L’impatto del Regolamento n. 20 Isvap sul settore assicurativo
Milano, 26 novembre 2009 – Convegno ASSICURA
Jenny & Partners
Studio legale
Avv. Andrea Polizzi
Via Durini n. 27
20122 Milano
Tel. +39 02 778031
1
Fax +39 02 77803233
http: www.jenny.it
Regolamento Isvap n. 20 del 26 marzo 2008
•La ratio e le finalità dell'intervento regolamentare di Isvap in tema
di adeguatezza del sistemi dei controlli interni e di gestione dei
rischi
•Le disposizioni specifiche in materia di esternalizzazione di attività
•L’impatto del Regolamento Isvap sul settore assicurativo:
riflessioni ed esperienze applicative
2
La ratio e le finalità dell'intervento regolamentare
Il concetto di esternalizzazione e le condizioni
 Il Regolamento n. 20 Isvap è un regolamento composito che:
 da un lato, in materia di controlli interni e di gestione delle compagnie,
riproduce in larga parte il contenuto della “vecchia” circolare Isvap n. 577/D
del dicembre 2005;
 dall’altro lato, ha innovato introducendo, in particolare, l’istituzione di
un’apposita funzione compliance e - per ciò che interessa ai nostri fini oggi disciplinando per la prima volta in modo organico la materia dell’outsourcing.
Cosa si intende per outsourcing o esternalizzazione?
 Affidamento di attività d’impresa (i.e. attività della compagnie) o di fasi di esse
a soggetti giuridicamente autonomi, che possono o meno far parte del gruppo
assicurativo. Outsourcing, dunque, si ha anche in caso di affidamento di
attività a società del gruppo.
3
Le
disposizioni
specifiche
esternalizzazione di attività
in
materia
di
Il concetto di esternalizzazione e le condizioni (…segue)
 Le compagnie, ai sensi dell’art. 29 del Regolamento, possono concludere
accordi di esternalizzazione a condizione che la natura e la quantità delle
attività esternalizzate e le modalità della cessione non determinino lo
svuotamento dell’attività dell’impresa cedente (I condizione).
 In ogni caso non può essere esternalizzata l’attività di assunzione dei
rischi (II condizione).
 Il CdA definisce la politica di esternalizzazione dell’impresa con delibera che
include: a) i criteri di individuazione delle attività “cedute” in outsourcing; b) i
criteri di selezione dei fornitori sotto il profilo della professionalità,
dell’onorabilità e della capacità finanziaria; c) l’adozione di metodi per la
valutazione del livello delle prestazioni del fornitore (SLA, ovvero service level
agreement). L’esternalizzazione comunque non esonera CdA e alta direzione
dalle rispettive responsabilità.
4
Le
disposizioni
specifiche
esternalizzazione di attività
in
materia
di
Politica di esternalizzazione e scelta dei fornitori
 Se le imprese affidano a un terzo l’esecuzione di attività essenziali o
importanti, esse garantiscono che le modalità di esternalizzazione:
i) non rechino pregiudizio alla qualità del sistema di governance
dell’impresa;
ii) non compromettano la sana e prudente gestione dell’impresa
(risultati finanziari, stabilità e continuità);
iii) non compromettano la capacità dell’impresa di fornire un servizio
continuo e di qualità agli stakeholders (in primis assicurati e
danneggiati);
iv) non facciano aumentare in modo ingiustificato il rischio operativo.
 Gli accordi di esternalizzazione vanno formalizzati in forma scritta.
5
Le
disposizioni
specifiche
esternalizzazione di attività
in
materia
di
Quali sono gli elementi da soddisfare nello stipulare gli accordi di
esternalizzazione (art. 32 Regolamento)?
