L’impatto del Regolamento n. 20 Isvap sul settore assicurativo Milano, 26 novembre 2009 – Convegno ASSICURA Jenny & Partners Studio legale Avv. Andrea Polizzi Via Durini n. 27 20122 Milano Tel. +39 02 778031 1 Fax +39 02 77803233 http: www.jenny.it Regolamento Isvap n. 20 del 26 marzo 2008 •La ratio e le finalità dell'intervento regolamentare di Isvap in tema di adeguatezza del sistemi dei controlli interni e di gestione dei rischi •Le disposizioni specifiche in materia di esternalizzazione di attività •L’impatto del Regolamento Isvap sul settore assicurativo: riflessioni ed esperienze applicative 2 La ratio e le finalità dell'intervento regolamentare Il concetto di esternalizzazione e le condizioni Il Regolamento n. 20 Isvap è un regolamento composito che: da un lato, in materia di controlli interni e di gestione delle compagnie, riproduce in larga parte il contenuto della “vecchia” circolare Isvap n. 577/D del dicembre 2005; dall’altro lato, ha innovato introducendo, in particolare, l’istituzione di un’apposita funzione compliance e - per ciò che interessa ai nostri fini oggi disciplinando per la prima volta in modo organico la materia dell’outsourcing. Cosa si intende per outsourcing o esternalizzazione? Affidamento di attività d’impresa (i.e. attività della compagnie) o di fasi di esse a soggetti giuridicamente autonomi, che possono o meno far parte del gruppo assicurativo. Outsourcing, dunque, si ha anche in caso di affidamento di attività a società del gruppo. 3 Le disposizioni specifiche esternalizzazione di attività in materia di Il concetto di esternalizzazione e le condizioni (…segue) Le compagnie, ai sensi dell’art. 29 del Regolamento, possono concludere accordi di esternalizzazione a condizione che la natura e la quantità delle attività esternalizzate e le modalità della cessione non determinino lo svuotamento dell’attività dell’impresa cedente (I condizione). In ogni caso non può essere esternalizzata l’attività di assunzione dei rischi (II condizione). Il CdA definisce la politica di esternalizzazione dell’impresa con delibera che include: a) i criteri di individuazione delle attività “cedute” in outsourcing; b) i criteri di selezione dei fornitori sotto il profilo della professionalità, dell’onorabilità e della capacità finanziaria; c) l’adozione di metodi per la valutazione del livello delle prestazioni del fornitore (SLA, ovvero service level agreement). L’esternalizzazione comunque non esonera CdA e alta direzione dalle rispettive responsabilità. 4 Le disposizioni specifiche esternalizzazione di attività in materia di Politica di esternalizzazione e scelta dei fornitori Se le imprese affidano a un terzo l’esecuzione di attività essenziali o importanti, esse garantiscono che le modalità di esternalizzazione: i) non rechino pregiudizio alla qualità del sistema di governance dell’impresa; ii) non compromettano la sana e prudente gestione dell’impresa (risultati finanziari, stabilità e continuità); iii) non compromettano la capacità dell’impresa di fornire un servizio continuo e di qualità agli stakeholders (in primis assicurati e danneggiati); iv) non facciano aumentare in modo ingiustificato il rischio operativo. Gli accordi di esternalizzazione vanno formalizzati in forma scritta. 5 Le disposizioni specifiche esternalizzazione di attività in materia di Quali sono gli elementi da soddisfare nello stipulare gli accordi di esternalizzazione (art. 32 Regolamento)? Chiara definizione dell’attività oggetto di “cessione”/outsourcing, delle modalità di esecuzione e del corrispettivo; il contratto non può essere oggetto di subcessione senza il consenso della compagnia; il fornitore deve: i) svolgere le attività esternalizzate nel rispetto della normativa e delle istruzioni dell’impresa; ii) informare la compagnia di qualsiasi fatto “impedente”; iii) garantire la riservatezza dei dati relativi all’impresa e agli assicurati; iv) garantire l’accesso pieno e immediato di Isvap ai locali/documenti; l’impresa deve avere facoltà di controllo e accesso all’attività/documentazione del fornitore; l’impresa deve poter recedere dal contratto senza oneri sproporzionati e comunque deve poter recedere o modificare il contratto in caso di richiesta di Isvap. Se oggetto di esternalizzazione sono le funzioni di revisione interna (internal audit), risk management e compliance, le compagnie assicurano che siano definiti: a) obiettivi, metodologie e frequenza dei controlli; b) modalità e frequenza dei rapporti con il CdA e l’alta direzione; c) revisione dell’outsourcing in caso di mutamenti. 