Esternalizzazione, le aspettative dell’Ivass
Le imprese devono valutare attentamente i rischidell’outsourcing, da quelli operativi a quelli di concentrazione, legali e reputazionali, e adottare misure per garantire la continuità delle attività esternalizzate in caso di problemi. Se ne parla in uno schema di lettera al mercato attualmente in pubblica consultazione
30/11/2024
Lo scorso 13 novembre Ivass ha pubblicato il documento di consultazione 8/2024, contenente uno schema di lettera al mercato riguardante le aspettative in materia di esternalizzazione. Scopo della lettera al mercato è quello di fornire indicazioni alle imprese di assicurazione per garantire un’applicazione uniforme e corretta del quadro normativo di riferimento, che ricomprende fonti di rango europeo (la direttiva Solvency II e il Regolamento delegato 2015/35) e interno (Codice delle assicurazioni private e Regolamento Ivass 38 del 2018 in materia di sistema di governo societario). L’iniziativa è maturata, come può evincersi dall’esame del testo in pubblica consultazione, a seguito delle risultanze delle verifiche di vigilanza, le quali hanno rilevato un crescente ricorso all’esternalizzazione di attività e processi aziendali da parte delle imprese assicurative, anche con modalità innovative. L’obiettivo principale è garantire che tali pratiche non compromettano la governance aziendale, non aumentino eccessivamente i rischi operativi e non trasformino le imprese in entità vuote (empty shell).
PUBBLICA CONSULTAZIONE: APPENA UN MESE PER LE OSSERVAZIONI
In tal senso Ivass, mutuando l’approccio già utilizzato in materia di Pog (lettera al mercato del 27 marzo 2024), ha espresso una serie di aspettative per favorire lo sviluppo di best practice e un comportamento omogeneo da parte delle imprese destinatarie delle stesse, ovvero, tra le altre, le imprese di assicurazione e riassicurazione aventi sede legale in Italia e le sedi secondarie, ubicate in Italia, delle imprese con sede legale in Stati terzi. Il tutto, come sottolineato nel documento posto in pubblica consultazione, allo scopo di dare attuazione alle disposizioni già contenute nel menzionato regolamento Ivass n. 38 e nella prospettiva di una loro effettiva applicazione secondo il principio di proporzionalità.
Non ultimo, sulla base delle pertinenti disposizioni contenute nel Codice delle assicurazioni, l’Ivass adotterà le indicazioni riportate nella lettera nei propri processi di supervisione sull’esternalizzazione, una volta che le stesse diverranno definitive. A tal proposito, si sottolinea che si potranno presentare all’Ivass osservazioni, commenti e proposte sulle aspettative e sulle indicazioni entro il 14 dicembre 2024, un termine breve e ravvicinato a quello di pubblicazione del documento (13 novembre 2024).
VALORIZZARE L’ORGANO AMMINISTRATIVO
Ciò detto, senza pretese di completezza e senza voler procedere a una pedissequa elencazione delle aspettative e delle indicazioni della vigilanza, cercheremo di fornire una panoramica generale, per aiutare la lettrice o il lettore a orientarsi e ad approfondire, testo alla mano, gli aspetti ritenuti più interessanti e/o rilevanti per la realtà presso la quale opera.
L’Ivass si attende in primo luogo che le imprese di assicurazione valorizzino il ruolo dell’organo amministrativo nel processo decisionale relativo all’esternalizzazione di funzioni fondamentali e attività essenziali o importanti. L’organo amministrativo deve essere pienamente consapevole dei risultati degli accordi in corso, del grado di dipendenza dell’impresa da soggetti esterni e dei relativi rischi. Inoltre, la scelta di ricorrere a fornitori per l’espletamento di tali funzioni dovrebbe essere parte integrante delle strategie aziendali approvate dallo stesso.
Le imprese devono, inoltre, valutare attentamente i rischi associati all’esternalizzazione, come quelli operativi, di concentrazione, legali e reputazionali, e adottare misure per garantire la continuità delle attività esternalizzate in caso di interruzioni o deterioramenti del servizio. È previsto che l’organo amministrativo sia informato almeno annualmente sui risultati degli accordi di esternalizzazione, con evidenza delle eventuali criticità emerse.
CONTROLLI STANDARD SULLE ATTIVITÀ
Le imprese devono assicurare che le funzioni o attività esternalizzate siano soggette a controlli standard, analoghi a quelli che sarebbero attuati se svolte internamente. La vigilanza si attende che vengano effettuate analisi periodiche dei rischi per verificare eventuali variazioni che possano incidere sulla valutazione dell’attività esternalizzata. I contratti di esternalizzazione dovrebbero includere livelli di servizio (Sla) con standard qualitativi chiari, indicatori di performance (Kpi) e penali per il mancato raggiungimento degli obiettivi. Le imprese devono adottare processi per valutare il rispetto degli Sla, l’andamento dei Kpi, le cause di eventuali disservizi e le misure correttive intraprese dai fornitori. È importante evitare catene complesse di subfornitori che possano compromettere la capacità di controllo dell’impresa sulle attività esternalizzate.
ICT, GESTIONE E LIQUIDAZIONE SINISTRI, L’ORSA
Di notevole importanza anche le aspettative e le indicazioni in tema di esternalizzazione dei servizi Ict, sempre più diffusa tra le imprese assicurative, che comporta nuovi rischi che richiedono un allineamento al Regolamento Ue 2022/2554 (Dora), applicabile dal 17 gennaio 2025.
Ricordiamo al proposito come il regolamento Dora rafforza la gestione dei rischi legati ai fornitori Ict, richiedendo policy specifiche, monitoraggio costante da parte dell’organo amministrativo e contratti dettagliati che prevedano clausole sui subappalti e sulla valutazione dei rischi lungo la catena dei fornitori.
Proseguendo nella disamina, Ivass si attende che le imprese identifichino correttamente le attività o funzioni essenziali o importanti soggette all’obbligo di comunicazione preventiva. Tra queste rientrano la progettazione dei prodotti assicurativi, la gestione degli investimenti, la gestione e liquidazione dei sinistri, la gestione dei reclami, i servizi di Ict e il processo Orsa (own risk and solvency assessment).
L’INFORMATIVA ALL’IVASS SULLE MODIFICHE DEGLI ACCORDI
L’esternalizzazione di attività meramente strumentali, come lo smistamento della corrispondenza o l’archiviazione documentale, non è generalmente soggetta a comunicazione preventiva, salvo diversa valutazione dell’impresa.
Da ultimo, sempre nell’ambito del perimetro tracciato per questo contributo, segnaliamo che dalle imprese si attende un’informativa all’Ivass su eventuali modifiche rilevanti agli accordi di esternalizzazione già sottoscritti, come il conferimento dell’incarico a un nuovo fornitore o l’inserimento di prestazioni aggiuntive nel contratto. Non è richiesta una comunicazione preventiva per il conferimento in sub-esternalizzazione, purché sia previsto nel contratto originale e rispetti le condizioni stabilite.
Sin qui una sintesi del contenuto del documento di consultazione 8/2024, certi che la partecipazione da parte dei soggetti interessati alla consultazione sarà importante e qualificata, il tutto in vista dell’approvazione della lettera al mercato, a questo punto attesa per il nuovo anno.
© RIPRODUZIONE RISERVATA
👥