Intervista

Antonino Maddonni Head of Risk Management HDI ASSICURAZIONI

 

 

 

In questo momento, in che modo il Risk Management può aiutare Banche e Assicurazioni ?

Il cigno nero del filosofo e matematico libanese Nassim Nicholas Taleb (“Il cigno nero. Come l’improbabile governa la nostra vita”) ci sta aggredendo. Ma i cigni neri (e il Covid-19 rientra senza dubbio tra questi) possono convertirsi in opportunità, in occasioni di riflessioni e in preziose lezioni per tutti – non solo per i business continuity e risk manager – in termini di gestione e reazione alle crisi.

Come lesson-learned, sicuramente, a livello generale occorre prendere consapevolezza di necessari cambi di paradigma se si vuole ritornare a operare più forti di prima.

Un’ottica di razionale gestione dei rischi presuppone una resilienza declinata in tre modalità e, precisamente: in resilienza strutturale (i.e. conoscenza delle dinamiche sistemiche all’interno dell’organizzazione); in resilienza integrativa (i.e. conoscenza delle complesse interconnessioni con il contesto esterno); in resilienza trasformativa (i.e. consapevolezza del fatto che la mitigazione di alcuni rischi implica una trasformazione dell’organizzazione).

Le compagnie devono comprendere come gli eventi possono impattare su di esse e come sia indispensabile reagire prontamente, migliorando la propria resilienza in tutte le linee di business. Occorre prendere conoscenza del contesto in cui si opera per approdare a una coscienza illuminata dei rischi che le compagnie si troveranno ad affrontare, valutandone gli impatti, e costruire, in questo modo, nuovi piani adeguati e di salvaguardia rispetto alle crisi future.

Occorre riprendersi il tempo, riflettere, lasciar guarire le “ferite” ma con la coscienza di cosa siamo e di cosa c’è intorno a noi. Se torniamo a vivere troppo in fretta e freneticamente – in nome della globalitè, marché et monnaie (i.e. globalizzazione, mercati e denaro) che hanno caratterizzato questo ultimo trentennio – rischiamo di dimenticare quello che stiamo sperimentando e non farne tesoro per gli anni a venire.

Dunque, al Risk Management il compito di affiancare le compagnie (banche e assicurazioni) per condurle fuori dalla tempesta e aiutarle a ritornare a navigare in acque più sicure.

Il Risk Management ha avuto un ruolo centrale e di primaria importanza già agli esordi della pandemia.

In base ad una recente survey condotta da ANRA (Associazione Nazionale dei Risk Manager e Responsabili Assicurazioni Aziendali), ad aprile il 40% delle aziende disponeva di un piano di gestione della crisi, di queste solo il 14% contemplava anche uno scenario di pandemia. Tuttavia, le compagnie che comunque disponevano di un piano di gestione della crisi sono state nella stragrande maggioranza anche quelle che sono state più capaci di reagire alla crisi. Se è vero che la percezione di un rischio determina il comportamento rispetto al rischio stesso, determinando dunque una cultura del rischio, ci si rende conto che diventa strategico, prima ancora che gestire e mitigare i rischi, determinare quale sia il livello di tolleranza al rischio in chiave strategica. In altre parole, rispondere alla domanda se la compagnia stia assumendo troppi rischi oppure ne stia assumendo troppo pochi, di quale sia l’effettivo ritorno della componente rischio sul business di come fare a ridurne gli impatti e prendere decisioni che ne tengano conto. Il Risk Management è uno strumento manageriale che crea valore e che non è materia riservata ai soli risk manager. Un altro importante aspetto sarà che non potranno essere più trascurati i segnali prodromici del cambiamento climatico e del progressivo incremento della temperatura media: non si potrà più aspettare e tollerare che in un non lontano futuro la prossima crisi ci colga impreparati avendone avuto i segnali oggi.

 

Quali strumenti per ottimizzare una corretta strategia di Risk Management?   

Per garantire il raggiungimento degli obiettivi strategici basati sulla continuità, sulla solidità finanziaria, sulla crescita sostenibile e profittevole, sulla creazione e sull’aumento del proprio valore nel tempo così come esplicitati nella Business Strategy, la compagnia definisce una propria strategia di rischio che esprime, coerentemente con i principi di cui sopra, il proprio approccio strutturato per identificare, valutare e gestire i rischi al fine di mitigarne i potenziali effetti negativi e di coglierne per converso le eventuali opportunità.

