ISVAP: emanato il regolamento in materia di controlli interni, gestione dei rischi, compliance

Il 26 marzo 2008 l’ISVAP ha emanato il "Regolamento N. 20 - Regolamento in materia di controlli interni, gestione dei rischi, compliance ed esternalizzazione delle attività delle imprese di assicurazione ai sensi degli articoli 87 e 191, comma 1, del decreto legislativo 7 settembre 2005, n. 209 - Codice delle Assicurazioni Private" (pdf zip, 474 K). Il regolamento, frutto anche di una consultazione pubblica, recepisce in larga parte le disposizioni della "Circolare N. 577/D" (pdf, 149 K) del 30 dicembre 2005 ma contiene anche importanti novità in ambito compliance (capo V) e per quanto riguarda la disciplina dell’esternalizzazione delle attività delle imprese di assicurazione. Di seguito una breve sintesi dei contenuti del regolamento e l'indice completo.

Capo V – Funzione di compliance

Carattere innovativo riveste l’introduzione di un capo V, dedicato alla disciplina della compliance. L’esistenza all’interno dell’impresa di adeguati presidi organizzativi e procedurali che assicurino il rispetto delle norme si configura come un importante strumento proattivo di prevenzione che consente non solo di circoscrivere e minimizzare i rischi legali e di reputazione, ma anche di garantire una adeguata protezione degli assicurati. Il venire meno dell’incertezza su comportamenti richiesti in uno con la responsabilizzazione di tutto il personale facilita, infatti, la creazione di un patrimonio di regole e di valori condivisi, con conseguenze positive anche sui rapporti con la clientela.
L’articolo 23 introduce la costituzione di una specifica funzione di compliance, incaricata di verificare che l’organizzazione e le procedure aziendali siano adeguate a tali obiettivi, dettando alcuni principi per l’istituzione e l’operatività della funzione.
Si tratta di principi generali che lasciano le singole imprese libere di individuare le soluzioni organizzative più appropriate alla natura, dimensioni e complessità del proprio business, valutando in particolare se costituire una specifica unità organizzativa o avvalersi di risorse appartenenti ad altre strutture aziendali, ricondotte ad unitarietà attraverso l’individuazione di un unico responsabile della funzione.
Viene richiesto che l’organizzazione della funzione di compliance sia formalizzata in una specifica delibera dell’organo amministrativo che, nella sua autonomia, ne definisce compiti, responsabilità, modalità e frequenza di reportistica agli organi sociali e alle altre strutture interessate. Deve essere comunque assicurata l’indipendenza, professionalità e autorevolezza della funzione, nonché la separatezza dalle funzioni operative e dalle altre strutture cui sono attribuiti compiti di controllo. L’indipendenza va garantita attraverso la presenza di adeguati presidi per prevenire conflitti di interesse, nel caso in cui alla funzione lavorino risorse di altre aree operative.
Si prevede che l’attività della funzione di compliance sia sottoposta a verifiche di audit periodiche da parte della funzione di revisione interna, che ne valuta l’efficienza e l’efficacia.
L’articolo 24 prevede che, indipendentemente dal modello organizzativo scelto dall’impresa, debba essere comunque nominato un responsabile della funzione di compliance, in possesso di adeguati requisiti di professionalità, indipendenza ed autorevolezza, cui devono fare riferimento tutte le risorse investite a vario titolo di compiti di conformità.

Compliance e risk management

In relazione, invece, ai collegamenti tra funzione di compliance e funzione di risk management – in linea con quanto previsto dalla circolare 577 relativamente ai rapporti tra funzione di revisione interna e funzione di risk management -si ritiene di lasciare all’autonomia dell’organo amministrativo la relativa definizione, che va adeguatamente formalizzata.

Esternalizzazione

In considerazione delle esigenze delle piccole imprese ed in applicazione del principio di proporzionalità, l’articolo 25 prevede una gamma di opzioni per l’organizzazione della funzione, che consente alle imprese di nominare quale responsabile anche un amministratore, purché privo di deleghe operative, ovvero di esternalizzare la funzione, nel rispetto delle condizioni già previste dalla circolare 577 per l’affidamento in outsourcing delle funzioni di revisione interna e di risk management. Al fine di consentire adeguate economie di scala, si è inoltre previsto che le attività relative alla funzione di compliance possano essere accentrate all’interno del gruppo assicurativo attraverso la costituzione di una unità specializzata; ciò a condizione che in ciascuna impresa sia individuato un referente che curi i rapporti con il responsabile della funzione di gruppo e che siano adottate procedure atte a garantire che le politiche di gestione del rischio di non conformità definite a livello di gruppo siano adeguatamente calibrate rispetto alle caratteristiche operative della singola impresa.