6 Le disposizioni specifiche esternalizzazione di attività in materia di Le comunicazioni ad Isvap in caso di outsourcing In caso di esternalizzazione di attività essenziali/importanti le imprese ne danno preventiva comunicazione ad Isvap almeno 45 gg. prima dell’esecuzione del contratto, comunicando i dati relativi all’attività ceduta, al fornitore, durata, etc. Le imprese comunicano ad Isvap la cessazione del contratto di outsourcing, allegando una relazione sulle modalità di reinternalizzazione o di affidamento ad altro fornitore. In caso di esternalizzazione delle funzioni di revisione interna, risk management e compliance le imprese danno preventiva comunicazione all’Isvap, allegando bozza del contratto. Al contratto può essere data esecuzione trascorsi 60 gg. dalla ricezione da parte di Isvap della bozza di contratto. Nel caso di esternalizzazione di attività diverse da quelle essenziali/importanti (es. affidamento a terzi dei servizi di pulizia/sicurezza dei locali, formazione del personale, di manutenzione, etc.) le imprese danno comunicazione all’Isvap dei contratti stipulati in occasione dell’invio del bilancio di esercizio. 7 Controllo sulle attività esternalizzate I controlli in caso di outsourcing Per le attività esternalizzate il sistema dei controlli interni garantisce controlli analoghi a quelli delle attività non cedute. Pertanto, le imprese adottano idonei presidi organizzativi e contrattuali con la funzione di monitorare le attività esternalizzate (conformità a norme, direttive e procedure aziendali, rispetto dei limiti operativi e soglie di tolleranza al rischio e predisposizione di piani di emergenza e di re-internalizzazione in caso di necessità). Le compagnie individuano al loro interno uno o più responsabili delle attività di controllo sulle attività esternalizzate e ne formalizzano compiti e responsabilità (c.d. link auditor). Il numero dei link auditors deve essere adeguato alle attività esternalizzate e, nel caso di “cessione” delle funzioni di revisione interna, risk management e compliance deve trattarsi di soggetti con adeguate caratteristiche di autorevolezza e indipendenza. 8 I contratti di outsourcing e le principali attività In sintesi: cosa fare in caso di esternalizzazione? Fase preliminare Fase del “durante” Si definisce la politica di esternalizzazione, si individuano le singole attività da “cedere”, si sceglie e verifica il fornitore, si adottano specifici SLA, si elaborano fallback solutions oltre alle comunicazioni ad Isvap I contratti di esternalizzazione vengono stipulati in forma scritta e si dà corso da parte del service provider allo svolgimento delle attività “cedute” Fase dei controlli Adeguate verifiche sulle attività in outsourcing, monitoraggio delle modalità di attuazione degli SLA, ruolo del link auditor e verifica continua sul durante Il panorama internazionale Le linee guida elaborate a livello internazionale • Nel mese di febbraio 2005 il Joint Forum istituito presso il Basel Committee on Banking Supervision ha elaborato una relazione in tema di “Outsourcing in Financial Services”. • In considerazione del fatto che l’esternalizzazione di una o più funzioni aziendali può potenzialmente determinare un trasferimento di rischi, di attività operative e di controlli verso soggetti terzi (anche non sottoposti a vigilanza prudenziale), il Joint Forum ha enucleato una serie di problematiche/quesiti: In presenza di outsourcing, in che modo il soggetto esternalizzante può conservare il controllo dei propri rischi operativi, legali, reputazionali, ecc.? Come può il soggetto esternalizzante verificare in modo costante il proprio grado di conformità alla normativa vigente? In che modo può dimostrare alle autorità di vigilanza l’efficace adozione di presidi che consentano di monitorare costantemente le attività esternalizzate, la loro conformità a norme di legge e regolamenti e alle direttive e procedure aziendali, il rispetto dei limiti operativi e delle soglie di tolleranza al rischio prefissate dal soggetto esternalizzante? • Al fine di fornire un ausilio per rispondere a tali domande, il Joint Forum ha istituito un gruppo di lavoro per elaborare una serie di principi-guida in tema di outsourcing. 10 Il panorama internazionale I principi-guida del Joint Forum: sintesi 1. Il soggetto vigilato che intende esternalizzare una o più funzioni implementa una policy accurata che detti gli elementi-guida per valutare la necessità e le modalità più efficaci ed efficienti per affidare a terzi lo svolgimento di determinate attività. L’organo amministrativo è responsabile sia del contenuto della policy, sia delle attività svolte in esecuzione della policy stessa. 2. Il soggetto vigilato adotta un programma onmicomprensivo per la gestione dei rischi derivanti dall’esternalizzazione; tale programma ha ad oggetto le attività esternalizzate ed i rapporti con i service providers. 3. Il soggetto vigilato assicura che la conclusione di contratti di outsourcing non comprometta la propria capacità di adempiere esattamente gli obblighi assunti nei confronti della clientela e delle autorità di vigilanza, né pregiudichi l’efficace svolgimento della vigilanza da parte delle autorità preposte. 4. Il soggetto vigilato svolge un’adeguata attività di due diligence per la selezione dei service providers. 5. Gli accordi di esternalizzazione sono formalizzati in forma scritta con una chiara definizione dell’attività oggetto della cessione, delle modalità di esecuzione e delle responsabilità di ciascuna delle parti. 