Solvency II The implementation phase:

Transcript

1 Analisi L informativa dei risultati verso della l esterno survey

2 Rapporto di Ricerca Solvency II The implementation phase: Analisi dei risultati della survey

3

4 AUTORI: Chiara Frigerio Federico Rajola Francesca Taormina Pubblicato nel mese di marzo 2013, Copyright CeTIF. Tutti i diritti riservati. Ogni utilizzo o riproduzione anche parziale del presente documento non è consentita senza previa autorizzazione di CeTIF. Si ringrazia Scs Consulting per la collaborazione nella conduzione dell iniziativa di ricerca. DISCLAIMER: CeTIF assicura che il presente documento è stato realizzato con la massima cura e con tutta la professionalità acquisita nel corso della sua lunga attività. Tuttavia, stante la pluralità delle fonti d informazione e nonostante il meticoloso impegno da parte di CeTIF affinché le informazioni contenute siano esatte al momento della pubblicazione, né CeTIF né i suoi collaboratori possono promettere o garantire (anche nei confronti di terzi) esplicitamente o implicitamente l'esattezza, l'affidabilità o la completezza di tali informazioni. CeTIF, pertanto, declina qualsiasi responsabilità per eventuali danni, di qualsiasi tipo, che possano derivare dall'uso delle informazioni contenute nel presente rapporto. Si evidenzia, inoltre, che il presente rapporto potrebbe contenere proiezioni future o altre dichiarazioni in chiave prospettica, circostanza che comporta rischi e incertezze. Si avvisano pertanto i lettori che tali affermazioni sono solamente previsioni e potrebbero quindi discostarsi in modo considerevole dagli effettivi riscontri ed eventi futuri. CeTIF declina fin d ora qualsiasi responsabilità e garanzia in relazione a tali proiezioni.

5

6 INDICE Premessa Il contesto della ricerca Le motivazioni della ricerca Gli obiettivi del progetto di ricerca Il campione analizzato Sezione 1: qualità dei dati e architetture Solvency II Sezione 2: SCR ed effetti sul business Sezione 3: Rischio Operativo e altre fattispecie di rischio Sezione 4: Il sistema dei controlli interni Sezione 5: L informativa verso l esterno... 32

7

8 Premessa Il presente documento è una raccolta delle principali evidenze emerse dall analisi di un questionario Solvency II The implementation phase erogato alle principali compagnie assicurative italiane ed internazionali, con sede operativa in Italia. CeTIF nel suo ruolo accademico-istituzionale, in collaborazione con Scs Consulting, ha riportato prevalentemente i contributi derivanti da fonti istituzionali (principali Autorità nazionali e internazionali) e dalle valutazioni emerse a seguito delle indagini effettuate mediante il presente questionario. Le principali fonti utilizzate, di natura esclusivamente accademica e istituzionale, sono citate in bibliografia. Solvency 2012: The implementation phase 7

9 1. Il contesto della ricerca 1.1 Le motivazioni della ricerca L adozione della direttiva di Solvency II sta richiedendo alle compagnie di assicurazione di introdurre modalità gestionali e strategie operative diverse dalle attuali, implicando profondi cambiamenti all interno di tutte le strutture organizzative. Tali mutamenti sono critici per le compagnie e per l industria assicurativa nel suo complesso. La criticità è dovuta sia alla portata del cambiamento, che per molti aspetti ha dei riflessi strategici diretti, sia alla complessità del cambiamento, causata dalla molteplicità degli ambiti di impatto della direttiva. È necessario che ogni compagnia abbracci il tema della normativa nel suo complesso, effettuando opportuni adeguamenti nelle strutture organizzative e di governance sia con riferimento ai principi contabili, sia ai modelli di valutazione tecnico-assicurativi. Sono queste le principali ragioni che conducono CeTIF e Scs Consulting ad analizzare il mercato assicurativo italiano in riferimento al livello di adeguamento della fase di implementazione delle compagnie rispetto ai requirement normativi di Solvency II. 1.2 Gli obiettivi del progetto di ricerca Principale obiettivo del presente questionario risulta quello di valutare la situazione attuale e prospettica delle compagnie assicurative in merito all implementation phase di Solvency II. La survey si compone di cinque sezioni che rappresentano le aree tematiche fondamentali della normativa, in particolare si analizzano requirement sia appartenenti ai tre Pillar sia trasversali agli stessi. Di seguito, nella figura n. 1, si rappresenta uno schema che riassume gli argomenti trattati nella survey. Figura n.1: Le sezioni della survey Qualità dei dati e architetture Solvency II Pillar I Pillar II Pillar III Rischio Il sistema operativo dei SCR ed effetti e altre L informativa controlli sul business verso l esterno tipologie interni di rischio Fonte: CeTIF Solvency 2012: The implementation phase 8

