Document

Competence Center Solvency 2
La roadmap verso la Risk Based Insurance
Milano, 17 Novembre 2010
1
Agenda
1
Il modello ERM
2
Applicazione del modello ERM alle assicurazioni
3
Gli standard emergenti
4
Relazioni fra i rischi e le modalità di misurazione
5
Osmosi del rischio IT
6
Conclusioni
2
Il modello ERM
3
Cos’è l’ERM
Enterprise Risk Management (ERM) ha come sinonimi Strategic Risk
Management (SRM) o Governance, Risk and Compliance (GRC).
Le principali caratteristiche dell’ERM consistono in:
„
„
„
„
„
„
E’ un processo che coinvolge l’intera Azienda
“vissuto e interpretato” dalle persone a tutti i livelli aziendali
Applicato nella definizione della strategia aziendale
Applicato attraverso tutta l’azienda, ad ogli livello ed unità, e comprende la visione a
livello aziendale del “portafoglio dei rischi”
Progettato per identficare gli eventi potenziali che, nel caso accadano, coinvolgeranno
l’azienda e saranno da gestire all’interno del proprio quadro di propensione al rischio
Capace di predisporre una ragionevole copertura al management e all’alta direzione.
Fonte: COSO Enterprise Risk Management – Integrated Framework. 2004. COSO.
4
Cos’è l’ERM
IL COSO FRAMEWORK
Improve current control model
Agree common objectives
Define a common language
Integrate with strategic management
Integrate with business planning
Complete performance measurement
Align with compliance function
Classify potential events and group them
into event types
Individuate interdependencies
Define a common process and methods
Estimate exposures and risk appetite
Identify correlations to enable appropriate
effective measurement
Set-up responses (alternatives)
Define checkpoints to follow up risk
response
Define preventive and systems-based
control model
Define communication process and
reports across the company and
stakeholders using the previously
agreed common language
Define monitoring process and
disclosure across the company and
stakeholders using the previously agreed
common language
Source: COSO Enterprise Risk Management – Integrated Framework. 2004. COSO.
5
Cos’è l’ERM
• definire e valutare le
performances rispetto agli
obiettivi;
• approvare le strategie di business
e le modalità con le quali
raggiungere gli obiettivi all’interno
di raggi d’azione definiti;
• governare il rischio dell’impresa
minimizzandone gli effetti
potenziali negativi sulle risorse
umane, sui processi di
funzionamento, sulla solidità
finanziaria, sulla clientela e sui
partner.
RI
SK
E
NC
L IA
mp
ren
s io
ne
CO
MP
co
cond
ivisio
ne
mu
co
ne
zio
a
nic
CULTURA
• identificare, valutare e analizzare
rigorosamente i rischi;
• quali potenziali ostacoli al
raggiungimento degli obiettivi
• quali potenziali ostacoli al
corretto funzionamento dei
processi ed al loro miglioramento
continuo;
• quali potenziali cause di danni
alle risorse umane, alla solidità
finanziaria, alla clientela ed ai
partner.
• sviluppare e sostenere la
conformità dell’impresa e dei
processi di funzionamento
alle leggi, ai regolamenti, alle
normative esterne ed interne;
• individuare e risolvere le non
conformità
GOVERNANCE
Nuovo orientamento del modello organizzativo incentrato sul forte
presidio del rischio e dell’aderenza a disposizioni regolamentari e
normative.
6
Applicazione del modello ERM alle assicurazioni
7
Ambito di applicazione
Il
modello
ERM
risponde alle misure
di 2° pilastro di
Solvency II.
8
Ambito di applicazione
Deve essere fornita documentazione:
1.
Il
modello
ERM
risponde ai principi
di ORSA
2.
3.
4.
5.
6.