11 Il panorama internazionale I principi-guida del Joint Forum: sintesi (segue) 6. Il soggetto vigilato ed i suoi service providers istituiscono e mantengono idonee misure per assicurare la continuità delle attività in caso di interruzione del servizio reso dal fornitore, inclusi adeguati piani di emergenza per il disaster recovery e test periodici sui presidi di backup. 7. Il soggetto vigilato intraprende misure adeguate per imporre ai service providers la tutela della riservatezza delle informazioni riguardanti sia il soggetto esternalizzante che i suoi clienti, rispetto a rischi di diffusione o rivelazione intenzionale e/o casuale a persone non autorizzate. 8. Le autorità di vigilanza considerano l’esternalizzazione come una parte integrante dei propri ambiti di verifica sui soggetti vigilati. Esse si assicurano che gli accordi di esternalizzazione non pregiudichino la capacità dei soggetti vigilati di adempiere i propri obblighi regolamentari. 9. Le autorità di vigilanza sono consapevoli dei potenziali rischi che sorgono nel caso in cui le attività o funzioni di pertinenza di una pluralità di soggetti vigilati siano affidate ad un limitato numero di service providers. 12 L’impatto del Regolamento Isvap sul settore assicurativo: riflessioni ed esperienze applicative Aspetti applicativi nei contratti di outsourcing intercompany: la pattuizione del corrispettivo a) I principi fondamentali da osservarsi in sede di redazione delle clausole sul corrispettivo possono essere sintetizzati come segue: effettività: i servizi fatturati da parte dell’outsourcer devono essere stati effettivamente prestati; devono essere precostituiti elementi probatori univoci che dimostrino l’attività svolta. a) b) c) In caso di mancata osservanza del principio di effettività, conseguenze civili e penali per indebito arricchimento e falsa fatturazione! dimostrabilità: per ciascun servizio effettivamente reso deve essere confezionata e conservata adeguata documentazione probatoria (email, slides, documenti, ecc.), al fine di poter dimostrare ex post che l’attività è stata svolta e, pertanto, è idonea a giustificare il pagamento del corrispettivo pattuito. Inoltre, i meccanismi di calcolo del corrispettivo devono essere prestabiliti in forma scritta; utilità: i servizi resi devono recare un’utilità concreta alla società fruitrice; difatti ogni maggior onere sostenuto deve necessariamente tradursi in un maggior vantaggio patrimoniale acquisito; equità: nonostante le parti di un contratto siano in linea di principio libere di determinare l’importo dovuto a titolo di corrispettivo dell’attività svolta, trovano comunque applicazione i criteri di correttezza e trasparenza. Pertanto, l’ammontare dei corrispettivi fatturati deve essere equo e conforme alle condizioni di mercato. Attenzione ai profili di cd. “transfer pricing” e alla corretta applicazione dei principi IAS in tema di rapporti con parti correlate. 13 L’impatto del Regolamento Isvap sul settore assicurativo: riflessioni ed esperienze applicative Aspetti applicativi nei contratti di outsourcing intercompany: la revisione del corrispettivo • Sostanziale legittimità della pattuizione di clausole di revisione del corrispettivo inserite in contratti di outsourcing (cfr. art. 1664 c.c. in tema di onerosità o difficoltà nell’esecuzione di contratti di appalto) • i. Tuttavia, in un’ottica di equità, la richiesta di revisione del corrispettivo dovrebbe essere: condizionata al ricorrere di eventi dimostrabili e imprevedibili o sopravvenuti (p.es. mutamenti normativi significativi, modifiche rilevanti dell’operatività e dell’organizzazione del prestatore o del fruitore, particolari difficoltà sopravvenute nell’esecuzione dei servizi o l'intensificazione degli stessi in ragione delle esigenze organizzative o commerciali di una delle parti); ii. fondata su un aumento o una diminuzione oggettiva ed adeguatamente documentata dei costi sostenuti dal prestatore per l'esecuzione dei servizi. Al fine di mantenere l’equilibrio tra i costi ed i benefici delle parti, potrebbe altresì valutarsi di prevedere un limite entro il quale i maggiori costi restano in ogni caso a carico del prestatore, quale conseguenza del rischio di impresa (p.es. solo i costi eccedenti a X% danno diritto ad ottenere una revisione del corrispettivo); iii. bidirezionale, ossia poter essere avanzata sia dal prestatore dei servizi per ottenere un incremento del proprio corrispettivo, sia dal fruitore per richiedere una diminuzione; iv. retta dal principio del contraddittorio e della dialettica contrattuale (p.es. previsione di una procedura per la rinegoziazione, della quale tenere traccia documentale per garantire la trasparenza, la certezza e la dimostrabilità dell’intero processo). 14 Avv. Andrea Polizzi Partner Jenny & Partners Studio legale Via Durini n. 27 20122 Milano Tel.: +39 02 778031 Fax: +39 02 77803233 E-mail: [email protected] 15