Da Solvency II al Regolamento 38: verso il governo dei dati

Nell’articolo Regolamento 38 e Data Governance: le nuove sfide per le compagnie assicurative abbiamo fatto il punto sull’importanza di una corretta gestione dei dati aziendali e sulle principali novità introdotte dal Regolamento 38: vediamo ora quali sono gli step per prepararsi alla sua entrata in vigore.

Sfruttare quanto già fatto

In merito all’esigenza di garantire la compliance con la regolamentazione, come accennato le compagnie hanno già in essere dei sistemi di Data Governance/Data Quality. Per questo, è prima di tutto opportuno acquisire consapevolezza di quanto già è stato fatto e come questo si inquadri in un più ampio scenario evolutivo di sfruttamento dei dati.

Ricordiamo che la data entro cui adeguare l’operatività aziendale alla politica di Data Governance è la fine del 2019. Fare leva su quanto già fatto dalle compagnie è un fattore critico di successo su cui andare a costruire, sebbene un programma maturo di Data Governance richieda una serie di aggiustamenti e maggiore strutturazione, da realizzare in modo graduale rispetto a un percorso di maturità complessiva.

Innanzitutto è necessario fare riferimento a quanto richiesto da Solvency II che, già da diversi anni, richiede alle compagnie di adottare un adeguato presidio di Data Governance/Data Quality.

Il percorso avviato dall’industria assicurativa per rispondere a questa normativa ha toccato i seguenti punti:

• definizione di ruoli e responsabilità nella gestione dei dati;
• definizione dei criteri di qualità dei dati;
• definizione delle procedure di immissione, conservazione, estrazione e aggregazione quali attività preliminari alla produzione dell’informazione;
• definizione dei processi di acquisizione dei dati da strutture esterne;
• definizione dei processi di controllo a fini di coerenza con i criteri di qualità.

Tuttavia, esistono altre normative che impattano sulla gestione dei dati aziendali o, per meglio dire, che sembrano dare per scontata l’esistenza di una Data Governance Enterprise efficace. Di seguito le principali:

IFRS 17 (International Financial Reporting Standard 17)

Il principio IFRS 17 per la contabilizzazione dei contratti assicurativi introduce l’utilizzazione di una metodologia «standardizzata» per la misurazione delle passività e il riconoscimento dei profitti: ciò ha imposto una gestione della complessità aziendale mediante una razionalizzazione del patrimonio informativo e l’evoluzione informativa attraverso strumenti in grado di «seguire» il dato (Data Lineage) dal momento della creazione, sino alla trasformazione/archiviazione/cancellazione, oltre a dover aver dati granulari di comprovata qualità.

GDPR (General Data Protection Regulation)

Del GDPR e dei suoi impatti si è parlato ampiamente negli ultimi mesi, e sicuramente le compagnie hanno iniziato un percorso volto a gestire tre aspetti fondamentali della gestione del dato:

• la riservatezza del dato, ossia la sicurezza contro i rischi connessi all’accesso o all’uso delle informazioni in forma non autorizzata (es. di classificazione: confidenziale, interna, pubblica);
• la privacy, ossia la tutela dei dati personali (sensibili e giudiziali in primis) come da D.Lgs. 196/03;
• l’indisponibilità, ossia il massimo periodo consentito di «carenza informativa» del dato (fondamentale per le strategie di Business Continuity e Disaster Recovery).

IDD (Insurance Distribution Directive)

L’IDD si inserisce nel contesto di sempre maggiore tutela del consumatore: la direttiva mira ad armonizzare le disposizioni in merito alla distribuzione assicurativa con lo scopo di garantire ai clienti lo stesso livello di tutela indipendentemente dal canale attraverso il quale effettuano l’acquisto e creare condizioni di parità tra i distributori. Il regolatore inoltre intende garantire una coerenza tra il prodotto e le esigenze dei clienti.

