Risk Governance
La risk governance è parte integrante del più ampio sistema di controllo interno e di gestione dei rischi di Gruppo.
Il sistema di controllo interno e di gestione dei rischi è l’insieme delle regole, delle procedure e delle strutture aziendali che assicurano l’efficace funzionamento della compagnia e permettono di identificare, gestire e monitorare i principali rischi cui è esposta. Gli elementi chiave del sistema sono:
- il framework di controllo interno e le relative attività;
- la consapevolezza e il monitoraggio;
- gli obblighi di informativa;
- i ruoli e le responsabilità che il Consiglio di Amministrazione (CdA) e i suoi comitati, il Senior Management, incluso il Chief Executive Officer (CEO), in qualità anche di Amministratore Incaricato del sistema di controllo interno e di gestione dei rischi, e il Chief Financial Officer (CFO), nominato Dirigente Preposto alla redazione dei documenti contabili societari, così come i risk owner e le Funzioni di Controllo, assolvono nell’ambito del sistema di controllo interno e di gestione dei rischi.
Al fine di garantire un approccio coerente a livello di Gruppo, la Capogruppo definisce le Direttive sul sistema di controllo interno e di gestione dei rischi (Group Directives on Internal Control and Risk Management System), integrate da politiche sui rischi, che si applicano in tutte le compagnie del Gruppo.
Il sistema di controllo interno e di gestione dei rischi è basato sulla costituzione di tre cosiddette linee di difesa:
- le Funzioni Operative (o “risk owner”), che rappresentano la prima linea di difesa e hanno la responsabilità ultima dei rischi relativi alla loro area di competenza;
- le Funzioni di Risk Management, di Compliance e Attuariale, che rappresentano la seconda linea di difesa;
- la Funzione Internal Audit, che rappresenta la terza linea di difesa.
Le Funzioni di Internal Audit, di Risk Management, di Compliance e Attuariale costituiscono le “Funzioni di Controllo”.
I ruoli e le responsabilità del CdA e dei relativi comitati, del Senior Management, delle Funzioni di Controllo e le interazioni tra le Funzioni di Controllo sono descritte nella Relazione sul governo societario e gli assetti proprietari (Corporate Governance Report). I ruoli chiave nel sistema di gestione dei rischi sono riportati di seguito:
- il CdA definisce, con il supporto del Comitato Controllo e Rischi (CCR), le linee guida del sistema di controllo interno e di gestione dei rischi e ne valuta l’adeguatezza, l’efficacia e il funzionamento, con cadenza almeno annuale. Inoltre, il BoD definisce, con il supporto del CCR, l’organizzazione, nomina i responsabili delle Funzioni di Controllo (dopo aver sentito il parere del Collegio Sindacale per la nomina del responsabile dell’Internal Audit) e approva i loro piani annuali di attività, adotta le politiche sui rischi di Gruppo, approva i risultati degli ORSA Report e, sulla base di questi ultimi, definisce la propensione al rischio e i limiti di tolleranza;
- il Senior Management è responsabile dell’esecuzione della strategia definita e implementa il sistema di controllo interno, mantenendolo adeguato ed efficace;
- le Funzioni di Controllo sono definite a livello di Gruppo e all’interno delle unità operative:
- la Funzione di Risk Management supporta il CdA e il Senior Management, nel garantire l’efficacia del sistema di gestione dei rischi e fornisce consulenza e supporto ai principali processi decisionali aziendali;
- la Funzione di Compliance garantisce l’adeguatezza del sistema di controllo interno per gestire i rischi di non conformità, contribuendo quindi a mantenere l’integrità e la reputazione del Gruppo;
- la Funzione Attuariale coordina il calcolo delle riserve tecniche e garantisce l’adeguatezza delle metodologie, dei modelli e delle ipotesi sottostanti, verifica la qualità dei relativi dati ed esprime un parere sulla Politica di sottoscrizione;
- la Funzione Internal Audit verifica i processi di business, l’efficacia e l’adeguatezza dei controlli in essere.
I responsabili delle Funzioni di Controllo riportano funzionalmente al CdA, ad eccezione dei responsabi li dell’Internal Audit di Gruppo che riportano gerarchicamente e funzionalmente al CdA.
Le Funzioni di Controllo di Gruppo collaborano secondo un modello di coordinamento predefinito, al fine di condividere le informazioni e creare sinergie. Il coordinamento e la direzione delle Funzioni di Controllo da parte della Capogruppo è garantito dal cosiddetto modello delle solid reporting lines che è definito tra il responsabile della Funzione di Controllo di Gruppo e i responsabili delle rispettive Funzioni delle compagnie.
Sistema di gestione dei rischi
I principi che definiscono il sistema di gestione dei rischi di Gruppo sono riportati nella Politica di gestione dei rischi di Gruppo (Group Risk Management Policy1), che rappresenta la base di tutte le politiche e linee guida relative ai rischi. La suddetta Politica copre tutti i rischi, sia su base attuale che prospettica (forwardlooking) ed è adottata in maniera coerente in tutto il Gruppo.
Il processo di gestione dei rischi di Gruppo è costituito dalle seguenti fasi:
Identificazione dei rischi
Il processo di identificazione dei rischi ha l’obiettivo di assicurare la corretta individuazione di tutti i rischi materiali a cui il Gruppo è esposto. A tal fine, la Funzione di Risk Management interagisce con le principali Funzioni di business per identificare i principali rischi, valutare la loro importanza e assicurare che vengano prese adeguate misure per mitigare tali rischi, secondo un processo di governance strutturato. Nell’ambito di questo processo sono presi in considerazione anche i rischi emergenti.
