Di Vincenzo Giudice
Il countdown per Solvency II è iniziato e la marcia per allinearsi al nuovo sistema procede a tappe forzate. Per centrare l’obiettivo dell’adeguamento alle normative e gestire il processo non solo in termini difensivi ma come opportunità di creazione di valore, le imprese sono chiamate a sviluppare una visione d’insieme per valutare gli impatti sul business.
Uno dei perni su cui ruota la normativa si chiama Data Quality.
Troppo spesso percepita come aspetto prettamente tecnologico, la qualità del dato è un prerequisito essenziale in ogni processo di elaborazione delle informazioni.
Il convegno “Data Quality e Solvency II: l’impatto dell’identificazione, acquisizione e validazione dei dati” organizzato dal MIB School of Management di Trieste, unica scuola di formazione italiana e tra le poche al mondo ad aver ottenuto prestigiosi riconoscimenti come gli Accreditation Board di Amba (Association of Mbas) e di Epas (European Program Accreditation System), è stata l’occasione per riunire alcuni fra i principali esperti della materia.
Per Ylenia Cavallo, Risk Manager di Allianz Italia, “investire nel data quality porta benefici all’azienda” perché la gestione dei dati è una questione centrale. “Se non riusciamo a essere certi circa l’accuratezza, la completezza e l’adeguatezza dei dati come possiamo essere sicuri delle informazioni che derivano dai nostri modelli e che utilizziamo nelle scelte di business?”.
“Poiché sono molti i processi aziendali a fornire i dati che saranno poi utilizzati all’interno del modello adottato dalla compagnia – continua Cavallo – la data quality deve essere garantita in ogni processo e a ogni livello. I requisiti di qualità vanno applicati non solo a tutti i dati utilizzati nel modello interno, ma anche a quelli adoperati nella gestione e nello sviluppo delle scelte di business”.
Quindi, per garantire la data quality cosa occorre? “Stabilire processi e procedure delle informazioni; trattare i dati come un asset aziendale per gestirli in modo proattivo; rafforzare l’ambiente di controllo generale e definire, come prioritaria, la data quality governance”.
Insomma la gestione del dato chiama in causa un po’ tutti gli attori del sistema. “Per questo motivo – aggiunge Cavallo – non pensiamo a un unico responsabile della qualità del dato, ma piuttosto pensiamo a una staffetta dove il testimone è il dato che viene passato in diverse mani che diventano responsabili dal momento in cui lo ricevono in consegna fino a quando lo passano ad altri. Questa architettura ha il pregio di responsabilizzare tutte le persone coinvolte”.
Massimo Paltrinieri – Director Group ICT Coordinator di Assicurazioni Generali – aggiunge che “l’Information Technology è un fattore essenziale per ciascuno dei tre pilastri di Solvency II e per qualsiasi approccio adottato. La compagnia può infatti scegliere tra un metodo tattico o uno strategico. Sono due strade diverse che richiedono atteggiamenti differenti, dove la scelta di indirizzo strategico può comportare dei miglioramenti che si consolidano nel tempo”.
“Solvency II è la prima normativa a stabilire severi requisiti sulla qualità del dato”, ha detto Massimiliano Neri, Associate Director di Moody’s Analytics. “Questo richiede alle assicurazioni di definire una data qualità policy che fornisca una visione d’insieme sulle modalità di gestione della qualità dei dati adottata “.
Neri ha ricordato i risultati di una ricerca effettuata nel 2009, a crisi avviata da un anno, che individuava proprio nella qualità dei dati il principale ostacolo al miglioramento nella gestione dei rischi delle imprese. Ma andiamo con ordine: cosa si intende per dato? “L’informazione utilizzata nelle tecniche attuariali e statistiche per calcolare le riserve tecniche”. E come si valuta il dato? “Tre i criteri utilizzati: appropriatezza, completezza, accuratezza”, risponde Neri. Che aggiunge: “Il processo di valutazione va effettuato confrontando il dato con quelli provenienti da altre linee di business o relativi ad altri fattori di rischio. Questo determina controlli di qualità, credibili, che possono essere utilizzati nelle diverse fasi del processo decisionale”. “E’ del tutto inutile – aggiunge Neri – adottare modelli interni sofisticati se questi non vengono alimentati con dati di alta qualità”.
In generale, secondo Neri le compagnie italiane “non sono ancora preparate a compiere i requisiti di qualità dei dati richiesti dalla nuova normativa. Sostanzialmente per tre fattori: la funzione attuariale applica spesso l’expert judgement ai dati a disposizione per calcolare il best estimate; alcune compagnie hanno accumulato dati storici, anche per decenni. E, spesso ai fini dell’operatività quotidiana piuttosto che per il calcolo delle riserve tecniche. Infine, i sistemi IT delle compagnie sono spesso obsoleti, organizzati in “silos” appartenenti a dipartimenti diversi, con conseguente duplicazione dei dati e una certa incoerenza nei valori”.
