Continuiamo la serie di articoli sui requisiti della compliance analizzando gli obblighi che derivano dalla Circolare N. 577/D del 30 dicembre 2005 dell’ISVAP.
In questa prima parte vedremo i requisiti relativi al sistema dei controlli interni; nella seconda parte analizzeremo le problematiche relative alla gestione dei rischi
A fine 2005, l’ISVAP l’organo di controllo delle imprese assicuratrici ha emanato la “Circolare N. 577/D” (pdf, 149 K) denominata “Disposizioni in materia di sistema dei controlli interni e gestione dei rischi”.
Le disposizioni si applicano alle imprese di assicurazione e riassicurazione con sede legale in Italia o con sedi secondarie in Italia e sede legale in uno Stato terzo rispetto allo S.E.E. (Spazio Economico Europeo).
Le imprese sono tenute ad adeguarsi alla presente circolare entro il 30 giugno 2006.

I principi

L’articolo 1 chiarisce subito la finalità del documento ed i principi a cui si ispira: “La solvibilità delle imprese di assicurazione, la necessità di assicurarne la sana e prudente gestione, e con esse la stabilità del settore assicurativo, non possono prescindere da un solido governo societario e dal buon funzionamento del sistema dei controlli interni e di gestione dei rischi.”
È necessario quindi che agli strumenti prudenziali di tipo quantitativo già in uso presso le compagnie assicuratrici (accantonamenti tecnici a fronte degli impegni assunti, requisiti patrimoniali minimi) siano affiancati da requisiti qualitativi di gestione che assicurino una adeguata governance, efficaci ed efficienti sistemi di controllo interno e di individuazione, valutazione e controllo dei rischi.

Il sistema dei controlli interni

Il sistema dei controlli interni è costituito dall’insieme delle regole, delle procedure e delle strutture organizzative volte ad assicurare il corretto funzionamento ed il buon andamento dell’impresa e a garantire, con un ragionevole margine di sicurezza:

• l’efficienza e l’efficacia dei processi aziendali;
• un adeguato controllo dei rischi;
• l’attendibilità e l’integrità delle informazioni contabili e gestionali;
• la salvaguardia del patrimonio;
• la conformità dell’attività dell’impresa alla normativa vigente, alle direttive e alle
• procedure aziendali.

Il sistema dei controlli interni richiede un continuo processo di attività, svolte, con diversi ruoli, dal:

• Consiglio di amministrazione,
• l’Alta direzione,
• Collegio sindacale
• Personale tutto

Per “Alta direzione” si intende l’Amministratore delegato, il Direttore Generale, nonché l’Alta dirigenza che svolge compiti di sovrintendenza gestionale.

Check list per la compliance

Il Consiglio di amministrazione

Il CDA ha la responsabilità ultima del sistema dei controlli interni; può costituire un Comitato di controllo interno, composto da amministratori non esecutivi, preferibilmente indipendenti ex art. 2387 c.c., al quale affidare funzioni consultive e propositive

• Con quali modalità il CDA si assicura della costante completezza, funzionalità ed efficacia, anche con riferimento alle funzioni esternalizzate, del sistema dei controlli interni?
• Con quali modalità il CDA si assicura che il sistema di gestione dei rischi consenta la identificazione, la valutazione e il controllo dei rischi maggiormente significativi?
• Il CDA ha costituito un Comitato di controllo interno? In che misura sono presenti amministratori non esecutivi, preferibilmente indipendenti ex art. 2387 c.c?
• Con quali modalità il CDA promuove un alto livello di integrità e una “cultura del controllo” tale da sensibilizzare l’intero personale sull’importanza e utilità dei controlli interni?
• Il CDA ha approvato il piano di audit?
• Il CDA ha approvato il piano strategico sulla tecnologia della informazione e comunicazione (ICT), volto ad assicurare l’esistenza e il mantenimento di una architettura complessiva dei sistemi altamente integrata sia dal punto di vista applicativo che tecnologico e adeguata ai bisogni dell’impresa?

