WEBINAR / 23 febbraio
Il Regolamento DORA sulla resilienza operativa digitale


Impatti per il settore finanziario

ZOOM MEETING Offerte per iscrizioni entro il 03/02

WEBINAR / 23 febbraio
Il Regolamento DORA sulla resilienza operativa digitale
www.dirittobancario.it
Approfondimenti

L’evoluzione del sistema dei controlli interni delle imprese di assicurazione nel recepimento di Solvency II

1 Giugno 2016

Stefano Febbi e Diego Bobbo, Studio Legale Bird&Bird

Di cosa si parla in questo articolo

Controlli interni

Nel complesso schema organizzativo dell’impresa assicurativa, il sistema dei controlli interni può essere definito come l’insieme delle strutture organizzative, delle procedure e delle regole che complessivamente presiedono al corretto funzionamento e al buon andamento dell’impresa nel contesto economico e normativo di riferimento.

Il sistema dei controlli interni è finalizzato primariamente ad assicurare che gli obiettivi dell’impresa siano perseguiti in un contesto di un adeguato monitoraggio e un’efficace gestione dei rischi insiti nella strategia di business, mediante lo svolgimento di attività di controllo e la predisposizione di idonee policy e procedure organizzative.

Ulteriore finalità del sistema dei controlli è costituita dal monitoraggio dell’economicità operativa della struttura aziendale, attraverso la costante verifica che le operazioni gestionali siano eseguite secondo principi di:

  • efficacia, ossia capacità di raggiungere gli obiettivi prestabiliti;
  • efficienza, cioè l’idoneità a raggiungere gli obiettivi con un utilizzo razionale e appropriato di risorse umane e materiali;
  • economicità, ossia la capacità di operare attraverso l’utilizzo di risorse al minor costo possibile.

Il sistema dei controlli interni, infine, supporta il management nella definizione delle possibili trasformazioni dell’attività dell’impresa, sia quando queste abbiano luogo in conseguenza di eventi esterni (es. mutamenti del contesto normativo e regolamentare di riferimento, evoluzioni del mercato), sia quando questi abbiano luogo in conseguenza di eventi interni (es. operazioni straordinarie).

Partecipano al sistema dei controlli interni, complessivamente inteso, tanto gli organi sociali (organo amministrativo e organo di controllo) quanto le funzioni c.d. di controllo interno quali, in particolare, la funzione di internal audit, la funzione di risk management e la funzione di compliance e, infine, le medesime funzioni operative e di business.

Si suole ripartire il sistema dei controlli interni su tre livelli:

  1. controlli “di primo livello” o “controlli di linea”, volti ad assicurare il corretto svolgimento delle operazioni ed effettuati dalle stesse funzioni operative e di business;
  2. controlli “di secondo livello”, che comprendono la funzione di risk management, cui è demandata l’attività di misurazione, monitoraggio e gestione dei rischi aziendali, e la funzione di compliance, che svolge attività di verifica della conformità dell’operatività aziendale ai limiti ed alle disposizioni normative e regolamentari;
  3. controlli “di terzo livello”, demandati alla funzione di internal audit, chiamata a verificare la completezza, l’adeguatezza, l’efficacia e l’efficienza di tutto il sistema dei controlli interni, nonché dell’organizzazione aziendale.

I controlli “di primo livello” sono normalmente qualificati come “controlli diretti”, in quanto svolti contestualmente all’esercizio delle attività aziendali e dai medesimi soggetti che vi sono preposti; i livelli di controllo successivi, invece, sono solitamente definiti controlli “indiretti” in quanto basati sui flussi informativi generati all’esito degli accertamenti diretti.

La collocazione delle funzioni di controllo nella struttura aziendale è funzionale a garantirne l’immunità da influenze che potrebbero compromettere la relativa capacità di svolgere i compiti assegnati in modo obiettivo, corretto e indipendente. Per questa ragione, ogni funzione esercita le proprie funzioni sotto la responsabilità dell’organo amministrativo, al quale riferisce in via diretta, e coopera con le altre funzioni nello svolgimento dei rispettivi ruoli.

I controlli interni nelle imprese assicurative

La creazione di un solido sistema di controllo interno rappresenta una delle condizioni necessarie per il corretto svolgimento dell’attività assicurativa.

