Assicurazioni
17/10/2018

Prima lettura delle novità introdotte dal Regolamento IVASS sul governo societario delle imprese e dei gruppi assicurativi

1. Genesi, obiettivi e ambito di applicazione del Regolamento 38 - Termine di adeguamento alle nuove disposizioni

Il 3 luglio 2018 Ivass ha emanato il regolamento n. 38 in materia di governo societario delle imprese e dei gruppi (di seguito il “Regolamento 38”) in attuazione degli articoli da 29-bis a 30-septies e 215-bis del decreto legislativo n. 209/2005 (di seguito il “Codice delle Assicurazioni”) come modificato dal decreto legislativo n. 74/2015 di attuazione della direttiva 2009/138/CE (Solvency II) e degli articoli 258-275 del Regolamento delegato (UE) 35/2015 (di seguito “Atti delegati”).

Il Regolamento 38 integra e raccoglie in modo organico disposizioni precedentemente contenute in regolamenti separati e segnatamente: il Regolamento ISVAP n. 20 del 26 marzo 2008 in materia di controlli interni, gestione dei rischi, compliance ed esternalizzazione, il Regolamento ISVAP n. 39 del 9 giugno 2011 relativo alle politiche di remunerazione, la Circolare ISVAP n. 574/2005 in materia di riassicurazione passiva.

Il Regolamento 38 è stato accompagnato dalla lettera al mercato del 5 luglio 2018 con cui Ivass propone una prima concreta declinazione del principio di proporzionalità (sul punto si veda oltre).

Principali obiettivi dichiarati del Regolamento 38 sono:

  1. rafforzare i requisiti qualitativi di gestione che, unitamente ai requisiti prudenziali di tipo quantitativo, rappresentano i presìdi a salvaguardia della stabilità delle imprese e dei gruppi;
  2. modernizzare, razionalizzare e semplificare gli adempimenti a carico delle imprese.

Il Regolamento 38 si applica:

  • alle imprese di assicurazione o di riassicurazione italiane,
  • alle sedi secondarie di imprese con sede legale in uno Stato terzo e
  • alle ultime società controllanti italiane (USCI).

Le sedi secondarie di Stato terzo sono state mantenute nell’ambito di applicazione del Regolamento 38 in attesa della implementazione delle linee guida specifiche di EIOPA.

Le macro aree oggetto del Regolamento 38 sono:

  1. il sistema di governo societario (anche di gruppo), con particolare riferimento al ruolo degli organi sociali, la struttura organizzativa, il sistema di controllo interno, il sistema di gestione dei rischi e l’idoneità alla carica degli esponenti aziendali e di coloro che svolgono le funzioni fondamentali;
  2. le funzioni fondamentali: gestione dei rischi, verifica della conformità alle norme, revisione interna e funzione attuariale;
  3. la politica delle remunerazioni;
  4. i criteri di esternalizzazione.

Le imprese dovranno adeguarsi alle previsioni del Regolamento 38 entro il 31 dicembre 2019, adottando le opportune delibere entro il mese di giugno 2019.

2. Il principio di proporzionalità - Il processo di autovalutazione e i diversi sistemi di governo societario

Coerentemente con quanto prescritto da Solvency II, l’Art. 30 del Codice delle Assicurazioni e l’art 4 del Regolamento 38 richiedono alle imprese di dotarsi di un adeguato sistema di governo societario, proporzionato alla natura, alla portata e alla complessità dei rischi, attuali e prospettici, inerenti all’attività svolta.

Con la lettera al mercato del 5 luglio 2018, Ivass ha fornito indicazioni concrete in merito alla configurazione degli assetti di governo coerenti con il principio di proporzionalità ed idonei a garantire una gestione sana e prudente, distinguendo tra:

  • sistema ordinario;
  • sistema rafforzato;
  • sistema semplificato.

Come chiarito nella lettera al mercato i tre assetti di governo sono caratterizzati dalla diversa:

  1. articolazione delle deleghe e autonomia gestionale del Presidente dell’organo amministrativo;
  2. articolazione e composizione dei comitati endo-consiliari relativi ai rischi e alle remunerazioni;
  3. organizzazione ed esternalizzazione delle funzioni fondamentali (key function);
  4. struttura della remunerazione degli organi amministrativo e di controllo, dell’alta direzione, dei titolari delle funzioni fondamentali e dell’ulteriore personale rilevante la cui attività può avere un impatto significativo sul profilo di rischio dell’impresa.

L’adozione dell’uno o dell’altro sistema da parte dell’organo amministrativo (rispetto alla quale Ivass ha invitato le imprese ad un attivo confronto) si basa su parametri quantitativi e variabili qualitative che approssimano il profilo di rischiosità, la tipologia di attività, la complessità del business e delle operazioni svolte.

