Art. 18 Modifiche all'art. 21 del Regolamento ISVAP n. 20 del 26 marzo 2008 1. L'art. 21 del Regolamento ISVAP n. 20 del 26 marzo 2008, e' sostituito dal seguente: «Art. 21 (Funzione di risk management). 1. L' impresa istituisce una funzione di risk management, proporzionata alla natura, alla portata e alla complessita' dei rischi inerenti all'attivita' dell'impresa stessa, che: a) concorre alla definizione della politica di gestione del rischio e definisce i criteri e le relative metodologie di misurazione dei rischi, svolge le relative valutazioni e ne trasmette gli esiti all'organo amministrativo. Quest'ultimo, dopo averli discussi e approvati, li comunica all'alta direzione ed alle strutture interessate unitamente alle conclusioni cui lo stesso e' pervenuto ai sensi dell'art. 5, comma 2, lettera e); b) concorre alla definizione dei limiti operativi assegnati alle strutture operative e definisce le procedure per la tempestiva verifica dei limiti medesimi; c) valida i flussi informativi necessari ad assicurare il tempestivo controllo delle esposizioni ai rischi e l'immediata rilevazione delle anomalie riscontrate nell'operativita'; d) effettua le valutazioni, di cui all'art. 19 bis, del profilo di rischio dell'impresa e segnala all'organo amministrativo i rischi individuati come maggiormente significativi di cui all'art. 18, comma 2, ultimo periodo, anche in termini potenziali; e) predispone la reportistica nei confronti dell'organo amministrativo, dell'alta direzione e dei responsabili delle strutture operative circa l'evoluzione dei rischi e la violazione dei limiti operativi fissati; f) verifica la coerenza dei modelli di misurazione dei rischi con l'operativita' svolta dalla impresa e concorre all'effettuazione delle analisi quantitative di cui all'art. 20; g) monitora l'attuazione della politica di gestione del rischio e il profilo generale di rischio dell'impresa nel suo complesso. 2. L'istituzione della funzione di risk management e' formalizzata in una specifica delibera dell'organo amministrativo, che ne definisce le responsabilita', i compiti, le modalita' operative, la natura e la frequenza della reportistica agli organi sociali e alle altre funzioni interessate, in coerenza con il documento approvato dall'organo amministrativo di cui all'art. 5, comma 2 lettera j). 3. La collocazione organizzativa della funzione di risk management e' lasciata all'autonomia delle imprese, nel rispetto del principio di separatezza tra funzioni operative e di controllo. Le imprese costituiscono la funzione di risk management in forma di specifica unita' organizzativa o, tenuto conto della natura e della ridotta portata e complessita' dei rischi inerenti all'attivita' dell'impresa, anche mediante il ricorso a risorse appartenenti ad altre unita' aziendali. In tale ultimo caso, l'indipendenza va assicurata attraverso la presenza di adeguati presidi che garantiscano la separatezza di compiti e prevengano conflitti di interesse. La funzione di risk management, anche quando non costituita in forma di specifica unita' organizzativa, risponde all'organo amministrativo. La collocazione organizzativa della funzione di risk management deve essere tale da non dipendere da funzioni operative. 4. Il collegamento tra la funzione di risk management e le funzioni di revisione interna e di compliance e' definito e formalizzato dall'organo amministrativo. 5. La funzione di risk management e' comunque separata dalla funzione di revisione interna ed e' sottoposta a verifica periodica da parte di quest'ultima."