A livello comunitario, nell’ambito della Direttiva 2009/138/CE in materia di accesso ed esercizio delle attività di assicurazione e riassicurazione (“Solvency II” o “Direttiva”), che ha recentemente riformato il settore assicurativo per migliorare la tutela della stabilità delle imprese che vi operano e dei relativi clienti, in particolare con riguardo ai requisiti patrimoniali richiesti agli operatori per lo affrontare i rischi connessi allo svolgimento delle proprie attività, è stato posto in evidenza il ruolo centrale svolto dal sistema dei controlli interni[1].

Scopo principale del nuovo quadro comunitario è definire un sistema di vigilanza prudenziale più attento ai rischi che incidono sul business assicurativo, al fine di assicurare una gestione sana e prudente dei rischi d’impresa e una conseguente maggiore tutela degli assicurati.

Tale finalità è perseguita mediante un sistema normativo articolato su 3 pilastri strettamente interconnessi: il primo fissa i requisiti finanziari/patrimoniali cui le imprese devono conformarsi, il secondo stabilisce i presidi di corporate governance e vigilanza che le imprese devono strutturare, il terzo, infine, definisce gli obblighi di informativa e di disclosure cui le imprese sono tenute nei confronti del mercato e della Vigilanza.

Il sistema dei controlli interni trova una propria centrale collocazione nell’ambito del secondo pilastro della disciplina comunitaria, all’interno delle disposizioni dedicate ai controlli e alla governance.

A livello nazionale, in recepimento delle indicazioni comunitarie, la struttura dei controlli interni, nelle sue componenti base, è anzitutto tratteggiata nell’ambito degli articoli 30-quater, 30-quinquies e 30-sexies del D.Lgs. 7 Settembre 2005, n. 209, recante il “Codice delle Assicurazioni Private” (in breve, il “CAP”), recentemente oggetto di riforma per opera del D.Lgs. 12 maggio 2015, n. 74.

I primi due commi dell’articolo 30-quater, chiariscono in generale come le imprese assicurative italiane siano chiamate a dotarsi di un «efficace sistema di controllo interno» che «comprende almeno la predisposizione di idonee procedure amministrative e contabili, l’organizzazione di un adeguato sistema di trasmissione delle informazioni per ogni livello dell’impresa, nonché l’istituzione della funzione di verifica della conformità dell’attività dell’impresa alla normativa vigente, alle direttive e alle procedure aziendali».

Il terzo comma del citato articolo e i successivi articoli 30-quinquies e 30-sexies descrivono quindi in termini generali le attività che devono essere svolte dalle funzioni di controllo interno ai fini del corretto andamento del business aziendale.

I principi generali dettati dal CAP in materia di sistema dei controlli interni sono declinati, sul piano regolamentare, dal Regolamento ISVAP 26 Marzo 2008, n. 20, recante “Disposizioni in materia di controlli interni, gestione dei rischi, compliance ed esternalizzazione delle attività delle imprese di assicurazione” (il “Regolamento 20”).

Tale regolamento, in vigore fin dal 2008, è stato recentemente oggetto di modifica, al fine di allinearne i contenuti alle più recenti evoluzioni della disciplina comunitaria e, in particolare, agli “Orientamenti sul sistema di governance” (gli “Orientamenti EIOPA”) emanati da EIOPA (European Insurance and Occupational Pension Authority) per fornire alle Autorità di Vigilanza Nazionali talune indicazioni circa l’adeguamento dei sistemi di governance delle imprese al quadro introdotto da Solvency II.

Alcuni dei più significativi interventi hanno avuto a oggetto:

  1. l’organo di amministrazione, di cui sono stati rafforzati i compiti e le responsabilità nell’ambito del generale sistema deicontrolli interni;
  2. il sistema di gestione dei rischi, nell’ambito del quale sono stati delineati con maggior precisione i compiti e i ruoli attribuiti alla funzione di risk management e al relativo responsabile, nonché i parametri e i criteri secondo cui devono essere effettuate le valutazioni del profilo di rischio dell’impresa (in particolare, con riferimento al monitoraggio nel continuo e alle valutazioni prospettiche di rischio).

Sul quadro normativo complessivamente delineato da tali interventi e su alcune delle relative implicazioni per le imprese italiane ci si soffermerà con più attenzione nelle pagine che seguono.

