Allegato 1 Documento sulle politiche di indirizzo - contenuto minimo Ciascuna politica definita dall'organo amministrativo illustra con chiarezza quantomeno: gli obiettivi perseguiti dalla politica; i compiti da svolgere e il responsabile di tali compiti; i processi e le procedure di segnalazione da applicare; l'obbligo delle unita' organizzative interessate di comunicare alle funzioni fondamentali, per gli aspetti di rispettiva competenza, qualsiasi fatto rilevante per l'adempimento dei rispettivi doveri. Di seguito vengono indicati i contenuti minimali richiesti nelle politiche d'indirizzo definite dall'organo amministrativo, da declinarsi con un livello di dettaglio adeguato alla natura, alla portata e alla complessita' dell'attivita' aziendale: Politica di data governance a) gli obiettivi perseguiti dalla politica; b) i processi e le procedure utilizzati per la acquisizione, registrazione e reporting dei dati utilizzati per tracciare tempestivamente tutte le operazioni aziendali e per produrre informazioni complete e aggiornate sulle attivita' aziendali e sull'evoluzione dei rischi, incluse le procedure per la segnalazione dei dati e delle informazioni all'IVASS; c) i ruoli, le funzioni e le responsabilita' coinvolte nella gestione dei dati; in particolare: i) l'organo amministrativo approva i processi di qualita' e trattamento dei dati e riceve una informativa almeno annuale circa la conformita' dell'operativita' aziendale alla presente politica; ii) l'organo con funzione di gestione o, su sua delega, il CDO (chief data officier) e/o le funzioni responsabili della qualita' dei dati, assicurano la completezza, l'adeguatezza (in termini di efficacia ed efficienza) e l'affidabilita' dei processi di trattamento dei dati; iii) le funzioni coinvolte nell'utilizzo e nel trattamento a fini operativi e gestionali delle informazioni aziendali (data owner) promuovono, di norma con cadenza annuale, le opportune iniziative informatiche, verificandone la coerenza con le esigenze di trattamento del dato espresse dalle linee di business e tenuto conto delle strategie aziendali; iv) la revisione interna verifica i processi di qualita' e trattamento dei dati e la coerenza, a campione, dei dati aggregati (ad es. a fini di risk management o business intelligence) con le operazioni archiviate nei sistemi gestionali; d) l'elenco delle fonti - inclusi i processi di acquisizione di dati da information provider esterni - e delle procedure di aggregazione e trasformazione del dato, con indicazione delle metodologie di valutazione adottate; l'intero ciclo di vita del dato, dalle procedure di estrazione, trasformazione, controllo e caricamento negli archivi accentrati, alla gestione dei metadati e dei reference data, sino alle funzioni di sfruttamento, e' documentato e, per i dati critici, tracciato; sono previste le circostanze in cui e' ammessa l'immissione o la rettifica manuale di dati aziendali; e) il livello di granularita' per la conservazione dei dati, adeguato a consentire le diverse analisi e aggregazioni richieste dalle procedure di sfruttamento e di reporting all'interno dell'impresa, all'autorita' di vigilanza e al mercato; f) i controlli per assicurare nel continuo e misurare la qualita' dei dati, con riferimento all'integrita', alla completezza e alla correttezza, inclusi i presidi per l'adempimento puntuale degli obblighi informativi verso l'IVASS; possono essere definiti i key quality indicator da riportare periodicamente agli utenti di business, alle funzioni di controllo e all'organo con funzione di gestione, e previste verifiche periodiche per risolvere i conflitti tra dati rilevati da fonti diverse; g) i sistemi di classificazione e protezione dei dati da minacce interne ed esterne, in conformita' con la vigente normativa sulla privacy; l'accesso degli utenti ai dati classificati ad alta riservatezza e' tracciato; h) la verifica, almeno annuale, della conformita' dell'operativita' aziendale con la politica di data governance, orientata all'individuazione degli opportuni interventi e iniziative di miglioramento