Il 19 luglio 2017 IVASS ha pubblicato sul proprio sito il documento di consultazione n. 2/2017 che contiene lo schema di regolamento in materia di sistema di governo societario delle imprese di assicurazioni e dei gruppi in attuazione delle disposizioni del Codice delle Assicurazioni (come modificato a seguito dell’attuazione di Solvency II) e delle linee guida EIOPA.
Il regolamento si propone di consolidare (modificandole) le disposizioni precedentemente contenute nel regolamento 20/2008 (in materia di controlli interni, gestione dei rischi, compliance ed esternalizzazione), nel regolamento 49/2011 (in materia di politiche di remunerazione) e nella circolare 574/2005 (in materia di riassicurazione passiva).
Eventuali osservazioni e commenti allo schema in esame potranno essere inviati ad IVASS entro il 17 ottobre 2017.
(i) Obiettivo principale delle nuove disposizioni
Come si legge nella relazione di accompagnamento allo schema di regolamento, lo scopo principale delle nuove disposizioni è quello di rafforzare i requisiti qualitativi di gestione dell’impresa, per quanto l’approccio seguito dall’autorità di vigilanza sia stato dichiaratamente di tipo conservativo, volto a salvaguardare il più possibile la struttura e l’impianto (tra gli altri) del regolamento 20/2008.
(ii) A chi si applicheranno le nuove disposizioni
Il nuovo regolamento (una volta approvato) si applicherà alle imprese di assicurazione e di riassicurazione italiane, alle sedi secondarie di imprese con sede legale in uno Stato terzo e alle ultime società controllanti italiane. Nella relazione di accompagnamento si legge che le sedi secondarie di imprese di Stati terzi sono state mantenute nell’ambito di applicazione dello schema di regolamento in attesa di una più compiuta definizione del quadro regolamentare.
(iii) L’articolazione del nuovo regolamento e le macro aree trattate
La bozza del nuovo regolamento si compone di 97 articoli suddivisi in 4 parti (oltre che di 3 titoli, vari capi e sezioni) come segue: Parte I, disposizioni generali, Parte II, sistema di governo societario, Parte III, sistema di governo societario di gruppo, Parte IV, disposizioni finali. Le principali macro aree disciplinate dal nuovo regolamento sono: (1) governo societario dell’impresa e del gruppo (ruolo degli organi sociali, adeguatezza della struttura organizzativa, controllo interno, gestione dei rischi e requisiti degli esponenti aziendali), (2) riassicurazione e tecniche di mitigazione del rischio; (3) funzioni fondamentali del governo societario (gestione dei rischi, verifica di conformità alle norme e revisione interna e funzione attuariale), (4) politiche di remunerazione; (5) esternalizzazione di attività essenziali, importanti e/o fondamentali.
(iv) Alcune delle principali novità
(a) Proporzionalità
Per la prima volta vengono offerti dall’autorità di vigilanza (al fine di stimolare il confronto con il mercato sul tema) alcuni criteri/indici per valutare il profilo di rischio di un’impresa e quindi l’applicazione proporzionata a tale profilo delle disposizioni del nuovo regolamento, fermo restando che sarà comunque responsabilità dell’impresa adottare il modello di governance effettivamente più idoneo rispetto alle esigenze concrete di sana e prudente gestione. Tra gli indicatori di rischio accentuato sono annoverati: l’ adozione di un modello interno, l’utilizzo di derivati o di attivi illiquidi; l’esercizio congiunto dei rami danni e vita; la commercializzazione di prodotti complessi o che presentano un elevato rischio di sottoscrizione o elevata volatilità. Sono invece considerati fattori di rischio contenuto : l’adozione di strategie non complesse di gestione degli attivi; l’operatività in un solo ramo (vita o danni); l’ attività limitata al territorio nazionale; la distribuzione di prodotti standardizzati.
