Generali Vida, Companhia de Seguros, S.A. Relatório sobre a Estrutura Organizacional e os Sistemas de Gestão de Riscos e de Controlo Interno 31 de Dezembro de 2013 Lima Jorge 1. Introdução Não tendo existido uma alteração ao curso estratégico do desenvolvimento dos sistemas de Gestão de Riscos e de Controlo Interno, durante o ano de 2013 a Generali Vida prosseguiu com as acções necessárias à construção desses sistemas, sempre no contexto do alinhamento da estratégia e política de Gestão do Risco com a actividade do Grupo Generali a nível europeu, realidade que é praticamente compatível a 100% com o normativo português. O facto do Grupo Generali estar presente no mercado segurador português através de duas unidades juridicamente distintas (a Generali Vida, Companhia de Seguros, S.A. e a sucursal em Portugal da empresa Assicurazioni Generali S.p.A. sediada em Itália) mas partilhando uma mesma estrutura organizacional tem como corolário que o sistema de Gestão de Riscos que está a ser implementado partilhe da mesma característica – os mesmos mecanismos de risk governance, os processos e políticas aplicam-se às duas empresas com se de uma só se tratasse. 2. Estrutura Organizacional 2.1. Enquadramento O Sistema de Gestão de Riscos e de Controlo Interno está implementado na Generali Vida com base nas directrizes instituídas pelo Grupo Generali e em cumprimento das instruções emanadas pela Norma Regulamentar N.º 14/2005-R (Princípios aplicáveis ao desenvolvimento dos sistemas de Gestão de Riscos e de controlo interno das empresas de seguros). O facto do Grupo Generali estar presente no mercado segurador português através de duas entidades juridicamente distintas (a Generali Vida, Companhia de Seguros, S.A. e a Generali, Companhia de Seguros S.p.A. - Sucursal em Portugal, dedicada apenas ao ramo não vida), mas que partilham a mesma estrutura organizacional, tem como corolário que o sistema de Gestão de Riscos e de controlo interno esteja implementado nas duas empresas. Neste contexto, a actividade de gestão de fundos de pensões encontra-se igualmente incluída no Sistema de Gestão de Riscos da Generali em Portugal, em conformidade e em cumprimento das exigências da Norma n.º 8/2009-R do Instituto de Seguros de Portugal. 2.2. Actividade Desenvolvida em 2013 Durante o exercício de 2013 a estrutura organizacional da Generali Vida sofreu uma alteração relevante, conducente a uma melhoria qualitativa no grau de preparação para fazer face a riscos 1 de índole operacional e compaginando-se com os objectivos de segregação de deveres previstos na Norma n.º 14/2005-R do Instituto de Seguros de Portugal. Essa alteração consistiu na criação de uma unidade específica dentro da Direcção Técnica para o Ramo Vida, encarregada da gestão de processos de sinistro, efectivamente criando uma separação entre este processo e os restantes processos desenvolvidos dentro da referida Direcção Técnica. Generali Vida aprovou o Código de Conduta e as Normas do Grupo Generali, em substituição do anterior Código de Ética. Esta iniciativa, com forte patrocínio do Grupo visa estabelecer um conjunto mínimo de padrões de comportamento aplicável a todos os colaboradores do Grupo Generali, incluindo membros dos órgãos de supervisão e de gestão. Adicionalmente será preconizada a adesão de todas as entidades terceiras (consultores, fornecedores, agentes, etc.) que actuem em nome da Generali aos princípios estabelecidos no Código de Conduta. As actividades decorrentes da adopção deste Código irão ser desenvolvidas ao longo de 2014. 3. Sistema de Gestão de Riscos e Controlo Interno 3.1. Estrutura de Risk Governance A estrutura de Risk Governance que está implementada no final de 2013 é composta de três elementos: 1) Comité de Gestão de Riscos. Durante o exercício de 2013 a constituição e competências deste comité (“Risk Committee Charter”) foram alteradas. Evoluiu-se no sentido de alinhar o funcionamento do comité de Gestão de Riscos com o que está estabelecido na política de Gestão de Riscos do Grupo. Em concreto, o comité assumiu um papel de apoio à tomada de decisão por parte dos órgãos de gestão da Companhia nas matérias que dizem respeito ao risco; 2) Manual de limites operativos, como forma de agregar e documentar as regras e limites relativamente a um conjunto sensível de actividades geradoras de risco para a Companhia (limites e orientações