Home

Le funzioni fondamentali del governo societario nel Documento IVASS in Consultazione n. 2/2017

Riccardo Ranalli
31 Ottobre 2017

Con la finalità di revisione sistematica armonizzata ai principi di Solvency II, il Documento in Consultazione Ivass n. 2/2017 eleva il “sistema di controlli interni” a “sistema di governo societario” per ricomprendervi, anche sotto un profilo di nomenclatura, l'intera area di governance sulla quale poggia Solvency II. Dopo aver analizzato, in un precedente contributo, le disposizioni comuni in tema di funzioni generali del governo societario di imprese assicuratrici, l'Autore si concentra sulle singole funzioni generali.
La funzione di gestione dei rischi

Il Documento in Consultazione n. 2/2017 pone un maggior grado di dettaglio in relazione all'assolvimento degli adempimenti previsti in materia di valutazione del rischio (già prevista dal Reg. 20 all'art. 21, comma 1, lett. d)) e della solvibilità, e ciò in un'ottica maggiormente aderente a Solvency II.

In tale quadro, le novità principali riguardo la funzione di risk management attengono a:

  • la precisazione dei compiti in materia di valutazione interna del rischio e della solvibilità;
  • la specifica richiesta di una visione organica di tutti i rischi cui l'impresa è esposta, anche in collaborazione ed assistenza da parte della funzione attuariale.

Con carattere di novità rispetto al Reg. 20, l'art. 32, comma 1, lett. d) del Documento in Consultazione individua i contenuti minimi dei compiti spettanti alla funzione nell'ambito della valutazione del rischio e della solvibilità, quali:

  • il concorso alla definizione della politica in tale ambito;
  • il contributo alla scelta delle metodologie, dei criteri e delle ipotesi utilizzate per le valutazioni;
  • la segnalazione, se non già inclusi nella relazione sulla valutazione interna del rischio e della solvibilità, all'organo amministrativo dei rischi individuati come significativi ai sensi dell'art. 2, comma 1, lett. o) del Documento in Consultazione (“rischi significativi: si intendono per tali i rischi di cui all'articolo 4, comma 3, del Regolamento di attuazione degli articoli 30-ter e 215-ter del Codice recante disposizioni in materia di valutazione interna del rischio e della solvibilità dell'impresa”), anche in termini potenziali e la comunicazione, altresì, d'iniziativa o su richiesta dell'organo stesso, in merito ad ulteriori specifiche aree di rischio;
  • la collaborazione alla definizione dei meccanismi di incentivazione economica del personale.

Tutto ciò, in coerenza con quanto previsto dalle disposizioni di cui all'art. 30-ter del Codice delle Assicurazioni Private, ai sensi del quale la valutazione interna del rischio e della solvibilità riguarda almeno:

a) il fabbisogno di solvibilità globale dell'impresa, tenuto conto del profilo di rischio specifico, dei limiti di tolleranza del rischio approvati e della strategia operativa dell'impresa;

b) l'osservanza su base continuativa dei requisiti patrimoniali e dei requisiti in materia di riserve tecniche;

c) la misura in cui il profilo di rischio dell'impresa si discosta dalle ipotesi sottostanti al Requisito Patrimoniale di Solvibilità, calcolato con la formula standard o con un modello interno completo o parziale.

Altro elemento di novità introdotto con il Documento in Consultazione attiene alla verifica che la funzione è chiamata a condurre in caso di utilizzo di modelli interni (completi o parziali). La lett. g), comma 1, dell'art. 32 introduce nei compiti della funzione la verifica di coerenza del modello adottato dall'impresa con il profilo di rischio della stessa, collaborando e scambiando a tal fine informazioni non solo con le altre funzioni fondamentali (ed, in modo particolare, con la funzione attuariale) ma anche con gli utilizzatori nel modello interno.

Lo spirito collaborativo tra la funzione di gestione dei rischi e la funzione attuariale è in linea con quanto già previsto dalla Lettera IVASS del 28 luglio 2015, la quale infatti, nell'ottica di garantire un efficace sistema di gestione dei rischi, richiede all'impresa di identificare soluzioni più idonee ad assicurare “un'adeguata cooperazione ed assistenza (della funzione attuariale) alla funzione di risk management” (v. par. 15 Lettera al Mercato).