(b) Governo societario e organi sociali
In luogo del riferimento al “sistema di controlli interni e gestione dei rischi” è stato introdotto il più ampio concetto di governo societario la cui struttura dovrà essere proporzionata alla natura, portata e complessità dei rischi aziendali, attuali e prospettici. Sono stati ridefiniti i compiti dei diversi organi (organo amministrativo, comitato per il controllo interno e i rischi, alta direzione e organo di controllo). Il ruolo del presidente dell’organo consiliare è stato rivisto per assicurare “l’allineamento” della disciplina assicurativa con la disciplina bancaria.
Rispetto al regolamento 20/2008 : (i) è stato rafforzato il ruolo propulsivo dell’ organo amministrativo e, al tempo stesso, di coordinamento delle varie funzioni aziendali. Spetta ora all’organo amministrativo evitare la sovrapposizione degli incarichi assegnati alle predette funzioni, definire il sistema degli obiettivi di rischio e del fabbisogno di solvibilità, approvare la politica di gestione del capitale, assicurare la presenza di membri indipendenti, privi di deleghe esecutive, all’interno del consiglio di amministrazione, etc., nonchè la revisione periodica annuale del sistema di governo; (ii) viene ora prevista l’obbligatoria costituzione del comitato per il controllo interno ed i rischi, sempre che ciò sia appropriato in relazione alla natura, portata e complessità dell’attività d’impresa e dei rischi da questa assunti e tenuto conto della presenza, in maggioranza, di amministratori non esecutivi e indipendenti, ai quali affidare funzioni conoscitive, consultive e propositive.
Rimangono pressochè immodificate le funzioni attribuite all’alta direzione e all’organo di controllo.
(c) Sistema di controllo interno
L’articolo 16 è specificamente dedicato ai sistemi informatici ed alla cyber security la cui disciplina è stata ampiamente rivista a dimostrazione dell’attenzione posta dall’autorità di vigilanza al tema. L’organo amministrativo dovrà predisporre (tra le altre) la politica di data governance da coordinare con la politica delle informazioni statistiche. Eventuali gravi incidenti di sicurezza informatica dovranno essere tempestivamente comunicati ad IVASS.
(d) Sistema di gestione dei rischi
Negli articoli 19 e 83 è contenuta una disciplina di dettaglio del piano di emergenza rafforzato a livello di gruppo.
(e) Riassicurazione ed altre tecniche di mitigazione del rischio
Il termine di 4 mesi per la formalizzazione dei rapporti contrattuali è stato esteso a 6 nel caso di contratti di riassicurazione aventi ad oggetto linee di attività peculiari. Non è più previsto l’obbligo di predisposizione e trasmissione ad IVASS del piano delle cessioni e delle comunicazioni sui rischi catastrofali.
(f) Politica di gestione del capitale
Il regolamento prevede, tra le altre novità, che l’impresa debba dotarsi di un piano di gestione del capitale a medio termine, di durata almeno triennale, che garantisca adeguati e duraturi livelli di patrimonializzazione dell’impresa, soggetto all’approvazione da parte dell’organo ammnistrativo che ne dovrà verificare l’adeguatezza e l’aggiornamento nel tempo.
(g) Funzioni fondamentali
In base all’articolo 26, l’organo amministrativo individua con apposita delibera le funzioni fondamentali in modo proporzionato alla natura, portata e complessità dei rischi e ne identifica ruoli e responsabilità. Le quattro principali funzioni fondamentali sono: gestione dei rischi, conformità alle norme; revisione interna e funzione attuariale. La collocazione organizzativa delle funzioni è lasciata all’autonomia dell’impresa ma dovranno esserne comunque garantite l’indipendenza e l’autonomia. La funzione attuariale potrà essere costituita in forma di specifica unità organizzativa. Analogamente a quanto già previsto per la funzione di compliance, tanto la funzione di gestione dei rischi quanto la funzione attuariale potranno essere affidate ad un amministratore (privo di deleghe.). Sono stati dettagliati il ruolo della funzione di gestione dei rischi e della funzione di compliance mentre sono stati accentuati i presidi di indipendenza della funzione di revisione interna (che, in via generale, non potrà essere affidata a persone appartenenti ad altre unità e/o ad amministratori).
