1. Introduzione
Nell’ambito delle misure di Secondo Pilastro di Solvency II (o la “Direttiva”), il sistema di gestione dei dati delle imprese, volto ad assicurarne l’intrinseca “qualità”, assume un rilievo centrale sotto i profili della corretta rappresentazione dei fatti di gestione e dei relativi rischi: (i) all’interno dell’azienda; (ii) verso gli aventi diritto; (iii) rispetto al mercato; e (iv) nei confronti dell’autorità.
Da un’analisi testuale, la Direttiva parrebbe circoscrivere la rilevanza della data quality (in termini di appropriatezza, completezza e accuratezza) al calcolo delle riserve tecniche[1].
In sede di recepimento della Direttiva nell’ordinamento nazionale e d’implementazione da parte dell’IVASS, nonché alla luce della prassi seguita dagli operatori, l’ambito di applicazione dell’istituto si è tuttavia notevolmente dilatato.
In particolare, le nuove disposizioni del Codice delle Assicurazioni Private (“CAP”) e le relative disposizioni attuative del Regolamento ISVAP n. 20/2008 (“Regolamento n. 20”)[2], definiscono, seppur in ambiti non sempre coincidenti, un quadro oggi organico per quanto attiene alla data governance e alla data quality.
2. Distinzione tra “dato” e “informazione”
Prima ancora di approfondire quali siano i presidi della “qualità” del dato, occorre distinguere il “dato” dall’“informazione”: l’art. 190 CAP non individua espressamente le relative nozioni, né impiega i sostantivi come sinonimi[3].
Il punto viene chiarito da quanto previsto dal Regolamento n. 20.
In particolare, in tale sede si evidenzia come: (i) il dato configuri la fonte dell’informazione[4]; e (ii) l’informazione ne rappresenti il contenuto per il destinatario dell’informativa (l’impresa, l’autorità, gli aventi diritto, ed il mercato)[5].
l’IVASS ha ripreso i principi di accuratezza, completezza, tempestività, coerenza, trasparenza e pertinenza cui devono ambire le informazioni[6], intese nel senso precisato sopra, in modo da garantire adeguati processi decisionali.
Dal rapporto tra dato ed informazione, che presuppone e rappresenta il dato, consegue che quanto è maggiore la qualità dei dati da cui originano le informazioni, tanto più queste ultime saranno conformi a detti principi e, da un lato, i processi gestionali dell’impresa assicurativa saranno adeguati (art. 2381, commi 3 e 5, c.c.), mentre dall’altro il top management potrà agire in modo informato (art. 2381, co. 6, c.c.).
Da qui l’esigenza che le imprese sviluppino sistemi e processi di governo, nell’ambito di una policy volta ad assicurare la qualità dei dati.
3. I presidi di data governance
In sede di recepimento della Direttiva, IVASS ha introdotto l’art. 12-bis al Regolamento n. 20 che prescrive l’adozione di un sistema di gestione dei dati in grado di assicurare continuativamente “l’integrità, la completezza e la correttezza dei dati conservati e delle informazioni rappresentate”.
Ciascuna impresa è quindi tenuta a definire una data governance, disciplinata in apposita politica, approvata dall’organo amministrativo.
Nello specifico, tale “sistema di gestione dei dati” individua: (i) i ruoli e le responsabilità ripartite all’interno del sistema di gestione dei dati (con particolare riguardo al data quality manager e all’eventuale comitato operativo di data quality); (ii) i dati rientranti nel perimetro di applicazione del sistema e della data quality policy – esteso rispetto alla Direttiva, come anticipato[7]; (iii) i criteri di qualità[8], (iv) le procedure di immissione, conservazione, estrazione e aggregazione, quali attività preliminari alla produzione dell’informazione; (v) i processi di acquisizione dei dati da strutture esterne; (vi) i processi di controllo a fini di coerenza con i criteri di qualità; e (vii) i processi di eventuale rettifica[9]. Alla luce dell’organicità del sistema di gestione dei dati, lo stesso può certamente considerarsi una “funzione” ai sensi del CAP[10].
I fondamenti del sistema di gestione dei dati sopra riassunti paiono essenziali a garantire la costante “tracciabilità” dei dati, tramite la loro accurata “registrazione e reportistica”.
L’adozione dei menzionati presidi e dei flussi informativi che ne derivano si articola attraverso la distinzione di ruoli e responsabilità del management, assegnati anche in ragione delle peculiarità dell’attività assicurativa.
Nel dettaglio:
- l’organo amministrativo valuta e approva, come ricordato, la politica di data governance, impartendo le direttive necessarie per la relativa attuazione;
- l’alta direzione [11] è tenuta ad assicurare che l’organo amministrativo abbia una conoscenza completa dei fatti aziendali rilevanti, anche attraverso la predisposizione di un’adeguata reportistica, che presuppone dati di qualità[12]. Responsabile della concreta attuazione della policy, poi,è generalmente un data quality manager, in taluni casi a diretto riporto dell’organo amministrativo;
- il sistema dei controlli interni, inoltre, garantisce che tale informativa – e i dati su cui la stessa si fonda – rispetti i principi di accuratezza, completezza, tempestività, coerenza, trasparenza e pertinenza.
