20 de Febrero, 2013 Giuseppe Gamucci María Jesús Romero El trabajo conjunto de las funciones de “assurance” Sistemas de cumplimiento y de Control y Gestión de Riesgos 20 de Febrero, 2013 Giuseppe Gamucci María Jesús Romero C:\Documents and Settings\chy5484\Local Settings\Application Data\Office\Macros\Ppt_ci\Templates\Pres_blue_on_white.pot

*Volumen negocio: 1,897 m€ (4Q/2012) Oficinas de partners bancarios Zurich en España 4Q/2012 Presente en España desde 1884 *7ª posición en el mercado asegurador (4Q/2012) MS SG: 4.5% MS Vida: 3.0% *Volumen negocio: 1,897 m€ (4Q/2012) GI: 1,097 m€ Life: 800 m€ Volumen gestionado (Vida & Pensiones) (4Q2012): 11,977m€ 1.930 empleados 1.261 Agentes 2.567 Brokers 2,2 millones clientes 4.000 (2) Oficinas de partners bancarios 2,8 millones Pólizas (1) *Fuente: datos provisionales ICEA Datos Provisionales Diciembre 2012 Datos Diciembre 2011

Las tres líneas de defensa Marco de Compliance Índice Las tres líneas de defensa Marco de Compliance Marco de Gestión y Control de Riesgos Identificar, clasificar y minimizar los riesgos Integración con éxito de las tres líneas de defensa Claves del éxito hacia una nueva gobernanza El trabajo conjunto de las funciones de “assurance”. Sistemas de Cumplimiento y de Gestión y Control de Riesgos – Madrid, Febrero 2013

La asunción y control de riesgos forma parte integrante del negocio “Tres líneas de defensa” Las Funciones de Riesgo y Compliance aseguran un marco consistente de riesgos y controles Desarrollan e implementan un marco integral de riesgos y control y unas políticas de riesgos generales de cumplimiento Establecen metodologías para medir y evaluar los riesgos y monitorizar el cumplimiento de las políticas Efectúan el seguimiento de las exposiciones de riesgo respecto a los límites de tolerancia y proponen los límites de riesgos Desarrollan y operan con una adecuada estructura de riesgos y controles, incluyendo la agregación de riesgos y el reporting La gestión del negocio es la propietaria de todos los riesgos El negocio toma decisiones de riesgo, optimizando el riesgo/rentabilidad El negocio gestiona los riesgos a diario El negocio mitiga los riesgos cuando es necesario Auditoría proporciona una revisión y evaluación independiente Auditoría evalúa la efectividad del marco de riesgos y compliance Auditoria parte de los riesgos identificados por las funciones de Riesgos y Compliance para planificar sus actividades Auditoria efectúa el seguimiento independiente de la efectividad de los controles de riesgos 1 2 3

Marco de Riesgos y Controles en el Grupo Zurich Board of Directors level Board of Directors Group Audit Risk Committee Audit Committee GEC level CEO and Group Executive Committee Group Chief Risk Officer Group Balance Sheet Committee Group Finance & Risk Committee Region, Segment, Division, Business Unit level Business Management Audit, Risk and Control Committees Risk Management Network (including regional/segment/division Chief Risk Officers & Local Risk Officers) Risk Taking Risk Control Independent Assurance C:\Documents and Settings\chy5484\Local Settings\Application Data\Office\Macros\Ppt_ci\Templates\Pres_blue_on_white.pot

Las tres líneas de defensa Marco de Compliance Índice Las tres líneas de defensa Marco de Compliance Marco de Gestión y Control de Riesgos Identificar, clasificar y minimizar los riesgos Integración con éxito de las tres líneas de defensa Claves del éxito hacia una nueva gobernanza El trabajo conjunto de las funciones de “assurance”. Sistemas de Cumplimiento y de Gestión y Control de Riesgos – Madrid, Febrero 2013 6

I. Definición de Compliance La Directiva 2009/138/CE (Solvencia II) establece que la función de verificación del cumplimiento es una función de gobernanza que forma parte del sistema de control interno. Compliance es la función responsable de apoyar a la Dirección en promover una sólida cultura ética y de cumplimiento así como de asegurar a la Dirección que los riesgos de cumplimiento normativo son adecuadamente identificados y gestionados. Compliance actúa como una “segunda línea de defensa” junto con Gestión y Control de Riesgos detrás de las propias áreas de negocio (“primera línea de defensa”) y de Auditoría Interna (tercera línea de defensa) El trabajo conjunto de las funciones de “assurance”. Sistemas de Cumplimiento y de Gestión y Control de Riesgos – Madrid, Febrero 2013

