La funzione di internal audit

L’unità di revisione interna (c.d. internal audit) costituisce una delle figure caratterizzanti il quadro del sistema dei controlli interni, nonché funzione fondamentale del sistema di governance.

La funzione di internal audit così come definito dall’Associazione Italiana Internal

Auditors (c.d. AIIA) deve pianificare l’attività per identificare le aree da sottoporre

prioritariamente ad audit in relazione anche ai costi e alle risorse disponibili. In particolare la funzione di audit deve: esprimere giudizi sull’adeguatezza del sistema dei controlli interni desumendola da fatti aziendali; evidenziare la carenza dei controlli a prescindere dalla assenza o limitatezza di impatti economici negativi dovuti in passato ad essa; sottolineare di norma i soli punti critici/debolezze. Si evidenzia inoltre che in applicazione del principio di segregazione di funzioni, l’internal audit non può essere coinvolto in attività operative.

39

Solvency II richiede alle compagnie un attività di audit con un’impostazione

dell’attività basata sul rischio ed una estensione dell’attività di audit alla valutazione di tutti gli elementi del sistema di governance.

Nello specifico il nuovo regime di vigilanza prudenziale richiede alle compagnie una impostazione dell’attività di audit secondo una logica di gestione nel continuo. L’articolo 47 della Direttiva Solvency II stabilisce che le imprese di assicurazione e riassicurazione dispongano di una funzione di internal audit efficace che svolga una valutazione dell’adeguatezza e dell’efficacia del sistema di controllo interno e di altri elementi del sistema di governance.

In vista del recepimento della Direttiva Solvency II il Provvedimento n.17/2014 ha modificato e integrato il capo III-Revisione interna del Regolamento ISVAP n. 20/2008. In particolare le modifiche apportate riguardano l’articolo 15-funzione di revisione interna e l’introduzione dell’articolo 15bis-Responsabile della funzione di revisione interna.

L’articolo 15 uniforma l’attività della funzione di revisione interna agli standard professionali comunemente accettati a livello nazionale ed internazionale.

In considerazione di questo la funzione di revisione interna delle imprese di assicurazione e riassicurazione verifica: i processi gestionali e le procedure organizzative; la regolarità e la funzionalità dei flussi informativi tra settori aziendali; l’adeguatezza dei sistemi informativi e la loro affidabilità affinché non sia inficiata la qualità delle informazioni sulle quali il vertice aziendale basa le proprie decisioni; la rispondenza dei processi amministrativo contabili a criteri di correttezza e di regolare tenuta della contabilità; l’efficienza dei controlli svolti sulle attività esternalizzate. 33

In modo particolare il nuovo regime di vigilanza prudenziale richiede alle compagnie di assicurare che la funzione di revisione interna, svolga le verifiche a cui la funzione è preposta, in maniera autonoma e obiettiva, preservando la propria indipendenza e imparzialità.

40

La compagnia deve sempre assicurare che la funzione di internal audit non svolga funzioni di natura operativa ed essere sempre libera dall’influenza di altre funzioni, incluse le altre funzioni fondamentali del sistema di governance.

Il personale della funzione di internal audit può anche essere impiegato in altre funzioni fondamentali del sistema di governance - compliance, funzione attuariale e

risk management- nei soli casi in cui la compagnia non presenti un profilo di rischio

troppo complesso, secondo il principio di proporzionalità.

In particolare l’articolo 271 del Regolamento Delegato n.35/2015 definisce chiaramente le condizioni secondo cui il personale della funzione di internal audit può assumere anche altre funzioni fondamentali.

Nello specifico l’articolo stabilisce oltre al già citato principio di proporzionalità, che il personale della funzione di internal audit può svolgere anche altre funzioni fondamentali se questo non dà luogo a conflitti d’interesse.

