- L'impresa si dota di un efficace sistema di controllo interno
- Comprende procedure amministrative e contabili, trasmissione informazioni, funzione di verifica della conformità
- La funzione compliance presta consulenza al CdA sull'osservanza normativa
- Valuta impatto delle modifiche del quadro normativo e degli orientamenti giurisprudenziali
- Identifica e valuta il rischio di non conformità
Testo dell'articoloVigente
Art. 30-quater D.Lgs. 209/2005 — (Sistema di controllo interno)
D.Lgs. 7 settembre 2005, n. 209 — Codice delle assicurazioni private
((
1. L'impresa si dota di un efficace sistema di controllo interno.
2. Il sistema di controllo interno comprende almeno la predisposizione di idonee procedure amministrative e contabili, l'organizzazione di un adeguato sistema di trasmissione delle informazioni per ogni livello dell'impresa, nonché l'istituzione della funzione di verifica della conformità dell'attività dell'impresa alla normativa vigente, alle direttive e alle procedure aziendali.
3. La funzione di verifica della conformità svolge l'attività di consulenza al consiglio di amministrazione sull'osservanza delle norme legislative, regolamentari e delle norme europee direttamente applicabili, effettua la valutazione del possibile impatto sulle attività dell'impresa derivanti da modifiche del quadro normativo e degli orientamenti giurisprudenziali e identifica e valuta il rischio di non conformità.
))
Commento
Il presidio dei controlli
L'articolo 30-quater disciplina il sistema di controllo interno, una delle componenti fondamentali della governance assicurativa. Il sistema è essenzialmente uno scudo difensivo: insieme di procedure, persone e strumenti che mira a prevenire errori, frodi, violazioni normative e disfunzioni operative.
Le tre componenti minime
Il comma 2 elenca tre componenti minime del sistema:
1. Procedure amministrative e contabili idonee. Devono garantire:
- registrazione tempestiva e completa delle operazioni;
- separazione delle funzioni incompatibili (segregation of duties);
- riconciliazioni periodiche;
- conservazione documentale conforme al codice civile (artt. 2214 ss.) e al D.P.R. 600/1973.
2. Sistema adeguato di trasmissione delle informazioni. I flussi devono raggiungere ogni livello dell'impresa con tempestività e accuratezza, sostenendo la decisione manageriale e il controllo del CdA.
3. Funzione di verifica della conformità (compliance). È una delle quattro funzioni fondamentali dell'art. 30. Verifica l'osservanza dell'attività dell'impresa rispetto alla normativa vigente, alle direttive e alle procedure aziendali.
Il ruolo della funzione compliance
Il comma 3 dettaglia le tre attività della funzione di verifica della conformità:
a) Consulenza al CdA sull'osservanza delle norme legislative, regolamentari e europee direttamente applicabili. È funzione consultiva e propositiva, non meramente ispettiva.
b) Valutazione dell'impatto delle modifiche normative e degli orientamenti giurisprudenziali. È funzione di legal monitoring: identifica le novità che possono incidere sull'attività e ne valuta le ricadute operative. Particolarmente rilevante nel diritto assicurativo, soggetto a continua evoluzione (IDD, GDPR, AI Act, ESG).
c) Identificazione e valutazione del rischio di non conformità. È un'attività di risk management settoriale: censimento dei rischi compliance, mappatura dei processi sensibili, definizione di matrice rischio-controllo.
Indipendenza e collocazione
Il Regolamento IVASS n. 38/2018 e gli orientamenti EIOPA richiedono che la funzione compliance:
- riporti direttamente al CdA o a un comitato endoconsiliare;
- disponga di risorse adeguate (umane, finanziarie, tecnologiche);
- abbia accesso a tutte le informazioni necessarie;
- sia indipendente dalle funzioni operative oggetto di verifica.
Il responsabile della compliance deve possedere requisiti di onorabilità e professionalità ex art. 76 e Regolamento IVASS n. 38/2018, art. 8.
Relazione con altre funzioni
La funzione compliance opera in stretto raccordo con:
- la funzione di gestione dei rischi (art. 30-bis), per il rischio di non conformità;
- la funzione di revisione interna (art. 30-quinquies), che ne valuta l'efficacia;
- la funzione antiriciclaggio (D.Lgs. 231/2007);
- l'Organismo di Vigilanza ex D.Lgs. 231/2001.
Reporting periodico
La funzione produce, almeno annualmente, una relazione al CdA che illustra: attività svolte, rischi rilevati, eventi compliance significativi, raccomandazioni. La relazione è disponibile per l'IVASS nelle ispezioni e nei controlli a distanza.
Sanzioni per inadeguatezza
L'IVASS ha sanzionato in più occasioni imprese con funzione compliance sottodimensionata o non indipendente. Le sanzioni colpiscono sia la società sia i singoli responsabili. La giurisprudenza amministrativa ha confermato la legittimità di tali provvedimenti (TAR Lazio sez. II-quater, sentenze 2021-2023).
Casi pratici
Caso 1: Riassetto della compliance dopo ispezione
Caso 2: Compliance sulle nuove regole IDD
Domande frequenti
Cos'è la funzione di compliance in un'impresa assicurativa?
È una delle quattro funzioni fondamentali del sistema di governo societario. Verifica la conformità dell'attività dell'impresa alle norme, presta consulenza al CdA, monitora le evoluzioni normative e identifica i rischi di non conformità. È indipendente e riporta direttamente al consiglio.
A chi riporta la funzione di compliance?
Riporta direttamente al consiglio di amministrazione o a un comitato endoconsiliare dedicato. Non può riportare gerarchicamente alla direzione operativa, per non comprometterne l'indipendenza dalle funzioni che è chiamata a verificare.
Quali sono le conseguenze di una funzione compliance inadeguata?
L'IVASS può applicare sanzioni amministrative sia all'impresa sia ai responsabili, richiedere il riassetto della funzione, in casi gravi adottare provvedimenti restrittivi dell'attività. Inoltre l'inadeguatezza può integrare la violazione dell'art. 29-bis sulla responsabilità ultima del CdA.
Vedi anche