In via preliminare, tuttavia, pare utile soffermarsi sulle innovazioni introdotte nell’articolo 4 del Regolamento 20, relativo agli “obiettivi del sistema dei controlli interni”, in quanto indicative dell’atteggiamento assunto dal legislatore comunitario e nazionale nella ridefinizione dell’assetto dei controlli interni delle imprese assicurative.

In particolare, giova osservare come il nuovo testo dell’articolo 4 chiarisca, sotto un profilo generale, che:

  • le imprese devono strutturare il proprio sistema di controlli interni nel rispetto del principio di proporzionalità, e cioè tenendo in considerazione la natura, la portata e la complessità dei rischi aziendali (attuali e prospettici) inerenti alla propria attività;
  • deve essere sempre garantita la «tempestività del reporting delle informazioni aziendali»;
  • i presidi relativi al sistema dei controlli interni e di gestione dei rischi devono coprire «ogni tipologia di rischio aziendale […] secondo una visione prospettica e in considerazione della salvaguardia del patrimonio» anche in un’ottica di medio-lungo periodo e che, al tempo stesso, l’«articolazione delle attività aziendali nonché dei compiti e delle responsabilità degli organi sociali e delle funzioni deve essere chiaramente definita».

Tali chiarimenti assumono valenza preliminare e generale rispetto alle questioni che qui ci occupano, in quanto, pur affermando la necessità che il sistema dei controlli interni sia strutturato secondo il principio di proporzionalità, non ancorano la correlata valutazione a requisiti di carattere meramente “quantitativo” (fondati, cioè, sulle dimensioni del business aziendale) ma impongono alle imprese di tenere in considerazione anche (e soprattutto) le caratteristiche “qualitative” delle attività svolte (in termini di natura, portata e complessità dei rischi assunti).

Assume in tale contesto rilievo centrale una valutazione informata, prospettica e non statica (c.d. forward looking approach) di tutte le tipologie di rischio cui è soggetta l’operatività aziendale.

Tale valutazione, infatti, come chiarito da IVASS nell’ambito degli esiti della consultazione che ha preceduto l’aggiornamento del Regolamento 20, «costituisce un aspetto essenziale degli Orientamenti EIOPA e, più in generale, del framework Solvency II, che si basa sull’assunto che l’impresa sappia valutare il proprio profilo di rischio attraverso una valutazione non solo statica ma anche prospettica di quei fattori che possono pregiudicare la stabilità dell’impresa/gruppo anche in un arco temporale di medio-lungo periodo».

Tanto premesso, pare utile procedere a una breve disamina della struttura del nuovo sistema dei controlli interni dell’impresa assicurativa, soffermandosi, in particolare, sull’evoluzione del ruolo dell’organo amministrativo e delle funzioni incaricate dei controlli di secondo livello.

La centralità dell’organo amministrativo

Come anticipato, nell’ambito del sistema dei controlli interni dell’impresa assicurativa risultante dal recepimento di Solvency II, un ruolo di ancor più cruciale rilievo è assegnato all’organo amministrativo (ferma restando, naturalmente, la contemporanea e tradizionale rilevanza dell’organo di controllo, su cui non sembra utile soffermarsi).

Ciò emerge con chiarezza dalle funzioni che a tale organo sono attribuite nell’ambito del nuovo testo dell’articolo 5 del Regolamento 20.

L’articolo in esame è stato oggetto, infatti, di alcuni rilevanti interventi di modifica, volti, come chiarito dall’Autorità nella Relazione di presentazione del nuovo testo del Regolamento 20, a consentire il conseguimento degli obiettivi di tutela della stabilità dell’impresa e, al tempo stesso, ad «assicurare una sempre maggiore consapevolezza e partecipazione dell’organo amministrativo al processo decisionale».

È stato dunque specificato che l’organo amministrativo:

  • detiene la responsabilità ultima del sistema di gestione del rischio, oltre che dei controlli interni;
  • è chiamato ad assicurare che il sistema di gestione dei rischi consenta la valutazione, anche prospettica, di tutti i rischi insiti nell’operatività aziendale «garantendo l’obiettivo della salvaguardia del patrimonio, anche in un’ottica di medio-lungo periodo».

Le competenze attribuite all’organo di amministrazione nell’ambito del sistema di gestione dei rischi sono state conseguentemente ampliate, al fine di garantire a quest’ultimo un’effettiva capacità di indirizzo delle scelte aziendali e valutazione dei rischi – anche prospettici – sottesi a ciascuna di esse.