Il sistema di governo societario “rafforzato” dovrà comunque essere adottato dalle imprese che: a) utilizzano un modello interno per il calcolo del Requisito Patrimoniale di Solvibilità; b) esercitano congiuntamente i rami vita e danni (eccetto il caso di piccolo cumulo); c) hanno emesso strumenti finanziari ammessi alla negoziazione in mercati regolamentati.

3. Ruolo degli organi sociali - In particolare, i “nuovi” rischi, gli amministratori indipendenti ed il Presidente

Responsabile ultimo e perno centrale del sistema di governo societario resta l’organo amministrativo (articolo 5, in linea con l’articolo 29-bis del Codice) che definisce le strategie, fornisce direttive e indicazioni di indirizzo, approva l’assetto organizzativo dell’impresa. All’organo amministrativo si affiancano l’Alta Direzione, con compiti di attuazione, mantenimento e monitoraggio del sistema di governo, e le funzioni fondamentali.

L’organo amministrativo valuta almeno una volta l’anno la propria adeguatezza in termini di numerosità, composizione, funzionalità ed in tale valutazione andrà verificata che la presenza di amministratori indipendenti sia numericamente adeguata in relazione anche alle attività svolte. I membri indipendenti sono privi di deleghe e contribuiscono ad assicurare il rispetto degli obiettivi di sana e prudente gestione.

Il Presidente del consiglio è chiamato a favorire la dialettica interna tra componenti delegati e privi di deleghe e assicura l’adeguato bilanciamento dei poteri. Il presidente ha di norma un ruolo non esecutivo e non svolge alcuna funzione gestionale. Qualora, in ragione delle ridotte dimensioni o complessità dell’impresa, il Presidente ricopra anche un ruolo esecutivo, dovranno essere adottati i presidi necessari ad evitare conseguenze negative sul corretto funzionamento dell’organo amministrativo.

L’Art. 30 del Codice delle Assicurazioni prevede che “l’impresa adotta politiche scritte con riferimento quanto meno al sistema di gestione dei rischi, al sistema di controllo interno, alla revisione interna e, ove rilevante, all’esternalizzazione, nonché una politica per l’adeguatezza nel continuo delle informazioni fornite al supervisore…”.

L’art. 4 del Regolamento 38 include specificamente tra i rischi che devono essere identificati, valutati e gestiti dal sistema di governo societario, quello di perdite finanziarie o reputazionali derivanti da impatti ambientali e sociali/rischio ambientale in linea con quanto previsto dal D.lgs. 254/2016 (Attuazione della direttiva 2014/95/UE del Parlamento europeo e del Consiglio del 22 ottobre 2014, recante modifica alla direttiva 2013/34/UE per quanto riguarda la comunicazione di informazioni di carattere non finanziario e di informazioni sulla diversita’ da parte di talune imprese e di taluni gruppi di grandi dimensioni).

4. Il sistema di controllo interno - In particolare, i sistemi di gestione dei dati e dei sistemi informatici

La disciplina in materia di sistemi di gestione dei dati e dei sistemi informatici è stata profondamente rivista.

E’ ora richiesta:

  1. la definizione e l’approvazione da parte dell’organo amministrativo di una politica aziendale di data governance, inclusi i profili di data quality e cyber security, il cui contenuto minimo è indicato nell’Allegato 1 al Regolamento 38;
  2. la comunicazione all’IVASS di eventuali gravi incidenti informatici ovvero di quegli eventi che comportano la violazione - anche solo potenziale - delle norme e delle prassi aziendali in materia di sicurezza, quali frodi informatiche, attacchi cyber, malfunzionamenti e disservizi) e l’inclusione nel piano strategico sulla tecnologia dell’informazione e comunicazione (ICT) di elementi di dettaglio su tali profili.

Qualora uno di tali eventi comporti anche la violazione di dati personali, l’impresa potrà adempiere nella medesima tempistica prevista dal Regolamento UE 2016/679 per la comunicazione al Garante della Privacy, nel rispetto, a livello di contenuto, di quanto indicato dall’articolo 16, comma 4 del Regolamento 38.

5. Il sistema di gestione dei rischi - In particolare, il piano di emergenza rafforzato a livello di gruppo

Il Capo II della del Titolo III della Parte II del Regolamento 38 disciplina gli obiettivi del sistema di gestione dei rischi richiedendo l’individuazione di un obiettivo di solvibilità nell’ambito della propensione al rischio dell’impresa, la catalogazione dei rischi aziendali e la predisposizione di un piano coerente per fronteggiare le situazioni di emergenza.