10 Per ogni sezione si è proceduto con l analisi degli ambiti organizzativi, di processo e tecnologici, come di seguito riportato: 1. Qualità dei dati e architetture Solvency II ha come principale scopo quello di analizzare come le compagnie si stanno organizzando per rispondere ai requisiti normativi di data quality e come questi ultimi influenzano le scelte di business delle compagnie; 2. Solvency Capital Requirement ed effetti sul business si pone l obiettivo di analizzare come le compagnie si stanno organizzando per garantire l integrazione del requisito patrimoniale di solvibilità nei processi decisionali e gli impatti sui modelli di gestione dell impresa sia a livello organizzativo, sia a livello di business; 3. Rischio operativo e altre fattispecie di rischio ha come obiettivo quello di analizzare le modalità e le metodologie con cui le compagnie assicurative stanno valutando il rischio operativo e la presenza di presidi organizzativi per la gestione dei rischi di Pillar II; 4. Il sistema dei controlli interni ha come primario scopo quello di comprendere come le compagnie di assicurazione si stanno organizzando per garantire una sana e prudente gestione dell attività mediante l operato delle funzioni di Risk Management, Compliance, Internal Audit e Atturiale; 5. L informativa verso l esterno esamina le principali implicazioni che il Pillar III impone alle compagnie assicurative, analizzando il livello di avanzamento delle imprese rispetto ai requisiti normativi di reporting. Solvency 2012: The implementation phase 9

11 2. Il campione analizzato Prima di analizzare nello specifico ogni sezione, elemento fondamentale risulta l analisi del campione di compagnie assicurative che ha risposto al questionario in oggetto, in modo da comprenderne la significatività e la valenza in termini di risultati. Alla survey hanno risposto 15 imprese assicurative sia italiane sia internazionali, che rappresentano il 58% della raccolta premi italiana. In particolare, come è possibile osservare dal grafico n. 1, le compagnie rispondenti coprono il 67% della raccolta danni nel mercato italiano, mentre il settore vita è coperto per il 53% della raccolta premi. Grafico n.1: La copertura in termini di raccolta premi 2011 Elemento basilare per comprendere l orientamento progettuale delle compagnie assicurative in merito allo stato di implementazione di Solvency II, risulta il modo con cui hanno scelto di calcolare il requisito patrimoniale di solvibilità, cioè tramite o formula standard o modello interno. Dall analisi del campione emerge che la maggioranza del panel ha optato per l adozione della formula standard per il calcolo dell SCR. Nel dettaglio, come si osserva dal grafico n. 2 sottostante, solo il 47% dei rispondenti ha deciso di implementare un modello interno completo o parziale. Risulta molto interessante analizzare in ottica prospettica (2014) l orientamento progettuale che intendono adottare; in questo contesto si evidenzia una situazione del tutto opposta a quella precedente, in cui oltre il 60% del panel è intenzionato a costruire un modello interno (completo o parziale). Questo dato porta a sottolineare che le compagnie assicurative sono consapevoli dell efficacia dell adozione di un modello interno rispetto alla formula standard, dato che il primo è in grado di riflettere maggiormente l esposizione e il profilo di rischio dell impresa. Solvency 2012: The implementation phase 10

12 Grafico n.2: Orientamento progettuale per il calcolo dell SCR Da ultimo, elemento basilare è rappresentato dal budget che le compagnie assicurative rispondenti hanno deciso di destinare al progetto Solvency II. In questo ambito è emerso che la maggioranza delle imprese ha assegnato come budget per l implementazione e l adeguamento ai nuovi requirement una cifra compresa tra 1 e 2 milioni di euro (vedi grafico n. 3). Grafico n.3: Budget totale destinato al progetto Solvency II Solvency 2012: The implementation phase 11

13 3. Sezione 1: qualità dei dati e architetture Solvency II La presente sezione prende in considerazione una tematica che risulta chiave all interno del progetto di Solvency II in quanto rappresenta uno dei requisiti della normativa trasversale a tutti e tre i pilastri. In questo senso è molto complesso per le compagnie essere compliant e dimostrare di aver rispettato tutti i requirement in termini di qualità del dato. I processi di data quality sono particolarmente critici, poiché implicano rilevanti impatti sia a livello organizzativo sia a livello tecnologico. Date queste premesse risulta immediato comprendere lo scopo principale della sezione in oggetto, che risulta quello di analizzare il livello di adeguamento delle imprese rispetto al tema della qualità dei dati e le maggiori criticità che le compagnie stanno affrontando, sia in ottica attuale sia in ottica prospettica (2014). In particolare, si sottolineano i seguenti obiettivi: valutare il grado di coinvolgimento delle funzioni aziendali delle compagnie nel processo di Data Quality e individuare la funzione a cui si ritiene più opportuno affidare il ruolo di Data Quality Manager; rilevare la situazione attuale e prospettica delle compagnie in merito alla dotazione di un Data WareHouse, evidenziando il grado di rilevanza delle funzioni per le quali ne è prevista la presenza (es. centralizzazione base dati, tracciatura elaborazioni ); rilevare il parere delle compagnie in merito al posizionamento dei controlli di Data Quality ai diversi livelli dell Architettura Informatica e il grado di efficacia dei controlli attualmente implementati; individuare i principali KPI di sintesi implementati dalle compagnie per misurare il risultato complessivo del sistema di Data Quality. Come anticipato nella premessa, il data quality rappresenta un processo che implica notevoli impatti sulla struttura organizzativa mediante la definizione di nuovi ruoli e responsabilità. In particolare i rispondenti hanno evidenziato che le principali funzioni organizzative coinvolte, sia in ottica attuale sia in ottica prospettica, nel processo di data quality sono (vedi grafico n. 4): Risk Management; Information Technology; Funzione Attuariale. Solvency 2012: The implementation phase 12