Nel nuovo quadro, l’organo amministrativo è così chiamato a:

– approvare documenti di indirizzo, di carattere tecnico, relativi alla gestione e al monitoraggio dei rischi cui è normalmente esposta l’operatività aziendale, quali:

  • la politica di valutazione, anche prospettica, dei rischi, recante i criteri e le metodologie da seguire per le valutazioni rilevanti;
  • il documento sulla propensione al rischio (c.d. risk appetite) e la tolleranza al rischio (c.d. risk tolerance) dell’impresa nell’ottica della salvaguardia del patrimonio aziendale;
  • la politica di gestione del rischio e le strategie per la relativa attuazione, anche in un’ottica di medio-lungo periodo;
  • le politiche relative alla sottoscrizione, alla riservazione, alla riassicurazione e alle altre tecniche di mitigazione del rischio nonché di gestione del rischio operativo.

– adottare presidi di carattere organizzativo e amministrativo quali, in particolare:

  • l’approvazione di direttive in materia di sistema dei controlli interni (al fine di ricomprendervi la politica relativa alle funzioni di risk management, compliance, e revisione interna e di assicurarne la coerenza con gli indirizzi strategici e la propensione al rischio dell’impresa);
  • la definizione di un documento generale sull’organizzazione aziendale, riepilogativo dei compiti e delle responsabilità degli organi sociali, dei comitati consiliari e delle funzioni di risk management, compliance e revisione interna, nonché dei flussi informativi e delle modalità di coordinamento tra tali soggetti;
  • l’adozione di una politica aziendale per la valutazione del possesso dei requisiti di idoneità alla carica (in termini di onorabilità e professionalità) da parte dei soggetti preposti alle funzioni di amministrazione, direzione e controllo, dei responsabili delle funzioni di controllo interno e di tutti coloro che svolgono funzioni “chiave” per la gestione dell’impresa;
  • l’effettuazione di una verifica periodica della presenza di talune competenze tecniche e legali all’interno dell’organo amministrativo, volta ad assicurare la presenza – tra gli altri – di soggetti competenti in materia attuariale e di gestione dei rischi e degli investimenti.

L’assetto complessivo delle attribuzioni dell’organo amministrativo tratteggiato dal nuovo testo del Regolamento 20, pare prevalentemente finalizzato a garantire a tale organo una piena consapevolezza e dominio dei rischi cui è in ogni momento esposta l’operatività aziendale, nonché la possibilità di definire la struttura organizzativa interna in modo funzionale alla gestione, al controllo e al monitoraggio di tali rischi.

Tale impostazione regolamentare sottende, a ben vedere, una più rigorosa definizione del ruolo dell’organo amministrativo nell’ambito della complessiva struttura di governance delle imprese assicurative.

Da organo di vertice della struttura commerciale dell’impresa, incaricatoanzitutto dell’assunzione delle scelte di business, politiche e strategiche funzionali allo sviluppo dell’attività assicurativa, l’organo amministrativo è destinato ad assumere pienamente il ruolo di organo di vertice del sistema dei controlli interni dell’impresa, onerato anzitutto della gestione dei rischi insiti nell’operatività aziendale e dell’approntamento degli strumenti organizzativi e procedurali necessari per il relativo monitoraggio e contenimento.

Simile (nuova) impostazione può cogliersi anche nell’evoluzione della disciplina applicabile alla gestione degli investimenti finanziari e delle riserve tecniche da parte delle imprese di assicurazione, compendiata nell’ambito del Documento di consultazione IVASS n. 26/2015, relativo all’emanazione del nuovo Regolamento IVASS “in materia di investimenti e di attivi a copertura delle riserve tecniche”, destinato a sostituire il Regolamento ISVAP n. 36 del 31 gennaio 2011.

Nell’ambito di tale documento, infatti, viene assegnata alla responsabilità dell’organo amministrativo l’adozione di alcune policy cherappresentano il fulcro delle attività di investimento e gestione dei rischi finanziaridell’impresa.

Si tratta, in particolare, della “politica degli investimenti”, della “politica di gestione delle attività e delle passività” e della “politica di gestione del rischio di liquidità” dell’impresa assicurativa.