L’aspetto più innovativo in materia è la previsione di una più completa disciplina di dettaglio (art. 83) relativamente al piano di emergenza rafforzato richiesto ai gruppi soggetti agli obblighi di informativa a fini di stabilità finanziaria e - su indicazione di IVASS - anche a gruppi diversi qualora se ne ravvisi l’esigenza ai fini della sana e prudente gestione del gruppo stesso.

6. Gli obblighi di formalizzazione e l’informativa ad IVASS in materia di riassicurazione passiva

In parziale linea di continuità con la precedente circolare IVASS n. 574/2005 riguardante la riassicurazione passiva, gli articoli racchiusi nel Capo III del Regolamento disciplinano la riassicurazione e le altre tecniche di mitigazione del rischio.

In particolare, la delibera quadro che doveva essere adottata dal Consiglio di amministrazione ai sensi della precedente Circolare è sostituita, nel Regolamento, da una policy che spetta all’organo amministrativo adottare, con la quale attuare la strategia di attenuazione dei rischi e l’equilibrio del portafoglio. Tale policy, così come quelle del controllo interno, della revisione interna e dell’esternalizzazione, deve essere rivista con cadenza almeno annuale.

Essendo venuto meno l’obbligo di trasmissione a IVASS del piano delle cessioni e dei rischi catastrofali (che ricadono nell’obbligo di reportistica previsto da Solvency II), il Regolamento si limita a richiedere per la riassicurazione tradizionale la formalizzazione dei rapporti contrattuali entro quattro mesi dalla conclusione degli accordi (o comunque dalla data di effetto della copertura) ovvero in sei mesi (ove ciò sia giustificabile dalle specifiche caratteristiche dell’attività oggetto di riassicurazione), mentre a richiedere un’informativa integrativa (da trasmettersi all’Autorità di vigilanza in conformità con quanto previsto dagli articoli 309, paragrafo 5 degli Atti Delegati e 47quater del Codice delle Assicurazioni Private) per la riassicurazione non tradizionale, consistente in una descrizione delle finalità e delle principali caratteristiche del contratto, insieme con una descrizione del trattamento contabile delle partite e degli effetti economici, patrimoniali e finanziari sul bilancio dell’impresa cedente.

7. Requisiti di onorabilità, professionalità e indipendenza: in particolare gli obblighi di verifica dei requisiti “fit & proper”

Il Capo V del Regolamento (articolo 25) contiene la disciplina relativa alla valutazione dei requisiti di idoneità alla carica di esponenti aziendali, dei titolari e di coloro che svolgono funzioni fondamentali, anche in caso esternalizzazione, e del personale identificato dall’impresa, la cui identificazione deve essere coerente con la struttura organizzativa dell’impresa ed adeguatamente formalizzata.

L’articolo 25 effettua in realtà un rinvio all’articolo 76, comma 1, del Codice quanto alla definizione dei requisiti di professionalità, onorabilità e indipendenza, il quale, a sua volta, rimanda al regolamento ministeriale che dovrà essere emanato dal Ministero dello Sviluppo Economico, dal momento che l’attuale decreto n. 220 datato 11 novembre 2011 determina i predetti requisiti solo con riferimento agli esponenti aziendali e non già anche dei titolari delle funzioni fondamentali.

Un secondo rinvio è poi effettuato nei confronti dell’articolo 273 degli Atti Delegati, che prevede che le funzioni fondamentali dell’impresa siano rivestite da soggetti dotati costantemente dei requisiti di competenza e onorabilità, secondo quanto previsto dall’articolo 42 della direttiva Solvency II, ricomprendendovi tuttavia anche l’onestà e la solidità finanziaria, da valutarsi in base ad elementi oggettivi relativi al comportamento e alla condotta in affari.

Con riferimento a coloro che svolgono funzioni di amministrazione, direzione o controllo, nonché funzioni fondamentali, la politica aziendale adottata dall’impresa deve prevedere l’obbligo di quest’ultima di verificare la sussistenza dei requisiti di fit & proper in capo a tali soggetti, in base alla dimensione, portata, complessità dell’attività esercitata, alla struttura dell’impresa e la rilevanza e complessità del ruolo da questi ricoperto, in coerenza, oltre che con gli Atti Delegati, anche con il Regolamento ministeriale sopra citato.

8. Le funzioni fondamentali

Le funzioni fondamentali dell’impresa, trattate nel Capo VI, della parte II, del Titolo III del Regolamento, sono quelle della gestione dei rischi, di verifica della conformità alle norme, di revisione interna e quella attuariale.