La cooperazione assume ora carattere maggiormente imprescindibile nel momento in cui la funzione di risk management è chiamata ad avere una “visione organica” di tutti i rischi ai quali l'impresa è esposta (art. 32, comma 3 del Documento in Consultazione), nonché ad individuare tempestivamente modifiche al profilo di rischio dell'impresa. Al riguardo, l'art. 19, comma 1 del Documento di Consultazione rende una catalogazione minima dei rischi di cui l'impresa deve tenere conto, precisando che essi devono essere definiti dall'impresa indipendentemente dalla circostanza che siano qualificabili.

Già nelle disposizioni vigenti, l'art. 19 del Reg. 20/2008 individua talune categorie di rischio, quali:

  • il rischio di assunzione ed in particolare i rischi di tariffazione e di mispricing dei prodotti, oltre che i rischi di frodi esterne;
  • il rischio di riservazione e di valutazione delle Best Estimate Liability;
  • il rischio di mercato, connesso alle variazioni del livello o della volatilità nella struttura a termine dei tassi di interesse, dei tassi di cambio o dei prezzi di mercato dei titoli azionari, i rischi di superamento dei limiti investimento assegnati;
  • il rischio di credito che si estrinseca in particolare nella variazione dello spread di credito governativo o non governativo;
  • il rischio di liquidità;
  • il rischio operativo, compresi i rischi di sicurezza logica ed i cyber risk, i rischi che i dati Solvency II non soddisfino gli standard di completezza, validità, consistenza e accuratezza richiesti dalla normativa, i rischi di continuità operativa, i rischi di frodi interne, quelli di contenzioso con i dipendenti;
    • il rischio legato all'appartenenza al gruppo, inteso come rischio “di contagio” che, a seguito dei rapporti intercorrenti tra l'impresa e le altre entità del gruppo, le situazioni di difficoltà che insorgono in un'entità del medesimo, possano propagarsi con effetti negativi sulla solvibilità dell'impresa;
  • il rischio di non conformità alle norme, compresi i rischi di non conformità dei prodotti;
  • il rischio reputazionale.

Il Documento in Consultazione, oltre ad accorpare il rischio di assunzione e di riservazione all'interno nel rischio di sottoscrizione, alla lett. i), comma 1, dell'art. 19, amplia la portata normativa precedente introducendo il rischio strategico, definito quale rischio attuale o prospettico di flessione degli utili o del capitale e di sostenibilità del modello di business, incluso il rischio di non riuscire a generare un adeguato ritorno sul capitale sulla base della propensione al rischio definita dall'impresa, derivante da cambiamenti del contesto operativo o da decisioni aziendali errate, attuazione inadeguata di decisioni, impropria gestione del rischio di appartenenza al gruppo, scarsa reattività a variazioni del contesto competitivo”.

La funzione di compliance

I compiti principali della funzione di compliance nel nuovo Documento in Consultazione riflettono quanto già sancito in tema dal Reg. 20/2008 quand'anche, su un profilo meramente di stile, il Reg. 20 faccia riferimento ai presidi volti a prevenire il rischio di incorrere in sanzioni, perdite e danni reputazionali in conseguenza di violazioni normative, mentre il Documento in Consultazione parli più genericamente di conformità alle norme. Non si tratta di una precisazione irrilevante posto che il presidio di cui al Reg. 20 è rivolto all'ente e nell'ottica della sua sana e prudente gestione; nel più generico riferimento alla conformità alle norme invece vi è il rischio dell'assunzione da parte della funzione di un ruolo più ampio, forse non coerente con il quadro normativo.

Non pare nemmeno da sottacere il fatto che, con riguardo alla trasparenza e correttezza di comportamento nei confronti degli assicurati, in luogo di tutela del consumatore ora prevista, il Documento in Consultazione faccia riferimento alla “tutela degli assicurati e degli altri aventi diritto a prestazioni assicurative”. Il che, tra l'altro, comporta un ruolo attivo nel controllo a valle della Direttiva IDD (c.d. Insurance Distribution Directive), in particolare per il monitoraggio della rete distributiva e il corretto allineamento tra la realizzazione del prodotto assicurativo con il target market definito preventivamente alla sua commercializzazione.

Particolare rilevanza assume infine l'inciso ora introdotto con riferimento al “rispetto delle norme relative all'antiriciclaggio e alla prevenzione del finanziamento del terrorismo”. Per quanto tale ambito rientrasse pacificamente anche prima tra i compiti della compliance, averlo indicato in modo così marcato costituisce dà rilevanza dell'importanza del tema.

