Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche

Testo dell'articoloVigente

Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.

Art. 30-quinquies D.Lgs. 209/2005 – (Funzione di revisione interna)

D.Lgs. 7 settembre 2005, n. 209 – Codice delle assicurazioni private

((

1. L'impresa istituisce una efficace funzione di revisione interna e ne garantisce l'autonomia di giudizio e l'indipendenza rispetto alle funzioni operative.

2. La funzione di revisione interna include la valutazione dell'adeguatezza e l'efficacia del sistema di controllo interno e delle ulteriori componenti del sistema di governo societario dell'impresa di cui al presente Capo.

3. La funzione di revisione interna comunica al consiglio di amministrazione le risultanze e le raccomandazioni in relazione all'attività svolta, indicando gli interventi correttivi da adottare in caso di rilevazione di disfunzioni e criticità. Il consiglio di amministrazione definisce i provvedimenti da porre in essere in relazione a ciascuna raccomandazione ricevuta e individua le misure dirette ad eliminare le carenze riscontrate dalla funzione di revisione interna, garantendone l'attuazione.

))

In sintesi

  • L'impresa istituisce un'efficace funzione di revisione interna
  • Autonomia di giudizio e indipendenza rispetto alle funzioni operative
  • Valuta adeguatezza ed efficacia del sistema di controllo interno e della governance complessiva
  • Comunica risultanze e raccomandazioni al CdA
  • Il CdA definisce gli interventi correttivi e ne garantisce l'attuazione
Indice dei contenuti

L'occhio terzo dell'impresa

L'articolo 30-quinquies disciplina la funzione di revisione interna (internal audit), terza linea di difesa nel modello three lines of defence che orienta la governance assicurativa europea. È una funzione di assurance: verifica indipendente sull'efficacia di tutto il sistema di controllo interno e della governance complessiva.

Autonomia di giudizio e indipendenza

Il comma 1 sottolinea due caratteristiche essenziali:

Autonomia di giudizio: la funzione formula valutazioni proprie, non condizionate dalle posizioni delle aree auditate. Le metodologie di audit, i giudizi sui livelli di rischio e di controllo, le raccomandazioni sono espressione autonoma.

Indipendenza rispetto alle funzioni operative: la funzione non è gerarchicamente subordinata a quelle che è chiamata a controllare. Riporta direttamente al CdA o a un comitato endoconsiliare (tipicamente il Comitato Controllo e Rischi).

L'indipendenza è anche personale: il responsabile dell'internal audit non può ricoprire ruoli operativi e i suoi compensi non possono essere collegati ai risultati delle aree auditate.

Il perimetro di valutazione

Il comma 2 definisce l'oggetto della revisione interna:

1. Adeguatezza ed efficacia del sistema di controllo interno. Verifica che il sistema disegnato (art. 30-quater) sia idoneo a presidiare i rischi e che funzioni effettivamente nella pratica.

2. Altre componenti del sistema di governo societario: gestione dei rischi (art. 30-bis), ORSA (art. 30-ter), funzione attuariale (art. 30-sexies), esternalizzazione (art. 30-septies), politica di remunerazione.

In sostanza, l'internal audit è la funzione che valuta tutte le altre funzioni e l'organizzazione complessiva.

Comunicazione al CdA

Il comma 3 stabilisce un flusso comunicativo strutturato: la funzione comunica al consiglio le risultanze e le raccomandazioni in relazione all'attività svolta, indicando gli interventi correttivi necessari in caso di rilevazione di disfunzioni e criticità.

Lo strumento principale è la relazione annuale, integrata da relazioni tematiche su singole missioni di audit. Per i casi gravi è prevista la comunicazione immediata (red flag reporting).

Il follow-up: responsabilità del CdA

Il comma 3 chiude con un punto cruciale: il CdA definisce i provvedimenti da porre in essere in relazione a ciascuna raccomandazione e individua le misure per eliminare le carenze, garantendone l'attuazione.

È applicazione del principio di accountability ultima del CdA (art. 29-bis). La funzione internal audit individua i problemi e propone soluzioni; il consiglio decide e fa eseguire. Senza follow-up effettivo, le risultanze audit restano lettera morta e l'IVASS può sanzionare il consiglio.

Piano di audit

L'attività della funzione è strutturata da un piano di audit annuale (e pluriennale), approvato dal CdA, costruito secondo logica risk-based: maggiore presidio sulle aree a maggior rischio. Le missioni tipiche riguardano:

- riserve tecniche e politiche di sottoscrizione;
- investimenti e gestione del portafoglio;
- gestione sinistri e antifrode;
- IT e cybersecurity;
- antiriciclaggio;
- privacy e protezione dei dati;
- esternalizzazioni rilevanti.

Coordinamento con altri controlli

L'internal audit coopera ma resta distinto da:

- collegio sindacale (art. 2403 c.c.) - controllo di legalità;
- società di revisione esterna - revisione contabile (artt. 14-15 D.Lgs. 39/2010);
- Organismo di Vigilanza ex D.Lgs. 231/2001;
- IVASS - vigilanza pubblica.

Standard professionali

L'attività si conforma agli standard internazionali (IIA - Institute of Internal Auditors) e alle linee guida EIOPA. Il responsabile deve possedere requisiti professionali specifici (Regolamento IVASS n. 38/2018, art. 8).

Casi pratici

Caso 1: Audit sulle politiche di sottoscrizione

Caso 2: Mancato follow-up sanzionato dall'IVASS

Domande frequenti

Qual è la differenza tra internal audit e funzione di compliance?

La compliance verifica in via preventiva e continuativa l'osservanza delle norme; l'internal audit valuta a posteriori e con metodo strutturato l'efficacia complessiva del sistema di controllo, inclusa la funzione compliance stessa. La prima è la seconda linea, il secondo è la terza.

Chi nomina il responsabile dell'internal audit?

Il consiglio di amministrazione, sentito il collegio sindacale e tipicamente su proposta del Comitato Controllo e Rischi. La nomina deve garantire indipendenza: il responsabile non può ricoprire ruoli operativi e riporta direttamente al consiglio.

Cosa accade se il CdA non recepisce le raccomandazioni dell'audit?

Il CdA viola l'obbligo di follow-up del comma 3. L'IVASS può rilevarlo nelle ispezioni e adottare provvedimenti sanzionatori sia verso la società sia verso i singoli amministratori, anche ex art. 29-bis. Il consiglio resta inoltre civilmente responsabile per gli eventuali danni.

Ultimo aggiornamento redazionale: 2026-05-23
Vedi anche
A cura di
Andrea Marton — Dottore in Economia e Finanza, praticante commercialista
Fondatore e responsabile editoriale di Legge in Chiaro, portale di divulgazione giuridica e fiscale gratuita su 101 testi e codici italiani. I contenuti sono curati e rivisti da un team di laureati in economia; hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.