I metodi probabilistici dovranno applicarsi su serie storiche di eventi localizzati. I metodi avanzati dovranno catturare la severità delle perdite per una determinata banca e/o azienda e per business line – non per tipologie o modelli – in modo rigoroso (granularità, code, intervallo di confidenza tale da escludere metodi a campione);
e) Per consentire approaches avanzati, totali o parziali, le serie dovranno avere profondità triennale allo start-up, quinquennale successivamente. In altri termini: i dati dovranno riferirsi al periodo 1/1/2004 - 31/12/2006, con penalizzazione crescente quanto più l'inizio della raccolta è differito rispetto al 1/1/2004.



Audit box Basilea 2 software di data collection Audit box Basilea 2 software di data collection
Audit Box: screen shot sezione di Login e Search



Scopo

Audit Box è stato realizzato per dotare i Clienti appartenenti al banking, e i loro outsourcers, della base euristica indispensabile per “qualunque metodica credibile di misurazione del rischio operativo” – secondo il letterale enunciato del regolamento Basilea 2 Operational Risk.

Questa base è costituita da un data collection degli eventi (accadimenti comportanti perdite) consistente, controllato, aderente alla realtà quotidiana della banca in quanto formato in logica bottom-up.

Il data collection costituisce altresì uno strumento indispensabile di decision making e di verifica per le attività di mitigazione, lanciate e/o monitorate dall'ORM, attuate mediante interventi di miglioramento sui sistemi e sui processi.

Infine, scopo del prodotto/servizio è quello di implementare la diffusione della cultura del trattamento dell'OR e della disclosure grazie alla quantità del personale interessato, ciò che è espressamente previsto tra i compiti dell'ORM.


Caratteristiche di Audit Box

Dati i tempi cogenti stabiliti per la collezione delle serie storiche, e tenuto conto dell'entità del capital punishment, il vantaggio competitivo per chi implementa tempestivamente Audit Box può collocarsi nell'ordine delle decine di milioni di Euro. Esso è certamente più pesante in amount per le banche commerciali strutturate (gruppi), più incidente percentualmente per le realtà soggette esclusivamente o prevalentemente a OR (banche web, banche d'affari, sgr, ecc.).

Audit Box, è un ambiente totalmente parametrico. Il governo dei processi è attuato tramite regole impostate per ogni attività. Le regole sono Basilea 2 compliant relativamente a quegli aspetti (allo stato) standardizzati in modo vincolante; sono aderenti alle buone pratiche dell'industry relativamente agli altri (Iso 27001).

Caratteristica rilevante di Audit Box è la semplicità d'uso rispetto alla “densità” della materia. La semplicità è necessaria in quanto l'uso è distribuito e concerne personale di livelli e collocazioni molto differenziati.

Queste sono possibili solo se la rilevazione e valutazione degli eventi avviene (ragionevolmente) presso gli accadimenti, originando un processo definito e tracciato. Che un algoritmo serva a nulla in assenza di informazioni è ovvio. Dovrebbe essere altrettanto ovvio che difficilmente potranno ritenersi rispondenti al requisito di integrità informazioni la cui unica fonte auditabile sia a livello di Senior Management, o che rispecchino le mere perdite contabili distribuite ex post per categorie di rischio e per business lines.

Audit Box non impone al Cliente scelte esclusive nella trattazione dei rischi operativi. Tantomeno pretende di “risolvere” Basilea 2. Nessuna tecnologia risolve processi di standardizzazione, incluso semplici, e Basilea 2 non è tra questi. Naturalmente Audit Box è frutto di un knowledge, che privilegia come più efficace l'approccio tecnologico-organizzativo (sicurezza delle informazioni, sicurezza dei sistemi e business continuity, process re-engineering) e come metodologia statistica appropriata. Metodi statistici fully assessed non mancano a certi livelli dell'industry delle assicurazioni, nè tool statistici. Tool statistici risulteranno necessari, a livelli di implementazione avanzati, per il disegno di scenari.

Audit Box è “semplicemente” la risposta tempestiva ai minimum requirements di qualunque strategia non puramente remissiva, e al contempo lo strumento d'impatto di un approccio solido e strutturato a Basilea 2. Audit Box è modulare e assolutamente flessibile.


Tecnologia

Audit Box Front End è sviluppato con le più aggiornate tecnologie Web-oriented, (Active Server/Active-X, HTML, Flash per le spiccate doti di performance) unitamente alle potenzialità del sistema di workflow di Floware Plexus per la gestione (back-end) dei processi di raccolta e validazione, oltre a tracciamento e certificazione dei dati.