La funzione di revisione interna

Rispetto al Regolamento 20, la differenza più rilevante è costituita dal fatto che la funzione di revisione interna viene incaricata di valutare e monitorare non solo “l'efficacia, l'efficienza del sistema di controllo interno” (Reg. 20/2008 art. 15, comma 1), ma anche la sua “adeguatezza” (Documento in Consultazione art. 35, comma 1) unitamente a quella delle “ulteriori componenti del sistema di governo societario”. Al riguardo pare importante osservare la precisazione contenuta nel primo comma dell'art. 4 (“le imprese di dotano di un adeguato sistema di governo societario”).

Per la funzione di internal audit è inoltre introdotto un rafforzamento del principio dell'indipendenza dei componenti della funzione dalle altre funzioni dell'impresa, incluse quelle fondamentali (art. 35, comma 2). È interessante evidenziare che tale rafforzamento opera su un duplice piano:

a) il fatto che l'impresa possa consentire a coloro che svolgono la funzione di revisione interna di svolgere ulteriori funzioni fondamentali soltanto in via eccezionale e residuale (art. 35, comma 3 Documento in Consultazione). Occorre al riguardo che sia data dimostrazione che, in ogni caso, venga evitata l'insorgenza di conflitti di interessi e vengano garantiti l'obiettività e l'indipendenza della funzione di revisione interna. Se intende avvalersi di tale eccezionale facoltà, la compagnia deve comunicare prontamente all'IVASS l'adozione della soluzione organizzativa e fornire dimostrazione della sussistenza dei presupposti richiesti dalla normativa per l'assunzione della relativa determinazione;

b) al fine di attenuare il rischio di conflitti di interesse, il Documento in Consultazione precisa inoltre che “a coloro che svolgono la funzione di revisione interna non sono affidate responsabilità operative o incarichi di verifica di attività per le quali abbiano avuto in precedenza autorità o responsabilità se non sia trascorso un ragionevole periodo di tempo”(art. 36, comma 5). Nell'attuale regolamento il divieto si limita ai soli soggetti preposti alla funzione di internal audit. Del mutamento occorrerà tenere anche conto in sede di definizione della struttura della funzione e di pianificazione dell'attività. La motivazione è evidente e risiede nell'evitare non solo conflitti di interesse ma anche il rischio di un implicito autoriesame dell'attività svolta nel passato. Al regolamento di revisione interna sarà invece rimessa la statuizione del ragionevole periodo di tempo per la riacquisizione del requisito di indipendenza soggettiva dei suoi componenti rispetto alle altre funzioni. Tale termine potrebbe non necessariamente essere fissato in modo uniforme per tutte le funzioni ma essere più ampio per il titolare e le risorse di profilo più elevato, nonché in relazione alle funzioni operative più critiche o che presentano ricadute degli effetti dell'attività più differiti nel tempo.

Il Documento in Consultazione precisa che l'attività di revisione deve essere adeguatamente documentata, raccolta ed archiviata (art. 36, co.4), anche se, a ben vedere, non si tratta di un vero e proprio elemento di novità trattandosi, quello della tracciatura, di un principio fondamentale.

La funzione attuariale

L'introduzione della funzione attuariale (funzione di controllo di II livello) si è avuta con Lettera IVASS del 15 aprile 2014, integrata con la Lettera IVASS del 28 luglio 2015. Ai fini dell'individuazione delle responsabilità e dei compiti posti in capo alla funzione dunque, si deve necessariamente fare riferimento alle citate Lettere al Mercato, non essendovi invece alcuna indicazione all'interno del Reg. 20/2008.

Il Documento in Consultazione, nell'inglobare la funzione attuariale tra quelle fondamentali, è intervenuto in modo preponderante, definendone i compiti e la responsabilità, in linea con i contenuti delle Lettere al Mercato e le disposizioni del Codice delle Assicurazioni Private. È stato così introdotta una disciplina strutturata a fronte della frammentazione attuale.

