Importanti novità in arrivo in materia di sanzioni e di prevenzione degli illeciti dal Codice delle assicurazioni private (d.lg. 7 settembre 2005 n. 209), che entrerà in vigore il 1/1/2006 e dalla regolamentazione dell’ISVAP.

 

1. Il Codice delle assicurazioni

L’art 266 (Responsabilità per illecito amministrativo dipendente da reato), infatti, così recita:

“1. Il pubblico ministero che iscrive, ai sensi dell’articolo 55 del decreto legislativo 8 giugno 2001, n. 231, nel registro delle notizie di reato un illecito amministrativo a carico di un’impresa di assicurazione o di riassicurazione ne dà comunicazione all’ISVAP. Nel corso del procedimento, ove il pubblico ministero ne faccia richiesta, viene sentito l’ISVAP, che ha facoltà di presentare relazioni scritte.(1)

2. In ogni grado del giudizio di merito, prima della sentenza, il giudice dispone, anche d’ufficio, l’acquisizione dall’ISVAP di aggiornate informazioni sulla situazione dell’impresa, con particolare riguardo alla struttura organizzativa e di controllo.

3. La sentenza irrevocabile che irroga nei confronti di un’impresa di assicurazione o di riassicurazione le sanzioni interdittive previste dall’articolo 9, comma 2, lettere a) e b), del decreto legislativo 8 giugno 2001, n. 231, decorsi i termini per la conversione delle sanzioni medesime, è trasmessa per l’esecuzione dall’autorità giudiziaria all’ISVAP. A tal fine l’ISVAP può proporre o adottare gli atti previsti dai capi II, III e IV, avendo presenti le caratteristiche della sanzione irrogata e le preminenti finalità di salvaguardia della stabilità e di tutela degli assicurati e degli altri titolari di crediti di assicurazione (2)

4. Le sanzioni interdittive indicate nell’articolo 9, comma 2, lettere a) e b), del decreto legislativo 8 giugno 2001, n. 231, non possono essere applicate in via cautelare alle imprese di assicurazione o di riassicurazione. Alle medesime non si applica, altresì, l’articolo 15 del decreto legislativo 8 giugno 2001, n. 231 (3).

5. Il presente articolo si applica, in quanto compatibile, alle sedi secondarie italiane di imprese di altri Stati membri o di Stati terzi.”

 

Viene pertanto esteso alle imprese di assicurazione e di riassicurazione il regime di favore già previsto per le banche e gli intermediari finanziari dal d.lg. 197/2004: le più invasive sanzioni interdittive non possono essere applicate in via cautelare, ma solo con la sentenza di condanna. Anche nel settore assicurativo verrà poi coinvolta l’Autorità di vigilanza preposta, non solo nel procedimento di accertamento, ma anche nella fase esecutiva della sanzione.

Sotto un distinto ma correlato profilo, è interessante anche il successivo art 325 (Destinatari delle sanzioni pecuniarie):

“1. Ad eccezione delle sanzioni di cui al capo V, irrogate nei confronti delle persone fisiche responsabili della violazione, le sanzioni pecuniarie sono applicate nei confronti delle imprese e degli intermediari, compresi i produttori diretti, responsabili della violazione.

2. Qualora i soggetti di cui al comma 1 dimostrino che la violazione è stata commessa da propri dipendenti o collaboratori, con abuso dei doveri di ufficio e per trarne personale vantaggio, la sanzione è comminata al dipendente o al collaboratore alla cui azione o omissione è imputabile l’infrazione. L’impresa e l'intermediario ne rispondono come responsabili civili, salvo rivalsa”.

Insomma: la società dovrà dimostrare che l’infrazione è stata commessa dal dipendente con abuso dei doveri d’ufficio e – si badi bene: si tratta di requisiti cumulativi – per trarne personale vantaggio (4).

In altri termini si sancisce, analogamente alla responsabilità per gli illeciti amministrativi di abuso di informazioni privilegiate e di manipolazione del mercato (art 187 quinquies T.U.F.), l’inversione dell’onere della prova a carico delle società: soltanto che, a differenza del T.U.F., il Codice in esame fa permanere la responsabilità civile dell’impresa (salvo rivalsa).