L’Alta direzione

L’Alta direzione (AD) è responsabile dell’attuazione, del mantenimento e del monitoraggio del sistema dei controlli interni e di gestione dei rischi, in conformità con le direttive del Consiglio di amministrazione.

• In che modo l’AD vigila sull’adeguatezza dell’assetto organizzativo, amministrativo e contabile adottato dalla società e sul suo concreto funzionamento?
• In che modo l’AD si assicura che il CDA abbia una conoscenza completa dei fatti aziendali rilevanti, anche attraverso la predisposizione di un’adeguata reportistica?

Collegio sindacale

• Il Collegio sindacale ha acquisito, all’inizio del mandato, conoscenze sull’assetto organizzativo aziendale ed esaminato i risultati del lavoro della società di revisione per la valutazione del sistema di controllo interno e del sistema amministrativo contabile?
• Ha verificato l’idoneità della definizione delle deleghe, nonché l’adeguatezza dell’assetto organizzativo prestando particolare attenzione alla separazione di responsabilità nei compiti e nelle funzioni?
• Ha valutato l’efficienza e l’efficacia del sistema dei controlli interni, con particolare riguardo all’operato della funzione di revisione interna della quale deve verificare la sussistenza della necessaria autonomia, indipendenza e funzionalità; nell’ipotesi in cui tale funzione sia stata ceduta in outsourcing valuta il contenuto dell’incarico sulla base del relativo contratto?
• Ha mantenuto adeguato collegamento con la funzione di revisione interna?
• Ha curato il tempestivo scambio con la società di revisione dei dati e delle informazioni rilevanti per l’espletamento dei propri compiti, esaminando anche le periodiche relazioni della società di revisione?
• Ha segnalato al Consiglio di amministrazione le eventuali anomalie o debolezze dell’assetto organizzativo e del sistema dei controlli interni indicando e sollecitando idonee misure correttive? Nel corso del mandato ha pianificato e svolge, anche coordinandosi con la società di revisione, periodici interventi di vigilanza volti ad accertare se le carenze e/o anomalie segnalate siano state superate e se, rispetto a quanto verificato all’inizio del mandato, siano intervenute significative modifiche dell’operatività della società che impongano un adeguamento dell’assetto organizzativo e del sistema dei controlli interni?
• In caso di società appartenenti al medesimo gruppo ha assicurato i collegamenti funzionali ed informativi con i collegi sindacali delle altre imprese?
• Conserva una adeguata evidenza delle osservazioni e delle proposte formulate e della successiva attività di verifica dell’attuazione delle eventuali misure correttive?

Relazioni con il d. lgs. 231/2001

• L’impresa ha adottato un codice etico che definisca le regole comportamentali, disciplini le situazioni di potenziale conflitto di interesse e preveda azioni correttive adeguate, nel caso di deviazione dalle direttive e procedure approvate dal vertice o di infrazione della normativa vigente e dello stesso codice etico?.

Flussi informativi e canali di comunicazione

L’impresa deve possedere informazioni, contabili e gestionali, che garantiscano adeguati processi decisionali e consentano di definire e valutare se siano stati raggiunti gli obiettivi strategici fissati dal Consiglio di amministrazione in modo da sottoporli ad eventuale revisione.

• In che modo il Sistema dei Controlli Interni (SCI) garantisce che le informazioni contabili e gestionali siano accurate, complete, tempestive, coerenti, trasparenti pertinenti?
• In che modo il SCI garantisce che le informazioni dirette a terzi, quali l’Autorità di vigilanza, gli assicurati, il mercato siano attendibili, tempestive, pertinenti e comunicate in maniera chiara ed efficace?
• In che modo il SCI garantisce il sistema delle rilevazioni contabili e gestionali interne registri correttamente i fatti di gestione e fornisca una rappresentazione corretta e veritiera della situazione patrimoniale, finanziaria ed economica dell’impresa e in conformità con le leggi e la normativa secondaria in vigore?