Il primo compito che l'art. 38, comma 1, lett. a) del Documento in Consultazione affida alla funzione attuariale, allineandosi in ciò alle disposizioni definite dalla Direttiva Solvency II, è quello del coordinamento del calcolo delle riserve tecniche. Sotto questo profilo, elementi di novità sono rappresentati dal fatto che la funzione non è solo più chiamata a monitorare le procedure e le modalità di calcolo delle riserve tecniche, ma altresì a fornire “spiegazioni in merito ad ogni effetto significativo sull'ammontare delle riserve tecniche derivante da modifiche nei dati, nelle metodologie o nelle ipotesi utilizzate, intervenuto tra due diverse date di riferimento”.

La funzione deve inoltre fornire, su richiesta, informazioni all'organo amministrativo (art. 30-sexies del Codice delle Assicurazioni Private) in relazione all'adeguatezza delle metodologie, dei modelli sottostanti e delle ipotesi su cui si basa il calcolo delle riserve tecniche.

Essa deve anche effettuare una valutazione da riferire all'organo amministrativo circala qualità dei dati utilizzati per il calcolo delle riserve tecniche, con particolare riguardo alla loro coerenza con gli standard di qualità dei dati previsti dal Codice e dalle disposizioni di attuazione dell'IVASS.

Infine, deve riportare all'organo amministrativo ogni scostamento individuato tra l'esperienza reale e la migliore stima, assumendo un ruolo attivo nell'individuazione delle cause e nella eventuale proposizione di modifiche delle ipotesi e del modello di valutazione al fine di migliorare il calcolo della migliore stima (Best Estimate of Liabilities, c.d. BEL).

L'art. 38, ai commi 3 e 4, dettaglia inoltre i contenuti dell'attività della funzione attuariale rispettivamente in relazione al parere sulla politica di sottoscrizione globale e al parere sull'adeguatezza degli accordi di riassicurazione. In tale ambito, la Lettera al Mercato IVASS del 15 aprile 2014 si esprimeva in termini generali, richiedendo alle imprese di dotarsi di un presidio organizzativo idoneo a fornire “un proprio parere sulla politica di sottoscrizione generale adottata dall'impresa e sugli accordi di riassicurazione, tenendo in considerazione le interrelazioni tra tali aspetti e le riserve tecniche” (cfr. “1. Sistemi di Governance, 1a) Principi e attività di controllo in materia tecnico-attuariale, par. 16 c”), senza entrare nel contenuto dei pareri.

Il nuovo Documento in Consultazione invece precisa al comma 3 dell'art. 38 che “il parere sulla politica di sottoscrizione globale include, ove rilevante:

a) la coerenza del prezzo del prodotto con la politica di sottoscrizione per l'assunzione dei rischi;

b) l'opinione sui principali fattori di rischio che influenzeranno la redditività degli affari che saranno sottoscritti nel successivo esercizio, ivi compreso il potenziale impatto di fattori esterni quali inflazione, rischio legale, variazioni nel volume degli affari e nelle condizioni del mercato;

c) l'opinione sul possibile impatto finanziario di ogni programmata variazione rilevante dei termini e delle condizioni dei contratti;

d) il grado di variabilità della stima della redditività attesa dell'impresa e la relativa coerenza con la propensione al rischio dell'impresa”.

Mentre, il successivo comma 4 del medesimo articolo in commento, precisa che “il parere della funzione attuariale sull'adeguatezza degli accordi di riassicurazione include, ove rilevante:

a) la coerenza degli accordi di riassicurazione stipulati dall'impresa con la sua propensione al rischio;

b) l'effetto della riassicurazione sulla stima delle riserve tecniche al netto degli importi recuperabili dalla riassicurazione;

c) l'indicazione dell'efficacia degli accordi di riassicurazione stipulati dall'impresa nell'azione di mitigazione della volatilità dei fondi propri”;

d) la valutazione dell'efficacia della copertura riassicurativa in presenza di alcuni scenari di stress, che comprendono, tra l'altro, l'esposizione del portafoglio dei contratti dell'impresa ai rischi catastrofali, l'aggregazione dei rischi, i default dei riassicuratori ed il potenziale esaurimento della riassicurazione (art. 38, comma 5 Documento in Consultazione).

Entrambi i pareri devono includere la descrizione e l'esame di altre possibili opzioni (art. 38, comma 5 Documento in Consultazione).

Nell'ambito dei compiti riferiti alle attività di verifica sui modelli interni, viene ripreso quanto già espresso dalla Lettera IVASS del 15 aprile 2014 (par. 16-d) e dalla Lettera IVASS del 28 luglio 2015 (par. 15), il compito di supporto e di collaborazione con la funzione di risk management, nel fornire il proprio contributo:

a) all'individuazione dei rischi coperti dal modello interno;

b) alla determinazione delle correlazioni tra i rischi coperti dal modello interno e tra questi ed altri rischi.