de subscrição Ramo Vida, alocação estratégica de activos, exposição ao risco de crédito, cambial e de concentração). Os limites operativos materializam-se na existência de um conjunto de competências em matéria de subscrição de apólices de seguros e de regularização de processos de sinistros. Além destes limites, ligados aos riscos de subscrição, existe também um conjunto de orientações sobre os riscos dos activos financeiros, denominadas Group Risk Guidelines, as quais estabelecem limites quantitativos em matérias como as posições em moeda estrangeira, concentração de activos financeiros de acordo com o seu risco de crédito ou a sua natureza; 3) Relatório de risco, elaborado de acordo com as especificações da casa-mãe para o Grupo. Já em 2012 o relatório de risco produzido anteriormente foi substituído pelo relatório 2 ORSA standard do Grupo, suportado por uma política de ORSA, sendo utilizada uma metodologia de mensuração do capital económico que é uma versão simplificada do modelo interno parcial do Grupo (que a Companhia não adoptou devido à sua dimensão) baseado no balanço económico. O relatório referente a 2013 deverá ser ultimado durante o primeiro semestre de 2014. 3.2. Função de Gestão de Risco A função de Gestão de Riscos está atribuída à Direcção de Controlo Interno, Gestão de Riscos e Compliance, cuja missão é desenvolver e garantir o funcionamento de um sistema de Gestão de Riscos capaz de assegurar o cumprimento dos requisitos legais do mercado português e do Grupo Generali. As funções desta unidade são: - Produzir o relatório ORSA preconizado pelo Grupo Generali, bem como os elementos de reporte que sejam definidos pela Companhia; - Fazer recomendações e acompanhar a implementação das políticas de gestão de risco, nomeadamente a criação e a alteração de orientações e limites nas diferentes actividades operacionais, incluindo aquelas cuja gestão é assegurada no exterior da Companhia (ex.: gestão de investimentos financeiros); - Promover acções que sensibilizem a Companhia a adoptar princípios de gestão e uma cultura de empresa congruentes com a necessidade de criação de valor num contexto de gestão de Risco; - Definir indicadores quantitativos e qualitativos de performance face ao risco. É reconhecida a independência da função de Gestão de Riscos face à gestão da Companhia, constituindo-se a Direcção de Controlo Interno, Gestão de Riscos e Compliance como uma unidade de controlo, sem funções de carácter executivo. É concedido à função de Gestão de Riscos o acesso aos elementos de informação qualitativa e quantitativa necessária ao desempenho independente das suas funções e ao cumprimento dos seus objectivos. Não foram em 2013 realizadas alterações às atribuições da função de Gestão de Risco. 3.3. Atribuição de Funções no Sistema de Gestão de Risco O sistema de Gestão de Riscos tem como elementos: 3 Presidente do Conselho de Administração/Representante Legal Desempenha um papel de supervisão e controlo junto à gestão de topo da Companhia: - Aprovação e revisão periódica das orientações estratégicas e políticas de Gestão de Riscos - Garantir as condições de funcionamento do Sistema de Gestão de Riscos, sendo responsável pela definição, desenvolvimento e supervisão do mesmo. Director Geral/Administrador Delegado Desempenha o papel de responsável último pelo posicionamento da Companhia face ao risco e ao modo como este é gerido (Ultimate Risk Owner): - Definição das orientações estratégicas de Gestão de Riscos; - Implementação das medidas de Gestão de Riscos, bem como dos mecanismos de identificação e avaliação dos mesmos em consonância com as orientações estratégicas e com as recomendações da Direcção de Controlo Interno, Gestão de Riscos e Compliance; - Nomeação de responsáveis pela gestão dos riscos mais significativos. Directores de 1ª linha São os responsáveis pela efectivação da Gestão de Riscos dentro das suas áreas de responsabilidade (Risk Owners). Criam as regras e procedimentos que enquadram a actividade quotidiana dos colaboradores. - Definição das políticas e procedimentos concretos para gestão dos riscos relativos aos processos geridos por eles ou pelos seus subordinados; - Definição de instruções e limites e elaboração do respectivo suporte documental (manuais de competências, limites, normas e procedimentos); - Prestação de informações ao responsável pelo sistema de gestão de Risco. São considerados os elementos directamente ligados à gestão das áreas e/ou processos mais sensíveis em matéria dos riscos definidos pela casa-mãe e pelo ISP: Direcções Técnicas, Direcções Comerciais, Direcção de Gestão de Sinistros, Direcção Administrativa e Financeira, Direcção Informática, Direcção de R.H. e Jurídica. 