Floware, inoltre, è stato adottato per via della natura distribuita e asincrona di Internet che non consente a un ampio segmento di utenti di collegarsi al repository centrale per accedere ai dati risparmiando sui costi.

Per poter concludere le attività assegnategli, l'utente deve accedere non solo ai dati ma anche agli strumenti necessari per elaborare tali dati. L'Agent Courier proposto è un agente intelligente che mantiene e gestisce i puntatori per tutti i dati e metodi necessari, oltre a mantenere il registro cronologico e le regole di instradamento per l'elemento di lavoro di destinazione.

Questa scelta permette un notevole contenimento dei costi di manutenzione, proprio per le caratteristiche di modularità e di semplicità di intervento.

L'adozione di tecnologie Web oriented significa, tra l'altro:

– nessuna installazione presso le periferie (Client), le quali, tenuto conto dei livelli di users, sono normalmente dell'ordine delle migliaia (decine di migliaia per gruppi bancari e centri servizi);
– riduzione dei costi collaterali “classici” per la configurazione di sistemi e/o di applicativi e per la manutenzione.


Livelli di abilitazione

Il sistema è strutturato in 3 livelli gerarchici principali di valutazione e validazione, atti a gestire la classificazione, il peso e la rilevanza degli accadimenti (evento/non evento, evento rilevante/non rilevante, evento aperto/concluso, ecc.); a descrivere e valorizzare l'evento; a gestire un'area on–line di ripescaggio degli eventi e, successivamente, di consolidamento dei dati e di archiviazione.

Nella versione di base la allocazione / gerarchizzazione, in particolare relativamente al livello Focal Point, è modellata, in modo Basilea 2 compliant, in base al funzionigramma standard di banca ordinaria.

E' prevista una (essenziale) attività congiunta col Cliente di adattamento al modello organizzativo, atta a facilitare il popolamento. Poichè l'ambiente è parametrico, il Cliente in possesso del knowledge mecessario può sempre personalizzare il modello. Per le realtà complesse (gruppi, banche sovralocali, banche multicanale, estere ecc.) si rende tuttavia opportuna ed è comunque consigliabile un'attività di personalizzazione adeguata.

Un quarto livello di abilitazione è quello di administration. Si tratta in realtà di un vero e proprio modulo e prevede funzionalità allocate a tre livelli in una logica top–down: presso l'outsourcer distributore, ove esistente, e presso il Cliente nelle due distinte aree di EDP e di Organizzazione (definita dal Cliente: ORM, azienda o line).


Funzionalità principali dell'applicativo

Possono essere collocate in cinque aree:


Collection e validazione degli eventi

Audit Box è in primo luogo un sistema di descrizione di accadimenti. Tali accadimenti possono o meno implicare perdite; possono o meno riguardare l'OR; possono o meno essere rilevanti con riferimento ai criteri di granularità che il metodo individua e ai de minimis stabiliti.

Gli accadimenti sono validati con un doppio controllo: prossimo e remoto. La collection genera eventi aperti. La funzione è libera–indirizzata, con vincoli predeterminati. Gli aspetti di libertà sono riferiti alla descrizione, valorizzazione, allocazione dei fatti, così da facilitare l'identificazione e il controllo ai livelli superiori. Quelli indirizzati alle classificazioni e rubricazioni dei fatti (per tipi di eventi, per tipi di perdite, per imputazione alle business lines; nell'ipotesi di personalizzazioni anche di altro tipo: classificazioni territoriali, funzionali per servizi, per processi/prodotti, per rischi localizzati, ecc.). I vincoli sono riferiti ai must: tracciatura a scopo di auditing delle informazioni e dei rilevatori ai vari livelli; minimum requirement delle informazioni (fonte, luogo ed epoca della rilevazione, luogo ed epoca dell'accadimento, valore attribuito alla perdita, ecc.)


Validazione e valorizzazione delle perdite

Nel caso gli accadimenti costituiscano eventi (siano riconducibili a OR e implichino perdite) queste sono valorizzate e sono validate con un doppio controllo. La funzione è libera–indirizzata: è stabilita una classificazione e, a seconda della classificazione, le perdite saranno cost o esteem.


Classificazione degli eventi

Gli accadimenti costituenti eventi aperti sono classificati in conformità dei fatti raccolti, ovvero riclassificati in modo corretto da parte del livello superiore. Le classificazioni di ultima analisi sono comunque Basilea 2 compliant. Sono previste sub–funzionalità di aggregazione e di distribuzione di eventi.


