Art. 30-quinquies D.Lgs. 209/2005 — (Funzione di revisione interna)

Commento

L'occhio terzo dell'impresa

L'articolo 30-quinquies disciplina la funzione di revisione interna (internal audit), terza linea di difesa nel modello three lines of defence che orienta la governance assicurativa europea. È una funzione di assurance: verifica indipendente sull'efficacia di tutto il sistema di controllo interno e della governance complessiva.

Autonomia di giudizio e indipendenza

Il comma 1 sottolinea due caratteristiche essenziali:

Autonomia di giudizio: la funzione formula valutazioni proprie, non condizionate dalle posizioni delle aree auditate. Le metodologie di audit, i giudizi sui livelli di rischio e di controllo, le raccomandazioni sono espressione autonoma.

Indipendenza rispetto alle funzioni operative: la funzione non è gerarchicamente subordinata a quelle che è chiamata a controllare. Riporta direttamente al CdA o a un comitato endoconsiliare (tipicamente il Comitato Controllo e Rischi).

L'indipendenza è anche personale: il responsabile dell'internal audit non può ricoprire ruoli operativi e i suoi compensi non possono essere collegati ai risultati delle aree auditate.

Il perimetro di valutazione

Il comma 2 definisce l'oggetto della revisione interna:

1. Adeguatezza ed efficacia del sistema di controllo interno. Verifica che il sistema disegnato (art. 30-quater) sia idoneo a presidiare i rischi e che funzioni effettivamente nella pratica.

2. Altre componenti del sistema di governo societario: gestione dei rischi (art. 30-bis), ORSA (art. 30-ter), funzione attuariale (art. 30-sexies), esternalizzazione (art. 30-septies), politica di remunerazione.

In sostanza, l'internal audit è la funzione che valuta tutte le altre funzioni e l'organizzazione complessiva.

Comunicazione al CdA

Il comma 3 stabilisce un flusso comunicativo strutturato: la funzione comunica al consiglio le risultanze e le raccomandazioni in relazione all'attività svolta, indicando gli interventi correttivi necessari in caso di rilevazione di disfunzioni e criticità.

Lo strumento principale è la relazione annuale, integrata da relazioni tematiche su singole missioni di audit. Per i casi gravi è prevista la comunicazione immediata (red flag reporting).

Il follow-up: responsabilità del CdA

Il comma 3 chiude con un punto cruciale: il CdA definisce i provvedimenti da porre in essere in relazione a ciascuna raccomandazione e individua le misure per eliminare le carenze, garantendone l'attuazione.

È applicazione del principio di accountability ultima del CdA (art. 29-bis). La funzione internal audit individua i problemi e propone soluzioni; il consiglio decide e fa eseguire. Senza follow-up effettivo, le risultanze audit restano lettera morta e l'IVASS può sanzionare il consiglio.

Piano di audit

L'attività della funzione è strutturata da un piano di audit annuale (e pluriennale), approvato dal CdA, costruito secondo logica risk-based: maggiore presidio sulle aree a maggior rischio. Le missioni tipiche riguardano:

- riserve tecniche e politiche di sottoscrizione;
- investimenti e gestione del portafoglio;
- gestione sinistri e antifrode;
- IT e cybersecurity;
- antiriciclaggio;
- privacy e protezione dei dati;
- esternalizzazioni rilevanti.

Coordinamento con altri controlli

L'internal audit coopera ma resta distinto da:

- collegio sindacale (art. 2403 c.c.) - controllo di legalità;
- società di revisione esterna - revisione contabile (artt. 14-15 D.Lgs. 39/2010);
- Organismo di Vigilanza ex D.Lgs. 231/2001;
- IVASS - vigilanza pubblica.

Standard professionali

L'attività si conforma agli standard internazionali (IIA - Institute of Internal Auditors) e alle linee guida EIOPA. Il responsabile deve possedere requisiti professionali specifici (Regolamento IVASS n. 38/2018, art. 8).