I requisiti di governo societario introdotti in Italia in attuazione della Direttiva Solvency II

Introduzione

Il regime di vigilanza contenuto nella Direttiva Solvency II (Direttiva 2009/138/CE del 25 novembre 2009) e nelle relative misure di attuazione, tra le quali, a livello di ordinamento italiano, il Decreto Legislativo n. 74 del 12 maggio 2015, persegue la finalità della stabilità del sistema assicurativo europeo, oltre che attraverso il rafforzamento dei requisiti patrimoniali, oggetto del c.d. “primo pilastro”, anche mediante la fissazione di requisiti di natura qualitativa, relativi in particolare all’organizzazione interna delle imprese, che rientrano nel c.d. “secondo pilastro” del nuovo regime.

In sostanza, il legislatore comunitario ha inteso prescrivere in modo armonizzato, lasciando margini di flessibilità alle imprese assicurative e riassicurative, i presidi di natura organizzativa e procedurale che le stesse devono adottare per poter gestire i rischi cui sono esposte. Ciò partendo dall’assunto, esplicitato nel preambolo della Direttiva Solvency II, secondo cui, per fronteggiare talune categorie di rischio, misure e presidi relativi alla governance risultino maggiormente efficaci rispetto a meri requisiti di capitale (“considerando” 29 della Direttiva Solvency II).

In relazione a questi profili, il sistema introdotto dalla Direttiva Solvency II mira anche a raggiungere un più elevato grado di armonizzazione rispetto alla normativa previgente. Infatti, nella precedente disciplina le misure di natura organizzativa e procedurale erano definite principalmente a livello di normativa regolamentare interna dei diversi Stati membri, limitandosi le direttive a porre principi di altissimo livello[1].

Nel regime risultante dalla Direttiva Solvency II, invece, gli aspetti qui in esame trovano una compiuta disciplina già a livello comunitario, dettata dalle norme di diretta applicazione contenute nel Regolamento Delegato (UE) 2015/35 del 10 ottobre 2014 (quale normativa di secondo livello), nonché da standard tecnici dell’Autorità Europea delle Assicurazioni e delle Pensioni Aziendali e Professionali EIOPA (quale normativa di terzo livello) ed orientamenti applicativi della medesima EIOPA, destinati ad armonizzare l’applicazione del nuovo regime da parte delle Autorità di vigilanza nazionali. Queste ultime fonti, peraltro, in base alle disposizioni di recepimento della Direttiva Solvency II contenute nel Codice delle Assicurazioni novellato per effetto del Decreto Legislativo n. 74 del 12 maggio 2015, avranno altresì l’effetto di vincolare l’IVASS nella regolamentazione attuativa di futura emanazione[2].

Sul piano dei contenuti, in termini generali il regime risultante dalla Direttiva Solvency II richiede a ciascuna impresa di dotarsi di un efficace sistema di governo societario (corporate governance), che possa assicurare una trasparente struttura organizzativa, una chiara distribuzione e separazione dei compiti e delle responsabilità tra organi societari e funzioni, un’efficace sistema per la circolazione delle informazioni. Vengono inoltre fissati requisiti di documentazione dell’assetto organizzativo e procedurale, inclusa la formalizzazione e applicazione di una serie di politiche interne, più ampia e dettagliata rispetto a quanto previsto dalla normativa nazionale previgente.

Al riguardo, tra le principali novità, si segnala quanto segue:

• è stato enfatizzato il ruolo dell’organo amministrativo, direttivo o di vigilanza (ossia, nell’ambito delle norme italiane di recepimento, il consiglio di amministrazione[3]) quale titolare in ultima istanza della responsabilità dell’osservanza della normativa risultante dalla Direttiva Solvency II;
• viene accolto il principio di “proporzionalità”, che consente una certa discrezionalità nel calibrare il sistema di governo societario rispetto alla natura, la portata e la complessità dell’attività della singola impresa;
• è stato sancito il principio secondo cui ciascuna impresa assicuratrice deve avere almeno due “persone che dirigono effettivamente l’impresa” e deve sottoporre qualsiasi decisione significativa al vaglio di almeno due persone;
• viene disciplinato in dettaglio il sistema di gestione dei rischi di cui le imprese devono disporre;
• sono stati rafforzati i requisiti concernenti il sistema dei controlli interni, con introduzione di una nuova funzione, la funzione attuariale, che si affianca alle funzioni di gestione dei rischi (risk management) verifica di conformità (compliance), revisione interna (internal audit), già contemplate nella regolamentazione nazionale secondaria (Regolamento ISVAP n. 20 del 26 marzo 2008), ed ora disciplinate a livello interno dal Codice delle Assicurazioni, come emendato dal Decreto Legislativo n. 74 del 12 maggio 2015 di recepimento della Direttiva Solvency II e, a livello comunitario, dal Regolamento Delegato (UE) 2015/35;
• sono ribaditi e intensificati, rispetto alla normativa previgente applicabile in Italia, gli obblighi relativi all’adozione e applicazione di politiche e procedure interne;
• i requisiti di onorabilità, professionalità e indipendenza sono estesi, oltre che a coloro che svolgono funzioni di amministrazione, direzione e controllo, anche ai titolari di altre funzioni fondamentali (ad esempio le funzioni di risk management, compliance, internal audit e attuariale, specificamente previste dalla normativa);
• è istituito e formalizzato un procedimento interno di valutazione del rischio e della solvibilità (ORSA), da parte di ciascuna impresa e gruppo.

