Data Quality. Un approccio verso Solvency II

Transcript

1 Data Quality Un approccio verso Solvency II

2 Sommario Cos è la Data Quality Cosa si intende in Solvency II Cosa c era prima della direttiva (ovvero oggi)? Su quali elementi impatta la Data Quality Ipotesi per un modello di governance della Data Quality 1

3 Cos è la Data Quality Ci sono molte definizioni di DQ e spesso sono legate al contesto in cui si affronta l argomento; ad esempio da (Nov. 2012): 1. Data Quality refers to the degree of excellence exhibited by the data in relation to the portrayal of the actual scenario. 2. The state of completeness, validity, consistency, timeliness and accuracy that makes data appropriate for a specific use. (bygovernment of British Columbia) 3. The totality of features and characteristics of data that bears on their ability to satisfy a given purpose; the sum of the degrees of excellence for factors related to data. (by Glossary of Quality Assurance Terms US DOE-Hanford) 4. Glossary of data quality terms published (by IAIDQ) 5. Data quality: The processes and technologies involved in ensuring the conformance of data values to business requirements and acceptance criteria 6. Complete, standards based, consistent, accurate and time stamped (by GS1 Supply Chain Std) 2

4 Cos è la Data Quality Dal Glossario del Dipartimento per l Energia degli Stati Uniti: Data Quality Objectives (DQO) A strategic, systematic process for planning scientific data collection efforts. The DQO process helps investigators answer the following basic questions: a) Why do we need data? b) What must the data represent? c) How will we use the data? d) How much uncertainty is tolerable? By using the DQO Process, investigators ensure that the data collected for decision making are the right type, quantity, and quality. 3

5 Cos è la Data Quality Dal Glossario dell ISACA (tratto dagli standard ISO) possiamo trarre una definizione più generale rivolta alla garanzia di qualità: Quality assurance (QA) A planned and systematic pattern of all actions necessary to provide adequate confidence that an item or product conforms to established technical requirements. (ISO/IEC24765) 4

6 Cos è la Data Quality In sostanza possiamo sostenere che non si tratta di un concetto assoluto ma relativo a quelle che sono le aspettative di utilizzo dell informazione. Se prendiamo ad esempio l informazione relativa ad un sinistro essa contiene diversi dati che assumono diverso significato a seconda del contesto in cui vengono utilizzati (e quindi anche sotto il profilo della qualità): Anagrafica (gestione portafoglio, servizi di perizia, servizi di pagamento, customer satisfaction, ) Importo a Riserva (calcolo riserve complessive, calcolo SCR, bilancio, riassicurazione, ) Importo Liquidato (calcolo tariffa, contabilità, bilancio, riassicurazione, ) Spese (contabilità, bilancio, controllo di gestione, riassicurazione, ) 5

7 Cos è la Data Quality Ma l informazione può essere di interesse o utilizzo anche per altri soggetti non facenti parte dell impresa, occorre quindi rispettare eventuali requisiti (se espressi) posti dai terzi considerati: 6

8 Quali sono i riferimenti normativi in proposito? 7

9 Cosa si intende in Solvency II I riferimenti alla qualità dei dati sono diversi e propongono alle imprese, più che delle regole precise, degli indirizzi di governance e l indicazione delle aree di sensibilità. L articolo 48 lett. c) fornisce indicazioni sul ruolo dell attuariato rispetto alla qualità dei dati 8 L articolo 82 stabilisce la necessità di procedure e processi per garantire l appropriatezza, la completezza e l accuratezza dei dati utilizzati nel calcolo delle riserve tecniche.