dell'efficacia ed adeguatezza del sistema. Tali verifiche possono comportare la revisione della presente politica, ove necessaria; i) per le imprese incluse in gruppi assicurativi, le procedure di acquisizione dei dati della capogruppo dalle controllate e da ogni altra dipendenza nonche' i controlli per assicurare l'integrazione tra le informazioni provenienti da tutte le componenti del gruppo; la politica di data governance delle singole imprese e' coerente con quella di gruppo. La politica di data governance e' coordinata con la politica sulle informazioni da fornire all'IVASS e di informativa al pubblico (c.d. reporting policy) di cui agli articoli 47-quater e 47-septies del Codice e relative disposizioni di attuazione e con la politica delle informazioni statistiche definita nelle disposizioni di attuazione dell'art. 190-bis del Codice. Politica in materia di requisiti di onorabilita', professionalita' e indipendenza: a) descrizione delle procedure per l'individuazione delle posizioni di cui all'art. 76, comma 1-bis, del Codice, anche in caso di esternalizzazione, e per la relativa notifica all'IVASS; b) descrizione dei requisiti di professionalita', onorabilita' e indipendenza in capo ai soggetti di cui all'art. 76, comma 1, del Codice, anche in caso di esternalizzazione, al momento dell'assunzione dell'incarico e nel continuo e delle relative procedure di valutazione; c) descrizione delle situazioni che comportano una nuova valutazione dei requisiti di onorabilita', professionalita' e indipendenza, tra le quali vanno almeno considerate le ipotesi in cui sussistono ragioni per ritenere che: v) un soggetto puo' indurre l'impresa ad agire in contrasto con la normativa vigente; vi) un soggetto puo' aumentare il rischio che siano commessi reati finanziari; vii) un soggetto puo' mettere in pericolo la sana e prudente gestione dell'impresa. d) descrizione dei requisiti di professionalita', onorabilita' e indipendenza dell'ulteriore personale in grado di incidere in maniera significativa sul profilo di rischio dell'impresa anche in caso di esternalizzazione e delle relative procedure di valutazione al momento dell'assunzione dell'incarico e nel continuo. Politica di gestione del capitale a) descrizione delle procedure atte a garantire che gli elementi dei fondi propri, sia al momento dell'emissione che successivamente, siano classificati, in coerenza con le disposizioni di cui al Titolo III, Capo IV, Sezione II, del Codice, in base alle caratteristiche ed ai livelli di cui agli articoli 71, 73, 75 e 77 degli atti delegati; b) descrizione delle procedure per monitorare livello per livello l'emissione di elementi dei fondi propri, secondo il piano di gestione del capitale a medio termine e per assicurare, prima dell'emissione di qualsiasi elemento dei fondi propri, l'osservanza nel continuo dei criteri previsti per l'appartenenza al livello di appartenenza; c) descrizione delle procedure per monitorare che gli elementi dei fondi propri non sono gravati dall'esistenza di accordi o di operazioni connesse, o in conseguenza alla struttura di gruppo, che ne compromettono l'efficacia come capitale; d) descrizione delle procedure per garantire che le azioni richieste o consentite in base alle disposizioni contrattuali, legislative e regolamentari che disciplinano un elemento dei fondi propri siano avviate e portate a termine in modo tempestivo; e) descrizione delle procedure per garantire che gli elementi dei fondi propri accessori possano essere, ed in effetti siano, richiamati in modo tempestivo in caso di necessita'; f) descrizione delle procedure per individuare e documentare eventuali accordi, atti legislativi o prodotti che danno origine a fondi separati, e garantire che siano effettuati adeguati calcoli ed aggiustamenti nella determinazione del Requisito Patrimoniale di Solvibilita' e dei fondi propri; g) descrizione delle procedure volte ad assicurare che le condizioni contrattuali che disciplinano i fondi propri siano chiare ed inequivocabili in relazione ai criteri di classificazione in livelli; h) descrizione delle procedure