I Sistemi informatici

I sistemi informatici devono essere appropriati rispetto alle dimensioni e all’attività dell’impresa e devono fornire informazioni, sia all’interno che all’esterno, accurate, complete, tempestive, coerenti, trasparenti pertinenti.

• Gli ambienti di sviluppo e di produzione sono separati?
• Gli accessi ai diversi ambienti sono regolamentati e controllati attraverso procedure disegnate tenendo conto dell’esigenza di limitare i rischi di frode derivanti da intrusioni esterne o da infedeltà del personale?
• Le procedure garantiscono la sicurezza logica dei dati trattati, restringendo, in particolare per l’ambiente di produzione, l’accesso ai dati stessi a soggetti autorizzati e prevedono che tutte le violazioni vengano evidenziate; le procedure sono soggette a verifiche da parte della funzione di revisione interna?
• Le procedure per l’approvazione e l’acquisizione dell’hardware e del software, nonché per la cessione all’esterno di determinati servizi, sono formalizzate?
• Sono adottate procedure che assicurino la sicurezza fisica dell’hardware, del software e delle banche dati, anche attraverso procedure di disaster recovery e back up?
• Al fine di garantire la continuità dei processi dell’organizzazione, sono adottate e documentate procedure e standard operativi orientati alla individuazione e gestione degli eventi che possono pregiudicare la continuità del business, quali:
• eventi imprevisti (black-out, incendi, allagamenti etc.)
• malfunzionamenti dei componenti hardware e software;
• errori operativi da parte del personale incaricato della gestione dei sistemi o da parte degli utenti;
• introduzione involontaria di componenti dannosi per il sistema informativo e di rete;
• atti dolosi miranti a ridurre la disponibilità delle informazioni?
• In caso di fusioni, acquisizioni di portafoglio o operazioni simili, è stato predisposto un piano di integrazione dei sistemi informatici nel quale sono specificati:
• ambiti, funzioni, procedure, applicazioni e basi dati interessate dal processo di integrazione;
• la tempistica associata a ciascuna fase dell’integrazione con particolare riguardo alla migrazione delle basi dati e alle date a partire dalle quali l’integrazione dei portafogli (premi, sinistri etc.) sarà completata;
• le unità e i presidi organizzativi ai quali sono affidati i controlli ed il monitoraggio dell’intero processo di integrazione?

Sistema dei controlli interni e attività aziendali affidate in outsourcing

L’esternalizzazione di funzioni aziendali può implicare rischi aggiuntivi per l’impresa che devono essere controllati e gestiti in maniera adeguata. Relativamente a tali funzioni il sistema dei controlli interni deve garantire controlli di standard analoghi a quelli che sarebbero attuati se l’attività fosse svolta direttamente dall’impresa.

• L’impresa ha adottato idonei presidi organizzativi e contrattuali che consentano di monitorare costantemente le attività esternalizzate, la loro conformità a norme di legge e regolamenti e alle direttive e procedure aziendali, il rispetto dei limiti operativi e delle soglie di tolleranza al rischio fissate dall’impresa e di intervenire tempestivamente ove l’outsourcer non rispetti gli impegni assunti o la qualità del servizio fornito sia carente?
• È stato chiaramente individuato all’interno dell’impresa il/i responsabile/i di tali attività di controllo?

Revisione interna (o "internal auditing")

La funzione di revisione interna ha lo scopo di monitorare e valutare l’efficacia e l’efficienza del sistema dei controlli interni anche attraverso attività di supporto e di consulenza alle altre funzioni aziendali.

• La funzione di revisione interna (IA) ha uniformato la propria attività agli standard professionali comunemente accettati a livello nazionale ed internazionale?
• L’IA verifica:
• i processi gestionali e le procedure organizzative?
• la regolarità e la funzionalità dei flussi informativi tra settori aziendali?
• l’adeguatezza dei sistemi informativi e la loro affidabilità affinché non sia inficiata la qualità delle informazioni sulle quali il vertice aziendale basa le proprie decisioni?
• la rispondenza dei processi amministrativo contabili a criteri di correttezza e di regolare tenuta della contabilità?
• l’efficienza dei controlli svolti sulle attività cedute in outsourcing?
• L’IA ha pianificato l’attività in modo da identificare le aree da sottoporre prioritariamente ad audit?
• Il piano di audit è stato sottoposto all’approvazione del CDA?

