Risk Governance
La risk governance è parte integrante del più ampio sistema di governance di Gruppo.
Il sistema di governance di Gruppo, che include il sistema di controllo interno e di gestione dei rischi, è costituito dai ruoli e dalle responsabilità dell’organo amministrativo, direttivo o di vigilanza (Administrative, Management or Supervisory Body - AMSB), del Senior Management e delle Funzioni Fondamentali (cd. Key Functions). Inoltre, è costituito dalle politiche, dalle procedure amministrative e contabili e dalle strutture organizzative volte a identificare, valutare, misurare, gestire e monitorare i principali rischi.
Gli elementi chiave del sistema di gestione dei rischi e dei controlli interni sono:
- ambiente di controllo interno;
- attività di controllo interno;
- consapevolezza;
- monitoraggio e reportistica.
Al fine di garantire un approccio coerente a livello di Gruppo, la Capogruppo definisce le Direttive di Gruppo sul sistema di governance integrato dalle politiche di controllo interno e di gestione dei rischi di Gruppo, che si applicano in tutte le compagnie.
Il sistema di governance di Gruppo è basato sulla costituzione dell’AMSB e delle tre cd. linee di difesa:
- le Funzioni Operative (o “risk owner”), che rappresentano la prima linea di difesa e hanno la responsabilità ultima dei rischi relativi alla loro area di competenza;
- le Funzioni di Risk Management, di Compliance e Attuariale, che rappresentano la seconda linea di difesa;
- l’Internal Audit, che rappresenta la terza linea di difesa.
L’Internal Audit, insieme con le Funzioni Attuariale, Compliance e Risk Management costituiscono le “Funzioni Fondamentali”.
I ruoli e le responsabilità dell’AMSB e dei relativi comitati, del Senior Management, delle Funzioni Fondamentali e le interazioni tra le Funzioni di Fondamentali sono descritte nella Relazione sul governo societario e gli assetti proprietari (Corporate Governance Report). I ruoli chiave nel sistema di gestione dei rischi sono riportati di seguito:
- l’AMSB è responsabile del sistema di governance e garantisce la coerenza complessiva del sistema di controllo interno e di gestione dei rischi e del sistema di governance delle compagnie del Gruppo con tutte le normative applicabili. A tal fine, l’AMSB, supportato dalle Funzioni Fondamentali, rivaluta periodicamente l’adeguatezza del sistema di governance, almeno una volta l’anno. L’AMSB approva l’assetto organizzativo delle compagnie del Gruppo, stabilisce le Funzioni Fondamentali definendone il mandato e le linee di reportistica nonchè, laddove applicabile, gli eventuali comitati di supporto, adotta le Politiche di controllo interno e gestione dei rischi (Group Internal Control and Risk Management Policies), svolge funzioni relative all’ORSA, alla concentrazione dei rischi e alle operazioni infragruppo, approva i risultati degli ORSA Report e, sulla base di questi ultimi, definisce la propensione al rischio;
- il Senior Management è responsabile dell’implementazione, del mantenimento e del monitoraggio del sistema di controllo interno e di gestione dei rischi, inclusi i rischi sorti dalla non conformità con la regolamentazione, in linea con le direttive dell’AMSB;
- le Funzioni Fondamentali sono definite a livello di Gruppo e all’interno delle unità operative:
- la Funzione di Risk Management supporta l’AMSB e il Senior Management nel garantire l’efficacia del sistema di gestione dei rischi e fornisce consulenza e supporto ai principali processi decisionali aziendali;
- la Funzione di Compliance garantisce che l’organizzazione e le procedure interne siano adeguate a gestire il rischio di incorrere in sanzioni amministrative o giudiziarie, subire perdite economiche o danni alla reputazione conseguentemente alla non conformità con le leggi, i regolamenti e le disposizioni, nonché il rischio derivante da cambiamenti sfavorevoli della legge o dell’orientamento giudiziario (rischi di compliance);
- la Funzione Attuariale coordina il calcolo delle riserve tecniche e garantisce l’adeguatezza delle metodologie, dei modelli e delle ipotesi sottostanti, verifica la qualità dei relativi dati ed esprime un parere sulla Politica di sottoscrizione e sull’adeguatezza degli accordi di riassicurazione;
- la Funzione di Internal Audit verifica i processi di business, l’efficacia e l’adeguatezza dei controlli in essere, fornendo anche supporto e pareri.