14 Di immediata comprensione risultano le motivazioni sottostanti a queste scelte. Osservando nel dettaglio, il Risk Management rappresenta la funzione responsabile del calcolo dei requisiti patrimoniali e di conseguenza ha l obbligo di garantire un livello di qualità dei dati tale da soddisfare i requisiti normativi. La suddetta funzione risulta tipicamente la responsabile del Data Quality business, che è volto a garantire che i dati considerati ed ottenuti siano effettivamente aderenti al fabbisogno informativo espresso da Solvency II. L Information Technology rappresenta, invece, la funzione che si occupa di assicurare il cosiddetto Data Quality tecnico, cioè di garantire che, nei passaggi tra sistemi e nelle elaborazioni all interno dello stesso sistema, la qualità iniziale del dato rimanga inalterata. La funzione Attuariale risulta essere coinvolta nel processo di Data Quality con riferimento al calcolo delle riserve tecniche; infatti, come indicato dal testo della direttiva, è compito della suddetta funzione valutare la sufficienza e la qualità dei dati utilizzati nel calcolo delle riserve tecniche. In questo senso l Eiopa sottolinea il ruolo che tale funzione detiene nell assicurare un adeguato livello di qualità dei dati e di conseguenza anche di valutare il corretto funzionamento dei sistemi IT, in modo da capire se questi risultano adeguati per supportare le procedure. Le funzioni di Risk Management e IT risultano inoltre le funzioni alle quali la maggioranza delle compagnie assicurative affida il ruolo di Data Quality Manager (sia singolarmente, sia mediante team specifici che coinvolgono entrambe le funzioni). Grafico n.4: Le principali funzioni coinvolte nel processo di Data Quality Relativamente agli elementi riguardanti il processo di Data Quality, la survey ha indagato se le compagnie hanno realizzato o hanno intenzione di realizzare degli strumenti utili ai fini della misurazione della performance del dato. In particolare emerge che ad oggi, solo il 53% delle compagnie Solvency 2012: The implementation phase 13

15 rispondenti ha definito Key Performance Indicator di sintesi di qualità; nello specifico i principali implementati sono: percentuale dei campi con valori completi; percentuale dei campi con valori accurati. Solo il 13% del panel ha già definito KPI che prendono in considerazione sia il requisito di completezza sia quello di accuratezza pesando i campi per l incidenza di ciascun attributo nel calcolo per il quale viene utilizzato (vedi grafico n. 5 sottostante), anche se, in ottica prospettica, la rilevanza di tali KPI è destinata ad aumentare. Grafico n.5: I KPI di sintesi di qualità implementati Relativamente al livello di granularità dei KPI, questi vengono definiti attualmente dal 33% del campione per singolo flusso informativo, dal 20% per singolo fattore di rischio, mentre il 33% del panel intende definire indicatori globali/sintetici solo nel 2014, data la maggiore complessità nella definizione degli stessi (vedi grafico n. 6). Solvency 2012: The implementation phase 14

16 Grafico n.6: Livello di granularità dei KPI di sintesi di qualità implementati Ulteriore elemento fondamentale è rappresentato dal posizionamento dei controlli del Data Quality. In particolare le compagnie rispondenti evidenziano che i controlli risultano maggiormente pertinenti ed efficaci se posizionati nel livello intermedio (Data Warehouse) o direttamente nei motori di calcolo. Grafico n.7: Preferenze delle compagnie in termini di posizionamento dei controlli Solvency 2012: The implementation phase 15

17 Infine in riferimento all ambito dei sistemi informativi, si sottolinea che circa l 80% del panel ha già implementato un sistema di Data Warehouse; inoltre si prevede un incremento di tale percentuale al 100% in ottica prospettica (2014). La presenza di un livello intermedio viene identificato dalle compagnie come un fattore critico di successo per rispettare i requisiti di qualità del dato di Solvency II. Aver implementato un Data Warehouse infatti risulta cruciale per vari scopi, nello specifico quelli considerati più importanti dalle compagnie del panel risultano essere la centralizzazione e la storicizzazione delle basi dati, come evidenziato in figura n. 8. Grafico n.8: Grado di rilevanza funzionalità per la presenza del DWH Solvency 2012: The implementation phase 16