Per raggiungere tali scopi la Direttiva imporrà alle compagnie:

• accessibilità e controllo sui dati dei prodotti, caratteristiche fondamentali per garantire una puntuale reportistica di quelle informazioni/documenti (prodotti, schede tecniche, note informative) da comunicare ai clienti;
• accesso e maggiore analisi delle informazioni sui clienti, ossia il loro grado di conoscenza dei prodotti finanziari o, persino, la loro «posizione debitoria».

L’IDD impone alle compagnie una profonda conoscenza dei loro clienti e dei loro stessi prodotti: ciò si tradurrà in una più attenta raccolta delle informazioni dei clienti ma anche in una maggiore gestione dei dati di vendita del prodotto.

Se consideriamo le tipologie di dati sottostanti queste normative, si potrebbe essere tentati dall’affermare che trattano comunque tipologie di dati differenti.

Tuttavia, in ambito IDD sono fondamentalmente trattati i dati relativi ai clienti e alle loro posizioni (quindi, a titolo di esempio, gli incassi e i premi pagati). Con Solvency II, che in linea generale si focalizza su dati finanziari e di rischio, di fatto, anche i dati legati a incassi, premi, sinistri, ecc. sono rilevanti (ad esempio, per la simulazione dei flussi di cassa alla base della valorizzazione del rischio). Attraverso le informazioni gestite con Solvency II, in particolare i QRT, è possibile trarre conclusioni circa la gestione delle esigenze legate, ad esempio, alla gestione del rapporto con i clienti.

Gestione unica dei dati e fattori critici di successo

Come si può notare ci sono molti punti di contatto e sovrapposizione tra le normative quando si tratta di Data Governance ed è per questo che riunire tutti gli sforzi fatti per le singole normative sotto un’unica strategia può essere un percorso vincente per rispondere nel breve al Regolamento 38 e nel lungo periodo alle necessità competitive di Data Governance.

Si passa quindi da una gestione del dato effettuata singolarmente dalle diverse aree aziendali a una gestione aziendale e accentrata. Una visione del genere, naturalmente, può comportare degli impatti di natura organizzativa, legati alla necessità di raccordare le iniziative delle singole funzioni di business in una strategia unitaria. Questo permetterà di coordinare tutte le iniziative legate ai dati e aumentarne l’efficacia riducendo sovrapposizioni e sprechi.

Una struttura di Data Governance centralizzata diventa il motore di questa visione, nonché l’animatore di un network vivo che acquisirà una sempre crescente consapevolezza del dato e della sua importanza, valorizzandone con il tempo l’utilizzo.

Perché questo avvenga è necessario che sia definito un approccio end-to-end pragmatico e sostenibile, per garantire un bilanciamento ottimale, tempo per tempo, tra la complessità della macchina operativa di Data Governance e i benefici da essa derivanti. È necessario in particolare definire in modo accurato il corretto assetto per ciascuno dei seguenti elementi:

Per fare un esempio di questo equilibrio, prendiamo la componente “Organizzazione”. Un’attività essenziale è relativa alla definizione dei ruoli e delle responsabilità, attività già svolta per rispondere alle normative in essere (es. Regolamento IVASS n. 20). Sulla base dell’esperienza fatta, e tenendo conto della maggiore complessità introdotta dal Regolamento 38, è necessario rivederla in maniera critica e pragmatica per garantire un assetto operativo funzionante. Non esiste un assetto standard, ma l’assetto funzionale ottimale deve essere definito in relazione alle caratteristiche specifiche e al livello di maturità di ciascuna specifica organizzazione.

In conclusione, è oramai chiaro che non si può più prescindere dalla gestione dei propri dati per rispondere a esigenze normative, ma è altrettanto vero che un approccio strutturato diventa un fattore chiave a supporto delle esigenze di business. L’adozione di una Data Governance Enterprise, inquadrata in una più ampia Data Strategy, rappresenta un fattore differenziante delle aziende di successo di domani.

La redazione dell’articolo è stata curata da Andrea Scribano, Davide Pigozzi e Matteo Tortù.