• Il piano di audit individua:
•  le attività a rischio,
• le operazioni e i sistemi da verificare,
• la frequenza dell’audit
• le risorse necessarie all’esecuzione del piano?

• L’IA ha proceduto, secondo le modalità e la periodicità fissata dall’organo consiliare, a comunicare al CDA, all’Alta direzione ed al Collegio sindacale la valutazione delle risultanze e le eventuali disfunzioni e criticità; resta fermo l’obbligo di segnalare con urgenza al Consiglio e al Collegio sindacale le situazioni di particolare gravità?
• I rapporti di IA sono conservati presso la sede della società?
• È stata svolta l’attività di follow-up, ossia la verifica a distanza di tempo dell’efficacia delle correzioni apportate al sistema?
• Nel caso di imprese nelle quali la revisione interna sia stata affidata in outsourcing il relativo contratto regola i seguenti aspetti:
• obiettivi, metodologie e frequenza dei controlli;
• modalità e frequenza dei rapporti con il Consiglio di amministrazione e l’Alta direzione;
• possibilità di riconsiderare le condizioni del servizio al verificarsi di modifiche di rilievo nell’operatività e nell’organizzazione della impresa di assicurazione;
• accesso completo ed immediato dell’ISVAP all’attività ed alla documentazione prodotta dai soggetti terzi?

Indice del documento

PARTE I - DISPOSIZIONI DI CARATTERE GENERALE
Art.1 Premessa
Art.2 Ambito di applicazione
Art.3 Definizione del sistema dei controlli interni
PARTE II - SISTEMA DEI CONTROLLI INTERNI E GESTIONE DEI RISCHI: RUOLO
DEGLI ORGANI SOCIALI
Art.4 Consiglio di amministrazione
Art.5 Comitato di controllo interno
Art.6 Alta direzione
Art.7 Collegio sindacale
PARTE III - COMPONENTI DEL SISTEMA DEI CONTROLLI INTERNI
Art.8 Cultura del controllo
Art.9 Attività di controllo e separazione dei compiti
Art.10 Flussi informativi e canali di comunicazione
Art.11 Sistema dei controlli interni e attività aziendali affidate in outsourcing
Art.12 Monitoraggio e revisione interna
Art.13 Collaborazione tra funzioni e organi deputati al controllo
PARTE IV - GESTIONE DEI RISCHI
Art.14 Obiettivi del sistema di gestione dei rischi
Art.15 Individuazione e valutazione dei rischi
Art.16 Stress test
Art.17 Funzione di risk management
PARTE V - CONTROLLO INTERNO E GRUPPI ASSICURATIVI
Art.18 Controllo interno e gruppi assicurativi
PARTE VI - COMUNICAZIONI ALL’ISVAP E DISPOSIZIONI FINALI
Art. 19 Comunicazioni all’ISVAP
Art. 20 Disposizioni finali

Leggi seconda parte: la gestione dei rischi

Chi è Cristina Cellucci?

Cristina  è Internal Audit presso un primario gruppo bancario nazionale.

IsacaRoma Neswletter link

• Compliance: gli obblighi per le SGR
• Sicurezza e Compliance – l’analisi dei rischi 
• Sicurezza e Compliance – prima parte: il quadro di riferimento
• Compliance: primo schema di Istruzioni di vigilanza di Banca d’Italia
  
• Incontro sulla Compliance – resoconto (prima parte) 
• Sicurezza e Compliance: quando il gioco si fa duro 
• Incontro sulla Compliance 
• KPMG: nuove sfide per la sicurezza delle informazioni