L’Internal Audit

Ulteriore funzione richiesta alle imprese di assicurazione da Solvency II, la quale ne valorizza l’importanza269_{, concerne l’esercizio efficace della revisione interna} (internal audit)270. In linea generale, secondo la direttiva, questa funzione deve monitorare e valutare l’adeguatezza e l’efficacia, nonché l’efficienza, della struttura di controllo interno (art. 47, co. 1), in modo da determinare i possibili bisogni di adeguamento di tale sistema271_{, e di tutti gli ulteriori elementi compresi nell’assetto di}

governance (art. 47, co. 1), tra cui “the compliance of activities with internal strategies, policies, processes and reporting procedures”272. Gli esiti della verifica e le raccomandazioni predisposte devono essere trasmesse all’OADV, il quale, in base a questi, determina e attua gli interventi necessari273; pertanto, l’audit interno persegue anche il compito di supporto e consulenza nelle materie spettanti274. Per consentire una valutazione dell’operato della revisione interna, cioè per verificare il rispetto dell’art. 47, co. 1, le imprese dovrebbero conservare un registro contenente le operazioni di audit svolte275. Al fine di assicurare l’idoneità delle operazioni di revisione, la dir. 2009/138/CE, all’art. 47, co. 2, esige che “la collocazione organizzativa della funzione ne garantisca”276 _{l’obiettività e l’indipendenza dalle altre attività operative, comprese} quelle fondamentali277. Il principio di indipendenza implica che l’internal audit dovrebbe svolgere le sue mansioni sotto l’esclusiva supervisione dell’OADV e presentare i reports unicamente a tale organo278; l’impresa di assicurazione dovrebbe garantire che l’audit non venga condizionato dall’OADV “in maniera tale da compromettere la sua indipendenza e imparzialità”279_{. Inoltre, gli Atti Delegati} specificano che le persone preposte a codesta attività non possono assumere

269 _{Cfr. A. CANDIAN e L. VELLISCIG, op. cit., p. 205.} 270 _{Articolo 47, co. 1, dir. 2009/138/CE.}

271 _{Cfr. V. PESIC, op. cit., p. 65.} 272 _{Cfr. CEIOPS-DOC-29/09, n. 3.260.} 273 _{Articolo 47, co. 3, dir. 2009/138/CE.} 274 _{Cfr. V. PESIC, op. cit., p. 66.}

275 _{Cfr. EIOPA-BoS-14/253, Orientamento 44.} 276 _{Cfr. V. PESIC, op. cit., p. 66.}

277 _{Cfr. EIOPA-BoS-14/253, Orientamento 40, n. 1.84.} 278 _{Cfr. CEIOPS-DOC-29/09, n. 3.261.}

279 _{Cfr. EIOPA-CP-13/08, Orientamento 35, e cfr. EIOPA-BoS-14/253, Orientamento 40, n.}

81

“responsabilità per altre funzioni” (art. 271, co. 1), eccetto il caso in cui l’esercizio di ulteriori funzioni fondamentali sia adeguato “alla natura, portata e complessità dei rischi” d’impresa, non generi conflitti di interesse per i soggetti che eseguono l’attività di audit280 e permetta di diminuire gli sproporzionati costi di mantenimento “di persone che svolgono” esclusivamente la mansione di audit (art. 271, co. 2).

Fra le funzioni comprese nel sistema di governo societario, la revisione interna è considerata quella che include “più stringenti vincoli in termini di autonomia”281. Al fine di determinare le criticità interne e di formulare le proposte di intervento per ottimizzare l’attività d’impresa, tale funzione deve svolgere i compiti di cui all’art. 271, co. 3, degli Atti Delegati:

- stabilire, applicare e conservare “un piano di audit” che fissi, in conformità alla struttura di governance societaria e all’insieme delle attività, il lavoro da eseguire negli anni futuri282_{; a seconda degli esiti delle attività svolte, la} revisione interna emana raccomandazioni;

- definire le proprie priorità e il piano di audit applicando un metodo fondato sul rischio. Secondo le linee guida EIOPA, tale approccio dovrebbe considerare l’insieme delle attività, la totalità del sistema di gestione e i loro sviluppi futuri283;

- comunicare all’OADV il piano adottato e, quanto meno ogni anno, una relazione scritta sui risultati ottenuti e sulle raccomandazioni formulate a seguito del proprio lavoro. Questo documento dovrebbe segnalare la tempistica necessaria per correggere le carenze individuate e indicare “le informazioni sull’attuazione delle raccomandazioni formulate nell’ambito di audit precedenti”284_;

- accertare la corrispondenza tra le raccomandazioni varate e le decisioni adottate dall’OADV;

- svolgere, se necessario, valutazioni non comprese nel piano istituito.

280 _{L’EIOPA, nell’Orientamento 41 del documento EIOPA-BoS-14/253, precisa che le imprese}

di assicurazione dovrebbero ricorrere a misure adeguate per ridurre la possibilità di conflitti di interesse all’interno della struttura di audit.

281 _{Cfr. S. PACI, op. cit., p. 115.}

282 _{L’audit plan è considerato il documento guida per l’attività di revisione interna, cfr. E.}

PARRETTA, op. cit., p. 100.

283 _{Cfr. EIOPA-BoS-14/253, Orientamento 43, n. 1.90, lett. a).} 284 _{Cfr. EIOPA-BoS-14/253, Orientamento 45.}

82

Mediante l’attuazione del piano, la funzione di audit verifica: “i processi gestionali e le procedure organizzative”285_{, tra cui la chiarezza del metodo di raccolta dei dati} esterni286, la validità e l’efficienza delle informazioni trasmette ai differenti settori aziendali, “l’affidabilità dei sistemi informativi”, l’idoneità dei controlli sulle funzioni esternalizzate e l’adeguatezza dei procedimenti amministrativi e contabili rispetto i principi di correttezza e conformità alle regole287. Per poter svolgere queste mansioni, l’audit deve essere investito di diritti che permettano di ottenere tutte le informazioni aziendali necessarie288.

Come visto per le altre funzioni principali, anche nel caso dell’attività di revisione interna, l’impresa di assicurazione dovrebbe dotarsi di una politica di audit; questa include: “i termini e le condizioni” secondo le quali la funzione può essere interpellata a giudicare, a offrire assistenza e a eseguire compiti speciali; le regole “sulle procedure che la persona responsabile della funzione di audit interno” deve seguire “prima di informare l’autorità di vigilanza”; i principi di rotazione delle mansioni attribuite al personale289_{. È prevista una politica anche a livello di gruppo: l’entità} responsabile deve far sì che questa illustri il modo in cui la funzione anzidetta coordini tutti gli audit interni e assicuri il rispetto dei requisiti di audit “a livello di gruppo”290.

285 _{Cfr. A. VINCIONI, op. cit., p. 448.}

286 _{Articolo 219, co. 2, lett. a), Reg. delegato (UE) n. 2015/35.} 287 _{Cfr. A. VINCIONI, op. cit., p. 448.}

288 _{Cfr. CEIOPS-DOC-29/09, n. 3.265.}

289 _{Cfr. EIOPA-CP-13/08, Orientamento 36, n. 1.71, e cfr. EIOPA-BoS-14/253, Orientamento}

42, n. 1.88.

290 _{Cfr. EIOPA-CP-13/08, Orientamento 36, n. 1.72, e cfr. EIOPA-BoS-14/253, Orientamento}

83