Chiara definizione dell’attività oggetto di “cessione”/outsourcing, delle modalità di
esecuzione e del corrispettivo; il contratto non può essere oggetto di subcessione
senza il consenso della compagnia;
il fornitore deve: i) svolgere le attività esternalizzate nel rispetto della normativa e
delle istruzioni dell’impresa; ii) informare la compagnia di qualsiasi fatto “impedente”;
iii) garantire la riservatezza dei dati relativi all’impresa e agli assicurati; iv) garantire
l’accesso pieno e immediato di Isvap ai locali/documenti;
l’impresa deve avere facoltà di controllo e accesso all’attività/documentazione del
fornitore; l’impresa deve poter recedere dal contratto senza oneri sproporzionati e
comunque deve poter recedere o modificare il contratto in caso di richiesta di Isvap.
Se oggetto di esternalizzazione sono le funzioni di revisione interna (internal audit),
risk management e compliance, le compagnie assicurano che siano definiti: a)
obiettivi, metodologie e frequenza dei controlli; b) modalità e frequenza dei rapporti
con il CdA e l’alta direzione; c) revisione dell’outsourcing in caso di mutamenti.
6
Le
disposizioni
specifiche
esternalizzazione di attività
in
materia
di
Le comunicazioni ad Isvap in caso di outsourcing
 In caso di esternalizzazione di attività essenziali/importanti le imprese ne
danno preventiva comunicazione ad Isvap almeno 45 gg. prima
dell’esecuzione del contratto, comunicando i dati relativi all’attività ceduta,
al fornitore, durata, etc. Le imprese comunicano ad Isvap la cessazione del
contratto di outsourcing, allegando una relazione sulle modalità di
reinternalizzazione o di affidamento ad altro fornitore.
 In caso di esternalizzazione delle funzioni di revisione interna, risk
management e compliance le imprese danno preventiva comunicazione
all’Isvap, allegando bozza del contratto. Al contratto può essere data
esecuzione trascorsi 60 gg. dalla ricezione da parte di Isvap della bozza
di contratto.
 Nel caso di esternalizzazione di attività diverse da quelle essenziali/importanti
(es. affidamento a terzi dei servizi di pulizia/sicurezza dei locali, formazione
del personale, di manutenzione, etc.) le imprese danno comunicazione
all’Isvap dei contratti stipulati in occasione dell’invio del bilancio di esercizio.
7
Controllo sulle attività esternalizzate
I controlli in caso di outsourcing
 Per le attività esternalizzate il sistema dei controlli interni garantisce controlli
analoghi a quelli delle attività non cedute. Pertanto, le imprese adottano idonei
presidi organizzativi e contrattuali con la funzione di monitorare le attività
esternalizzate (conformità a norme, direttive e procedure aziendali, rispetto
dei limiti operativi e soglie di tolleranza al rischio e predisposizione di piani di
emergenza e di re-internalizzazione in caso di necessità).
 Le compagnie individuano al loro interno uno o più responsabili delle attività di
controllo sulle attività esternalizzate e ne formalizzano compiti e responsabilità
(c.d. link auditor). Il numero dei link auditors deve essere adeguato alle attività
esternalizzate e, nel caso di “cessione” delle funzioni di revisione interna, risk
management e compliance deve trattarsi di soggetti con adeguate
caratteristiche di autorevolezza e indipendenza.
8
I contratti di outsourcing e le principali attività
In sintesi: cosa fare in caso di esternalizzazione?
Fase preliminare
Fase del “durante”
Si definisce la politica
di esternalizzazione, si
individuano le singole
attività da “cedere”, si
sceglie e verifica il
fornitore, si adottano
specifici
SLA,
si
elaborano
fallback
solutions
oltre
alle
comunicazioni ad Isvap
I
contratti
di
esternalizzazione
vengono stipulati in
forma scritta e si dà
corso da parte del
service provider allo
svolgimento
delle
attività “cedute”
Fase dei controlli
Adeguate
verifiche
sulle
attività
in
outsourcing,
monitoraggio
delle
modalità di attuazione
degli SLA, ruolo del
link auditor e verifica
continua sul durante
Il panorama internazionale
Le linee guida elaborate a livello internazionale
•
Nel mese di febbraio 2005 il Joint Forum istituito presso il Basel Committee on Banking
Supervision ha elaborato una relazione in tema di “Outsourcing in Financial Services”.