La classificazione dei rischi identificati riflette le categorie di rischio previste dalla normativa Solvency II.
Misurazione dei rischi
I rischi identificati sono valutati con riferimento al loro contributo al requisito di capitale e con altre tecniche di valutazione ritenute appropriate e proporzionate per riflettere al meglio il profilo di rischio del Gruppo.
L’utilizzo della stessa metrica per calcolare i rischi e i requisiti di capitale assicura che ogni rischio sia coperto da un adeguato ammontare di capitale in grado di assorbire le potenziali perdite subite nel caso in cui i rischi si dovessero materializzare.
Il requisito di capitale è calcolato utilizzando il PIM 5 di Gruppo per i rischi finanziari, di credito, di sottoscrizione vita e danni. I rischi operativi sono misurati applicando la formula standard, integrando valutazioni quantitative e qualitative del rischio. Il PIM fornisce un’accurata rappresentazione dei principali rischi a cui il Gruppo è esposto, misurando non solo l’impatto di ogni rischio considerato singolarmente, ma anche il loro impatto congiunto sui fondi propri del Gruppo.
La metodologia e la governance del PIM di Gruppo sono descritte nella sezione Posizione di solvibilità.
Il rischio di liquidità ed altri rischi non inclusi nel calcolo del requisito di capitale, sono valutati sulla base di tecniche quantitative e qualitative, di modelli e di ulteriori stress test o analisi di scenario.
Gestione e controllo dei rischi
Il RAF di Gruppo definisce il livello di rischio che il Gruppo è disposto ad accettare nello svolgimento del business e fornisce l’impianto generale per la gestione dei rischi insiti nei processi aziendali.
L‘obiettivo del RAF di Gruppo è quello di definire il livello di rischio desiderato sulla base della strategia di Gruppo. La dichiarazione di propensione al rischio del RAF di Gruppo è integrata sia da valutazioni qualitative (preferenze di rischio), volte a supportare i processi decisionali, sia dalle tolleranze al rischio che forniscono limiti quantitativi finalizzati a limitare un'eccessiva assunzione dei rischi. I limiti sono espressi in termini di tolleranze hard e soft. I livelli di tolleranza sono definiti sulla base delle metriche di capitale e di liquidità.
La governance del RAF di Gruppo fornisce l’impianto per la gestione dei rischi derivanti da operazioni ordinarie e straordinarie, i meccanismi di controllo, nonché i processi di escalation e reporting da adottare in caso di violazione delle tolleranze al rischio. I meccanismi di escalation si attivano nel caso in cui gli indicatori siano prossimi o violino i livelli di tolleranza definiti. Il RAF di Gruppo è integrato nei processi di business, in particolare è prevista l’integrazione con il processo di pianificazione strategica, la strategic asset allocation e il processo di sviluppo prodotti, così come nella gestione delle operazioni straordinarie.
Risk reporting
L’obiettivo del reporting sui rischi è di mantenere le Funzioni di business, l’Alta Direzione, il CdA e l’Autorità di Vigilanza informati sull’andamento del profilo di rischio.
Il processo ORSA include le valutazioni e il reporting su tutti i rischi in relazione al piano strategico.
Il processo di reporting ORSA è il principale strumento di informativa sui rischi ed è coordinato dalla Funzione di Risk Management, con il supporto di altre Funzioni aziendali relativamente ai fondi propri, alle riserve tecniche e agli altri rischi.
L’ORSA ha l’obiettivo di valutare e fornire un’informativa in merito al profilo di rischio e al fabbisogno di solvibilità complessivo su base attuale e prospettica. L’ORSA prevede un processo di valutazione su base continuativa della posizione di solvibilità in linea con il piano strategico e con il piano di gestone del capitale
di Gruppo (Group Capital Management Plan), seguito da una regolare comunicazione dei risultati all’Autorità di Vigilanza, dopo l’approvazione da parte del CdA.
Il processo ORSA considera sia i rischi inclusi nel calcolo del requisito di capitale sia i rischi per i quali non è previsto un requisito di capitale. Nell’ambito dell’ORSA, vengono eseguite analisi di sensitività e condotti stress test al fine di valutare la resilienza della posizione di solvibilità e del profilo di rischio al variare delle condizioni di mercato o di specifici fattori di rischio.
L'ORSA Report, che descrive i principali risultati di questo processo, è redatto su base annua. Inoltre, viene prodotto un ORSA Report ad-hoc in caso di cambiamenti significativi del profilo di rischio.
1La Politica di gestione dei rischi di Gruppo copre tutte le categorie di rischi previste da Solvency II e, al fine di trattare adeguatamente ciascuna categoria di rischio e I processi di business sottostanti è integrata dalle seguenti politiche sul rischio: Group Investment Governance Policy; Politica di sottoscrizione e riservazione danni di Gruppo; Politica di sottoscrizione e riservazione vita di Gruppo; Politica di gestione dei rischi operativi di Gruppo; Politica di gestione del rischio liquidità di Gruppo; altre politiche relative al rischio, come la Politica di gestione del capitale di Gruppo, la Politica di Gruppo relativa all’informativa pubblica e all’Autorità di Vigilanza,, la Politica sulla gestione delle concentrazioni dei rischi di Gruppo, ecc.