Il successivo comma 7 dell'art. 38 pone particolare enfasi sul rispetto del principio dell'indipendenza nei processi di calcolo e validazione delle riserve tecniche. Nella formulazione previgente, tale principio veniva richiamato dalla Lettera IVASS del 28 luglio 2015 solo nell'ambito di interazioni tra funzioni, laddove (al par. 14) richiedeva alle imprese di garantire il rispetto dei principi di indipendenza e autonomia previsti per la funzione attuariale, implementando a tale fine procedure idonee ad evitare possibili conflitti di interesse.

Infine, all'art. 38, comma 9, in linea con quanto già disciplinato al par. 13 della Lettera IVASS del 28 luglio 2015, si prevede che, nell'ambito dell'assegnazione di compiti aggiuntivi, la funzione attuariale verifichi la coerenza tra gli importi delle riserve tecniche calcolati sulla base dei criteri di valutazione applicabili al bilancio civilistico e i calcoli risultanti dall'applicazione dei criteri Solvency II, dando conseguente rappresentazione e motivazione delle differenze emerse. Tale verifica di coerenza è richiesta anche tra le base-dati e il processo di data quality adottati, rispettivamente, per le finalità prudenziali e civilistiche.

Le funzioni fondamentali nel gruppo assicurativo. Cenni

Il Reg. 20, laddove ha affrontato il tema del gruppo assicurativo, lo ha fatto avendo come riferimento il sistema di controllo interno e la gestione dei rischi, con la precisazione che la capogruppo assicurativa “valida i sistemi e le procedure di controllo all'interno del gruppo assicurativo”. Con particolare riferimento alle funzioni di controllo, si è limitato a richiedere la definizione dei compiti e delle responsabilità delle diverse unità deputate al controllo e ad imporre alla capogruppo di attivarsi per effettuare accertamenti periodici nei confronti delle società che compongono il gruppo assicurativo, anche mediante la funzione di revisione interna delle stesse.

Nella premessa che il perimetro del gruppo assicurativo è esteso a tutte le controllate, anche non assicurative, dell'ultima controllante italiana, il Documento in Consultazione interviene sull'argomento delle funzioni fondamentali statuendo una serie di regole dall'art. 88 sino all'art. 93. Si tratta di regole, al pari delle altre del gruppo assicurativo, mutuate dalla disciplina individuale con la precisazione che le policy vengono definite dalla capogruppo (ultima controllante italiana) la quale ne verifica l'adozione da parte delle singole società (comprese le controllate estere).

Con questa premessa, l'ultima controllante italiana costituisce (art. 88, comma. 1, lett. a) le funzioni fondamentali a livello di gruppo, nel rispetto del principio della proporzionalità, assicurando che esse svolgano i compiti ad esse attribuiti (art. 88, comma 1, lett. b) e valutando le modalità in cui tali compiti sono svolti. L'assegnazione dei compiti è formalizzata mediante delibera dell'organo amministrativo della capogruppo italiana che ne definisce anche le responsabilità, le modalità operative, la natura e la frequenza della reportistica.

Il titolare delle singole funzioni redige apposito piano di attività approvato dalla controllante il cui contenuto è disciplinato dalla stessa norma che tratta del piano individuale; egli è anche chiamato a redigere apposite relazioni a livello di gruppo, il cui contenuto e modalità è analogo a quello previsto dell'art. 30.

Nell'ambito del Gruppo, l'organo amministrativo della capogruppo italiana è inoltre chiamato a definire e formalizzare i collegamenti tra le funzioni fondamentali di gruppo, le strutture e gli organi deputati al controllo. Per quanto la norma richiami l'art. 31, appare evidente che qui i collegamenti si estendono alle funzioni fondamentali, agli organi ed alle strutture delle controllate.

Appare rilevante la modifica rispetto al regime attuale, che si fonda sulla centralizzazione delle funzioni fondamentali, in quanto, anche nel caso di affidamento della funzione di gruppo alla stessa funzione fondamentale della capogruppo, emerge l'esigenza di una duplicità del ruolo in capo ad una stessa unità organizzativa e della sua formalizzazione in termini di titolare, piano, relazioni e quant'altro.

