Cap III: Il secondo Pilastro di Solvency II: Sistema di Controllo Interno
9. Il Business Continuity Plan
Per le imprese di assicurazioni è richiesta la documentazione una procedura orientata
all’individuazione e gestione di eventi che possono pregiudicare la continuità del business.
Il Business Continuity Plan è un documento formulato dalla compagnia che consente di controllare
periodicamente l’evoluzione del rischio operativo. A questo dovranno essere affiancate strategie
per il potenziamento di procedure per eliminare o mitigare tale tipo di rischio.
Il rischio operativo è definito come il rischio di subire perdite derivanti dall'inadeguatezza o dalla
mancata applicazione della procedura, delle risorse umane e del sistema interno, o di eventi esterni.
Nello specifico, i fattori di rischio operativo, possono essere così classificati:
- Risorse umane: eventi come errori, frodi, violazioni di regole e procedure interne,
problemi di incompetenza e negligenza
- Sistemi informatici: aspetti tecnologici, come guasti nell’hardware e nel software,
ingressi non autorizzati di estranei nei sistemi informatici e presenza di virus, guasti
alle telecomunicazioni.
- Processi: procedure e controlli interni difettosi o inadeguati
- Eventi esterni: perdite cagionate da cause esterne, non direttamente controllabili,
come ad esempio furti, atti criminali, catastrofi naturali.
Il presupposto del documento è di creare un supporto alle procedure in determinati scenari di crisi
che si potrebbero manifestare a seguito del manifestarsi di rischi operativi ed individuare delle
95
Per l’analisi della continuità aziendale è necessario un censimento dei processi interni e dei servizi esternalizzati, identificandone le attività che risultano vitali e critiche. Partendo dai rischi operativi
individuati dal Risk Management, vengono stimati i tempi massimi di interruzione del processo o
del servizio oltre il quale viene preclusa la possibilità per l’azienda di esercitare il proprio business,
e i requisiti minimali assorbiti dai processi o servizi ( risorse umane, documentazioni, ecc…).
Individuati tali prerequisiti vengono simulati degli scenari di crisi, che causano l’interruzione
dell’attività. La funzione di Risk Management andrà a formulare la probabilità di accadimento e l’impatto potenziale sul processo al fine di stimare il livello di rischio su ogni scenario di crisi. In base a ciò verrà definita una strategia di continuità idonea per ciascuno scenario di crisi. E’
necessario che le misure di emergenza siano proporzionale al rischio.
96
È il Board che, in ultima istanza, approva il Business Continuity Plan.
Il processo di gestione della crisi può essere evidenziato da alcuni passaggi chiave:
1. Viene notificato un evento critico che può essere evidenziato da qualsiasi soggetto:
l’evento sarà comunicato “Crisis Manager”, che annuncerà lo stato di crisi al Board;
2. Verrà avviato il piano operativo di emergenza con le relative risorse;
3. Verranno eseguite tutte le attività necessarie durante l’emergenza per il recupero e
l’avvio dei processi critici e per la gestione delle risorse coinvolte;
4. Si avrà un ritorno al normale processo di funzionamento di tutte le attività;
InChiaro life, nel sul Business Continuity Plan rileva 4 scenari dove sono evidenziati i rischi che
potrebbero intaccare i processi critici, e vengono definiti i possibili rimedi da adottare nel caso in
cui la situazione di crisi si manifestasse. 59
1- SCENARIO: distruzione o inaccessibilità alle strutture in cui sono collocate le unità operative e l’equipaggiamento.
In caso di distruzione o inaccessibilità alle strutture, la compagnia può ricorrere ad aziende
specializzate nell’affitto di spazi per uffici, che includano connettività via telefono ed internet. Si esclude comunque che la compagnia subisca tali danni a seguito di maremoti e terremoti, in
quanto risulta essere collocata in un area non soggetta a rischio sismico o problemi idrogeologici.
97
2- SCENARIO: non disponibilità dei sistemi informatici
Per avere una disponibilità costante di tutti i dati essenziali, ogni giorno deve essere eseguito un
back up. Quindi in caso di perdita, alterazione o non disponibilità dei dati, si avranno a disposizione
quelli del giorno precedente: il solo rischio della compagnia sarà quello di reinserire i dati
processati il giorno dell’incidente.
3- SCENARIO: alternazione dei dati o non disponibilità del sistema a seguito di attacchi hacker o con virus.
