Art. 19 Individuazione e valutazione dei rischi 1. L'impresa provvede a definire le categorie di rischio, indipendentemente dalla circostanza che siano quantificabili, in funzione della natura, della portata e della complessita' dei rischi inerenti all'attivita' svolta, in un'ottica attuale e prospettica, nonche' degli effetti indiretti connessi ai rischi significativi. La catalogazione include almeno i seguenti rischi: a) rischio di sottoscrizione, per come definito dall'art. 1, comma 1, lettera vv-bis 4) del Codice; b) rischio di mercato, per come definito dall'art. 1, comma 1, lettera vv-bis 3) del Codice; c) rischio di credito, per come definito dall'art. 1, comma 1, lettera vv-bis 1) del Codice; d) rischio di liquidita', per come definito dall'art. 1, comma 1, lettera vv-bis 2) del Codice; e) rischio operativo, per come definito dall'art. 1, comma 1, lettera vv-bis 5) del Codice; f) rischio legato all'appartenenza al gruppo: rischio di «contagio», inteso come rischio che, a seguito dei rapporti intercorrenti tra l'impresa e le altre societa' del gruppo, situazioni di difficolta' che insorgono in una societa' del medesimo gruppo possano propagarsi con effetti negativi sulla solvibilita' dell'impresa stessa; g) rischio di non conformita' alle norme: il rischio di incorrere in sanzioni giudiziarie o amministrative, subire perdite o danni reputazionali in conseguenza della mancata osservanza di leggi, regolamenti e norme europee direttamente applicabili o provvedimenti delle Autorita' di vigilanza ovvero di norme di autoregolamentazione, quali statuti, codici di condotta o codici di autodisciplina; rischio derivante da modifiche sfavorevoli del quadro normativo o degli orientamenti giurisprudenziali; h) rischio reputazionale: i rischi di deterioramento dell'immagine aziendale e di aumento della conflittualita' con gli assicurati, dovuti anche alla scarsa qualita' dei servizi offerti, al collocamento di polizze non adeguate o al comportamento in fase di vendita, post vendita e di liquidazione; i) rischio strategico: il rischio attuale o prospettico di flessione degli utili o del capitale e di sostenibilita' del modello di business, incluso il rischio di non riuscire a generare un adeguato ritorno sul capitale sulla base della propensione al rischio definita dall'impresa, derivante da cambiamenti del contesto operativo o da decisioni aziendali errate, attuazione inadeguata di decisioni, impropria gestione del rischio di appartenenza al gruppo, scarsa reattivita' a variazioni del contesto competitivo. 2. L'impresa raccoglie in via continuativa informazioni sui rischi, interni ed esterni, attuali e prospettici, a cui e' esposta e che possono interessare tutti i processi operativi e le aree funzionali. La procedura di censimento dei rischi e i relativi risultati sono adeguatamente documentati. 3. L'impresa e' in grado, attraverso un adeguato processo di analisi, anche mediante il ricorso agli strumenti di cui all'art. 32, comma 1, lettera f) e secondo quanto previsto dal comma 4, di comprendere la natura dei rischi individuati e la loro origine, al fine di un'adeguata valutazione degli stessi, per la quale si richiamano gli articoli 30-ter e 215-ter del Codice e relative disposizioni di attuazione in materia di valutazione interna dei rischi e della solvibilita'. 4. Ai fini di cui al comma 3, l'impresa ricorre all'utilizzo di specifici stress test calibrati sul proprio profilo di rischio o ad altre eventuali analisi quantitative, identificando a tale scopo eventuali rischi di breve, medio e lungo termine, potenziali eventi o future modifiche nelle condizioni economiche che possono avere un impatto sfavorevole sulla complessiva situazione finanziaria e sul patrimonio. Nel processo di valutazione dei rischi l'impresa utilizza scenari adeguati, basati sull'analisi del peggiore caso possibile, prendendo in considerazione ogni significativo effetto indiretto che puo' derivare. 5. L'impresa definisce procedure in grado di evidenziare con tempestivita' l'insorgere di rischi significativi anche in una prospettiva di medio-lungo periodo, ed in coerenza con quanto previsto dall'art. 258, paragrafo 3, degli atti delegati e ai fini dell'art. 30, comma 4, del Codice, per le maggiori fonti di rischio identificate predispone un adeguato piano di emergenza. 6. Il piano di emergenza e' approvato dall'organo amministrativo, ai sensi dell'art. 5, comma 2, lettera f), rivisto e aggiornato periodicamente, con cadenza almeno annuale, valutandone l'efficacia. Il piano di emergenza e' reso accessibile al personale interessato dal piano stesso, in modo tale da garantire la consapevolezza del proprio ruolo al ricorrere di situazioni di emergenza, individuando altresi' in tali circostanze adeguati canali di comunicazione. 7. Su richiesta dell'IVASS, l'impresa effettua analisi qualitative o quantitative standardizzate sulla base di fattori di rischio e parametri prefissati.