Gazzetta n. 168 del 21 luglio 2018 (vai al sommario) ISTITUTO PER LA VIGILANZA SULLE ASSICURAZIONI PROVVEDIMENTO 3 luglio 2018 Disposizioni in materia di sistema di governo societario di cui al Titolo III (esercizio dell'attivita' assicurativa) e in particolare al Capo I (disposizioni generali), articoli 29-bis, 30, 30-bis, 30-quater, 30-quinques, 30-sexies, 30-septies, nonche' di cui al Titolo XV (vigilanza sul gruppo), e in particolare al Capo III (strumenti di vigilanza sul gruppo), articolo 215-bis (sistema di governo societario del gruppo), del decreto legislativo 7 settembre 2005, n. 209 - codice delle assicurazioni private - modificato dal decreto legislativo 12 maggio 2015, n. 74, conseguente all'attuazione nazionale delle linee guida emanate da EIOPA sul sistema di governo societario. (Regolamento n. 38). L'ISTITUTO PER LA VIGILANZA SULLE ASSICURAZIONI Vista la legge 12 agosto 1982, n. 576, e successive modificazioni ed integrazioni, concernente la riforma della vigilanza sulle assicurazioni e l'istituzione dell'ISVAP; Visto l'art. 13 del decreto-legge 6 luglio 2012, n. 95, convertito con legge 7 agosto 2012, n. 135, concernente disposizioni urgenti per la revisione della spesa pubblica con invarianza dei servizi ai cittadini e recante l'istituzione dell'IVASS; Visto il decreto del Presidente della Repubblica 12 dicembre 2012, pubblicato nella Gazzetta Ufficiale della Repubblica italiana - Serie generale - n. 303 del 31 dicembre 2012, che ha approvato lo Statuto dell'IVASS, entrato in vigore il 1° gennaio 2013; Visto il regolamento di organizzazione dell'IVASS ed il relativo organigramma, approvati dal Consiglio dell'Istituto con delibere n. 46 del 24 aprile 2013, n. 63 del 5 giugno 2013 e n. 68 del 10 giugno 2013 recanti il piano di riassetto organizzativo dell'IVASS, emanato ai sensi dell'art. 13, comma 34, del decreto-legge 6 luglio 2012, n. 95, convertito con modificazioni dalla legge 7 agosto 2012, n. 135, e ai sensi dell'art. 5, comma 1, lettera a), dello Statuto dell'IVASS; Visto il decreto legislativo 7 settembre 2005, n. 209, recante il Codice delle assicurazioni private e successive modificazioni e, in particolare, gli articoli 29-bis, 30, 30-bis, 30-quater, 30-quinquies, 30-sexies, 30-septies e 215-bis; Visto il regolamento delegato (UE) 2015/35 della Commissione, del 10 ottobre 2014, che integra la direttiva n. 2009/138/CE in materia di accesso ed esercizio delle attivita' di assicurazione e riassicurazione ed, in particolare, gli articoli da 258 a 275; Viste le Linee guida emanate da EIOPA in tema di sistema di governance; Vista la circolare ISVAP n. 574/D del 23 dicembre 2005, recante disposizioni in materia di riassicurazione passiva; Visto il regolamento ISVAP n. 20 del 26 marzo 2008, recante disposizioni in materia di controlli interni, gestione dei rischi, compliance ed esternalizzazione delle attivita' delle imprese di assicurazione; Visto il regolamento ISVAP n. 39 del 9 giugno 2011, relativo alle politiche di remunerazione delle imprese di assicurazione; Visto il regolamento IVASS n. 3 del 5 novembre 2013 sull'attuazione delle disposizioni di cui all'art. 23 della legge 28 dicembre 2005, n. 262, in materia di procedimenti per l'adozione di atti regolamentari e generali dell'Istituto; Adotta il seguente regolamento: Art. 1 Fonti normative 1. Il regolamento e' adottato ai sensi degli articoli 5, comma 2, 30, comma 7, 30-septies, comma 4, 190, comma 1, 191, comma 1, lettere b. 1), c), e) ed s), 213, comma 2, 214-bis, comma 1, 215-bis, comma 1, del decreto legislativo 7 settembre 2005, n. 209, come modificato dal decreto legislativo 12 maggio 2015, n. 74.   Allegato 1 Documento sulle politiche di indirizzo - contenuto minimo Ciascuna politica definita dall'organo amministrativo illustra con chiarezza quantomeno: gli obiettivi perseguiti dalla politica; i compiti da svolgere e il responsabile di tali compiti; i processi e le procedure di segnalazione da applicare; l'obbligo delle unita' organizzative interessate di comunicare alle funzioni fondamentali, per gli aspetti di rispettiva competenza, qualsiasi fatto rilevante per l'adempimento dei rispettivi doveri. Di seguito vengono indicati i contenuti minimali richiesti nelle politiche d'indirizzo definite dall'organo amministrativo, da declinarsi con un livello di dettaglio adeguato alla natura, alla portata e alla complessita' dell'attivita' aziendale: Politica di data governance a) gli obiettivi perseguiti dalla politica; b) i processi e le procedure utilizzati per la acquisizione, registrazione e reporting dei dati utilizzati per tracciare tempestivamente tutte le operazioni aziendali e per produrre informazioni complete e aggiornate sulle attivita' aziendali e sull'evoluzione dei rischi, incluse le procedure per la segnalazione dei dati e delle informazioni all'IVASS; c) i ruoli, le funzioni e le responsabilita' coinvolte nella gestione dei dati; in particolare: i) l'organo amministrativo approva i processi di qualita' e trattamento dei dati e riceve una informativa almeno annuale circa la conformita' dell'operativita' aziendale alla presente politica; ii) l'organo con funzione di gestione o, su sua delega, il CDO (chief data officier) e/o le funzioni responsabili della qualita' dei dati, assicurano la completezza, l'adeguatezza (in termini di efficacia ed efficienza) e l'affidabilita' dei processi di trattamento dei dati; iii) le funzioni coinvolte nell'utilizzo e nel trattamento a fini operativi e gestionali delle informazioni aziendali (data owner) promuovono, di norma con cadenza annuale, le opportune iniziative informatiche, verificandone la coerenza con le esigenze di trattamento del dato espresse dalle linee di business e tenuto conto delle strategie aziendali; iv) la revisione interna verifica i processi di qualita' e