I responsabili delle Funzioni Fondamentali riportano all’AMSB.
Le Funzioni Fondamentali di Gruppo collaborano secondo un modello di coordinamento predefinito, al fine di condividere le informazioni e creare sinergie. Il coordinamento e la direzione delle Funzioni Fondamentali da parte della Capogruppo è garantito dal cosiddetto modello delle solid reporting lines che è definito tra il responsabile della Funzione Fondamentale di Gruppo e i responsabili delle rispettive Funzioni delle compagnie.
Sistema di gestione dei rischi
I principi che definiscono il sistema di gestione dei rischi di Gruppo sono riportati nella Politica di gestione dei rischi di Gruppo3 (Risk Management Group Policy), che rappresenta la base di tutte le politiche e linee guida relative ai rischi. La suddetta Politica copre tutti i rischi, sia su base attuale che prospettica (forward- looking) ed è implementata in maniera coerente in tutto il Gruppo. Il processo di gestione dei rischi di Gruppo è costituito dalle seguenti fasi:
Identificazione dei rischi
Il processo di identificazione dei rischi ha l’obiettivo di assicurare la corretta individuazione di tutti i rischi materiali a cui il Gruppo è esposto. A tal fine, la Funzione di Risk Management interagisce con le principali Funzioni di business per identificare i principali rischi, valutare la loro importanza e assicurare che vengano prese adeguate misure per mitigare tali rischi, secondo un processo di governance strutturato. Nell’ambito di questo processo sono presi in considerazione anche i rischi emergenti4, relativi a nuovi rischi e trend in via di sviluppo, contraddistinti da un’evoluzione incerta e spesso di natura sistemica.
Misurazione dei rischi
I rischi identificati sono quindi valutati con riferimento al loro contributo al requisito patrimoniale di solvibilità (SCR) e con altre tecniche di valutazione ritenute appropriate e proporzionate per riflettere al meglio il profilo di rischio del Gruppo. L’utilizzo della stessa metrica per la misurazione dei rischi e dei requisiti di capitale assicura che ogni rischio sia coperto da un adeguato ammontare di capitale in grado di assorbire le potenziali perdite subite nel caso in cui i rischi si dovessero materializzare. Ai fini del calcolo del SCR sono considerati eventi con una probabilità di 1 in 200 anni.
Il SCR è calcolato utilizzando il PIM5 del Gruppo Generali per i rischi finanziari, di credito, di sottoscrizione vita e non vita. I rischi operativi sono misurati applicando la formula standard ed integrando valutazioni qualitative del rischio. Il PIM fornisce un’accurata rappresentazione dei principali rischi a cui il Gruppo è esposto, misurando non solo l’impatto di ogni rischio considerato singolarmente, ma anche il loro impatto congiunto sui fondi propri del Gruppo.
La metodologia e la governance del PIM di Gruppo è riportato nella sezione C. Posizione di solvibilità. Le compagnie assicurative e riassicurative non incluse nel perimetro PIM calcolano il requisito di capitale sulla base della formula standard, mentre le altre società finanziarie (e.g. banche o fondi pensione) calcolano il requisito di capitale sulla base del loro regime settoriale specifico.
Altri rischi, per i quali non viene calcolato il SCR, come i rischi di liquidità, reputazionale, strategico, contagio, emergenti e altri rischi specifici del Gruppo (i.e. rischi derivanti da operazioni infragruppo e il rischio di concentrazione), sono valutati sulla base di tecniche quantitative e qualitative, di modelli e di ulteriori stress test o analisi di scenario.
Gestione e controllo dei rischi
I rischi del Gruppo sono gestiti sulla base del Risk Appetite Framework(RAF) di Gruppo definito dall’AMSB. Il RAF di Gruppo definisce il livello di rischio che il Gruppo è disposto ad accettare nello svolgimento del business e fornisce l’impianto generale per l’integrazione della gestione dei rischi nei processi aziendali. In particolare, il RAF include la dichiarazione di propensione al rischio, le preferenze di rischio, le metriche di rischio, i livelli di tolleranza e l’obiettivo di solvibilità.