7.
delle aree sottoposte a ORSA (Own Risk and
Solvency Assessment)
dei processi, metodologici e organizzativi, con i quali
si determina il coefficiente di capitale con le relative
responsabilità, funzioni e strutture aziendali preposte
al processo
Metodi e modalità con le quali sono valutati,
controllati e mitigati i rischi
Gli stress test impiegati e i loro risultati
L’ammontare complessivo del coefficiente
patrimoniale e le condizioni finanziarie in virtù delle
quali si assume il rischio, approvato dal top
management
La descrizione del processo di autovalutazione (self
assessment) ed il risultato dell’ultimo effettuato;
La frequenza ed i contenuti dei report di internal audit
9
Gli standard emergenti
10
Gli standard emergenti
LO STANDARD ISO 31000
Tutte le attività di un’organizzazione comportano rischi. Il Risk Management aiuta a
prendere decisioni tenendo in considerazione l’incertezza ed i suoi effetti per il
raggiungimento degli obiettivi e stabilisce ciò che si deve fare.
Il processo di risk management prevede l’applicazione di metodi logici e sistematici
per:
•
•
•
•
•
Condividere e comunicare attraverso il processo di gestione dei rischi;
Stabilire il contesto ed il perimetro;
Identificare, analizzare valutare e trattare il rischio associato ad ogni
attività, processo, funzione, progetto, prodotto, servizio o asset;
Monitorare ed aggiornare l’esposizione al rischio;
Registrare appropriatamente i risultati e produrre adeguato reporting.
Lo standard riconosce la varietà della natura dei rischi ed il livello di complessità e
fornisce linee guida sui principi di implementazione del Risk Management. Per
applicare le linee guida in una situazione specifica, lo standard definisce come
un’organizzazione dovrebbe agire per comprendere lo specifico contesto nel quale
implementare il risk management.
ISO 31000, Risk management — Principles and guidelines on implementation
11
Gli standard emergenti
LO STANDARD ISO 31000
a. Creare valore
b. Essere parte integrante del
processo organizzativo
c. Essere parte del processo
decisionale
d. Indirizzare esplicitamente
l’incertezza
e. Essere un processo
sistematico, strutturato e
puntuale
f. Basato sulle migliori
informazioni disponibili
g. Specificatamente
«customizzato»
h. Considera i fattori umani e
culturali
i. Trasparente e ricettivo
j. Dinamico, iterativo e
reattivo ai cambiamenti
k. Facilita il miglioramento
continuo e lo sviluppo
dell’organizzazione
Principi (clause 4)
Mandato e
committment
Disegno del
framework di
RM
Miglioramento
continuo del
framework
Processi (clause 6)
Implementazione
del framework
Monitoraggio e
review del
framework
Framework (clause 5)
ISO 31000, Risk management — Principles and guidelines on implementation
12
ISO 31010
Gli standard emergenti
LO STANDARD ISO 31000
Mandato e
committment
Disegno del
framework di
RM
Miglioramento
continuo del
framework
Implementazione
del framework
Monitoraggio e
review del
framework
a. Inquadrare e stabilire il contesto
(comprendere l’organizzazione, il suo
contesto operativo, la sua propensione al
rischio, la sua capacità di «sostenerlo»)
b. Definire la policy di Risk Management
c. Integrare la policy nei processi
organizzativi
d. Definire le modalità di valutazione
economica del rischio e del ritorno di
investimento delle strategie di
mitigazione (VA)
e. Sviluppare le risorse e le competenze
f. Stabilire e implementare i processi di
comunicazione interna e le modalità di
reporting
g. Stabilire e implementare i processi di
comunicazione interna e le modalità di
reporting
Framework (clause 5)
ISO 31000, Risk management — Principles and guidelines on implementation
13
Gli standard emergenti
LO STANDARD ISO 31010
Inquadrare e stabilire il contesto
Risk assessment
Risk identification
Comunicazione
e consultazione
Risk analisys
Monitoraggio e
review
Risk evaluation
Trattamento del rischio
ISO 31010, Risk management — Risk Assessment Techniques
14
Gli standard emergenti
LO STANDARD ISO 31010
Il risk assessment è quella parte del risk management che fornisce un processo
strutturato che identifica quali obiettivi aziendali sono soggetti a rischio e lo
analizza in termini di probabilità di accadimento e conseguenze attese prima di
decidere se è necessario intervenire.