Gestione degli eventi aperti

Gli eventi aperti sono temporaneamente gestibili on–line, da parte di determinate funzioni abilitate, così da recepire eventuali manifestazioni legali o contabili differite di perdite (“Ripescaggio”). La gestione comprende funzionalità di gestione degli accadimenti scartati.


Consolidamento e storaggio

Gli eventi sono conclusi, a cura di determinate funzioni abilitate, mediante funzionalità di consolidamento parametriche. Queste consentono l'estrazione dei dati per tipologie standard (es: tipi di evento, business lines, banca) e/o personalizzate (es: processo, organizzazione territoriale, gruppo). I dati consolidati in serie storiche sono archiviati. La funzionalità comprende la possibilità di estrazione di dati a scopo di trasmissione a terzi.

Tutte le funzionalità sono dotate di filtratura, cosicchè il sistema consente la più ampia e semplice gestione delle numerose anagrafiche, siano standard (es: anagrafica delle dipendenze, anagrafica degli utenti abilitati) che non standard (es: anagrafica dei prodotti).


Add–On e funzionalità accessorie

Add–On

Sono in fase di integrazione moduli aggiuntivi di Audit Box. Tra questi si segnalano: Audit Map consente la rappresentazione in tempo reale degli eventi afferenti al rischio operativo bancario, Red Alert permette l'automazione dei processi di raccolta per le aree IT, Fairy Pro creazione di workflow, rappresentazione di scenari vs. business lines. Audit Tool DMS dedicato alla gestione di documenti afferenti i rischi operativi.


Organizzazione

Nella versione base Audit Box comprende i principali parametri di proiezione delle funzionalità sulla dimensione territoriale del Cliente. Inoltre, come sopra accennato, il prodotto / servizio comprende una essenziale attività di assistenza al popolamento. Tale attività è ampliabile fino a una completa customizzazione relativamente alla definizione di organigrammi dei livelli di administration e dei livelli / allocazioni di utenti personalizzati al modello organizzativo del Cliente. La customizzazione organizzativa è in realtà un aspetto, particolarmente rilevante, di localizzazione. Salvi i top level (steering committee, management e staff) l'universo degli user di Audit Box coincide con la struttura operativa di ORM. Impronta Digitale è in grado sia di produrre consulting per il Cliente nell'implementazione dell'ORM, sia di personalizzare l'applicativo in conformità con la struttura definita dal Cliente e dai suoi consulenti.


Localizzazione

L'architettura e la flessibilità dell'ambiente di sviluppo di Audit Box consentono di implementare parametri di localizzazione completi, studiati e definiti col Cliente sulla base del knowledge di Impronta Digitale o dal Cliente stesso.

Tali parametri possono riferirsi a:

- layers di tipologie di evento / rischio personalizzati e mirati;
- chiavi di distribuzione lato server e lato client personalizzate;
- funzionalità di sicurezza personalizzate;
- funzionalità, livelli, allocazioni e tipologie di consolidamento dei dati;
- collocazione del prodotto / servizio in ambienti specifici, ecc.

La buona localizzazione risponde a necessità evidenti (si pensi al caso dei gruppi). Ma è altrettanto intuitivo che i rischi con caratteristiche di severity di una web bank non saranno i medesimi di uno sportello di Bcc; che un centro servizi certificato BS7799 non avrà le procedure di sicurezza di un ordinario centro EDP; che una controllata irlandese dovrà trattare approfonditamente e prioritariamente certi rischi e una salentina certi altri). Non solo. Essa permette rispetto a una configurazione standard di catturare molto più agevolmente ed economicamente i dati significativi, riducendo le ridondanze.


Knowledge Management

Come espressamente previsto in sede Basilea 2, disclosure e implementazione di una cultura della trattazione dell' OR sono obiettivi specifici dell' ORM. Tale implementazione concerne il Senior Management (con compiti di definizione, promozione e monitoraggio), il management operativo (organizzazione e manutenzione), il personale dedicato (applicazione delle procedure).

Audit Box è concepito e funziona in questo modo.

In altri termini:

A) in una banca ordinaria il solo personale dedicato (users) è dell'ordine delle centinaia o migliaia;
B) l'approccio è assai articolato, con numerose variabili;
C) è richiesto/incoraggiato un uso proattivo di procedure e tecnologia.

Tale sistema prevede formazione differenziata, in taluni settori di tipo continuativo e interattivo (aula, supporti di e–learning, uso di portale con aree di interattività, ecc.)
Impronta Digitale srl © 1994-2008
   Via Crocefisso, 8 - 20122 Milano
Home   |   Consulenza   |  Software   |   Soluzioni   |   Recapiti