II. Estatuto (charter) de Compliance La función de Compliance se sustentar en un Estatuto de Compliance de Grupo. El Estatuto es aprobado por el Consejo de Administración de la matriz y, según la legislación aplicable, por los Consejos de Administración de cada entidad del Grupo. Contenido del Estatuto de Compliance: Rol de Compliance Objetivos Aplicabilidad del Estatuto Autoridad de la función Alcance de Compliance Organización y recursos Programa de actuación de la función Aprobación por la Alta Dirección El trabajo conjunto de las funciones de “assurance”. Sistemas de Cumplimiento y de Gestión y Control de Riesgos – Madrid, Febrero 2013

III. Qué comprende Compliance en Zurich 1/2 El grado de exposición/asunción a/de los riesgos (“risk appetite”) vs. los requerimientos legales y las políticas internas conforma el marco de la actuación de Compliance Global. Compliance en 3 dimensiones Gestión de la información Conducta de negocios Crimen financiero Conducta de empleados Licencias y autorizaciones Código conducta corporativo Regulación

III. Qué comprende Compliance en Zurich (2/2) Compliance se centra en los ámbitos del “Compliance Risk Universe”

Riesgos regulatorios fuera del ámbito de Compliance IV. Qué NO comprende Compliance Riesgos regulatorios fuera del ámbito de Compliance Supervisión financiera (solvencia) Actuarial Fiscal Riesgos de Compliance Requerimientos financieros contables Legal Societario/corporativo Seguridad e Higiene en el trabajo El trabajo conjunto de las funciones de “assurance”. Sistemas de Cumplimiento y de Gestión y Control de Riesgos – Madrid, Febrero 2013

Promoción de cultura de cumplimiento V. Actividades de Compliance (1/2) Promoción de cultura de cumplimiento Actividades Descripción Políticas de Compliance Difundir y aplicar las Políticas de Compliance globales en las entidades del Grupo . Asesoramiento a negocio Aconsejar sobre comportamientos y prácticas de negocio acordes con normas internas y externas. Interpretar si es “Compliant” o no. Formación y comunicación Promover /coordinar acciones formativas sobre aspectos de Compliance y comunicar de forma efectiva y clara. Portal de Compliance en intranet. Análisis de riesgos/ Plan de remediación Analizar e identificar los riesgos de incumplimiento dentro del ámbito de Compliance. Establecer plan de priorización para remediar/mitigar los riesgos basado en el análisis. Seguimiento impacto nueva legislación Seguimiento de los desarrollos legislativos con impacto en negocio. Tomar medidas para implementación de desarrollos necesarios en coordinación con negocio. Monitorización Revisar el cumplimiento legal y la aplicación de las Políticas Internas. Identificar brechas. Reporting Reportar las acciones de Compliance. En particular reportar riesgos y severidad a los Comités adecuados y a Grupo. Mantener “governance” de escalado de riesgos. El trabajo conjunto de las funciones de “assurance”. Sistemas de Cumplimiento y de Gestión y Control de Riesgos – Madrid, Febrero 2013

V. Actividades de Compliance (2/2) Relación con reguladores También es una actividad de Compliance, pero dependerá de: La jurisdicción de que se trate. Los requerimientos regulatorios de cada país. El papel asignado por el CEO/ a nivel de grupo a funciones como Legal y CFO. La experiencia y grado de “Seniority”. El tipo de relación exigida en cada momento (institucional, revisiones del regulador, especialidad de la materia, etc). El trabajo conjunto de las funciones de “assurance”. Sistemas de Cumplimiento y de Gestión y Control de Riesgos – Madrid, Febrero 2013

Comité de Riesgos/ Comité de Auditoría VI. Integración de Gestión y Control de Riesgos y Cumplimiento Controles de negocio Compliance Risk Management Auditoría Interna Comité de Riesgos/ Comité de Auditoría Reporting Local Regional Grupo Seguimiento 1er nivel de control 2º nivel de control 3er nivel de control 4ª nivel de control El trabajo conjunto de las funciones de “assurance”. Sistemas de Cumplimiento y de Gestión y Control de Riesgos – Madrid, Febrero 2013

acciones mitigatorias VII. La gestión del riesgo de incumplimiento Se requiere generar evidencias de la identificación y gestión de los riesgos reputacionales y legales controles Evidencias Política de Riesgos de Grupo Compliance Políticas de Controles en procesos Tipo SOX Manual y control (no siniestros) antifraude (a.110 RD 2486/98) Control Interno Compliance en Controles de Manual de acciones mitigatorias y seguimiento Análisis riesgos Informes de Auditoría Riesgos o Auditoría Actas Comités