 

2. La circolare ISVAP sui controlli interni e la gestione dei rischi

La tematica dei controlli interni, dei modelli di prevenzione dei reati e del sistema di risk management sarà notevolmente interessato dalla prossima emanazione della circolare ISVAP sui controlli interni e la gestione dei rischi, che abroga la precedente n. 366/19995.

In questa sede si farà riferimento alla bozza che è stata resa nota per una pubblica consultazione sino al 12 settembre 2005.

 

2.1 Il sistema di controllo interno

L’organo amministrativo (consiglio di amministrazione o il consiglio di gestione, secondo quanto previsto negli artt. 2380-bis, 2409-novies e 2409-septiedecies c.c.) ha la responsabilità ultima del sistema dei controlli interni del quale deve assicurare la costante completezza, funzionalità e efficacia, anche con riferimento alle funzioni esternalizzate, in coerenza con le dimensioni e la specificità operativa dell’impresa, nonché con la natura e l’intensità dei rischi aziendali.

In particolare esso:

“a) approva la struttura organizzativa dell’impresa nonché l’attribuzione di compiti e responsabilità alle unità operative e agli addetti, curandone l’adeguatezza nel tempo;

b) assicura che siano adottati e documentati adeguati processi decisionali e che sia attuata una appropriata separazione di funzioni;

c) approva, curandone l’adeguatezza nel tempo, il sistema delle deleghe di poteri e responsabilità, avendo cura di evitare l’eccessiva concentrazione di poteri in un singolo individuo o in pochi individui e ponendo in essere strumenti di verifica sull’esercizio dei poteri delegati;

d) definisce le direttive in materia di sistema dei controlli interni curandone il costante miglioramento e l’adeguamento alla evoluzione dell’operatività aziendale e alle condizioni esterne;

e) definisce e adegua nel tempo le strategie e le politiche di assunzione, valutazione e gestione dei rischi maggiormente significativi, in coerenza con il livello di adeguatezza patrimoniale dell’impresa; sulla base dei risultati dei processi di individuazione e valutazione dei rischi, fissa i livelli di tolleranza al rischio e li rivede periodicamente;

f) verifica che l’alta direzione implementi correttamente il sistema di controllo interno e di gestione dei rischi secondo le direttive impartite e che ne valuti periodicamente la funzionalità, l’efficienza e l’efficacia;

g) richiede di essere periodicamente informato sulla efficacia e adeguatezza del sistema di controllo interno e di gestione dei rischi e che gli siano riferite con tempestività eventuali carenze o anomalie, siano esse individuate dall’alta direzione, dalla funzione di revisione interna, dal personale, adottando con tempestività idonee misure correttive”.

L’organo amministrativo è responsabile della promozione di un alto livello di integrità e di una “cultura del controllo” che sensibilizzi il personale, ad ogni livello e funzione, sulla importanza e utilità dei controlli interni (art 8).

Per promuovere all’interno dell’impresa la correttezza operativa ed il rispetto dell’integrità e dei valori etici da parte di tutto il personale, sarà utile l’adozione di un codice etico che definisca le regole comportamentali, disciplini le situazioni di potenziale conflitto di interesse e preveda azioni correttive adeguate, nel caso di deviazione dalle direttive e procedure approvate dal vertice o per il caso di infrazione della normativa vigente e dello stesso codice etico (6).

Spetta poi all’ Alta direzione (Amministratore delegato, il Direttore Generale, nonché l’alta dirigenza che svolge compiti di sovrintendenza gestionale) l’attuazione, il mantenimento e il monitoraggio del sistema dei controlli interni e del sistema di gestione dei rischi, in conformità con le direttive dell’organo amministrativo (art 6). In particolare l’alta direzione:

