Allegato 1
Documento sulle politiche di indirizzo - contenuto minimo
Ciascuna politica definita dall'organo amministrativo illustra
con chiarezza quantomeno:
gli obiettivi perseguiti dalla politica;
i compiti da svolgere e il responsabile di tali compiti;
i processi e le procedure di segnalazione da applicare;
l'obbligo delle unita' organizzative interessate di comunicare
alle funzioni fondamentali, per gli aspetti di rispettiva competenza,
qualsiasi fatto rilevante per l'adempimento dei rispettivi doveri.
Di seguito vengono indicati i contenuti minimali richiesti nelle
politiche d'indirizzo definite dall'organo amministrativo, da
declinarsi con un livello di dettaglio adeguato alla natura, alla
portata e alla complessita' dell'attivita' aziendale:
Politica di data governance
a) gli obiettivi perseguiti dalla politica;
b) i processi e le procedure utilizzati per la acquisizione,
registrazione e reporting dei dati utilizzati per tracciare
tempestivamente tutte le operazioni aziendali e per produrre
informazioni complete e aggiornate sulle attivita' aziendali e
sull'evoluzione dei rischi, incluse le procedure per la segnalazione
dei dati e delle informazioni all'IVASS;
c) i ruoli, le funzioni e le responsabilita' coinvolte nella
gestione dei dati; in particolare:
i) l'organo amministrativo approva i processi di qualita' e
trattamento dei dati e riceve una informativa almeno annuale circa la
conformita' dell'operativita' aziendale alla presente politica;
ii) l'organo con funzione di gestione o, su sua delega, il CDO
(chief data officier) e/o le funzioni responsabili della qualita' dei
dati, assicurano la completezza, l'adeguatezza (in termini di
efficacia ed efficienza) e l'affidabilita' dei processi di
trattamento dei dati;
iii) le funzioni coinvolte nell'utilizzo e nel trattamento a
fini operativi e gestionali delle informazioni aziendali (data owner)
promuovono, di norma con cadenza annuale, le opportune iniziative
informatiche, verificandone la coerenza con le esigenze di
trattamento del dato espresse dalle linee di business e tenuto conto
delle strategie aziendali;
iv) la revisione interna verifica i processi di qualita' e
trattamento dei dati e la coerenza, a campione, dei dati aggregati
(ad es. a fini di risk management o business intelligence) con le
operazioni archiviate nei sistemi gestionali;
d) l'elenco delle fonti - inclusi i processi di acquisizione di
dati da information provider esterni - e delle procedure di
aggregazione e trasformazione del dato, con indicazione delle
metodologie di valutazione adottate; l'intero ciclo di vita del dato,
dalle procedure di estrazione, trasformazione, controllo e
caricamento negli archivi accentrati, alla gestione dei metadati e
dei reference data, sino alle funzioni di sfruttamento, e'
documentato e, per i dati critici, tracciato; sono previste le
circostanze in cui e' ammessa l'immissione o la rettifica manuale di
dati aziendali;
e) il livello di granularita' per la conservazione dei dati,
adeguato a consentire le diverse analisi e aggregazioni richieste
dalle procedure di sfruttamento e di reporting all'interno
dell'impresa, all'autorita' di vigilanza e al mercato;
f) i controlli per assicurare nel continuo e misurare la qualita'
dei dati, con riferimento all'integrita', alla completezza e alla
correttezza, inclusi i presidi per l'adempimento puntuale degli
obblighi informativi verso l'IVASS; possono essere definiti i key
quality indicator da riportare periodicamente agli utenti di
business, alle funzioni di controllo e all'organo con funzione di
gestione, e previste verifiche periodiche per risolvere i conflitti
tra dati rilevati da fonti diverse;
g) i sistemi di classificazione e protezione dei dati da minacce
interne ed esterne, in conformita' con la vigente normativa sulla
privacy; l'accesso degli utenti ai dati classificati ad alta
riservatezza e' tracciato;
h) la verifica, almeno annuale, della conformita'
dell'operativita' aziendale con la politica di data governance,
orientata all'individuazione degli opportuni interventi e iniziative
di miglioramento dell'efficacia ed adeguatezza del sistema. Tali
verifiche possono comportare la revisione della presente politica,
ove necessaria;
i) per le imprese incluse in gruppi assicurativi, le procedure di
acquisizione dei dati della capogruppo dalle controllate e da ogni
altra dipendenza nonche' i controlli per assicurare l'integrazione
tra le informazioni provenienti da tutte le componenti del gruppo; la
politica di data governance delle singole imprese e' coerente con
quella di gruppo.
