Venerdì, 27 Giugno 2014 02:00

BOLLETTINO IVASS APRILE 2014

1.1 PROVVEDIMENTI DI CARATTERE GENERALE
Provvedimento n. 17 del 15 aprile 2014
Modifiche ed integrazioni al Regolamento ISVAP n. 20 del 26 marzo 2008 concernente
le disposizioni in materia di controlli interni, gestione dei rischi, compliance ed
esternalizzazione delle attività delle imprese di assicurazione, ai sensi degli articoli 87
e 191, comma 1, del decreto legislativo 7 settembre 2005, n. 209 – Codice delle
assicurazioni private, al Regolamento ISVAP n. 36 del 31 gennaio 2011, concernente
le linee guida in materia di investimenti e di attivi a copertura delle riserve tecniche di
cui agli articoli 38, comma 2, 39, comma 3, 40, comma 3, 42, comma 3 e 191, comma 1,
lettera d) del decreto legislativo 7 settembre 2005, n. 209 - codice delle Assicurazioni
Private, al Regolamento ISVAP n. 15 del 20 febbraio 2008, concernente il gruppo
assicurativo di cui al titolo vii (assetti proprietari e gruppo assicurativo), capo iv
(gruppo assicurativo) del decreto legislativo 7 settembre 2005, n. 209 – Codice delle
Assicurazioni Private e alla tabella allegata al Regolamento ISVAP n. 2 del 9 maggio
2006.
L'ISTITUTO PER LA VIGILANZA SULLE ASSICURAZIONI
VISTA la legge 12 agosto 1982, n. 576, recante la riforma della vigilanza sulle
assicurazioni e le successive disposizioni modificative ed integrative;
VISTO il decreto legislativo 7 settembre 2005, n. 209 e successive modificazioni ed
integrazioni, recante il Codice delle Assicurazioni Private;
VISTO il decreto legge 6 luglio 2012 n. 95, recante "Disposizioni urgenti per la
revisione della spesa pubblica con invarianza dei servizi ai cittadini", convertito con legge 7
agosto 2012 n. 135, istitutivo dell'IVASS;
VISTO il Regolamento ISVAP n. 20 del 26 marzo 2008 e successive modificazioni
ed integrazioni;
VISTO il Regolamento ISVAP n. 36 del 31 gennaio 2011 e successive
modificazioni ed integrazioni;
VISTO il Regolamento ISVAP n. 15 del 20 febbraio 2008;
VISTO il Regolamento ISVAP n. 2 del 9 maggio 2006 recante "Attuazione degli
articoli 2 e 4 della legge 7 agosto 1990, n. 241, concernente la determinazione dei termini di
conclusione e delle unità organizzative responsabili dei procedimenti dell'ISVAP", ed in
particolare la Tabella allegata;
PREMESSO che le modifiche al Regolamento ISVAP n. 20 del 26 marzo 2008 e al
Regolamento ISVAP n. 36 del 31 gennaio 2011, apportate con il presente Provvedimento,
sono state oggetto di pubblica consultazione dal 14 gennaio 2014 al 28 febbraio 2014;
adotta il seguente:
7
Bollettino IVASS n. 4/2014
PROVVEDIMENTO
Art. 1
(Modifiche all'articolo 2 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1.Alla lettera h) del comma 1 dell'articolo 2 del Regolamento ISVAP n. 20 del 26 marzo
2008, dopo le parole: "ISVAP o Autorità" sono inserite le parole: "ovvero 'IVASS':
l'Istituto per la vigilanza sulle assicurazioni private e di interesse collettivo a cui è
succeduto l'IVASS, Istituto per la Vigilanza sulle assicurazioni, ai sensi dell'articolo
13 del decreto legge 6 luglio 2012, n. 95, convertito con legge 7 agosto 2012, n.
135".
Art. 2
(Modifiche all'articolo 3 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1. Alla lettera d) del comma 1 dell'articolo 3 del Regolamento ISVAP n. 20 del 26 marzo
2008, sono aggiunte, in fine, le parole: "ed all'articolo 28 bis".
Art. 3
(Modifiche all'articolo 4 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1. L'articolo 4 del Regolamento ISVAP n. 20 del 26 marzo 2008, è modificato come
segue:
a) al comma 1, le parole: "proporzionati alle dimensioni e alle caratteristiche
operative dell'impresa e alla natura e alla intensità" sono sostituite dalle
parole: "proporzionato alla natura, alla portata e alla complessità" e sono
aggiunte, in fine, le parole: "attuali e prospettici, inerenti all'attività
dell'impresa.";
b) alla lettera b) del comma 2, dopo le parole: "dei rischi" sono inserite le parole:
"attuali e prospettici";
c) dopo la lettera b) del comma 2, è inserita la seguente lettera: "b-bis) la
tempestività del sistema di reporting delle informazioni aziendali";
d) alla lettera d) del comma 2, dopo le parole: "del patrimonio" sono inserite le
parole: "anche in un'ottica di medio-lungo periodo";
e) dopo il comma 2 è aggiunto il seguente comma: "2 bis. I presidi relativi al
sistema dei controlli interni e di gestione dei rischi coprono ogni tipologia di
rischio aziendale, anche secondo una visione prospettica ed in
considerazione della salvaguardia del patrimonio. La responsabilità è rimessa
agli organi sociali, ciascuno secondo le rispettive competenze. L'articolazione
delle attività aziendali nonché dei compiti e delle responsabilità degli organi
sociali e delle funzioni deve essere chiaramente definita."
Art. 4
(Modifiche all'articolo 5 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1. L'articolo 5 del Regolamento ISVAP n. 20 del 26 marzo 2008, è sostituito dal
seguente:
"Art. 5 (Organo amministrativo)
8
Provvedimenti IVASS
1. L'organo amministrativo ha la responsabilità ultima dei sistemi dei controlli interni
e di gestione dei rischi dei quali assicura la costante completezza, funzionalità
ed efficacia, anche con riferimento alle attività esternalizzate. L'organo
amministrativo assicura che il sistema di gestione dei rischi consenta
l'identificazione, la valutazione anche prospettica e il controllo dei rischi, ivi
compresi quelli derivanti dalla non conformità alle norme, garantendo l'obiettivo
della salvaguardia del patrimonio, anche in un'ottica di medio-lungo periodo.
2. Ai fini di cui al comma 1, l'organo amministrativo nell'ambito dei compiti di
indirizzo strategico e organizzativo di cui all'articolo 2381 del codice civile:
a) approva l'assetto organizzativo dell'impresa nonché l'attribuzione di compiti e
di responsabilità alle unità operative, curandone l'adeguatezza nel tempo, in
modo da poterli adattare tempestivamente ai mutamenti degli obiettivi
strategici e del contesto di riferimento in cui la stessa opera;
b) assicura che siano adottati e formalizzati adeguati processi decisionali e che
sia attuata una appropriata separazione di funzioni;
c) approva, curandone l'adeguatezza nel tempo, il sistema delle deleghe di
poteri e responsabilità, avendo cura di evitare l'eccessiva concentrazione di
poteri in un singolo soggetto e ponendo in essere strumenti di verifica
sull'esercizio dei poteri delegati, con conseguente possibilità di prevedere
adeguati piani di emergenza (c.d. "contingency arrangements") qualora
decida di avocare a sé i poteri delegati;
d) definisce le direttive in materia di sistema dei controlli interni, rivedendole
almeno una volta l'anno e curandone l'adeguamento alla evoluzione
dell'operatività aziendale e delle condizioni esterne. Nell'ambito di tali direttive
è ricompresa anche la politica relativa alle funzioni di risk management,
compliance e di revisione interna. Verifica altresì che il sistema dei controlli
interni sia coerente con gli indirizzi strategici e la propensione al rischio
stabiliti e sia in grado di cogliere l'evoluzione dei rischi aziendali e
l'interazione tra gli stessi;
e) approva la politica di valutazione attuale e prospettica dei rischi, i criteri e le
metodologie seguite per le valutazioni, con particolare riguardo a quelli
maggiormente significativi; approva gli esiti delle valutazioni e li comunica
all'alta direzione ed alle strutture interessate unitamente alle conclusioni cui lo
stesso è pervenuto (approccio c.d. top down);
f) determina, sulla base delle valutazioni di cui alla lettera e), la propensione al
rischio dell'impresa in coerenza con l'obiettivo di salvaguardia del patrimonio
della stessa, fissando in modo coerente i livelli di tolleranza al rischio che
rivede almeno una volta l'anno, al fine di assicurarne l'efficacia nel tempo;
g) approva, sulla base degli elementi di cui alle lettere e) ed f), la politica di
gestione del rischio e le strategie anche in un'ottica di medio-lungo periodo
nonché i piani di emergenza (c.d. contingency plan) di cui all'articolo 19,
comma 4 al fine di garantire la regolarità e continuità aziendale;
h) approva, tenuto conto degli obiettivi strategici ed in coerenza con la politica di
gestione dei rischi, le politiche di sottoscrizione, di riservazione, di
riassicurazione e di altre tecniche di mitigazione del rischio nonché di
gestione del rischio operativo, in coerenza con le lettere e), f) e g);
i) definisce, ove ne ricorrano i presupposti, le direttive e i criteri per la
circolazione e la raccolta dei dati e delle informazioni utili a fini dell'esercizio
della vigilanza supplementare di cui al Titolo XV del decreto, nonché le
direttive in materia di controllo interno per la verifica della completezza e
tempestività dei relativi flussi informativi;
j) approva un documento, coerente con le disposizioni di cui alle lettere a), d),
e) ed f) da diffondere a tutte le strutture interessate, in cui sono definiti i) i
compiti e le responsabilità degli organi sociali, dei comitati consiliari e delle
9
Bollettino IVASS n. 4/2014
funzioni di risk management, di compliance e di revisione interna; ii) i flussi
informativi, ivi comprese le tempistiche, tra le diverse funzioni, comitati
consiliari e tra questi e gli organi sociali e iii), nel caso in cui gli ambiti di
controllo presentino aree di potenziale sovrapposizione o permettano di
sviluppare sinergie, le modalità di coordinamento e di collaborazione tra di
essi e con le funzioni operative. Nel definire le modalità di raccordo, le
imprese prestano attenzione a non alterare, anche nella sostanza, le
responsabilità ultime degli organi sociali sul sistema dei controlli interni;
k) approva la politica aziendale, di cui all'articolo 31, in materia di
esternalizzazione;
l) approva la politica aziendale per la valutazione del possesso dei requisiti di
idoneità alla carica, in termini di onorabilità, professionalità e indipendenza,
dei soggetti preposti alle funzioni di amministrazione, di direzione e di
controllo nonché dei responsabili delle funzioni di risk management,
compliance e revisione interna, o in caso di esternalizzazione di queste ultime