In situazioni di disastro che possono danneggiare i dati del sistema, sarà necessario:
• identificare la vulnerabilità dell’area e il momento in cui vi è stata l’intrusione • comunicare alla funzione competente
• ripetere l’immissione dei dati persi
• controllare che il sistema funzioni correttamente • ritornare alla normale operatività
4- SCENARIO: non disponibilità del personale.
Nella situazione in cui il personale dell’area operativa non sia disponibile, le attività giornaliere
sono condotte dal Commercial Manager dal Manager dell’area finanziaria: questi avranno accesso
98
Il CEO di InChiaro Life assume personalmente il ruolo di “Crisis Manager”.
Il Business Continuity Plan andrà revisionato annualmente ed ogni volta che possono verificarsi
eventi che provocano variazioni del rischio operativo.
10. L’ORSA (Own Risk Solvency Assessment
)Il legislatore europeo ha previsto che ogni compagnia assicurativa provveda all’autovalutazione e
attuale e prospettica dei rischi e del fabbisogno di capitale, tramite l’ORSA (Own Risk Solvency
Assessment), lo strumento condiviso tra compagnia e Autorità di vigilanza per far sì che il processo
di costruzione e verifica dei requisiti di solvibilità si svolga secondo una precisa scansione.
L’ORSA è lo strumento che rafforza la consapevolezza delle interrelazioni tra i rischi a cui una compagnia è esposta e ai quali potrebbe essere esposta nel lungo termine, con un capitale necessario
per farvi fronte.
Nel corso della valutazione prospettica, sono effettuate una serie di analisi per misurare la resilienza
della disponibilità patrimoniale definite dal Business Plan al verificarsi di eventi o scenari
plausibili, ciascuno caratterizzato da un diverso grado di rischiosità.
Tali analisi, definite stress test, sono esercizi di simulazione volti a misurare la capacità di
un’impresa di fronteggiare scenari avversi ed effettuare valutazioni e stime di una certa attendibilità sulla sensibilità e vulnerabilità delle compagnie:
99
Tale processo, consente alle imprese di monitorare e rappresentare il profilo di rischiosità attuale e
prospettica e supportare l’impresa nella definizione del Risk Appetite in coerenza con l’obiettivo
di salvaguardia del patrimonio. Consente quindi, una migliore comprensione delle implicazioni sul
business dell’evoluzione del profilo di rischio lungo l’arco temporale del Business Plan, attraverso i livelli di tolleranza al rischio approvato e le esigenze di capitale complessivo. 60
Sia il processo ORSA che i risultati saranno debitamente documentati internamente. La
documentazione deve essere sufficientemente dettagliata e completa così da poter sempre essere
oggetto di una revisione indipendente, sia essa interna, esterna o un qualunque altro controllo atto
a formulare un giudizio circa l'affidabilità del processo.
La relazione finale deve contenere le informazioni dettate dall’art. 51 della direttiva comunitaria,
che sono così elencate:
“ a) una descrizione dell’attività e dei risultati di impresa
b) una descrizione della governance e una valutazione della sua adeguatezza rispetto al profilo di rischio dell’impresa
c) una descrizione separata per ciascuna categoria di rischio, l’esposizione al rischio, delle concentrazioni del rischio, dell’attenuazione del rischio e della sensibilità del rischio.
60 A. Lai: Il contributo del sistema di prevenzione e gestione dei rischi alla generazione di valore per l’impresa (
100
d) una descrizione effettuata separatamente per le attività riserve tecniche e passività, delle basi e i metodi utilizzati per la valutazione.61
Il report assume duplice natura funzionale, giacché da un lato deve considerarsi una procedura di
valutazione interna all’impresa, integrata nelle decisioni strategiche, e dall’altro riveste il ruolo di strumento di vigilanza sul profilo di rischio e sulla solvibilità aziendale. 62
Il processo ORSA è gestito dal CRO, con il contributo del CEO, e di tutti i manager, in seguito
rivisto ed approvato dal Board. Il Board deve dimostrare di comprendere le connessioni tra gli esiti
delle valutazioni prospettiche dei rischi dell’impresa, il suo fabbisogno complessivo di solvibilità e le soglie di tolleranza al rischio, formalizzate nelle politiche di governance. È l’organo
amministrativo, che dovrà esplicitare le modalità con cui tali valutazioni prospettiche dei rischi
incidono nelle scelte strategiche d’Impresa.