trattamento dei dati e la coerenza, a campione, dei dati aggregati (ad es. a fini di risk management o business intelligence) con le operazioni archiviate nei sistemi gestionali; d) l'elenco delle fonti - inclusi i processi di acquisizione di dati da information provider esterni - e delle procedure di aggregazione e trasformazione del dato, con indicazione delle metodologie di valutazione adottate; l'intero ciclo di vita del dato, dalle procedure di estrazione, trasformazione, controllo e caricamento negli archivi accentrati, alla gestione dei metadati e dei reference data, sino alle funzioni di sfruttamento, e' documentato e, per i dati critici, tracciato; sono previste le circostanze in cui e' ammessa l'immissione o la rettifica manuale di dati aziendali; e) il livello di granularita' per la conservazione dei dati, adeguato a consentire le diverse analisi e aggregazioni richieste dalle procedure di sfruttamento e di reporting all'interno dell'impresa, all'autorita' di vigilanza e al mercato; f) i controlli per assicurare nel continuo e misurare la qualita' dei dati, con riferimento all'integrita', alla completezza e alla correttezza, inclusi i presidi per l'adempimento puntuale degli obblighi informativi verso l'IVASS; possono essere definiti i key quality indicator da riportare periodicamente agli utenti di business, alle funzioni di controllo e all'organo con funzione di gestione, e previste verifiche periodiche per risolvere i conflitti tra dati rilevati da fonti diverse; g) i sistemi di classificazione e protezione dei dati da minacce interne ed esterne, in conformita' con la vigente normativa sulla privacy; l'accesso degli utenti ai dati classificati ad alta riservatezza e' tracciato; h) la verifica, almeno annuale, della conformita' dell'operativita' aziendale con la politica di data governance, orientata all'individuazione degli opportuni interventi e iniziative di miglioramento dell'efficacia ed adeguatezza del sistema. Tali verifiche possono comportare la revisione della presente politica, ove necessaria; i) per le imprese incluse in gruppi assicurativi, le procedure di acquisizione dei dati della capogruppo dalle controllate e da ogni altra dipendenza nonche' i controlli per assicurare l'integrazione tra le informazioni provenienti da tutte le componenti del gruppo; la politica di data governance delle singole imprese e' coerente con quella di gruppo. La politica di data governance e' coordinata con la politica sulle informazioni da fornire all'IVASS e di informativa al pubblico (c.d. reporting policy) di cui agli articoli 47-quater e 47-septies del Codice e relative disposizioni di attuazione e con la politica delle informazioni statistiche definita nelle disposizioni di attuazione dell'art. 190-bis del Codice. Politica in materia di requisiti di onorabilita', professionalita' e indipendenza: a) descrizione delle procedure per l'individuazione delle posizioni di cui all'art. 76, comma 1-bis, del Codice, anche in caso di esternalizzazione, e per la relativa notifica all'IVASS; b) descrizione dei requisiti di professionalita', onorabilita' e indipendenza in capo ai soggetti di cui all'art. 76, comma 1, del Codice, anche in caso di esternalizzazione, al momento dell'assunzione dell'incarico e nel continuo e delle relative procedure di valutazione; c) descrizione delle situazioni che comportano una nuova valutazione dei requisiti di onorabilita', professionalita' e indipendenza, tra le quali vanno almeno considerate le ipotesi in cui sussistono ragioni per ritenere che: v) un soggetto puo' indurre l'impresa ad agire in contrasto con la normativa vigente; vi) un soggetto puo' aumentare il rischio che siano commessi reati finanziari; vii) un soggetto puo' mettere in pericolo la sana e prudente gestione dell'impresa. d) descrizione dei requisiti di professionalita', onorabilita' e indipendenza dell'ulteriore personale in grado di incidere in maniera significativa sul profilo di rischio dell'impresa anche in caso di esternalizzazione e delle relative procedure di valutazione al momento dell'assunzione dell'incarico e nel continuo. Politica di gestione del capitale a) descrizione delle procedure atte a garantire che gli elementi dei fondi propri, sia al momento dell'emissione che successivamente, siano classificati, in coerenza con le disposizioni di cui al Titolo III, Capo IV, Sezione II, del Codice, in base alle caratteristiche ed ai livelli di cui agli articoli 71, 73, 75 e 77 degli atti delegati; b) descrizione delle procedure per monitorare livello per livello l'emissione di elementi dei fondi propri, secondo il piano di gestione del capitale a medio termine e per assicurare, prima dell'emissione di qualsiasi elemento dei fondi propri, l'osservanza nel continuo dei criteri previsti per l'appartenenza al livello di appartenenza; c) descrizione delle procedure per monitorare che gli elementi dei fondi propri non sono gravati dall'esistenza di accordi o di operazioni connesse, o in conseguenza alla struttura di gruppo, che ne compromettono l'efficacia come capitale; d) descrizione delle procedure per garantire che le azioni richieste o consentite in base alle disposizioni contrattuali, legislative e regolamentari che disciplinano un elemento dei fondi propri siano avviate e portate a termine in modo tempestivo; e) descrizione delle procedure per garantire che gli elementi dei fondi propri accessori possano essere, ed in effetti siano, richiamati in modo tempestivo in caso di necessita'; f) descrizione delle procedure per individuare e documentare eventuali accordi, atti legislativi o prodotti che danno origine a fondi separati, e garantire che siano effettuati adeguati calcoli ed aggiustamenti nella determinazione del Requisito Patrimoniale di Solvibilita' e dei fondi propri; g) descrizione