all'interno o all'esterno del gruppo, rispettivamente, dei referenti interni o dei
soggetti responsabili delle attività di controllo delle attività esternalizzate di cui
all'art. 33, comma 3. Valuta la sussistenza dei requisiti in capo a tali soggetti
con cadenza almeno annuale. In particolare, tale politica assicura che
l'organo amministrativo sia nel suo complesso in possesso di adeguate
competenze tecniche almeno in materia di mercati assicurativi e finanziari,
sistemi di governance, analisi finanziaria ed attuariale, quadro regolamentare,
strategie commerciali e modelli d'impresa;
m) approva la politica delle segnalazioni destinate all'IVASS (c.d. reporting
policy), in coerenza con le vigenti disposizioni normative;
n) verifica che l'alta direzione implementi correttamente il sistema dei controlli
interni e di gestione dei rischi secondo le direttive impartite e che ne valuti la
funzionalità e l'adeguatezza;
o) richiede di essere periodicamente informato sulla efficacia e sull'adeguatezza
del sistema di controllo interno e di gestione dei rischi e che gli siano riferite
con tempestività le criticità più significative, siano esse individuate dall'alta
direzione, dalla funzione di revisione interna, dalle funzioni di risk
management e di compliance, dal personale, impartendo con tempestività le
direttive per l'adozione di misure correttive, di cui successivamente valuta
l'efficacia;
p) individua particolari eventi o circostanze che richiedono un immediato
intervento da parte dell'alta direzione;
q) assicura che sussista un'idonea e continua interazione tra tutti i comitati
istituiti all'interno dell'organo amministrativo stesso, l'alta direzione e le
funzioni di risk management, di compliance e di revisione interna, anche
mediante interventi proattivi per garantirne l'efficacia;
r) assicura un aggiornamento professionale continuo, esteso anche ai
componenti dell'organo stesso, predisponendo, altresì, piani di formazione
adeguati ad assicurare il bagaglio di competenze tecniche necessario per
svolgere con consapevolezza il proprio ruolo nel rispetto della natura, della
portata e della complessità dei compiti assegnati e preservare le proprie
conoscenze nel tempo;
s) effettua, almeno una volta l'anno, una valutazione sulla dimensione, sulla
composizione e sul funzionamento dell'organo amministrativo nel suo
complesso, nonché dei suoi comitati, esprimendo orientamenti sulle figure
professionali la cui presenza nell'organo amministrativo sia ritenuta opportuna
e proponendo eventuali azioni correttive.
3. L'organo amministrativo assicura che la relazione sul sistema dei controlli interni
e di gestione dei rischi illustri in modo adeguato ed esaustivo la struttura
10
Provvedimenti IVASS
organizzativa dell'impresa e rappresenta le ragioni che rendono tale struttura
idonea ad assicurare la completezza, la funzionalità ed efficacia del sistema dei
controlli interni e di gestione dei rischi.
4. L'organo amministrativo informa senza indugio l'Autorità di Vigilanza qualora
vengano apportate significative modifiche alla struttura organizzativa dell'impresa
illustrando le cause interne o esterne che hanno reso necessari tali interventi.
5. Le politiche di cui al comma 2 lettere d), h), k), l) e m) contengono almeno gli
elementi riportati nell'allegato 1 al presente regolamento."
Art. 5
(Modifiche all'articolo 7 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1. L'articolo 7 del Regolamento ISVAP n. 20 del 26 marzo 2008, è modificato come
segue:
a) alla lettera b) del comma 2, dopo le parole: "di valutazione" sono inserite le
parole: ", anche prospettica";
b) dopo la lettera b) del comma 2, è inserita la seguente lettera: "b-bis) attua,
tenuto conto degli obiettivi strategici ed in coerenza con la politica di gestione
dei rischi, le politiche di sottoscrizione, di riservazione, di riassicurazione e di
altre tecniche di mitigazione del rischio nonché di gestione del rischio
operativo;".
Art. 6
(Modifiche all'articolo 8 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1.Al comma 2 dell'articolo 8 del Regolamento ISVAP n. 20 del 26 marzo 2008, la parola:
"funzioni" è sostituita dalla parola: "compiti".
Art. 7
(Modifiche all'articolo 11 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1. L'articolo 11 del Regolamento ISVAP n. 20 del 26 marzo 2008, è modificato come
segue:
a) al comma 1, le parole: "alle dimensioni, natura e complessità degli affari" sono
sostituite dalle parole: "alla natura, alla portata ed alla complessità dei rischi
inerenti all'attività dell'impresa";
b) al comma 3, le parole: "le dimensioni aziendali, le imprese assicurano" sono
sostituite dalle parole: "la natura, la portata e la complessità delle operazioni
dell'impresa, quest'ultima assicura".
Art. 8
(Inserimento dell'articolo 12 bis - Sistema di gestione dei dati, nel Regolamento ISVAP n. 20
del 26 marzo 2008)
1.Nel Regolamento ISVAP n. 20 del 26 marzo 2008, dopo l'articolo 12, è inserito il
seguente:
11
Bollettino IVASS n. 4/2014
"Art. 12 bis (Sistema di gestione dei dati)
1.Le imprese prevedono un sistema di registrazione e di reportistica dei dati che ne
consenta la tracciabilità al fine di poter disporre di informazioni complete ed
aggiornate sugli elementi che possono incidere sul profilo di rischio dell'impresa e
sulla sua situazione di solvibilità.
2. Il sistema di cui al comma 1 assicura nel continuo l'integrità, la completezza e la
correttezza dei dati conservati e delle informazioni rappresentate anche al fine di
consentire una ricostruzione dell'attività svolta e l'individuazione dei relativi
responsabili; garantisce altresì l'agevole verifica delle informazioni registrate.
3. L'impresa definisce uno standard aziendale di data governance che individua ruoli e
responsabilità delle funzioni coinvolte nell'utilizzo e nel trattamento delle informazioni
aziendali.
4. Nel caso l'impresa ricorra ad un data warehouse aziendale, per finalità di analisi e
di reportistica, le procedure di estrazione dei dati, di controllo e di caricamento negli
archivi accentrati – al pari dell'attività di utilizzo dei dati – sono documentati al fine di
consentire la verifica della qualità delle informazioni.
5. Le procedure di gestione e aggregazione dei dati sono documentate, con
indicazione specifica delle circostanze in cui è consentita l'immissione manuale o
rettifica dei dati aziendali.
6. I processi di acquisizione dei dati da strutture esterne sono documentati e presidiati.
7. I dati sono conservati con granularità adeguata a consentire le diverse analisi e
aggregazione richieste dalle possibili procedure di utilizzo."
8. In sede di prima applicazione delle disposizioni di cui al presente articolo le imprese
preparano un piano di implementazione entro il 31 ottobre 2014.
Art. 9
(Modifiche all'articolo 13 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1. L'articolo 13 del Regolamento ISVAP n. 20 del 26 marzo 2008, è modificato come
segue:
a) al comma 1, dopo le parole: "ove applicabile," sono inserite le parole: "e della
valutazione attuale e prospettica dei rischi a livello di gruppo che la
capogruppo svolge ai sensi dell'articolo 27, comma 5," e le parole: "una
funzione specifica per la produzione di tali dati e informazioni" sono sostituite
dalle parole: "idonee misure di raccolta e di coordinamento tra i flussi
informativi della vigilanza supplementare e quelli del gruppo assicurativo e
della impresa";
b) al comma 2, la parola: "ISVAP" è sostituita dalla parola: "IVASS".
Art. 10
(Modifiche all'articolo 14 del Regolamento ISVAP n. 20 del 26 marzo 2008)
12
Provvedimenti IVASS
1.Al comma 1 dell'articolo 14 del Regolamento ISVAP n. 20 del 26 marzo 2008, le
parole: "alle dimensioni e all'attività dell'impresa" sono sostituite dalle parole: "alla
natura, alla portata ed alla complessità dell'attività dell'impresa, nonché dei
conseguenti rischi".
Art. 11
(Modifiche all'articolo 15 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1. L'articolo 15 del Regolamento ISVAP n. 20 del 26 marzo 2008, è sostituito dal
seguente:
"Articolo 15 (Funzione di revisione interna)
1. Le imprese istituiscono una funzione di revisione interna, incaricata di monitorare
e valutare l'efficacia e l'efficienza del sistema di controllo interno e la necessità di
adeguamento, anche attraverso attività di supporto e di consulenza alle altre
funzioni aziendali.
2. La funzione di revisione interna deve presentare le seguenti caratteristiche:
a) la collocazione della funzione nell'ambito della struttura organizzativa deve
essere tale da garantirne l'indipendenza e l'autonomia, affinché non ne sia
compromessa l'obiettività di giudizio; la funzione di revisione interna non
dipende gerarchicamente da alcun responsabile di aree operative; ai soggetti
preposti alla funzione di revisione interna non devono essere affidate
responsabilità operative o incarichi di verifica di attività per le quali abbiano
avuto in precedenza autorità o responsabilità se non sia trascorso un
ragionevole periodo di tempo;
b) agli incaricati della funzione deve essere consentita libertà di accesso a tutte
le strutture aziendali e alla documentazione relativa all'area aziendale oggetto
di verifica, incluse le informazioni utili per la verifica dell'adeguatezza dei
controlli svolti sulle funzioni aziendali esternalizzate;
c) la funzione deve avere collegamenti organici con tutti i centri titolari di funzioni
di controllo interno;
d) la struttura dedicata deve essere adeguata in termini di risorse umane e
tecnologiche alla natura, alla portata e alla complessità dell'attività
dell'impresa ed agli obiettivi di sviluppo che la stessa intende perseguire. Gli
addetti alla struttura devono possedere competenze specialistiche e deve
esserne curato l'aggiornamento professionale.
3. La funzione di revisione interna uniforma la propria attività agli standard
professionali comunemente accettati a livello nazionale ed internazionale e
verifica:
a) i processi gestionali e le procedure organizzative;
b) la regolarità e la funzionalità dei flussi informativi tra settori aziendali;