4 Direcção de Auditoria Interna No âmbito do seu próprio plano de acção desempenha o papel de observador do sistema (risk observer) e de terceira linha de defesa face ao risco: - Avaliação do sistema de Gestão de Riscos e apresentação de sugestões de melhoria. Restantes sectores/colaboradores da Companhia Considera-se que os restantes sectores da companhia e seus colaboradores fazem parte do universo operacional que assume os riscos quotidianamente (risk takers), executando as suas tarefas no contexto de Gestão de Riscos instituído pelos elementos acima definidos. As suas funções no sistema de Gestão de Riscos são: - Cumprir com as regras e procedimentos definidos pela Companhia; - Comunicar situações concretas e sugestões de melhoria às regras e procedimentos existentes. 3.4. Sistemas de informação e comunicação A Companhia está dotada de instrumentos e de meios que permitem a comunicação interna e o fluxo de informação relevante entre os diferentes sectores da Companhia. Toda a operação da Companhia assenta num aplicativo informático central, onde são efectuadas as principais tarefas quotidianas da empresa. Os acessos ao sistema informático são alvo de revisão e adequados ao perfil de cada utilizador. Para além disso, estão disponíveis canais de comunicação interna baseadas em meios electrónicos (intranet, correio electrónico), que se consideram suficientes para fazer face às necessidades comunicacionais internas. 3.5. Procedimentos de Gestão de Riscos Os procedimentos de Gestão de Riscos são suportados pela estrutura de risk governance descrita anteriormente. Os temas relevantes para a Gestão de Riscos são discutidos em sede de comité de Gestão de Riscos. As políticas relacionadas com os sistemas de Gestão de Riscos e con- 5 trolo interno são aprovados pelo Conselho de Administração. A função de Gestão de Riscos presta o necessário apoio à tomada de decisão por via da análise dos dados relevantes para a tomada de decisão, realizando propostas e recomendações, tanto ao comité de Gestão de Riscos como ao Conselho de Administração. Este trabalho é realizado no âmbito da estrutura de Gestão de Riscos do Grupo, responsável por uma visão integrada a nível transnacional. Adicionalmente, e com o intuito de ser feito um acompanhamento da implementação dos projectos ligados à Gestão de Riscos e ao Controlo Interno, continuaram a realizar-se reuniões informais entre o responsável das estruturas de Gestão de Riscos, Controlo Interno e Compliance e Presidente do Conselho de Administração, na qualidade de responsável último pela implementação e funcionamento destes sistemas. Periodicamente existem comunicações escritas acerca do andamento dos trabalhos da Direcção de Controlo Interno, Gestão de Riscos e Compliance. Adicionalmente, a Direcção de Controlo Interno, Gestão de Riscos e Compliance participa no processo de construção do Plano Estratégico Trienal da Companhia contribuindo com o seu plano de acção sectorial. Em 2013, foram analisadas e aprovadas sem alterações pelo Conselho de Administração as seguintes políticas: - Política de Gestão de Riscos; - Política de Gestão de Risco Operacional; - Política de Controlo Interno; - Política de política de Compliance; - Política de subscrição do Ramo Vida. - Política de ORSA; - Política Anti-branqueamento de Capitais; Foram analisadas e aprovadas sem alterações as preferências pelo risco, bem como o apetite e tolerância pelo risco. Foi também aprovado o mapa de riscos adoptado pelo Grupo, com ligeiras adaptações à realidade do mercado português. A Companhia faz recurso a um conjunto de práticas no sentido de manter sob controlo os riscos a que está sujeita, nomeadamente: - Aquelas que estão ligadas ao cálculo do embedded value (prática anual desde há vários anos e que passou a ter cálculos, mesmo que parciais, de periodicidade trimestral) e respectivas análises de sensibilidade. Estes cálculos servem de base à estimação da posição de cobertura do requisito de capital de solvência, calculado segundo a metodologia de balanço económico simplificada preconizada para empresas de menor dimensão dentro do Grupo Generali; 6 - Rotina de análise de produtos, destinada a controlar regularmente a rentabilidade dos diversos produtos e os níveis de risco. Esta análise também é feita previamente ao lançamento de novos produtos; - Fixação de limites operativos, onde estão formalizadas as competências em termos de limites de subscrição e de regularização de sinistros, revistos anualmente; - Implementação de rotinas de reporte do cumprimento dos limites operativos, de acordo com um conjunto de orientações do grupo (Group Risk Guidelines, cujas revisões são aprovadas em reunião do Conselho de Administração); Gestão de investimentos financeiros No caso particular actividade de gestão de activos de investimento, quer afectos a provisões técnicas, quer activos livres, a gestão quotidiana dos activos financeiros é realizada por uma empresa especializada pertencente ao Grupo Generali: Generali Investments Europe, sediada em Itália, por via da sua sucursal em França. A actividade desta empresa no tocante à gestão dos activos financeiros propriedade das empresas do Grupo Generali a operar em Portugal é monitorizada por um comité de investimentos constituído pelo Director Geral/Administrador Delegado, pelo Presidente do Conselho de Administração/Representante Legal, pelo Director Administrativo e Financeiro, o qual tutela directamente esta função, bem como pelo responsável pela função de Gestão do Risco, pelo responsável pela função de Cobranças e Gestão de Tesouraria e pelo responsável pela função de Planeamento e Controlo. Este comité, onde também estão representados elementos da Generali Investments Europe, tem reuniões de periodicidade trimestral, onde são analisados resultados passados e ajustada, do ponto de vista táctico a alocação estratégica de activos para os meses subsequentes. É produzido periodicamente – em linha com a estratégia global do Grupo Generali e no quadro do funcionamento internacional do Grupo – um documento relativamente à alocação estratégica de activos. Quer a gestão estratégica dos activos quer a actividade quotidiana de transacção de activos são executadas dentro dos limites e orientações em matéria de exposição ao risco definidos nos documentos orientadores relevantes (alocação estratégica de activos, exposição ao risco de crédito, cambial e de concentração e detenção de activos de investimento alternativos). Para além de estar sujeita às Group Risk Guidelines aqui referidas, a gestão dos activos da Companhia é feita dentro dos limites fixados no mandato de gestão assinado com a empresa gestora de activos e que se constitui como uma camada adicional de controlos a priori que incide sobre a alocação de fundos por activo, por moeda e por área geográfica. Esta prática não sofreu alterações durante este exercício, estando integralmente implementada. 7 Riscos não Pilar I A Companhia tem alargado sucessivamente a sua capacidade de identificar e avaliar os riscos a que está sujeita e neste momento realiza uma avaliação anual do risco operacional com base na metodologia do risco operacional do Grupo, numa perspectiva top-down. O assessment para 2013 foi realizado entre o final de 2012 e o início do novo ano, tendo ocorrido novo assessment (para 2014) sensivelmente no mesmo calendário. A Generali Vida implementou pela primeira vez no final do exercício de 2012 o modelo de medição do risco de liquidez definido pelo Grupo, devendo apresentar uma actualização de resultados inserida no relatório ORSA de 2013. Estão em fase de elaboração o plano e a política de continuidade de negócio, esperando-se a sua conclusão em 2014. No início de 2014 foi já aprovado um documento de Política de Gestão da Continuidade de Negócio tendo em conta as recomendações do CNSF – Conselho Nacional de Supervisores Financeiros sobre este tema, emitidas em 2010. 