Sistema di controllo interno e gestione dei rischi
Il sistema di controllo interno e di gestione dei rischi è costituito dall'insieme di regole, procedure e strutture aziendali che assicurano l'efficace funzionamento della Società e le consentono di identificare, valutare, misurare, gestire e monitorare i principali rischi a cui è esposta.
Il Sistema di Controllo e di Gestione dei Rischi (SCIGR) è un sistema integrato che coinvolge l'intera struttura organizzativa della Società e del Gruppo: al suo fuzionamento sono chiamati a contribuire, in modo coordinato e interdipendente, tanto gli organi sociali quanto le strutture aziendali.
Il Consiglio di Amministrazione è il primo attore del Sistema, avendo la responsabilità di definire le strategie e gli indirizzi in materia di controllo interno e di gestione dei rischi e di garantirne l'adeguatezza e la tenuta nel tempo, in termini di completezza, funzionalità ed efficacia. Presso la Società, gli altri attori sono: il Comitato Controllo e Rischi, il Comitato per le Remunerazioni, il Collegio Sindacale, l'Alta Direzione, i Comitati di Gestione dei Rischi, il Dirigente Preposto (nominato in ottemperanza a quanto previsto dall'art. 154-bis del TUF - Testo Unico della Finanza di cui al D.Lgs. 24 febbraio 1998, n. 58, modificato e integrato), i responsabili delle aree operative e le funzioni di controllo. Le società del Gruppo implementano un sistema di governance coerente.
Il sistema di gestione dei rischi normato nella Politica di Gruppo di gestione dei rischi, stabilisce i principi fondamentali e i requisiti minimi di processo per identificare, misurare, gestire, controllare e riportare i rischi attuali e prospettici che potrebbero derivare dalle attività svolte dal Gruppo Generali.
La Politica mira ad assicurare una gestione efficace dei rischi nell’ambito del Gruppo in coerenza con la propensione al rischio definita dal Consiglio di Amministrazione, sulla base del framework regolamentare Solvency II, come adottato da IVASS e altre Autorità Nazionali Europee Competenti.
Il sistema di gestione dei rischi del Gruppo deve essere adeguato al fine di mantenere un effettivo controllo sulle decisioni strategiche complessive del Gruppo e una gestione ponderata per ciascuna Società del Gruppo. È pertanto adottato il Risk Appetite Framework di Gruppo.
La Politica definisce anche i principi alla base del processo di Own Risk and Solvency Assessment (ORSA).
L’impianto di gestione dei rischi disciplinato dalla Politica è strutturato sulle seguenti quattro fasi del processo:
- identificazione dei rischi,
- misurazione dei rischi,
- gestione e monitoraggio dei rischi,
- reporting sui rischi (inclusa la valutazione ORSA).
L'ORSA è definita come l'insieme dei processi e procedure finalizzate all’identificazione, misurazione, monitoraggio, gestione e informativa dei rischi, in ottica attuale e prospettica, nonché del livello di fondi propri necessari per soddisfare i requisiti minimi di solvibilità di Gruppo.
Il Sistema di Controllo Interno e Gestione dei Rischi è fondato su tre linee di difesa, all'interno delle quali le funzioni aziendali di controllo hanno una chiara collocazione e svolgono ruoli ben definiti:
- i responsabili delle aree operative (risk owner) hanno la responsabilità di assicurare la corretta gestione dei rischi correlati alle attività svolte e di porre in essere adeguati presidi di controllo, nel rispetto dell'assetto organizzativo e degli indirizzi impartiti dal Group CEO, per garantire l'attuazione delle Politiche in materia di controlli interni e gestione dei rischi approvate dal Consiglio. I ruoli e le responsabilità di ciascuna unità organizzativa sono definiti nell'ambito del sistema di deleghe e poteri e delle Politiche approvate dal Consiglio;
- le funzioni di risk management, compliance, anti financial crime e actuarial rappresentano la seconda linea di difesa. Esse garantiscono il monitoraggio continuo dei rischi più significativi per l'attività aziendale e sono privi di compiti operativi. Le funzioni di controllo sono costituite in forma di specifiche unità organizzative e riportano direttamente al Consiglio di Amministrazione;
- group internal audit rappresenta la terza linea di difesa e garantisce il monitoraggio e la valutazione dell'efficacia e dell'efficienza del Sistema di Controllo Interno e di Gestione dei Rischi. Questa funzione si caratterizza per una spiccata indipendenza dal business e un elevato grado di autonomia: il responsabile della funzione non dipende gerarchicamente da alcun responsabile di aree operative e risponde direttamente al Consiglio di Amministrazione, con riporto diretto al suo Presidente.