c) l'adeguatezza dei sistemi informativi e la loro affidabilità affinché non sia
inficiata la qualità delle informazioni sulle quali il vertice aziendale basa le
proprie decisioni;
d) la rispondenza dei processi amministrativo contabili a criteri di correttezza e di
regolare tenuta della contabilità;
e) l'efficienza dei controlli svolti sulle attività esternalizzate.
4. Durante l'esecuzione dell'attività di audit e in sede di valutazione e segnalazione
delle relative risultanze, la funzione di revisione interna svolge i compiti ad essa
13
Bollettino IVASS n. 4/2014
assegnati con autonomia ed obiettività di giudizio, in modo da preservare la
propria indipendenza e imparzialità, in coerenza con le direttive a tal fine definite
dall'organo amministrativo.
5. La revisione interna si conclude con l'attività di follow-up, consistente nella
verifica a distanza di tempo dell'efficacia delle correzioni apportate al sistema."
Art. 12
(Inserimento dell'articolo 15 bis - Responsabile della funzione di revisione interna, nel
Regolamento ISVAP n. 20 del 26 marzo 2008)
1.Nel Regolamento ISVAP n. 20 del 26 marzo 2008, dopo l'articolo 15, è inserito il
seguente:
"Art. 15 bis (Responsabile della funzione di revisione interna)
1. Il responsabile della funzione è nominato e revocato dall'organo amministrativo,
sentito il Collegio Sindacale e, ove presente, anche il Comitato di Controllo
Interno, e soddisfa i requisiti di idoneità alla carica fissati dalla politica di cui
all'articolo 5, comma 2 lettera l). I compiti attribuiti al responsabile della funzione
sono chiaramente definiti ed approvati con delibera dell'organo amministrativo,
che ne fissa anche poteri, responsabilità e modalità di reportistica all' organo
amministrativo stesso.
2. Il responsabile della funzione è dotato dell'autorità necessaria a garantire
l'indipendenza della stessa.
3. Il responsabile della funzione di revisione interna pianifica annualmente l'attività
in modo da identificare le aree da sottoporre prioritariamente a revisione. Tale
piano e il relativo livello di priorità deve essere coerente con i principali rischi cui
l'impresa è esposta. La programmazione degli interventi di verifica tiene conto sia
delle eventuali carenze emerse nei controlli già eseguiti sia di eventuali nuovi
rischi identificati. Il piano include anche attività di verifica delle componenti del
sistema dei controlli interni ed in particolare del flusso informativo e del sistema
informatico. Il piano di audit è approvato dall'organo amministrativo ed individua,
almeno, le attività a rischio, le operazioni e i sistemi da verificare, descrivendo i
criteri sulla base dei quali sono stati selezionati e specificando le risorse
necessarie all'esecuzione del piano. Analogo procedimento è seguito in caso di
variazioni significative ai piani approvati, che comunque sono definiti in modo da
fronteggiare le esigenze impreviste.
4. Ove necessario, potranno essere effettuate verifiche non previste dal piano di
audit.
5. A seguito dell'analisi sull'attività oggetto di controllo, il responsabile della funzione
di revisione interna procede, secondo le modalità e la periodicità fissata
dall'organo amministrativo, a comunicare all'organo amministrativo, all'alta
direzione ed all'organo di controllo, la valutazione delle risultanze e le eventuali
disfunzioni e criticità; resta fermo l'obbligo di segnalare con urgenza all'organo
amministrativo e a quello di controllo le situazioni di particolare gravità. I rapporti
di audit devono essere obiettivi, chiari, concisi, tempestivi, contenere
suggerimenti per eliminare le carenze riscontrate, riportando raccomandazioni in
ordine ai tempi per la loro rimozione e sono conservati presso la sede della
14
Provvedimenti IVASS
società. Le risultanze della specifica area oggetto di controllo sono altresì
comunicate al responsabile della funzione interessata dall'attività di revisione.
6. Il responsabile della funzione di revisione interna presenta, almeno annualmente,
una relazione all'organo amministrativo sull'attività svolta che riepiloga tutte le
verifiche effettuate, i risultati emersi, i punti di debolezza o carenze rilevate e le
raccomandazioni formulate per la loro rimozione; nella relazione riepilogativa
devono essere inclusi anche gli interventi di follow-up con indicazione degli esiti
delle verifiche di cui all'art. 15, comma 5, dei soggetti e/o funzioni designati per la
rimozione, del tipo, dell'efficacia e della tempistica dell'intervento da essi
effettuato per rimuovere le criticità inizialmente rilevate."
Art. 13
(Modifiche all'articolo 16 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1.Al comma 1 dell'articolo 16 del Regolamento ISVAP n. 20 del 26 marzo 2008, le
parole: "le ridotte dimensioni e per le caratteristiche operative" sono sostituite dalle
parole: "la ridotta portata e complessità dei rischi inerenti all'attività dell'impresa".
Art. 14
(Modifiche all'articolo 18 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1. L'articolo 18 del Regolamento ISVAP n. 20 del 26 marzo 2008, è sostituito dal
seguente:
"Art. 18 (Obiettivi del sistema di gestione dei rischi)
1. Il sistema di gestione dei rischi di cui si dota l'impresa include le strategie, i
processi, le procedure anche di reportistica necessarie per individuare, misurare,
valutare, monitorare, gestire e segnalare su base continuativa i rischi attuali e
prospettici a livello individuale e aggregato cui l'impresa è o potrebbe essere
esposta e le relative interdipendenze.
2. Al fine di mantenere ad un livello accettabile, coerente con le disponibilità
patrimoniali, i rischi cui sono esposte, le imprese si dotano di un adeguato
sistema di gestione dei rischi, in linea con la politica di gestione del rischio,
proporzionato alla natura, alla portata e alla complessità dell'attività esercitata,
che consenta la identificazione, la valutazione anche prospettica e il controllo dei
rischi, con particolare attenzione a quelli maggiormente significativi; per tali si
intendono i rischi le cui conseguenze possono minare la solvibilità dell'impresa o
costituire un serio ostacolo alla realizzazione degli obiettivi aziendali.
3. Le politiche di assunzione, valutazione e gestione dei rischi sono definite e
implementate avendo a riferimento la visione integrata delle attività e delle
passività di bilancio, considerando che lo sviluppo di tecniche e modelli di asset–
liability management è fondamentale per la corretta comprensione e la gestione
delle esposizioni al rischio che possono derivare dalle interrelazioni e dal
mancato equilibrio tra attività e passività. La politica di gestione dei rischi
considera altresì il rischio derivante dagli investimenti, ivi incluso quello di
liquidità, tenuto conto del cd. prudent person principle che, per gli obiettivi di cui
al comma 1, è alla base delle scelte degli investimenti dell'impresa.
15
Bollettino IVASS n. 4/2014
4. Le politiche di sottoscrizione, di riservazione, di riassicurazione e di altre
tecniche di mitigazione del rischio nonché di gestione del rischio operativo
devono tener conto degli obiettivi strategici dell'impresa ed essere coerenti con
la politica di gestione dei rischi di cui al precedente comma 2. Ai fini della
gestione del rischio operativo, le imprese individuano adeguate metodologie di
analisi che tengano conto anche dell'insorgenza di eventi esterni."
Art. 15
(Modifiche all'articolo 19 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1. L'articolo 19 del Regolamento ISVAP n. 20 del 26 marzo 2008, è sostituito dal
seguente:
"Art. 19 (Individuazione dei rischi)
1. Le imprese provvedono a definire le categorie di rischio in funzione della natura,
della portata e della complessità dei rischi inerenti all'attività svolta, in un'ottica
attuale e prospettica. La catalogazione include almeno i seguenti rischi:
a)rischio di assunzione: il rischio derivante dalla sottoscrizione dei contratti di
assicurazione, associato agli eventi coperti, ai processi seguiti per la
tariffazione e selezione dei rischi, all'andamento sfavorevole della
sinistralità effettiva rispetto a quella stimata;
b)rischio di riservazione: il rischio legato alla quantificazione di riserve
tecniche non sufficienti rispetto agli impegni assunti verso assicurati e
danneggiati;
c) rischio di mercato: il rischio di perdite in dipendenza di variazioni dei tassi
di interesse, dei corsi azionari, dei tassi di cambio e dei prezzi degli
immobili;
d)rischio di credito: il rischio legato all'inadempimento contrattuale degli
emittenti degli strumenti finanziari, dei riassicuratori, degli intermediari e
di altre controparti;
e)rischio di liquidità: il rischio di non poter adempiere alle obbligazioni verso
gli assicurati e altri creditori a causa della difficoltà a trasformare gli
investimenti in liquidità senza subire perdite;
f) rischio operativo: il rischio di perdite derivanti da inefficienze di persone,
processi e sistemi, inclusi quelli utilizzati per la vendita a distanza, o da
eventi esterni, quali la frode o l'attività dei fornitori di servizi;
g)rischio legato all'appartenenza al gruppo: rischio di "contagio", inteso come
rischio che, a seguito dei rapporti intercorrenti dall'impresa con le altre
entità del gruppo, situazioni di difficoltà che insorgono in un'entità del
medesimo gruppo possano propagarsi con effetti negativi sulla solvibilità
dell'impresa stessa; rischio di conflitto di interessi;
h)rischio di non conformità alle norme: il rischio di incorrere in sanzioni
giudiziarie o amministrative, subire perdite o danni reputazionali in
conseguenza della mancata osservanza di leggi, regolamenti o
provvedimenti delle Autorità di vigilanza ovvero di norme di
autoregolamentazione, quali statuti, codici di condotta o codici di
autodisciplina; rischio derivante da modifiche sfavorevoli del quadro
normativo o degli orientamenti giurisprudenziali;
i) rischio reputazionale: il rischio di deterioramento dell'immagine aziendale e
di aumento della conflittualità con gli assicurati, dovuto anche alla scarsa
qualità dei servizi offerti, al collocamento di polizze non adeguate o al
comportamento della rete di vendita.
16