3.6. Controlo Interno O Sistema de Controlo Interno (SCI) encontra-se implementado na Generali Vida com base nas directrizes instituídas pelo Grupo Generali e com o cumprimento das instruções emanadas pela Norma Regulamentar Nº 14/2005-R (Princípios aplicáveis ao desenvolvimento dos sistemas de Gestão de Riscos e de controlo interno das empresas de seguros). O modelo e os recursos aplicados no SCI são partilhados conjuntamente pelas duas Companhias do Grupo Generali que operam em Portugal: Generali Vida (Ramo Vida) e Generali S.p.A. – Sucursal em Portugal (Ramos Não Vida). O modelo do Sistema de Controlo Interno, no âmbito dos Fundos de Pensões, também se encontra definido e implementado pela Generali Vida no modelo em vigor. O actual modelo cumpre os requisitos da Norma Regulamentar Nº 08/2009-R. As principais características do modelo do SCI são: - Existência de um Comité de Auditoria; - Total independência das estruturas de Auditoria Interna, Gestão de Riscos, Controlo Interno e Compliance; - Existência de um Comité de Gestão de Riscos; - Disseminação da cultura de risco e controlo através de reuniões dos Comités; 8 - Mapeamento dos riscos e controlos dos processos levantados no SCI. 3.6.1. Sistema de Controlo Interno – Actividade desenvolvida em 2013 No que diz respeito às actividades desenvolvidas em 2013, o Comité de Auditoria reuniu-se de acordo com a periodicidade prevista, produzindo-se deste modo um acompanhamento do desenrolar das actividades de auditoria interna previstas no plano de acção desta função. O trabalho de mapeamento de processos da Companhia é uma actividade ongoing, tendo os processos adicionados ou actualizados na biblioteca de processos da Companhia avançado num ritmo normal. O ano de 2013 foi marcado pela implementação de uma nova ferramenta que integra as componentes de mapeamento de processos, assim como todas as componentes da Gestão de Risco Operacional, inclusive os riscos de non-Compliance e as componentes de business continuity management. Esta ferramenta faz parte de um projecto transnacional do Grupo Generali e foi lançada no início de Novembro de 2012. Inicialmente disponibilizando os módulos de mapeamento de processos e de risco operacional, permitiu já a realização do Top-Down Operational Risk Assessment anteriormente mencionado, assim como um Top-Down Compliance Risk Assessment. A par desta actividade iniciou-se a transição dos processos de negócio da biblioteca actual para a nova ferramenta, tarefa que irá prolongar-se por 2014. Em 2013 executou-se também uma iniciativa de data pooling para eventos operacionais, acção que, sendo a primeira e tendo incidido sobre uma entidade de dimensão reduzida, produziu dados pouco expressivos. Em todo o caso, esta é uma actividade a continuar em anos subsequentes, contribuindo para o aumento da sensibilidade para o facto de existirem perdas por eventos operacionais com potencial para influir nos resultados e situação patrimonial da Companhia. 3.7. Falhas detectadas e medidas correctivas A avaliação que se faz da implementação do sistema de Gestão de Riscos vai no sentido de considerar que estão cumpridos todos os requisitos exigidos pelo Instituto de Seguros de Portugal em termos estruturais, ao mesmo tempo que se verificaram progressos importantes na capacidade da Companhia medir a sua exposição ao risco, assim como se avançou na construção de medidas importantes para a mitigação dos riscos, como seja o início da elaboração do plano de continuidade de negócio. Com a aprovação pelo EIOPA das medidas de transição para o regime Solvência II, a Companhia irá trabalhar no sentido de se adaptar ao quadro legal que decorrerá deste importante passo. Em função da realidade que se irá colocar, irão ser introduzidas adaptações, sendo certo que o trabalho desenvolvido até ao presente irá ter continuidade. 9 Para o ano de 2014 esperamos ter concluído o plano de continuidade de negócio, sendo certo que para a componente informática, a Companhia se enquadra na framework internacional do Grupo, situada num dos seus pólos em Itália. Assim sendo, a componente de segurança informática não poderá ser dissociada da evolução das decisões do Grupo nesta matéria. Continuará a já referida transição para a nova ferramenta de suporte ao mapeamento de processos e gestão de riscos operacionais, nos termos já referidos. Durante 2013 foram dados passos concretos para a integração a construção do relatório ORSA com o processo de planeamento estratégico, permitindo a análise prospectiva dos riscos com que a Companhia se confrontará no desenvolvimento da sua estratégia e a projecção da sua posição de solvência futura. Irá ser necessário adaptar e aperfeiçoar a prática actual no sentido de dar resposta aos requisitos do FLAOR que terá de ser produzido doravante. Lisboa, 15 de Abril de 2014 O Director de Controlo Interno, Gestão de Risco e Compliance 10