Lo scopo principale della strategia di rischio è quello di valutare in tale ottica le implicazioni sottostanti gli obblighi che la Compagnia si assume nell’esercizio della propria attività nei confronti dei clienti, degli azionisti e dei dipendenti al fine di preservare la propria solidità patrimoniale, la propria reputazione e la propria redditività.

È da intendersi quindi per “rischio” l’intera gamma di possibili eventi positivi e/o negativi che possono avere effetto sul valore della Compagnia o sui risultati attesi. In questa visione, con riferimento al sistema di gestione dei rischi, particolare rilevanza hanno i risultati casuali negativi, che la Compagnia interpreta come la possibilità di non poter realizzare nel tempo, con ripercussioni gravi e continuative, gli obiettivi impliciti ed espliciti stabiliti.

La strategia di rischio è il punto centrale per l’implementazione del sistema di gestione del rischio all’interno di una compagnia ed è parte integrante della strategia di business e si esplicita attraverso uno strutturato assetto documentale conforme con la normativa vigente di riferimento.

Tale assetto documentale, tenuto conto degli obiettivi strategici ed in coerenza con la politica di gestione dei rischi, le politiche di sottoscrizione, di riservazione, di riassicurazione e delle ulteriori tecniche di mitigazione del rischio nonché di gestione del rischio operativo, determina il sistema degli obiettivi di rischio, definendo la propensione al rischio dell’impresa in coerenza con il fabbisogno di solvibilità globale della stessa, individuando le tipologie di rischio che ritiene di assumere e fissando in modo coerente i relativi limiti di tolleranza al rischio, che rivede almeno una volta l’anno, al fine di assicurarne l’efficacia nel tempo.

La direzione strategica del sistema di gestione dei rischi è definita dalla interazione tra la Business Strategy, la Risk Strategy e la Risk Bearing Capacity.

La strategia di business definisce quali rischi sono accettati nell‘ambito del quadro di riferimento del modello di business e stabilisce le condizioni del quadro organizzativo per la gestione dei rischi.

La Business Strategy definisce le linee guida di approccio al mercato, la strategia di reclutamento di nuovi rapporti commerciali e di lancio di nuovi prodotti in coerenza con la specifica policy, nonché la strategia di rischio e di controllo dei rischi alle quali le funzioni di Business e le funzioni Commerciali della Compagnia debbono attenersi nella elaborazione delle linee operative e di politica commerciale, tecnico assicurativa e di individuazione, monitoraggio e mitigazione dei rischi.

La Risk Strategy deriva dalla Business Strategy e definisce il quadro di riferimento per la valutazione delle decisioni strategiche, tenendo in considerazione aspetti e valutazione dei rischi associati al business.

La Risk Bearing Capacity (la capacità di sostenere i rischi) descrive la capacità di una società di sostenere le perdite derivanti da rischi individuati. É determinata dal calcolo del potenziale disponibile per la copertura dei rischi.

La Risk Strategy definisce gli obiettivi strategici di rischio che riflettono la tolleranza al rischio definita dal Consiglio di Amministrazione. Questa tolleranza al rischio (anche detta Risk Tolerance) è un limite per il Solvency Ratio che è definito come il rapporto tra gli Eligible Own Funds e il Solvency Capital Requirement (SCR) per i rischi che possono verificarsi con una probabilità dello 0,5% in un orizzonte temporale annuale. Quindi, impostando la Risk Tolerance, il CdA definisce implicitamente una quota parte minima della capacità di sostenere i rischi che deve essere disponibile per la copertura dei rischi, al fine di evitare di compromettere gli obiettivi di business. Il rispetto degli obiettivi definiti strategicamente è garantito mediante la definizione di misure operative di rischio.

La Compagnia definisce un Solvency Ratio Target in coerenza con gli obiettivi strategici e con gli esiti della valutazione dei rischi e della solvibilità (ORSA).

Il Risk Appetite Framework consente di declinare le preferenze sui rischi della Compagnia, di definire i limiti delle esposizioni a tali rischi e di controllare che tali limiti siano rispettati. La declinazione del Risk Appetite e della Risk Tolerance sui moduli e sottomoduli di rischio previsti dalla Standard Formula permette inoltre un’analisi di coerenza più approfondita e accurata.

Il Consiglio di Amministrazione definisce e periodicamente rivede i limiti operativi di natura assicurativa (esposizione massima per sinistro, rischi esclusi, etc.) e finanziaria (limiti di investimento degli asset), specifici per la Compagnia, finalizzati al contenimento dei rischi nel rispetto della strategia approvata e con l’obiettivo di massimizzarne il profilo rischio/rendimento.

Per quanto attiene ai limiti e valori soglia relativi alla gestione degli investimenti, essi sono definiti nell’ambito della “Delibera Quadro e Linee Guida degli Investimenti” approvata dal Consiglio di Amministrazione.

I limiti operativi fissati dal Consiglio di Amministrazione definiscono i confini all’interno dei quali si possono muovere operativamente le funzioni aziendali per il perseguimento dei propri obiettivi, mantenendo la propensione al rischio entro i livelli prescelti.

Inoltre, la Funzione Risk Management di Gruppo provvede ad effettuare, con cadenza mensile, una verifica di secondo livello sul rispetto dei limiti operativi al rischio definiti dal Consiglio di Amministrazione, dandone evidenza al Comitato Rischi. Qualora essa rilevi il superamento dei limiti, provvede immediatamente ad avviare gli opportuni processi di escalation, fornisce comunque all’Organo Amministrativo periodicamente evidenza dei controlli effettuati.

 

Quanto è importante il Reporting al fine di prevedere e ridurre i rischi?

Il reporting sui rischi rappresenta la forma di comunicazione destinata a informare specifici stakeholder sia interni che esterni fornendo loro informazioni sullo stato corrente del rischio e sulla sua gestione.

L’obiettivo della reportistica in materia di rischio è fornire al Consiglio di Amministrazione, all’Alta Direzione, al Comitato Rischi e alle altre funzioni aziendali coinvolte, informazioni in modo sistematico, uniforme e puntuale sui rischi e sui loro effetti potenziali, fornendo una panoramica sullo sviluppo dei rischi e sul successo delle misure di mitigazione eventualmente adottate. La responsabilità della reportistica in materia di rischio è in capo alla funzione Risk Management.

Il sistema di reporting in materia di rischio prevede la predisposizione di specifici report rispondenti alle esigenze informative dei diversi destinatari.

In particolare la funzione Risk Management predispone:

  • per il Consiglio di Amministrazione, due relazioni semestrali sulle attività svolte in materia di gestione e controllo dei rischi aziendali e sull’esito delle attività di stress test effettuate, relative ipotesi sottostanti, nonché un report contenente le informazioni sull’andamento dei principali rischi, i risultati relativi al processo di identificazione e le evidenze di eventuali superamenti dei limiti definiti dal CdA e relative azioni di mitigazione proposte e informazioni sulla solvibilità della Compagnia con comparazioni sui risultati derivanti dall’applicazione dei diversi modelli utilizzati;
  • per il Comitato Rischi, una specifica reportistica standardizzata sui rischi aziendali, l’esito delle attività di stress test effettuate, le relative ipotesi sottostanti, il controllo del superamento dei limiti definiti dal CdA e l’andamento della situazione di solvibilità della Compagnia.

Nella fase di risk reporting vengono redatti dei report sintetici volti ad evidenziare i principali risultati dell’assessment dei rischi e permette a chi ne ha la responsabilità di prendere adeguate decisioni nella successiva fase di risk treatment.

La fase del risk treatment comporta delle decisioni aziendali e quindi coinvolge direttamente i manager cui è affidata la responsabilità della loro gestione. Da qui l’importanza di redigere un documento che sintetizzi i risultati degli step precedenti (identificazione, assessment e monitoraggio), presentandoli, in forma comprensibile e attraverso un linguaggio comune, a coloro che verranno coinvolti agli stadi più avanzati del processo di Risk Management.

Il report è un documento strutturato in cui si presentano tutti i rischi emersi dalla fase di identificazione, di valutazione e di monitoraggio. Vi sono inoltre riportati i rischi associati alla realizzazione di nuovi progetti in corso di valutazione dall’organizzazione.

Questo report darà la possibilità ai manager di prendere una prima decisione sulla base di un quadro completo e dettagliato dei rischi che insistono sulla compagnia.

