TRA OBBLIGHI E DISCREZIONALITÀ

L’istituzione di un efficace sistema di controllo interno e di vigilanza prudenziale nelle imprese di assicurazione rappresenta uno degli obiettivi centrali della direttiva Solvency II (2009/138/CE): la direttiva intende valorizzare la sana e prudente gestione dei rischi di impresa allo scopo di rafforzare la tutela degli assicurati. La funzione di compliance si inserisce nell’ambito del secondo pilastro di Solvency II, dedicato ai presidi di vigilanza cui le imprese devono attenersi.

A livello nazionale, tali principi sono stati recepiti nel Codice delle assicurazioni private (dlgs 209/2005) che all’articolo 30-quater richiede alle imprese di dotarsi di un efficace sistema di controllo interno che comprenda anche “l’istituzione della funzione di verifica della conformità dell’attività dell’impresa alla normativa vigente, alle direttive e alle procedure aziendali”. Il Codice chiarisce inoltre che il perimetro d’azione della funzione di compliance interessa “l’attività di consulenza al consiglio di amministrazione sull’osservanza delle norme legislative, regolamentari e delle norme europee direttamente applicabili, effettua la valutazione del possibile impatto sulle attività dell’impresa derivanti da modifiche del quadro normativo e degli orientamenti giurisprudenziali e identifica e valuta il rischio di non conformità”.

Un prezioso supporto agli operatori europei giunge dagli orientamenti dell’Eiopa sul sistema di governance che intendono fornire alle Vigilanze nazionali utili indicazioni per l’adeguamento di controllo interno delle imprese di assicurazione al quadro normativo introdotto da Solvency II. 

Proprio allo scopo di allineare la disciplina nazionale ai contenuti degli orientamenti Eiopa, l’Ivass ha modificato il proprio regolamento 20 del 2008, recante disposizioni in materia di controlli interni, gestione dei rischi, compliance ed esternalizzazione delle attività delle imprese di assicurazione. Seguendo un’impostazione principle based, l’Ivass da un lato ha indicato gli obiettivi e i requisiti minimi da osservare, dall’altro lato ha lasciato ampia autonomia alle compagnie nella scelta di modelli gestionali adeguati alla propria natura, dimensioni e complessità. Le modifiche poste all’articolo 4 del regolamento intendono garantire che il sistema dei controlli interni sia “proporzionato alla natura, alla portata e alla complessità dei rischi aziendali, attuali e prospettici, inerenti all’attività dell’impresa” e che i presidi relativi al sistema dei controlli interni e di gestione dei rischi coprano “ogni tipologia di rischio aziendale, anche secondo una visione prospettica e in considerazione della salvaguardia del patrimonio”.

In quest’ottica, un ruolo centrale è assunto dall’autovalutazione, sia statica sia prospettica, che ogni impresa è tenuta a effettuare sotto la propria responsabilità rispetto al proprio profilo di rischio, e che dovrà tenere conto di tutti quei fattori che possano pregiudicarne la stabilità, anche in un arco temporale di medio-lungo periodo (forward looking approach). 

Dall’esito di tale valutazione, a seconda della natura, della portata e della complessità dei rischi inerenti l’attività d’impresa individuati, la compagnia potrà discrezionalmente decidere di collocare organizzativamente la funzione di compliance in forma di specifica unità organizzativa, di fare ricorso a risorse appartenenti ad altre unità aziendali o di esternalizzarla. 

In ogni caso, la funzione di compliance risponderà all’organo amministrativo dovrà, possedere adeguati requisiti di indipendenza e dovrà essere collocata in modo da non dipendere da funzioni operative, da poter avere libero accesso a tutte le attività dell’impresa e a tutte le informazioni pertinenti. Dovrà inoltre disporre di risorse quantitativamente e professionalmente adeguate per lo svolgimento dei propri compiti.

Il responsabile della funzione dovrà possedere e conservare i requisiti di onorabilità, professionalità e indipendenza fissati dal consiglio di amministrazione e non dovrà essere posto a capo di aree operative o essere gerarchicamente dipendente da soggetti responsabili di dette aree. 

Scendendo nel concreto, tra i compiti principali affidati alla compliance vi è quello di identificare in via continuativa leggi, regolamenti o provvedimenti delle Autorità di vigilanza e norme di autoregolamentazione, prestando particolare attenzione alle norme relative alla trasparenza e correttezza dei comportamenti nei confronti degli assicurati e danneggiati, all’informativa precontrattuale e contrattuale, alla corretta esecuzione dei contratti, alla gestione dei sinistri e alla tutela del consumatore e alla valutazione del loro impatto sui processi e le procedure aziendali. 

La funzione è così chiamata a valutare l’adeguatezza e l’efficacia delle misure organizzative adottate per la prevenzione del rischio di non conformità alle norme, a proporre e programmare le modifiche organizzative e procedurali finalizzate ad assicurare un adeguato presidio del rischio e a controllare l’efficacia degli adeguamenti organizzativi conseguenti alle modifiche suggerite. 

La compliance deve inoltre predisporre adeguati flussi informativi diretti agli organi sociali dell’impresa e alle altre strutture coinvolte, garantendo la tempestività del reporting. Al fine di garantire un efficace monitoraggio dei rischi d’impresa, assumono particolare importanza tutte le forme di collaborazione, coordinamento e reporting tra le diverse funzioni di controllo coinvolte e tra queste e gli organi sociali nonché le modalità di interazione di queste ultime con le funzioni operative.

Nell’ambito del nuovo quadro normativo introdotto da Solvency II, le imprese sono dunque chiamate a compiere una verifica della propria struttura organizzativa in un’ottica di risk tollerance, al fine di valutare se la stessa sia idonea a garantire un adeguato monitoraggio dei rischi, implementando policy aziendali proporzionate e flussi di comunicazione e coordinamento efficaci e correggendo eventuali inefficienze o carenze nei controlli interni.