Il risk assessment tenta di rispondere alle seguenti questioni fondamentali:
•Che cosa può accedere e perché (tramite la risk identification)
•Quali sono le conseguenze
•Qual è la probabilità di accadimento (nel futuro)
•Esistono (e quali sono) le possibilità di mitigare le conseguenze , riducendo la
probabilità di accadimento, l’impatto o entrambi?
•Il livello di rischio è accettabile o tollerabile o è necessario intervenire?
Lo standard esprime le «good practices» correnti e le caratteristiche peculiari, in
termini di applicabilità e risultati attesi.
ISO 31010, Risk management — Risk Assessment Techniques
15
Gli standard emergenti
LO STANDARD ISO 31010
SA = Strongly Applicable
A = Applicable
NA = Not Applicable
ISO 31010, Risk management — Risk Assessment Techniques
16
Gli standard emergenti
LO STANDARD ISO 31010
SA = Strongly Applicable
A = Applicable
NA = Not Applicable
ISO 31010, Risk management — Risk Assessment Techniques
17
ERM: come sono posizionato?
Initial
Repeatable
Defined
Managed
Optimized
Strategy
Organization
Process
Systems
Integrare la gestione del rischio
come una componente chiave della
strategia
La gestione del cambiamento
culturale come priorita’ con riporto
del CRO al top mgnt
Stabilire processi comuni per
individuare e gestire il rischio
Risk management systems devono
essere integrati per fornire
informazioni e strumenti analitici di
supporto alla funzione ERM
Assenza di un modello di riferimento.
ERM non è attivo, ma è presente una
struttura istituzionalizzata di Risk
Management. I rischi sono gestiti da
esperti della struttura di RM.
La struttura di Risk Management
lavora “in silos” e la correlazione fra
I rischi non è ancora
appropriatamente definita. Le
risorse sono poco informate.
I processi per informare e
coinvolgere il top management
non sono codificati e il top
management è informato per
mezzo di report estemporanei a
richiesta.
I sistemi lavorano in silos per
scopi specifici. L’automazione è
incompleta.
Assenza di un modello di riferimento
o di un framework. ERM non è
attivo, I rischi sono ancora gestiti
dalla funzione RM, ma vengono
prodotti periodicamente reports.
All’interno del Risk Management ci
sono I fondamentali di approccio al
rischio in modo integrato e nonpiù
per silos.
I processi base sono stati
stabiliti e c’è un certo livello
di formalismo e procedure
attive.
I sistemi lavorano a livello di
struttura di Risk Management e
l’integrazione opera a questo
livello.
E’ stato definito un modello di
riferimento, ma non è ancora avviato
a livello di impresa. ERM è definito,
ma di fatto non ancora attivo.
Metodi qualitativi e
quantitativi sono codificati ed
applicati dal Risk
Management.
Sono stati definiti tutti i processi,
documentati e standardizzati, ma
l’integrazione deve ancora essere
implementata. I dati sono
raccolti e memorizzati in un DB e
definiti i KRI.
I sistemi operano e sono
integrati a livello di struttura di
Risk Management, ma
raccolgono dati da tutte le
strutture e li memorizzano in un
DB.
ERM è avviato e l’integrazione
fra I processi è stata attuata ed
implementata.
Il Risk Management opera a livello di Tutti i processi sono stati
integrati dal punto di vista del
impresa e i manager di tutte le
rischio. Le correlazioni fra essi
funzioni collaborano nel risk
sono state documentate e
assessment, risk analisys e nelle
misurate. I KRI sono valorizzati
strategie di mitigazione.
in modo integrato e correlato fra
loro.
