L’ISVAP - Istituto per la vigilanza sulle assicurazioni private e di interesse collettivo – ha posto in pubblica consultazione, lo scorso 11 ottobre 2007, il proprio "Schema di regolamento in materia di controlli interni, compliance, gestione dei rischi ed esternalizzazione delle attività delle imprese di assicurazione" (pdf zip,  189 K, 29 pp). Eventuali osservazioni, commenti e proposte possono essere inviate all’Autorità entro il 15 novembre 2007.

Il Codice delle assicurazioni

A fine 2005, l’ISVAP aveva emanato la "Circolare N. 577/D" (pdf, 149 K) denominata "Disposizioni in materia di sistema dei controlli interni e gestione dei rischi" (qui un articolo di ottobre 2006 di Cristina Cellucci che commenta ampiamente la circolare 577); il presente Regolamento dà attuazione agli articoli 87 e 191, comma 1, lettera c) del Codice delle Assicurazioni, che attribuiscono all’ISVAP il potere di dettare disposizioni in materia di adeguatezza del sistema dei controlli interni e di gestione dei rischi delle imprese e dei gruppi assicurativi.

Funzione di Compliance

Le principali innovazioni apportate dal Regolamento rispetto al Codice riguardano il capo V, concernente l’istituzione di una funzione di compliance nelle imprese di assicurazione, e il capo VIII, che introduce la disciplina dell’esternalizzazione delle attività delle imprese di assicurazione. Recita la relazione di presentazione al Regolamento (pag. 2): "Con tali novità regolamentari si intendono rafforzare i requisiti qualitativi di gestione, che unitamente ai requisiti prudenziali di tipo quantitativo, rappresentano i presidi a salvaguardia della stabilità delle imprese e dei gruppi assicurativi. (…) L’approccio regolamentare segue una impostazione principle based, attraverso l’individuazione di obiettivi e requisiti minimali, lasciando autonomia alle imprese nel definire i propri modelli gestionali. La regolamentazione è inoltre ispirata al principio di proporzionalità, per consentire implementazioni dei principi calibrate sulle dimensioni e sulla natura delle attività svolte dalle imprese di assicurazione." In tale ottica, l’articolo 22 prevede che l’impresa si doti, ad ogni livello aziendale pertinente, di adeguati presidi volti a prevenire il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite patrimoniali o danni di reputazione, in conseguenza di violazioni di norme o di atti di autoregolamentazione. Tali presidi devono essere idonei a garantire il rispetto delle norme e, in particolare, di quelle relative alla trasparenza e correttezza dei comportamenti nei confronti degli assicurati e danneggiati, all’informativa precontrattuale e contrattuale, alla gestione dei sinistri e, più in generale, alla tutela del consumatore. Definiti gli obiettivi della verifica di conformità alle norme, l’articolo 23 introduce la costituzione di una specifica funzione di compliance, incaricata di verificare che l’organizzazione e le procedure aziendali siano adeguate a tali obiettivi, dettando alcuni principi per l’istituzione e l’operatività della funzione. Si tratta di principi generali che lasciano le singole imprese libere di individuare le soluzioni organizzative più appropriate alla natura, dimensioni e complessità del proprio business, valutando in particolare se costituire una specifica unità organizzativa o avvalersi di risorse appartenenti ad altre strutture aziendali, ricondotte ad unitarietà attraverso l’individuazione di un unico responsabile della funzione. Viene richiesto che l’organizzazione della funzione di compliance sia formalizzata in una specifica delibera dell’organo amministrativo che, nella sua autonomia, ne definisce compiti, responsabilità, modalità e frequenza di reportistica agli organi sociali e alle altre strutture interessate. Deve essere comunque assicurata l’indipendenza, professionalità e autorevolezza della funzione, nonché la separatezza dalle funzioni operative e dalle altre strutture cui sono attribuiti compiti di controllo. L’indipendenza va garantita attraverso la presenza di adeguati presidi per prevenire conflitti di interesse, nel caso in cui alla funzione lavorino risorse di altre aree operative.

Compliance, Intenal Audit e Risk Management

Si prevede che l’attività della funzione di compliance sia sottoposta a verifiche di audit periodiche da parte della funzione di revisione interna, che ne valuta l’efficienza e l’efficacia. In relazione, invece, ai collegamenti tra funzione di compliance e funzione di risk management – in linea con quanto previsto dalla circolare 577 relativamente ai rapporti tra funzione di revisione interna e funzione di risk management - si ritiene di lasciare all’autonomia dell’organo amministrativo la relativa definizione, che va adeguatamente formalizzata.