1.1 PROVVEDIMENTI DI CARATTERE GENERALE
Provvedimento n. 17 del 15 aprile 2014
Modifiche ed integrazioni al Regolamento ISVAP n. 20 del 26 marzo 2008 concernente
le disposizioni in materia di controlli interni, gestione dei rischi, compliance ed
esternalizzazione delle attività delle imprese di assicurazione, ai sensi degli articoli 87
e 191, comma 1, del decreto legislativo 7 settembre 2005, n. 209 – Codice delle
assicurazioni private, al Regolamento ISVAP n. 36 del 31 gennaio 2011, concernente
le linee guida in materia di investimenti e di attivi a copertura delle riserve tecniche di
cui agli articoli 38, comma 2, 39, comma 3, 40, comma 3, 42, comma 3 e 191, comma 1,
lettera d) del decreto legislativo 7 settembre 2005, n. 209 - codice delle Assicurazioni
Private, al Regolamento ISVAP n. 15 del 20 febbraio 2008, concernente il gruppo
assicurativo di cui al titolo vii (assetti proprietari e gruppo assicurativo), capo iv
(gruppo assicurativo) del decreto legislativo 7 settembre 2005, n. 209 – Codice delle
Assicurazioni Private e alla tabella allegata al Regolamento ISVAP n. 2 del 9 maggio
2006.
L’ISTITUTO PER LA VIGILANZA SULLE ASSICURAZIONI
VISTA la legge 12 agosto 1982, n. 576, recante la riforma della vigilanza sulle
assicurazioni e le successive disposizioni modificative ed integrative;
VISTO il decreto legislativo 7 settembre 2005, n. 209 e successive modificazioni ed
integrazioni, recante il Codice delle Assicurazioni Private;
VISTO il decreto legge 6 luglio 2012 n. 95, recante “Disposizioni urgenti per la
revisione della spesa pubblica con invarianza dei servizi ai cittadini”, convertito con legge 7
agosto 2012 n. 135, istitutivo dell’IVASS;
VISTO il Regolamento ISVAP n. 20 del 26 marzo 2008 e successive modificazioni
ed integrazioni;
VISTO il Regolamento ISVAP n. 36 del 31 gennaio 2011 e successive
modificazioni ed integrazioni;
VISTO il Regolamento ISVAP n. 15 del 20 febbraio 2008;
VISTO il Regolamento ISVAP n. 2 del 9 maggio 2006 recante “Attuazione degli
articoli 2 e 4 della legge 7 agosto 1990, n. 241, concernente la determinazione dei termini di
conclusione e delle unità organizzative responsabili dei procedimenti dell’ISVAP”, ed in
particolare la Tabella allegata;
PREMESSO che le modifiche al Regolamento ISVAP n. 20 del 26 marzo 2008 e al
Regolamento ISVAP n. 36 del 31 gennaio 2011, apportate con il presente Provvedimento,
sono state oggetto di pubblica consultazione dal 14 gennaio 2014 al 28 febbraio 2014;
adotta il seguente:
7
Bollettino IVASS n. 4/2014
PROVVEDIMENTO
Art. 1
(Modifiche all’articolo 2 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1.Alla lettera h) del comma 1 dell’articolo 2 del Regolamento ISVAP n. 20 del 26 marzo
2008, dopo le parole: “ISVAP o Autorità” sono inserite le parole: “ovvero ‘IVASS’:
l’Istituto per la vigilanza sulle assicurazioni private e di interesse collettivo a cui è
succeduto l’IVASS, Istituto per la Vigilanza sulle assicurazioni, ai sensi dell’articolo
13 del decreto legge 6 luglio 2012, n. 95, convertito con legge 7 agosto 2012, n.
135”.
Art. 2
(Modifiche all’articolo 3 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1. Alla lettera d) del comma 1 dell’articolo 3 del Regolamento ISVAP n. 20 del 26 marzo
2008, sono aggiunte, in fine, le parole: “ed all’articolo 28 bis”.
Art. 3
(Modifiche all’articolo 4 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1. L’articolo 4 del Regolamento ISVAP n. 20 del 26 marzo 2008, è modificato come
segue:
a) al comma 1, le parole: “proporzionati alle dimensioni e alle caratteristiche
operative dell’impresa e alla natura e alla intensità” sono sostituite dalle
parole: “proporzionato alla natura, alla portata e alla complessità” e sono
aggiunte, in fine, le parole: “attuali e prospettici, inerenti all’attività
dell’impresa.”;
b) alla lettera b) del comma 2, dopo le parole: “dei rischi” sono inserite le parole:
“attuali e prospettici”;
c) dopo la lettera b) del comma 2, è inserita la seguente lettera: “b-bis) la
tempestività del sistema di reporting delle informazioni aziendali”;
d) alla lettera d) del comma 2, dopo le parole: “del patrimonio” sono inserite le
parole: “anche in un’ottica di medio-lungo periodo”;
e) dopo il comma 2 è aggiunto il seguente comma: “2 bis. I presidi relativi al
sistema dei controlli interni e di gestione dei rischi coprono ogni tipologia di
rischio aziendale, anche secondo una visione prospettica ed in
considerazione della salvaguardia del patrimonio. La responsabilità è rimessa
agli organi sociali, ciascuno secondo le rispettive competenze. L’articolazione
delle attività aziendali nonché dei compiti e delle responsabilità degli organi
sociali e delle funzioni deve essere chiaramente definita.”
Art. 4
(Modifiche all’articolo 5 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1. L’articolo 5 del Regolamento ISVAP n. 20 del 26 marzo 2008, è sostituito dal
seguente:
“Art. 5 (Organo amministrativo)
8
Provvedimenti IVASS
1. L’organo amministrativo ha la responsabilità ultima dei sistemi dei controlli interni
e di gestione dei rischi dei quali assicura la costante completezza, funzionalità
ed efficacia, anche con riferimento alle attività esternalizzate. L’organo
amministrativo assicura che il sistema di gestione dei rischi consenta
l’identificazione, la valutazione anche prospettica e il controllo dei rischi, ivi
compresi quelli derivanti dalla non conformità alle norme, garantendo l’obiettivo
della salvaguardia del patrimonio, anche in un’ottica di medio-lungo periodo.
2. Ai fini di cui al comma 1, l’organo amministrativo nell’ambito dei compiti di
indirizzo strategico e organizzativo di cui all’articolo 2381 del codice civile:
a) approva l’assetto organizzativo dell’impresa nonché l’attribuzione di compiti e
di responsabilità alle unità operative, curandone l’adeguatezza nel tempo, in
modo da poterli adattare tempestivamente ai mutamenti degli obiettivi
strategici e del contesto di riferimento in cui la stessa opera;
b) assicura che siano adottati e formalizzati adeguati processi decisionali e che
sia attuata una appropriata separazione di funzioni;
c) approva, curandone l’adeguatezza nel tempo, il sistema delle deleghe di
poteri e responsabilità, avendo cura di evitare l’eccessiva concentrazione di
poteri in un singolo soggetto e ponendo in essere strumenti di verifica
sull’esercizio dei poteri delegati, con conseguente possibilità di prevedere
adeguati piani di emergenza (c.d. “contingency arrangements”) qualora
decida di avocare a sé i poteri delegati;
d) definisce le direttive in materia di sistema dei controlli interni, rivedendole
almeno una volta l’anno e curandone l’adeguamento alla evoluzione
dell’operatività aziendale e delle condizioni esterne. Nell’ambito di tali direttive
è ricompresa anche la politica relativa alle funzioni di risk management,
compliance e di revisione interna. Verifica altresì che il sistema dei controlli
interni sia coerente con gli indirizzi strategici e la propensione al rischio
stabiliti e sia in grado di cogliere l’evoluzione dei rischi aziendali e
l’interazione tra gli stessi;
e) approva la politica di valutazione attuale e prospettica dei rischi, i criteri e le
metodologie seguite per le valutazioni, con particolare riguardo a quelli
maggiormente significativi; approva gli esiti delle valutazioni e li comunica
all’alta direzione ed alle strutture interessate unitamente alle conclusioni cui lo
stesso è pervenuto (approccio c.d. top down);
f) determina, sulla base delle valutazioni di cui alla lettera e), la propensione al
rischio dell’impresa in coerenza con l’obiettivo di salvaguardia del patrimonio
della stessa, fissando in modo coerente i livelli di tolleranza al rischio che
rivede almeno una volta l’anno, al fine di assicurarne l’efficacia nel tempo;
g) approva, sulla base degli elementi di cui alle lettere e) ed f), la politica di
gestione del rischio e le strategie anche in un’ottica di medio-lungo periodo
nonché i piani di emergenza (c.d. contingency plan) di cui all’articolo 19,
comma 4 al fine di garantire la regolarità e continuità aziendale;
h) approva, tenuto conto degli obiettivi strategici ed in coerenza con la politica di
gestione dei rischi, le politiche di sottoscrizione, di riservazione, di
riassicurazione e di altre tecniche di mitigazione del rischio nonché di
gestione del rischio operativo, in coerenza con le lettere e), f) e g);
i) definisce, ove ne ricorrano i presupposti, le direttive e i criteri per la
circolazione e la raccolta dei dati e delle informazioni utili a fini dell’esercizio
della vigilanza supplementare di cui al Titolo XV del decreto, nonché le
direttive in materia di controllo interno per la verifica della completezza e
tempestività dei relativi flussi informativi;
j) approva un documento, coerente con le disposizioni di cui alle lettere a), d),
e) ed f) da diffondere a tutte le strutture interessate, in cui sono definiti i) i
compiti e le responsabilità degli organi sociali, dei comitati consiliari e delle
9
Bollettino IVASS n. 4/2014
funzioni di risk management, di compliance e di revisione interna; ii) i flussi
informativi, ivi comprese le tempistiche, tra le diverse funzioni, comitati
consiliari e tra questi e gli organi sociali e iii), nel caso in cui gli ambiti di
controllo presentino aree di potenziale sovrapposizione o permettano di
sviluppare sinergie, le modalità di coordinamento e di collaborazione tra di
essi e con le funzioni operative. Nel definire le modalità di raccordo, le
imprese prestano attenzione a non alterare, anche nella sostanza, le
responsabilità ultime degli organi sociali sul sistema dei controlli interni;
k) approva la politica aziendale, di cui all’articolo 31, in materia di
esternalizzazione;
l) approva la politica aziendale per la valutazione del possesso dei requisiti di
idoneità alla carica, in termini di onorabilità, professionalità e indipendenza,
dei soggetti preposti alle funzioni di amministrazione, di direzione e di
controllo nonché dei responsabili delle funzioni di risk management,
compliance e revisione interna, o in caso di esternalizzazione di queste ultime
all’interno o all’esterno del gruppo, rispettivamente, dei referenti interni o dei
soggetti responsabili delle attività di controllo delle attività esternalizzate di cui
all’art. 33, comma 3. Valuta la sussistenza dei requisiti in capo a tali soggetti
con cadenza almeno annuale. In particolare, tale politica assicura che
l’organo amministrativo sia nel suo complesso in possesso di adeguate
competenze tecniche almeno in materia di mercati assicurativi e finanziari,
sistemi di governance, analisi finanziaria ed attuariale, quadro regolamentare,
strategie commerciali e modelli d’impresa;
m) approva la politica delle segnalazioni destinate all’IVASS (c.d. reporting
policy), in coerenza con le vigenti disposizioni normative;
n) verifica che l’alta direzione implementi correttamente il sistema dei controlli
interni e di gestione dei rischi secondo le direttive impartite e che ne valuti la
funzionalità e l’adeguatezza;
o) richiede di essere periodicamente informato sulla efficacia e sull’adeguatezza
del sistema di controllo interno e di gestione dei rischi e che gli siano riferite
con tempestività le criticità più significative, siano esse individuate dall’alta
direzione, dalla funzione di revisione interna, dalle funzioni di risk
management e di compliance, dal personale, impartendo con tempestività le
direttive per l’adozione di misure correttive, di cui successivamente valuta
l’efficacia;
p) individua particolari eventi o circostanze che richiedono un immediato
intervento da parte dell’alta direzione;
q) assicura che sussista un’idonea e continua interazione tra tutti i comitati
istituiti all’interno dell’organo amministrativo stesso, l’alta direzione e le
funzioni di risk management, di compliance e di revisione interna, anche
mediante interventi proattivi per garantirne l’efficacia;
r) assicura un aggiornamento professionale continuo, esteso anche ai
componenti dell’organo stesso, predisponendo, altresì, piani di formazione
adeguati ad assicurare il bagaglio di competenze tecniche necessario per
svolgere con consapevolezza il proprio ruolo nel rispetto della natura, della
portata e della complessità dei compiti assegnati e preservare le proprie
conoscenze nel tempo;
s) effettua, almeno una volta l’anno, una valutazione sulla dimensione, sulla
composizione e sul funzionamento dell’organo amministrativo nel suo
complesso, nonché dei suoi comitati, esprimendo orientamenti sulle figure
professionali la cui presenza nell’organo amministrativo sia ritenuta opportuna
e proponendo eventuali azioni correttive.
3. L’organo amministrativo assicura che la relazione sul sistema dei controlli interni
e di gestione dei rischi illustri in modo adeguato ed esaustivo la struttura
10
Provvedimenti IVASS
organizzativa dell’impresa e rappresenta le ragioni che rendono tale struttura
idonea ad assicurare la completezza, la funzionalità ed efficacia del sistema dei
controlli interni e di gestione dei rischi.
4. L’organo amministrativo informa senza indugio l’Autorità di Vigilanza qualora
vengano apportate significative modifiche alla struttura organizzativa dell’impresa
illustrando le cause interne o esterne che hanno reso necessari tali interventi.
5. Le politiche di cui al comma 2 lettere d), h), k), l) e m) contengono almeno gli
elementi riportati nell’allegato 1 al presente regolamento.”
Art. 5
(Modifiche all’articolo 7 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1. L’articolo 7 del Regolamento ISVAP n. 20 del 26 marzo 2008, è modificato come
segue:
a) alla lettera b) del comma 2, dopo le parole: “di valutazione” sono inserite le
parole: “, anche prospettica”;
b) dopo la lettera b) del comma 2, è inserita la seguente lettera: “b-bis) attua,
tenuto conto degli obiettivi strategici ed in coerenza con la politica di gestione
dei rischi, le politiche di sottoscrizione, di riservazione, di riassicurazione e di
altre tecniche di mitigazione del rischio nonché di gestione del rischio
operativo;”.
Art. 6
(Modifiche all’articolo 8 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1.Al comma 2 dell’articolo 8 del Regolamento ISVAP n. 20 del 26 marzo 2008, la parola:
“funzioni” è sostituita dalla parola: “compiti”.
Art. 7
(Modifiche all’articolo 11 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1. L’articolo 11 del Regolamento ISVAP n. 20 del 26 marzo 2008, è modificato come
segue:
a) al comma 1, le parole: “alle dimensioni, natura e complessità degli affari” sono
sostituite dalle parole: “alla natura, alla portata ed alla complessità dei rischi
inerenti all’attività dell’impresa”;
b) al comma 3, le parole: “le dimensioni aziendali, le imprese assicurano” sono
sostituite dalle parole: “la natura, la portata e la complessità delle operazioni
dell’impresa, quest’ultima assicura”.
Art. 8
(Inserimento dell’articolo 12 bis - Sistema di gestione dei dati, nel Regolamento ISVAP n. 20
del 26 marzo 2008)
1.Nel Regolamento ISVAP n. 20 del 26 marzo 2008, dopo l’articolo 12, è inserito il
seguente:
11
Bollettino IVASS n. 4/2014
“Art. 12 bis (Sistema di gestione dei dati)