Un ulteriore ruolo dell'organo amministrativo della capogruppo è quello di assicurare che le soluzioni adottate non siano in contrasto con la sana e prudente gestione, che non cagionino una eccessiva concentrazione dei poteri o che non ostacolino il corretto esercizio dei poteri di vigilanza.

Quanto al ruolo ed all'attività delle singole funzioni fondamentali, elementi di discontinuità rispetto alle analoghe funzioni individuali riguardano solo la funzione di risk management e quella attuariale.

Alla prima si richiede di tenere conto della rilevanza (relativa) delle singole società del gruppo in termini di attività svolta, del profilo di rischio, del contributo alla rischiosità del gruppo, del rapporto di partecipazione, nella natura o meno di impresa regolamentata, dell'eventuale quotazione, tenendo anche conto dei rischi reputazionali, di quelli delle operazioni infragruppo, del rischio di contagio in particolare se derivante dalle reciproche interdipendenze, il tutto avendo come riferimento la solvibilità di gruppo, il risk assessment di gruppo e il piano di emergenza rafforzato per i gruppi a rischio sistemico.

Alla funzione attuariale di gruppo sono invece richieste una serie di opinion e pareri di gruppo (art. 92, commi 1 e 2 del Documento in Consultazione):

a) opinion sulla politica e sul programma di riassicurazione di gruppo;

b) parere sugli accordi di riassicurazione ed altre forme di trasferimento/mitigazione del rischio;

c) parere sulla distribuzione dei dividendi in caso di partecipazioni discrezionali all'utile;

d) parere sui rischi di sottoscrizione di gruppo;

e) parere sugli aspetti connessi all'ALM;

f) parere sulla solvibilità di gruppo;

g) parere sulle politiche di sottoscrizione.

Il principio di proporzionalità

Il principio di proporzionalità si ispira all'impianto di Solvency II, laddove prevede che le norme prudenziali siano, in via generale, applicabili in modo proporzionato al profilo di rischiosità dell'impresa determinato dalla “natura, portata e complessità” dei rischi inerenti all'attività esercitata.

È un principio non di nuova introduzione e già presente nella relazione accompagnatoria al Reg. 20 del 2008 che così precisava: “la regolamentazione è inoltre ispirata al principio di proporzionalità, per consentire implementazioni dei principi calibrate sulle dimensioni e sulla natura delle attività svolte dalle imprese di assicurazione.”

Invero, il framework normativo di riferimento, sia europeo che nazionale, non classifica le imprese secondo proporzionalità, e rimette alle scelte applicative delle Autorità l'eventuale individuazione di categorie predefinite, entro le quali collocare le imprese in base al profilo di rischio. Scelte applicative che in altri paesi (Irlanda) il regulator ha assunto attraverso la creazione di cluster di classificazione delle compagnie. Il Documento in Consultazione invece non identifica categorie predefinite di imprese alle quali associare i diversi requisiti di governance (per quanto IVASS si sia riservata ad esito della consultazione di semplificare ulteriormente l'individuazione del profilo di rischio individuazione soglie quantitative o criteri qualitativi). Sulla base della impostazione del Documento è rimessa alla singola impresa la definizione – in ragione del proprio profilo di rischio – della più idonea soluzione di governo ai fini della sana e prudente gestione, mentre per quelle di minori dimensioni ha individuato una serie di semplificazioni consentite a condizione della loro motivazione con il principio della proporzionalità.

Per contro, IVASS ha individuato una serie di parametri in base ai quali deve essere condotta la valutazione del profilo di rischio delle compagnia/gruppo al fine di individuare l'assetto di governo più appropriato.

Profilo di rischio complessivo più accentuato

Profilo di rischio più contenuto

Modello interno o l'utilizzo di parametri specifici d'impresa (USP - Undertaking-Specific Parameters) per il calcolo del Requisito Patrimoniale di Solvibilità.

Perseguimento di strategie complesse di gestione degli attivi (ad esempio, fondate sull'uso di derivati o su attivi illiquidi o con scadenze poco allineate alle passività).

Esercizio congiunto dei rami vita e danni.

Complessità dei rami assicurativi esercitati (denotata, ad esempio, da elevato rischio di sottoscrizione o elevata volatilità).

Consistente operatività transnazionale (soprattutto se esercitata in paesi extra SEE/con sistemi di vigilanza non equivalenti) o intersettoriale.

