SISTEMA DI GESTIONE DEI RISCHI DI GRUPPO

Risk Governance

La risk governance è parte integrante del più ampio sistema di controllo interno e di gestione dei rischi di Gruppo.

Il sistema di controllo interno e di gestione dei rischi è l’insieme delle regole, delle procedure e delle strutture aziendali che assicurano l’efficace funzionamento della compagnia e permettono di identificare, gestire e monitorare i principali rischi cui è esposta. Gli elementi chiave del sistema sono:

  • Il sistema di controllo interno e le relative attività;
  • La consapevolezza e il monitoraggio;
  • Gli obblighi di informativa;
  • I ruoli e le responsabilità attribuiti al Consiglio di Amministrazione (CdA) e ai suoi comitati, al Senior

Management, incluso il Chief Executive Officer (CEO), in qualità anche di Amministratore Incaricato del sistema di controllo interno e di gestione dei rischi, al Chief Financial Officer (CFO), nominato Dirigente Preposto alla redazione dei documenti contabili societari, così come ai risk owner e alle Funzioni di Controllo, nell’ambito del sistema di controllo interno e di gestione dei rischi.

Al fine di garantire un approccio coerente a livello di Gruppo, la Capogruppo definisce le Direttive sul sistema di controllo interno e di gestione dei rischi, integrate da politiche sui rischi, che si applicano in tutte le compagnie del Gruppo.

Il sistema di controllo interno e di gestione dei rischi è basato sulla costituzione di tre cosiddette linee di difesa:

  • Le Funzioni Operative (i cd. “risk owner”), che rappresentano la prima linea di difesa e hanno la responsabilità ultima dei rischi relativi alla loro area di competenza
  • Le Funzioni di Risk Management, di Compliance e Attuariale, che rappresentano la seconda linea di difesa;
  • La Funzione Internal Audit, che rappresenta la terza linea di difesa.

Le funzioni di Internal Audit, Risk Management, di Compliance e Attuariale costituiscono le “Funzioni di Controllo”.

I ruoli e le responsabilità del CdA e dei relativi comitati, del Senior Management, delle Funzioni di Controllo e le interazioni tra le Funzioni di Controllo sono descritte nella Relazione sugli Assetti Proprietari (Corporate Governance Report). I ruoli chiave nel sistema di gestione dei rischi sono riportati di seguito:

  • Il CdA definisce, con il supporto del Comitato Controllo e Rischi (CCR), le linee guida del sistema di controllo interno e di gestione dei rischi e ne valuta l’adeguatezza, l’efficacia e il funzionamento, con cadenza almeno annuale; definisce inoltre l’organizzazione, nomina il responsabile delle Funzioni di Controllo e definisce i relativi mandati, adotta le politiche sui rischi di Gruppo, approva i risultati degli ORSA Report e, sulla base di questi ultimi, definisce la propensione al rischio e i limiti di tolleranza;
  • Il Senior Management è responsabile dell’esecuzione della strategia definita e implementa il sistema di controllo interno, mantenendolo adeguato ed efficace;
  • Le Funzioni di Controllo sono definite a livello di Gruppo e all’interno delle unità operative:
    • La Funzione di Risk Management supporta il CdA e il Senior Management, nel garantire l’efficacia del sistema di gestione dei rischi e fornisce consulenza e supporto ai principali processi decisionali aziendali;
    • La Funzione di Compliance garantisce l’adeguatezza del sistema di controllo interno per gestire i rischi di non conformità, contribuendo quindi a mantenere l’integrità e la reputazione del Gruppo;
    • La Funzione Attuariale coordina il calcolo delle riserve tecniche e garantisce l’adeguatezza delle metodologie, dei modelli e delle ipotesi sottostanti, verifica la qualità dei relativi dati ed esprime un parere sulla Politica di Sottoscrizione;
    • La Funzione Internal Audit verifica i processi di business, l’efficacia e l’adeguatezza dei controlli in essere.

I responsabili delle Funzioni di Controllo riportano funzionalmente al CdA, ad eccezione dei responsabili dell’Internal Audit di Gruppo che riportano gerarchicamente e funzionalmente al CdA.

Le Funzioni di Controllo di Gruppo collaborano secondo un modello di coordinamento definito, al fine di condividere le informazioni e creare sinergie. Il coordinamento e la direzione delle Funzioni di Controllo da parte della Capogruppo è garantito dal cosiddetto modello delle solid reporting lines che è definito tra il Responsabile della Funzione di Controllo di Gruppo e i responsabili delle rispettive Funzioni delle compagnie.

Sistema di gestione dei rischi

I principi che definiscono il sistema di gestione dei rischi di Gruppo sono riportati nella Politica di gestione dei rischi1 del Gruppo Generali, che rappresenta la base di tutte le politiche e le linee guida relative ai rischi. La Politica di gestione dei rischi copre tutti i rischi cui la compagnia è esposta, sia su base attuale che prospettica (forward-looking).