Le attività e il ruolo della funzione della gestione dei rischi sono state dettagliate rispetto, in particolare, alla valutazione interna del rischio e della solvibilità e alla collaborazione con la funzione attuariale.

In particolare, la predetta funzione dovrà concorrere alla definizione delle metodologie utilizzate per la definizione delle relative policies, segnalare al consiglio di amministrazione i rischi identificati come significativi e verificare il modello interno utilizzato rispetto al profilo di rischio dell’impresa.

La funzione di compliance è stata più agevolmente collocata nell’ambito del sistema di controllo interno, mentre della funzione di revisione interna è stata accentuata l’indipendenza.

Attraverso l’implementazione della Linea Guida Eiopa 46, è stato infine stabilito che, qualora si intenda gravare la funzione attuariale di compiti aggiuntivi rispetto a quelli ordinari (disciplinati dall’articolo 30 sexies del Codice), debbano essere evitati conflitti di interesse.

9. Le politiche di remunerazione e l’informativa agli azionisti e a IVASS; i criteri di performance

Il Capo VII della parte II, Titolo III, del Regolamento dedica un’ampia disciplina alle politiche di remunerazione e incentivazione, di fatto abrogando il precedente Regolamento ISVAP n. 39/2011, il cui impianto originario non viene tuttavia abbandonato. Le disposizioni sono infatti riviste alla luce degli orientamenti internazionali ed europei di interesse, al fine di assicurarne la coerenza.

Il Capo VII si articola in otto sezioni, ciascuna dedicata ai principi che debbono improntare la remunerazione dei soggetti rilevanti nell’impresa, sia per ciò che concerne il ruolo e la responsabilità che ciascuno di essi ha nella definizione delle politiche di remunerazione, sia i criteri concreti ai quali la remunerazione deve essere determinata.

In particolare, ancorché in breve, le politiche di remunerazione non devono porsi in contrasto con il principio di sana e prudente gestione, le politiche di remunerazione devono essere improntate a criteri di trasparenza e devono essere volte a evitare il ricorrere di situazioni di conflitto d’interesse.

Spetta all’assemblea dei soci approvare le politiche di remunerazione degli organi sociali, del personale rilevante e del consiglio di amministrazione, nonché delle funzioni fondamentali dell’impresa, che, unitamente alle risorse umane, si occupano definire i meccanismi di incentivazione. In particolare, è richiesto alle imprese, e dunque in primis all’assemblea soci, di determinare politiche di remunerazione basate sulla misurazione del raggiungimento di risultati di breve termine.

Con riferimento alla remunerazione del consiglio di amministrazione, mentre si ribadisce che gli amministratori privi di deleghe non percepiscono, in genere, componenti variabili di remunerazione, si prevede altresì che per gli amministratori con deleghe esecutive la remunerazione preveda un bilanciamento tra la componente fissa e quella variabile, misurata, preferibilmente, su orizzonte temporale pluriennale e valutata in base a a risultati oggettivi, predeterminati e facilmente misurabili.

Il personale rilevante è assimilato, mutatis mutandis, all’organo amministrativo, quanto alla determinazione della politica di remunerazione, mentre per i componenti degli organi con funzione di controllo è esclusa la possibilità di riconoscere compensi collegati ai risultati o espressi in strumenti finanziari.

La remunerazione delle funzioni fondamentali è invece disciplinata in modo autonomo. Infatti la remunerazione di queste deve essere proporzionata al livello di responsabilità e di impegno connessi al ruolo svolto; le remunerazioni variabili devono inoltre essere evitate, salvo ipotesi straordinarie ed eccezionali, adeguatamente motivate e che non devono dar vita a conflitti di interesse.

L’informativa agli azionisti sulle politiche di remunerazione è stata poi integrata con l’indicazione di informazioni quantitative sui compensi corrisposti agli esponenti aziendali. Le informazioni sulle remunerazioni di questi ultimi e del personale rilevante sono poi trasmesse a IVASS, ai sensi dell’articolo 47 quater del Codice.

10. L’esternalizzazione: in particolare, l’affidamento in outsourcing “infragruppo” delle funzioni fondamentali

Il Capo VIII della Parte II, Titolo III, del Regolamento 38 (articoli da 60 a 69) sono dedicati all’esternalizzazione, al quale si aggiunge, a mo’ di appendice, la previsione contenuta all’articolo 94 (Capo VIII del Titolo III del Regolamento) dedicato all’esternalizzazione a livello di gruppo.