10 Cosa si intende in Solvency II L articolo 86 lett. f) inserisce invece le premesse per la definizione di indicazioni tecniche specifiche da adottare per il calcolo delle riserve tecniche. Le specifiche sono proposte all interno del CP 43 che si riferisce esplicitamente al calcolo delle riserve ma puntualizza par 1.7: si osservi che il problema della qualità dei dati è rilevante in altre aree di un solvency assessment, per esempio per il calcolo dell SCR utilizzando la formula standard o i modelli interni un approccio sistematico ai problemi di qualità dei dati dev essere intrapreso per il Pillar I tenendo in considerazione le specificità di ogni area. 9

11 Cosa si intende in Solvency II Infatti la sezione relativa al calcolo dei requisiti di capitale anche con l utilizzo di modelli interni (artt ) esprime dei requisiti per la qualità, nell ambito del processo di validazione, dei dati utilizzati. Articolo 121 c. 3 (Standard di qualità statistica) I dati utilizzati per il modello interno sono accurati, completi e adeguati. Articolo Standard di convalida La procedura di convalida del modello interno include un analisi della sua stabilità ed in particolare la verifica della sensibilità delle sue risultanze a variazioni delle principali ipotesi sottostanti. Essa include altresì la valutazione dell accuratezza, della completezza e dell adeguatezza dei dati utilizzati nel modello interno. 10

12 Cosa c era prima della direttiva ovvero oggi? La sensibilità dell autorità di vigilanza si è rivolta prevalentemente ai processi di valutazione delle riserve: Regolamento 16 (Danni) Articolo 4 Principi generali 4. Le imprese si dotano di procedure e processi interni per garantire la pertinenza, la completezza e l accuratezza dei dati, contabili e statistici, utilizzati ai fini del calcolo delle tariffe e delle riserve tecniche. Regolamento 21 (Vita) Articolo 4 Principi generali 1. Le imprese si dotano di adeguate procedure e sistemi di controllo per garantire la completezza, la pertinenza e l accuratezza dei dati, contabili e statistici, utilizzati ai fini del calcolo delle riserve tecniche. 11

13 Cosa c era prima della direttiva ovvero oggi? Il percorso di allineamento verso Solvency che passa per il Regolamento 20 richiama i concetti espressi dalla Direttiva: Regolamento Articolo 12 - Flussi informativi e canali di comunicazione 2. Il sistema dei controlli interni garantisce che le informazioni rispettino i principi di accuratezza, completezza, tempestività, coerenza, trasparenza e pertinenza così definiti: a) accuratezza: le informazioni devono essere verificate al momento della ricezione e anteriormente rispetto al loro uso; b) completezza: le informazioni devono coprire tutti gli aspetti rilevanti dell impresa in termini di quantità e qualità, inclusi gli indicatori che possono avere conseguenze dirette o indirette sulla pianificazione strategica dell attività; c) tempestività: le informazioni devono essere puntualmente disponibili, in modo da favorire processi decisionali efficaci e consentire all impresa di prevedere e reagire con prontezza agli eventi futuri; d)coerenza: le informazioni devono essere registrate secondo metodologie che le rendano confrontabili; e) trasparenza: le informazioni devono essere presentate in maniera facile da interpretare, garantendo la chiarezza delle componenti essenziali; f) pertinenza: le informazioni utilizzate devono essere in relazione diretta con la finalità per cui vengono richieste ed essere continuamente rivedute e ampliate per garantirne la rispondenza alle necessità dell impresa. 12

14 Cosa c era prima della direttiva ovvero oggi? a) accuratezza: le informazioni devono essere verificate al momento della ricezione e anteriormente rispetto al loro uso; Quando si ha un utilizzo delle informazioni? Chi ha la responsabilità della verifica? Quando si concretizza la ricezione delle informazioni? 13

15 Cosa c era prima della direttiva ovvero oggi? b) completezza: le informazioni devono coprire tutti gli aspetti rilevanti dell impresa in termini di quantità e qualità, inclusi gli indicatori che possono avere conseguenze dirette o indirette sulla pianificazione strategica dell attività; Sinistri Quanti/Quali sono gli aspetti rilevanti dell impresa? Polizze Costi 14

16 Cosa c era prima della direttiva ovvero oggi? c) tempestività: le informazioni devono essere puntualmente disponibili, in modo da favorire processi decisionali efficaci e consentire all impresa di prevedere e reagire con prontezza agli eventi futuri; d) coerenza: le informazioni devono essere registrate secondo metodologie che le rendano confrontabili; e) trasparenza: le informazioni devono essere presentate in maniera facile da interpretare, garantendo la chiarezza delle componenti essenziali; 15