Il processo di gestione dei rischi di Gruppo è costituito dalle seguenti fasi:

Processo di gestione dei rischi di Gruppo

Il processo di identificazione dei rischi ha l’obiettivo di assicurare che tutti i rischi materiali siano correttamente individuati. La Funzione di Risk Management interagisce con le principali Funzioni di business per identificare i principali rischi, valutare la loro importanza e assicurare che vengano prese adeguate misure al fine di mitigare tali rischi, secondo un processo di governance strutturato. Nell’ambito di questo processo sono presi in considerazione anche i rischi emergenti.

La classificazione dei rischi identificati segue la struttura prevista dalla normativa italiana (Regolamento IVASS n. 20/2008) e riflette le categorie di rischio previste dalla normativa Solvency II.
I rischi identificati sono valutati con riferimento al loro contributo al requisito di capitale e con altre tecniche di modellazione ritenute appropriate e proporzionate per riflettere al meglio il profilo di rischio del Gruppo. L’utilizzo della metrica di capitale assicura che ogni rischio sia coperto da un adeguato ammontare di capitale in grado di assorbire le potenziali perdite subite nel caso in cui i rischi si dovessero materializzare.

Il requisito di capitale è calcolato utilizzando il Partial Internal Model (PIM) del Gruppo Generali per i rischi finanziari, di credito, di sottoscrizione vita e danni. I rischi operativi sono misurati sulla base della Formula Standard EIOPA, integrando le valutazioni quantitative e qualitative del rischio. Il PIM fornisce un’accurata rappresentazione dei principali rischi, misurando non solo l’impatto di ogni rischio considerato singolarmente, ma anche il loro impatto congiunto sui fondi propri della compagnia.
La governance e la metodologia del PIM sono descritte nella sezione Posizione di Solvibilità.
I rischi non inclusi nel calcolo del SCR, come i rischi di liquidità e gli altri rischi, sono valutati sulla base di tecniche quantitative e qualitative, di modelli e di ulteriori stress test o analisi di scenario.
Il RAF definisce il livello di rischio considerato accettabile nello svolgimento del business e fornisce l’impianto generale per la gestione dei rischi e l’integrazione nei processi aziendali.

L’obiettivo del RAF è di definire il livello di rischio desiderato sulla base della strategia di Gruppo. La dichiarazione di propensione al rischio del RAF è integrata sia da valutazioni qualitative (preferenze di rischio) volte a supportare i processi decisionali, sia dalle tolleranze al rischio che forniscono limiti quantitativi volti a contenere un'eccessiva assunzione dei rischi. I limiti sono espressi in termini di tolleranze hard e soft.

La governance del RAF fornisce l’impianto per la gestione dei rischi nelle operazioni ordinarie e straordinarie, i meccanismi di controllo e monitoraggio, nonché i processi di escalation e reporting da adottare in caso di violazione delle tolleranze al rischio.

I livelli di tolleranza sono definiti sulla base delle metriche di capitale e di liquidità. I meccanismi di escalation si attivano nel caso in cui gli indicatori siano prossimi o violino i livelli di tolleranza definiti.
L’obiettivo del monitoraggio dei rischi e del reporting è di mantenere le Funzioni di business, il Senior Management, il CdA e l’Autorità di Vigilanza informati sull’andamento del profilo di rischio complessivo e dei singoli rischi e su eventuali sforamenti delle tolleranze al rischio.

Nell’ambito della normativa Solvency II, la Relazione sulla Valutazione Interna del Rischio e della Solvibilità (ORSA Report) è il principale processo di reporting sui rischi ed è coordinato dalla Funzione di Risk Management. L’ORSA ha l’obiettivo di valutare e fornire un’informativa in merito al profilo di rischio e al fabbisogno di solvibilità complessivo su base attuale e prospettica. L’ORSA prevede un processo di valutazione su base continuativa della posizione di solvibilità in linea con il Piano strategico e con il Piano di gestone del capitale di Gruppo, seguito da una regolare comunicazione dei risultati all’Autorità di Vigilanza, dopo l’approvazione da parte del CdA.

Il processo ORSA considera sia i rischi inclusi nel calcolo requisito di capitale sia i rischi per i quali non è previsto un requisito di capitale. Nell’ambito dell’ORSA, vengono eseguite analisi di sensitività e condotti stress test al fine di valutare la resilienza della posizione di solvibilità e del profilo di rischio al variare delle condizioni di mercato o di specifici fattori di rischio.

L'ORSA Report, che descrive i principali risultati di questo processo, è redatto su base annuale. In aggiunta a tale Report, si producono ORSA Report ad-hoc in caso di cambiamenti significativi del profilo di rischio.

1La Politica di gestione dei rischi di Gruppo copre tutte le categorie di rischi previste da Solvency II e, al fine di trattare adeguatamente ciascuna categoria di rischio e i processi di business sottostanti, è integrata dalle seguenti politiche sul rischio:
- Group Investment Governance Policy;
- Politica di sottoscrizione e riservazione danni di Gruppo;
- Politica di sottoscrizione e riservazione vita di Gruppo;
- Politica di gestione dei rischi operativi di Gruppo;
- Politica di gestione del rischio di liquidità di Gruppo;
- Altre politiche relative al rischio, come la Politica di gestione del capitale di Gruppo.