La nuova normativa entrerà in vigore il 1 gennaio 2016, ma alcuni aspetti sono stati anticipati già nel corso del 2014 ad opera delle misure IVASS di attuazione delle Linee Guida EIOPA in preparazione al regime risultante dalla Direttiva Solvency II[4].

Direzione dell’impresa da parte di almeno due persone

Ha suscitato interesse sul mercato la previsione sopra richiamata secondo cui le imprese assicurative devono garantire che almeno due persone dirigano effettivamente l’impresa (articolo 258, paragrafo 4 del Regolamento Delegato (UE) 2015/35), in applicazione del principio, espresso nelle premesse al medesimo Regolamento Delegato (UE) 2015/35, secondo cui nessun individuo dovrebbe avere un potere decisionale non soggetto a controllo e, quindi, qualsiasi decisione significativa riguardante l’impresa dovrebbe essere sottoposta al vaglio di almeno un’altra persona prima di essere attuata[5].

Al riguardo, una nozione, di “decisione significativa” può essere tratta dal rapporto finale sulla consultazione relativa alle Linee Guida EIOPA sul sistema di governance (documento EIOPA-BoS-14/253 del 28 gennaio 2015), secondo cui si considera significativa una decisione che non rientra nell’usuale ambito delle decisioni da prendersi al livello più alto dell’impresa nella gestione del business, ma è inusuale o avrà o potrà avere un impatto significativo sull’impresa. Il citato rapporto fornisce ulteriori indicazioni, a titolo esemplificativo, da cui deriva un ulteriore allargamento della nozione di “decisione significativa”. In particolare, sono considerate tali le decisioni che incidono sulla strategia dell’impresa, sulle sue attività o sulla sua condotta imprenditoriale, nonché quelle che possano avere serie conseguenze sul piano legale o regolamentare, o che possano avere effetti rilevanti sul piano finanziario o implicazioni rilevanti per il personale o i contraenti, oppure, infine, che possano potenzialmente determinare ripercussioni per la reputazione dell’impresa.

Il tenore letterale della norma contenuta nel Regolamento Delegato (UE) 2015/35, ad una prima lettura può indurre a ritenere che la stessa intenda sancire la necessità di una vera e propria “diarchia” al vertice dell’impresa assicurativa, ad esempio attraverso la nomina di due persone fisiche alle preminenti posizioni direttive, come alla carica di amministratore delegato o a cariche equivalenti.

In realtà, tenendo conto anche degli orientamenti EIOPA in materia di governance[6], si può escludere che l’instaurazione di una simile “diarchia” sia strettamente necessaria ai fini del rispetto delle disposizioni in esame (pur potendosi considerare compatibile con le stesse).

Infatti, i medesimi orientamenti EIOPA, da un lato, ribadiscono quanto previsto dall’articolo 258, comma 4, del Regolamento Delegato (UE) 2015/35, dall’altra considerano quali “persone che dirigono effettivamente l’impresa” tutti i membri dell’organo amministrativo, direttivo, o di vigilanza (ossia, nel nostro ordinamento, alla luce delle norme di recepimento, il consiglio di amministrazione), così come dell’alta direzione.

Ne deriva, quindi, che per assicurare il rispetto della disposizione di cui al Regolamento Delegato (UE) 2015/35 sulla necessaria presenza di due persone che dirigono effettivamente l’impresa potrebbe essere sufficiente, oltre ad un organo amministrativo collegiale, che il processo decisionale dell’impresa preveda il coinvolgimento di tale organo per le decisioni significative.