In tale ambito, la nuova Funzione Attuariale è specificamente tenuta a valutare “la sufficienza e la qualità dei dati utilizzati nel calcolo delle riserve tecniche”, attività, questa, che assume i caratteri di un effettivo controllo di secondo livello[13].
4. Conclusioni
La gestione dei dati rappresenta uno degli aspetti delle norme di Secondo Pilastro della Direttiva di maggiore impatto per l’organizzazione delle imprese.
La completa implementazione di Solvency II ha infatti determinato un quadro, normativo e regolamentare, dettagliato e complesso, con effetti rilevanti anche sulle responsabilità degli esponenti aziendali, incluse le Funzioni Fondamentali.
In tale contesto, sarà interessante notare come l’attuazione dei nuovi presidi influenzerà la produzione dell’informativa verso la vigilanza (c.d. Terzo Pilastro), il cui esercizio, anche in sede di supervisory review process, è ora fondato sulla disponibilità di dati di qualità (art. 190, CAP) funzionali non solo al controllo sulle singole imprese, ma anche a finalità macro-prudenziali[14].
[1] Cfr. art. 82, Direttiva, il CEIOPS Advice – October 2009, nonché la Sez. 2 del Regolamento 35/2015 (UE). Si ricorda come l controllo sulla qualità dei dati, in tale ambito, venga svolto dalla nuova Funzione Attuariale (su cui v. art. 48, Solvency II e, su questa Rivista: http://www.dirittobancario.it/news/assicurazioni/solvency-ii-alcuni-spunti-organizzativi-sulla-funzione-attuariale)
[2] A ben vedere, il Regolamento n. 20 ha, già nel 2008, anticipato la Direttiva rispetto ad alcune misure in materia di governo dei dati e dei flussi informativi (cfr. art. 12, Regolamento n. 20).
[3] Si veda l’art. 190 comma 1 ter CAP ove compare l’elenco “Le informazioni, i dati, i documenti trasmessi all’IVASS” dal quale si ricava che informazioni, dati e documenti configurano diversi oggetti degli obblighi informativi in capo alle imprese
[4] L’impostazione qui suggerita sembra trovare conferma dal rapporto teleologico tra dato ed informazione come emerge dall’art. 12 bis comma 1 Regolamento n. 20, ove si legge “Le imprese prevedono un sistema di registrazione e di reportistica dei dati che ne consenta la tracciabilità al fine di poter disporre di informazioni complete ed aggiornate (…)”.
[5] Cfr. art. 12 comma 3 .
[6] Cfr. art. 12 comma 2.
[7] Si considerino, al riguardo, gli esiti delle pubbliche consultazioni tenute in occasione delle modifiche introdotte dal Provvedimento n. 17/2014, ove, a fronte della rappresentazione dell’esigenza di individuare con maggiore precisione il perimetro di applicazione dell’art. 12 bis, l’IVASS ha affermato l’ampiezza del concetto di “dato”, osservando che “(…) Si tratta […]di un insieme piuttosto ampio che comprende, tra l’altro dati relativi a: investimenti, riserve tecniche, elementi oggetto di requisito di capitale, poste di bilancio contabile”.
[8] Si vedano, in proposito, l’art. 190 comma 1-ter CAP, già richiamato; l’art. 19 del Regolamento 35/2015 (UE) che ha, in seguito, chiarito – criterio per criterio – a quali condizioni un dato possa essere qualificato come appropriato, completo e accurato e la lettera IVASS del 28 luglio 2015 che ha posto l’accento sulla “disponibilità” dei dati – attributo, questo, di notevole rilevanza: l’impresa di assicurazione deve potere reperire il dato e, quindi, l’informazione entro tempi e con sforzi ragionevoli.
[9] La lettera IVASS del 28 luglio 2015, ad esempio, ha posto l’accento sulla verifica di coerenza tra le base-dati ed il processo di data quality adottato.
[10] Cfr. art. 1, co. 1, lett. q-bis).
[11] Ovvero l’amministratore delegato, il direttore generale, nonché l’alta dirigenza che svolge compiti di sovrintendenza gestionale (art. 2, co. 1, lett. a), Regolamento n. 20).
[12] Art. 12, co. 1, Regolamento n. 20.
[13] Per quanto il Regolamento n. 20, allo stato, non ricomprenda espressamente tale Funzione nel novero delle Funzioni di controllo interno (al pari di quelle di Conformità, Gestione dei Rischi e Revisione Interna), è opinione comune che la Funzione Attuariale, per i compiti di controllo di secondo livello che la Direttiva le assegna, sia parte integrante del system of internal controls (cfr. nota 1 supra).
[14] Si veda al riguardo da ultimo, il Regolamento IVASS n. 36/2017, relativo alla comunicazione all’autorità di dati e informazioni per indagini statistiche, studi e analisi relative al mercato assicurativo.