Tali documenti devono essere definiti e approvati dall’organo di amministrazione coerentemente con il c.d. “principio della persona prudente” di cui all’articolo 37 del CAP e avendo particolare riguardo:

  • alla natura, alla portata e alla complessità dei rischi inerenti all’attività aziendale;
  • alla propensione e al livello di tolleranza al rischio stabiliti per l’impresa;
  • alla possibilità di identificare, misurare, monitorare e gestire i rischi connessi a ciascuna tipologia di attività oggetto di investimento.

L’enfasi, ancora una volta, è posta in via diretta e prevalente sulla capacità dell’organo di amministrazione di assumere un ruolo di consapevole gestione, governo e monitoraggio dei fattori di rischio cui è esposta l’operatività aziendale, più che sull’attitudine a indirizzare le scelte commerciali dell’impresa.

Particolare rilievo assume in tale contesto il menzionato “principio della persona prudente”, cui devono essere informate le scelte dall’organo amministrativo in materia di gestione degli investimenti e delle riserve tecniche nonché di controllo e gestione dei rischi.

L’introduzione di tale principio nell’ordinamento nazionale, infatti, conduce all’eliminazione delle articolate indicazioni fornite nel Regolamento 36 con riguardo ai limiti massimi, quantitativi e qualitativi, degli investimenti in attivi a copertura delle riserve tecniche e nell’attribuzione di una maggiore discrezionalità alle imprese, chiamate più semplicemente a effettuare investimenti in attivi e strumenti dei quali possano identificare, misurare, monitorare, gestire, controllare e segnalare adeguatamente i rischi e che garantiscano la sicurezza, la qualità, la liquidità e la redditività del portafoglio nel suo complesso.

La maggiore discrezionalità riconosciuta alle imprese nel nuovo contesto normativo, implica però una forte responsabilizzazione dei soggetti che sono istituzionalmente preposti all’assunzione delle scelte strategiche e operative in materia di gestione dei rischi e degli investimenti per conto dell’impresa e dunque,in primis, anche alla luce delle sue nuove attribuzioni, dell’organo di amministrazione.

Segnale ulteriore del ruolo di “gestore del rischio” e vertice del sistema dei controlli interni prevalentemente assegnato a quest’ultimo nel nuovo contesto di riferimento.

A ulteriore conferma di quanto precede, pare utile rammentare quanto disposto dal Regolamento 20 con riferimento alle professionalità e alle competenze la cui presenza deve essere assicurata all’interno dell’organo amministrativo.

A mente dell’articolo 5, comma 2, lett. l), del citato regolamento, infatti, le imprese sono chiamate ad assicurare, anche mediante attività di periodica autovalutazione, che «l’organo amministrativo sia nel suo complesso in possesso di adeguate competenze tecniche almeno in materia di mercati assicurativi e finanziari, sistemi di governance, analisi finanziaria ed attuariale, quadro regolamentare, strategie commerciali e modelli d’impresa».

Il focus, comesi vede, non è esclusivamente posto sui requisiti di “professionalità” normativamente prescritti, ma anche sulla necessità che l’organo amministrativo svolga un “self-assessment”volto ad assicurarela presenza al proprio interno di competenze tecniche (diversamente declinabili da ciascuna impresa in funzione della propria peculiare operatività) adeguate per garantire che sia effettivamente in grado di controllare e gestire i rischi propri dell’impresa che governa.

La composizione dell’organo di amministrazione e la presenza di adeguate competenze di carattere multidisciplinare sono, dunque, temi che le imprese – e i loro azionisti – saranno chiamate a valutare con rinnovata attenzione.

L’evoluzione dellefunzioni di controllo interno

Al pari dell’organo di amministrazione, anche le funzioni di controllo interno dell’impresa assicurativa (internal audit, risk management e compliance), per effetto del recepimento di Solvency II, vedono evolvere il proprio ruolo all’interno del sistema dei controlli interni e della governance aziendale.

Pare dunque utile, nei paragrafi che seguono, esaminare brevemente i compiti assegnati nel nuovo quadro normativo e regolamentare a ciascuna funzione, al fine di valutarne le potenziali implicazioni rispetto all’assetto organizzativo vigente.

Viene in primo luogo in rilievo la funzione di internal audit – funzione di controllo di “terzo livello” – cui l’articolo 15 del Regolamento 20 assegna il fondamentale compito di monitorare e valutare l’efficacia e l’efficienza del sistema dei controlli interni sviluppato dall’impresa assicurativa.