Considerando l’ampia nozione di “decisione significativa” accolta dall’EIOPA, si può ipotizzare che, ove non sia in concreto possibile sottoporre al consiglio di amministrazione ogni decisione qualificabile come significativa, la norma in discorso possa comunque considerarsi rispettata ove il processo decisionale preveda che le decisioni qualificabili come significative non sottoposte al consiglio d’amministrazione, in quanto di minor rilievo pur all’interno delle decisioni significative, siano quantomeno valutate da più di una persona nell’ambito dell’alta direzione.

L’IVASS ha avuto occasione di esprimersi su questo profilo, che non è confluito in disposizioni interne di recepimento (né peraltro è suscettibile di recepimento nazionale essendo contenuto nel Regolamento Delegato, direttamente applicabile), affermando che il requisito dell’effettiva direzione da parte di almeno due persone possa considerarsi soddisfatto dalla presenza di organi collegiali nell’amministrazione e gestione dell’impresa, nonché dall’adozione di un adeguato e presidiato sistema di deleghe[7].

Di questi aspetti le imprese dovranno tenere conto anche nel disciplinare, in ossequio ai principi, sanciti dalla nuova normativa, l’assegnazione e separazione dei doveri e delle responsabilità, che dovrà altresì essere opportunamente documentata nell’ambito del sistema delle deleghe e delle responsabilità.

Sistema di gestione del rischio

La Direttiva Solvency II, come recepita nel Codice delle Assicurazioni, e il Regolamento Delegato (UE) 2015/35 introducono tra i requisiti applicabili alle imprese assicurative e riassicurative, l’instaurazione di un sistema di gestione dei rischi, consistente nell’adozione di strategie, processi e procedure di segnalazione al fine di individuare, misurare, monitorare, gestire e segnalare, su base continuativa, i rischi cui le imprese e i relativi gruppi possono essere esposti. In continuità con la normativa interna previgente, si prevede l’istituzione di una funzione di risk management, della quale viene enfatizzato il compito di assistenza al consiglio d’amministrazione e alle altre funzioni nell’effettiva gestione del sistema di gestione dei rischi, di segnalazione delle esposizioni al rischio e di consulenza all’organo direttivo in materia.

Viene inoltre prevista la formalizzazione di una politica interna specificamente dedicata alla gestione dei rischi, con riferimento alla sottoscrizione e riservazione, all’asset-liability management, agli investimenti, specie in derivati, alla gestione dei rischi di liquidità e di concentrazione e del rischio operativo, alla riassicurazione e altre tecniche di mitigazione, secondo quanto specificato dal Regolamento Delegato (UE) 2015/35.

In linea con la tendenza riscontrabile, più in generale, nel settore della regolamentazione delle attività finanziarie, volta alla limitazione degli automatismi nell’utilizzo delle valutazioni di rating esterne da parte dei soggetti vigilati, la Direttiva Solvency II, come recepita nel Codice delle Assicurazioni, introduce altresì l’obbligo per le imprese, quando si avvalgono di rating esterni ai fini del calcolo delle riserve tecniche e del requisito di solvibilità, di verificare l’idoneità dei rating, ricorrendo ove possibile ad analisi supplementari. Al riguardo, l’EIOPA ha svolto una consultazione sulle norme tecniche di attuazione, di prossima emanazione, che specificheranno le procedure da applicare per svolgere la valutazione dei rating creditizi ricevuti da enti o agenzie esterni[8].

Sistema di controllo interno e funzione attuariale

Rispetto al sistema di controllo previsto dall’attuale normativa interna, l’innovazione più evidente è costituita dall’istituzione, accanto alle funzioni di risk management, compliance e internal audit, di una nuova funzione attuariale. Quest’ultima funzione include, tra i propri compiti, il coordinamento del calcolo delle riserve tecniche, la verifica dell’adeguatezza delle metodologie e dei modelli sottostanti, nonché delle ipotesi su cui si basa il calcolo delle riserve tecniche, la valutazione della sufficienza e la qualità dei dati utilizzati nel calcolo delle riserve tecniche. Inoltre, la funzione deve, tra l’altro, informare il consiglio di amministrazione in merito all’affidabilità e all’adeguatezza del calcolo delle riserve tecniche, formulare pareri sulla politica di sottoscrizione e sull’adeguatezza degli accordi di riassicurazione, ed è coinvolta nella modellizzazione dei rischi sottesa al calcolo dei requisiti patrimoniali e rispetto alla valutazione di solvibilità.

Tali compiti, estesi a tutti i rami assicurativi, presenterebbero talune sovrapposizioni con i compiti già affidati all’attuario incaricato nei rami vita e r.c. auto e all’attuario revisore, previsti dalla normativa nazionale previgente, figure che infatti il legislatore italiano ha ritenuto di abrogare nel contesto del recepimento della Direttiva Solvency II.