18 4. Sezione 2: SCR ed effetti sul business La presente sezione tratta le tematiche del primo Pillar e, nello specifico, la valutazione da parte delle compagnie del requisito patrimoniale di solvibilità (SCR) che indica il livello di rischio a cui la compagnia è esposta. I requisiti patrimoniali di solvibilità implicano molteplici impatti sui modelli di gestione dell impresa sia a livello organizzativo sia a livello di business. Date queste premesse, si identificano come principali obiettivi della sezione in oggetto: rilevare quanto le valutazioni di rischio risultano integrate nel processo decisionale interno alle compagnie ed evidenziare possibili modalità attraverso le quali migliorarne la comprensione da parte del Senior Management e dei membri del Consiglio di Amministrazione; verificare il grado di formalizzazione delle policy aziendali e dei limiti operativi; analizzare il rapporto tra Risk Management e funzioni di business nell ambito del processo di pricing; evidenziare i principali impatti del nuovo regime regolamentare sul modello di business delle compagnie. Il nuovo regime regolamentare impone che le decisioni strategiche e di business si basino su valutazioni di rischio e di assorbimento di capitale. Di conseguenza, è fondamentale garantire la comprensione e la consapevolezza del Senior Management e dei membri del Consiglio di Amministrazione con riferimento al calcolo del SCR. In questo contesto, perciò, un elemento fondamentale è rappresentato dal processo di reporting interno. La survey evidenzia due tipologie di processi di reportistica che vengono utilizzati dalle compagnie di assicurazione: Il reporting Direzionale, che fornisce una visione olistica del rischio e supporta l Amministratore Delegato, il Consiglio di Amministrazione e il Senior Management a gestire il rischio e a valutare l adeguatezza patrimoniale dell impresa; Il reporting Gestionale, che fornisce informazioni dettagliate per linee di business/prodotto, con un grado crescente di granularità. La maggioranza del panel afferma che il processo decisionale interno all impresa viene principalmente supportato dal reporting Direzionale con un livello di intensità medio circa pari a 4 rispetto ad un livello medio di 2,6 Solvency 2012: The implementation phase 17

19 del reporting Gestionale su una scala da 1 a 5. Anche la frequenza di produzione del reporting Direzionale risulta maggiormente elevata rispetto a quello Gestionale; infatti come si osserva dal grafico n. 9, il 60% del panel produce la reportistica Direzionale trimestralmente e il 20% addirittura con una periodicità maggiore. Al contrario il reporting Gestionale viene realizzato con minore frequenza; nello specifico si evidenzia che il 13% delle imprese non lo produce e che il 27% lo produce annualmente. Grafico n. 9: Periodicità del reporting interno La normativa Solvency II richiede alle compagnie di definire policy aziendali contenenti le linee guida per l indirizzo dell attività di assunzione e monitoraggio dei rischi, in modo da assicurare un esposizione globale della compagnia in linea con il risk appetite fissato dal Consiglio di Amministrazione. In quest ambito, si osserva dall analisi della survey che buona parte delle policy è stata ad oggi già formalizzata da tutte le compagnie del panel (come si vede dal grafico n. 10). I limiti operativi contenuti nelle policy sono espressi principalmente in termini di esposizione al rischio per singolo contratto (es. massima somma assicurabile per il business danni); anche se nel 2014 le compagnie prevedono di orientarsi verso una definizione di tali limiti anche basata sul livello di SCR associato all esposizione al rischio. Solvency 2012: The implementation phase 18

20 Grafico n. 10: Il livello di formalizzazione delle policy di business Nel modello di riferimento a tendere, le compagnie, indipendentemente dall adozione di un modello interno o della formula standard, dovrebbero definire il pricing dei prodotti in funzione dell assorbimento di capitale e della relativa redditività attesa. Oltre alla copertura dei costi attesi (pricing tecnico), i modelli di tariffazione dovrebbero garantire un adeguata remunerazione del capitale assorbito dalle garanzie prestate (pricing riskadjusted). In questo contesto è risultato che le compagnie del panel ritengono molto rilevante lo sviluppo di modelli di pricing tecnico riskadjusted (livello medio di importanza pari a 4, in una scala da 1 a 5); nello specifico sono le imprese di grandi dimensioni che rappresentano il 50% della raccolta premi del panel che hanno già adottato queste tipologie di modelli. Come si evince dal grafico n. 11, il 95 % del campione in termini di raccolta premi intende sviluppare questi modelli entro il 2014, fino ad arrivare ad una totalità del campione che li adotterà oltre il Relativamente al livello di coinvolgimento delle funzioni in questo processo, si evidenzia che la funzione Attuariale risulta già fortemente coinvolta nella definizione di tali modelli, mentre il Risk Management ha un relativo grado di coinvolgimento nel processo di lancio di un nuovo prodotto o di revisione di una tariffa (livello di coinvolgimento medio circa pari a 2, in una scala da 1 a 5), ma con una tendenza all aumento in ottica prospettica (livello di coinvolgimento medio pari a 3). Solvency 2012: The implementation phase 19

