Le componenti del sistema dei controlli intern

Durante lo studio finora condotto ci si è accorti che il sistema dei controlli inter- ni ha natura composita356; i compiti e le responsabilità sono ripartiti tra organi e funzio- ni aziendali e, nonostante la sovraordinazione dell’organo con funzioni amministrative, tutti gli attori del controllo rivestono un ruolo essenziale per il corretto funzionamento dell’insieme. Una componente altrettanto essenziale, se non preponderante, è la promo- zione della “cultura del controllo interno” da parte dell’organo amministrativo, come affermato all’art. 10 del Regolamento ISVAP n. 20 del 2008. Molto spesso il consegui- mento delle strategie aziendali dipende da un’adeguata promozione di elevati livelli d’integrità e da una necessaria sensibilizzazione del personale sull’importanza ed utilità

dei controlli357.

L’Alta Direzione assume un ruolo importante nella promozione della cultura del controllo; ad essa spetta promuovere continue iniziative formative e di comunicazione volte a favorire l’effettiva adesione di tutto il personale ai principi di integrità morale ed ai valori etici358. Tali principi devono essere raccolti e definiti, assieme ad altre regole comportamentali, in appositi codici etici adottati dalle imprese d’assicurazione sia come

mezzo di promozione della cultura del controllo interno sia per prevenire responsabilità derivanti da condotte illecite ai sensi del D.lgs. 8 Giugno 2001, n. 231 e dell’art. 325 del D.lgs. 7 Settembre 2005, n. 209 359.

Per un corretto svolgimento delle attività di controllo, occorre che l’Alta Dire- zione, come richiesto dall’art. 10, co. 2, regoli e formalizzi tanto il sistema delle deleghe

356 _{Cfr. A. CAPPIELLO, op. cit., pag. 90.} 357 _{Cfr. A. CAPPIELLO, op. cit., pag. 90.}

358 _{Cfr. art. 10, “Cultura del controllo interno”, co. 3, Regolamento ISVAP n. 20/2008.} 359 _{Cfr. art. 10, “Cultura del controllo interno”, co. 4, Regolamento ISVAP n. 20/2008.}

- 102 -

e delle procedure che regolano l’attribuzione di compiti, quanto i processi operativi e i

canali di reportistica.

Attraverso una corretta definizione dei poteri e delle mansioni affidate a ciascu- no, si promuove un’opportuna separazione delle funzioni, come richiesto dall’art. 11,

co. 1 e 3. In questo modo si evita che determinati poteri (poteri decisionali per esempio) siano concentrati nelle mani della stessa persona che esegue compiti operativi, compro- mettendo così l’indipendenza e lasciando spazio a comportamenti dannosi per l’impresa360

. L’art. 11, co. 1, prevede che le attività di controllo siano formalizzate e predisposte a tutti i livelli aziendali prestando attenzione al principio di proporzionalità. Al co. 2 si prevede la disposizione ed il rispetto, a tutti i livelli aziendali, di una serie di meccanismi analiticamente elencati: doppie firme, autorizzazioni, verifiche e raffronti, liste di controllo e riconciliazione dei conti, nonché la limitazione dell’accesso alle ope- razioni ai soli soggetti incaricati e la registrazione e la verifica periodica delle operazio- ni effettuate361.

Altre componenti del sistema dei controlli interni sono i flussi informativi e i ca- nali di comunicazione, normati all’art. 12, “Flussi informativi e canali di comunicazio-

ne”. Durante lo studio si è più volte evidenziata l’importanza dell’agire informato e il

Regolamento ISVAP n. 20/2008, per richiamarne l’essenzialità, dedica un intero artico- lo alla regolamentazione dell’informativa tra unità operative, elencando e definendo an- che alcuni principi da rispettare: principi di accuratezza, completezza, tempestività, coe- renza, trasparenza e pertinenza362. Successivamente, all’art. 12, co. 3, l’IVASS regola-

360 _{Cfr. A. CAPPIELLO, op. cit., pag. 91.}

361 _{Cfr. art. 11, “Attività di controllo e separazione dei compiti”, co.2, Regolamento ISVAP n.} 20/2008.

362 _{Cfr. art. 12, “Flussi informativi e canali di comunicazione”, co. 2, Regolamento ISVAP n.} 20/2008.

- 103 -

menta, prevedendo informazioni attendibili, tempestive e pertinenti, anche i canali di comunicazione verso l’Autorità363, verso il mercato e verso gli assicurati.

Il Provvedimento n. 17 del 2014 ha integrato la Sezione III attraverso l’art. 12-

bis, “Sistema di gestione dei dati”, tenuto conto della necessità di formalizzare prassi

già in uso per la tracciabilità dei dati aziendali. In questo modo è possibile disporre di informazioni complete e aggiornate in merito agli elementi che possono incidere sul profilo di rischio dell’impresa e sulla sua situazione di solvibilità364

.

Rispetto alla Circolare n. 577 del 2005, l’art. 13 del Regolamento risultò innova- tivo perché prevedeva l’istituzione di flussi informativi per la produzione di dati utili ai fini dell’esercizio della vigilanza supplementare. Esso è stato recentemente integrato al

co. 1 con la specifica richiesta che la capogruppo, ai fini della produzione dell’informativa quantitativa richiesta dall’IVASS, eserciti valutazioni attuali e prospet-

tiche dei rischi a livello di gruppo.

L’ultimo articolo della Sezione III, “Componenti del sistema dei controlli inter-

ni”, è l’art. 14 in tema di sistemi informatici. Il Regolamento prevede la strutturazione

di sistemi informatici adeguati alla natura, alla portata ed alla complessità dell’attività dell’impresa, nonché dei conseguenti rischi365

. Tali sistemi aiutano il perseguimento dei fini informativi, alla luce dei principi riportati all’art. 12 della medesima sezione.

Vista l’importanza assunta oggigiorno dai sistemi informatici hardware e soft-

ware, spetta all’organo amministrativo approvare un piano strategico sulla tecnologia

della informazione e comunicazione (ICT), volto ad assicurare l’esistenza e il manteni-

363 _{Al riguardo si rimanda alla Lettera al mercato IVASS del 15 Aprile 2014, pagg. 9/11.} 364 _{Cfr. Relazione al Provvedimento n. 17 del 15 Aprile 2014, op. cit., pag. 4.}

- 104 -

mento di una architettura complessiva dei sistemi altamente integrata, sia dal punto di vista applicativo che tecnologico, nonché adeguata ai bisogni dell’impresa366.

In linea con l’art. 5, co. 2, lett. g), l’art. 14, co. 2, lett. e), prevede spetti sempre all’organo amministrativo predisporre dei piani di emergenza (cd. piani di continuità

operativa) al fine di garantire la continuità dei processi dell’organizzazione nel caso do-

vessero incorrere eventi dannosi ed imprevisti (black-out, incendi, allagamenti, malfun- zionamenti dei componenti hardware e software, errori operativi)367.

366 _{Cfr. art. 14, “Sistemi informatici”, co. 2, lett. a), Regolamento ISVAP n. 20/2008.} 367 _{Cfr. art. 14, “Sistemi informatici”, co. 2, lett. e), Regolamento ISVAP n. 20/2008.}

- 105 -