Art. 18
Modifiche all'art. 21 del Regolamento ISVAP n. 20 del 26 marzo 2008
1. L'art. 21 del Regolamento ISVAP n. 20 del 26 marzo 2008, e'
sostituito dal seguente:
«Art. 21 (Funzione di risk management).
1. L' impresa istituisce una funzione di risk management,
proporzionata alla natura, alla portata e alla complessita' dei
rischi inerenti all'attivita' dell'impresa stessa, che:
a) concorre alla definizione della politica di gestione del
rischio e definisce i criteri e le relative metodologie di
misurazione dei rischi, svolge le relative valutazioni e ne trasmette
gli esiti all'organo amministrativo. Quest'ultimo, dopo averli
discussi e approvati, li comunica all'alta direzione ed alle
strutture interessate unitamente alle conclusioni cui lo stesso e'
pervenuto ai sensi dell'art. 5, comma 2, lettera e);
b) concorre alla definizione dei limiti operativi assegnati alle
strutture operative e definisce le procedure per la tempestiva
verifica dei limiti medesimi;
c) valida i flussi informativi necessari ad assicurare il
tempestivo controllo delle esposizioni ai rischi e l'immediata
rilevazione delle anomalie riscontrate nell'operativita';
d) effettua le valutazioni, di cui all'art. 19 bis, del profilo
di rischio dell'impresa e segnala all'organo amministrativo i rischi
individuati come maggiormente significativi di cui all'art. 18, comma
2, ultimo periodo, anche in termini potenziali;
e) predispone la reportistica nei confronti dell'organo
amministrativo, dell'alta direzione e dei responsabili delle
strutture operative circa l'evoluzione dei rischi e la violazione dei
limiti operativi fissati;
f) verifica la coerenza dei modelli di misurazione dei rischi con
l'operativita' svolta dalla impresa e concorre all'effettuazione
delle analisi quantitative di cui all'art. 20;
g) monitora l'attuazione della politica di gestione del rischio e
il profilo generale di rischio dell'impresa nel suo complesso.
2. L'istituzione della funzione di risk management e' formalizzata
in una specifica delibera dell'organo amministrativo, che ne
definisce le responsabilita', i compiti, le modalita' operative, la
natura e la frequenza della reportistica agli organi sociali e alle
altre funzioni interessate, in coerenza con il documento approvato
dall'organo amministrativo di cui all'art. 5, comma 2 lettera j).
3. La collocazione organizzativa della funzione di risk management
e' lasciata all'autonomia delle imprese, nel rispetto del principio
di separatezza tra funzioni operative e di controllo. Le imprese
costituiscono la funzione di risk management in forma di specifica
unita' organizzativa o, tenuto conto della natura e della ridotta
portata e complessita' dei rischi inerenti all'attivita'
dell'impresa, anche mediante il ricorso a risorse appartenenti ad
altre unita' aziendali. In tale ultimo caso, l'indipendenza va
assicurata attraverso la presenza di adeguati presidi che
garantiscano la separatezza di compiti e prevengano conflitti di
interesse. La funzione di risk management, anche quando non
costituita in forma di specifica unita' organizzativa, risponde
all'organo amministrativo. La collocazione organizzativa della
funzione di risk management deve essere tale da non dipendere da
funzioni operative.
4. Il collegamento tra la funzione di risk management e le funzioni
di revisione interna e di compliance e' definito e formalizzato
dall'organo amministrativo.
5. La funzione di risk management e' comunque separata dalla
funzione di revisione interna ed e' sottoposta a verifica periodica
da parte di quest'ultima."