“Solvency II ci porta a parlare della qualità dei dati – dice Stefano Bellandi, Partner di Ernst & Young – ma il data quality non è una novità epocale. E’ tutta la vita che siamo chiamati a prendere decisioni e riesce difficile immaginare che una compagnia possa accettare processi elaborativi o decisionali fondati su dati scadenti”.
Lo scenario normativo di riferimento, costituito da regolamento Isvap n.20 (art. 12) e Direttiva Solvency II porta alla certificazione della qualità del dato finalizzata a garantire alla compagnia un adeguato set informativo che consenta valutazioni corrette, efficaci ed efficienti.
Secondo Bellandi il management di alcune compagnie starebbe sottostimando i rischi e le problematiche connesse alla non corretta gestione della qualità del dato, sia in termini di struttura di governance che di base informativa. E in avvicinamento a Solvency II vede alcuni rischi: “Un errore da evitare è di attendere indicazioni di dettaglio, perché la normativa definisce le linee guida, ma lo sviluppo dei dettagli spetta ai singoli operatori. Inoltre, la normativa richiede la disponibilità di un nuovo set di dati e di una granularità, sia dal punto di vista degli attivi che da quello dei passivi, attualmente non richiesta alle compagnie. Ritenere esaustivi i modelli dati esistenti è quindi un secondo errore strategico. Ma ce ne sono altri: dal sottostimare le elaborazioni manuali degli utenti, all’optare per scenari di “quick wins”per costi e tempi di realizzo, fino all’esternalizzare competenze e sistemi a supporto. La responsabilità della data quality non è infatti gestibile in outsourcing presso fornitori esterni”.
In un contesto caratterizzato da un’architettura applicativa non chiara, poca documentazione sul contenuto e sulla modalità di costruzione del dato, moltissimi report incoerenti fra loro e innumerevoli datawarehouse senza logica di ricongiunzione, gli approcci possono essere diversi. La soluzione che propone Bellandi “si basa su un framework di riferimento che include expertise, benchmark e specifici asset (modelli dati, sistemi di reporting,ecc.) fortemente adattabili alle diverse necessità. Ogni compagnia ha la sua storia, le sue specificità ed è necessaria un’approfondita fase di analisi per poter tracciare un percorso complesso in tre fasi: definizione di un modello organizzativo e dei ruoli e delle responsabilità dei diversi attori della compagnia; definizione dei processi di data quality management sulla base dell’architettura target; ottimizzazione delle scelte e degli investimenti applicativi e tecnologici”.
Insomma, i cambiamenti introdotti da Solvency II sono profondi e gli sforzi di adattamento richiesti sono notevoli e faticosi. E questa è una certezza, così come è certo che in materia di data quality e gestione dei rischi la funzione attuariale diviene protagonista centrale. “Proprio per il suo ruolo intermedio fra business e governance – sostiene Alberto Lonza, dello Studio Attuariale Visintin & Associati – l’attuario non deve diventare un collo di bottiglia alla fluidità dei processi. La funzione attuariale e quella di risk management dovrebbero essere consultate in fase di ideazione e organizzazione dei processi operativi di business che alimentano i database gestionali della compagnia”.
“Le innovazioni in materia di misurazione e gestione dei rischi aziendali –conclude Lonza – sono una svolta culturale necessaria, ma devono tenere in considerazione le esigenze delle imprese con un corretto trade off fra precisione valutativa e finalità della valutazione stessa. A tale riguardo sono necessari standard operativi di mercato condivisi e contestualizzazione del principio di proporzionalità”.
Ma quali sono gli impatti della normativa per la funzione di internal audit? “Premesso che l’utilizzo di un approccio Risk Based Process – risponde Alessandro Busetti, Responsabile Revisione Interna delle Assicurazioni Generali – rende possibile sottoporre ad audit qualsiasi tipo di processo e consente quindi di assorbire tutte le novità e ogni cambiamento dello scenario di riferimento, la principale novità metodologica per la funzione di internal audit è l’allargamento del perimetro dei processi che potranno essere sottoposti ad audit che includeranno, ad esempio: data quality management process, Orsa process, internal model validation process. La normativa avrà anche impatti organizzativi con una maggiore centralità della funzione di IT audit, che rappresenta l’unica conoscenza specialistica richiesta a un internal auditor che dovrà piuttosto dimostrare competenze su analisi dei processi e aspetti organizzativi. In particolare, gli IT auditor dovrano effettuare interventi di audit sul data quality management finalizzati alla verifica del rispetto di completezza, accuratezza e appropriatezza dei dati. L’audit si concretizza infatti nella verifica del rispetto delle procedure previste sul data quality e negli automated testing (CAAT) che ripercorrono le modalità di produzione dei dati in oggetto di analisi”.