Responsabile della funzione di Compliance

L’articolo 24 prevede che, indipendentemente dal modello organizzativo scelto dall’impresa, debba essere comunque nominato un responsabile della funzione di compliance, in possesso di adeguati requisiti di professionalità, indipendenza ed autorevolezza, cui devono fare riferimento tutte le risorse investite a vario titolo di compiti di conformità. In considerazione delle esigenze delle piccole imprese ed in applicazione del principio di proporzionalità, l’articolo 25 prevede una gamma di opzioni per l’organizzazione della funzione, che consente alle imprese di nominare quale responsabile anche un amministratore, purché privo di deleghe operative, ovvero di esternalizzare la funzione, nel rispetto delle condizioni già previste dalla circolare 577 per l’affidamento in outsourcing delle funzioni di revisione interna e di risk management. Al fine di consentire adeguate economie di scala, si è inoltre previsto che le attività relative alla funzione di compliance possano essere accentrate all’interno del gruppo assicurativo attraverso la costituzione di una unità specializzata; ciò a condizione che in ciascuna impresa sia individuato un referente che curi i rapporti con il responsabile della funzione di gruppo e che siano adottate procedure atte a garantire che le politiche di gestione del rischio di non conformità definite a livello di gruppo siano adeguatamente calibrate rispetto alle caratteristiche operative della singola impresa.

Indice del documento

Capo I – Disposizioni di carattere generale
Art. 1 (Fonti normative)
Art. 2 (Definizioni)
Art. 3 (Ambito di applicazione)
Capo II – Sistema dei controlli interni
Sezione I – Principi generali
Art. 4 (Obiettivi del sistema dei controlli interni)
Sezione II – Ruolo degli organi sociali
Art. 5 (Organo amministrativo)
Art. 6 (Comitato per il controllo interno)
Art. 7 (Alta direzione)
Art. 8 (Organo di controllo)
Art. 9 (Formalizzazione degli atti)
Sezione III – Componenti del sistema dei controlli interni
Art. 10 (Cultura del controllo interno)
Art. 11 (Attività di controllo e separazione dei compiti)
Art. 12 (Flussi informativi e canali di comunicazione)
Art. 13 (Funzione per la produzione di dati e informazioni ai fini della vigilanza supplementare)
Art. 14 (Sistemi informatici)
Capo III – Revisione interna
Art. 15 (Funzione di revisione interna)
Art. 16 (Esternalizzazione della funzione di revisione interna)
Art. 17 (Collaborazione tra funzioni e organi deputati al controllo)
Capo IV – Gestione dei rischi
Art. 18 (Obiettivi del sistema di gestione dei rischi)
Art. 19 (Individuazione e valutazione dei rischi)
Art. 20 (Stress test)
Art. 21 (Funzione di risk management)
Capo V – Funzione di compliance
Art. 22 (Obiettivi della verifica di conformità alle norme)
Art. 23 (Funzione di compliance)
Art. 24 (Responsabile della funzione di compliance)
Art. 25 (Esternalizzazione della funzione di compliance)
Capo VI – Disposizioni in materia di gruppo assicurativo
Art. 26 (Ruolo della capogruppo)
Art. 27 (Controllo interno e gestione dei rischi nel gruppo)
Capo VII – Obblighi di comunicazione all’ISVAP
Art. 28 (Comunicazioni all’ISVAP)
Capo VIII – Disposizioni in materia di esternalizzazione
Sezione I – Condizioni per l’esternalizzazione di attività
Art. 29 (Esternalizzazione di attività)
Art. 30 (Esternalizzazione di attività essenziali o importanti)
Art. 31 (Politica di esternalizzazione e scelta dei fornitori)
Art. 32 (Contratto di esternalizzazione)
Art. 33 (Controllo sulle attività esternalizzate)
Art. 34 (Poteri di intervento dell’ISVAP)
Sezione II – Obblighi di comunicazione all’ISVAP
Art. 35 (Comunicazione in caso di esternalizzazione di attività essenziali o importanti)
Art.36 (Esternalizzazione della funzione di revisione interna, di risk management e di compliance)
Art. 37 (Comunicazioni in caso di esternalizzazione di altre attività)
Capo IX – Disposizioni transitorie e finali
Art. 38 (Disposizioni transitorie)
Art. 39 (Abrogazione di norme)
Art. 40 (Pubblicazione)
Art. 41 (Entrata in vigore)

Articoli collegati

• Ultimi articoli sulla Compliance
  • Consob e Banca d'Italia: regolamenti di attuazione della direttiva MiFID
  • ISACA: COBIT per Basilea II (versione definitiva)
  • Compliance in Banks 2007 - Intervista a Marco Pigliacampo di ABI Formazione
• Tutti gli articoli sulla Compliance

Link

• Sito di ISVAP
• ISVAP, "Schema di regolamento in materia di controlli interni, compliance, gestione dei rischi ed esternalizzazione delle attività delle imprese di assicurazione" (pdf zip,  189 K, 29 pp)
• ISVAP, "Circolare N. 577/D" (pdf, 149 K)
• Cristina Cellucci "Compliance: obblighi delle assicurazioni sul sistema dei controlli interni e gestione dei rischi (aggiornato)", (IsacaRoma Newsletter, primo ottobre 2006)