“a) definisce in dettaglio la struttura organizzativa della compagnia, i compiti e le responsabilità delle unità operative e dei relativi addetti, nonché le procedure decisionali in coerenza con le direttive impartite dall’organo amministrativo; in tale ambito attua l’appropriata separazione di compiti sia tra singoli individui che tra funzioni in modo da evitare, per quanto possibile, l’insorgere di conflitti di interesse;

b) attua le politiche di assunzione, valutazione e gestione dei rischi fissate dall’organo amministrativo, assicurando la definizione di limiti operativi e la tempestiva verifica dei limiti medesimi, nonché il monitoraggio delle esposizioni ai rischi e il rispetto dei livelli di tolleranza;

c) sottopone a continua verifica il mantenimento della funzionalità, dell’efficienza e dell’efficacia complessiva della struttura organizzativa, del sistema dei controlli interni e di gestione dei rischi;

d) riferisce periodicamente all’organo amministrativo sull’efficacia e sull’adeguatezza del sistema dei controlli interni e di gestione dei rischi e comunque tempestivamente ogni qualvolta siano riscontrate carenze o anomalie;

e) dà attuazione alle indicazioni dell’organo amministrativo in ordine alle misure da adottare per correggere le anomalie riscontrate e/o apportare miglioramenti.”

Un ruolo decisivo è ovviamente affidato all’organo di controllo (collegio sindacale, il consiglio di sorveglianza e il comitato per il controllo sulla gestione, secondo quanto previsto negli artt. 2397, 2409-duodecies e 2409-octiesdecies c.c.).

Nell’ambito dei generali compiti che l’ordinamento attribuisce all’organo di controllo particolare rilievo è riconosciuto alla vigilanza sull’adeguatezza della struttura organizzativa della società e del sistema di controllo interno ed amministrativo-contabile e sull’affidabilità di quest’ultimo a rappresentare correttamente i fatti di gestione (art 7). In particolare, l’organo di controllo:

“a) acquisisce, all’inizio del mandato, conoscenze sulla struttura organizzativa aziendale ed esamina i risultati del lavoro della società di revisione per la valutazione del sistema di controllo interno e del sistema amministrativo contabile;

b) verifica l’idoneità della definizione delle deleghe, nonché l’adeguatezza della struttura organizzativa, prestando particolare attenzione alla separazione di responsabilità nei compiti e nelle funzioni;

 

c) valuta l’efficienza e l’efficacia del sistema dei controlli interni, con particolare riguardo al sistema amministrativo contabile e all’operato della funzione di revisione interna della quale deve verificare la sussistenza della necessaria autonomia, indipendenza e funzionalità;

nell’ipotesi in cui tale funzione sia stata ceduta in outsourcing valuta il contenuto dell’incarico sulla base del relativo contratto;

d) mantiene un adeguato coordinamento con la funzione di revisione interna;

e) cura il tempestivo scambio con la società di revisione dei dati e delle informazioni rilevanti per l’espletamento dei propri compiti, esaminando anche le periodiche relazioni della società di revisione;

f) segnala all’organo amministrativo le eventuali anomalie o debolezze della struttura organizzativa e del sistema dei controlli interni indicando e sollecitando idonee misure correttive; nel corso del mandato pianifica e svolge, anche coordinandosi con la società di revisione, periodici interventi di vigilanza volti ad accertare se le carenze e/o anomalie segnalate siano state superate e se, rispetto a quanto verificato all’inizio del mandato, siano intervenute significative modifiche dell’operatività della società che impongano un adeguamento della struttura organizzativa e del sistema dei controlli interni;

g) in caso di società appartenenti al medesimo gruppo assicura i collegamenti funzionali ed informativi con i collegi sindacali delle altre imprese;

h) conserva una adeguata evidenza delle osservazioni e delle proposte formulate e della successiva attività di verifica dell’attuazione delle eventuali misure correttive.”

L’attività di monitoraggio è svolta anche con l’ausilio della funzione di revisione interna (o "internal auditing")(7), la quale ha lo scopo di monitorare e valutare l’efficacia e l’efficienza del sistema dei controlli interni anche attraverso attività di supporto e di consulenza alle altre funzioni aziendali.