C’è un unico sistea informativo
integrato a livello di sistema
informativo aziendale. Gli eventi
sono raccolti e misurati con
continuità.
ERM è avviato, l’integrazione
completata e parte della strategia
di business e di erogazione dei
prodotti/servizi.
E’ in funzione un sistema
organizzativo (con un comitato
istituzionalizzato e con specifici
processi di funzionamento) per il
miglioramento continuo del modello
di ERM, processi e metodi qualitativi
e quantitativi.
Il sistema informativo di ERM è
migliorato costantemente e le
misure, sia quantitative che
qualitative, sono continuamente
raffinate ed allineate con la
strategia ed il business.
18
I KRI operano a livello di impresa
e l’Azienda riceve reports periodici
nei quali ha una vista stratificata a
livello di impresa dell’esposizione e
quantificazione del rischio.
Relazioni fra i rischi e le modalità di misurazione
19
Schema di contesto
rischio
operativo
rischio
reputazionale
Processi di ERM
rischio
non conformità
rischio
legale
rischio
assunzione
rischio
riservazione
perdita totale potenziale
analisi
e
valutazione
di
ogni
singolo
rischio
Aggregazione,
Correlazione e
calcolo
affidabilità
(intervallo di confidenza,
99,5 percentile)
intervallo temporale
(in genere 1 anno
con proiezione su 3)
rischio
mercato
rischio
credito
rischio
liquidità
Strumenti di ERM
rischio
appartenenza
20
capitale
regolamentare
(SOLVENCY 2)
Schema logico di riferimento
migliora
controllo
migliora
mappatura
dei processi
riduce
alimentano
Key
Performance
Indicator
processo
riduce
perdita
(non solo
economica)
eventi
Reporting
riduce
guida
Mitigazione
Key Risk
Indicator
rischio
alimentano
supporta
alimenta
induce
probabilità di
accadimento
impatto
potenziale
raffina
Risk
database
misure,
analisi,
statistiche
estrazioni
classificazione
risk driver(s)
monitoraggio
risk factor(s)
raffina
miglioramenti
(processo,
prodotto, ...)
guidano
alimentano
alimentano
21
Schema logico di riferimento
Risk identification
FUNZIONE
RUOLO
GOVERNANCE
E’ INFORMATA
ORGANIZZAZIONE
ESEGUE
RISK MGNT, ATTUARIATO
ESEGUE
COMPLIANCE.
SUPPORTA
mappatura dei
processi
• E’ il processo con il quale si stima la probabilità e l’impatto di OGNI rischio
(percepito)
• Opera UN rischio alla volta
• Assegna gli attributi rilevanti ad ogni rischio (cause, effetti, note,
comportamenti, Leggi matematiche, caratteristiche, ecc.)
esempio
processo
complessità del prodotto
risk driver(s)
complessità del processo
rischio
errori di transazione
probabilità di
accadimento
impatto
potenziale
• valutazioni soggettive (self
assessment)
• se si dispone di dati (nelle
fasi iniziali è molto difficile)
si possono usare anche
evidenze oggettive
classificazione
risk driver(s)
eventi
risk factors
errori di regolamento
Solvency 2
• valutazioni soggettive basate
sull’esperienza, anche se si
disponesse di dati e report
• in questa fase sono iniziali,
ovvero “pensati”. Mancano
ancora i riscontri delle analisi
che li inquadrano
compiutamente (o li
smentiscono)
22
controlli insufficienti
risk factors
numero di controlli/
numero prodotti venduti
Key Risk
Indicator
Schema logico di riferimento
• E’ il processo con il quale si combinano e studiano gli effetti di PIU’ risk
assessment assieme (considera il contesto complessivo), ovvero: un insieme di
rischi su un insieme di processi che cosa è accaduto e potrebbe accadere?
