Art. 4
Modifiche all'art. 5 del Regolamento ISVAP n. 20 del 26 marzo 2008
1. L'art. 5 del Regolamento ISVAP n. 20 del 26 marzo 2008, e'
sostituito dal seguente:
«Art. 5 (Organo amministrativo).
1. L'organo amministrativo ha la responsabilita' ultima dei sistemi
dei controlli interni e di gestione dei rischi dei quali assicura la
costante completezza, funzionalita' ed efficacia, anche con
riferimento alle attivita' esternalizzate. L'organo amministrativo
assicura che il sistema di gestione dei rischi consenta
l'identificazione, la valutazione anche prospettica e il controllo
dei rischi, ivi compresi quelli derivanti dalla non conformita' alle
norme, garantendo l'obiettivo della salvaguardia del patrimonio,
anche in un'ottica di medio-lungo periodo.
2. Ai fini di cui al comma 1, l'organo amministrativo nell'ambito
dei compiti di indirizzo strategico e organizzativo di cui all'art.
2381 del codice civile:
a) approva l'assetto organizzativo dell'impresa nonche'
l'attribuzione di compiti e di responsabilita' alle unita' operative,
curandone l'adeguatezza nel tempo, in modo da poterli adattare
tempestivamente ai mutamenti degli obiettivi strategici e del
contesto di riferimento in cui la stessa opera;
b) assicura che siano adottati e formalizzati adeguati processi
decisionali e che sia attuata una appropriata separazione di
funzioni;
c) approva, curandone l'adeguatezza nel tempo, il sistema delle
deleghe di poteri e responsabilita', avendo cura di evitare
l'eccessiva concentrazione di poteri in un singolo soggetto e ponendo
in essere strumenti di verifica sull'esercizio dei poteri delegati,
con conseguente possibilita' di prevedere adeguati piani di emergenza
(c.d. "contingency arrangements") qualora decida di avocare a se' i
poteri delegati;
d) definisce le direttive in materia di sistema dei controlli
interni, rivedendole almeno una volta l'anno e curandone
l'adeguamento alla evoluzione dell'operativita' aziendale e delle
condizioni esterne. Nell'ambito di tali direttive e' ricompresa anche
la politica relativa alle funzioni di risk management, compliance e
di revisione interna. Verifica altresi' che il sistema dei controlli
interni sia coerente con gli indirizzi strategici e la propensione al
rischio stabiliti e sia in grado di cogliere l'evoluzione dei rischi
aziendali e l'interazione tra gli stessi;
e) approva la politica di valutazione attuale e prospettica dei
rischi, i criteri e le metodologie seguite per le valutazioni, con
particolare riguardo a quelli maggiormente significativi; approva gli
esiti delle valutazioni e li comunica all'alta direzione ed alle
strutture interessate unitamente alle conclusioni cui lo stesso e'
pervenuto (approccio c.d. top down);
f) determina, sulla base delle valutazioni di cui alla lettera
e), la propensione al rischio dell'impresa in coerenza con
l'obiettivo di salvaguardia del patrimonio della stessa, fissando in
modo coerente i livelli di tolleranza al rischio che rivede almeno
una volta l'anno, al fine di assicurarne l'efficacia nel tempo;
g) approva, sulla base degli elementi di cui alle lettere e) ed
f), la politica di gestione del rischio e le strategie anche in
un'ottica di medio-lungo periodo nonche' i piani di emergenza (c.d.