Le attribuzioni della funzione non risultano modificate in modo sostanziale per effetto del recepimento di Solvency II. Rimane infatti di competenza dell’internal audit la verifica:

  • dei processi gestionali e delle procedure organizzative adottate dall’impresa;
  • della regolarità e la funzionalità dei flussi informativi nonché la relativa adeguatezza/affidabilità;
  • della regolare tenuta della contabilità;
  • dell’efficienza dei controlli svolti sulle attività esternalizzate.

Il fine delle attività svolte dalla funzione di interal audit nell’ambito del sistema dei controlli interni, dunque, anche successivamente al recepimento di Solvency II, rimane la verifica del regolare funzionamento dei presidi organizzativi e procedurali approntati dagli organi societari ai fini di una corretta gestione dei rischi.

Analoghe considerazioni possono svolgersi per la funzione di compliance,funzione di controllo “di secondo livello” istituzionalmente incaricata di verificare la conformità dell’operato delle strutture aziendali alla normativa primaria e secondaria, agli orientamenti espressi dalle Autorità di Vigilanza e al corpus normativo interno dell’impresa (documenti di indirizzo, policy e procedure aziendali).

I compiti della funzione di compliance, infatti, così come definiti dall’art. 23 del Regolamento 20, non sembrano soggetti a evoluzioni sostanziali, posto che la stessa è chiamata a:

  • identificare in via continuativa le norme applicabili all’impresa e valutare il loro impatto sui processi e le procedure aziendali;
  • valutare l’adeguatezza e l’efficacia delle misure organizzative adottate per la prevenzione del rischio di non conformità alle norme e proporre modifiche organizzative e procedurali;
  • valutare l’efficacia degli adeguamenti organizzativi conseguenti alle modifiche suggerite;
  • predisporre adeguati flussi informativi diretti agli organi sociali dell’impresa e alle altre strutture coinvolte.

Pur nella sostanziale invarianza dei compiti formalmente attribuiti all’internal audit ealla compliance, un elemento di possibile innovazione per l’operatività di tali funzioni di controllo potrebbe discendere dalla trasformazione del contesto del sistema dei controlli interni in cui esse si trovano ad operare, realizzata con il recepimento di Solvency II.

Per effetto delle innovazioni comunitarie, infatti, come già osservato, il sistema dei controlli interni delle imprese assicurative diviene primariamente finalizzato alla corretta identificazione, gestione e monitoraggio dei rischi insiti nell’operatività aziendale.

Tale evoluzione riverbera i propri effetti anche sugli attori del sistema dei controlli interni.

Data la centralità assunta dai fattori di rischio, infatti, sia la funzione di internal audit, sia la funzione di compliance sono chiamate adempiere ai propri oneri di controllo secondo un approccio che si potrebbe definire “risk-based”, concentrando cioè le proprie attività di controllo nelle aree operative più cruciali per il business aziendale o che racchiudono i maggiori rischi.

Una particolare evoluzione, a tale riguardo, pare potersi cogliere con riferimento al ruolo svolto dalla funzione di compliance.

I più recenti sviluppi della disciplina assicurativa (si pensi, per esempio, alla Lettera Congiunta Banca d’Italia/IVASS sulle polizze abbinate ai finanziamenti o alla Direttiva 2016/97/UE sulla distribuzione assicurativa) hanno posto, infatti, una nuova enfasi sulla necessità per le imprese di considerare, tra i fattori di rischio cui sono soggette, non solo quelli connessi alla stabilità patrimoniale e finanziaria dell’impresa ma anche il rischio di non conformità connesso alla violazione delle regole di condotta poste a tutela dei clienti nella fase di vendita dei prodotti assicurativi.

Tali sviluppi sono destinati a riverberare i propri effetti anche sul ruolo svolto dalla funzione di compliance che, oltre a vigilare sul rispetto delle regole in materia di organizzazione e stabilità (con un focus, dunque, prevalentemente rivolto all’interno all’impresa), è chiamata a vigilare anche sulla strutturazione di un corpus procedurale idoneo a garantire che le attività di distribuzione dei prodotti assicurativi siano conformi alla disciplina applicabile e a verificare che le condotte del personale e dei collaboratori coinvolti in tali attività siano effettivamente coerenti con le regole ivi previste (con un focus, dunque, prevalentemente rivolto all’esterno dell’impresa).

