Art. 4 Modifiche all'art. 5 del Regolamento ISVAP n. 20 del 26 marzo 2008 1. L'art. 5 del Regolamento ISVAP n. 20 del 26 marzo 2008, e' sostituito dal seguente: «Art. 5 (Organo amministrativo). 1. L'organo amministrativo ha la responsabilita' ultima dei sistemi dei controlli interni e di gestione dei rischi dei quali assicura la costante completezza, funzionalita' ed efficacia, anche con riferimento alle attivita' esternalizzate. L'organo amministrativo assicura che il sistema di gestione dei rischi consenta l'identificazione, la valutazione anche prospettica e il controllo dei rischi, ivi compresi quelli derivanti dalla non conformita' alle norme, garantendo l'obiettivo della salvaguardia del patrimonio, anche in un'ottica di medio-lungo periodo. 2. Ai fini di cui al comma 1, l'organo amministrativo nell'ambito dei compiti di indirizzo strategico e organizzativo di cui all'art. 2381 del codice civile: a) approva l'assetto organizzativo dell'impresa nonche' l'attribuzione di compiti e di responsabilita' alle unita' operative, curandone l'adeguatezza nel tempo, in modo da poterli adattare tempestivamente ai mutamenti degli obiettivi strategici e del contesto di riferimento in cui la stessa opera; b) assicura che siano adottati e formalizzati adeguati processi decisionali e che sia attuata una appropriata separazione di funzioni; c) approva, curandone l'adeguatezza nel tempo, il sistema delle deleghe di poteri e responsabilita', avendo cura di evitare l'eccessiva concentrazione di poteri in un singolo soggetto e ponendo in essere strumenti di verifica sull'esercizio dei poteri delegati, con conseguente possibilita' di prevedere adeguati piani di emergenza (c.d. "contingency arrangements") qualora decida di avocare a se' i poteri delegati; d) definisce le direttive in materia di sistema dei controlli interni, rivedendole almeno una volta l'anno e curandone l'adeguamento alla evoluzione dell'operativita' aziendale e delle condizioni esterne. Nell'ambito di tali direttive e' ricompresa anche la politica relativa alle funzioni di risk management, compliance e di revisione interna. Verifica altresi' che il sistema dei controlli interni sia coerente con gli indirizzi strategici e la propensione al rischio stabiliti e sia in grado di cogliere l'evoluzione dei rischi aziendali e l'interazione tra gli stessi; e) approva la politica di valutazione attuale e prospettica dei rischi, i criteri e le metodologie seguite per le valutazioni, con particolare riguardo a quelli maggiormente significativi; approva gli esiti delle valutazioni e li comunica all'alta direzione ed alle strutture interessate unitamente alle conclusioni cui lo stesso e' pervenuto (approccio c.d. top down); f) determina, sulla base delle valutazioni di cui alla lettera e), la propensione al rischio dell'impresa in coerenza con l'obiettivo di salvaguardia del patrimonio della stessa, fissando in modo coerente i livelli di tolleranza al rischio che rivede almeno una volta l'anno, al fine di assicurarne l'efficacia nel tempo; g) approva, sulla base degli elementi di cui alle lettere e) ed f), la politica di gestione del rischio e le strategie anche in un'ottica di medio-lungo periodo nonche' i piani di emergenza (c.d. contingency plan) di cui all'art. 19, comma 4 al fine di garantire la regolarita' e continuita' aziendale; h) approva, tenuto conto degli obiettivi strategici ed in coerenza con la politica di gestione dei rischi, le politiche di sottoscrizione, di riservazione, di riassicurazione e di altre tecniche di mitigazione del rischio nonche' di gestione del rischio operativo, in coerenza con le lettere e), f) e g); i) definisce, ove ne ricorrano i presupposti, le direttive e i criteri per la circolazione e la raccolta dei dati e delle informazioni utili a fini dell'esercizio della vigilanza supplementare di cui al Titolo XV del decreto, nonche' le direttive in materia di controllo interno per la verifica della completezza e tempestivita' dei relativi flussi informativi; j) approva un documento, coerente con le disposizioni di cui alle lettere a), d), e) ed f) da diffondere a tutte le strutture interessate, in cui sono definiti i) i compiti e le responsabilita' degli organi sociali, dei comitati consiliari e delle funzioni di risk management, di compliance e di revisione interna; ii) i flussi