delle procedure volte ad assicurare che le condizioni contrattuali che disciplinano i fondi propri siano chiare ed inequivocabili in relazione ai criteri di classificazione in livelli; h) descrizione delle procedure volte a garantire che qualsiasi politica o dichiarazione concernente i dividendi spettanti alle azioni ordinarie sia tenuta in considerazione sotto il profilo della posizione del capitale e della valutazione dei dividendi prevedibili; i) descrizione delle procedure volte a individuare e documentare le situazioni in cui le distribuzioni degli elementi dei fondi propri possono essere annullate o rinviate; l) descrizione delle procedure per individuare, documentare e far rispettare le circostanze in cui le distribuzioni relative a un elemento dei fondi propri debbano essere differite o annullate in conformita' degli articoli 71, paragrafo 1, lettera i), e 73, paragrafo 1, lettera g) degli Atti delegati; m) descrizione delle procedure per individuare in che misura l'impresa si basa su elementi dei fondi propri soggetti alle misure transitorie di cui all'art. 344-quinquies del Codice; n) descrizione delle procedure per assicurare che la modalita' con cui gli elementi dei fondi propri, soggetti a misure transitorie, operano nei momenti di stress e, in particolare, le modalita' con cui gli elementi assorbono le perdite sono valutate e, se necessario, prese in considerazione nell'ambito della valutazione interna del rischio e della solvibilita' di cui all'art. 30-ter del Codice e relative disposizioni di attuazione; o) individuazione di specifici limiti agli impegni e alle garanzie fornite dall'impresa anche con riguardo a strumenti considerati dall'impresa ricevente come fondi propri accessori, insieme alla valutazione dell'impatto dell'eventuale realizzazione degli impegni sugli elementi di fondi propri dell'impresa. Politica di gestione dei rischi a) definizione delle categorie di rischio, anche tenuto conto della catalogazione di cui all'art. 19 del presente regolamento, e delle metodologie per misurare i rischi; b) definizione delle modalita' tramite cui l'impresa gestisce ciascuna categoria di rischio significativo o area di rischio, e ogni potenziale aggregazione di rischi; c) descrizione della connessione con il fabbisogno di solvibilita' globale, secondo quanto previsto dall'allegato 1 alle disposizioni di attuazione dell'art. 30-ter del Codice in materia di valutazione interna del rischio e della solvibilita'; d) specificazione dei limiti di tolleranza del rischio all'interno di tutte le categorie di rischio rilevanti, in linea con la propensione globale di rischio dell'impresa; e) descrizione della frequenza e del contenuto degli stress test eseguiti regolarmente e nelle situazioni particolari che richiedono specifici stress test, nonche' di eventuali ulteriori analisi quantitative; f) ove venga applicato l'aggiustamento per la volatilita' di cui all'art. 36-septies del Codice, definizione dei criteri di applicazione di detto aggiustamento. Per gli aspetti connessi con i rischi di sottoscrizione e di riservazione a) tipi e caratteristiche dell'attivita' di assicurazione (tipo di rischio assicurativo che l'impresa intende assumere); b) modalita' che si intendono seguire per garantire che la raccolta dei premi sia adeguata a coprire i sinistri previsti e le relative spese; c) individuazione dei rischi derivanti dagli impegni assicurativi dell'impresa compresi i valori garantiti di riscatto le opzioni incorporate nei contratti; d) il modo in cui l'impresa, nel processo di progettazione di un nuovo prodotto assicurativo e del calcolo del relativo premio, tiene conto delle limitazioni degli investimenti; e) modalita' con cui l'impresa, nel processo di progettazione di un nuovo prodotto assicurativo e del calcolo del relativo premio, tiene conto della riassicurazione o di altre tecniche di mitigazione del rischio e della loro efficacia. Per gli aspetti connessi alla politica di gestione del rischio operativo a) individuazione dei rischi operativi, in particolare quelli significativi, ai quali l'impresa e' o potrebbe essere esposta, e valutazioni per attenuarli; b) attivita' e processi interni per la gestione del rischio operativo, compreso il sistema informatico di supporto; c) limiti di tolleranza al rischio rispetto alle principali aree di rischio operativo individuate. Per gli aspetti connessi alla riassicurazione e alle altre tecniche di attenuazione del rischio a) l'individuazione del livello di trasferimento dei rischi adeguato ai limiti di tolleranza al rischio definiti dall'impresa stessa, nonche' la tipologia di accordi di riassicurazione piu' adatti al profilo di rischio dell'impresa, con l'indicazione della tipologia di riassicurazione prescelta ed in particolare l'identificazione dei criteri per la definizione della percentuale di cessione dei premi e dei rischi e del livello di ritenzione netta per linee di attivita'; b) i principi e i criteri di selezione delle controparti riassicurative, nonche' le procedure di valutazione e monitoraggio della diversificazione e dell'affidabilita' creditizia delle stesse, anche in considerazione della rilevanza delle transazioni. A tal fine, sono individuati almeno i seguenti aspetti: i) la struttura e la composizione dell'azionariato di riferimento dei riassicuratori e la loro eventuale appartenenza ad un gruppo od ad un conglomerato; ii) la solidita' economico-patrimoniale e finanziaria dei riassicuratori desunta dalle informative di natura quantitativa e qualitativa rese al pubblico e da ulteriori informazioni disponibili dai bilanci individuali e consolidati relativi all'ultimo triennio; iii) il livello di rating attribuito da un soggetto terzo, con indicazione della societa' che lo ha rilasciato, nonche', ove disponibili, il merito di