La gestione del rischio di compliance nell impresa di assicurazione: l approccio del Gruppo Reale Mutua

Transcript

1 Università Cattolica del Sacro Cuore/ Cetif Workshop L evoluzione del sistema dei controlli interni : tra processi di convergenza ed efficacia di controllo La gestione del rischio di compliance nell impresa di assicurazione: l approccio del Gruppo Reale Mutua Giorgio Mentuccia - Responsabile funzione Compliance Milano, 10 aprile 2014

2 Agenda Il Gruppo Reale Mutua La cultura aziendale consolidata L evoluzione della normativa Il rischio di non conformità: le policy e la metodologia di valutazione La gestione del rischio tramite i fattori di rischio (risorse, processi, sistemi) Il valore aggiunto della compliance 2

3 Il Gruppo Reale Mutua Il Gruppo Reale Mutua è un moderno Gruppo che opera in Italia e in Spagna attraverso la Capogruppo - Società Reale Mutua di Assicurazioni - e le società controllate e collegate. 3

4 La natura mutualistica La Capogruppo, Società Reale Mutua di Assicurazioni, è la più grande Compagnia assicurativa italiana costituita in forma di mutua. Oggi, grazie al suo sviluppo equilibrato e costante, Reale Mutua conta circa Soci, 1261 dipendenti e 340 Agenzie. La storia di Reale Mutua, che inizia nel dicembre 1828, è connotata da una costante crescita e da una componente irrinunciabile: la piena autonomia e indipendenza. La caratteristica di mutualità, insita della Capogruppo, è tuttavia un valore comune a tutte le Società del Gruppo nel loro modo di operare quotidiano. La redditività viene perseguita in modo responsabile, concorrendo allo sviluppo mirato del benessere delle persone e della società nel suo complesso. Orizzonte strategico del Gruppo è la sostenibilità, ossia la capacità di conciliare il raggiungimento di risultati di efficacia ed efficienza con la tutela sociale e ambientale. Il tutto in un ottica di sviluppo duraturo nel tempo e grazie al contributo dei diversi portatori di interesse. 4

5 La cultura aziendale consolidata Trasparenza Fiducia Rispetto delle norme Centralità del socio assicurato Principi di mutualità Responsabilità sociale d impresa Reputazione Valore della formazione 5

6 La visione «allargata» del controllo Consiglio di Amministrazione Controllo Gestionale Danni Comitato di Audit Attuario Rami Vita Organismo di Vigilanza Attuario Rami Danni Collegio Sindacale Comitato Rischi Vita Ispettorato Sinistri Comitato Impieghi Mobiliari Ispettorato Amministrativo Direzione Generale Pianificazione & Controllo Management Risk Management Internal Audit Antiriciclaggio Compliance Dal 2007 è stata istituita una procedura di scambio di informazioni fra gli organi/funzioni di controllo. 6

7 La normativa e gli obiettivi della funzione di Compliance Regolamento ISVAP n. 20 del 26/3/2008 Art. 22: (Obiettivi della verifica di conformità alle norme) 1. Nell ambito del sistema dei controlli interni, le imprese si dotano, ad ogni livello aziendale pertinente, di specifici presidi volti a prevenire il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite patrimoniali o danni da reputazione, in conseguenza di violazioni di leggi, regolamenti o provvedimenti delle Autorità di vigilanza ovvero di norme di autoregolamentazione. 2. Nella identificazione e valutazione del rischio di non conformità alle norme, le imprese pongono particolare attenzione al rispetto delle norme relative alla trasparenza e correttezza dei comportamenti nei confronti degli assicurati e danneggiati, all informativa precontrattuale e contrattuale, alla corretta esecuzione dei contratti, con particolare riferimento alla gestione dei sinistri e, più in generale, alla tutela del consumatore. Leva per lo sviluppo della cultura del controllo Garanzia di equilibrio nella dialettica interna Garanzia di innovazione e competitività Prevenzione del rischio ex ante 7

8 Evoluzione della normativa assicurativa europea Linee guida EIOPA 27/9/2013 trasposizione a livello nazionale nel Documento di consultazione IVASS n. 1/2014 Art. 4 sistema dei controlli interni: funzione di compliance proporzionalità sistema di reporting enfasi ruolo del Consiglio di amministrazione ruolo della Capogruppo formalizzazione dei ruoli, responsabilità e attività 8