•
In considerazione del fatto che l’esternalizzazione di una o più funzioni aziendali può
potenzialmente determinare un trasferimento di rischi, di attività operative e di controlli
verso soggetti terzi (anche non sottoposti a vigilanza prudenziale), il Joint Forum ha
enucleato una serie di problematiche/quesiti:
 In presenza di outsourcing, in che modo il soggetto esternalizzante può conservare il
controllo dei propri rischi operativi, legali, reputazionali, ecc.?
 Come può il soggetto esternalizzante verificare in modo costante il proprio grado di
conformità alla normativa vigente? In che modo può dimostrare alle autorità di vigilanza
l’efficace adozione di presidi che consentano di monitorare costantemente le attività
esternalizzate, la loro conformità a norme di legge e regolamenti e alle direttive e
procedure aziendali, il rispetto dei limiti operativi e delle soglie di tolleranza al rischio
prefissate dal soggetto esternalizzante?
•
Al fine di fornire un ausilio per rispondere a tali domande, il Joint Forum ha istituito un
gruppo di lavoro per elaborare una serie di principi-guida in tema di outsourcing.
10
Il panorama internazionale
I principi-guida del Joint Forum: sintesi
1.
Il soggetto vigilato che intende esternalizzare una o più funzioni implementa una policy accurata che
detti gli elementi-guida per valutare la necessità e le modalità più efficaci ed efficienti per affidare a
terzi lo svolgimento di determinate attività. L’organo amministrativo è responsabile sia del contenuto
della policy, sia delle attività svolte in esecuzione della policy stessa.
2.
Il soggetto vigilato adotta un programma onmicomprensivo per la gestione dei rischi derivanti
dall’esternalizzazione; tale programma ha ad oggetto le attività esternalizzate ed i rapporti con i
service providers.
3.
Il soggetto vigilato assicura che la conclusione di contratti di outsourcing non comprometta la propria
capacità di adempiere esattamente gli obblighi assunti nei confronti della clientela e delle autorità di
vigilanza, né pregiudichi l’efficace svolgimento della vigilanza da parte delle autorità preposte.
4.
Il soggetto vigilato svolge un’adeguata attività di due diligence per la selezione dei service providers.
5.
Gli accordi di esternalizzazione sono formalizzati in forma scritta con una chiara definizione
dell’attività oggetto della cessione, delle modalità di esecuzione e delle responsabilità di ciascuna
delle parti.
11
Il panorama internazionale
I principi-guida del Joint Forum: sintesi (segue)
6.
Il soggetto vigilato ed i suoi service providers istituiscono e mantengono idonee misure per
assicurare la continuità delle attività in caso di interruzione del servizio reso dal fornitore, inclusi
adeguati piani di emergenza per il disaster recovery e test periodici sui presidi di backup.
7.
Il soggetto vigilato intraprende misure adeguate per imporre ai service providers la tutela della
riservatezza delle informazioni riguardanti sia il soggetto esternalizzante che i suoi clienti, rispetto a
rischi di diffusione o rivelazione intenzionale e/o casuale a persone non autorizzate.
8.
Le autorità di vigilanza considerano l’esternalizzazione come una parte integrante dei propri ambiti di
verifica sui soggetti vigilati. Esse si assicurano che gli accordi di esternalizzazione non pregiudichino
la capacità dei soggetti vigilati di adempiere i propri obblighi regolamentari.
9.
Le autorità di vigilanza sono consapevoli dei potenziali rischi che sorgono nel caso in cui le attività o
funzioni di pertinenza di una pluralità di soggetti vigilati siano affidate ad un limitato numero di service
providers.