Tale funzione deve presentare le seguenti caratteristiche (art 13):

“a. la collocazione della funzione di revisione interna nell’ambito della struttura organizzativa deve essere tale da garantirne l’indipendenza e l’autonomia, affinché non ne sia compromessa l’obiettività di giudizio; ai soggetti preposti alla funzione di revisione interna non devono essere affidate responsabilità operative o incarichi di verifica di attività per le quali abbiano avuto in precedenza autorità o responsabilità se non sia trascorso un ragionevole periodo di tempo;

b. il responsabile della funzione è nominato dall’organo amministrativo e deve avere specifica competenza e professionalità per lo svolgimento dell’attività; i compiti attribuiti al responsabile della funzione sono chiaramente definiti ed approvati con delibera dell’organo amministrativo, che ne fissa anche poteri, responsabilità e modalità di reportistica all’organo amministrativo stesso;

c. agli incaricati della funzione deve essere consentita libertà di accesso a tutte le strutture aziendali e alla documentazione relativa all’area aziendale oggetto di verifica, incluse le informazioni utili per la verifica dell’adeguatezza dei controlli svolti sulle funzioni aziendali esternalizzate;

d. la funzione deve avere collegamenti organici con tutti i centri titolari di funzioni di controllo interno; il responsabile della funzione è dotato dell’autorità necessaria a garantire l’indipendenza della stessa;

e. la struttura deve essere adeguata in termini di risorse umane e tecnologiche alle dimensioni dell’impresa ed agli obiettivi di sviluppo che la stessa intende perseguire. L’ampiezza e la delicatezza dei compiti di revisione richiede che gli addetti abbiano competenze specialistiche adeguate e che ne sia curato l’aggiornamento professionale.”

Vengono pure previste disposizioni sullo svolgimento dell’attività di controllo (separazione dei compiti, organizzazione dei sistemi informativi, gestione dei flussi informativi e dei canali di comunicazione)

 

2.2 Il sistema di risk management

Obiettivo ultimo del sistema di gestione dei rischi è mantenere ad un livello accettabile, coerente con le disponibilità patrimoniali dell’impresa, i rischi identificati e valutati (art 15).

Fermo restando che ciascuna impresa procede alla più idonea catalogazione dei rischi secondo le proprie specificità, vengono elencate le principali categorie di rischio che possono interessare l’attività svolta:

“• il rischio di assunzione: rischio tipico dell’impresa assicurativa, derivante dalla sottoscrizione dei contratti di assicurazione, associato agli eventi coperti, ai processi seguiti per la tariffazione e selezione dei rischi, all’andamento sfavorevole della sinistralità effettiva rispetto a quella stimata;

• il rischio di riservazione: legato alla quantificazione di riserve tecniche non sufficienti rispetto agli impegni assunti verso gli assicurati;

• il rischio di mercato: rischio di perdite in dipendenza di variazioni dei tassi di interesse, dei corsi azionari, dei tassi di cambio e dei prezzi degli immobili;

• il rischio di credito: rischio legato all’inadempimento contrattuale degli emittenti degli strumenti finanziari, dei riassicuratori, degli intermediari e di altre controparti;

• il rischio di liquidità: rischio di non poter adempiere alle obbligazioni verso gli assicurati e altri creditori a causa della difficoltà a trasformare gli investimenti in liquidità senza subire perdite;

• il rischio operativo: rischio di perdite derivanti da inefficienze di persone, processi e sistemi, inclusi quelli utilizzati per la vendita a distanza, o da eventi esterni, quali la frode o l’attività degli outsourcer;

• il rischio legato all’appartenenza al gruppo: rischio di “contagio”, rischio derivante da operazioni con parti correlate, ecc…

• il rischio legale: rischio derivante dalla mancata conformità a leggi (8), regolamenti o provvedimenti delle Autorità di vigilanza o da modifiche sfavorevoli del quadro normativo; rischio legato a mutamenti degli orientamenti giurisprudenziali;

• il rischio reputazionale: rischio di deterioramento dell'immagine aziendale e aumento della conflittualità con gli assicurati, dovuto anche alla scarsa qualità dei servizi offerti, al collocamento di polizze non adeguate o al comportamento della rete di vendita”.