Passando alle funzioni di controllo preesistenti, si segnala che la Direttiva Solvency II annovera espressamente, tra i compiti della funzione compliance, la consulenza all’organo amministrativo, direttivo o di vigilanza, in merito al rispetto della normativa risultante dalla Direttiva Solvency II e che l’ambito dei controlli da parte della funzione di internal audit venga esteso alla verifica della adeguatezza dell’intero sistema di governance previsto dalla Direttiva Solvency II.

Formalizzazione di politiche interne

In continuità con la disciplina italiana previgente, è prevista l’adozione da parte dell’impresa di una serie di politiche interne, che dovranno essere tra l’altro approvate dal consiglio di amministrazione, documentate in forma scritta e aggiornate almeno annualmente.

L’elenco delle politiche interne, in parte ampliato, include le politiche relative alle funzioni di risk management, compliance, internal audit, la politica per la valutazione del possesso dei requisiti di idoneità alla carica, la reporting policy, relativa agli adempimenti di reportistica di vigilanza, lo standard aziendale sulla data governance, il documento illustrativo dei compiti e responsabilità dei diversi organi e funzioni, le politiche di definizione e classificazione dei tipi di rischi e i limiti di tolleranza di ciascun rischio, la retribuzione la politica di esternalizzazione, e, infine, la politica di business continuity.

Il contenuto delle stesse trova fonte, oltre che nel Codice delle Assicurazioni come novellato a seguito del recepimento della Direttiva Solvency II, negli orientamenti EIOPA[9].

Esternalizzazione

La disciplina dell’esternalizzazione di attività e funzioni è ora contenuta, per gli aspetti generali, nelle norme del Codice delle Assicurazioni come novellato in recepimento della Direttiva Solvency II, e, per gli aspetti di dettaglio, nel Regolamento Delegato (UE) 2015/35.

In particolare, è consentita l’esternalizzazione di attività e funzioni, che lascia naturalmente impregiudicata la responsabilità dell’impresa, anche verso l’IVASS, in relazione all’osservanza della normativa ad essa applicabile. Vengono ribaditi principi sostanzialmente in linea con la previgente normativa nazionale, tra cui il requisito che l’esternalizzazione non determini alcun pregiudizio alla qualità del sistema di governo societario dell’impresa, né un indebito incremento del rischio operativo, né, ancora, comprometta la capacità dell’impresa di fornire un servizio continuo e soddisfacente ai contraenti, assicurati e aventi diritto alla prestazione. E’ previsto inoltre che l’esternalizzazione debba lasciare impregiudicata l’effettiva possibilità per l’IVASS di verificare l’osservanza degli obblighi gravanti sull’impresa.

Infine, sono dettati nel Codice delle Assicurazioni novellato e nel Regolamento Delegato (UE) 2015/35 requisiti specifici, procedurali e di contenuto degli accordi con i fornitori, inclusa la notifica preventiva all’autorità di vigilanza per l’esternalizzazione di attività essenziali e importanti, nonché l’adozione di una politica scritta sull’esternalizzazione[10].

Valutazione interna del profilo di rischio e della solvibilità (Own Risk and Solvency Assessment, ORSA)

Sempre nell’ottica di rafforzamento e armonizzazione degli obblighi di natura procedurale, nell’ambito del sistema di gestione dei rischi si inserisce una formale valutazione interna del profilo di rischio e della situazione di solvibilità, denominata valutazione interna del rischio e della solvibilità (nota con la sigla inglese ORSA, acronimo di own risk and solvency assessment).

Si tratta di un processo interno di valutazione, da parte di ciascuna impresa assicurativa o riassicurativa e di ciascun gruppo, del quale la normativa si limita a disciplinare l’ambito minimo di indagine e la periodicità minima. In particolare, la valutazione deve essere svolta come minimo con cadenza annuale e, comunque, ogni volta che si verifichi una qualsiasi variazione significativa nel profilo di rischio, e deve avere ad oggetto quantomeno il fabbisogno di solvibilità globale dell’impresa, l’osservanza su base continuativa dei requisiti patrimoniali, del primo pilastro della Direttiva Solvency II, e la misura in cui il profilo di rischio dell’impresa, in concreto, si discosti eventualmente dalle ipotesi utilizzate per il calcolo del requisito di solvibilità, in base alla formula standard o al modello interno eventualmente adottato.

La prospettiva da adottare nella valutazione comprende valutazioni prospettiche, di medio-lungo periodo.

Il processo coinvolge i diversi attori del sistema di gestione del rischio, a partire dall’organo amministrativo, cui gli orientamenti adottati dall’EIOPA in materia[11] richiedono di dirigere il processo e metterne in discussione i risultati, nonché dalla funzione risk management.