Willis Towers Watson, in qualità di CRO della compagnia e attuario, deve preparare la relazione
ORSA, incluse le proiezioni finanziarie basate su una serie scenari discussi e concordati con il
Board di InChiaro life.63
Con la direttiva Solvency II, siamo dinnanzi ad un controllo di una realtà prudenziale che non si
basa su un’imposizione di quantità di capitali fissi, come riserva, come avveniva in passato. Questo
61 Direttiva 2009/138/CE Parlamento europeo e del consiglio del 25 novembre 2009 i merito di accesso ed esercizio
delle attività di assicurazione e riassicurazione (solvibilità II)
62 A. Cappiello: Regolamentazione e Risk Management nelle imprese assicurative (F. Angeli, 2008) 63 InChiaro Life DAC: ORSA Policy (Attachement 9: Corporate Governance Manual)
101
fa si che il management sia consapevole dei rischi delle proprie scelte e che adotti elevati standard
di Risk Management. 64
In sintonia con il business model e i piani strategici della compagnia, InChiaro Life ha lo scopo di
gestire una strategia basata su un rischio medio basso, e su una mitigazione dei rischi attraverso
una combinazione di controlli, qualitativi e quantitativi, e assicurando così una robusta revisione e
monitoraggio dei processi, siano essi interni, che esterni.
La valutazione interna del rischio e della solvibilità viene effettuata almeno una volta l’anno, ma
naturalmente eventuali cambiamenti significativi nel profilo di rischio, derivanti da decisioni
interne o da fattori esterni, comportano l’attuazione di un’ORSA straordinaria.
È richiesta una formale revisione dell’ORSA nel caso di eventi significativi che possano impattare le prospettive di solvibilità di InChiaro Life, la sua capacità di realizzare quanto previsto dal
business plan o se espressamente richiesto dal Consiglio di Amministrazione o dal CRO.
La Compagnia ha definito le seguenti situazioni che potrebbero dare origine a un’ORSA
straordinaria:
• per eventi rilevanti esterni, quali un cambiamento significativo nei mercati finanziari, eventi catastrofici in ambito assicurativo, cambiamenti significativi nella normativa e nella
legislazione;
• ogni volta che un evento inneschi una pianificazione straordinaria del business a medio termine, quale ad esempio, a titolo semplificativo ma non esaustivo:
- set-up di nuove linee di business / divisioni apertura a nuovi segmenti di mercato;
64 IVASS- Solvency II, la nuova regolamentazione prudenziale del settore assicurativo: una guida semplificata_
102
- cambiamenti significativi di strategia di prodotto e di investimento;
- modifiche ai limiti di tolleranza al rischio approvati o ad accordi di riassicurazione
Il report ORSA viene trasmesso, secondo quanto richiesto dalla normativa vigente, alla Bank of
Ireland, in quanto Autorità di Vigilanza.
La Bank of Ireland, in quanto autorità di vigilanza, si serve dell’ORSA per scrutinare se l’azienda
ha correttamente valutato i propri rischi. In una disciplina prudenziale dinamica, caratterizzata non
dall’imposizione di quantità di capitale predeterminate, ma dall’analisi di una realtà aziendale in movimento, con continui bilanciamento dei presidi patrimoniali necessari a metterla in sicurezza,
c’è un aspetto soggettivo da considerare. Nonostante il rigore della metodologia di analisi di chi stima i rischi aziendali e le loro coperture si può incorrere in errori di valutazione. Nel nuovo
ambiente regolamentare, quindi l’autorità di vigilanza, si presenta con un ruolo di tutor affinché le
aziende indirizzino le pratiche aziendali verso gli standard prefissati dalla norma, ma con il rispetto
delle caratteristiche, dei rischi e dell’organizzazione propria dell’azienda. Per questa ragione poter
disporre di una metodologia condivisa come l’ORSA aiuta la riduzione della distorsione soggettiva da parte delle compagnie, e dal lato dei supervisori promuove un ruolo proattivo, volto a prevenire
situazioni di crisi. 65
65IVASS- Solvency II, la nuova regolamentazione prudenziale del settore assicurativo: una guida semplificata
103
CAP IV: conclusioni
Ad un anno dell’entrata in vigore del nuovo regime di solvibilità, si può dire che il progetto
Solvency II è oggetto di un giudizio fondamentalmente positivo: esso ha potenza e qualità
fondamentali per generare sicuri vantaggi per tutte le parti interessate.