L’impresa deve raccogliere in via continuativa informazioni sui rischi, interni ed esterni, esistenti e prospettici a cui è esposta e che possono interessare tutti i processi operativi e le aree funzionali (art 16). La procedura di censimento dei rischi e i relativi risultati devono essere adeguatamente documentati.

I processi di individuazione e valutazione dei rischi vanno effettuati su base continuativa, per tenere conto sia delle intervenute modifiche nella natura e dimensione degli affari e nel contesto di mercato, sia dell’insorgenza di nuovi rischi o del cambiamento di quelli esistenti. Particolare attenzione va posta alla valutazione dei rischi nascenti dall’offerta di nuovi prodotti o dall’ingresso in nuovi mercati (9).

L’impresa istituisce all’uopo una funzione di risk management, appropriata alla natura, dimensione e complessità dell’attività (art 18), che:

“- concorre alla definizione delle metodologie di misurazione dei rischi;

- concorre alla definizione dei limiti operativi assegnati alle strutture operative e definisce le procedure per la tempestiva verifica dei limiti medesimi;

- valida i flussi informativi necessari ad assicurare il tempestivo controllo delle esposizioni ai rischi e l’immediata rilevazione delle anomalie riscontrate nell’operatività;

- predispone il reporting nei confronti dell’organo amministrativo, dell’alta direzione e dei responsabili delle strutture operative circa l’evoluzione dei rischi e la violazione dei limiti operativi fissati;

- verifica la coerenza dei modelli di misurazione dei rischi con l’operatività svolta dalla impresa”.

La collocazione organizzativa della funzione di risk management è lasciata all’autonomia delle imprese, nel rispetto del principio di separatezza tra funzioni operative e di controllo (10).

Per quanto riguarda il sistema dei controlli interni nell’ambito dei gruppi assicurativi, esso deve essere finalizzato a mantenere l’equilibrio economico, finanziario e patrimoniale delle singole società tenendo conto degli effetti derivanti dall’appartenenza al gruppo.

Pertanto le imprese di assicurazione con sede in Italia soggette alla vigilanza supplementare dell’ISVAP che svolgono attività di direzione e coordinamento di altre società devono dotarsi di un sistema di controllo interno e di procedure di gestione dei rischi atte a realizzare l’equilibrio gestionale nelle relazioni tra le singole componenti del gruppo. In particolare (11), dovranno essere previsti:

“- procedure formalizzate di coordinamento e collegamento, anche informativo, con tutte le società appartenenti al gruppo e per tutte le aree di attività;

- meccanismi di comparazione dei dati contabili nei casi in cui appartengano al gruppo società aventi sede in Paesi che adottano differenti schemi contabili;

- procedure di segnalazione e contabili che consentano l’accertamento, la quantificazione, il monitoraggio e il controllo delle operazioni infragruppo;

- tutte le misure necessarie a garantire la coerenza dei sistemi posti in essere in tutte le imprese appartenenti al gruppo, al fine di consentire la identificazione, la valutazione, il monitoraggio e il controllo dei rischi a livello del gruppo assicurativo.”

 

(Maurizio Arena)

 

¹ Trattasi dell’annotazione della notizia di illecito amministrativo dipendente da reato a carico dell’ente collettivo, che viene effettuata a margine dell’iscrizione vera e propria nei confronti della persona fisica.

² Si fa riferimento alle sanzioni dell’interdizione dall’esercizio dell’attività e della sospensione/revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito.

³ L’art 15 d.lg. 231 prevede la possibilità di nomina di un commissario giudiziale, in luogo dell’applicazione della sanzione, se quest’ultima potrebbe determinare l’interruzione dell’attività di un ente che svolge un pubblico servizio ovvero rilevanti ripercussioni sull’occupazione.

⁴ Anche se la violazione dei doveri d’ufficio, ivi compresi – ad avviso di chi scrive - quelli indicati in un apposito codice etico e di condotta, formalizzato nel “modello di organizzazione, gestione e controllo” ex d.lg. 231, dovrebbe comportare automaticamente la non imputabilità dell’infrazione all’interesse dell’ente.