Commercializzazione di prodotti complessi, nel cui ambito il Documento in Consultazione annovera le unit-linked con garanzia di rendimento, i prodotti a lunga scadenza (ad esempio i prodotti long term care) o di difficile tariffazione.

Quotazione di strumenti su mercati regolamentati.

Composizione azionaria instabile.

Formula Standard

Perseguimento di strategie non complesse di gestione degli attivi (fondate, ad esempio, su attivi liquidi e con scadenze allineate a quelle del passivo).

Operatività nei soli rami vita o danni e in linee di business non complesse.

Attività limitata al territorio nazionale.

Distribuzione di prodotti standardizzati.

Assenza di investimenti in prodotti connotati da profili di complessità/volatilità.

Composizione azionaria stabile.

Presenza di strutture societarie semplificate.

Utilizzo di organici contenuti.

E' peraltro precisato che l'impresa potrà dimostrare all'IVASS che i parametri di cui sopra non identificano correttamente il proprio profilo di rischio. In tal caso è richiesta l'illustrazione nella relazione periodica ad IVASS delle ragioni della deroga ai criteri di classificazione presuntiva.

L'Istituto, nel Documento di Consultazione, ha individuato ed esplicitato in appositi riquadri le aspettative circa l'applicazione del principio di proporzionalità attraverso l'adozione di soluzioni di governo ovvero di adempimenti più o meno stringenti in relazione al profilo di rischio complessivo più o meno accentuato/contenuto. In particolare, i suggerimenti e le attese dell'Istituto sono stati dati in termini di:

a) struttura delle funzioni fondamentali;

b) titolari delle funzioni fondamentali;

c) relazione dell'attività delle funzioni fondamentali;

d) obiettivi della funzione di revisione interna;

e) riconoscimento di componenti variabili nelle remunerazioni di funzioni fondamentali;

f) esternalizzazione delle funzioni fondamentali;

g) funzioni fondamentali di gruppo.

In ogni caso la valutazione di proporzionalità è riferita alla sola natura, portata e complessità dei rischi. L'elemento dimensionale dell'impresa indubbiamente rileva in quanto incide sulla “portata” dei rischi nonché sul profilo della complessità organizzativa tant'è che il profilo dimensionale è sufficiente a fare assurgere l'impresa nella categoria delle imprese a rischio più rilevante, ma le ridotte dimensioni non sono dirimenti per il collocamento dell'impresa nelle categorie a rischio più contenuto o per l'esclusione del collocamento in quelle a rischio rilevante, essendo per queste ultime sufficiente il requisito della complessità (è indicativo l'uso della congiunzione “e/o” in luogo di quella “e” tra “dimensioni” e “complessità”).

Conclusioni

Volendo trarre delle conclusioni si richiamano in appresso i momenti maggiormente innovativi del Documento in Consultazione avendo riguardo alle funzioni fondamentali.

a) Il rafforzamento ulteriore della centralità dell'organo amministrativo nell'identificazione, strutturazione, regolamentazione e riporto dell'attività delle funzioni fondamentali con l'introduzione dell'esigenza di definizione delle modalità operative di svolgimento dell'attività anche per la funzione di risk management e per quella attuariale. In tale ottica rileva anche la previsione della partecipazione del titolare delle funzioni fondamentali in via stabile, se richiesta, alle riunioni dell'organo amministrativo e di controllo.

b) La possibilità di attribuire la titolarità di funzione fondamentale di titolare della funzione di risk management e di titolare della funzione attuariale (ora è possibile solo per la funzione compliance) ad un amministratore privo di deleghe.

c) La possibilità di accorpare le funzioni fondamentali, con esclusione, salvo motivazione per esigenze organizzative e comunque solo se in via contingente e transitoria, della sola funzione di internal audit.

d) La possibilità di ricorrere a risorse di altre unità aziendali e finanche di non costituire le funzioni in forma di specifica unità organizzativa, purché vengano introdotti presidi della loro indipendenza.

e) Quanto ai componenti delle funzioni fondamentali è introdotta l'estensione dei requisiti di onorabilità, professionalità e indipendenza dai soli titolari ai componenti delle funzioni fondamentali con conseguente relativa valutazione annuale da parte dell'organo amministrativo. L'indipendenza anche “storica” dei componenti della funzione di internal audit (l'attuale regolamento si limita ai soli soggetti preposti alla funzione di internal audit) rispetto a precedenti ruoli di autorità o responsabilità delle funzioni verificate.