La politica di data governance e' coordinata con la politica
sulle informazioni da fornire all'IVASS e di informativa al pubblico
(c.d. reporting policy) di cui agli articoli 47-quater e 47-septies
del Codice e relative disposizioni di attuazione e con la politica
delle informazioni statistiche definita nelle disposizioni di
attuazione dell'art. 190-bis del Codice.
Politica in materia di requisiti di onorabilita', professionalita' e
indipendenza:
a) descrizione delle procedure per l'individuazione delle
posizioni di cui all'art. 76, comma 1-bis, del Codice, anche in caso
di esternalizzazione, e per la relativa notifica all'IVASS;
b) descrizione dei requisiti di professionalita', onorabilita' e
indipendenza in capo ai soggetti di cui all'art. 76, comma 1, del
Codice, anche in caso di esternalizzazione, al momento
dell'assunzione dell'incarico e nel continuo e delle relative
procedure di valutazione;
c) descrizione delle situazioni che comportano una nuova
valutazione dei requisiti di onorabilita', professionalita' e
indipendenza, tra le quali vanno almeno considerate le ipotesi in cui
sussistono ragioni per ritenere che:
v) un soggetto puo' indurre l'impresa ad agire in contrasto con
la normativa vigente;
vi) un soggetto puo' aumentare il rischio che siano commessi
reati finanziari;
vii) un soggetto puo' mettere in pericolo la sana e prudente
gestione dell'impresa.
d) descrizione dei requisiti di professionalita', onorabilita' e
indipendenza dell'ulteriore personale in grado di incidere in maniera
significativa sul profilo di rischio dell'impresa anche in caso di
esternalizzazione e delle relative procedure di valutazione al
momento dell'assunzione dell'incarico e nel continuo.
Politica di gestione del capitale
a) descrizione delle procedure atte a garantire che gli elementi
dei fondi propri, sia al momento dell'emissione che successivamente,
siano classificati, in coerenza con le disposizioni di cui al Titolo
III, Capo IV, Sezione II, del Codice, in base alle caratteristiche ed
ai livelli di cui agli articoli 71, 73, 75 e 77 degli atti delegati;
b) descrizione delle procedure per monitorare livello per livello
l'emissione di elementi dei fondi propri, secondo il piano di
gestione del capitale a medio termine e per assicurare, prima
dell'emissione di qualsiasi elemento dei fondi propri, l'osservanza
nel continuo dei criteri previsti per l'appartenenza al livello di
appartenenza;
c) descrizione delle procedure per monitorare che gli elementi
dei fondi propri non sono gravati dall'esistenza di accordi o di
operazioni connesse, o in conseguenza alla struttura di gruppo, che
ne compromettono l'efficacia come capitale;
d) descrizione delle procedure per garantire che le azioni
richieste o consentite in base alle disposizioni contrattuali,
legislative e regolamentari che disciplinano un elemento dei fondi
propri siano avviate e portate a termine in modo tempestivo;
e) descrizione delle procedure per garantire che gli elementi dei
fondi propri accessori possano essere, ed in effetti siano,
richiamati in modo tempestivo in caso di necessita';
f) descrizione delle procedure per individuare e documentare
eventuali accordi, atti legislativi o prodotti che danno origine a
fondi separati, e garantire che siano effettuati adeguati calcoli ed
aggiustamenti nella determinazione del Requisito Patrimoniale di
Solvibilita' e dei fondi propri;
g) descrizione delle procedure volte ad assicurare che le
condizioni contrattuali che disciplinano i fondi propri siano chiare
ed inequivocabili in relazione ai criteri di classificazione in
livelli;
h) descrizione delle procedure volte a garantire che qualsiasi
politica o dichiarazione concernente i dividendi spettanti alle
azioni ordinarie sia tenuta in considerazione sotto il profilo della
posizione del capitale e della valutazione dei dividendi prevedibili;