credito attribuito da una valutazione autonoma del rischio e l'indice di solvibilita' del riassicuratore; iv) il quadro normativo dello Stato nel quale ha sede il riassicuratore, avuto particolare riguardo in particolare alle giurisdizioni ritenute equivalenti dalla Commissione europea ai sensi dell'art. 172, paragrafo 2, della direttiva Solvency II; v) il grado del rischio di controparte dei riassicuratori su base individuale e di gruppo; vi) i limiti all'impegno complessivo, su base individuale e di gruppo, a carico delle singole controparti, anche in relazione alla durata dei rischi ceduti (affari long-tail). c) le procedure di valutazione del trasferimento del rischio effettivo, nonche' la considerazione del rischio di base; d) la gestione della liquidita' atta ad affrontare eventuali disallineamenti temporali tra liquidazioni dei sinistri e importi recuperabili nei confronti di riassicuratori, dotandosi ove necessario di idonee previsioni contrattuali; e) le procedure di monitoraggio dell'eventuale ricorso alla riassicurazione in facoltativo; f) i criteri per l'eventuale ricorso a contratti di riassicurazione non tradizionale, inclusi i contratti di riassicurazione finanziaria o di riassicurazione finite; g) i criteri e le procedure per l'eventuale ricorso a tecniche alternative di mitigazione del rischio (ad es. SPV, strumenti finanziari con componenti tecniche assicurative), con l'illustrazione delle relative caratteristiche, nonche' i processi di valutazione e monitoraggio delle relative posizioni contrattuali; h) il grado di copertura prescelto per far fronte ai rischi catastrofali. Piano di emergenza rafforzato di un gruppo rilevante a fini di stabilita' finanziaria di cui all'art. 83 a) una sintesi degli elementi essenziali del piano e delle modifiche significative apportate rispetto all'approvazione dell'ultimo piano di emergenza rafforzato di gruppo; b) l'individuazione delle funzioni fondamentali o essenziali e importanti a livello di gruppo, nonche' delle linee di business principali con indicazione delle misure finalizzate al loro mantenimento nelle situazioni di stress finanziario; c) gli indicatori che identificano le situazioni in presenza delle quali sono adottate le misure del piano rafforzato; d) una descrizione dettagliata di: i) le misure/interventi da adottarsi a livello di gruppo per ripristinare la posizione finanziaria di una societa' del gruppo, senza danneggiare la solidita' finanziaria del gruppo stesso; ii) le modalita' tramite le quali, in seguito all'attuazione di una misura di cui alla lettera i), il gruppo nel suo complesso e qualsiasi societa' che ad esso appartiene continuano la propria attivita' secondo un modello di business economicamente sostenibile; iii) le modalita' tramite le quali sono assicurati il coordinamento e la coerenza delle misure che devono essere adottate, rispettivamente, a livello di ultima societa' controllante italiana o di altre societa' del gruppo interessate dal piano rafforzato; e) le necessarie forme di raccordo tra i processi del sistema di Governo societario di gruppo e quelli del sistema di Governo societario delle societa' del gruppo; f) l'indicazione delle soluzioni idonee per superare: i) gli ostacoli all'attuazione di misure di cui alla lettera d)), punto i) all'interno del gruppo; ii) i sostanziali ostacoli, di carattere pratico o giuridico, all'immediato trasferimento di fondi propri o al rimborso di passivita' o attivita' all'interno del gruppo; g) misure preparatorie che l'ultima societa' controllante italiana ha attuato o intende attuare al fine di agevolare l'attuazione del piano di emergenza rafforzato di gruppo; h) ulteriori azioni o strategie di gestione intese a ripristinare la solidita' finanziaria del gruppo, nonche' gli effetti finanziari previsti di tali azioni o strategie; i) un piano di comunicazione ed informazione che delinea le modalita' con le quali l'ultima societa' controllante italiana intende gestire le eventuali reazioni potenzialmente negative del mercato; l) indicazioni riguardanti la gestione del rischio di liquidita', che includano, su un arco temporale sufficientemente esteso, la proiezione del fabbisogno di liquidita' e delle relative fonti tenendo conto di scenari di difficolta' finanziaria e di grave stress macroeconomico; m) ogni altra ulteriore informazione richiesta dall'IVASS, in esito alle verifiche effettuate, ad integrazione di quelle recate dal piano rafforzato. Politica di revisione interna a) termini e condizioni alle quali la funzione di revisione interna puo' essere chiamata ad esprimere un parere o a fornire assistenza o a svolgere compiti speciali; b) eventuali norme sulle procedure interne che il responsabile della funzione deve seguire prima di informare l'IVASS; c) eventuale indicazione di criteri di rotazione degli incarichi assegnati al personale della funzione. Politica di esternalizzazione e scelta dei fornitori a) criteri e processi di individuazione delle attivita' da esternalizzare applicabili nel continuo; b) criteri che guidano il processo per la qualificazione delle funzioni o delle attivita' come essenziali o importanti in aggiunta a quanto previsto dall'art. 2, lettera c) del presente regolamento, ivi inclusi quelli per i quali e' richiesta la preventiva autorizzazione dell'organo amministrativo; c) criteri di selezione dei fornitori, sotto il profilo della professionalita', dell'onorabilita', dell'indipendenza, della capacita' finanziaria e del rispetto delle autorizzazioni prescritte dalla legge per l'esercizio delle funzioni o attivita' esternalizzate; d) c-bis) processo di verifica, di cui all'art. 62, commi 2 e 3, da porre in essere preliminarmente alla conclusione del contratto; metodi per la valutazione del livello dei risultati e delle prestazioni del fornitore (service level agreement) e indicazione della frequenza delle valutazioni; e) indicazione delle informazioni dettagliate da includere nell'accordo di esternalizzazione con il fornitore di servizi, tenendo conto dei requisiti di cui all'art. 274 degli atti delegati; in particolare, in tale ambito: i) individuazione delle condizioni in presenza delle quali viene consentito al fornitore di un servizio esternalizzato di ricorrere alla sub-esternalizzazione, fatti salvi gli obblighi di approvazione previsti dall'art. 5, comma 2, lettera m) del regolamento; f) riferimento al piano di emergenza dell'impresa di cui all'art. 19, commi 5 e 6 del presente regolamento, e alle relative procedure, in cui sono incluse le strategie di uscita e di eventuale nuova assegnazione in esternalizzazione, nei casi di esternalizzazioni di funzioni e attivita' essenziali o importanti.   Allegato 2 Parte di provvedimento in formato grafico   Allegato 3 Parte di provvedimento in formato grafico   Art. 2 Definizioni 1. Ai fini del presente regolamento valgono le definizioni dettate dal decreto legislativo 7 settembre 2005, n. 209, come novellato dal decreto legislativo 12 maggio 2015, n. 74, attuativo della direttiva n. 2009/138/CE e dal regolamento delegato 2015/35 della Commissione europea. In aggiunta si intende per: a) «alta direzione»: l'amministratore delegato, il direttore generale nonche' la dirigenza responsabile ad alto livello del processo decisionale e di attuazione delle strategie; b) «atti delegati»: il regolamento delegato 2015/35 della Commissione del 10 ottobre 2014, che integra la direttiva n. 2009/138/CE in materia di accesso ed esercizio delle attivita' di assicurazione e riassicurazione; c) «attivita' o funzione essenziale o importante»: attivita' o funzione la cui mancata o anomala esecuzione comprometterebbe gravemente la capacita' dell'impresa di continuare a conformarsi alle condizioni richieste per la conservazione dell'autorizzazione all'esercizio, oppure i risultati finanziari, la stabilita' dell'impresa o la continuita' e qualita' dei servizi verso gli assicurati; d) «componente variabile»: la componente della retribuzione concessa sulla base dei risultati conseguiti, comprensiva di bonus, premi e altre forme incentivanti; e) «Codice»: il decreto legislativo 7 settembre 2005, n. 209, come modificato dal decreto legislativo 12 maggio 2015, n. 74; f) «cyber security aziendale»: condizione per la quale l'insieme delle infrastrutture informatiche interconnesse, utilizzate dall'impresa, comprensivo di hardware, software, dati e utenti, nonche' delle relazioni logiche stabilite tra di essi, risulti protetto grazie all'adozione di idonee misure di sicurezza fisica, logica e procedurale, rispetto ad eventi, di natura volontaria o accidentale, consistenti nell'acquisizione e nel trasferimento indebito di dati, nella loro modifica o distruzione illegittima, ovvero nel controllo indebito, danneggiamento, distruzione o blocco del regolare funzionamento delle reti e dei sistemi informativi o dei loro elementi costitutivi; g) «direttiva Solvency II»: la direttiva 2009/138/CE del Parlamento europeo e del Consiglio del 25 novembre 2009 (Solvibilita' II); h) «grave incidente di sicurezza informatica»: un evento, anche a seguito di ripetuti incidenti di minore entita', che implica la violazione o l'imminente minaccia di violazione delle norme e delle prassi aziendali in materia di sicurezza da cui derivi almeno una delle seguenti conseguenze: i) perdite economiche elevate o prolungati disservizi; ii) disservizi per la clientela e le controparti, considerati rilevanti sulla base del numero dei clienti o controparti potenzialmente coinvolti e dell'ammontare a rischio; iii) il rischio di inficiare la capacita' dell'impresa di conformarsi alle condizioni e agli obblighi regolamentari; i) «organo amministrativo»: il Consiglio di amministrazione o, ove non diversamente specificato, nelle imprese che hanno adottato il sistema di cui all'art. 2409-octies del codice civile, il consiglio di gestione ovvero, per le sedi secondarie, il rappresentante generale; l) «organo di controllo»: il collegio sindacale o, nelle imprese che hanno adottato un sistema diverso da quello di cui all'art. 2380, comma 1, del codice civile, il consiglio di sorveglianza o il comitato per il controllo sulla gestione; m) «personale rilevante»: i direttori generali, i dirigenti con compiti strategici, i titolari e il personale di livello piu' elevato delle funzioni fondamentali e le altre categorie del personale la cui attivita' puo' avere un impatto significativo sul profilo di rischio dell'impresa, identificato dall'impresa, in base a scelte motivate ed adeguatamente formalizzate, nel documento di cui all'art. 5, comma 2, lettera i), punto i); n) «rischi emergenti»: i rischi di nuova insorgenza o sviluppo, difficili da quantificare e potenzialmente significativi per l'impresa. Sono tali anche i rischi di cui all'art. 4, comma 4, del regolamento di attuazione degli articoli 30-ter e 215-ter del Codice recante disposizioni in materia di valutazione interna del rischio e della solvibilita' dell'impresa; o) «rischi significativi»: si intendono per tali i rischi di cui all'art. 4, comma 3, del regolamento di attuazione degli articoli 30-ter e 215-ter del Codice recante disposizioni in materia di valutazione interna del rischio e della solvibilita' dell'impresa; p) «S.E.E.»: lo Spazio economico europeo di cui all'accordo di estensione della normativa dell'Unione europea agli Stati appartenenti all'Associazione europea di libero scambio, firmato ad Oporto il 2 maggio 1992 e ratificato con legge 28 luglio 1993, n. 300; q) «societa' quotate»: le societa' quotate di cui all'art. 119 del decreto legislativo 24 febbraio 1998, n. 58; r) «societa' di revisione»: il revisore esterno incaricato dell'attivita' di revisione di cui all'art. 102 del Codice o alle disposizioni attuative di cui agli articoli 47-septies, comma 7, e 191, comma 1, lettera b), punto 3, del Codice; s) «stress test»: analisi finalizzata a valutare l'impatto sulla situazione finanziaria delle imprese di andamenti sfavorevoli dei fattori di rischio, singolarmente considerati o combinati in un unico scenario; t) «ultima societa' controllante italiana»: la societa' di cui all'art. 210, comma 2, del Codice o la societa' individuata dall'IVASS ai sensi dell'art. 210, comma 3, del Codice.   