1.Le imprese prevedono un sistema di registrazione e di reportistica dei dati che ne
consenta la tracciabilità al fine di poter disporre di informazioni complete ed
aggiornate sugli elementi che possono incidere sul profilo di rischio dell’impresa e
sulla sua situazione di solvibilità.
2. Il sistema di cui al comma 1 assicura nel continuo l’integrità, la completezza e la
correttezza dei dati conservati e delle informazioni rappresentate anche al fine di
consentire una ricostruzione dell’attività svolta e l’individuazione dei relativi
responsabili; garantisce altresì l’agevole verifica delle informazioni registrate.
3. L’impresa definisce uno standard aziendale di data governance che individua ruoli e
responsabilità delle funzioni coinvolte nell’utilizzo e nel trattamento delle informazioni
aziendali.
4. Nel caso l’impresa ricorra ad un data warehouse aziendale, per finalità di analisi e
di reportistica, le procedure di estrazione dei dati, di controllo e di caricamento negli
archivi accentrati – al pari dell’attività di utilizzo dei dati – sono documentati al fine di
consentire la verifica della qualità delle informazioni.
5. Le procedure di gestione e aggregazione dei dati sono documentate, con
indicazione specifica delle circostanze in cui è consentita l’immissione manuale o
rettifica dei dati aziendali.
6. I processi di acquisizione dei dati da strutture esterne sono documentati e presidiati.
7. I dati sono conservati con granularità adeguata a consentire le diverse analisi e
aggregazione richieste dalle possibili procedure di utilizzo.”
8. In sede di prima applicazione delle disposizioni di cui al presente articolo le imprese
preparano un piano di implementazione entro il 31 ottobre 2014.
Art. 9
(Modifiche all’articolo 13 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1. L’articolo 13 del Regolamento ISVAP n. 20 del 26 marzo 2008, è modificato come
segue:
a) al comma 1, dopo le parole: “ove applicabile,” sono inserite le parole: “e della
valutazione attuale e prospettica dei rischi a livello di gruppo che la
capogruppo svolge ai sensi dell’articolo 27, comma 5,” e le parole: “una
funzione specifica per la produzione di tali dati e informazioni” sono sostituite
dalle parole: “idonee misure di raccolta e di coordinamento tra i flussi
informativi della vigilanza supplementare e quelli del gruppo assicurativo e
della impresa”;
b) al comma 2, la parola: “ISVAP” è sostituita dalla parola: “IVASS”.
Art. 10
(Modifiche all’articolo 14 del Regolamento ISVAP n. 20 del 26 marzo 2008)
12
Provvedimenti IVASS
1.Al comma 1 dell’articolo 14 del Regolamento ISVAP n. 20 del 26 marzo 2008, le
parole: “alle dimensioni e all’attività dell’impresa” sono sostituite dalle parole: “alla
natura, alla portata ed alla complessità dell’attività dell’impresa, nonché dei
conseguenti rischi”.
Art. 11
(Modifiche all’articolo 15 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1. L’articolo 15 del Regolamento ISVAP n. 20 del 26 marzo 2008, è sostituito dal
seguente:
“Articolo 15 (Funzione di revisione interna)
1. Le imprese istituiscono una funzione di revisione interna, incaricata di monitorare
e valutare l’efficacia e l’efficienza del sistema di controllo interno e la necessità di
adeguamento, anche attraverso attività di supporto e di consulenza alle altre
funzioni aziendali.
2. La funzione di revisione interna deve presentare le seguenti caratteristiche:
a) la collocazione della funzione nell’ambito della struttura organizzativa deve
essere tale da garantirne l’indipendenza e l’autonomia, affinché non ne sia
compromessa l’obiettività di giudizio; la funzione di revisione interna non
dipende gerarchicamente da alcun responsabile di aree operative; ai soggetti
preposti alla funzione di revisione interna non devono essere affidate
responsabilità operative o incarichi di verifica di attività per le quali abbiano
avuto in precedenza autorità o responsabilità se non sia trascorso un
ragionevole periodo di tempo;
b) agli incaricati della funzione deve essere consentita libertà di accesso a tutte
le strutture aziendali e alla documentazione relativa all’area aziendale oggetto
di verifica, incluse le informazioni utili per la verifica dell’adeguatezza dei
controlli svolti sulle funzioni aziendali esternalizzate;
c) la funzione deve avere collegamenti organici con tutti i centri titolari di funzioni
di controllo interno;
d) la struttura dedicata deve essere adeguata in termini di risorse umane e
tecnologiche alla natura, alla portata e alla complessità dell’attività
dell’impresa ed agli obiettivi di sviluppo che la stessa intende perseguire. Gli
addetti alla struttura devono possedere competenze specialistiche e deve
esserne curato l’aggiornamento professionale.
3. La funzione di revisione interna uniforma la propria attività agli standard
professionali comunemente accettati a livello nazionale ed internazionale e
verifica:
a) i processi gestionali e le procedure organizzative;
b) la regolarità e la funzionalità dei flussi informativi tra settori aziendali;
c) l’adeguatezza dei sistemi informativi e la loro affidabilità affinché non sia
inficiata la qualità delle informazioni sulle quali il vertice aziendale basa le
proprie decisioni;
d) la rispondenza dei processi amministrativo contabili a criteri di correttezza e di
regolare tenuta della contabilità;
e) l’efficienza dei controlli svolti sulle attività esternalizzate.
4. Durante l’esecuzione dell’attività di audit e in sede di valutazione e segnalazione
delle relative risultanze, la funzione di revisione interna svolge i compiti ad essa
13
Bollettino IVASS n. 4/2014
assegnati con autonomia ed obiettività di giudizio, in modo da preservare la
propria indipendenza e imparzialità, in coerenza con le direttive a tal fine definite
dall’organo amministrativo.
5. La revisione interna si conclude con l’attività di follow-up, consistente nella
verifica a distanza di tempo dell’efficacia delle correzioni apportate al sistema.”
Art. 12
(Inserimento dell’articolo 15 bis - Responsabile della funzione di revisione interna, nel
Regolamento ISVAP n. 20 del 26 marzo 2008)
1.Nel Regolamento ISVAP n. 20 del 26 marzo 2008, dopo l’articolo 15, è inserito il
seguente:
“Art. 15 bis (Responsabile della funzione di revisione interna)
1. Il responsabile della funzione è nominato e revocato dall’organo amministrativo,
sentito il Collegio Sindacale e, ove presente, anche il Comitato di Controllo
Interno, e soddisfa i requisiti di idoneità alla carica fissati dalla politica di cui
all’articolo 5, comma 2 lettera l). I compiti attribuiti al responsabile della funzione
sono chiaramente definiti ed approvati con delibera dell’organo amministrativo,
che ne fissa anche poteri, responsabilità e modalità di reportistica all’ organo
amministrativo stesso.
2. Il responsabile della funzione è dotato dell’autorità necessaria a garantire
l’indipendenza della stessa.
3. Il responsabile della funzione di revisione interna pianifica annualmente l’attività
in modo da identificare le aree da sottoporre prioritariamente a revisione. Tale
piano e il relativo livello di priorità deve essere coerente con i principali rischi cui
l’impresa è esposta. La programmazione degli interventi di verifica tiene conto sia
delle eventuali carenze emerse nei controlli già eseguiti sia di eventuali nuovi
rischi identificati. Il piano include anche attività di verifica delle componenti del
sistema dei controlli interni ed in particolare del flusso informativo e del sistema
informatico. Il piano di audit è approvato dall’organo amministrativo ed individua,
almeno, le attività a rischio, le operazioni e i sistemi da verificare, descrivendo i
criteri sulla base dei quali sono stati selezionati e specificando le risorse
necessarie all’esecuzione del piano. Analogo procedimento è seguito in caso di
variazioni significative ai piani approvati, che comunque sono definiti in modo da
fronteggiare le esigenze impreviste.
4. Ove necessario, potranno essere effettuate verifiche non previste dal piano di
audit.
5. A seguito dell’analisi sull’attività oggetto di controllo, il responsabile della funzione
di revisione interna procede, secondo le modalità e la periodicità fissata
dall’organo amministrativo, a comunicare all’organo amministrativo, all’alta
direzione ed all‘organo di controllo, la valutazione delle risultanze e le eventuali
disfunzioni e criticità; resta fermo l’obbligo di segnalare con urgenza all’organo
amministrativo e a quello di controllo le situazioni di particolare gravità. I rapporti
di audit devono essere obiettivi, chiari, concisi, tempestivi, contenere
suggerimenti per eliminare le carenze riscontrate, riportando raccomandazioni in
ordine ai tempi per la loro rimozione e sono conservati presso la sede della
14
Provvedimenti IVASS
società. Le risultanze della specifica area oggetto di controllo sono altresì
comunicate al responsabile della funzione interessata dall’attività di revisione.
6. Il responsabile della funzione di revisione interna presenta, almeno annualmente,
una relazione all’organo amministrativo sull’attività svolta che riepiloga tutte le
verifiche effettuate, i risultati emersi, i punti di debolezza o carenze rilevate e le
raccomandazioni formulate per la loro rimozione; nella relazione riepilogativa
devono essere inclusi anche gli interventi di follow-up con indicazione degli esiti
delle verifiche di cui all’art. 15, comma 5, dei soggetti e/o funzioni designati per la
rimozione, del tipo, dell’efficacia e della tempistica dell’intervento da essi
effettuato per rimuovere le criticità inizialmente rilevate.”
Art. 13
(Modifiche all’articolo 16 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1.Al comma 1 dell’articolo 16 del Regolamento ISVAP n. 20 del 26 marzo 2008, le
parole: “le ridotte dimensioni e per le caratteristiche operative” sono sostituite dalle
parole: “la ridotta portata e complessità dei rischi inerenti all’attività dell’impresa”.
Art. 14
(Modifiche all’articolo 18 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1. L’articolo 18 del Regolamento ISVAP n. 20 del 26 marzo 2008, è sostituito dal
seguente:
“Art. 18 (Obiettivi del sistema di gestione dei rischi)
1. Il sistema di gestione dei rischi di cui si dota l’impresa include le strategie, i
processi, le procedure anche di reportistica necessarie per individuare, misurare,
valutare, monitorare, gestire e segnalare su base continuativa i rischi attuali e
prospettici a livello individuale e aggregato cui l’impresa è o potrebbe essere
esposta e le relative interdipendenze.
2. Al fine di mantenere ad un livello accettabile, coerente con le disponibilità
patrimoniali, i rischi cui sono esposte, le imprese si dotano di un adeguato
sistema di gestione dei rischi, in linea con la politica di gestione del rischio,
proporzionato alla natura, alla portata e alla complessità dell’attività esercitata,
che consenta la identificazione, la valutazione anche prospettica e il controllo dei
rischi, con particolare attenzione a quelli maggiormente significativi; per tali si
intendono i rischi le cui conseguenze possono minare la solvibilità dell’impresa o
costituire un serio ostacolo alla realizzazione degli obiettivi aziendali.
3. Le politiche di assunzione, valutazione e gestione dei rischi sono definite e
implementate avendo a riferimento la visione integrata delle attività e delle
passività di bilancio, considerando che lo sviluppo di tecniche e modelli di asset–
liability management è fondamentale per la corretta comprensione e la gestione
delle esposizioni al rischio che possono derivare dalle interrelazioni e dal
mancato equilibrio tra attività e passività. La politica di gestione dei rischi
considera altresì il rischio derivante dagli investimenti, ivi incluso quello di
liquidità, tenuto conto del cd. prudent person principle che, per gli obiettivi di cui
al comma 1, è alla base delle scelte degli investimenti dell’impresa.
15
Bollettino IVASS n. 4/2014
4. Le politiche di sottoscrizione, di riservazione, di riassicurazione e di altre
tecniche di mitigazione del rischio nonché di gestione del rischio operativo
devono tener conto degli obiettivi strategici dell’impresa ed essere coerenti con
la politica di gestione dei rischi di cui al precedente comma 2. Ai fini della
gestione del rischio operativo, le imprese individuano adeguate metodologie di
analisi che tengano conto anche dell’insorgenza di eventi esterni.”
Art. 15
(Modifiche all’articolo 19 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1. L’articolo 19 del Regolamento ISVAP n. 20 del 26 marzo 2008, è sostituito dal
seguente:
“Art. 19 (Individuazione dei rischi)
1. Le imprese provvedono a definire le categorie di rischio in funzione della natura,
della portata e della complessità dei rischi inerenti all’attività svolta, in un’ottica
attuale e prospettica. La catalogazione include almeno i seguenti rischi:
a)rischio di assunzione: il rischio derivante dalla sottoscrizione dei contratti di
assicurazione, associato agli eventi coperti, ai processi seguiti per la
tariffazione e selezione dei rischi, all’andamento sfavorevole della
sinistralità effettiva rispetto a quella stimata;
b)rischio di riservazione: il rischio legato alla quantificazione di riserve
tecniche non sufficienti rispetto agli impegni assunti verso assicurati e
danneggiati;
c) rischio di mercato: il rischio di perdite in dipendenza di variazioni dei tassi
di interesse, dei corsi azionari, dei tassi di cambio e dei prezzi degli
immobili;
d)rischio di credito: il rischio legato all’inadempimento contrattuale degli
emittenti degli strumenti finanziari, dei riassicuratori, degli intermediari e
di altre controparti;
e)rischio di liquidità: il rischio di non poter adempiere alle obbligazioni verso
gli assicurati e altri creditori a causa della difficoltà a trasformare gli
investimenti in liquidità senza subire perdite;
f) rischio operativo: il rischio di perdite derivanti da inefficienze di persone,
processi e sistemi, inclusi quelli utilizzati per la vendita a distanza, o da
eventi esterni, quali la frode o l’attività dei fornitori di servizi;
g)rischio legato all’appartenenza al gruppo: rischio di “contagio”, inteso come
rischio che, a seguito dei rapporti intercorrenti dall'impresa con le altre
entità del gruppo, situazioni di difficoltà che insorgono in un'entità del
medesimo gruppo possano propagarsi con effetti negativi sulla solvibilità
dell'impresa stessa; rischio di conflitto di interessi;
h)rischio di non conformità alle norme: il rischio di incorrere in sanzioni
giudiziarie o amministrative, subire perdite o danni reputazionali in
conseguenza della mancata osservanza di leggi, regolamenti o
provvedimenti delle Autorità di vigilanza ovvero di norme di
autoregolamentazione, quali statuti, codici di condotta o codici di
autodisciplina; rischio derivante da modifiche sfavorevoli del quadro
normativo o degli orientamenti giurisprudenziali;
i) rischio reputazionale: il rischio di deterioramento dell'immagine aziendale e
di aumento della conflittualità con gli assicurati, dovuto anche alla scarsa
qualità dei servizi offerti, al collocamento di polizze non adeguate o al
comportamento della rete di vendita.
16