i) descrizione delle procedure volte a individuare e documentare
le situazioni in cui le distribuzioni degli elementi dei fondi propri
possono essere annullate o rinviate;
l) descrizione delle procedure per individuare, documentare e far
rispettare le circostanze in cui le distribuzioni relative a un
elemento dei fondi propri debbano essere differite o annullate in
conformita' degli articoli 71, paragrafo 1, lettera i), e 73,
paragrafo 1, lettera g) degli Atti delegati;
m) descrizione delle procedure per individuare in che misura
l'impresa si basa su elementi dei fondi propri soggetti alle misure
transitorie di cui all'art. 344-quinquies del Codice;
n) descrizione delle procedure per assicurare che la modalita'
con cui gli elementi dei fondi propri, soggetti a misure transitorie,
operano nei momenti di stress e, in particolare, le modalita' con cui
gli elementi assorbono le perdite sono valutate e, se necessario,
prese in considerazione nell'ambito della valutazione interna del
rischio e della solvibilita' di cui all'art. 30-ter del Codice e
relative disposizioni di attuazione;
o) individuazione di specifici limiti agli impegni e alle
garanzie fornite dall'impresa anche con riguardo a strumenti
considerati dall'impresa ricevente come fondi propri accessori,
insieme alla valutazione dell'impatto dell'eventuale realizzazione
degli impegni sugli elementi di fondi propri dell'impresa.
Politica di gestione dei rischi
a) definizione delle categorie di rischio, anche tenuto conto
della catalogazione di cui all'art. 19 del presente regolamento, e
delle metodologie per misurare i rischi;
b) definizione delle modalita' tramite cui l'impresa gestisce
ciascuna categoria di rischio significativo o area di rischio, e ogni
potenziale aggregazione di rischi;
c) descrizione della connessione con il fabbisogno di
solvibilita' globale, secondo quanto previsto dall'allegato 1 alle
disposizioni di attuazione dell'art. 30-ter del Codice in materia di
valutazione interna del rischio e della solvibilita';
d) specificazione dei limiti di tolleranza del rischio
all'interno di tutte le categorie di rischio rilevanti, in linea con
la propensione globale di rischio dell'impresa;
e) descrizione della frequenza e del contenuto degli stress test
eseguiti regolarmente e nelle situazioni particolari che richiedono
specifici stress test, nonche' di eventuali ulteriori analisi
quantitative;
f) ove venga applicato l'aggiustamento per la volatilita' di cui
all'art. 36-septies del Codice, definizione dei criteri di
applicazione di detto aggiustamento.
Per gli aspetti connessi con i rischi di sottoscrizione e di
riservazione
a) tipi e caratteristiche dell'attivita' di assicurazione (tipo
di rischio assicurativo che l'impresa intende assumere);
b) modalita' che si intendono seguire per garantire che la
raccolta dei premi sia adeguata a coprire i sinistri previsti e le
relative spese;
c) individuazione dei rischi derivanti dagli impegni assicurativi
dell'impresa compresi i valori garantiti di riscatto le opzioni
incorporate nei contratti;
d) il modo in cui l'impresa, nel processo di progettazione di un
nuovo prodotto assicurativo e del calcolo del relativo premio, tiene
conto delle limitazioni degli investimenti;
e) modalita' con cui l'impresa, nel processo di progettazione di
un nuovo prodotto assicurativo e del calcolo del relativo premio,
tiene conto della riassicurazione o di altre tecniche di mitigazione
del rischio e della loro efficacia.
Per gli aspetti connessi alla politica di gestione del rischio
operativo
a) individuazione dei rischi operativi, in particolare quelli
significativi, ai quali l'impresa e' o potrebbe essere esposta, e
valutazioni per attenuarli;
b) attivita' e processi interni per la gestione del rischio
operativo, compreso il sistema informatico di supporto;
c) limiti di tolleranza al rischio rispetto alle principali aree
di rischio operativo individuate.