Art. 3 Ambito di applicazione 1. Le disposizioni del presente regolamento si applicano: a) alle imprese di assicurazione e di riassicurazione con sede legale nel territorio della Repubblica italiana; b) alle sedi secondarie nel territorio della Repubblica italiana di imprese di assicurazione e di riassicurazione con sede legale in uno Stato terzo; c) alle imprese di riassicurazione con sede legale nel territorio della Repubblica italiana; d) alle ultime societa' controllanti italiane, limitatamente alle disposizioni di cui alle Parti I, III e IV. Se tali societa' sono a loro volta controllate da un'impresa di assicurazione o riassicurazione, una societa' di partecipazione assicurativa, o di partecipazione finanziaria mista con sede in uno Stato membro, le disposizioni in argomento si applicano nell'ipotesi in cui l'IVASS applichi la vigilanza a livello del sottogruppo nazionale, ai sensi dell'art. 220-bis, comma 3, del Codice e dell'art. 12 delle relative disposizioni di attuazione in materia di vigilanza sul gruppo.   Art. 4 Obiettivi del sistema di governo societario 1. Ai fini di cui all'art. 30 del Codice, le imprese si dotano di un adeguato sistema di governo societario, proporzionato alla natura, alla portata e alla complessita' dei rischi, attuali e prospettici, inerenti all'attivita' svolta, operando a tali fini scelte applicative adeguatamente formalizzate e motivate. Tale sistema assicura, mediante un efficace sistema di controllo interno e gestione dei rischi di cui agli articoli 10 e 17 del presente regolamento: a) l'efficienza e l'efficacia dei processi aziendali; b) l'identificazione, la valutazione anche prospettica, la gestione e l'adeguato controllo dei rischi, in coerenza con gli indirizzi strategici e la propensione al rischio dell'impresa anche in un'ottica di medio-lungo periodo; c) la tempestivita' del sistema di reporting delle informazioni aziendali nonche' d) l'attendibilita' e l'integrita' delle informazioni contabili e gestionali; e) la salvaguardia del patrimonio anche in un'ottica di medio-lungo periodo; f) la conformita' dell'attivita' dell'impresa alla normativa vigente, alle direttive e alle procedure aziendali. 2. I presidi relativi al sistema di governo societario coprono ogni tipologia di rischio aziendale, ivi inclusi quelli di natura ambientale e sociale, generati o subiti, anche secondo una visione prospettica ed in considerazione del fabbisogno complessivo di solvibilita' dell'impresa. La responsabilita' e' rimessa agli organi sociali, ciascuno secondo le rispettive competenze. L'articolazione delle attivita' aziendali nonche' dei compiti e delle responsabilita' degli organi sociali e delle funzioni deve essere chiaramente definita.   Art. 5 Organo amministrativo 1. Ai fini dell'art. 258, paragrafo 6, degli atti delegati e dell'art. 29-bis del Codice, l'organo amministrativo ha la responsabilita' ultima del sistema di governo societario, ne definisce gli indirizzi strategici, ne assicura la costante completezza, funzionalita' ed efficacia, anche con riferimento alle attivita' esternalizzate. L'organo amministrativo provvede altresi' affinche' il sistema di Governo societario sia idoneo a conseguire gli obiettivi di cui all'art. 4 del presente regolamento. 2. Ai fini di cui al comma 1, l'organo amministrativo nell'ambito dei compiti di indirizzo strategico e organizzativo di cui all'art. 2381 del codice civile: a) nel rispetto di quanto previsto dall'art. 30, commi 1 e 2, lettera a) del Codice, approva l'assetto organizzativo dell'impresa, nonche' l'attribuzione di compiti e di responsabilita' alle unita' operative, curandone l'adeguatezza nel tempo, in modo da poterli adattare tempestivamente ai mutamenti degli obiettivi strategici, dell'operativita' e del contesto di riferimento in cui la stessa opera; b) assicura che siano adottati e formalizzati adeguati processi decisionali, che sia attuata una appropriata separazione di funzioni e che i compiti e le responsabilita' siano adeguatamente assegnati, ripartiti e coordinati in linea con le politiche dell'impresa e riflessi nella descrizione degli incarichi e delle responsabilita'. Assicura altresi' che tutti gli incarichi rilevanti siano assegnati e che siano evitate sovrapposizioni non necessarie, promuovendo un'efficace cooperazione tra tutti i membri del personale; c) in coerenza con l'art. 258, paragrafo 4, degli atti delegati, approva, curandone l'adeguatezza nel tempo, il sistema delle deleghe di poteri e responsabilita', avendo cura di evitare l'eccessiva concentrazione di poteri in un singolo soggetto e ponendo in essere strumenti di verifica sull'esercizio dei poteri delegati, con la conseguente possibilita' di prevedere misure adeguate, qualora decida di avocare a se' i poteri delegati; d) in coerenza con l'art. 258, paragrafo 2, degli atti delegati, definisce le direttive in materia di sistema del governo societario, rivedendole almeno una volta l'anno e curandone l'adeguamento alla evoluzione dell'operativita' aziendale e delle condizioni esterne. Nell'ambito di tali direttive approva le politiche relative al sistema di controllo interno, al sistema di gestione dei rischi e alla revisione interna, in linea con