I responsabili di tale fase avranno l’onere di rivedere se necessario le politiche di gestione dei rischi già assunti dall’impresa, incentivando il monitoraggio di alcuni e riducendo lo sforzo di altri, e di definire le strategie di gestione per i nuovi rischi alla luce delle nuove informazioni raccolte negli stadi precedenti del processo.

 

Come gestire e ottimizzare al meglio i dati attraverso una corretta strategia di Data Governance?

Con la digitalizzazione, i processi delle imprese e i loro rapporti con i clienti si sono evoluti e producono sempre più dati. Quando i volumi crescono fino a diventare Big Data, i normali processi e strumenti di gestione non sono più sufficienti e diventa necessaria una vera e propria strategia di gestione della qualità dei dati.

È ciò che chiamiamo Data Governance, o amministrazione dei dati, che insieme alla sua controparte tattica del Data Management è la nuova frontiera della gestione d’impresa.

Cos’è la data governance

Per governance dei dati si intende l’approccio strategico con cui un’organizzazione stabilisce come gestire i propri dati.

Per dati dell’azienda intendiamo sia quelli interni che esterni: informazioni sui clienti, sui processi interni, sui dipendenti, sulle risorse aziendali e così via. Il principio ultimo della data governance è abbarcare tutto il ciclo di vita dei dati, organizzarli e interpretarli per ottenere una visione composita dell’azienda e, così, aumentarne la redditività.

Da un punto di vista operativo, possiamo definire la data governance come la base strategica sulla quale costruire l’intero sistema di gestione dei dati, che a fini descrittivi possiamo suddividere in cinque aree:

  • Raccolta
  • Gestione
  • Protezione
  • Accesso
  • Analisi

Raccolta: la strategia di data governance deve stabilire chiaramente i metodi, gli strumenti e le persone coinvolte nella raccolta dei vari tipi di dati. In generale, le responsabilità personali e le interconnessioni tra i dati e le altre risorse aziendali sono fondamentali per la creazione di una strategia efficace e completa.

Gestione: I dati devono essere salvati, organizzati e categorizzati in modo da poter essere analizzati. Sono necessari strumenti particolari e scalabili, che si adattino alle dimensioni dell’azienda e al suo ritmo di crescita.

Protezione: un aspetto fondamentale della qualità dei dati – soprattutto in seguito all’entrata in vigore del GDPR – è la sicurezza. Questa si articola su due versanti principali: la protezione dei dati da minacce informatiche e la tutela della privacy relativamente ai dati sensibili in possesso dell’azienda (clienti, dipendenti, stakeholder, utenti web e così via). Il secondo aspetto è forse uno dei più importanti della data governance, perché consente di allineare la gestione dell’azienda con le normative in materia di dati personali, evitando multe salate, problemi di operatività ed eventuali ricadute sulla reputazione.

Accesso: la data governance deve regolare i metodi, gli strumenti e le persone coinvolte nell’accesso ai dati. Chi può visualizzarli e come? Con che sistema di credenziali? E l’utente finale, come può accedere alle informazioni di cui ha bisogno e ai propri dati personali?

Analisi: il grande vantaggio di possedere grandi volumi di dati organizzati è poterli analizzare. Grazie ai nuovi software di analisi, è possibile stabilire indicatori e obiettivi per qualsiasi variabile. L’applicazione dei risultati di analisi alla gestione d’impresa apporta innumerevoli vantaggi, dalla quantificazione del rendimento al rilevamento delle vulnerabilità informatiche fino all’ottimizzazione dell’esperienza utente.

La gestione integrata di tutti questi aspetti dà vita a una strategia di data governance, che trasformerà un grande volume di dati ingombranti in una risorsa organizzata e utile per l’azienda sotto tutti i punti di vista:

  • Maggiore efficienza produttiva
  • Migliore reputazione
  • Più opportunità di business
  • Decisioni più informate
  • Insight analitici su tutte le aree dell’azienda
  • Misurazione delle prestazioni
  • Conformità alle norme statali e internazionali
  • Maggiore sicurezza per tutti
  • Ottimizzazione delle risorse umane coinvolte nella gestione dei dati

L’IMPORTANZA DELLA DATA GOVERNANCE

L’ampliamento del perimetro di informazioni e l’evoluzione degli indicatori di performance pubblici richiede una gestione organica e condivisa dei dati, valorizzando un patrimonio informativo comune.