Gli esiti di tale processo di valutazione interna assumono, per espressa previsione normativa, preminente rilievo all’interno dell’impresa assicurativa, in particolare alla luce dell’introduzione dell’obbligo di tenere conto in modo sistematico di tali valutazioni ai fini delle decisioni strategiche, quanto meno, secondo quanto dettagliato, a scopo esemplificativo, dalle Linee Guida EIOPA, in relazione alla gestione del capitale, alla pianificazione del business e allo sviluppo e alla progettazione dei prodotti.

Inoltre, la rilevanza di tale valutazione si estende all’esterno dell’impresa, essendo la stessa oggetto di specifica comunicazione all’IVASS, nonché nei confronti del pubblico, visto che la valutazione ORSA confluisce nella relazione sulla solvibilità e condizione finanziaria, da pubblicare, oltre che trasmettere all’IVASS, con cadenza annuale.

Informativa all’Autorità di Vigilanza

L’organizzazione societaria e l’esito delle attività del sistema di gestione del rischio, qui in esame, è oggetto di specifici obblighi di informativa nei confronti dell’IVASS (ai sensi dell’articolo 47-quater del Codice delle Assicurazioni come novellato), che si aggiungono alla relazione sulla valutazione interna del rischio e della solvibilità di cui al paragrafo che precede, e agli obblighi di reportistica prudenziale che riguardano anche gli obblighi di natura “quantitativa” attinenti i requisiti patrimoniali, come la relazione sulla solvibilità e condizione finanziaria (quest’ultima disciplinata, nell’ordinamento italiano, dall’articolo 47-septies del Codice delle Assicurazioni come novellato).

Infatti, la Direttiva Solvency II, come recepita nel Codice delle Assicurazioni, introduce l’obbligo di trasmettere all’IVASS una relazione esplicativa contenente elementi che consentano di valutare il sistema di governo societario adottato, l’attività svolta dall’impresa, i principi di valutazione applicati ai fini di solvibilità, i rischi cui l’impresa è esposta e i sistemi per la gestione degli stessi, nonché la struttura patrimoniale, il fabbisogno di capitale e la gestione del capitale.

Secondo quanto previsto dall’articolo 47-quater del Codice delle Assicurazioni, l’IVASS fornirà disposizioni di dettaglio con un regolamento, sul quale al momento non risulta avviata la consultazione, in relazione alla natura alla portata e al formato delle informazioni da presentare, sia su base periodica che al verificarsi di determinati eventi e in caso di indagini sulla situazione di una specifica impresa.

In attesa di una compiuta attuazione da parte delle fonti regolamentari interne, il Regolamento Delegato (UE) 2015/35, definisce già con un certo grado di dettaglio le informazioni da fornire nell’ambito dell’ apposita relazione periodica. Il contenuto prescritto dal Regolamento Delegato (UE) 2015/35 appare particolarmente pregnante, e riguarda le attività e ai risultati dell’impresa, il sistema di governance e il profilo di rischio, la valutazione di attività, riserve tecniche e altre passività, nonché la gestione del capitale. La cadenza di tale relazione periodica, in base al Regolamento Delegato (UE) 2015/35, sarà inizialmente triennale e successivamente, scaduto il periodo transitorio 2020, con cadenza annuale.

Tempistica

Il complesso delle nuove norme entrerà in vigore il 1 gennaio 2016, mentre varie misure sono state anticipate nel corso del 2014, mediante il recepimento da parte dell’IVASS delle Linee Guida EIOPA sulla preparazione alla Direttiva Solvency II.

In particolare, per quanto di qui interesse, in attuazione degli orientamenti EIOPA del 31 ottobre 2013, preparatori all’implementazione della Direttiva Solvency II, sul sistema di governance (documento n. EIOPA-CP13/08), erano state apportate modifiche al Regolamento 20 del 26 marzo 2008 (con termine di adeguamento al 31 dicembre 2014), introducendo in via anticipata i principi del nuovo regime in materia di ruolo dell’organo amministrativo, documentazione dei compiti e delle responsabilità e flussi informativi, sistema di gestione dei rischi (mediante il Provvedimento IVASS n. 17 del 15 aprile 2014).

Contestualmente, con la lettera al mercato del 15 aprile 2014, l’IVASS ha fornito prescrizioni anticipatorie con riferimento all’elaborazione della politica di gestione del capitale e al piano di gestione del capitale a medio termine e all’adozione di presidi organizzativi prodromici rispetto all’istituzione della vera e propria funzione attuariale.