1.1 PROVVEDIMENTI DI CARATTERE GENERALE
Provvedimento n. 17 del 15 aprile 2014
Modifiche ed integrazioni al Regolamento ISVAP n. 20 del 26 marzo 2008 concernente
le disposizioni in materia di controlli interni, gestione dei rischi, compliance ed
esternalizzazione delle attività delle imprese di assicurazione, ai sensi degli articoli 87
e 191, comma 1, del decreto legislativo 7 settembre 2005, n. 209 – Codice delle
assicurazioni private, al Regolamento ISVAP n. 36 del 31 gennaio 2011, concernente
le linee guida in materia di investimenti e di attivi a copertura delle riserve tecniche di
cui agli articoli 38, comma 2, 39, comma 3, 40, comma 3, 42, comma 3 e 191, comma 1,
lettera d) del decreto legislativo 7 settembre 2005, n. 209 - codice delle Assicurazioni
Private, al Regolamento ISVAP n. 15 del 20 febbraio 2008, concernente il gruppo
assicurativo di cui al titolo vii (assetti proprietari e gruppo assicurativo), capo iv
(gruppo assicurativo) del decreto legislativo 7 settembre 2005, n. 209 – Codice delle
Assicurazioni Private e alla tabella allegata al Regolamento ISVAP n. 2 del 9 maggio
2006.
L’ISTITUTO PER LA VIGILANZA SULLE ASSICURAZIONI
VISTA la legge 12 agosto 1982, n. 576, recante la riforma della vigilanza sulle
assicurazioni e le successive disposizioni modificative ed integrative;
VISTO il decreto legislativo 7 settembre 2005, n. 209 e successive modificazioni ed
integrazioni, recante il Codice delle Assicurazioni Private;
VISTO il decreto legge 6 luglio 2012 n. 95, recante “Disposizioni urgenti per la
revisione della spesa pubblica con invarianza dei servizi ai cittadini”, convertito con legge 7
agosto 2012 n. 135, istitutivo dell’IVASS;
VISTO il Regolamento ISVAP n. 20 del 26 marzo 2008 e successive modificazioni
ed integrazioni;
VISTO il Regolamento ISVAP n. 36 del 31 gennaio 2011 e successive
modificazioni ed integrazioni;
VISTO il Regolamento ISVAP n. 15 del 20 febbraio 2008;
VISTO il Regolamento ISVAP n. 2 del 9 maggio 2006 recante “Attuazione degli
articoli 2 e 4 della legge 7 agosto 1990, n. 241, concernente la determinazione dei termini di
conclusione e delle unità organizzative responsabili dei procedimenti dell’ISVAP”, ed in
particolare la Tabella allegata;
PREMESSO che le modifiche al Regolamento ISVAP n. 20 del 26 marzo 2008 e al
Regolamento ISVAP n. 36 del 31 gennaio 2011, apportate con il presente Provvedimento,
sono state oggetto di pubblica consultazione dal 14 gennaio 2014 al 28 febbraio 2014;
adotta il seguente:
7
Bollettino IVASS n. 4/2014
PROVVEDIMENTO
Art. 1
(Modifiche all’articolo 2 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1.Alla lettera h) del comma 1 dell’articolo 2 del Regolamento ISVAP n. 20 del 26 marzo
2008, dopo le parole: “ISVAP o Autorità” sono inserite le parole: “ovvero ‘IVASS’:
l’Istituto per la vigilanza sulle assicurazioni private e di interesse collettivo a cui è
succeduto l’IVASS, Istituto per la Vigilanza sulle assicurazioni, ai sensi dell’articolo
13 del decreto legge 6 luglio 2012, n. 95, convertito con legge 7 agosto 2012, n.
135”.
Art. 2
(Modifiche all’articolo 3 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1. Alla lettera d) del comma 1 dell’articolo 3 del Regolamento ISVAP n. 20 del 26 marzo
2008, sono aggiunte, in fine, le parole: “ed all’articolo 28 bis”.
Art. 3
(Modifiche all’articolo 4 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1. L’articolo 4 del Regolamento ISVAP n. 20 del 26 marzo 2008, è modificato come
segue:
a) al comma 1, le parole: “proporzionati alle dimensioni e alle caratteristiche
operative dell’impresa e alla natura e alla intensità” sono sostituite dalle
parole: “proporzionato alla natura, alla portata e alla complessità” e sono
aggiunte, in fine, le parole: “attuali e prospettici, inerenti all’attività
dell’impresa.”;
b) alla lettera b) del comma 2, dopo le parole: “dei rischi” sono inserite le parole:
“attuali e prospettici”;
c) dopo la lettera b) del comma 2, è inserita la seguente lettera: “b-bis) la
tempestività del sistema di reporting delle informazioni aziendali”;
d) alla lettera d) del comma 2, dopo le parole: “del patrimonio” sono inserite le
parole: “anche in un’ottica di medio-lungo periodo”;
e) dopo il comma 2 è aggiunto il seguente comma: “2 bis. I presidi relativi al
sistema dei controlli interni e di gestione dei rischi coprono ogni tipologia di
rischio aziendale, anche secondo una visione prospettica ed in
considerazione della salvaguardia del patrimonio. La responsabilità è rimessa
agli organi sociali, ciascuno secondo le rispettive competenze. L’articolazione
delle attività aziendali nonché dei compiti e delle responsabilità degli organi
sociali e delle funzioni deve essere chiaramente definita.”
Art. 4
(Modifiche all’articolo 5 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1. L’articolo 5 del Regolamento ISVAP n. 20 del 26 marzo 2008, è sostituito dal
seguente:
“Art. 5 (Organo amministrativo)
8
Provvedimenti IVASS
1. L’organo amministrativo ha la responsabilità ultima dei sistemi dei controlli interni
e di gestione dei rischi dei quali assicura la costante completezza, funzionalità
ed efficacia, anche con riferimento alle attività esternalizzate. L’organo
amministrativo assicura che il sistema di gestione dei rischi consenta
l’identificazione, la valutazione anche prospettica e il controllo dei rischi, ivi
compresi quelli derivanti dalla non conformità alle norme, garantendo l’obiettivo
della salvaguardia del patrimonio, anche in un’ottica di medio-lungo periodo.
2. Ai fini di cui al comma 1, l’organo amministrativo nell’ambito dei compiti di
indirizzo strategico e organizzativo di cui all’articolo 2381 del codice civile:
a) approva l’assetto organizzativo dell’impresa nonché l’attribuzione di compiti e
di responsabilità alle unità operative, curandone l’adeguatezza nel tempo, in
modo da poterli adattare tempestivamente ai mutamenti degli obiettivi
strategici e del contesto di riferimento in cui la stessa opera;
b) assicura che siano adottati e formalizzati adeguati processi decisionali e che
sia attuata una appropriata separazione di funzioni;
c) approva, curandone l’adeguatezza nel tempo, il sistema delle deleghe di
poteri e responsabilità, avendo cura di evitare l’eccessiva concentrazione di
poteri in un singolo soggetto e ponendo in essere strumenti di verifica
sull’esercizio dei poteri delegati, con conseguente possibilità di prevedere
adeguati piani di emergenza (c.d. “contingency arrangements”) qualora
decida di avocare a sé i poteri delegati;
d) definisce le direttive in materia di sistema dei controlli interni, rivedendole
almeno una volta l’anno e curandone l’adeguamento alla evoluzione
dell’operatività aziendale e delle condizioni esterne. Nell’ambito di tali direttive
è ricompresa anche la politica relativa alle funzioni di risk management,
compliance e di revisione interna. Verifica altresì che il sistema dei controlli
interni sia coerente con gli indirizzi strategici e la propensione al rischio
stabiliti e sia in grado di cogliere l’evoluzione dei rischi aziendali e
l’interazione tra gli stessi;
e) approva la politica di valutazione attuale e prospettica dei rischi, i criteri e le
metodologie seguite per le valutazioni, con particolare riguardo a quelli
maggiormente significativi; approva gli esiti delle valutazioni e li comunica
all’alta direzione ed alle strutture interessate unitamente alle conclusioni cui lo
stesso è pervenuto (approccio c.d. top down);
f) determina, sulla base delle valutazioni di cui alla lettera e), la propensione al
rischio dell’impresa in coerenza con l’obiettivo di salvaguardia del patrimonio
della stessa, fissando in modo coerente i livelli di tolleranza al rischio che
rivede almeno una volta l’anno, al fine di assicurarne l’efficacia nel tempo;
g) approva, sulla base degli elementi di cui alle lettere e) ed f), la politica di
gestione del rischio e le strategie anche in un’ottica di medio-lungo periodo
nonché i piani di emergenza (c.d. contingency plan) di cui all’articolo 19,
comma 4 al fine di garantire la regolarità e continuità aziendale;
h) approva, tenuto conto degli obiettivi strategici ed in coerenza con la politica di
gestione dei rischi, le politiche di sottoscrizione, di riservazione, di
riassicurazione e di altre tecniche di mitigazione del rischio nonché di
gestione del rischio operativo, in coerenza con le lettere e), f) e g);
i) definisce, ove ne ricorrano i presupposti, le direttive e i criteri per la
circolazione e la raccolta dei dati e delle informazioni utili a fini dell’esercizio
della vigilanza supplementare di cui al Titolo XV del decreto, nonché le
direttive in materia di controllo interno per la verifica della completezza e
tempestività dei relativi flussi informativi;
j) approva un documento, coerente con le disposizioni di cui alle lettere a), d),
e) ed f) da diffondere a tutte le strutture interessate, in cui sono definiti i) i
compiti e le responsabilità degli organi sociali, dei comitati consiliari e delle
9
Bollettino IVASS n. 4/2014
funzioni di risk management, di compliance e di revisione interna; ii) i flussi
informativi, ivi comprese le tempistiche, tra le diverse funzioni, comitati
consiliari e tra questi e gli organi sociali e iii), nel caso in cui gli ambiti di
controllo presentino aree di potenziale sovrapposizione o permettano di
sviluppare sinergie, le modalità di coordinamento e di collaborazione tra di
essi e con le funzioni operative. Nel definire le modalità di raccordo, le
imprese prestano attenzione a non alterare, anche nella sostanza, le
responsabilità ultime degli organi sociali sul sistema dei controlli interni;
k) approva la politica aziendale, di cui all’articolo 31, in materia di
esternalizzazione;
l) approva la politica aziendale per la valutazione del possesso dei requisiti di
idoneità alla carica, in termini di onorabilità, professionalità e indipendenza,
dei soggetti preposti alle funzioni di amministrazione, di direzione e di
controllo nonché dei responsabili delle funzioni di risk management,
compliance e revisione interna, o in caso di esternalizzazione di queste ultime
all’interno o all’esterno del gruppo, rispettivamente, dei referenti interni o dei
soggetti responsabili delle attività di controllo delle attività esternalizzate di cui