17 Cosa c era prima della direttiva ovvero oggi? f) pertinenza: le informazioni utilizzate devono essere in relazione diretta con la finalità per cui vengono richieste ed essere continuamente rivedute e ampliate per garantirne la rispondenza alle necessità dell impresa. SCR Tariffe Quali/Quante sono le finalità di utilizzo delle informazioni? Riserve Bilancio RIASS Pianificazione ORSA 16

18 Una qualità dei dati non ottimale su cosa incide? 17

19 Su quali elementi impatta la Data Quality Banalizzando si può sostenere che tutte le informazioni utilizzate da un impresa sono sensibili alla qualità dei dati. Molti processi sono sensibili ai rischi operativi derivanti da errori nelle informazioni e spesso è possibile determinare un valore diretto di perdita connesso a questi errori. Tuttavia molti problemi di qualità dei dati non danno evidenze immediate o facilmente rilevabili ma possono incidere in modo significativo soprattutto sulle grandezze oggetto di stima o sulle scelte di tipo strategico. 18

20 Su quali elementi impatta la Data Quality esempi In funzione dell origine (es. sinistro, fattura passiva, parcella, ) la richiesta di pagamento viene acquisita da una diversa struttura aziendale ed inserita nel sistema informativo con una serie di informazioni a corredo: Importo Nominativo/Anagrafica CF/PI Riferimento interno (n. sinistro, n. ordine, ) Coordinate per il pagamento (IBAN, Intestatario, ) Nome Cognome Indirizzo Nome Cognome CF/PI Indirizzo Nome Cognome n. CF/PI Indirizzo Sinistro IBAN n. CF/PI Sinistro ABI IBAN n. Sinistro ABI IBAN ABI 19

21 Su quali elementi impatta la Data Quality esempi Le informazioni acquisite sono elaborate attraverso diversi processi, ciascuno con proprie finalità, e sono quindi soggette ad una serie di controlli volti a ridurre al minimo i rischi specifici di ogni singolo processo (talvolta comuni tra processi). Ad un certo punto vengono utilizzate per effettuare i pagamenti. 20

22 Su quali elementi impatta la Data Quality esempi Se stimiamo due milioni di transazioni ogni anno per un impresa medio-grande, un errore nello 0,1% dei pagamenti per uno qualsiasi dei diversi dati raccolti porta al rischio di perdite su circa transazioni (10 al giorno!). Costi per rifacimenti Costi per recuperi (!) Costi per ritardi Costi per sanzioni 21

23 Su quali elementi impatta la Data Quality esempi Per valutare l assorbimento di capitale del Ramo Incendio (ma anche per definire un trattato di riassicurazione) è necessario disporre di molte informazioni relative ai contratti sottoscritti: Premio Importo assicurato Elenco dei beni Dislocazione geografica (LAT, LONG) Elenco garanzie MUR Limiti di Indennizzo Franchigie Scoperti Riparto di Coassicurazione (infragruppo?) Esclusioni.

24 Su quali elementi impatta la Data Quality esempi Alcuni di questi dati sono essenziali per il trattamento della polizza sotto il profilo dell impegno contrattuale ma non tutti sono sempre controllati rigidamente nei processi di portafoglio: Premio Importo assicurato Elenco dei beni Dislocazione geografica (LAT, LONG) Elenco garanzie MUR Limiti di Indennizzo Franchigie Scoperti Riparto di Coassicurazione (infragruppo?) Esclusioni.

25 Su quali elementi impatta la Data Quality esempi La gestione del contratto non presenta particolari criticità sotto il profilo operativo poiché i documenti contengono tutto quanto necessario alla corretta gestione del rischio assunto. Ma la valutazione del Risk Capital viene fatta con elaborazioni informatiche su dati di portafoglio aggregati.

26 Su quali elementi impatta la Data Quality esempi Il margine di incertezza sulla corretta indicazione della MUR può risultare critico sia nella stima dei contratti di riassicurazione che sulla valutazione del Risk Capital (in particolare per la stima dei rischi catastrofali). Lo stesso vale per le esclusioni mentre la mancanza delle coordinate geografiche comporta limiti significativi nella gestione delle stime su rischi catastrofali e sui trattati di riassicurazione per le garanzie terremoto ed alluvione.