Rispetto al precedente Regolamento ISVAP n. 20 del 26 marzo 2008, vengono ribaditi i principi ai sensi dei quali l’attività di esternalizzazione non può determinare “lo svuotamento dell’attività dell’impresa cedente” (articolo 60, comma 1) e quello per il quale “non può in nessun caso essere esternalizzata l’attività di assunzione dei rischi” (articolo 60, comma 2).

Come in passato, risulta sottoposta a particolari cautele l’esternalizzazione di attività e/o funzioni essenziali o importanti, nonché delle funzioni fondamentali.

In particolare, il Regolamento 38 chiarisce che le attività e/o le funzioni fondamentali o importanti sono quelle la cui mancata o anomala esecuzione compromette gravemente la capacità dell’impresa di continuare ad avere le condizioni richieste per l’autorizzazione all’esercizio dell’attività oppure i risultati finanziari dell’impresa, la sua stabilità o continuità e la qualità dei servizi resi agli assicurati.

L’esternalizzazione delle funzioni fondamentali, che deve comunque avvenire nel rispetto delle condizioni poste dall’articolo 30 septies del D. Lgs. n. 209/2005 (Codice delle Assicurazioni Private, il “Codice”) e dell’articolo 274 degli Atti Delegati, è ammessa nella misura in cui, data la ridotta portata e complessità dei rischi inerenti l’attività d’impresa, l’istituzione o il mantenimento di funzioni fondamentali all’interno della società non risponda a particolari criteri di economicità.

Nel caso di esternalizzazione di attività e/o di funzioni essenziali, importanti e fondamentali, l’impresa dovrà nominare al proprio interno, nel primo caso, uno o più responsabili delle attività di controllo sulle funzioni o attività essenziali o importanti esternalizzate (articolo 62, comma 5), mentre, nel caso di esternalizzazione di funzioni fondamentali, un titolare della funzione fondamentale esternalizzata, al quale sarà assegnata la responsabilità complessiva della funzione esternalizzata (articolo 63, comma 3).

L’articolo 67 del Regolamento 38 chiarisce che l’esternalizzazione di funzioni e/o attività essenziali o importanti è soggetta alla preventiva comunicazione all’IVASS , che dovrà avvenire almeno sessanta giorni prima dell’esecuzione del contratto, ove il fornitore abbia sede legale nello Spazio Economico Europeo, mentre, nel caso in cui l’attività e/o la funzione essenziale o importante sia esternalizzata a un fornitore con sede legale al di fuori dello Spazio Economico Europeo, ancorché ricompreso nell’ambito del gruppo di cui all’articolo 210 ter, comma 2, del Codice[1], la comunicazione in via preventiva a IVASS dovrà essere effettuata nei quarantacinque giorni antecedenti la conclusione del contratto (articolo 67, comma 2).

Gli accordi di esternalizzazione di funzioni fondamentali invece possono essere conclusi solo con fornitori aventi sede legale nello Spazio Economico Europeo, dal momento che l’esternalizzazione di una di tali funzioni ad un fornitore avente sede legale al di fuori dello SEE è consentita nella misura in cui, soggetta alla preventiva autorizzazione da parte di IVASS, il fornitore sia parte di un gruppo, come definito dall’articolo 210 ter, comma 2, del Codice (articolo 68, comma 2).

Come anticipato, all’esternalizzazione a livello di gruppo si applica la disciplina contenuta nel solo articolo 94 del Regolamento 38, il quale, a sua volta, rinvia alla disciplina sopra molto sommariamente descritta contenuta nella Parte II, Titolo III, Capo VIII del Regolamento, prevedendo altresì l’applicazione del regime semplificato previsto dagli articoli 67, comma 2, e 68, comma 2, laddove il fornitore del servizio esternalizzato sia una delle società di cui all’articolo 210 ter, comma secondo, del Codice.

Gli articoli 65 e 66 contengono poi la disciplina dei controlli attuati dall’impresa cedente e dei poteri d’intervento in capo a IVASS in caso di esternalizzazione, prevedendo, per l’impresa, l’adozione di specifici presidi organizzativi e contrattuali che consentano di monitorare costantemente le attività esternalizzate, la loro conformità alla legge e alle direttive e alle procedure aziendali e, in capo ad IVASS, il potere di imporre all’impresa di modificare il contratto di esternalizzazione, ovvero, nei casi più gravi, di recedere dal contratto.




[1] La norma citata stabilisce che: La società capogruppo comunica all’IVASS l’elenco delle imprese di assicurazione o riassicurazione e le società strumentali, le società di partecipazione assicurativa e le società di partecipazione finanziaria mista controllate intermedie.

Comments

Inserisci un nuovo commento

CAPTCHA
Questo passaggio serve per prevenire azioni di spam.