Las tres líneas de defensa Marco de Compliance Índice Las tres líneas de defensa Marco de Compliance Marco de Gestión y Control de Riesgos Identificar, clasificar y minimizar los riesgos Integración con éxito de las tres líneas de defensa Claves del éxito hacia una nueva gobernanza El trabajo conjunto de las funciones de “assurance”. Sistemas de Cumplimiento y de Gestión y Control de Riesgos – Madrid, Febrero 2013 16

Gestión Integral de Riesgos (ERM) Misión y objetivos La misión de la Gestión Integral de Riesgos es la identificación temprana, medición, gestión, reporting y seguimiento de los riesgos que pueden impactar en la consecución de los objetivos estratégicos, operacionales y financieros. Ello incluye adaptar el perfil de riesgos en función de la tolerancia de los mismos que emana de los Órganos de Gobierno para responder a las nuevas amenazas y oportunidades, al objeto de maximizar el retorno. Misión Objectivos Proteger la base de capital , asegurando que no se asumen riesgos por encima de los niveles de tolerancia Reforzar la creación de valor y contribuir a un perfil óptimo de riesgo/retorno proporcionando una asignación eficiente del capital Participar en los procesos de toma de decisiones proporcionando información sobre los riesgos consistente, fiable y a tiempo Proteger la reputación y marca mediante la promoción de una sólida cultura de conciencia del y una disciplinada e informada asunción de riesgos C:\Documents and Settings\chy5484\Local Settings\Application Data\Office\Macros\Ppt_ci\Templates\Pres_blue_on_white.pot 17

La arquitectura de gestión de riesgos debe tener un enfoque integral Gobierno de riesgos Más cuantitativo Más cualitativo Metodología de Evaluación de Riesgos Política de Riesgos Risk-Based Capital (RBC) Define la propiedad, los roles y las responsabilidades del gobierno de los riesgos Establece los límites por tipo de riesgo De obligado cumplimiento Se actualiza y comunica periódicamente Define el objetivo de capitalización acordado por los Órganos de Gobierno Comunicado y conocido Visión de riesgos con un enfoque de gestión Identificación y evaluación de los riesgos con un horizonte temporal alineado con la planificación 7 1 2 5 6 3 8 9 4 Probability Severity IV III II I A B C D Control de Riesgos Operativos Marco y metodologías integrados de riesgos y controles (evaluación y cuantificación de riesgos operacionales, registro de pérdidas, ….) Gestión de riesgos operacional Marco de Control Interno AFR RBC AA Reporting de Riesgos 18 C:\Documents and Settings\chy5484\Local Settings\Application Data\Office\Macros\Ppt_ci\Templates\Pres_blue_on_white.pot

Las tres líneas de defensa Marco de Compliance Índice Las tres líneas de defensa Marco de Compliance Marco de Gestión y Control de Riesgos Identificar, clasificar y minimizar los riesgos Integración con éxito de las tres líneas de defensa Claves del éxito hacia una nueva gobernanza El trabajo conjunto de las funciones de “assurance”. Sistemas de Cumplimiento y de Gestión y Control de Riesgos – Madrid, Febrero 2013 19

Metodología de Evaluación de Riesgos Proceso “top-down” estructurado y sistematizado para: identificar evaluar gestionar y hacer el seguimiento de riesgos que pueden amenazar la capacidad de conseguir los objetivos estratégicos. Evaluación de riesgos cualitativa, coordinada, integral y multidisciplinar Es una forma rápida de capturar el conocimiento y sabiduría colectivos de la Alta Dirección y aplicarlos en la mejora efectiva de la gestión de riesgos