21 Grafico n. 11: L adozione di modelli di pricing tecnico risk-adjusted Da ultimo, la survey ha evidenziato le principali attese delle compagnie del panel riguardo agli impatti di Solvency II sul modello di business delle imprese; infatti al fine di massimizzare la redditività risk-adjusted nell ambito del nuovo regime regolamentare, le compagnie saranno incentivate a rivedere le politiche di sviluppo dei prodotti, concentrandosi su quelli caratterizzati dal miglior rapporto rendimento-rischio. In particolare, con riferimento al business danni, le attese principali identificate dai partecipanti risultano essere la diversificazione del portafoglio in sede di definizione dei volumi di budget e il potenziamento delle strategie riassicurative per conseguire benefici in termini di assorbimento di capitale (grado di rilevanza pari a 4 su una scala da 1 a 5, come si evince dal grafico n. 12). Grafico n. 12: Le attese sul business danni Relativamente al business vita le principali attese di impatto di Solvency II risultano essere la riduzione del mismatch tra cash flow attivi e passivi, ad esempio evitando prodotti con cash flow difficilmente prevedibili (grado di rilevanza pari a 4 su una scala da 1 a 5) e la diminuzione dell offerta di Solvency 2012: The implementation phase 20

22 prodotti con garanzie di lungo periodo (grado di rilevanza pari a 3,3), come si nota dal grafico n. 13. Grafico n. 13: Le attese sul business vita Solvency 2012: The implementation phase 21

23 5. Sezione 3: Rischio Operativo e altre fattispecie di rischio La presente sezione prende in considerazione la tematica del rischio operativo, che è considerato uno dei rischi del sistema Solvency II più complessi da valutare, ma anche uno dei maggiormente rilevanti, in quanto causa di notevoli perdite. Infatti, se tale rischio non venisse accuratamente gestito e monitorato dalle compagnie di assicurazione, potrebbe condurre a gravi conseguenze sia a livello finanziario, sia a livello reputazionale. La maggiore criticità nella valutazione del rischio operativo può essere associata alla necessità di interazione tra le varie aree aziendali. Date queste premesse, si identificano come principali obiettivi della sezione in oggetto: rilevare la situazione attuale e prospettica delle compagnie in merito alla dotazione di strumenti di governance finalizzati alla gestione dei Rischi Operativi; rilevare le metodologie e i modelli che le compagnie hanno adottato o intendono adottare sia per il calcolo del Solvency Capital Requirement dei Rischi Operativi, sia la misurazione dei Rischi Operativi (es Risk Self Assessment, Loss Data Collection); evidenziare le tipologie di evento di perdita operativa sulle quali le compagnie si sono focalizzate, sia in termini di raccolta dati che di istituzione di presidi organizzativi, per permettere al Top Management di prendere decisioni adeguate per la mitigazione dei Rischi di Pillar II. In riferimento al primo punto, si evidenzia che tutte le compagnie del panel hanno istituito degli strumenti di governance per la gestione dei rischi operativi. In particolare, la quasi totalità del campione (97% in termini di raccolta premi) ha istituito una struttura di Risk Management per la gestione dei rischi operativi. Si evidenzia che il 92% delle imprese, in termini di raccolta premi, ha inoltre formalizzato una policy contenente le linee guida per la gestione dei rischi operativi. La formalizzazione dei processi per la gestione dei rischi in oggetto rappresenta un punto di miglioramento per le compagnie di assicurazione, probabilmente a causa della difficoltà di identificare e quindi formalizzare tutti gli eventi che possono risultare fonte di rischio operativo. In questo Solvency 2012: The implementation phase 22

24 contesto, infatti il 22% del panel, in termini di raccolta premi, ha compreso la rilevanza di istituire processi formalizzati ma intende implementarli in un ottica prospettica (2014), come è possibile osservare dal grafico n. 14 sottostante. Grafico n. 14: Gli strumenti di Governance per la gestione dei Rischi Operativi Fondamentali per la gestione del rischio operativo risultano le metodologie e i modelli che le compagnie hanno adottato per identificare, misurare e monitorare tale rischio e i possibili eventi di perdita riscontrati. Processi chiave per questi scopi risultano essere la Loss Data Collection e il Risk Self Assessment. La Loss Data Collection è un processo di analisi quantitativa, che mira a raccogliere gli eventi storici di rischio operativo con le relative perdite sostenute e tutte le altre informazioni utili ai fini della loro misurazione e gestione. In questo ambito si evidenzia che il 73% delle compagnie del panel ha adottato un processo di Loss Data Collection per le seguenti finalità (vedi grafico n. 15): 45% per finalità gestionali interni; 36% per finalità di backtesting rispetto ai risultati di SCR; 11% utilizza i dati come input per il calcolo dell SCR. Solvency 2012: The implementation phase 23