informativi, ivi comprese le tempistiche, tra le diverse funzioni, comitati consiliari e tra questi e gli organi sociali e iii), nel caso in cui gli ambiti di controllo presentino aree di potenziale sovrapposizione o permettano di sviluppare sinergie, le modalita' di coordinamento e di collaborazione tra di essi e con le funzioni operative. Nel definire le modalita' di raccordo, le imprese prestano attenzione a non alterare, anche nella sostanza, le responsabilita' ultime degli organi sociali sul sistema dei controlli interni; k) approva la politica aziendale, di cui all'art. 31, in materia di esternalizzazione; l) approva la politica aziendale per la valutazione del possesso dei requisiti di idoneita' alla carica, in termini di onorabilita', professionalita' e indipendenza, dei soggetti preposti alle funzioni di amministrazione, di direzione e di controllo nonche' dei responsabili delle funzioni di risk management, compliance e revisione interna, o in caso di esternalizzazione di queste ultime all'interno o all'esterno del gruppo, rispettivamente, dei referenti interni o dei soggetti responsabili delle attivita' di controllo delle attivita' esternalizzate di cui all'art. 33, comma 3. Valuta la sussistenza dei requisiti in capo a tali soggetti con cadenza almeno annuale. In particolare, tale politica assicura che l'organo amministrativo sia nel suo complesso in possesso di adeguate competenze tecniche almeno in materia di mercati assicurativi e finanziari, sistemi di governance, analisi finanziaria ed attuariale, quadro regolamentare, strategie commerciali e modelli d'impresa; m) approva la politica delle segnalazioni destinate all'IVASS (c.d. reporting policy), in coerenza con le vigenti disposizioni normative; n) verifica che l'alta direzione implementi correttamente il sistema dei controlli interni e di gestione dei rischi secondo le direttive impartite e che ne valuti la funzionalita' e l'adeguatezza; o) richiede di essere periodicamente informato sulla efficacia e sull'adeguatezza del sistema di controllo interno e di gestione dei rischi e che gli siano riferite con tempestivita' le criticita' piu' significative, siano esse individuate dall'alta direzione, dalla funzione di revisione interna, dalle funzioni di risk management e di compliance, dal personale, impartendo con tempestivita' le direttive per l'adozione di misure correttive, di cui successivamente valuta l'efficacia; p) individua particolari eventi o circostanze che richiedono un immediato intervento da parte dell'alta direzione; q) assicura che sussista un'idonea e continua interazione tra tutti i comitati istituiti all'interno dell'organo amministrativo stesso, l'alta direzione e le funzioni di risk management, di compliance e di revisione interna, anche mediante interventi proattivi per garantirne l'efficacia; r) assicura un aggiornamento professionale continuo, esteso anche ai componenti dell'organo stesso, predisponendo, altresi', piani di formazione adeguati ad assicurare il bagaglio di competenze tecniche necessario per svolgere con consapevolezza il proprio ruolo nel rispetto della natura, della portata e della complessita' dei compiti assegnati e preservare le proprie conoscenze nel tempo; s) effettua, almeno una volta l'anno, una valutazione sulla dimensione, sulla composizione e sul funzionamento dell'organo amministrativo nel suo complesso, nonche' dei suoi comitati, esprimendo orientamenti sulle figure professionali la cui presenza nell'organo amministrativo sia ritenuta opportuna e proponendo eventuali azioni correttive. 3. L'organo amministrativo assicura che la relazione sul sistema dei controlli interni e di gestione dei rischi illustri in modo adeguato ed esaustivo la struttura organizzativa dell'impresa e rappresenta le ragioni che rendono tale struttura idonea ad assicurare la completezza, la funzionalita' ed efficacia del sistema dei controlli interni e di gestione dei rischi. 4. L'organo amministrativo informa senza indugio l'Autorita' di Vigilanza qualora vengano apportate significative modifiche alla struttura organizzativa dell'impresa illustrando le cause interne o esterne che hanno reso necessari tali interventi. 5. Le politiche di cui al comma 2 lettere d), h), k), l) e m) contengono almeno gli elementi riportati nell'allegato 1 al presente regolamento."