⁵ La materia è disciplinata dalle seguenti disposizioni:

- art. 20, comma 4, del d.lgs. n. 174/1995 e art. 21, comma 4 del d.lgs. n. 175/1995, i quali prevedono che le imprese vita e danni con sede legale in Italia siano dotate di un’idonea organizzazione amministrativa e contabile e dispongano di adeguate procedure di controllo interno;

- art. 88 del d.lgs. n. 174/1995 e art. 101 del d.lgs. n. 175/1995 i quali richiedono alle sedi secondarie in Italia delle imprese con sede legale in uno Stato terzo rispetto alla U.E. di disporre di adeguate procedure di controllo interno;

- art. 5 del d.lgs. n. 239/2001, il quale dispone che le imprese di assicurazione appartenenti ad un gruppo, soggette alla vigilanza supplementare, instaurino adeguate procedure di controllo interno, individuando una funzione per la produzione dei dati e delle informazioni utili ai fini dell’esercizio della vigilanza supplementare in relazione ai rapporti con imprese controllate o partecipate;

- art. 149, comma 1, lett. c) del d.lgs. n. 58/1998, applicabile alle imprese di assicurazione in forza dell’art. 4 del d.lgs. n. 343/1999, il quale dispone che il collegio sindacale vigili sull’adeguatezza della struttura organizzativa della società, del sistema di controllo interno e del sistema amministrativo-contabile nonché sull’affidabilità di quest’ultimo nel rappresentare correttamente i fatti di gestione;

- art. 8 della direttiva 98/78/CE relativa alla vigilanza supplementare sulle imprese di assicurazione appartenenti ad un gruppo assicurativo, come modificato dall’art. 28 della direttiva 2002/87/CE (relativa alla vigilanza supplementare sugli enti creditizi, sulle imprese di assicurazione e sulle imprese di investimento appartenenti ad un conglomerato), il quale dispone che le imprese instaurino adeguati meccanismi di gestione del rischio e di controllo interno per l’accertamento, la quantificazione, il monitoraggio e il controllo delle operazioni infragruppo;

- art. 9 della direttiva 2002/87/CE relativa alla vigilanza supplementare sugli enti creditizi, sulleimprese di assicurazione e sulle imprese di investimento appartenenti ad un conglomerato, il quale richiede che le imprese pongano in essere, nell’ambito del conglomerato finanziario, adeguati meccanismi di controllo interno e gestione del rischio, ivi comprese valide procedure amministrative e contabili.

E’ opportuno ricordare inoltre le seguenti disposizioni di carattere particolare emanate dall’ISVAP in materia di sistema dei controlli interni:

- provvedimento ISVAP n. 297 del 19 luglio 1996, che richiede, quale elemento essenziale per l’utilizzo degli strumenti derivati, l’esistenza di un adeguato sistema di controllo interno atto a permettere la verifica della coerenza fra le operazioni effettuate e la strategia prefissata e l’esistenza di un adeguato sistema di misurazione e gestione dei rischi gravanti sul portafoglio;

- circolare ISVAP n. 358/D del 15 gennaio 1999, la quale, nel disporre modifiche al sistema di segnalazioni trimestrali di vigilanza sulle attività a copertura delle riserve tecniche, richiama la necessità di istituire procedure di controllo interno in grado di verificare la rispondenza delle scelte di gestione finanziaria con le strategie di investimento stabilite dagli organi amministrativi, con particolare attenzione all’analisi ed alla prudente gestione del rischio di controparte;

- circolare ISVAP n. 364/D del 24 febbraio 1999, la quale dispone che gli organi e le funzioni di controllo interno debbano essere attivamente coinvolti nei processi di monitoraggio della redditività prospettica delle attività rappresentative delle riserve tecniche e dei livelli di garanzia sui contratti di assicurazione sulla vita e di capitalizzazione;

- circolare ISVAP n. 393/D del 17 gennaio 2000, inerente il collocamento dei prodotti assicurativi tramite Internet, la quale dispone che le imprese si dotino di procedure di controllo interno adeguate al soddisfacimento di tutte le esigenze richiamate con la detta circolare;

- circolare ISVAP 487/D del 24 ottobre 2002, relativa alla distribuzione assicurativa tramite reti di produttori operanti con tecniche di multilevel marketing la quale richiede il possesso di adeguate procedure di controllo interno;

- circolare ISVAP 518/D del 28 novembre 2003 che istituisce il registro dei reclami, affidandone la gestione e la rendicontazione al responsabile della funzione di revisione interna;

- circolare ISVAP 533/D del 4 giugno 2004 concernente la distribuzione dei prodotti assicurativi, la quale pone l’accento su alcuni aspetti del controllo della rete commerciale dell’impresa.