(h) Funzione attuariale
In linea di continuità con l’articolo 30-sexies del Codice delle assicurazioni sono state introdotte alcune previsioni relative alla funzione attuariale, volte a definirne in via principale il ruolo e i compiti, non solo di coordinamento e calcolo delle riserve tecniche, ma anche, tra le altre, di verifica della politica di sottoscrizione globale dell’impresa e di adeguatezza degli accordi di riassicurazione.
(i) Politiche di remunerazione
E’ stato ribadito il principio che le politiche di remunerazione devono essere coerenti con la sana e prudente gestione dell’impresa ed in linea con gli obiettivi strategici, la redditività e l’equilibrio nel lungo termine dell’impresa medesima. E’ inoltre prevista, ove appropriata in relazione alla natura, portata e complessità dell’attività d’impresa e ai rischi inerenti, la costituzione di un comitato delle remunerazioni, all’interno del consiglio di amministrazione, composto da amministratori non esecutivi e per la maggior parte indipendenti.
(l) Esternalizzazione
Le maggiori novità rispetto al regolamento 20/2008 in materia di accordi di esternalizzazione attengono, innanzitutto, alla classificazione delle attività esternalizzabili in attività: (i) essenziali, (ii) importanti e (iii) fondamentali.
In quest’ultima categoria ricadono le funzioni di revisione interna, di verifica della conformità, di gestione dei rischi ed attuariale. Viene confermato il divieto di esternalizzazione dell’attività di assunzione dei rischi, tra le attività considerate essenziali o importanti, di cui all’articolo 29, comma 2, del regolamento 20/2008, divieto che già in passato ha suscitato ben più di una perplessità, anche alla luce delle linee guida Eiopa 45/2013 relative al sistema di governance delle imprese di assicurazione.
Sotto il profilo più squisitamente procedurale, se da un lato vengono confermati gli obblighi preventivi di comunicazione ad IVASS degli accordi di esternalizzazione delle funzioni essenziali o importanti e di quelle fondamentali, vengono previsti dall’altro vari presidi organizzativi e contrattuali, volti a monitorare costantemente le attività esternalizzate, la loro conformità alle disposizioni di legge e di regolamento, alle direttive e alle procedure aziendali, ai limiti di rischio e tolleranza fissati dall’impresa dei quali è responsabile, in ultima analisi, l’organo amministrativo. L’organo amministrativo oltre ad approvare le politiche di esternalizzazione è altresì chiamato ad approvare quelle di sub-esternalizzazione, non contemplate dal precedente regolamento.
Rimangono ovviamente fermi i poteri dell’IVASS di vietare l’esternalizzazione qualora, ad esempio, il fornitore non abbia i requisiti previsti dal testo del documento in consultazione.
(m) Sistema di governo societario di gruppo
Rispetto al regolamento 20/2008 è stata estesa la definizione di gruppo, fino a ricomprendervi tutte le società controllate, partecipate e soggette a direzione unitaria, indipendentemente dall’attività esercitata (in contrasto con la precedente definizione che faceva riferimento al gruppo assicurativo come risultante dall’Albo Gruppi istituito da IVASS). I principi di cui ai paragrafi che precedono applicabili alle imprese trovano applicazione nei confronti del gruppo.
IVASS ha espressamente sollecitato il contributo del mercato rispetto a varie disposizioni dello schema in esame, a titolo di esempio, con riferimento all’applicazione del principio di proporzionalità al comitato per il controllo interno ed i rischi, alla funzione di compliance, alla funzione di revisione interna, al comitato remunerazioni ed all’esternalizzazione delle funzioni fondamentali. Si tratta certamente di un’occasione importante da cogliere al fine di contribuire alla creazione di un sistema di norme coerente ed in linea con gli altri paesi europei.