all’art. 33, comma 3. Valuta la sussistenza dei requisiti in capo a tali soggetti
con cadenza almeno annuale. In particolare, tale politica assicura che
l’organo amministrativo sia nel suo complesso in possesso di adeguate
competenze tecniche almeno in materia di mercati assicurativi e finanziari,
sistemi di governance, analisi finanziaria ed attuariale, quadro regolamentare,
strategie commerciali e modelli d’impresa;
m) approva la politica delle segnalazioni destinate all’IVASS (c.d. reporting
policy), in coerenza con le vigenti disposizioni normative;
n) verifica che l’alta direzione implementi correttamente il sistema dei controlli
interni e di gestione dei rischi secondo le direttive impartite e che ne valuti la
funzionalità e l’adeguatezza;
o) richiede di essere periodicamente informato sulla efficacia e sull’adeguatezza
del sistema di controllo interno e di gestione dei rischi e che gli siano riferite
con tempestività le criticità più significative, siano esse individuate dall’alta
direzione, dalla funzione di revisione interna, dalle funzioni di risk
management e di compliance, dal personale, impartendo con tempestività le
direttive per l’adozione di misure correttive, di cui successivamente valuta
l’efficacia;
p) individua particolari eventi o circostanze che richiedono un immediato
intervento da parte dell’alta direzione;
q) assicura che sussista un’idonea e continua interazione tra tutti i comitati
istituiti all’interno dell’organo amministrativo stesso, l’alta direzione e le
funzioni di risk management, di compliance e di revisione interna, anche
mediante interventi proattivi per garantirne l’efficacia;
r) assicura un aggiornamento professionale continuo, esteso anche ai
componenti dell’organo stesso, predisponendo, altresì, piani di formazione
adeguati ad assicurare il bagaglio di competenze tecniche necessario per
svolgere con consapevolezza il proprio ruolo nel rispetto della natura, della
portata e della complessità dei compiti assegnati e preservare le proprie
conoscenze nel tempo;
s) effettua, almeno una volta l’anno, una valutazione sulla dimensione, sulla
composizione e sul funzionamento dell’organo amministrativo nel suo
complesso, nonché dei suoi comitati, esprimendo orientamenti sulle figure
professionali la cui presenza nell’organo amministrativo sia ritenuta opportuna
e proponendo eventuali azioni correttive.
3. L’organo amministrativo assicura che la relazione sul sistema dei controlli interni
e di gestione dei rischi illustri in modo adeguato ed esaustivo la struttura
10
Provvedimenti IVASS
organizzativa dell’impresa e rappresenta le ragioni che rendono tale struttura
idonea ad assicurare la completezza, la funzionalità ed efficacia del sistema dei
controlli interni e di gestione dei rischi.
4. L’organo amministrativo informa senza indugio l’Autorità di Vigilanza qualora
vengano apportate significative modifiche alla struttura organizzativa dell’impresa
illustrando le cause interne o esterne che hanno reso necessari tali interventi.
5. Le politiche di cui al comma 2 lettere d), h), k), l) e m) contengono almeno gli
elementi riportati nell’allegato 1 al presente regolamento.”
Art. 5
(Modifiche all’articolo 7 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1. L’articolo 7 del Regolamento ISVAP n. 20 del 26 marzo 2008, è modificato come
segue:
a) alla lettera b) del comma 2, dopo le parole: “di valutazione” sono inserite le
parole: “, anche prospettica”;
b) dopo la lettera b) del comma 2, è inserita la seguente lettera: “b-bis) attua,
tenuto conto degli obiettivi strategici ed in coerenza con la politica di gestione
dei rischi, le politiche di sottoscrizione, di riservazione, di riassicurazione e di
altre tecniche di mitigazione del rischio nonché di gestione del rischio
operativo;”.
Art. 6
(Modifiche all’articolo 8 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1.Al comma 2 dell’articolo 8 del Regolamento ISVAP n. 20 del 26 marzo 2008, la parola:
“funzioni” è sostituita dalla parola: “compiti”.
Art. 7
(Modifiche all’articolo 11 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1. L’articolo 11 del Regolamento ISVAP n. 20 del 26 marzo 2008, è modificato come
segue:
a) al comma 1, le parole: “alle dimensioni, natura e complessità degli affari” sono
sostituite dalle parole: “alla natura, alla portata ed alla complessità dei rischi
inerenti all’attività dell’impresa”;
b) al comma 3, le parole: “le dimensioni aziendali, le imprese assicurano” sono
sostituite dalle parole: “la natura, la portata e la complessità delle operazioni
dell’impresa, quest’ultima assicura”.
Art. 8
(Inserimento dell’articolo 12 bis - Sistema di gestione dei dati, nel Regolamento ISVAP n. 20
del 26 marzo 2008)
1.Nel Regolamento ISVAP n. 20 del 26 marzo 2008, dopo l’articolo 12, è inserito il
seguente:
11
Bollettino IVASS n. 4/2014
“Art. 12 bis (Sistema di gestione dei dati)
1.Le imprese prevedono un sistema di registrazione e di reportistica dei dati che ne
consenta la tracciabilità al fine di poter disporre di informazioni complete ed
aggiornate sugli elementi che possono incidere sul profilo di rischio dell’impresa e
sulla sua situazione di solvibilità.
2. Il sistema di cui al comma 1 assicura nel continuo l’integrità, la completezza e la
correttezza dei dati conservati e delle informazioni rappresentate anche al fine di
consentire una ricostruzione dell’attività svolta e l’individuazione dei relativi
responsabili; garantisce altresì l’agevole verifica delle informazioni registrate.
3. L’impresa definisce uno standard aziendale di data governance che individua ruoli e
responsabilità delle funzioni coinvolte nell’utilizzo e nel trattamento delle informazioni
aziendali.
4. Nel caso l’impresa ricorra ad un data warehouse aziendale, per finalità di analisi e
di reportistica, le procedure di estrazione dei dati, di controllo e di caricamento negli
archivi accentrati – al pari dell’attività di utilizzo dei dati – sono documentati al fine di
consentire la verifica della qualità delle informazioni.
5. Le procedure di gestione e aggregazione dei dati sono documentate, con
indicazione specifica delle circostanze in cui è consentita l’immissione manuale o
rettifica dei dati aziendali.
6. I processi di acquisizione dei dati da strutture esterne sono documentati e presidiati.
7. I dati sono conservati con granularità adeguata a consentire le diverse analisi e
aggregazione richieste dalle possibili procedure di utilizzo.”
8. In sede di prima applicazione delle disposizioni di cui al presente articolo le imprese
preparano un piano di implementazione entro il 31 ottobre 2014.
Art. 9
(Modifiche all’articolo 13 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1. L’articolo 13 del Regolamento ISVAP n. 20 del 26 marzo 2008, è modificato come
segue:
a) al comma 1, dopo le parole: “ove applicabile,” sono inserite le parole: “e della
valutazione attuale e prospettica dei rischi a livello di gruppo che la
capogruppo svolge ai sensi dell’articolo 27, comma 5,” e le parole: “una
funzione specifica per la produzione di tali dati e informazioni” sono sostituite
dalle parole: “idonee misure di raccolta e di coordinamento tra i flussi
informativi della vigilanza supplementare e quelli del gruppo assicurativo e
della impresa”;
b) al comma 2, la parola: “ISVAP” è sostituita dalla parola: “IVASS”.
Art. 10
(Modifiche all’articolo 14 del Regolamento ISVAP n. 20 del 26 marzo 2008)
12
Provvedimenti IVASS
1.Al comma 1 dell’articolo 14 del Regolamento ISVAP n. 20 del 26 marzo 2008, le
parole: “alle dimensioni e all’attività dell’impresa” sono sostituite dalle parole: “alla
natura, alla portata ed alla complessità dell’attività dell’impresa, nonché dei
conseguenti rischi”.
Art. 11
(Modifiche all’articolo 15 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1. L’articolo 15 del Regolamento ISVAP n. 20 del 26 marzo 2008, è sostituito dal
seguente:
“Articolo 15 (Funzione di revisione interna)
1. Le imprese istituiscono una funzione di revisione interna, incaricata di monitorare
e valutare l’efficacia e l’efficienza del sistema di controllo interno e la necessità di
adeguamento, anche attraverso attività di supporto e di consulenza alle altre
funzioni aziendali.
2. La funzione di revisione interna deve presentare le seguenti caratteristiche:
a) la collocazione della funzione nell’ambito della struttura organizzativa deve
essere tale da garantirne l’indipendenza e l’autonomia, affinché non ne sia
compromessa l’obiettività di giudizio; la funzione di revisione interna non
dipende gerarchicamente da alcun responsabile di aree operative; ai soggetti
preposti alla funzione di revisione interna non devono essere affidate
responsabilità operative o incarichi di verifica di attività per le quali abbiano
avuto in precedenza autorità o responsabilità se non sia trascorso un
ragionevole periodo di tempo;
b) agli incaricati della funzione deve essere consentita libertà di accesso a tutte
le strutture aziendali e alla documentazione relativa all’area aziendale oggetto
di verifica, incluse le informazioni utili per la verifica dell’adeguatezza dei
controlli svolti sulle funzioni aziendali esternalizzate;
c) la funzione deve avere collegamenti organici con tutti i centri titolari di funzioni
di controllo interno;
d) la struttura dedicata deve essere adeguata in termini di risorse umane e
tecnologiche alla natura, alla portata e alla complessità dell’attività
dell’impresa ed agli obiettivi di sviluppo che la stessa intende perseguire. Gli
addetti alla struttura devono possedere competenze specialistiche e deve
esserne curato l’aggiornamento professionale.
3. La funzione di revisione interna uniforma la propria attività agli standard
professionali comunemente accettati a livello nazionale ed internazionale e
verifica:
a) i processi gestionali e le procedure organizzative;
b) la regolarità e la funzionalità dei flussi informativi tra settori aziendali;
c) l’adeguatezza dei sistemi informativi e la loro affidabilità affinché non sia
inficiata la qualità delle informazioni sulle quali il vertice aziendale basa le
proprie decisioni;
d) la rispondenza dei processi amministrativo contabili a criteri di correttezza e di
regolare tenuta della contabilità;
e) l’efficienza dei controlli svolti sulle attività esternalizzate.