25 Grafico n.15: Gli strumenti di Governance per la gestione dei Rischi Operativi Osservando nel dettaglio la struttura di Loss Data Collection implementata si evidenziano tre tipologie di processi per la raccolta delle perdite (vedi grafico n. 16): mediante risk collector identificabili nei referenti delle diverse tipologie di perdite operative; tali figure detengono tipicamente la maggiore visibilità sugli eventi di rischio operativo di competenza; mediante i dati contabili registrati su voci di conto economico in cui possono essere contabilizzate perdite operative identificate attraverso un analisi del piano dei conti; mediante la riconciliazione periodica delle informazioni sulle perdite operative raccolte dai Risk Collector con i dati registrati in contabilità. Grafico n. 16: Le modalità di rilevazione dei dati di Loss Data Collection Solvency 2012: The implementation phase 24

26 Gli eventi di perdita di maggiore impatto identificati dalle compagnie del panel sono: le sanzioni IVASS; le sanzioni societarie; le frodi esterne. Tali tipologie di perdite vengono considerate le più critiche dalle imprese di assicurazione in considerazione dell elevato ammontare in termini economici della perdita potenziale e anche del conseguente possibile impatto reputazionale. Grafico n. 17: Impatto degli eventi di perdita operativa Ulteriore metodologia considerata essenziale per la valutazione del rischio operativo è il Risk Self Assessment, processo di analisi qualitativa di tipo forward-looking che, attraverso indicazioni soggettive raccolte mediante intervista ai referenti delle direzioni aziendali coinvolte, mira ad individuare e valutare i potenziali rischi legati all operatività e i relativi controlli associati. Tale processo viene normalmente preceduto da una fase di analisi volta all identificazione dei possibili ambiti di criticità per ogni direzione, tramite il supporto delle funzioni di control governance della compagnia. Si osservano tre tipologie di Risk Self Assessment: qualitativo, che valuta la frequenza e l impatto di un rischio sulla base di categorie predefinite (es. critico, grave, significativo, insignificante); semi-quantitativo, che valuta la frequenza e l impatto di un rischio sulla base di un range di valori quantificati (es. tra e euro); Solvency 2012: The implementation phase 25

27 quantitativo, che valuta la frequenza e l impatto di un rischio sulla base di quantificazioni puntuali, tenendo in considerazione anche l efficacia dei controlli. Risulta di semplice intuizione, che il modello di RSA di tipo quantitativo implica diverse criticità di implementazione, prima fra tutte la necessità di guidare l intervistato nella definizione di valori puntuali di frequenza e impatto che si riferiscano a tutti i potenziali effetti degli eventi di rischio mappati, tenendo conto dei controlli che si prevede saranno in essere nel periodo oggetto di valutazione. È per questo motivo che, osservando il panel, il modello maggiormente adottato dalle compagnie intervistate è quello qualitativo (40% del campione). Al contempo, il modello quantitativo è quello che consente una raccolta di dati prospettici il più completa e affidabile; infatti oltre il 50% del panel dichiara di essere interessato ad implementare tale metodologia entro il Il 33% del panel, invece, intende orientarsi verso un modello semi-quantitativo e solo il 13% manterrà un modello qualitativo (vedi fig. n. 18). Grafico n. 18: Le tipologie di Risk Self Assessment attuali e prospettiche In riferimento alle metodologie di rilevazione dei dati, al fine di misurare l esposizione al rischio operativo si evidenziano i seguenti approcci: top down, che fornisce una visione generale e di alto livello della rischiosità dell azienda, mediante un analisi che viene svolta per ogni funzione apicale; bottom-up, che analizza la rischiosità dell azienda prendendo a riferimento i processi aziendali, partendo dall esame degli interventi annuali della funzione di Internal Audit e viene elaborata in base alla criticità del processo. Osservando la survey si evidenzia un cambio completo di visione in ottica prospettica, infatti nella situazione attuale, la maggioranza delle compagnie ha deciso di implementare un RSA di tipo Top down, mentre nel 2014 si prevede che l orientamento prevalente sia Bottom up. Solvency 2012: The implementation phase 26

28 Da ultimo, oltre all operational risk, vale la pena soffermarsi anche sugli altri rischi trattati nel Pillar II. In particolare come si evince dal grafico n. 19, la quasi totalità delle compagnie (93%) ha istituito dei presidi organizzativi per il rischio di non conformità, il 67% per il rischio reputazionale, mentre solo una compagnia partecipante all indagine ha implementato presidi organizzativi per il rischio di liquidità. Grafico n. 19: Il livello di presidio dei rischi di Pillar II Solvency 2012: The implementation phase 27