• Usa anche modelli matematici per capire le caratteristiche dei comportamenti
combinati
• Si usano sovente simulazioni (es. Montecarlo), perchè si potrebbero avere pochi
dati a disposizione
Risk analysis & evaluation
FUNZIONE
RUOLO
GOVERNANCE
E’ INFORMATA
ORGANIZZAZIONE
SUPPORTA
RISK MGNT, ATTUARIATO
ESEGUE
COMPLIANCE.
E’ INFORMATA
Reporting
mappatura
dei processi
perdita
(non solo
economica)
eventi
processo
Key Risk
Indicator
rischio
supporta
alimenta
probabilità
di
accadiment
o
impatto
potenziale
classificazione
risk
driver(s)
risk factors
raffina
raffina
Risk
database
misure,
analisi,
statistich
e
estrazioni
alimentano
alimentano
23
monitoraggio
Schema logico di riferimento
Risk treatment
FUNZIONE
RUOLO
GOVERNANCE
DECIDE, INDIRIZZA
ORGANIZZAZIONE
ESEGUE
RISK MGNT, ATTUARIATO
SUPPORTA
COMPLIANCE
ESEGUE
• E’ il processo con il quale si esaminano i Risk Assessment e le Risk Analysis
e si individuano le misure con le quali intervenire per ridurne:
ƒ la probabilità di accadimento e/o
ƒ gli effetti potenziali
Reporting
mappatura
dei processi
riduce
processo
riduce
perdita
(non solo
economica)
eventi
guida
riduce
Mitigazione
Key Risk
Indicator
rischio
supporta
alimenta
induce
probabilità di
accadimento
impatto
potenziale
raffina
Risk
database
misure,
analisi,
statistiche
estrazioni
classificazione
risk driver(s)
miglioramenti
(processo,
prodotto, ...)
guidano
alimentano
alimentano
24
risk factors
monitoraggio
Visione d’assieme
responses
s
es
roc
bp
su
appetite
business impacts
STAKEHOLDERS
PROCESS
mitigation
activity
prevention
RISKS
σθ (Xm)
2
ε
PROCESS
MAPPING AND
RISKS/IMPACT
CORRELATIONS
REPOSITORY
RESPONSES AND
MITIGATIONS
REPOSITORY
MEASURE AND
MODELS
REPOSITORY
EVENTS AND
LOSSES
REPOSITORY
MANAGE
analize behaviours
n
UCL
2
1,400
1,200
1,332
0,800
Valore
Valore
Media
Dev std
UCL
LCL
UWL
LWL
frequenza
frequenza
Media
Dev std
UCL
LCL
UWL
LWL
Jan
331,0075
104,2484
129,6677
493,2514
-284,755
363,5838
-155,087
Feb
55,16791
104,2484
129,6677
493,2514
-284,755
363,5838
-155,087
Mar
31,53994
104,2484
129,6677
493,2514
-284,755
363,5838
-155,087
Apr
15,49783
104,2484
129,6677
493,2514
-284,755
363,5838
-155,087
May
88,02876
104,2484
129,6677
493,2514
-284,755
363,5838
-155,087
Jan
1,423638
0,718208
0,485464
2,174599
-0,73818
1,689136
-0,25272
Feb
0,647108
0,718208
0,485464
2,174599
-0,73818
1,689136
-0,25272
Mar
0,241632
0,718208
0,485464
2,174599
-0,73818
1,689136
-0,25272
Apr
0,322751
0,718208
0,485464
2,174599
-0,73818
1,689136
-0,25272
May
0,955911
0,718208
0,485464
2,174599
-0,73818
1,689136
-0,25272
MEASURE AND MODELS
0,754
0,676
0,600
0,564
0,400
directives
REGIONE DI INTERVENTO
REGIONE DI SORVEGLIANZA
1,211
UWL
1,0210,981
1,000
0,868
0,787
0,668
0,882
NORMALITA’
0,475
LWL
0,200
REGIONE DI SORVEGLIANZA
Ge
nn
Fe aio
bb
r
M aio
ar
Ap zo
ri
M le
ag
g
G io
iu
g
Lu no
gl
Ag io
o
Se sto
tte
m
Ot bre
t
No obr
ve e
D mb
ic re
em
br
e
Pm [|Xm-θ|≥ε ] ≤
disclose
ERM integrated DB
0,000
LCL
REGIONE DI INTERVENTO
t