12
L’impatto del Regolamento Isvap sul settore
assicurativo: riflessioni ed esperienze applicative
Aspetti applicativi nei contratti di outsourcing intercompany:
la pattuizione del corrispettivo
a)
I principi fondamentali da osservarsi in sede di redazione delle clausole sul corrispettivo possono essere sintetizzati
come segue:
effettività: i servizi fatturati da parte dell’outsourcer devono essere stati effettivamente prestati; devono essere
precostituiti elementi probatori univoci che dimostrino l’attività svolta.

a)
b)
c)
In caso di mancata osservanza del principio di effettività, conseguenze civili e penali per indebito
arricchimento e falsa fatturazione!
dimostrabilità: per ciascun servizio effettivamente reso deve essere confezionata e conservata adeguata
documentazione probatoria (email, slides, documenti, ecc.), al fine di poter dimostrare ex post che l’attività è stata
svolta e, pertanto, è idonea a giustificare il pagamento del corrispettivo pattuito. Inoltre, i meccanismi di calcolo del
corrispettivo devono essere prestabiliti in forma scritta;
utilità: i servizi resi devono recare un’utilità concreta alla società fruitrice; difatti ogni maggior onere sostenuto deve
necessariamente tradursi in un maggior vantaggio patrimoniale acquisito;
equità: nonostante le parti di un contratto siano in linea di principio libere di determinare l’importo dovuto a titolo di
corrispettivo dell’attività svolta, trovano comunque applicazione i criteri di correttezza e trasparenza. Pertanto,
l’ammontare dei corrispettivi fatturati deve essere equo e conforme alle condizioni di mercato.

Attenzione ai profili di cd. “transfer pricing” e alla corretta applicazione dei principi IAS in tema di
rapporti con parti correlate.
13
L’impatto del Regolamento Isvap sul settore
assicurativo: riflessioni ed esperienze applicative
Aspetti applicativi nei contratti di outsourcing intercompany:
la revisione del corrispettivo
•
Sostanziale legittimità della pattuizione di clausole di revisione del corrispettivo inserite in contratti di
outsourcing (cfr. art. 1664 c.c. in tema di onerosità o difficoltà nell’esecuzione di contratti di appalto)
•
i.
Tuttavia, in un’ottica di equità, la richiesta di revisione del corrispettivo dovrebbe essere:
condizionata al ricorrere di eventi dimostrabili e imprevedibili o sopravvenuti (p.es. mutamenti
normativi significativi, modifiche rilevanti dell’operatività e dell’organizzazione del prestatore o del
fruitore, particolari difficoltà sopravvenute nell’esecuzione dei servizi o l'intensificazione degli stessi in
ragione delle esigenze organizzative o commerciali di una delle parti);
ii. fondata su un aumento o una diminuzione oggettiva ed adeguatamente documentata dei costi
sostenuti dal prestatore per l'esecuzione dei servizi. Al fine di mantenere l’equilibrio tra i costi ed i
benefici delle parti, potrebbe altresì valutarsi di prevedere un limite entro il quale i maggiori costi
restano in ogni caso a carico del prestatore, quale conseguenza del rischio di impresa (p.es. solo i
costi eccedenti a X% danno diritto ad ottenere una revisione del corrispettivo);
iii. bidirezionale, ossia poter essere avanzata sia dal prestatore dei servizi per ottenere un incremento
del proprio corrispettivo, sia dal fruitore per richiedere una diminuzione;
iv. retta dal principio del contraddittorio e della dialettica contrattuale (p.es. previsione di una procedura
per la rinegoziazione, della quale tenere traccia documentale per garantire la trasparenza, la
certezza e la dimostrabilità dell’intero processo).
14
Avv. Andrea Polizzi
Partner
Jenny & Partners
Studio legale
Via Durini n. 27
20122 Milano
Tel.: +39 02 778031
Fax: +39 02 77803233
E-mail: [email protected]
15