Pertanto, l’articolo stabilisce che il personale della funzione di internal audit, può essere impiegato in altre funzioni fondamentali, se i costi di mantenimento delle persone che svolgono la funzione di internal audit, ma nessun altra funzione fondamentale, comporterebbero per le compagnie costi sproporzionati rispetto alle spese amministrative totali.34

Anche la funzione di internal audit, così come nel caso delle altre funzioni fondamentali, prevede al suo interno la presenza di un responsabile di funzione. L’articolo 15 bis del Regolamento ISVAP n.20/2008 stabilisce che lo stesso sia nominato e revocato dall’organo amministrativo, sentito il collegio sindacale e, ove presente, anche il comitato di controllo interno. Il responsabile di funzione deve oltretutto soddisfare i requisiti di idoneità alla carica fissati dalla politica dedicata. L’articolo 15 bis definisce nel dettaglio i compiti del responsabile della funzione di

internal audit.

Il responsabile della funzione definisce annualmente il piano delle attività e il relativo livello di priorità. Il piano di audit è un documento approvato dall’organo amministrativo e sempre coerente con i principali rischi cui la compagnia risulta esposta. Il piano deve includere inoltre anche un’attività di verifica delle componenti

41

del sistema dei controlli interni ed in particolare del flusso informativo e del sistema informatico. Oltretutto, nel caso in cui risulti necessario, potranno essere effettuate delle verifiche non previste dal piano di audit.

Il responsabile della funzione deve inoltre predisporre dei rapporti di audit da inviare, secondo le modalità e la periodicità fissata dall’organo amministrativo, all’alta direzione, all’organo di controllo, all’organo amministrativo e ai responsabili delle funzioni interessate dall’attività di revisione.

I rapporti di audit devono essere obiettivi, chiari, concisi e tempestivi e contenere suggerimenti per eliminare le carenze riscontrate.

Il responsabile della funzione presenta almeno annualmente una relazione da inviare all’organo amministrativo sull’attività svolta che riepiloga tutte le verifiche effettuate, i risultati emersi, i punti di debolezza e le raccomandazioni formulate per la loro rimozione.

2.1.2.1 ECIIA: gli impatti di Solvency II sul ruolo dell’internal audit

Gli impatti derivanti dai nuovi requisiti richiesti alla funzione di internal audit, a seguito dell’emanazione della Direttiva Solvency II, hanno determinato l’esigenza di produrre un documento di sintesi sul ruolo della funzione nel futuro contesto

Solvency II.

L’European Confederation of Institutes of Internal Auditing (c.d. ECIIA), ha sentito l’esigenza di chiarire un common thinking and position sul tema, in modo da orientare in modo omogeneo a livello europeo la professione, attraverso la pubblicazione di un position paper “The role of Internal Audit under Solvency II”. Nel position paper, ECIIA afferma che Solvency II rappresenta un’evoluzione per la funzione di internal audit e non sicuramente una rivoluzione.

I principali compiti che l’internal audit deve svolgere nel nuovo scenario, nell’ambito della propria funzione di assurance riguardano: la valutazione delle componenti del sistema di governance; la valutazione del sistema di risk management e della funzione di risk management; la valutazione della funzione di compliance; la valutazione del processo di definizione e implementazione del risk model; la

42

valutazione della funzione attuariale; la valutazione del processo di riassicurazzione e la valutazione dell’adeguatezza del processo ORSA.

Nella valutazione del sistema di governance, l’internal audit fornisce adeguate raccomandazioni e presta particolare attenzione al sistema delle remunerazioni e al processo di definizione dell’attività di outsourcing.

Inoltre la funzione di internal audit valuta l’indipendenza e l’efficacia generale della funzione di risk management della compagnia e, svolge attività tese a valutare la funzione attuariale in termini di efficacia ed efficienza dei processi, nonchè attività tese a valutare la funzione di riassicurazione in un’ottica di efficienza dei processi e salvaguardia del patrimonio.

Infine per quanto concerne il processo ORSA, questo rappresenta un momento di sintesi molto importante di tutto il sistema di controllo interno della compagnia e quindi nell’ambito di un piano di audit risk based rappresenta una priorità.

Non per questo l’internal audit diviene l’owner di questo processo, ma resta il soggetto preposto a valutarne l’adeguatezza.

La funzione di internal audit risulta essere in linea con i nuovi requisiti richiesti dalla normativa Solvency II, considerati gli standard professionali e le best practice già esistenti.

I ruoli, la posizione, la metodologia e i requisiti del personale appartenente alla funzione di internal audit così come richiesti dalla Direttiva Solvency II, sono comunque già allineati con i già esistenti Institute of Internal Audit standard.