contingency plan) di cui all'art. 19, comma 4 al fine di garantire la
regolarita' e continuita' aziendale;
h) approva, tenuto conto degli obiettivi strategici ed in
coerenza con la politica di gestione dei rischi, le politiche di
sottoscrizione, di riservazione, di riassicurazione e di altre
tecniche di mitigazione del rischio nonche' di gestione del rischio
operativo, in coerenza con le lettere e), f) e g);
i) definisce, ove ne ricorrano i presupposti, le direttive e i
criteri per la circolazione e la raccolta dei dati e delle
informazioni utili a fini dell'esercizio della vigilanza
supplementare di cui al Titolo XV del decreto, nonche' le direttive
in materia di controllo interno per la verifica della completezza e
tempestivita' dei relativi flussi informativi;
j) approva un documento, coerente con le disposizioni di cui alle
lettere a), d), e) ed f) da diffondere a tutte le strutture
interessate, in cui sono definiti i) i compiti e le responsabilita'
degli organi sociali, dei comitati consiliari e delle funzioni di
risk management, di compliance e di revisione interna; ii) i flussi
informativi, ivi comprese le tempistiche, tra le diverse funzioni,
comitati consiliari e tra questi e gli organi sociali e iii), nel
caso in cui gli ambiti di controllo presentino aree di potenziale
sovrapposizione o permettano di sviluppare sinergie, le modalita' di
coordinamento e di collaborazione tra di essi e con le funzioni
operative. Nel definire le modalita' di raccordo, le imprese prestano
attenzione a non alterare, anche nella sostanza, le responsabilita'
ultime degli organi sociali sul sistema dei controlli interni;
k) approva la politica aziendale, di cui all'art. 31, in materia
di esternalizzazione;
l) approva la politica aziendale per la valutazione del possesso
dei requisiti di idoneita' alla carica, in termini di onorabilita',
professionalita' e indipendenza, dei soggetti preposti alle funzioni
di amministrazione, di direzione e di controllo nonche' dei
responsabili delle funzioni di risk management, compliance e
revisione interna, o in caso di esternalizzazione di queste ultime
all'interno o all'esterno del gruppo, rispettivamente, dei referenti
interni o dei soggetti responsabili delle attivita' di controllo
delle attivita' esternalizzate di cui all'art. 33, comma 3. Valuta la
sussistenza dei requisiti in capo a tali soggetti con cadenza almeno
annuale. In particolare, tale politica assicura che l'organo
amministrativo sia nel suo complesso in possesso di adeguate
competenze tecniche almeno in materia di mercati assicurativi e
finanziari, sistemi di governance, analisi finanziaria ed attuariale,
quadro regolamentare, strategie commerciali e modelli d'impresa;
m) approva la politica delle segnalazioni destinate all'IVASS
(c.d. reporting policy), in coerenza con le vigenti disposizioni
normative;
n) verifica che l'alta direzione implementi correttamente il
sistema dei controlli interni e di gestione dei rischi secondo le
direttive impartite e che ne valuti la funzionalita' e l'adeguatezza;
o) richiede di essere periodicamente informato sulla efficacia e
sull'adeguatezza del sistema di controllo interno e di gestione dei
rischi e che gli siano riferite con tempestivita' le criticita' piu'
significative, siano esse individuate dall'alta direzione, dalla
funzione di revisione interna, dalle funzioni di risk management e di
compliance, dal personale, impartendo con tempestivita' le direttive
per l'adozione di misure correttive, di cui successivamente valuta
l'efficacia;
p) individua particolari eventi o circostanze che richiedono un
immediato intervento da parte dell'alta direzione;
q) assicura che sussista un'idonea e continua interazione tra
tutti i comitati istituiti all'interno dell'organo amministrativo
stesso, l'alta direzione e le funzioni di risk management, di
compliance e di revisione interna, anche mediante interventi
proattivi per garantirne l'efficacia;
r) assicura un aggiornamento professionale continuo, esteso anche
ai componenti dell'organo stesso, predisponendo, altresi', piani di
formazione adeguati ad assicurare il bagaglio di competenze tecniche
necessario per svolgere con consapevolezza il proprio ruolo nel
rispetto della natura, della portata e della complessita' dei compiti
assegnati e preservare le proprie conoscenze nel tempo;
s) effettua, almeno una volta l'anno, una valutazione sulla
dimensione, sulla composizione e sul funzionamento dell'organo
amministrativo nel suo complesso, nonche' dei suoi comitati,
esprimendo orientamenti sulle figure professionali la cui presenza
nell'organo amministrativo sia ritenuta opportuna e proponendo
eventuali azioni correttive.
3. L'organo amministrativo assicura che la relazione sul sistema
dei controlli interni e di gestione dei rischi illustri in modo
adeguato ed esaustivo la struttura organizzativa dell'impresa e
rappresenta le ragioni che rendono tale struttura idonea ad
assicurare la completezza, la funzionalita' ed efficacia del sistema
dei controlli interni e di gestione dei rischi.
4. L'organo amministrativo informa senza indugio l'Autorita' di
Vigilanza qualora vengano apportate significative modifiche alla
struttura organizzativa dell'impresa illustrando le cause interne o
esterne che hanno reso necessari tali interventi.
5. Le politiche di cui al comma 2 lettere d), h), k), l) e m)
contengono almeno gli elementi riportati nell'allegato 1 al presente
regolamento."