4. Durante l’esecuzione dell’attività di audit e in sede di valutazione e segnalazione
delle relative risultanze, la funzione di revisione interna svolge i compiti ad essa
13
Bollettino IVASS n. 4/2014
assegnati con autonomia ed obiettività di giudizio, in modo da preservare la
propria indipendenza e imparzialità, in coerenza con le direttive a tal fine definite
dall’organo amministrativo.
5. La revisione interna si conclude con l’attività di follow-up, consistente nella
verifica a distanza di tempo dell’efficacia delle correzioni apportate al sistema.”
Art. 12
(Inserimento dell’articolo 15 bis - Responsabile della funzione di revisione interna, nel
Regolamento ISVAP n. 20 del 26 marzo 2008)
1.Nel Regolamento ISVAP n. 20 del 26 marzo 2008, dopo l’articolo 15, è inserito il
seguente:
“Art. 15 bis (Responsabile della funzione di revisione interna)
1. Il responsabile della funzione è nominato e revocato dall’organo amministrativo,
sentito il Collegio Sindacale e, ove presente, anche il Comitato di Controllo
Interno, e soddisfa i requisiti di idoneità alla carica fissati dalla politica di cui
all’articolo 5, comma 2 lettera l). I compiti attribuiti al responsabile della funzione
sono chiaramente definiti ed approvati con delibera dell’organo amministrativo,
che ne fissa anche poteri, responsabilità e modalità di reportistica all’ organo
amministrativo stesso.
2. Il responsabile della funzione è dotato dell’autorità necessaria a garantire
l’indipendenza della stessa.
3. Il responsabile della funzione di revisione interna pianifica annualmente l’attività
in modo da identificare le aree da sottoporre prioritariamente a revisione. Tale
piano e il relativo livello di priorità deve essere coerente con i principali rischi cui
l’impresa è esposta. La programmazione degli interventi di verifica tiene conto sia
delle eventuali carenze emerse nei controlli già eseguiti sia di eventuali nuovi
rischi identificati. Il piano include anche attività di verifica delle componenti del
sistema dei controlli interni ed in particolare del flusso informativo e del sistema
informatico. Il piano di audit è approvato dall’organo amministrativo ed individua,
almeno, le attività a rischio, le operazioni e i sistemi da verificare, descrivendo i
criteri sulla base dei quali sono stati selezionati e specificando le risorse
necessarie all’esecuzione del piano. Analogo procedimento è seguito in caso di
variazioni significative ai piani approvati, che comunque sono definiti in modo da
fronteggiare le esigenze impreviste.
4. Ove necessario, potranno essere effettuate verifiche non previste dal piano di
audit.
5. A seguito dell’analisi sull’attività oggetto di controllo, il responsabile della funzione
di revisione interna procede, secondo le modalità e la periodicità fissata
dall’organo amministrativo, a comunicare all’organo amministrativo, all’alta
direzione ed all‘organo di controllo, la valutazione delle risultanze e le eventuali
disfunzioni e criticità; resta fermo l’obbligo di segnalare con urgenza all’organo
amministrativo e a quello di controllo le situazioni di particolare gravità. I rapporti
di audit devono essere obiettivi, chiari, concisi, tempestivi, contenere
suggerimenti per eliminare le carenze riscontrate, riportando raccomandazioni in
ordine ai tempi per la loro rimozione e sono conservati presso la sede della
14
Provvedimenti IVASS
società. Le risultanze della specifica area oggetto di controllo sono altresì
comunicate al responsabile della funzione interessata dall’attività di revisione.
6. Il responsabile della funzione di revisione interna presenta, almeno annualmente,
una relazione all’organo amministrativo sull’attività svolta che riepiloga tutte le
verifiche effettuate, i risultati emersi, i punti di debolezza o carenze rilevate e le
raccomandazioni formulate per la loro rimozione; nella relazione riepilogativa
devono essere inclusi anche gli interventi di follow-up con indicazione degli esiti
delle verifiche di cui all’art. 15, comma 5, dei soggetti e/o funzioni designati per la
rimozione, del tipo, dell’efficacia e della tempistica dell’intervento da essi
effettuato per rimuovere le criticità inizialmente rilevate.”
Art. 13
(Modifiche all’articolo 16 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1.Al comma 1 dell’articolo 16 del Regolamento ISVAP n. 20 del 26 marzo 2008, le
parole: “le ridotte dimensioni e per le caratteristiche operative” sono sostituite dalle
parole: “la ridotta portata e complessità dei rischi inerenti all’attività dell’impresa”.
Art. 14
(Modifiche all’articolo 18 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1. L’articolo 18 del Regolamento ISVAP n. 20 del 26 marzo 2008, è sostituito dal
seguente:
“Art. 18 (Obiettivi del sistema di gestione dei rischi)
1. Il sistema di gestione dei rischi di cui si dota l’impresa include le strategie, i
processi, le procedure anche di reportistica necessarie per individuare, misurare,
valutare, monitorare, gestire e segnalare su base continuativa i rischi attuali e
prospettici a livello individuale e aggregato cui l’impresa è o potrebbe essere
esposta e le relative interdipendenze.
2. Al fine di mantenere ad un livello accettabile, coerente con le disponibilità
patrimoniali, i rischi cui sono esposte, le imprese si dotano di un adeguato
sistema di gestione dei rischi, in linea con la politica di gestione del rischio,
proporzionato alla natura, alla portata e alla complessità dell’attività esercitata,
che consenta la identificazione, la valutazione anche prospettica e il controllo dei
rischi, con particolare attenzione a quelli maggiormente significativi; per tali si
intendono i rischi le cui conseguenze possono minare la solvibilità dell’impresa o
costituire un serio ostacolo alla realizzazione degli obiettivi aziendali.
3. Le politiche di assunzione, valutazione e gestione dei rischi sono definite e
implementate avendo a riferimento la visione integrata delle attività e delle
passività di bilancio, considerando che lo sviluppo di tecniche e modelli di asset–
liability management è fondamentale per la corretta comprensione e la gestione
delle esposizioni al rischio che possono derivare dalle interrelazioni e dal
mancato equilibrio tra attività e passività. La politica di gestione dei rischi
considera altresì il rischio derivante dagli investimenti, ivi incluso quello di
liquidità, tenuto conto del cd. prudent person principle che, per gli obiettivi di cui
al comma 1, è alla base delle scelte degli investimenti dell’impresa.
15
Bollettino IVASS n. 4/2014
4. Le politiche di sottoscrizione, di riservazione, di riassicurazione e di altre
tecniche di mitigazione del rischio nonché di gestione del rischio operativo
devono tener conto degli obiettivi strategici dell’impresa ed essere coerenti con
la politica di gestione dei rischi di cui al precedente comma 2. Ai fini della
gestione del rischio operativo, le imprese individuano adeguate metodologie di
analisi che tengano conto anche dell’insorgenza di eventi esterni.”
Art. 15
(Modifiche all’articolo 19 del Regolamento ISVAP n. 20 del 26 marzo 2008)
1. L’articolo 19 del Regolamento ISVAP n. 20 del 26 marzo 2008, è sostituito dal
seguente:
“Art. 19 (Individuazione dei rischi)
1. Le imprese provvedono a definire le categorie di rischio in funzione della natura,
della portata e della complessità dei rischi inerenti all’attività svolta, in un’ottica
attuale e prospettica. La catalogazione include almeno i seguenti rischi:
a)rischio di assunzione: il rischio derivante dalla sottoscrizione dei contratti di
assicurazione, associato agli eventi coperti, ai processi seguiti per la
tariffazione e selezione dei rischi, all’andamento sfavorevole della
sinistralità effettiva rispetto a quella stimata;
b)rischio di riservazione: il rischio legato alla quantificazione di riserve
tecniche non sufficienti rispetto agli impegni assunti verso assicurati e
danneggiati;
c) rischio di mercato: il rischio di perdite in dipendenza di variazioni dei tassi
di interesse, dei corsi azionari, dei tassi di cambio e dei prezzi degli
immobili;
d)rischio di credito: il rischio legato all’inadempimento contrattuale degli
emittenti degli strumenti finanziari, dei riassicuratori, degli intermediari e
di altre controparti;
e)rischio di liquidità: il rischio di non poter adempiere alle obbligazioni verso
gli assicurati e altri creditori a causa della difficoltà a trasformare gli
investimenti in liquidità senza subire perdite;
f) rischio operativo: il rischio di perdite derivanti da inefficienze di persone,
processi e sistemi, inclusi quelli utilizzati per la vendita a distanza, o da
eventi esterni, quali la frode o l’attività dei fornitori di servizi;
g)rischio legato all’appartenenza al gruppo: rischio di “contagio”, inteso come
rischio che, a seguito dei rapporti intercorrenti dall'impresa con le altre
entità del gruppo, situazioni di difficoltà che insorgono in un'entità del
medesimo gruppo possano propagarsi con effetti negativi sulla solvibilità
dell'impresa stessa; rischio di conflitto di interessi;
h)rischio di non conformità alle norme: il rischio di incorrere in sanzioni
giudiziarie o amministrative, subire perdite o danni reputazionali in
conseguenza della mancata osservanza di leggi, regolamenti o
provvedimenti delle Autorità di vigilanza ovvero di norme di
autoregolamentazione, quali statuti, codici di condotta o codici di
autodisciplina; rischio derivante da modifiche sfavorevoli del quadro
normativo o degli orientamenti giurisprudenziali;
i) rischio reputazionale: il rischio di deterioramento dell'immagine aziendale e
di aumento della conflittualità con gli assicurati, dovuto anche alla scarsa
qualità dei servizi offerti, al collocamento di polizze non adeguate o al
comportamento della rete di vendita.
16

Class Consulting Srl

Piazza De Gasperi, 24

21047 Saronno (VA)

P.IVA 02354290351

RUI N. B000284662

Contatti

Tel. +39 02 96248961

fax. +39 02 96704582

Mail. [email protected]

PEC. [email protected]

Utilizziamo i cookie per migliorare la tua esperienza di navigazione e per aiutarci migliorare il nostro sito.

Proseguendo nella navigazione si accetta l’uso dei cookies in caso contrario è possibile abbandonare il sito.

Approvo

numero verde