volte a garantire che qualsiasi politica o dichiarazione concernente i dividendi spettanti alle azioni ordinarie sia tenuta in considerazione sotto il profilo della posizione del capitale e della valutazione dei dividendi prevedibili; i) descrizione delle procedure volte a individuare e documentare le situazioni in cui le distribuzioni degli elementi dei fondi propri possono essere annullate o rinviate; l) descrizione delle procedure per individuare, documentare e far rispettare le circostanze in cui le distribuzioni relative a un elemento dei fondi propri debbano essere differite o annullate in conformita' degli articoli 71, paragrafo 1, lettera i), e 73, paragrafo 1, lettera g) degli Atti delegati; m) descrizione delle procedure per individuare in che misura l'impresa si basa su elementi dei fondi propri soggetti alle misure transitorie di cui all'art. 344-quinquies del Codice; n) descrizione delle procedure per assicurare che la modalita' con cui gli elementi dei fondi propri, soggetti a misure transitorie, operano nei momenti di stress e, in particolare, le modalita' con cui gli elementi assorbono le perdite sono valutate e, se necessario, prese in considerazione nell'ambito della valutazione interna del rischio e della solvibilita' di cui all'art. 30-ter del Codice e relative disposizioni di attuazione; o) individuazione di specifici limiti agli impegni e alle garanzie fornite dall'impresa anche con riguardo a strumenti considerati dall'impresa ricevente come fondi propri accessori, insieme alla valutazione dell'impatto dell'eventuale realizzazione degli impegni sugli elementi di fondi propri dell'impresa. Politica di gestione dei rischi a) definizione delle categorie di rischio, anche tenuto conto della catalogazione di cui all'art. 19 del presente regolamento, e delle metodologie per misurare i rischi; b) definizione delle modalita' tramite cui l'impresa gestisce ciascuna categoria di rischio significativo o area di rischio, e ogni potenziale aggregazione di rischi; c) descrizione della connessione con il fabbisogno di solvibilita' globale, secondo quanto previsto dall'allegato 1 alle disposizioni di attuazione dell'art. 30-ter del Codice in materia di valutazione interna del rischio e della solvibilita'; d) specificazione dei limiti di tolleranza del rischio all'interno di tutte le categorie di rischio rilevanti, in linea con la propensione globale di rischio dell'impresa; e) descrizione della frequenza e del contenuto degli stress test eseguiti regolarmente e nelle situazioni particolari che richiedono specifici stress test, nonche' di eventuali ulteriori analisi quantitative; f) ove venga applicato l'aggiustamento per la volatilita' di cui all'art. 36-septies del Codice, definizione dei criteri di applicazione di detto aggiustamento. Per gli aspetti connessi con i rischi di sottoscrizione e di riservazione a) tipi e caratteristiche dell'attivita' di assicurazione (tipo di rischio assicurativo che l'impresa intende assumere); b) modalita' che si intendono seguire per garantire che la raccolta dei premi sia adeguata a coprire i sinistri previsti e le relative spese; c) individuazione dei rischi derivanti dagli impegni assicurativi dell'impresa compresi i valori garantiti di riscatto le opzioni incorporate nei contratti; d) il modo in cui l'impresa, nel processo di progettazione di un nuovo prodotto assicurativo e del calcolo del relativo premio, tiene conto delle limitazioni degli investimenti; e) modalita' con cui l'impresa, nel processo di progettazione di un nuovo prodotto assicurativo e del calcolo del relativo premio, tiene conto della riassicurazione o di altre tecniche di mitigazione del rischio e della loro efficacia. Per gli aspetti connessi alla politica di gestione del rischio operativo a) individuazione dei rischi operativi, in particolare quelli significativi, ai quali l'impresa e' o potrebbe essere esposta, e valutazioni per attenuarli; b) attivita' e processi interni per la gestione del rischio operativo, compreso il sistema informatico di supporto; c) limiti di tolleranza al rischio rispetto