Per gli aspetti connessi alla riassicurazione e alle altre tecniche
di attenuazione del rischio
a) l'individuazione del livello di trasferimento dei rischi
adeguato ai limiti di tolleranza al rischio definiti dall'impresa
stessa, nonche' la tipologia di accordi di riassicurazione piu'
adatti al profilo di rischio dell'impresa, con l'indicazione della
tipologia di riassicurazione prescelta ed in particolare
l'identificazione dei criteri per la definizione della percentuale di
cessione dei premi e dei rischi e del livello di ritenzione netta per
linee di attivita';
b) i principi e i criteri di selezione delle controparti
riassicurative, nonche' le procedure di valutazione e monitoraggio
della diversificazione e dell'affidabilita' creditizia delle stesse,
anche in considerazione della rilevanza delle transazioni. A tal
fine, sono individuati almeno i seguenti aspetti:
i) la struttura e la composizione dell'azionariato di
riferimento dei riassicuratori e la loro eventuale appartenenza ad un
gruppo od ad un conglomerato;
ii) la solidita' economico-patrimoniale e finanziaria dei
riassicuratori desunta dalle informative di natura quantitativa e
qualitativa rese al pubblico e da ulteriori informazioni disponibili
dai bilanci individuali e consolidati relativi all'ultimo triennio;
iii) il livello di rating attribuito da un soggetto terzo, con
indicazione della societa' che lo ha rilasciato, nonche', ove
disponibili, il merito di credito attribuito da una valutazione
autonoma del rischio e l'indice di solvibilita' del riassicuratore;
iv) il quadro normativo dello Stato nel quale ha sede il
riassicuratore, avuto particolare riguardo in particolare alle
giurisdizioni ritenute equivalenti dalla Commissione europea ai sensi
dell'art. 172, paragrafo 2, della direttiva Solvency II;
v) il grado del rischio di controparte dei riassicuratori su
base individuale e di gruppo;
vi) i limiti all'impegno complessivo, su base individuale e di
gruppo, a carico delle singole controparti, anche in relazione alla
durata dei rischi ceduti (affari long-tail).
c) le procedure di valutazione del trasferimento del rischio
effettivo, nonche' la considerazione del rischio di base;
d) la gestione della liquidita' atta ad affrontare eventuali
disallineamenti temporali tra liquidazioni dei sinistri e importi
recuperabili nei confronti di riassicuratori, dotandosi ove
necessario di idonee previsioni contrattuali;
e) le procedure di monitoraggio dell'eventuale ricorso alla
riassicurazione in facoltativo;
f) i criteri per l'eventuale ricorso a contratti di
riassicurazione non tradizionale, inclusi i contratti di
riassicurazione finanziaria o di riassicurazione finite;
g) i criteri e le procedure per l'eventuale ricorso a tecniche
alternative di mitigazione del rischio (ad es. SPV, strumenti
finanziari con componenti tecniche assicurative), con l'illustrazione
delle relative caratteristiche, nonche' i processi di valutazione e
monitoraggio delle relative posizioni contrattuali;
h) il grado di copertura prescelto per far fronte ai rischi
catastrofali.