Indice del documento

Capo I – Disposizioni di carattere generale
Art. 1 (Fonti normative)
Art. 2 (Definizioni)
Art. 3 (Ambito di applicazione)
Capo II – Sistema dei controlli interni
Sezione I – Principi generali
Art. 4 (Obiettivi del sistema dei controlli interni)
Sezione II – Ruolo degli organi sociali
Art. 5 (Organo amministrativo)
Art. 6 (Comitato per il controllo interno)
Art. 7 (Alta direzione)
Art. 8 (Organo di controllo)
Art. 9 (Formalizzazione degli atti)
Sezione III – Componenti del sistema dei controlli interni
Art. 10 (Cultura del controllo interno)
Art. 11 (Attività di controllo e separazione dei compiti)
Art. 12 (Flussi informativi e canali di comunicazione)
Art. 13 (Funzione per la produzione di dati e informazioni ai fini della vigilanza supplementare)
Art. 14 (Sistemi informatici)
Capo III – Revisione interna
Art. 15 (Funzione di revisione interna)
Art. 16 (Esternalizzazione della funzione di revisione interna)
Art. 17 (Collaborazione tra funzioni e organi deputati al controllo)
Capo IV – Gestione dei rischi
Art. 18 (Obiettivi del sistema di gestione dei rischi)
Art. 19 (Individuazione e valutazione dei rischi)
Art. 20 (Stress test)
Art. 21 (Funzione di risk management)
Capo V – Funzione di compliance
Art. 22 (Obiettivi della verifica di conformità alle norme)
Art. 23 (Funzione di compliance)
Art. 24 (Responsabile della funzione di compliance)
Art. 25 (Esternalizzazione della funzione di compliance)
Capo VI – Disposizioni in materia di gruppo assicurativo
Art. 26 (Ruolo della capogruppo)
Art. 27 (Controllo interno e gestione dei rischi nel gruppo)
Capo VII – Obblighi di comunicazione all’ISVAP
Art. 28 (Comunicazioni all’ISVAP)
Capo VIII – Disposizioni in materia di esternalizzazione
Sezione I – Condizioni per l’esternalizzazione di attività
Art. 29 (Esternalizzazione di attività)
Art. 30 (Esternalizzazione di attività essenziali o importanti)
Art. 31 (Politica di esternalizzazione e scelta dei fornitori)
Art. 32 (Contratto di esternalizzazione)
Art. 33 (Controllo sulle attività esternalizzate)
Art. 34 (Poteri di intervento dell’ISVAP)
Sezione II – Obblighi di comunicazione all’ISVAP
Art. 35 (Comunicazione in caso di esternalizzazione di attività essenziali o importanti)
Art.36 (Esternalizzazione della funzione di revisione interna, di risk management e di compliance)
Art. 37 (Comunicazioni in caso di esternalizzazione di altre attività)
Capo IX – Disposizioni transitorie e finali
Art. 38 (Disposizioni transitorie)
Art. 39 (Abrogazione di norme)
Art. 40 (Pubblicazione)
Art. 41 (Entrata in vigore)
Elenco degli Allegati
Allegato 1 Modello di comunicazione per la esternalizzazione di attività essenziali o importanti
Allegato 2 Prospetto di comunicazione per l’esternalizzazione di attività diverse da quelle essenziali o importanti
Allegato 3 Prospetto riepilogativo dei contratti di esternalizzazione in vigore

Link 

  • Sito di ISVAP
  • ISVAP, "Regolamento in materia di controlli interni, gestione dei rischi, compliance ed esternalizzazione delle attività delle imprese di assicurazione ai sensi degli articoli 87 e 191, comma 1, del decreto legislativo 7 settembre 2005, n. 209 - Codice delle Assicurazioni Private" (pdf zip, 474 K).
  • ISVAP, "Schema di regolamento in materia di controlli interni, compliance, gestione dei rischi ed esternalizzazione delle attività delle imprese di assicurazione" (pdf zip,  189 K, 29 pp)
  • ISVAP “Circolare N. 577/D” (pdf, 149 K)
  • Cristina Cellucci "Compliance: obblighi delle assicurazioni sul sistema dei controlli interni e gestione dei rischi (aggiornato)", (IsacaRoma Newsletter, primo ottobre 2006)
ComplianceNet: