                               Art. 19 
 
               Individuazione e valutazione dei rischi 
 
  1.  L'impresa  provvede  a  definire  le  categorie   di   rischio,
indipendentemente dalla  circostanza  che  siano  quantificabili,  in
funzione della natura, della portata e della complessita' dei  rischi
inerenti all'attivita' svolta, in un'ottica  attuale  e  prospettica,
nonche' degli effetti indiretti connessi ai rischi significativi.  La
catalogazione include almeno i seguenti rischi: 
    a) rischio di sottoscrizione,  per  come  definito  dall'art.  1,
comma 1, lettera vv-bis 4) del Codice; 
    b) rischio di mercato, per come definito dall'art.  1,  comma  1,
lettera vv-bis 3) del Codice; 
    c) rischio di credito, per come definito dall'art.  1,  comma  1,
lettera vv-bis 1) del Codice; 
    d) rischio di liquidita', per come definito dall'art. 1, comma 1,
lettera vv-bis 2) del Codice; 
    e) rischio operativo, per come definito  dall'art.  1,  comma  1,
lettera vv-bis 5) del Codice; 
    f)  rischio  legato  all'appartenenza  al  gruppo:   rischio   di
«contagio»,  inteso  come  rischio  che,  a  seguito   dei   rapporti
intercorrenti  tra  l'impresa  e  le  altre  societa'   del   gruppo,
situazioni di difficolta' che insorgono in una societa' del  medesimo
gruppo possano propagarsi con  effetti  negativi  sulla  solvibilita'
dell'impresa stessa; 
    g) rischio di non conformita' alle norme: il rischio di incorrere
in sanzioni giudiziarie o  amministrative,  subire  perdite  o  danni
reputazionali in  conseguenza  della  mancata  osservanza  di  leggi,
regolamenti e norme europee direttamente applicabili o  provvedimenti
delle Autorita' di vigilanza ovvero di norme di autoregolamentazione,
quali statuti, codici di condotta o codici di autodisciplina; rischio
derivante da modifiche  sfavorevoli  del  quadro  normativo  o  degli
orientamenti giurisprudenziali; 
    h)   rischio   reputazionale:   i   rischi   di    deterioramento
dell'immagine aziendale e di aumento della  conflittualita'  con  gli
assicurati, dovuti anche alla scarsa qualita' dei servizi offerti, al
collocamento di polizze non adeguate o al comportamento  in  fase  di
vendita, post vendita e di liquidazione; 
    i) rischio  strategico:  il  rischio  attuale  o  prospettico  di
flessione degli utili o del capitale e di sostenibilita' del  modello
di business, incluso  il  rischio  di  non  riuscire  a  generare  un
adeguato ritorno sul capitale sulla base della propensione al rischio
definita  dall'impresa,  derivante  da   cambiamenti   del   contesto
operativo o da decisioni aziendali errate, attuazione  inadeguata  di
decisioni, impropria gestione del rischio di appartenenza al  gruppo,
scarsa reattivita' a variazioni del contesto competitivo. 
  2. L'impresa raccoglie in via continuativa informazioni sui rischi,
interni ed esterni, attuali e prospettici, a cui  e'  esposta  e  che
possono interessare tutti i processi operativi e le aree  funzionali.
La procedura di censimento dei rischi e  i  relativi  risultati  sono
adeguatamente documentati. 
  3. L'impresa e'  in  grado,  attraverso  un  adeguato  processo  di
analisi, anche mediante il ricorso agli strumenti di cui all'art. 32,
comma 1, lettera f)  e  secondo  quanto  previsto  dal  comma  4,  di
comprendere la natura dei rischi individuati e la  loro  origine,  al
fine di  un'adeguata  valutazione  degli  stessi,  per  la  quale  si
richiamano gli articoli  30-ter  e  215-ter  del  Codice  e  relative
disposizioni di attuazione in  materia  di  valutazione  interna  dei
rischi e della solvibilita'. 
  4. Ai fini di cui al comma 3,  l'impresa  ricorre  all'utilizzo  di
specifici stress test calibrati sul proprio profilo di rischio  o  ad
altre eventuali analisi  quantitative,  identificando  a  tale  scopo
eventuali rischi di breve, medio e lungo termine, potenziali eventi o
future modifiche nelle condizioni economiche  che  possono  avere  un
impatto sfavorevole sulla complessiva situazione  finanziaria  e  sul
patrimonio. Nel processo di valutazione dei rischi l'impresa utilizza
scenari adeguati, basati sull'analisi del  peggiore  caso  possibile,
prendendo in considerazione ogni significativo effetto indiretto  che
puo' derivare. 
  5. L'impresa  definisce  procedure  in  grado  di  evidenziare  con
tempestivita'  l'insorgere  di  rischi  significativi  anche  in  una
prospettiva  di  medio-lungo  periodo,  ed  in  coerenza  con  quanto
previsto dall'art. 258, paragrafo 3, degli atti delegati  e  ai  fini
dell'art. 30, comma 4, del Codice, per le maggiori fonti  di  rischio
identificate predispone un adeguato piano di emergenza. 
  6. Il piano di emergenza e' approvato  dall'organo  amministrativo,
ai sensi dell'art. 5, comma  2,  lettera  f),  rivisto  e  aggiornato
periodicamente, con cadenza almeno annuale, valutandone  l'efficacia.
Il piano di emergenza e' reso accessibile  al  personale  interessato
dal piano stesso, in modo tale da  garantire  la  consapevolezza  del
proprio ruolo al ricorrere di situazioni di  emergenza,  individuando
altresi' in tali circostanze adeguati canali di comunicazione. 
  7. Su richiesta dell'IVASS, l'impresa effettua analisi  qualitative
o quantitative standardizzate sulla base  di  fattori  di  rischio  e
parametri prefissati.