⁶ L’impresa dovrà attivare adeguate forme di controllo sul rispetto degli standard etici fissati nel codice.

⁷ Nel caso di imprese nelle quali, per le ridotte dimensioni e le caratteristiche operative, l’istituzione di una apposita funzione non risponda a criteri di economicità, la revisione interna può essere affidata in outsourcing, purchè a società con sede in Italia, previa comunicazione all’Istituto degli elementi che consentano di effettuare una valutazione del rispetto dei criteri di economicità, efficienza ed affidabilità. In tali casi l’affidamento a soggetti terzi deve essere formalizzato in apposito contratto nel quale devono essere regolati, comunque, i seguenti aspetti:

• obiettivi, metodologie e frequenza dei controlli;

• modalità e frequenza dei rapporti con l’organo amministrativo e l’alta direzione;

• possibilità di riconsiderare le condizioni del servizio al verificarsi di modifiche di rilievo nell’operatività e nell’organizzazione della impresa di assicurazione;

• accesso completo ed immediato dell’ISVAP all’attività ed alla documentazione prodotta dai soggetti terzi.

Va però rilevato che l’esternalizzazione di funzioni aziendali può implicare rischi aggiuntivi per l’impresa che devono essere controllati e gestiti in maniera adeguata. Relativamente a tali funzioni il sistema dei controlli interni deve garantire controlli di standard analogo a quelli che sarebbero attuati se l’attività fosse svolta direttamente dall’impresa (art 12). In particolare l’impresa deve adottare idonei presidi organizzativi e contrattuali che consentano di monitorare costantemente le attività esternalizzate, la loro conformità a norme di legge e regolamenti e alle direttive e procedure aziendali, il rispetto dei limiti operativi e delle soglie di tolleranza al rischio fissate dall’impresa e di intervenire tempestivamente ove l’outsourcer non rispetti gli impegni assunti o la qualità del servizio fornito sia carente. A tal fine è necessario che sia chiaramente individuato all’interno dell’impresa il/i responsabile/i di tali attività di controllo.

⁸ Tra le quali si deve ricomprendere la mancata conformità al d.lg. 231/2001; nello stesso senso si esprime il Regolamento della Banca d’Italia del 14 aprile 2005 sulla gestione collettiva del risparmio.

⁹ Al fine di riconoscere tempestivamente l’insorgere di rischi che possono danneggiare la situazione patrimoniale ed economica o il superamento delle soglie di tolleranza fissate, l’impresa definisce procedure in grado di costituire indicatori di inefficienza dei sistemi di misurazione e controllo dei rischi. E’ necessario che l’impresa predisponga, per le maggiori fonti di rischio da essa identificate e ritenute più significative, adeguati piani di emergenza.

¹⁰ Le imprese valutano se utilizzare unità interne o avvalersi di strutture esterne (eventualmente di gruppo), nel rispetto dei criteri già indicati. La funzione di risk management, anche quando non costituita in forma di specifica unità organizzativa, risponde all’organo amministrativo. Il collegamento tra la funzione di revisione interna e quella di risk management è definito e formalizzato dall’organo amministrativo.

¹¹ L’ISVAP si riserva di emanare istruzioni specifiche sul sistema dei controlli interni e di gestione dei rischi all’interno dei conglomerati finanziari a seguito dell’entrata in vigore del provvedimento di attuazione della Direttiva 2002/87/CE relativa alla vigilanza supplementare sugli enti creditizi, sulle imprese di assicurazione e sulle imprese di investimento appartenenti ad un conglomerato.