29 6. Sezione 4: Il sistema dei controlli interni La presente sezione prende in considerazione la tematica del Pillar II e più precisamente quella del sistema dei controlli interni che rappresenta un elemento fondamentale nel sistema di governo delle compagnie di assicurazione. Nel nostro paese le direttive di Ivass, in particolare il Regolamento n. 20 del 2008, hanno rappresentato un ottima base di partenza per le imprese, fornendo in maniera anticipata alcuni contenuti relativi al sistema di controllo interno rispetto a Solvency II. La Direttiva definisce il sistema di governance all articolo 41, evidenziando che: Gli stati membri richiedono a tutte le imprese di assicurazione e di riassicurazione di dotarsi di un sistema efficace di governance, che consenta una gestione sana e prudente dell attività. Tale sistema comprende quanto meno una struttura organizzativa trasparente adeguata, con una chiara ripartizione e un appropriata separazione delle responsabilità ed un sistema efficace per garantire la trasmissione delle informazioni. Il sistema di governance è soggetto ad un riesame interno periodico. L Eiopa mediante il DOC 29 System of Governance sottolinea l importanza di istituire un appropriata cultura organizzativa in grado di supportare il sistema di governo, che potrà avvenire mediante un adeguata sponsorship da parte dell Alta Direzione. Date queste premesse, si identificano come principali obiettivi della sezione in oggetto: valutare il grado di formalizzazione, in ottica Solvency II, di ruoli e responsabilità delle principali funzioni di controllo delle compagnie e valutarne il grado di coinvolgimento nelle attività progettuali Solvency II; rilevare la situazione attuale e prospettica delle compagnie in merito alla dotazione di strumenti di governance finalizzati a garantire il coordinamento tra le diverse funzioni di controllo; rilevare la situazione attuale e prospettica delle compagnie con riferimento al livello di intensità con il quale la funzione di Audit effettua verifiche sul processo di gestione dei rischi; Solvency 2012: The implementation phase 28

30 capire a quale struttura aziendale è stata attribuita la responsabilità della validazione del Modello Interno per la misurazione dei rischi; rilevare il livello di avanzamento delle compagnie con riferimento all ORSA. Innanzitutto risulta fondamentale analizzare il grado di coinvolgimento delle funzioni di controllo nelle attività progettuali Solvency II; si evidenzia che la principale funzione coinvolta nel processo risulta il Risk Management (grado di coinvolgimento pari a 4,7 in una scala da 1 a 5), che rappresenta anche l owner del progetto di Solvency II. Le principali responsabilità attribuite a questa funzione risultano essere la validazione del modello interno e la predisposizione del report ORSA. Osservando la funzione di Compliance e di Internal Audit si evidenzia un grado di coinvolgimento di queste nel processo non particolarmente elevato pari circa a 2, su una scala da 1 a 5, in aumento a circa 3,4 in ottica prospettica, come si osserva nel grafico n. 20. Grafico n. 20: Il grado di coinvolgimento in Solvency II delle funzioni di controllo Il sistema dei controlli interni è costituito da una molteplicità di funzioni che interagiscono tra loro e con gli organi di governo societario. Quindi risulta chiave affrontare la questione della loro interazione/coordinamento in ambito Solvency II. In particolare, per rispondere efficacemente ai requisiti del Pillar II della direttiva Solvency II è ritenuta strategica l istituzione di un approccio integrato tra le funzioni di controllo. Osservando i risultati della survey, si evince che la maggioranza delle compagnie rispondenti (86%) ha istituito un comitato specifico per la Solvency 2012: The implementation phase 29

31 gestione del sistema dei controlli interni, mentre il 67% contemporaneamente ha proceduto con la formalizzazione dei processi al fine di garantire il coordinamento tra le diverse funzioni di controllo. Ad oggi, solo tre compagnie utilizzano una piattaforma per la gestione integrata dei rischi e controlli per ottenere una visione trasversale sulle aree oggetto di analisi. Le compagnie dimostrano di aver compreso l importanza di implementare una piattaforma di questo tipo, infatti si rileva un notevole aumento nel numero di compagnie che intende dotarsene nel 2014 (vedi grafico n. 21) Grafico n. 21: Gli strumenti di governance per la gestione del coordinamento Infine sempre nell ambito del Pillar II, la direttiva impone alle compagnie di procedere con la valutazione interna del rischio e della solvibilità (Own Risk Solvency Assessment ORSA), informando l Autorità di Vigilanza in merito ai risultati di tale valutazione. Relativamente a questo tema si nota nella survey che la maggioranza del panel ha un livello di avanzamento non elevato; infatti ad oggi sono solo sette le imprese che hanno pianificato o avviato le prime attività del processo ORSA, come si evince dal grafico n. 22. In particolare le compagnie che hanno un livello di avanzamento maggiore sono quelle che rappresentano la maggioranza della raccolta premi del panel (compagnie di medio-grandi dimensioni). Solvency 2012: The implementation phase 30

32 Grafico n. 22: Gli strumenti di governance per la gestione del coordinamento Solvency 2012: The implementation phase 31

