Con lettera al mercato dell’11 marzo 2025, IVASS ha definito le proprie aspettative di vigilanza in materia di esternalizzazione.
L’iniziativa di IVASS segue le recenti verifiche di vigilanza che hanno evidenziato come le imprese di assicurazione ricorrono in modo sempre più crescente all’esternalizzazione di attività e processi aziendali, destando consequenziali preoccupazioni in termini di possibili incremento del rischio operativo o di “svuotamento” della struttura organizzativa dell’impresa.
Inoltre, con specifico riferimento all’esternalizzazione di servizi ICT, la tematica si interseca necessariamente con i profili di gestione del rischio di terze parti, le policy e le misure di governance richieste dal Regolamento DORA, applicabile anche per le imprese di assicurazione dal 17 gennaio 2025.
Il corso, dopo aver approfondito il framework normativo di riferimento, tra cui il Regolamento DORA, ed alla luce delle recenti aspettative IVASS, fornirà indicazioni utili, fra le altre, sulle misure di governance da implementare, le possibili revisioni delle policy aziendali in materia di outsourcing, nonché sui presidi di controllo funzionali al contenimento del rischio operativo.
Tematiche oggetto di attenzione e discussione
- La nozione di outsourcing in ambito assicurativo: framework normativo di riferimento e normativa di vigilanza
- Le aspettative di vigilanza IVASS 11 marzo 2025 in materia di esternalizzazioni
- La politica sull’esternalizzazione delle funzioni/attività e la scelta dei fornitori
- L’individuazione delle funzioni/attività essenziali o importanti e fondamentali
- (segue) il perimetro applicativo delle presunzioni di cui alle aspettative di vigilanza IVASS
- Il ruolo dell’organo amministrativo nel processo decisionale
- I requisiti di idoneità dei responsabili delle attività di controllo su funzioni/attività essenziali o importanti esternalizzate
- Il processo di analisi per la conclusione dell’accordo di esternalizzazione: le tipologie di rischio da considerare
- (segue) il caso delle esternalizzazioni infragruppo
- Il contenuto dei contratti di outsourcing: l’inserimento di SLA (livelli di servizio), KPI (indicatori di performance) e limitazioni alle catene di subfornitori
- Le comunicazioni “preventive” e quelle “tempestive” dovute a IVASS in materia di esternalizzazioni
- I presidi di controllo e monitoraggio dell’attività/funzione esternalizzata
- L’analisi dei rischi nell’ambito dei controlli periodici: l’approccio risk based
- Le specificità in caso di esternalizzazioni dei servizi ICT
- La reportistica annuale al C.d.A. sui risultati degli accordi di esternalizzazione