Regolamento 38 e Data Governance: le nuove sfide per le compagnie assicurative

I progressi compiuti dal digitale negli ultimi vent’anni hanno permesso cambiamenti nel modo di fare business di tantissime industrie. In questo contesto, il dato ha assunto un ruolo sempre più centrale, ed è oramai consolidata la convinzione che il dato sia “l’oro nero del secolo in corso”, per cui identificare e realizzare le modalità concrete con cui “estrarre” tale oro è diventato fondamentale.

Oltre a queste spinte di business, per cui si sta sviluppando passo dopo passo la maturità delle organizzazioni, è evidente la spinta a un’adeguata organizzazione del patrimonio informativo aziendale che nasce dalle normative e regolamentazioni più recenti (ad esempio Regolamento IVASS n. 38/2018, IDD, IFRS 17, GDPR).

Come emerge dalla CIO Survey 2018, condotta da NetConsulting cube e promossa da Capgemini Italia, la principale voce di investimento per i CIO nel 2018 è stata quella per Cybersecurity e GDPR: più del 90% degli intervistati ha infatti avviato almeno un’attività in ambito GDPR, quasi il doppio di quelli del 2017.

La CIO Survey 2018 ci dice anche che nel 2018 oltre il 50% degli intervistati ha avviato progetti di Big Data, una percentuale che era poco più del 20% nel 2017. L’alta necessità delle compagnie di prendere decisioni in modo tempestivo ed efficace si traduce in una rafforzata attenzione verso la qualità dei dati e gli eventuali costi e rischi derivanti da un cattivo controllo degli stessi. Dal World Insurance Report 2018 di Capgemini ed Efma emerge che oltre il 63% degli executive intervistati crede che l’assicurazione del futuro per poter competere dovrà integrare e gestire le numerose fonti di dati oggi disponibili (smartphone, pc, black box, wearable, etc.).

Non a caso, il Regolamento IVASS n. 38/2018 mira a disciplinare la gestione del dato come parte integrante del più ampio sistema di governo societario, del sistema dei controlli interni e della gestione del rischio.

È evidente che le compagnie non partono da zero. Infatti, già il Regolamento 20/2008, a seguito del Provvedimento IVASS n. 17 del 2014, aveva favorito l’adozione di approcci di data quality da parte delle compagnie assicurative, in linea con quanto stabilito dalla Direttiva Europea Solvency.

Verso una maggiore sicurezza e gestione dei dati

Le nuove disposizioni del Regolamento 38 non rappresentano quindi una vera e propria novità, ma ampliano quanto già predisposto dalle precedenti normative.

Con particolare riferimento alla gestione del dato, vengono confermate gran parte delle disposizioni già introdotte dal Regolamento 20 su temi come:

• Flussi informativi e canali di comunicazione: di fatto è confermata interamente la formulazione del Regolamento 20, infatti le imprese devono possedere informazioni contabili e gestionali che garantiscano adeguati processi decisionali e consentano di definire e valutare se siano stati raggiunti gli obiettivi strategici fissati dall’organo amministrativo;
• Sistema di gestione dei dati: è confermata l’esigenza di tracciabilità e ricostruibilità delle attività sui dati svolte;
• Produzione dati e informazioni ai fini della vigilanza sul gruppo assicurativo;
• Sicurezza dei sistemi informatici: vengono stabilite procedure che assicurino la continuità dei processi aziendali, l’organo amministrativo approva inoltre un piano strategico ICT;
• Operazioni straordinarie: confermata l’esigenza di predisporre un piano di integrazione dei sistemi informatici, a fronte di operazioni straordinarie che includono anche le operazioni di scissione aziendale o di trasferimento di portafoglio.

Si amplia però il perimetro di analisi, rafforzando la governance del processo di produzione delle informazioni aziendali e si introduce la necessità di gestione della cybersecurity.

Tale evoluzione si manifesta nella richiesta di redazione di una politica di Data Governance che suggerisce un approccio più organico, rispetto a quanto già previsto dal Regolamento 20. Tra le novità che a nostro avviso sono più significative e che richiedono attenzione, possiamo segnalare, ad esempio:

• Un perimetro di applicazione estremamente ampio, richiamando “tutte le operazioni aziendali e per produrre informazioni complete e aggiornate sulle attività aziendali e sull’evoluzione dei rischi, incluse le procedure per la segnalazione dei dati e delle informazioni all’IVASS”;
• La formalizzazione del ruolo di responsabile della completezza, adeguatezza (in termini di efficacia ed efficienza) e affidabilità dei processi di trattamento dei dati quale l’organo di gestione o, su sua delega, il CDO (o un suo equivalente) e/o le funzioni responsabili della qualità dei dati;
• La necessità di documentare in maniera sistematica per eventuali audit e garantire la tracciabilità, responsabilità incluse, di:
  • processi e procedure di acquisizione, registrazione e reporting dei dati
  • ciclo di vita del dato documentato in generale, e tracciato per i dati critici
  • sistemi di classificazione e protezione dei dati da minacce interne ed esterne (cfr. GDPR, Cybersecurity)

Gestione dei dati come vantaggio competitivo

Sebbene l’adozione di un dispositivo di Data Governance rappresenti inizialmente un importante investimento, tenendo conto delle spinte all’innovazione e all’adozione di soluzioni di business di natura data driven, il nuovo quadro normativo merita di essere letto come una straordinaria opportunità per razionalizzare e sfruttare quanto già definito e implementato dalle assicurazioni per l’adeguamento a Solvency II e costruirci sopra un percorso evolutivo in ottica Enterprise che consenta di liberare i vantaggi tipici della gestione organizzata dei dati.

La compagnia potrà infatti sfruttare tale occasione per ottimizzare i processi di gestione dei dati e aumentare la trasparenza e la velocità di esecuzione decisionale. In un periodo di grande attenzione da parte dei regolatori e dei clienti verso la gestione dei dati, si pensi alle recenti normative GDPR e IDD, poter gestire in maniera efficiente la mole di informazioni a disposizione può costituire un vantaggio competitivo sempre maggiore, se opportunamente disegnato.

La conoscenza dei dati aziendali diventa infatti elemento fondamentale alla base della piena valorizzazione del patrimonio informativo aziendale. Attraverso l’adozione di una Data Governance intesa nel senso più stretto di governo dei dati si porterebbe a una diminuzione di aleatorietà e incertezza su un gran numero di decisioni strategiche e manageriali: decisioni basate su dati consistenti sono infatti più facilmente analizzabili e condivisibili all’interno dell’azienda e di conseguenze più efficaci ed efficienti. Questo approccio è, per così dire, minimale, nello sfruttamento del patrimonio informativo aziendale. Tuttavia, l’opportunità sottostante è tanto più significativa, quanto più si valuteranno opzioni di evoluzione della strategia del dato (Data Strategy) integrate nella strategia di business aziendale.

Da Process Driven a Data Driven Enterprise: come si stanno attivando le società

La redazione dell’articolo è stata curata da Andrea Scribano, Davide Pigozzi e Matteo Tortù.