Primi beneficiari del nuovo sistema sono le imprese assicurative, chiamate ad operare in un
contesto che prospettivamente deve e dovrà osservare connotati di maggiore integrazione,
trasparenza, stabilità, parità competitiva nel mercato transnazionale.
La nuova disciplina prudenziale del settore assicurativo può essere considerata come uno strumento
d’autocoscienza a disposizione delle compagnie per conoscere e gestire meglio i rischi della propria attività. I presidi di capitale associati a quei rischi rappresentano il corollario indispensabile del
nuovo sistema. Solvency II crea una diretta correlazione tra il rischio e il capitale, incentivando
quindi le imprese a migliorare il Risk Management frameworks e i propri sistemi / processi.
Il fatto di collocare la cultura del rischio al centro della vita aziendale fa sì che si prospetti un
ambiente intrinsecamente più protetto per lo svolgimento del business assicurativo.
Anche i consumatori giovano del nuovo ambiente regolamentare. Con la nuova direttiva
comunitaria è stato realizzato un notevole passo avanti negli standard di protezione del
consumatore nella distribuzione dei prodotti assicurativi.
Altrettanto rilevante per l’imprese come per i consumatori, è poi il fatto di poter contare su un
104
Le prime direttive comunitarie in materia assicurativa risalgono agli anni 70 (1973 per le
assicurazioni danni e 1979 per le assicurazioni vita), ma si trattava di schemi generali con frequenti
rimandi alle normative nazionali.
Ma soltanto con Solvency II il mercato unico delle polizze può dirsi realizzato con
l’armonizzazione massima delle regole di solvibilità e vigilanza. La concorrenza tra gli operatori, all’interno del continente, può svolgersi in base a un unico set di norme, uguali dappertutto. Anche l’attività di supervisione è stata improntata a criteri omogenei assicurando così ai consumatori europei uguali tutele. Si è arrivati finalmente a lasciare meno spazio alla discrezionalità nazionale,
favorendo così il raggiungimento di un’effettiva convergenza delle regole e delle pratiche di
vigilanza nel mercato unico.
La governance delle imprese è stata irrobustita, così come si è rafforzata la cultura del rischio a
tutti i livelli decisionali. Si è reso, quindi, necessario per le imprese assicurative rivedere gli assetti organizzativi per essere in linea con le esigenze di Solvency II:
- Il ruolo degli organi di governo, in particolare del Consiglio di Amministrazione, è rafforzato: le nuove sfide a cui è chiamato l’organo amministrativo richiedono un continuo
innalzamento del livello di professionalità adeguato alla complessità della realtà aziendale.
- I ruoli, responsabilità e relazioni delle funzioni strategiche e di controllo devono essere allineante al nuovo modello basato sul rischio.
- Si rende necessario il potenziamento/ adeguamento di processi/sistemi informativi in grado di assicurare informazioni complete, affidabili, coerenti e tempestive e agevolmente
105
Gli obblighi in materia di Governance e Risk Management, hanno reso più efficiente la gestione
aziendale.
Va sottolineato, tuttavia, che data la complessità di Solvency II, non è stato così semplice definire
delle regole europee, il che si è riflesso a cascata sui tempi di adeguamento dell’ordinamento nazionale. Basti pensare che molte delle linee guida dell’EIOPA e dei vari paesi membri, sono
state pubblicate soltanto nel 2015.
Tutt’oggi non bisogna pensare, comunque, a Solvency II come a un cantiere definitivamente chiuso. Il nuovo regime su cui poggia tutto il mercato assicurativo europeo è in continua evoluzione. La macchina burocratica, attuariale e operativa tra EIOPA, Commissione Europea e
Parlamento, sforna settimanalmente nuovi documenti, lettere, richieste di opinion, mentre i
supervisor dei Paesi membri devono recepire, elaborare, amalgamare e armonizzare le novità con
le singole discipline nazionali.66
Già nel 2018, infatti, è prevista una prima revisione,cosiddetta Solvency II Review che, tra le altre
cose, potrebbe già portare a una modifica sostanziale della formula standard, utilizzata dalle
imprese per il calcolo dell’SCR considerando i rischi sul lungo periodo.