27 Ipotesi per un modello di governance della Data Quality 26

28 Cosa possiamo fare? Identificare i dati ed attribuire loro le caratteristiche attese in termini di Data Quality costruendo un Catalogo dei Dati (Data Directory) oppure far leva sul Dizionario Dati. DATO xyz Descrizione Utilizzo DATO zyx Descrizione Utilizzo DATO yxz Descrizione Utilizzo Costruire il catalogo a partire dall utilizzo del dato per semplificare il percorso di censimento dei controlli e agevolare la rappresentazione: essenziale sia per poter limitare il campo di indagine che per identificare l effettiva copertura prodotta dai controlli.

29 Cosa possiamo fare? Una particolare attenzione va riservata alle informazioni non prodotte direttamente dal sistema informativo (es. expert judgment, valori acquisiti all esterno, parametri di configurazione ) alle quali l obiettivo di calcolo finale risulta sensibile. DATO xyz Descrizione Utilizzo DATO zyx Descrizione Utilizzo DATO yxz Descrizione Descrizione Utilizzo

30 Cosa possiamo fare? Una volta identificati e catalogati i dati occorre un analoga informazione per i controlli automatici e manuali (eventualmente anche con giudizio di esperti - TRACCIABILE). Controllo C123 Descrizione Tipologia Controllo C456 Descrizione Tipologia Controllo C789 Descrizione Tipologia Il censimento dovrebbe classificare i controlli esprimendo il criterio di qualità definito meglio se coerente con le definizioni da normativa (es. accuratezza, appropriatezza, completezza)

31 Cosa possiamo fare? Occorre quindi definire un sistema di rilevazione degli errori ovvero di raccolta delle evidenze prodotte dal sistema di controllo Controllo Soglia Esito C123 0% ok C456 y% ko C789 z% ok Una volta definiti i dati ed i controlli ai quali sono soggetti possiamo/dobbiamo definire le soglie di tolleranza basandoci sugli effetti che si producono a fronte del superamento delle stesse: le soglie dovrebbero essere funzione dell utilizzo del dato (legame con DD) combinato con la tipologia di controllo. Attenzione alle carenze nel processo che possono essere critiche per attività non ancora assoggettate completamente al processo di DQ.

32 Cosa possiamo fare? Per avere un effettiva indicazione del livello di controlli in essere in forma comprensibile per le qualità raggiunto occorre conoscere gli esiti dei scelte di gestione (Reporting): Valutazione sintetica complessiva del processo di produzione delle informazioni Indirizzare le aree di maggiore criticità (o minore adeguatezza) Controllo Soglia Esito C123 0% ok C456 y% ko C789 z% ok

33 Cosa possiamo fare? Infine, stabilito cosa vogliamo controllare e come, dovremmo anche dire cosa facciamo se i controlli non sono superati. L impostazione generale dovrebbe essere espressa formalmente in una politica dell impresa che definisce gli obiettivi generali di qualità, i criteri di riferimento, le metriche adottate e le responsabilità nella definizione degli obiettivi e nella gestione dei processi ordinari collegati. Feedback

34 Cosa possiamo fare? La politica dovrebbe anche descrivere il ruolo dell Audit che, oltre a verificare l efficacia e l efficienza del sistema, potrebbe valutarne l adeguatezza rispetto agli obiettivi finali (es. approvazione del modello interno di capitale o determinazione della riserva). DATO xyz Descrizione Utilizzo DATO zyx Descrizione Utilizzo DATO yxz Descrizione Utilizzo A U D I T

35 Cosa possiamo fare? Un ruolo importante di garanzia del sistema è quello dell IT Auditor che, valutando l integrità del sistema informativo lungo tutta la catena, può individuare le aree di debolezza del processo di qualità legate ad esempio ad attività poco tracciabili.

36 Grazie per l attenzione. pietro.ranieri@fondiaria-sai.it