alle principali aree di rischio operativo individuate. Per gli aspetti connessi alla riassicurazione e alle altre tecniche di attenuazione del rischio a) l'individuazione del livello di trasferimento dei rischi adeguato ai limiti di tolleranza al rischio definiti dall'impresa stessa, nonche' la tipologia di accordi di riassicurazione piu' adatti al profilo di rischio dell'impresa, con l'indicazione della tipologia di riassicurazione prescelta ed in particolare l'identificazione dei criteri per la definizione della percentuale di cessione dei premi e dei rischi e del livello di ritenzione netta per linee di attivita'; b) i principi e i criteri di selezione delle controparti riassicurative, nonche' le procedure di valutazione e monitoraggio della diversificazione e dell'affidabilita' creditizia delle stesse, anche in considerazione della rilevanza delle transazioni. A tal fine, sono individuati almeno i seguenti aspetti: i) la struttura e la composizione dell'azionariato di riferimento dei riassicuratori e la loro eventuale appartenenza ad un gruppo od ad un conglomerato; ii) la solidita' economico-patrimoniale e finanziaria dei riassicuratori desunta dalle informative di natura quantitativa e qualitativa rese al pubblico e da ulteriori informazioni disponibili dai bilanci individuali e consolidati relativi all'ultimo triennio; iii) il livello di rating attribuito da un soggetto terzo, con indicazione della societa' che lo ha rilasciato, nonche', ove disponibili, il merito di credito attribuito da una valutazione autonoma del rischio e l'indice di solvibilita' del riassicuratore; iv) il quadro normativo dello Stato nel quale ha sede il riassicuratore, avuto particolare riguardo in particolare alle giurisdizioni ritenute equivalenti dalla Commissione europea ai sensi dell'art. 172, paragrafo 2, della direttiva Solvency II; v) il grado del rischio di controparte dei riassicuratori su base individuale e di gruppo; vi) i limiti all'impegno complessivo, su base individuale e di gruppo, a carico delle singole controparti, anche in relazione alla durata dei rischi ceduti (affari long-tail). c) le procedure di valutazione del trasferimento del rischio effettivo, nonche' la considerazione del rischio di base; d) la gestione della liquidita' atta ad affrontare eventuali disallineamenti temporali tra liquidazioni dei sinistri e importi recuperabili nei confronti di riassicuratori, dotandosi ove necessario di idonee previsioni contrattuali; e) le procedure di monitoraggio dell'eventuale ricorso alla riassicurazione in facoltativo; f) i criteri per l'eventuale ricorso a contratti di riassicurazione non tradizionale, inclusi i contratti di riassicurazione finanziaria o di riassicurazione finite; g) i criteri e le procedure per l'eventuale ricorso a tecniche alternative di mitigazione del rischio (ad es. SPV, strumenti finanziari con componenti tecniche assicurative), con l'illustrazione delle relative caratteristiche, nonche' i processi di valutazione e monitoraggio delle relative posizioni contrattuali; h) il grado di copertura prescelto per far fronte ai rischi catastrofali. Piano di emergenza rafforzato di un gruppo rilevante a fini di stabilita' finanziaria di cui all'art. 83 a) una sintesi degli elementi essenziali del piano e delle modifiche significative apportate rispetto all'approvazione dell'ultimo piano di emergenza rafforzato di gruppo; b) l'individuazione delle funzioni fondamentali o essenziali e importanti a livello di gruppo, nonche' delle linee di business principali con indicazione delle misure finalizzate al loro mantenimento nelle situazioni di stress finanziario; c) gli indicatori che identificano le situazioni in presenza delle quali sono adottate le misure del piano rafforzato; d) una descrizione dettagliata di: i) le misure/interventi da adottarsi a livello di gruppo per ripristinare la posizione finanziaria di una societa' del gruppo, senza danneggiare la solidita' finanziaria del gruppo stesso; ii) le modalita' tramite le quali, in seguito all'attuazione di una misura di cui alla lettera i), il gruppo