Circostanze che, a parere di chi scrive, sono destinate a incidere anche sulle modalità con le quali la compliance opera i propri controlli, alle quali non potranno restare estranee verifiche ex-post sull’applicazione delle procedure, spesso (erroneamente) considerate esclusivo appannaggio delle funzioni di internal audit.

Tanto chiarito, si rende ora necessario concentrare l’attenzione sul ruolo svolto dalla funzione di risk management, protagonista, nel rinnovato sistema dei controlli interni, di una marcata evoluzione.

Nel sistema di governance aziendale introdotto dalla Direttiva, infatti, teso prevalentemente alla stabilità dell’impresa assicurativa, al monitoraggio e al contenimento dei rischi attuali e prospettici cui la stessa è esposta, la funzione di risk management,istituzionalmente e funzionalmente preposta alla gestione e al controllo dei rischi aziendali è chiamata a svolgere un ruolo di fulcro dell’intero sistema dei controlli interni, più attivo e gestionale rispetto al passato.

Un ruolo diverso, in ogni caso, da quello di mero “controllore” o “supervisore” del business che ci si potrebbe attendere da una funzione di controllo “di secondo livello”.

Ciò emerge con evidenza dall’esame dei compiti attribuiti alla funzione di risk management:

– nel contesto del sistema dei controlli interni dell’impresa, in cui, per effetto del dell’articolo 21 del Regolamento 20 è tenuta a:

  • concorrere alla definizione della politica di gestione del rischio e definisce i criteri e le relative metodologie di misurazione dei rischi nonché gli esiti delle valutazioni, che trasmette all’organo amministrativo;
  • concorrere alla definizione dei limiti operativi assegnati alle strutture operative e definisce le procedure per la relativa tempestiva verifica;
  • validare i flussi informativi necessari ad assicurare il tempestivo controllo delle esposizioni ai rischi e l’immediata rilevazione delle anomalie riscontrate nell’operatività;
  • effettuare le valutazioni del profilo di rischio dell’impresa e segnala all’organo amministrativo i rischi individuati come maggiormente significativi, anche in termini potenziali;
  • predisporre una reportistica per l’organo amministrativo, l’alta direzione e i responsabili delle strutture operative in merito all’evoluzione dei rischi e la violazione dei limiti operativi fissati;
  • verificare la coerenza dei modelli di misurazione dei rischi con l’operatività svolta dalla impresa e concorre all’effettuazione delle analisi quantitative (stress test).

– nell’ambito della gestione degli investimenti e delle riserve tecniche dell’impresa, ove, anche per effetto delle innovazioni di prossima introduzione nell’ambito dell’articolo 12 del Regolamento 36, è chiamata a:

  • concorrerealla definizione del sistema di gestione dei rischi di investimento, inclusi gli indicatori di rischio propri dell’impresa, e dei limiti di investimento assegnati alle strutture operative;
  • concorrere alla definizione dei limiti di allocazione degli investimenti;
  • valutare periodicamente l’adeguatezza degli investimenti realizzati, anche sulla base di analisi di stress test, verificando che le scelte di investimento siano appropriate in relazione agli scenari (di rischio e di mercato) prefigurati;
  • definire le metodologie da impiegare per la valutazione delle attività finanziarie e del relativo grado di sicurezza, liquidità, qualità, redditività e disponibilità;
  • predisporre flussi informativi periodici nei confronti dell’organo amministrativo, dell’alta direzione e delle strutture operative relativamente all’evoluzione dei rischi cui è esposta l’impresa e alle eventuali violazioni dei limiti operativi imposti alla gestione patrimoniale e finanziaria.

Come emerge da quanto precede, nella sua veste di soggetto qualificato nell’ambito dell’individuazione, della gestione e del monitoraggio del rischio, la funzione di risk management è chiamata a partecipare in modo sempre più presente e proattivo alla definizione delle procedure e dei processi su cui si fonda la gestione dell’impresa assicurativa.

Tutto ciò pare quasi mettere in discussione la natura di mero “controllore” della funzione di risk management e potrebbe imporre alcune valutazioni circa la collocazione della funzione nell’ambito dell’organigramma aziendale, il suo corretto dimensionamento e la definizione dei flussi informativi e delle forme di collaborazione con gli organi sociali e le unità aziendali.