quanto previsto dall'art. 30, comma 5, del Codice e quella relativa alla funzione attuariale. A tali fini tiene conto della collocazione assunta da dette funzioni nell'organizzazione e dei poteri loro riconosciuti; definisce e approva altresi' la politica di data governance che individua ruoli e responsabilita' delle funzioni coinvolte nelle valutazioni di qualita' nell'utilizzo e nel trattamento delle informazioni aziendali, assicurando che essa sia coordinata con la politica delle informazioni statistiche definita nelle disposizioni di attuazione dell'art. 190-bis del Codice; con riferimento alla valutazione interna del rischio e della solvibilita', compie gli adempimenti previsti dalle disposizioni emanate in attuazione degli articoli 30-ter e 215-ter del Codice e con riferimento alla concentrazione dei rischi e alle operazioni infragruppo compie gli adempimenti di cui agli articoli 215-quater e 215-quinquies del Codice ed alle relative disposizioni di attuazione; e) determina il sistema degli obiettivi di rischio, definendo, sulla base delle valutazioni di cui alla lettera d) che rilevano a tali fini, ivi inclusa la valutazione interna del rischio e della solvibilita', la propensione al rischio dell'impresa in coerenza con il fabbisogno di solvibilita' globale della stessa, individuando le tipologie di rischio che ritiene di assumere e fissando in modo coerente i relativi limiti di tolleranza al rischio, che rivede almeno una volta l'anno, al fine di assicurarne l'efficacia nel tempo; f) approva le strategie anche in un'ottica di medio-lungo periodo e sulla base degli elementi di cui alle lettere d) ed e), la politica di gestione dei rischi nonche', per le maggiori fonti di rischio identificate, il piano di emergenza (c.d. contingency plan) di cui all'art. 30, comma 4 del Codice e all'art. 19, commi 5 e 6 del presente regolamento, al fine di garantire la regolarita' e continuita' aziendale; g) approva, tenuto conto degli obiettivi strategici ed in coerenza con la politica di gestione dei rischi, le politiche di sottoscrizione, di riservazione, di riassicurazione e delle ulteriori tecniche di mitigazione del rischio nonche' di gestione del rischio operativo, in coerenza con le lettere d), e) e f); h) definisce, ove ne ricorrano i presupposti, le direttive e i criteri per la circolazione e la raccolta dei dati e delle informazioni utili ai fini dell'esercizio della vigilanza sul gruppo di cui al Titolo XV del Codice e delle relative disposizioni di attuazione, nonche' le direttive in materia di controllo interno per la verifica della completezza e tempestivita' dei relativi flussi informativi; i) approva un documento, coerente con le disposizioni di cui alle lettere a), d), e) ed f) da diffondere a tutte le strutture interessate, in cui sono definiti: i) in coerenza con quanto previsto dalla normativa applicabile, i compiti e le responsabilita' degli organi sociali, dei comitati consiliari e delle funzioni fondamentali, e l'identificazione, mediante l'adeguata formalizzazione e motivazione delle relative scelte, delle categorie di soggetti che appartengono all'ulteriore personale rilevante di cui all'art. 2, comma 1, lettera m); ai fini di tale identificazione, si tiene conto, tra l'altro, della posizione rivestita, del grado di responsabilita', del livello gerarchico, dell'attivita' svolta, delle deleghe conferite, dell'ammontare della remunerazione corrisposta, della possibilita' di assumere posizioni di rischio, generare profitti o incidere su altre poste contabili per importi rilevanti; ii) i flussi informativi, ivi comprese le tempistiche, tra le diverse funzioni, i comitati consiliari e tra questi e gli organi sociali; iii) nel caso in cui gli ambiti di attivita' presentino aree di potenziale sovrapposizione o permettano di sviluppare sinergie, le modalita' di coordinamento e di collaborazione tra di essi e con le funzioni operative. Nel definire le modalita' di raccordo, le imprese prestano attenzione a non alterare, anche nella sostanza, le responsabilita' ultime degli organi sociali rispetto al sistema di governo societario; l) nel rispetto di quanto previsto dall'art. 258, paragrafo 1, lettera l) degli atti delegati e in coerenza con le disposizioni di cui al Capo VII del presente Titolo, definisce e rivede periodicamente le politiche di remunerazione, ai fini dell'approvazione dell'assemblea ordinaria prevista dall'art. 41 del presente regolamento, ed e' responsabile della loro corretta applicazione; m) nel rispetto di quanto previsto dall'art. 274 degli atti delegati e dall'art. 30, comma 5, del Codice, approva la politica aziendale in materia di esternalizzazione, definendone la strategia ed i processi applicabili per tutta la relativa durata; n) nel rispetto di quanto previsto dagli articoli 258, paragrafo 1, lettere c) e d), 273 degli atti delegati e 76 del Codice e relative disposizioni di attuazione, approva la politica aziendale per l'identificazione e la valutazione del possesso dei requisiti di idoneita' alla carica, in termini di onorabilita', professionalita' e indipendenza di coloro che svolgono funzioni di amministrazione, direzione e controllo nonche', anche in caso di esternalizzazione o sub esternalizzazione, dei titolari e di coloro che svolgono funzioni fondamentali e dell'ulteriore personale in grado di incidere in modo significativo sul profilo di rischio, identificato dall'impresa ai sensi dell'art. 2, comma 1, lettera m) del presente regolamento. Valuta la sussistenza dei requisiti in capo a tali soggetti con cadenza almeno annuale. In particolare, tale politica assicura che l'organo amministrativo sia nel suo complesso in possesso di adeguate competenze tecniche almeno in materia di mercati assicurativi e finanziari, sistemi di governance ivi compresi i sistemi di