9 L evoluzione della compliance bancaria anticipa quella assicurativa? AS IS TO BE Ruolo specializzato su un perimetro normativo per il quale il Regolatore richiede un approccio diretto o per il quale esiste una specifica riserva di legge (MiFid, Remuneration); Ruolo con elevata focalizzazione su aspetti normativi, spesso insieme alla funzione legale; Limitata interazione col risk management (soprattutto in materia di rischi operativi) e con l internal audit, focus su aspetti legali. Tassonomia di rischi e processi spesso non condivisa con altre funzioni di controllo o organizzazione Ruolo maggiormente pervasivo, ovvero esteso a tutte le norme (previa definizione di uno scoping normativo ); Ruolo più manageriale : condivisione di responsabilità e indirizzo metodologico con le funzioni che presidiano i rischi nell approccio indiretto, logicamente coerente e riconciliabile con il Risk Appetite Framework; Conferma dell importanza del ruolo consultivo ex ante sul disegno dei processi e sui progetti innovativi, con necessità di chiarire nell organizzazione i ruoli e responsabilità (consulenza vs. progettazione: la compliance non disegna i processi e non decide i progetti innovativi, ma valuta ex ante l impianto ai fini della gestione del rischio di non conformità ovvero valuta i rischi di conformità derivanti da nuove operatività); Modello integrato con le altre funzioni di controllo: linguaggio comune, tassonomie condivise, strumenti (anche informatici) integrati, condivisione piani degli interventi e azioni correttive, etc.

10 Il modello di gestione del rischio nel Gruppo Reale 3 Livelli di controllo 2 Internal Audit Compliance Risk Mng. Antiriciclaggio 1 Controlli operativi Il modello organizzativo di gestione del rischio: la gestione operativa dei rischi (ivi compreso quello di non conformità normativa) rimane in carico alle singole funzioni competenti (process/risk owner), in ragione della loro responsabilità sui processi operativi gestiti. 10

11 Il sistema di gestione dei rischi Individuazione Valutazione Gestione dei rischi. Strategia di gestione dei rischio Appetito e tolleranza al rischio, limiti operativi Identificazione, classificazione e misurazione rischi Framework di riferimento, procedura di censimento, misure quantitative, risk assessment Politiche di gestione dei rischi Obiettivi, attività, ruoli e responsabilità, processi e reporting Governance Struttura organizzativa, definizione di ruoli e responsabilità 11

12 Funzione Compliance : ) la governance 4) il modello organizzativo 5) la cultura e la formazione 2) il commitment 1) Solvency II Reg. IVASS 12 9) Gli strumenti informatici PROGETTAZIONE dell ECOSISTEMA di COMPLIANCE 8) Le metodologie di valutazione del rischio 6) le policy Regolamento funzione e documento politiche gestione rischi 7) ambiti di responsabilità Quali norme e quali processi?

13 Le policy Documento delle politiche di gestione dei rischi Formalizza i criteri di identificazione, misurazione, gestione e controllo di tutti i rischi aziendali; formalizza le strategie e le politiche di assunzione, valutazione e gestione dei rischi maggiormente significativi, in coerenza con il livello patrimoniale dell impresa; fissa i livelli di tolleranza al rischio; definisce le linee guida di gestione dei rischi interni ed esterni insiti nelle attività delle società del Gruppo, delineandone strategie ed obiettivi, modalità di analisi, controllo e misurazione, ruoli e responsabilità delle Funzioni aziendali coinvolte; contribuisce alla diffusione della cultura del controllo e di gestione dei rischi all interno del Gruppo. Regolamento della funzione di Compliance Formalizzazione del modello e del processo di compliance e dei principi di governo del rischio di non conformità, approvato dai Consigli di Amministrazione (ricomprende la «Procedura di gestione adeguamenti per nuove normative» e il «Mansionario del focal point»); attuazione del Regolamento tramite varie «note dispositive» 13

14 Metodologia di valutazione del rischio di non conformità 1/2 Compliance Risk Assessment Attività svolta tramite i focal point compliance con riferimento ai processi aziendali Individuazione puntuale delle norme impattanti sul processo. Misurazione del rischio lordo con valutazione di impatto e frequenza, individuazione e valutazione dei controlli a mitigazione. Determinazione del rischio netto di non conformità. 14

15 Metodologia rilevazione rischi non conformità 2/2 Coerenza con le metriche usate per misurazione del rischio operativo logica di processo valutazione per evento perdita (mancato rispetto della norma con potenziale esposizione della Compagnia a sanzioni). Valutazione del rischio lordo: stima del potenziale impatto e della frequenza attesa + presenza di rischio reputazionale Per ogni rischio lordo individuazione dei controlli e valutazione della loro efficacia. Dalla combinazione del livello del rischio lordo e del controllo a mitigazione si determina la valutazione del rischio netto. Rischio lordo Rischio netto 15

16 Risk tolerance: priorità degli interventi (trade off) Al fine di pianificare gli interventi di rimedio si provvede ad ordinare i processi in ordine decrescente di rischiosità «globale» netta. Si evidenziano i processi che nel loro insieme rappresentano il xx% della rischiosità complessiva della Compagnia dando priorità a quelli che hanno rischi netti «medio-alti» al di sopra della soglia di rilevanza definita, per i quali dovranno essere fatti approfondimenti. 16