Ciò, a maggior ragione, ove si considerino:

  • la maggiore discrezionalità e, conseguentemente, responsabilità derivante alla funzione di risk management nell’esecuzione delle proprie mansioni dal recepimento del summenzionato “principio della persona prudente” e dal conseguente venire meno degli stringenti limiti quantitativi di matrice regolamentare alla gestione degli investimenti dell’impresa assicurativa;
  • le responsabilità assegnate alla funzione di risk management nella valutazione delle controparti e degli emittenti delle attività finanziarie acquisite dall’impresa nell’ambito della propria attività di investimento, legate alla necessità normativa che la valutazione non poggi esclusivamente sul giudizio fornito da operatori specialistici esterni (come, ad esempio, le agenzie di rating) ma (anche) sulle analisi autonomamente svolte dalla funzione.

Il rilievo dell’impianto organizzativo e della reportistica interna

Nella nuova struttura aziendale disegnata dal CAP e dal Regolamento 20, un rilievo centrale è assunto dall’assetto organizzativo e dal sistema informativo disegnato dalle imprese di assicurazione ai fini dello svolgimento dei controlli interni e del monitoraggio dei rischi sottesi alla propria operatività.

In base a quanto previsto dall’articolo 5, comma 2, lettera j) del Regolamento 20, si rende infatti necessario per le imprese formalizzare una politica internain cui siano definiti:

  • i compiti e le responsabilità degli organi sociali e delle funzioni di internal audit, risk management e compliance;
  • i flussi informativi, ivi incluse le relative tempistiche, tra le diverse funzioni di controllo interno e tra queste e gli organi sociali;
  • le modalità di collaborazione e coordinamento tra gli organi e le funzioni deputati al controllo interno, nonché le modalità di interazione di queste ultime con le funzioni operative.

Si intuisce da quanto precede come. nell’assunto del legislatore, la chiara allocazione delle responsabilità proprie di ciascun organo e funzione nel sistema dei controlli interni e la strutturazione di appositi momenti o strumenti di condivisione delle informazioni da ciascuno possedute relativamente ai rischi propri dell’operatività aziendale, costituisca un presupposto indefettibile di una gestione e un monitoraggio adeguati dei rischi di impresa.

Si rende dunque necessario per le imprese esaminare la propria struttura organizzativa, al fine di valutare se la stessa sia effettivamente idonea ad assicurare un’adeguata e costante condivisione delle informazioni relative all’operatività aziendale e un efficace coordinamento delle attività delle funzioni di controllo interno, a evitare la produzione di ridondanze o sovrapposizioni suscettibili di determinare inefficienze o carenze nei controlli e, conseguentemente, un ottimale monitoraggio dei rischi aziendali.

Tale valutazione, ancora una volta, non deve essere compiuta sotto un profilo meramente teorico, ma deve essere condotta secondo un approccio basato sul rischio che tenga conto dei rischi aziendali propri dell’impresa e del relativo “risk appetite” e “risk tolerance” nonché alla luce del ruolo disegnato per gli organi sociali e per le funzioni di controllo interno nell’ambito del nuovo quadro normativo.



[1] Il quadro comunitario riferibile a Solvency II è composto da un insieme eterogeneo di atti normativi e regolamentari:

  • la Direttiva, recepita nell’ordinamento nazionale con il D.Lgs. 12 maggio 2015, n.74, con cui è stato modificato il il D.Lgs. 7 settembre 2005, n. 209 (il “Codice delle Assicurazioni Private”);
  • il Regolamento (UE) 2015/35, che integra la Direttiva, pubblicato sulla Gazzetta Ufficiale U.E. in data 17 gennaio 2015 e direttamente applicabili negli Stati membri;
  • i Regolamenti esecutivi UE direttamente applicabili negli Stati membri dal giorno successivo alla pubblicazione sulla Gazzetta Ufficiale UE, che definiscono standard tecnici di attuazione, dove previsti dalla direttiva
  • le Linee Guida EIOPA, volte a garantire l’applicazione uniforme e coerente del nuovo regime e dei suoi obiettivi fondamentali da parte delle Autorità di Vigilanza e degli operatori di mercato.
Di cosa si parla in questo articolo

WEBINAR / 23 febbraio
Il Regolamento DORA sulla resilienza operativa digitale


Impatti per il settore finanziario

ZOOM MEETING Offerte per iscrizioni entro il 03/02

WEBINAR / 07 febbraio
Adeguata verifica a distanza: nuove Linee guida EBA
ZOOM MEETING Offerte per iscrizioni entro il 18/01
Iscriviti alla nostra Newsletter