nel suo complesso e qualsiasi societa' che ad esso appartiene continuano la propria attivita' secondo un modello di business economicamente sostenibile; iii) le modalita' tramite le quali sono assicurati il coordinamento e la coerenza delle misure che devono essere adottate, rispettivamente, a livello di ultima societa' controllante italiana o di altre societa' del gruppo interessate dal piano rafforzato; e) le necessarie forme di raccordo tra i processi del sistema di Governo societario di gruppo e quelli del sistema di Governo societario delle societa' del gruppo; f) l'indicazione delle soluzioni idonee per superare: i) gli ostacoli all'attuazione di misure di cui alla lettera d)), punto i) all'interno del gruppo; ii) i sostanziali ostacoli, di carattere pratico o giuridico, all'immediato trasferimento di fondi propri o al rimborso di passivita' o attivita' all'interno del gruppo; g) misure preparatorie che l'ultima societa' controllante italiana ha attuato o intende attuare al fine di agevolare l'attuazione del piano di emergenza rafforzato di gruppo; h) ulteriori azioni o strategie di gestione intese a ripristinare la solidita' finanziaria del gruppo, nonche' gli effetti finanziari previsti di tali azioni o strategie; i) un piano di comunicazione ed informazione che delinea le modalita' con le quali l'ultima societa' controllante italiana intende gestire le eventuali reazioni potenzialmente negative del mercato; l) indicazioni riguardanti la gestione del rischio di liquidita', che includano, su un arco temporale sufficientemente esteso, la proiezione del fabbisogno di liquidita' e delle relative fonti tenendo conto di scenari di difficolta' finanziaria e di grave stress macroeconomico; m) ogni altra ulteriore informazione richiesta dall'IVASS, in esito alle verifiche effettuate, ad integrazione di quelle recate dal piano rafforzato. Politica di revisione interna a) termini e condizioni alle quali la funzione di revisione interna puo' essere chiamata ad esprimere un parere o a fornire assistenza o a svolgere compiti speciali; b) eventuali norme sulle procedure interne che il responsabile della funzione deve seguire prima di informare l'IVASS; c) eventuale indicazione di criteri di rotazione degli incarichi assegnati al personale della funzione. Politica di esternalizzazione e scelta dei fornitori a) criteri e processi di individuazione delle attivita' da esternalizzare applicabili nel continuo; b) criteri che guidano il processo per la qualificazione delle funzioni o delle attivita' come essenziali o importanti in aggiunta a quanto previsto dall'art. 2, lettera c) del presente regolamento, ivi inclusi quelli per i quali e' richiesta la preventiva autorizzazione dell'organo amministrativo; c) criteri di selezione dei fornitori, sotto il profilo della professionalita', dell'onorabilita', dell'indipendenza, della capacita' finanziaria e del rispetto delle autorizzazioni prescritte dalla legge per l'esercizio delle funzioni o attivita' esternalizzate; d) c-bis) processo di verifica, di cui all'art. 62, commi 2 e 3, da porre in essere preliminarmente alla conclusione del contratto; metodi per la valutazione del livello dei risultati e delle prestazioni del fornitore (service level agreement) e indicazione della frequenza delle valutazioni; e) indicazione delle informazioni dettagliate da includere nell'accordo di esternalizzazione con il fornitore di servizi, tenendo conto dei requisiti di cui all'art. 274 degli atti delegati; in particolare, in tale ambito: i) individuazione delle condizioni in presenza delle quali viene consentito al fornitore di un servizio esternalizzato di ricorrere alla sub-esternalizzazione, fatti salvi gli obblighi di approvazione previsti dall'art. 5, comma 2, lettera m) del regolamento; f) riferimento al piano di emergenza dell'impresa di cui all'art. 19, commi 5 e 6 del presente regolamento, e alle relative procedure, in cui sono incluse le strategie di uscita e di eventuale nuova assegnazione in esternalizzazione, nei casi di esternalizzazioni di funzioni e attivita' essenziali o importanti.