L‘obiettivo del RAF di Gruppo è quello di definire il livello di rischio desiderato sulla base della strategia di Gruppo. La dichiarazione di propensione al rischio del RAF di Gruppo è integrata sia da valutazioni qualitative (preferenze di rischio), volte a supportare i processi decisionali, sia dalle tolleranze al rischio che forniscono limiti quantitativi finalizzati a limitare un’eccessiva assunzione dei rischi, sia dall’obiettivo di solvibilità che fornisce indicazioni relativamente al livello di solvibilità a cui il Gruppo intende operare. I livelli di tolleranza e l’obiettivo di solvibilità sono riferiti alle metriche di capitale e di liquidità.
La governance del RAF di Gruppo fornisce una struttura per la gestione dei rischi derivanti da operazioni ordinarie e straordinarie, i meccanismi di controllo, nonché i processi di escalation e reporting da adottare in caso di violazione delle tolleranze al rischio. I meccanismi di escalation si attivano nel caso in cui gli indicatori siano prossimi o violino i livelli di tolleranza definiti.
Reporting sui rischi
L’obiettivo del processo di reporting è quello di mantenere il Senior Management e l’AMSB consapevoli ed informati sull’andamento del profilo di rischio, dei trend dei singoli rischi e su eventuali violazioni delle tolleranze al rischio su base continuativa.
Il processo ORSA include le valutazioni e l’informativa di tutti i rischi anche in ottica prospettica. Il processo ORSA include la valutazione di tutti i rischi, sia quelli quantificabili in termini di SCR sia i rischi per i quali non è previsto un requisito di capitale. Nell’ambito del processo ORSA, vengono inoltre effettuati stress test e analisi di sensitività per valutare la solidità della posizione di solvibilità e del profilo di rischio al variare delle condizioni di mercato o di fattori specifici di rischio.
Il processo cd. Group-wide implica che ogni compagnia del Gruppo sia responsabile della predisposizione dell’ORSA Report a livello locale e che la Capogruppo coordina il processo di reporting ORSA di Gruppo.
A livello di Gruppo, il processo è coordinato dalla Funzione di Risk Management, supportata dalle altre Funzioni aziendali per quanto riguarda i fondi propri, le riserve tecniche e gli altri rischi.
L’ORSA ha l’obiettivo di valutare e fornire un’informativa in merito al profilo di rischio e al fabbisogno di solvibilità complessivo su base attuale e prospettica. Il processo ORSA garantisce una valutazione continua della posizione di solvibilità in base al piano strategico e con il piano di gestione del capitale di Gruppo (Group Capital Management Plan).
L’ORSA Report di Gruppo, che descrive i principali risultati di questo processo, è redatto su base annua. In caso di cambiamenti significativi del profilo di rischio, può esser prodotto un ORSA Report ad-hoc.
3 La Politica di gestione dei rischi di Gruppo copre tutte le categorie di rischi previste da Solvency II e, al fine di trattare adeguatamente ciascuna categoria di rischio e i processi di business sottostanti, è integrata dalle seguenti politiche sul rischio: Group Investment Governance Policy; Politica di sottoscrizione e riservazione danni di Gruppo; Politica di sottoscrizione e riservazione vita di Gruppo; Politica di gestione dei rischi operativi di Gruppo; Politica di gestione del rischio liquidità di Gruppo; altre politiche relative al rischio, come la Politica di gestione del capitale di Gruppo, la Politica di Gruppo sulle informazioni da fornire all’IVASS e sull’informativa al pubblico, la Politica sulla gestione delle concentrazioni dei rischi di Gruppo, ecc.
4 Maggiori dettagli sulla definizione dei rischi emergenti sono forniti nella sezione D. Profilo di Rischio
5 Ai fini del calcolo del SCR a livello di Gruppo, l’utilizzo del PIM è stato approvato per le compagnie assicurative in Italia, Germania, Francia, Austria, Svizzera e per la principale compagnia della Repubblica Ceca, Česká pojišťovna as. Per le altre compagnie si applica la formula standard. Le altre compagnie finanziarie regolamentate applicano i requisiti regolamentari settoriali.