Proceso de Evaluación de Riesgos Identificación de potenciales riesgos Brainstorming Revisión de escenarios genéricos Desarrollo de escenarios Vulnerabilidad Desencadenante Consecuencias Evaluación del rating inicial Severidad / Probabilidad Definir los niveles de tolerancia y priorizar los escenarios Desarrollar acciones de mejora para los escenarios priorizados Evaluar el rating objetivo Nombrar la persona responsable Acordar fecha finalización Seguimiento trimestral de las acciones acordadas Identify potential risk issues Develop risk scenarios Assess original rating Severity / Probability Risk IT Admin Finance Quarterly follow up on improvement actions Develop improvement actions Define risk priority boundary and prioritize risk scenarios A B C D E F IV III II I PROBABILITY SEVERITY 3 6 4 2 5 1 Prioritized A Prioritized B 1 5 C 2 4 PROBABILITY D 6 3 E F IV III II I SEVERITY

DESARROLLO Desarrollo de escenarios 1. VULNERABILIDAD qué? dónde? Los escenarios de riesgos se definen en tres etapas: Ligado a los objetivos 1. VULNERABILIDAD DESARROLLO qué? dónde? controles? Describe condiciones presentes o previstas Debe describir los controles aplicables conocidos 2.DESENCADENANTE cómo? por qué? cuándo? Puede ser un evento discreto que se produzca en un periodo corto de tiempo o una tendencia que se desarrolle durante un periodo más largo Es siempre un suceso hipotético 3. CONSECUENCIAS cuánto? gravedad? qué cantidad? todos los efectos producidos por el desencadenante impacto total, suma de todos los efectos

Vulnerabilidad / desencadenante / consecuencias Ejemplo Incertidumbres económicas en el medio plazo El precio de los activos se colapsa /crisis de liquidez Aumento de precios de materias primas y bienes básicos de consumo (inflación) Desconexión entre los tipos de interés (bajos) y una creciente inflación Tendencia adversa en el coste de los siniestros Reducción del beneficio en mercados de tendencia históricamente estable Reducción del potencial de las iniciativas de expansión Reducción de los rendimientos financieros previstos

Límites de tolerancia Severidad-Probabilidad El límite de tolerancia predefinido (rojo) se utiliza para diferenciar entre los riesgos tolerables y los que requieren la atención de la Gerencia Los límites de tolerancia deben acordarse en función de lo definido por los Órganos de Gobierno.

Metodología de Evaluación de Riesgos Resumen Trabajo previo –Identificación preliminar de riesgos Completar todo el trabajo posible mediante reuniones previas Utilizar las evaluaciones de riesgo de los ejercicios anteriores como referencia Involucrar a todo el grupo en el proceso de valoración de riesgos Preguntar de forma expresa a cada individuo y fomentar la interacción Rating – Acordar el método utilizado para la medición (Beneficio, Reputación, etc) Ello facilitará la revisión futura de los riesgos Al final del proceso de rating, revisar el mapa y comparar los riesgos que tienen el mismo rating Asignar responsables de cada escenario Ello ayuda en la actualización con posterioridad a la sesión Definir acciones SMART Ello facilita el seguimiento sobre el cumplimiento de las acciones Cuando las acciones acordadas sean continuas en el tiempo, es conveniente acordar objetivos intermedios que permitan hacer el seguimiento de la consecución

Las tres líneas de defensa Marco de Compliance Índice Las tres líneas de defensa Marco de Compliance Marco de Gestión y Control de Riesgos Identificar, clasificar y minimizar los riesgos Integración con éxito de las tres líneas de defensa Claves del éxito hacia una nueva gobernanza El trabajo conjunto de las funciones de “assurance”. Sistemas de Cumplimiento y de Gestión y Control de Riesgos – Madrid, Febrero 2013 26

La asunción y control de riesgos forma parte integrante del negocio Las Funciones de Riesgo y Compliance aseguran un marco consistente de riesgos y controles Desarrollan e implementan un marco integral de riesgos y control y unas políticas de riesgos generales de cumplimiento Establecen metodologías para medir y evaluar los riesgos y monitorizar el cumplimiento de las políticas Efectúan el seguimiento de las exposiciones de riesgo respecto a los límites de tolerancia y proponen los límites de riesgos Desarrollan y operan con una adecuada estructura de riesgos y controles, incluyendo la agregación de riesgos y el reporting La gestión del negocio es la propietaria de todos los riesgos El negocio toma decisiones de riesgo, optimizando el riesgo/rentabilidad El negocio gestiona los riesgos a diario El negocio mitiga los riesgos cuando es necesario Auditoría proporciona una revisión y evaluación independiente Auditoría evalúa la efectividad del marco de riesgos y compliance Auditoria parte de los riesgos identificados por las funciones de Riesgos y Compliance para planificar sus actividades Auditoria efectúa el seguimiento independiente de la efectividad de los controles de riesgos 1 2 3 “Tres líneas de defensa”