Mappatura dei rischi
La Mappa dei rischi del Gruppo, essendo parte della Politica di Gruppo di gestione dei rischi, include i principali rischi di seguito elencati:
Rischi finanziari: guidati dalla volatilità dei prezzi degli investimenti in attività finanziarie. I rischi finanziari sono ulteriormente dettagliati in:
- rischio azionario che deriva dalle variazioni sfavorevoli nel valore di mercato delle attività o delle passività dovute alle fluttuazioni dei prezzi di mercato che possono condurre a perdite finanziarie;
- rischio di volatilità azionaria che deriva dalle fluttuazioni nella volatilità dei mercati;
- rischio di tasso di interesse, definito come il rischio di variazioni sfavorevoli del valore di mercato delle attività o delle passività dovute alle fluttuazioni dei tassi di interesse sul mercato;
- rischio immobiliare che deriva dalle variazioni del livello dei prezzi del mercato immobiliare;
- rischio di valuta che deriva dalle fluttuazioni dei tassi di cambio;
- rischio di concentrazione del portafoglio attivi a un numero limitato di controparti.
Rischi di credito: derivanti dagli investimenti finanziari e dai rischi legati ad altre controparti (come ad esempio: la riassicurazione, la cassa). I rischi di credito sono ulteriormente dettagliati in:
- rischio di ampliamento dello spread (c.d. spread widening risk) derivante da variazioni sfavorevoli del valore di mercato dei titoli di debito;
- rischio di default definito come il rischio di incorrere in perdite a causa dell’incapacità di una controparte di onorare i propri impegni finanziari.
Rischi sottoscrittivi vita: derivanti dal core business assicurativo del Gruppo nei segmenti vita e salute. I rischi sottoscrittivi vita sono ulteriormente dettagliati in:
- rischio di mortalità, definito come il rischio di perdita o di cambiamenti sfavorevoli nel valore delle passività assicurative derivanti da variazioni dei tassi di mortalità, nel caso in cui un aumento dei tassi di mortalità comporta un aumento nel valore delle passività assicurative. Il rischio di mortalità include anche il rischio di mortalità catastrofale, derivante dall’incertezza legata alle ipotesi utilizzate nel pricing e nella riservazione in caso di eventi estremi o irregolari;
- rischio di longevità, analogamente alla mortalità, è definito come il rischio derivante da variazioni dei tassi di mortalità, in cui una diminuzione del tasso di mortalità comporta un aumento del valore delle passività assicurative;
- rischio di disabilità e di morbilità, derivante da variazioni dei tassi di disabilità, malattia, morbilità e dei tassi di riattivazione;
- rischio di riscatto, definito come il rischio di perdita o di cambiamenti sfavorevoli nel valore delle passività assicurative, derivanti da variazioni inattese nell’esercizio delle opzioni da parte degli assicurati. Tali opzioni includono il diritto, parziale o totale, di recedere, terminare, limitare o sospendere la copertura assicurativa, e derivano dalle condizioni contrattuali o dalla normativa. Tale rischio considera anche eventi c.d. mass-lapse, relativi a riscatti di massa;
- rischio spese, derivante dall’incertezza legata ai costi sostenuti in relazione ai contratti di assicurazione o di riassicurazione;
- rischio malattia, riferito a variazioni nelle prestazioni malattia e include anche il rischio malattia collegato a eventi catastrofali.
Rischi sottoscrittivi danni: derivanti dalle attività assicurative del Gruppo nel segmento non vita. I rischi sottoscrittivi danni sono ulteriormente dettagliati in:
- rischi di tariffazione e catastrofali, derivanti dalla possibilità che i premi non siano sufficienti per coprire i futuri sinistri, anche in relazione ad eventi molto volatili e alle spese contrattuali;
- rischio di riservazione, riferito all’incertezza delle riserve sinistri (su un orizzonte temporale di un anno);
- rischio di riscatto non vita, derivante dall’incertezza legata agli utili, riconosciuti inizialmente nella riserva premi.
Rischi operativi: derivanti dalle perdite dovute all’inadeguatezza o dalla disfunzione di processi, risorse umane e sistemi, oppure da eventi esterni. Tale definizione ricomprende il rischio di mancata conformità alle norme (compliance risk) ed il rischio di non corretta rappresentazione delle voci di bilancio.
Rischio di liquidità: definito come l’incertezza, derivante dall’attività operativa, di investimento e di finanziamento relativa alla capacità del Gruppo e delle sue compagnie di far fronte agli impegni di cassa in misura piena e tempestiva, in un contesto di mercato attuale o stressato.
Tra gli altri rischi sono i rischi emergenti e di sostenibilità:
- Rischi emergenti: derivanti da nuovi rischi o rischi futuri, difficili da identificare, quantificare e sono di dimensioni tipicamente sistemiche. Tra questi si menzionano i trend ambientali e i cambiamenti climatici, i cambiamenti tecnologici e la digitalizzazione, gli sviluppi geopolitici e i cambiamenti demografici e sociali. Per saperne di più su questi rischi, fai riferimento all’Emerging Risks Booklet;
- Rischi di sostenibilità: correlati a un evento o una condizione di tipo ambientale, sociale o di governance che, se si verifica, potrebbe provocare un impatto negativo effettivo o potenziale sul valore dell’investimento o sul valore della passività