estimate exposures
Media
data coming from
operations, external
environment and sources
-100,00%
97,45%
26,24%
Differenza %sul valore (DVP)
10,45%
127,20%
10,45%
Proiezione %sulla frequenza
(PFP)
1,48%
1,46%
53,17%
95,00%
121,46%
1410,75%
Proiezione %sul valore (PVP)
25
9,70411 938,98 2,14103 75,9697 4,39173 1276,17
Differenza %sulla frequenza
(DFP)
ORGANIZATION
Osmosi del rischio IT
26
Impatto del rischio IT
27
Particolarità del rischio IT
E’ un rischio primario per l’IT, ma è fattore causale per il business e
l’organizzazione
Raramente viene registrato come tale dall’utente (registra su ET7, talvolta
su ET4, sporadicamente su ET6)
Non ci sono in generale linee guida chiare che esprimano cosa si deve
registrare come ET6
Le serie storiche hanno poco significato, la tecnologia evolve più
rapidamente e si rischia di prendere in considerazione contesti non più in
uso
Incidente IT
Perdita
business
Perdita IT
28
Soluzioni per la valutazione del rischio IT
NON HO I DATI! (poco male… e non è vero!)
Predisporre un self assessment per area funzionale applicativa
Integrarlo con dati rivenienti da fonti collaterali (ticket, DB incidenti, ecc.)
Rilevare le informazioni con profondità temporale limitata (es. ultimi 6 mesi)
e validare il self assessment con i dati oggettivi
Utilizzare una simulazione con proiezione 5-6 anni per determinare il VAR IT
esempio
29
Conclusioni
30
Conclusioni
L’ERM è un paradigma organizzativo che pone la visione del rischio a livello
di impresa e lo interpreta come l’elemento principale di incertezza che
influisce sulle strategie ed i valori economici conseguenti. Si pone come
obiettivo la sua identificazione, misura e governo.
Gli organi di vigilanza e le normative internazionali (Solvency II e,
prossimamente «Basilea3» pongono sempre maggiore attenzione sul
governo del rischio.
Esistono standard internazionali
predisposizione dell’ERM.
che
possono
aiutare
molto
nella
Sono disponibili strumenti software abilitanti all’implementazione dell’ERM
MA
31
Conclusioni
Il rischio è contro-intuitivo. In altri termini, bisogna crederci… ma con la
consapevolezza che esistono SEMPRE margini di errore (che però possono
essere misurati!)
Gli strumenti software offrono 1/4 della soluzione. Ci vogliono poi:
•1/4 di organizzazione
•1/4 di consapevolezza
•1/4 di pragmaticità
•Pazienza quanto basta
Lo scetticismo non è una buona ragione. Gli strumenti che si impiegano sono
(forse) inconsapevolmente ritenuti «di nicchia». Non è così, tutto ciò che
usiamo nella vita di tutti i giorni (auto, farmaci, vaccini, spesa al
supermercato, ecc.) li utilizza.
Metodi e strumenti sono più «facili» di quanto si possa pensare. La difficoltà
è nel dosaggio (non pretendere tutto, subito e con accuratezza inutile).
Dimostrare l’efficacia con un pilota. Il resto evolve «quasi» naturalmente…
32
CeTIF (Centro di Tecnologie Informatiche e Finanziarie)
Università Cattolica Milano
Via San Vittore 18, 20123 – Milano
[email protected]
33