Maggiore tempestività nelle decisioni: Snellimento delle fasi del processo di verifica del dato, consentendo di velocizzare il processo decisionale e la conclusione di operazioni strategiche.

Ownership e posizionamento dei dati: Definizione dell’Owner univoco per competenza e del posizionamento dei dati.

Consapevolezza condivisa del patrimonio informativo basato su fonti univoche: L’adozione di un approccio di condivisione nella gestione dei dati provenienti da fonti univoche, al posto di un approccio a silos, con la presenza di un direttore d’orchestra, supportato da un Data Competence Center.

Valorizzazione e monetizzazione dei dati: Definizione di una condivisa gestione nativa della qualità dei dati e della loro disponibilità, per una valorizzazione e monetizzazione dei dati aziendali.

Riduzione del rischio reputazionale: La definizione ed implementazione di un Data Governance Framework, garantisce la qualità ed il livello di compliance delle informazioni fornite a stakeholder interni ed esterni.

IL FRAMEWORK DATA GOVERNANCE

  1. Data Strategy: Definire la strategia, garantendo una visione globale e allineamento rispetto agli obiettivi del business.
  2. Data Management: Definire, sviluppare e gestire un modello di gestione dei dati «coerente» con il ciclo di vita dei dati
  3. Data Quality: Combinare in modo efficace processi e specifici strumenti al fine una trasmissione completa, accurata, appropriata e tempestiva di dati e informazioni
  4. Data Modeling: Rappresentare il flusso di dati e identificare le regole per classificare, modellare e strutturare i dati
  5. Data Architecture: Supportare diverse fasi di governo del dato con strumenti di controllo e modelli architetturali
  6. Data Protection and Privacy: Preservare la sicurezza delle informazioni e la protezione del dato al fine di assicurarne l’integrità, disponibilità, riservatezza e protezione da eventuali minacce
  7. Data Governance: Definire modelli organizzativi, ruoli e responsabilità per il governo e la gestione dei dati

L’APPROCCIO REATTIVO

L’approccio reattivo ha come primo obiettivo quello di mitigare il rischio reputazionale ed è caratterizzato da un minimo impatto sulle strutture.

  1. DATA QUALITY MODEL

Definizione di un Modello di Data Quality unico, evitando una gestione per silos

  1. SYSTEM OF GOVERNANCE

Definizione della System of Governance in linea con i requirement normativi e le good practice di mercato, nominando gli attori coinvolti nel sistema di governo

  1. AWARENESS PROGRAM

Promozione di un cambio culturale che metta il dato al centro dell’agenda del futuro, attraverso un Awareness Program strutturato e capillare

  1. COMPLIANCE – Data Directory

Richiesta di un set minimale di attività in compliance alla normativa, in continuità con le esperienze di altre funzioni interne (es. CRO per riserve tecniche) e capitalizzando il patrimonio informativo esistente

  1. APPROCCIO INNOVATIVO

Definizione di un approccio modulare, in quanto, secondo l’esperienza di mercato, non è sostenibile un approccio univoco ed applicato indistintamente a tutte le funzioni aziendali.

L’APPROCCIO PROATTIVO

L’approccio proattivo mira a capitalizzare le attività svolte, guidando la transizione verso la definizione di un patrimonio informativo comune.

1.Creazione di un Competence Center di Data Governance con la definizione di un ruolo da orchestratore nella gestione organica e nella qualità dei dati finanziari e non.

  1. Definizione di linee guida e modalità di gestione del ciclo di vita del dato in modo da garantirne nativamente la qualità anche attraverso l’implementazione di uno strumento applicativo dedicato.
  2. Definizione di un glossario univoco dei dati aziendali che consenta di facilitare la comunicazione tra strutture diverse ed agevoli l’approvvigionamento degli stessi dati.
  3. Svolgimento di attività di Master Data Management (MDM) che consentano di identificare le fonti corrette per i diversi dati e le responsabilità ad essi associati.
  4. Affinamento della System of Governance, in particolare prevedendo un “Organigramma dei Dati”, da condividere all’interno dell’Organizzazione.
  5. Graduale recupero della conoscenza sul proprio patrimonio informativo.

 

© 2017 Brainz s.r.l. - All right reserved

Designed and Developed by Brainz Italy SRL.