33 7. Sezione 5: L informativa verso l esterno La presente sezione tratta le tematiche del Pillar III, infatti la Direttiva Solvency II assegna un ruolo chiave all informativa che le compagnie di assicurazione devono fornire verso l esterno. In questo contesto la Direttiva impone impegnativi requisiti relativamente ai report che le imprese di assicurazione devono elaborare sia nei confronti del mercato che dell Autorità. L obiettivo principale del regolatore è quello di garantire una maggiore trasparenza nei confronti degli stakeholders e più in generale del mercato. Date queste premesse, si identificano come principali obiettivi della sezione in oggetto: rilevare le modalità con le quali le compagnie attualmente forniscono informativa all esterno in tema di gestione dei rischi; valutare la situazione attuale e prospettica delle compagnie in merito alla dotazione di strumenti di governance finalizzati alla produzione dell informativa verso l esterno; identificare le funzioni delle compagnie responsabili della produzione dei report di Pillar III; rilevare il grado di complessità che le compagnie percepiscono con riferimento alla predisposizione dei report quantitativi; verificare come è presidiato il rischio reputazionale legato alle comunicazioni verso l esterno; rilevare l orientamento delle compagnie in merito allo strumento informatico da utilizzare a supporto della produzione automatizzata dei report quantitativi. Rispondere ai requisiti del Pillar III implica notevoli sforzi per le compagnie di assicurazione che, innanzitutto, devono predisporre adeguati modelli organizzativi e di governance. Nello specifico, si evidenzia che nel 2012 quasi il 50% del campione (che rappresenta circa l 80% della raccolta premi del panel) si è dotato di una struttura di Risk Management dedicata al Reporting; trattasi di una scelta adottata soprattutto dalle compagnie di medio/grandi dimensioni. Nel 2014, invece, le compagnie si concentreranno in particolare nel formalizzare i processi di reporting e nel predisporre la Reporting Policy, in ottemperanza dei requisiti normativi (come si evidenzia nel grafico n. 23). Solvency 2012: The implementation phase 32

34 Grafico n. 23: I principali strumenti di Governance adottati In questo contesto, si rileva che l Amministrazione risulta essere la principale funzione responsabile del processo di reportistica ai fini di Solvency II, in considerazione del ruolo attivo da questa ricoperto nelle segnalazioni periodiche all Autorità di Vigilanza. Si rileva anche l opzione della corresponsabilità tra Amministrazione e Risk Management, vista la richiesta di diverse informazioni sui requisiti di capitale, come si evince dall opzione Altro nel grafico n. 24 sottostante. Altra funzione identificata dalle compagnie come rilevante nel processo di reportistica risulta il Controllo di Gestione. Grafico n. 24: Le principali funzioni responsabili del Pillar III Solvency 2012: The implementation phase 33

35 Il terzo Pillar, come anticipato nella premessa, richiede alle compagnie di realizzare tre tipologie di report per il mercato e per l Autorità di Vigilanza. I report considerati più critici dalle compagnie sono i Quantitative Reporting Templates (QRT), il cui scopo principale è quello di fornire con frequenza anche trimestrale i dati di carattere quantitativo relativi a variabili contabili, finanziarie e di solvibilità, con finalità di vigilanza regolamentare. Risulta di facile comprensione che i template quantitativi rappresentano una vera e propria sfida per le compagnie, in particolare in termini di granularità delle informazioni, reperibilità dei dati e tempistiche di reporting. Dall analisi del questionario, infatti risulta che più del 50% delle compagnie del panel ha appena avviato la fase di gap analysis sui QRT e solo una compagnia ha completato tali attività di gap analysis (vedi grafico n. 25). Anche in questo contesto, come emerso per il processo ORSA, si evidenzia che le imprese che hanno un livello di avanzamento più elevato sono quelle di dimensioni maggiori. Grafico n. 22: Il livello di avanzamento della gap analysis Le compagnie del panel riconoscono l onerosità della predisposizione dei QRT; infatti il 90% dei report quantitativi viene percepito con un livello medio di complessità maggiore o uguale a 3, in una scala da 1 a 5. Come è possibile notare dal grafico n. 26, la maggioranza delle macro aree dei QRT vengono identificate come complesse, ed in particolare con riferimento a: riserve tecniche danni e asset. Solvency 2012: The implementation phase 34

36 Grafico n. 26: Le macro aree QRT in ordine decrescente di complessità percepita Infine si analizza nel questionario l ambito tecnologico ed in particolare gli strumenti informatici a supporto per la produzione dei Quantitative Reporting Templates. Come si osserva dal grafico n. 27 sottostante, il 47% del panel ha sottolineato che non ha ancora valutato alcuna soluzione informatica; questo ritardo nella scelta è probabilmente attribuibile all incertezza nelle tempistiche di entrata in vigore della normativa e alla mancanza di regolamentazioni di dettaglio in ambito di reporting. Si evidenzia inoltre che quasi un terzo delle imprese partecipanti sta valutando anche soluzioni esterne, diverse dal framework sviluppato per Solvency II. Grafico n. 24: Gli strumenti informatici a supporto dei QRT Solvency 2012: The implementation phase 35

37 CeTIF Università Cattolica del Sacro Cuore Largo Gemelli, Milano Tel Fax cetif@unicatt.it Solvency 2012: The implementation phase 36

38 Solvency 2012: The implementation phase 37