Piano di emergenza rafforzato di un gruppo rilevante a fini di
stabilita' finanziaria di cui all'art. 83
a) una sintesi degli elementi essenziali del piano e delle
modifiche significative apportate rispetto all'approvazione
dell'ultimo piano di emergenza rafforzato di gruppo;
b) l'individuazione delle funzioni fondamentali o essenziali e
importanti a livello di gruppo, nonche' delle linee di business
principali con indicazione delle misure finalizzate al loro
mantenimento nelle situazioni di stress finanziario;
c) gli indicatori che identificano le situazioni in presenza
delle quali sono adottate le misure del piano rafforzato;
d) una descrizione dettagliata di:
i) le misure/interventi da adottarsi a livello di gruppo per
ripristinare la posizione finanziaria di una societa' del gruppo,
senza danneggiare la solidita' finanziaria del gruppo stesso;
ii) le modalita' tramite le quali, in seguito all'attuazione di
una misura di cui alla lettera i), il gruppo nel suo complesso e
qualsiasi societa' che ad esso appartiene continuano la propria
attivita' secondo un modello di business economicamente sostenibile;
iii) le modalita' tramite le quali sono assicurati il
coordinamento e la coerenza delle misure che devono essere adottate,
rispettivamente, a livello di ultima societa' controllante italiana o
di altre societa' del gruppo interessate dal piano rafforzato;
e) le necessarie forme di raccordo tra i processi del sistema di
Governo societario di gruppo e quelli del sistema di Governo
societario delle societa' del gruppo;
f) l'indicazione delle soluzioni idonee per superare:
i) gli ostacoli all'attuazione di misure di cui alla lettera
d)), punto i) all'interno del gruppo;
ii) i sostanziali ostacoli, di carattere pratico o giuridico,
all'immediato trasferimento di fondi propri o al rimborso di
passivita' o attivita' all'interno del gruppo;
g) misure preparatorie che l'ultima societa' controllante
italiana ha attuato o intende attuare al fine di agevolare
l'attuazione del piano di emergenza rafforzato di gruppo;
h) ulteriori azioni o strategie di gestione intese a ripristinare
la solidita' finanziaria del gruppo, nonche' gli effetti finanziari
previsti di tali azioni o strategie;
i) un piano di comunicazione ed informazione che delinea le
modalita' con le quali l'ultima societa' controllante italiana
intende gestire le eventuali reazioni potenzialmente negative del
mercato;
l) indicazioni riguardanti la gestione del rischio di liquidita',
che includano, su un arco temporale sufficientemente esteso, la
proiezione del fabbisogno di liquidita' e delle relative fonti
tenendo conto di scenari di difficolta' finanziaria e di grave stress
macroeconomico;
m) ogni altra ulteriore informazione richiesta dall'IVASS, in
esito alle verifiche effettuate, ad integrazione di quelle recate dal
piano rafforzato.
Politica di revisione interna
a) termini e condizioni alle quali la funzione di revisione
interna puo' essere chiamata ad esprimere un parere o a fornire
assistenza o a svolgere compiti speciali;
b) eventuali norme sulle procedure interne che il responsabile
della funzione deve seguire prima di informare l'IVASS;
c) eventuale indicazione di criteri di rotazione degli incarichi
assegnati al personale della funzione.
Politica di esternalizzazione e scelta dei fornitori
a) criteri e processi di individuazione delle attivita' da
esternalizzare applicabili nel continuo;
b) criteri che guidano il processo per la qualificazione delle
funzioni o delle attivita' come essenziali o importanti in aggiunta a
quanto previsto dall'art. 2, lettera c) del presente regolamento, ivi
inclusi quelli per i quali e' richiesta la preventiva autorizzazione
dell'organo amministrativo;
c) criteri di selezione dei fornitori, sotto il profilo della
professionalita', dell'onorabilita', dell'indipendenza, della
capacita' finanziaria e del rispetto delle autorizzazioni prescritte
dalla legge per l'esercizio delle funzioni o attivita'
esternalizzate;
d) c-bis) processo di verifica, di cui all'art. 62, commi 2 e 3,
da porre in essere preliminarmente alla conclusione del contratto;
metodi per la valutazione del livello dei risultati e delle
prestazioni del fornitore (service level agreement) e indicazione
della frequenza delle valutazioni;
e) indicazione delle informazioni dettagliate da includere
nell'accordo di esternalizzazione con il fornitore di servizi,
tenendo conto dei requisiti di cui all'art. 274 degli atti delegati;
in particolare, in tale ambito:
i) individuazione delle condizioni in presenza delle quali
viene consentito al fornitore di un servizio esternalizzato di
ricorrere alla sub-esternalizzazione, fatti salvi gli obblighi di
approvazione previsti dall'art. 5, comma 2, lettera m) del
regolamento;
f) riferimento al piano di emergenza dell'impresa di cui all'art.
19, commi 5 e 6 del presente regolamento, e alle relative procedure,
in cui sono incluse le strategie di uscita e di eventuale nuova
assegnazione in esternalizzazione, nei casi di esternalizzazioni di
funzioni e attivita' essenziali o importanti.