Nella prima parte di quest’articolo abbiamo analizzato i requisiti per la compliance che derivano, per le imprese assicuratrici, dalla Circolare N. 577/D del 30 dicembre 2005 (pdf, 149 K) dell’ISVAP.
In questa seconda parte vedremo le problematiche relative alla gestione dei rischi che la stessa Circolare impone a tali imprese.

Definizioni e principi

La parte IV della Circolare è dedicata alla “Gestione dei rischi” ed inizia con le definizioni ed i principi fondamentali per le imprese assicuratrici.
L’articolo 14 indica che “L’impresa deve disporre di un adeguato sistema di gestione dei rischi, calibrato rispetto alle dimensioni e alla complessità dell’attività esercitata, che consenta la identificazione, la valutazione e il controllo dei rischi maggiormente significativi, intendendosi per tali i rischi le cui conseguenze possono minare la solvibilità dell’impresa o costituire un serio ostacolo alla realizzazione degli obiettivi aziendali.
Obiettivo ultimo del sistema di gestione dei rischi è mantenere ad un livello accettabile, coerente con le disponibilità patrimoniali dell’impresa, i rischi identificati e valutati.”
Fermo restando che ciascuna impresa procede alla più idonea catalogazione dei rischi secondo le proprie specificità, le principali categorie di rischio da analizzare sono:

• rischio di assunzione: rischio tipico dell’impresa assicurativa, derivante dalla sottoscrizione dei contratti di assicurazione, associato agli eventi coperti, ai processi seguiti per la tariffazione e selezione dei rischi, all’andamento sfavorevole della sinistralità effettiva rispetto a quella stimata;
• rischio di riservazione: legato alla quantificazione di riserve tecniche non sufficienti rispetto agli impegni assunti verso assicurati e danneggiati;
• rischio di mercato: rischio di perdite in dipendenza di variazioni dei tassi di interesse, dei corsi azionari, dei tassi di cambio e dei prezzi degli immobili;
• rischio di credito: rischio legato all’inadempimento contrattuale degli emittenti degli strumenti finanziari, dei riassicuratori, degli intermediari e di altre controparti;
• rischio di liquidità: rischio di non poter adempiere alle obbligazioni verso gli assicurati e altri creditori a causa della difficoltà a trasformare gli investimenti in liquidità senza subire perdite;
• rischio operativo: rischio di perdite derivanti da inefficienze di persone, processi e sistemi, inclusi quelli utilizzati per la vendita a distanza, o da eventi esterni, quali la frode o l’attività degli outsourcer;
• rischio legato all’appartenenza al gruppo: rischio di “contagio”, rischio derivante da operazioni con parti correlate, ecc…;
• rischio legale: rischio derivante dalla mancata conformità a leggi, regolamenti o provvedimenti delle Autorità di vigilanza o da modifiche sfavorevoli del quadro normativo; rischio legato a mutamenti degli orientamenti giurisprudenziali;
• rischio reputazionale: rischio di deterioramento dell'immagine aziendale e aumento della conflittualità con gli assicurati, dovuto anche alla scarsa qualità dei servizi offerti, al collocamento di polizze non adeguate o al comportamento della rete di vendita.

Check list per la compliance

Funzione di risk management

La collocazione organizzativa della funzione di risk management è lasciata all’autonomia delle imprese, nel rispetto del principio di separatezza tra funzioni operative e di controllo. Le imprese valutano se utilizzare unità interne o avvalersi di strutture esterne (eventualmente di gruppo).
La funzione di risk management, anche quando non costituita in forma di specifica unità organizzativa, risponde al Consiglio di amministrazione.

• È stata istituita una funzione di risk management, appropriata alla natura, dimensione e complessità dell’attività?
• La funzione di risk management concorre alla definizione delle metodologie di misurazione dei rischi?
• Concorre alla definizione dei limiti operativi assegnati alle strutture operative?
• Definisce le procedure per la tempestiva verifica dei limiti medesimi?
• Valida i flussi informativi necessari ad assicurare il tempestivo controllo delle esposizioni ai rischi e l’immediata rilevazione delle anomalie riscontrate nell’operatività?
• Predispone il reporting nei confronti del Consiglio di amministrazione, dell’Alta direzione e dei responsabili delle strutture operative circa l’evoluzione dei rischi e violazione dei limiti operativi fissati?
• Verifica la coerenza dei modelli di misurazione dei rischi con l’operatività svolta dalla impresa, concorre all’effettuazione delle prove di stress test?
• La collocazione organizzativa della funzione di risk management è tale da non dipendere da funzioni operative?
• Il collegamento tra la funzione di revisione interna e quella di risk management è definito e formalizzato dal Consiglio di amministrazione?