f) È esteso alla funzione di risk management il libero accesso a tutte le attività d'impresa.

g) Rilevanti novità riguardano poi i piani delle attività. Essi sono previsti anche per la funzione attuariale. È introdotta l'esigenza di una analisi metodica dei rischi da parte delle funzioni fondamentali, estesa agli sviluppi attesi, sottostante ai piani delle attività che debbono essere costruiti secondo logiche di priorità. È espressamente previsto che tutte le attività significative dell'impresa siano sottoposte a revisione e siano riviste entro un periodo di tempo ragionevole. Le variazioni di tutti i piani delle funzioni fondamentali (e quindi non solo della funzione di internal audit) devono essere soggette ad approvazione da parte dell'organo amministrativo. È infine espressamente richiesta la coerenza della relazione periodica con il piano dell'attività.

h) È rafforzata la collaborazione tra le diverse funzioni fondamentali, non è più limitata allo scambio di informazioni.

i) L'esternalizzazione delle attività fondamentali reca numerose innovazioni. Le motivazioni dell'esternalizzazione sono ampliate dal solo ambito della economicità a quelli dell'efficienza e dell'affidabilità. La possibilità di sub-esternalizzazione deve essere prevista; è inoltre richiesta la verifica di eventuali conflitti di interesse e l'evidenza del processo di analisi effettuato. L'organo amministrativo deve essere destinatario di flussi informativi in relazione all'espletamento delle attività esternalizzate. È in ogni caso espressamente impedita l'esternalizzazione della funzione di internal audit. Anche in caso di esternalizzazione, è richiesta la designazione di un titolare(ben diverso dall'attuale “referente”) della funzione fondamentale, dotato di conoscenze ed esperienze tali da consentirgli una valutazione critica dell'operato dell'outsourcer, mentre quest'ultimo dovrà avere un responsabile dotato dei requisiti di professionalità, onorabilità e indipendenza richiesti a coloro che svolgono funzioni fondamentali nell'impresa. Gli accordi di esternalizzazione dovranno recare precisi impegni in tema di reportistica. Sono infine state introdotte importanti novità in materia di comunicazione nei confronti dell'IVASS in relazione alle esternalizzazioni.

j) I compiti delle funzione di risk management e di quella attuariale sono allineati al nuovo corpo normativo, anche europeo, e si estendono al rischio strategico. L'attività di compliance pare maggiormente allineata alla direttiva IDD e comunque alla tutela dell'assicurato; per essa è ulteriormente sottolineato il focus sull'antiriciclaggio. Per l'internal audit sono rafforzati i principi di indipendenza.

k) Importanti sono le novità a livello di gruppo assicurativo con l'introduzione di funzioni fondamentali a livello di gruppo, di pianificazione della relativa attività, della formalizzazione dei collegamenti tra gli attori del sistema di governance nel gruppo. Le funzioni di risk management e attuariali di gruppo sono arricchite nei propri compiti.

l) Viene declinato il principio della proporzionalità con l'introduzione di parametri base di rischiosità.

Dalle novità introdotte nel documento, anche limitando lo sguardo alle sole funzioni fondamentali, assume sempre maggiore evidenza il fatto che il rispetto dei principi di sana e prudente gestione dell'impresa assicurativa e di tutela dell'assicurato risieda nel complessivo governo societario del quale le funzioni di controllo sono parte fondante. Il rafforzamento del ruolo dell'organo amministrativo nell'ambito del governo societario appare assai rilevante, con un'estensione a macchia d'olio dei compiti indicata all'art. 5 che appare difficilmente ricondurre ad un perimetro netto e definito. Il che, unitamente all'esigenza di un confronto dialettico all'intero dell'organo amministrativo, esige un'interlocuzione sempre maggiore con le funzioni fondamentali che non può limitarsi alle sole relazioni periodiche. Al punto che la partecipazione, in via stabile, dei titolari delle funzioni fondamentali alle riunioni dell'organo amministrativo (e dell'organo di controllo) menzionata nel documento all'art. 28.1, costituirà, nel nuovo contesto regolamentare, un'opportunità dalla quale trarrebbe vantaggio l'organo amministrativo, oltre che la stessa funzione di controllo.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.

Sommario
Il principio di proporzionalità