Si può dire che la normativa non era stata ancora pienamente implementata, quando dalle imprese
già arrivava la richiesta di modifiche sostanziali della disciplina relativa all’assorbimento di capitale connesso alle riserve tecniche e agli investimenti, quando invece il sistema era stato
pensato come flessibile ed adattabile.
106
Occorrerà, quindi, del tempo per verificare le potenzialità del nuovo regime e la sua adattabilità in
un contesto di mercato sfidante sia per le condizioni macroeconomiche sia per la rivoluzione
tecnologica che è, allo stesso tempo, leva per creare valore e minaccia al modo tradizionale di fare
107 Bibliografia
A. Cappiello, Regolamentazione e Risk Management nelle imprese assicurative (F. Angeli, 2008) ANIA ( Associazione Italiana delle Imprese Assicuratrici)- Solvency II: origini, struttura e
sviluppo. (12 Novembre 2016)
Ass. Italiana Internal Auditing e Price Watherhouse Coopers: La gestione del rischio aziendale – ERM: Enterprise Risk Management, un modello di riferimento e alcune tecniche applicative
B.W. Nocco. e R.M. Stulz- Enterprise Risk Management: Theory and Practice (Journal of Applied Corporate Finance 2006)
Direttiva 2009/138/CE Parlamento europeo e del consiglio del 25 novembre 2009 in merito di accesso ed esercizio delle attività di assicurazione e riassicurazione (solvibilità II)
European Commissio, Amended framework for consultation on Solvency II ( Aprile 2006).
EIOPA: Risk Managemetn and Other Corporate Issues (Issues Paper, 2007)
F. Aurilia: La fabbrica di Solvecy II- INSURANCE REVIEW (OTTOBRE 2016)
G.Gasparri-Quaderni Giuridici, i controlli interni nelle società quotate(gli assetti della disciplina italiana e i problemi aperti). (CONSOBS, settembre 2013)
G. Cucinotta, Un aggiornamento sul progetto Solvency II: il punto di vista del regolatore (Assicurazioni, 2006)
InChiaro Life- Sella Personal Life, contratto di assicurazione sulla vita di tipo Unit Linked, Fascicolo informativo
108
InChiaro life DAC: Solvency and Financial Condition Report, in respect of year ended 31 December 2016 (May 2017)
InChiaro Life- Business Continuity Plan ( Version 7.0- dated 20/09/2016)
InChiaro Life DAC: ORSA Policy (Attachement 9: Corporate Governance Manual)
ISVASS: Relazione sull’attività svolta dall’istituto nell’anno 2016-Divisione Editoria e stampa della Banca d’Italia in Roma (Roma 23 Giugno 2017)
IVASS- Solvency II, la nuova regolamentazione prudenziale del settore assicurativo: una guida semplificata (Divisione Editoria e stampa della Banca d’Italia in Roma
M. Anaclerio, A. Miglietta, F. Servato, Corporate Governance e Sistema di Controllo Interno, Enrico Parretta, Cattolica Assicurazioni.
N. Misani- Introduzione al Risk Management (Egea, Milano, 1994. )
P. Lisi, Associazione italiana internal auditor: Ambiente aziendale e cultura del controllo- Analisi complessiva delle interrelazioni tra Sistema di Controllo Interno aziendale, etica di impresa e Corporate Social Responsibility
S. Febbi, D. Bobbo, Studio legale Bird & Bird- L’evoluzione del sistema di controlli interni delle imprese di assicurazione nel recepimento di Solvency II (2016)
S. Beretta- Analisi e valutazione del Sistema di Controllo Interno: metodi e tecniche. (Il Sole 24 ore, 2007)
109
S.Rossi, R. Cesari, A. Corinti, IVASS ( instituto per la vigilanza delle assicurazioni)- Solvency II: la nuova regolamentazione prudenziale del settore assicurativo
S. Alvaro, D. D’ Eramo, G Gasparri,Quaderni Giuridici: modelli di amministrazione e gestione nelle società quotate (CONSOB, Maggio 2015).
S. Beretta- Analisi e valutazione del Sistema di Controllo Interno: metodi e tecniche. (Il Sole 24 ore, 2007)
110 Sitografia www.aiiaweb.it www.ania.it www.anra.it www.consob.it/documents www.centralbank.ie/regulation www.dirittobancario.it www.eiopa.europa.eu www.insurancereview.it www.insurancetrade.it www.ivass.it www.inchiarolife