Coordinación de la Segunda y Tercera Líneas de Defensa Gestión Riesgos Auditoría Interna Compliance Gestión de Riesgos Coordina la identificación, la evaluación de riesgos y la cuantificación financiera de los riesgos para conseguir una visión integral de los riesgos de la organización. Responsable de la coordinación del reporting de riesgos. El mapa de riesgos resultante es la base de las actividades de assurance de las otras funciones Compliance Función especialista que contribuye a proporcionar detalles sobre asuntos de compliance. Coordina con las otras funciones dentro de su mandato. Auditoría Interna Facilita el alineamiento de la metodología de assurance y su adecuada cobertura (incluyendo destacar potenciales gaps) Responsable de la coordinación del reporting de assurance.

Ejercicio de Identificación y Alcance de Compliance Anualmente, la función de Compliance efectúa un ejercicio de identificación y alcance de las áreas con mayor exposición intrínseca y evalúa si dichas exposiciones están adecuadamente controladas o se requieren acciones adicionales. Este ejercicio se integra en un ejercicio similar efectuado por la función de Gestión de Riesgos y es la base de la planificación de las actividades en las que se focalizan ambas funciones durante dicho ejercicio El ejercicio de Compliance se centra en el Universo de Compliance. La exposición intrínseca se evalúa en función de las potenciales sanciones y/o impacto reputacional y con una visión tanto local como de Grupo El trabajo conjunto de las funciones de “assurance”. Sistemas de Cumplimiento y de Gestión y Control de Riesgos – Madrid, Febrero 2013

Ejemplo del resultado del ejercicio de identificación y alcance Áreas Ambitos Identificación de áreas para una evaluacion de riesgos Priorización de actividades de seguimiento Priorización de planes locales y de Grupo

De la identificación al seguimiento Input Proceso iterativo Resultado final Resultados Identificación (*) Propuesta Plan Seguimiento Plan aprobado Requerimientos de seguimiento obligatorios Requerimientos de negocio y de la estrategia Se acuerda la propuesta con la Gerencia Se exploran sinergias entre las distintas funciones de assurance Se identifican necesidades de recursos Se obtiene aprobación en los comités correspondientes Se escalan potenciales necesidades adicionales de recursos, en su caso Se utiliza juicio profesional para identificar y priorizar actividades (*): Incluye nuevas regulaciones y tendencias observadas

Seguimiento y revisiones Ciclo de Seguimiento Descripción de los pasos del proceso A A Planificación en detalle de las actividades de revisión y seguimiento a efectuar B Planificación Trabajo de campo B Ejecución del trabajo de campo en los procesos y áreas expuestas E Priorización en base a riesgos C Análisis de las causas de las desviaciones Comentar con el negocio Seguimiento acciones correctoras C Comunicación de resultados D El negocio define e implementa las acciones correctivas, con el soporte de las funciones de assurance D E Las funciones de assurance confirman que las acciones acordadas se implementan adecuadamente Acciones correctivas

Las tres líneas de defensa Marco de Compliance Índice Las tres líneas de defensa Marco de Compliance Marco de Gestión y Control de Riesgos Identificar, clasificar y minimizar los riesgos Integración con éxito de las tres líneas de defensa Claves del éxito hacia una nueva gobernanza 33

Claves del éxito hacia una nueva gobernanza “Buen Gobierno 2.0”: no sólo patrimonio de las cotizadas - La centralidad del Consejo de Administración - Derecho y Deber de Información - Transparencia y separación de funciones - Políticas, Procesos y Controles integrados en la toma de decisiones - En función de la exposición al riesgo Cambio cultural (favorecido por la crisis económica y de confianza) Ética de los negocios y sistemas de control difuso de conductas La Comunicación y la Formación como motores del cambio El Pilar 2 de Solvencia II pretende posicionar al sector asegurador en primera línea El trabajo conjunto de las funciones de “assurance”. Sistemas de Cumplimiento y de Gestión y Control de Riesgos – Madrid, Febrero 2013

Q & A C:\Documents and Settings\chy5484\Local Settings\Application Data\Office\Macros\Ppt_ci\Templates\Pres_blue_on_white.pot

¡Gracias! El trabajo conjunto de las funciones de “assurance”. Sistemas de Cumplimiento y de Gestión y Control de Riesgos – Madrid, Febrero 2013