Individuazione e valutazione dei rischi

• In che modo l’impresa raccoglie in via continuativa informazioni sui rischi, interni ed esterni, esistenti e prospettici a cui è esposta e che possono interessare tutti i processi operativi e aree funzionali?
• La procedura di censimento dei rischi e i relativi risultati sono adeguatamente documentati?
• L’impresa è in grado, attraverso un adeguato processo di analisi, di comprendere la natura dei rischi individuati, la loro origine, la possibilità o necessità controllarli e gli effetti che ne possono derivare, sia in termini di perdite che di opportunità?
• Il processo di analisi include sia una valutazione qualitativa sia, per i rischi quantificabili, l’adozione di metodologie di misurazione dell’esposizione al rischio, inclusi, ove appropriati, sistemi di determinazione dell’ammontare della massima perdita potenziale?
• Nella misurazione l’impresa ha considerato, ove possibile, le interrelazioni tra i rischi, valutandoli sia singolarmente sia su base aggregata?
• Le metodologie di valutazione e misurazione dei rischi e i relativi risultati sono adeguatamente documentati?
• Le politiche di assunzione, misurazione e gestione dei rischi sono definite e implementate avendo a riferimento la visione integrata delle attività e delle passività di bilancio?
• Sono utilizzate tecniche e modelli di asset–liability management fondamentale per la corretta comprensione e la gestione delle esposizioni al rischio che possono derivare dalle interrelazioni e dal mancato equilibrio tra attività e passività?
• I processi di individuazione e valutazione dei rischi sono effettuati su base continuativa, per tenere conto sia delle intervenute modifiche nella natura e dimensione degli affari e nel contesto di mercato, sia dell’insorgenza di nuovi rischi o del cambiamento di quelli esistenti?
• È stata posta particolare attenzione alla valutazione dei rischi nascenti dall’offerta nuovi prodotti o dall’ingresso in nuovi mercati?
• L’impresa ha definito procedure in grado di evidenziare con tempestività l’insorgere rischi che possono danneggiare la situazione patrimoniale ed economica o il superamento delle soglie di tolleranza fissate?
• Per le maggiori fonti di rischio identificate dall’impresa e ritenute più significative, sono predisposti adeguati piani di emergenza (c.d. Contingency Plan)?

Stress test

• Sono state effettuate, per ciascuna delle fonti di rischio identificate dall’impresa come maggiormente significative analisi prospettiche quantitative attraverso l’uso di stress test, per valutare l’impatto sulla situazione finanziaria di andamenti sfavorevoli dei fattori di rischio, singolarmente considerati o combinati in un unico scenario?
• Gli stress test, siano essi basati su modelli deterministici o stocastici, sono stati disegnati e sviluppati in coerenza con le dimensioni e la natura dell’attività dell’impresa? Sono stati ripetuti con la frequenza resa necessaria dal tipo di rischio, dall’evoluzione delle dimensioni dell’attività dell’impresa e del contesto di mercato, e in ogni caso con cadenza almeno annuale?
• I risultati degli stress test, unitamente alle ipotesi sottostanti, sono stati portati all’attenzione del Consiglio di amministrazione, al fine di offrire un contributo alla revisione al miglioramento delle politiche di gestione dei rischi, delle linee operative e dei limiti esposizione fissati dal Consiglio stesso?
• Nel caso i risultati delle prove di stress abbiamo indicato una particolare vulnerabilità di fronte a una data serie di circostanze, sono state adottare idonee misure per gestire adeguatamente questi rischi?

Fine seconda parte.
Leggi la prima parte.

Chi è Cristina Cellucci?

Cristina  è Internal Audit presso un primario gruppo bancario nazionale.

IsacaRoma Neswletter link

• Compliance: obblighi delle assicurazioni sul sistema dei controlli interni e gestione dei rischi
  
• Compliance: gli obblighi per le SGR
• Sicurezza e Compliance – l’analisi dei rischi 
• Sicurezza e Compliance – prima parte: il quadro di riferimento
• Compliance: primo schema di Istruzioni di vigilanza di Banca d’Italia
  
• Incontro sulla Compliance – resoconto (prima parte) 
• Sicurezza e Compliance: quando il gioco si fa duro 
• Incontro sulla Compliance 
• KPMG: nuove sfide per la sicurezza delle informazioni