17 Gestione del rischio di non conformità Fattori di rischio operativo soluzioni Risorse Modello organizzativo Figura professionale del focal point Formazione specifica Sviluppo cultura conformità in azienda Processi Norme entranti Norme in essere Nuovi prodotti e progetti Metodologia Procedure operative Sistemi Infrastrutture dedicate

18 Il modello organizzativo della funzione Accentramento/ diffusione di attività e responsabilità (owner normativi/focal point, coordinamento, Responsabile) Il riporto funzionale: Regolamento ISVAP n. 20/2008 (Sistema di controlli interni, gestione dei rischi, compliance ) - Art. 23 (Funzione compliance), c. 5): le imprese nella loro autonomia organizzano al funzione di compliance valutando se costituirla in forma di specifica unità organizzativa o mediante il ricorso a risorse appartenenti ad altre unità aziendali. In tale ultimo caso l indipendenza va garantita attraverso la presenza di adeguati presidi per garantire la separatezza dei compiti e prevenire conflitti d interesse. 18 Valore aggiunto del modello scelto = «metodologico» - maggior coordinamento ed efficacia dell azione (confronto e «know-how», tempestività di intervento) - maggior consapevolezza del livello di presidio (prossimità al business) - valorizzazione delle competenze/sviluppo delle risorse

19 Evoluzione del ruolo del focal point di compliance NETWORK di FOCAL POINT Coordinamento Compliance Ante 2008 Compliance latente Compliance = controllo UO UO UO 2014 Compliance = advisor 19

20 La costruzione della figura professionale del focal point di compliance RICONOSCIMENTO E VALORIZZAZIONE L analisi delle competenze Individuazione dei gap Piani di formazione mirati L assegnazione di obiettivi Misurazione delle performance (KPI) 20

21 Processi di gestione del rischio: le diverse «viste» processo di Monitoraggio normativa entrante Ex ante - nuove norme rilevanti (esame tempestivo e puntuale con massimo dettaglio) processi di Progettazione prodotti e Progetti innovativi Ex ante - (esame tempestivo e puntuale con massimo dettaglio) processo di Monitoraggio normativa in essere Ex post - (esame periodico su tutti i processi - visione d insieme) 21

22 Processo : il perimetro delle responsabilità della funzione Normativa esterna Europea Primaria Secondaria (Authorities) Rilevanza della norma Norme «core» Norme «trasversali» Norme a presidio «specialistico» Norme «semplici» Privacy Antiriciclaggio Fiscale Lavoro. Normativa interna Codice Etico Regolamento di Gruppo Procedure e comunicati 22

23 Sistemi: sviluppo dell infrastruttura Alerting, scadenze Ricognizione della normativa Assessment su singole norme Gestione piani di attività Valutazione dei rischi di non conformità Garanzia dell indipendenza di giudizio Tracciabilità MATrice RIschi COmpliance Sistema di BPM - ARIS Reportistica 23

24 Il valore generato dalla compliance 1/4 COMPETITIVITA Mitigazione dei rischi legati alle nuove complessità normative, operative e reputazionali (salvaguardia patrimoniale) Qualità e certezza delle prestazioni (orientamento al cliente) Continuità e indipendenza della compagnia (valorizzazione del marchio) Salvaguardia della reputazione aziendale Rafforzamento della fiducia nell impresa da parte cliente/socio e stakeolder Aumento del senso di distintività tramite l agire comportamenti corretti, trasparenti ed elevati standard etici Sviluppo nel lungo periodo COMPETITIVITA sostenibile 24

25 Il valore generato dalla compliance 2/4 Attenzione specifica alle relazioni verso i clienti/tutela del consumatore Prossimità al business del modello organizzativo adottato INNOVAZIONE Favorire l interscambio fra il network di compliance e i responsabili di processo Favorire l innovazione organizzativa e di processo Favorire la consapevolezza e l orientamento dell impresa verso il conseguimento dei propri obiettivi Diffusione della cultura del controllo del rischio (trade off costi benefici) Sistematicità metodologica Tracciabilità: realizzazione e consolidamento di esperienze 25

26 Il valore generato dalla compliance 3/4 Diffusione cultura conformità Integrazione di Gruppo Competitività Innovazione 26 Valorizzazione e sviluppo competenze

27 Il valore generato dalla compliance 4/4 Performance funzione Efficacia del modello Assorbimento di capitale aziendale (in coerenza al risk appetite) Processo di creazione del valore 27

28 Conclusioni Compliance, quale fattore rilevante di sostenibilità nell ottica di una sana e prudente gestione... a garanzia della continuità del Gruppo Reale Mutua nel tempo. 28

29 ..grazie per l attenzione!