incentivazione del personale, analisi finanziaria ed attuariale, quadro regolamentare, strategie commerciali e modelli d'impresa; o) con riferimento alla politica sulle informazioni da fornire all'IVASS e di informativa al pubblico (c.d. reporting policy) di cui agli articoli 47-quater e 47-septies del Codice e relative disposizioni di attuazione, compie gli adempimenti previsti dalle vigenti disposizioni normative; p) approva la politica di gestione del capitale di cui all'art. 23; q) con riferimento alle ipotesi di utilizzo da parte dell'impresa di un modello interno di cui agli articoli 45-bis, 46-bis, 46-quinquies e 46-novies del Codice e relative disposizioni di attuazione, nonche' con riferimento alle ipotesi di utilizzo di parametri specifici nella determinazione del requisito patrimoniale di solvibilita' di cui agli articoli 45-sexies, comma 7, 45-terdecies del Codice e relative disposizioni di attuazione, compie gli adempimenti previsti dalle vigenti disposizioni normative; r) verifica che l'alta direzione implementi correttamente le indicazioni circa lo sviluppo e il funzionamento del sistema di governo societario, secondo quanto previsto dall'art. 7, in linea con le direttive impartite e che ne valuti la funzionalita' e l'adeguatezza; s) dispone verifiche periodiche sull'efficacia e sull'adeguatezza del sistema di governo societario, e che gli siano riferite con tempestivita' le criticita' piu' significative, siano esse individuate dall'alta direzione, dalle funzioni fondamentali, dal personale, impartendo con tempestivita' le direttive per l'adozione di misure correttive, di cui successivamente valuta l'efficacia; t) individua particolari eventi o circostanze che richiedono un immediato intervento da parte dell'alta direzione; u) assicura che sussista un'idonea e continua interazione tra tutti i comitati istituiti all'interno dell'organo amministrativo stesso, l'alta direzione e le funzioni fondamentali, anche mediante interventi proattivi per garantirne l'efficacia; v) assicura, con appropriate misure, un aggiornamento professionale continuo, delle risorse e dei componenti dell'organo stesso, predisponendo, altresi', piani di formazione adeguati ad assicurare il bagaglio di competenze tecniche necessario per svolgere con consapevolezza il proprio ruolo nel rispetto della natura, della portata e della complessita' dei compiti assegnati e preservare le proprie conoscenze nel tempo; z) effettua, almeno una volta l'anno, una valutazione sulla dimensione, sulla composizione e sull'efficace funzionamento dell'organo amministrativo nel suo complesso, nonche' dei suoi comitati, esprimendo orientamenti sulle figure professionali la cui presenza nell'organo amministrativo sia ritenuta opportuna e proponendo eventuali azioni correttive. Nel condurre tale auto-valutazione verifica che vi sia una presenza numericamente adeguata, in relazione all'attivita' svolta, di membri indipendenti. Essi sono privi di deleghe esecutive; vigilano con autonomia di giudizio sulla gestione sociale, contribuendo ad assicurare che essa sia svolta nell'interesse della societa' e in modo coerente con gli obiettivi di sana e prudente gestione; aa) in coerenza con quanto previsto dall'art. 258, paragrafo 6, degli atti delegati e dall'art. 30, comma 3, del Codice, assicura che il sistema di governo societario sia soggetto a riesame interno con cadenza almeno annuale; nella determinazione dell'ambito e della frequenza del riesame, tiene conto della natura, portata e complessita' dei rischi inerenti all'attivita' dell'impresa; le risultanze del riesame sono adeguatamente documentate e trasmesse all'organo amministrativo, con evidenza delle misure correttive intraprese; bb) verifica che il sistema di governo societario sia coerente con gli obiettivi strategici, la propensione al rischio e i limiti di tolleranza al rischio stabiliti e sia in grado di cogliere l'evoluzione dei rischi aziendali e l'interazione tra gli stessi. 3. L'organo amministrativo assicura che nell'ambito dell'informativa trasmessa all'IVASS in materia di governo societario, ai sensi dell'art. 308 degli atti delegati, dell'art. 47-quater del Codice e delle relative disposizioni di attuazione, siano rappresentate le ragioni che rendono la struttura organizzativa dell'impresa idonea a garantire la completezza, la funzionalita' ed efficacia del sistema di Governo societario, informando senza indugio l'IVASS qualora vengano apportate significative modifiche alla struttura organizzativa dell'impresa ed illustrando le cause interne od esterne che hanno reso necessari tali interventi. 4. Le politiche di cui al comma 2, lettere d), f), g), m), n) e p), contengono almeno gli elementi riportati nell'allegato 1 al presente regolamento. 5. L'organo amministrativo approva altresi' politiche aventi ad oggetto aspetti diversi da quelli di cui al comma 2, laddove previsto dal Codice e dalle relative disposizioni di attuazione. 6. L'organo amministrativo assicura che le politiche, parte del sistema di governo societario, siano coerenti tra loro e con la strategia dell'impresa e laddove l'impresa faccia parte di un gruppo, con le politiche di gruppo. 7. Secondo quanto previsto dall'art. 30, comma 6, del Codice l'organo amministrativo rivede le politiche almeno una volta l'anno e ne cura l'adeguamento alla evoluzione dell'operativita' aziendale e delle condizioni esterne. Le risultanze della revisione sono adeguatamente documentate, fornendo idonea evidenza della revisione condotta e delle eventuali decisioni assunte dall'organo amministrativo in seguito ad essa. 8. Il presidente dell'organo amministrativo provvede affinche': a) agli amministratori sia trasmessa con congruo anticipo la documentazione a supporto delle deliberazioni dell'organo o, almeno, una prima informativa sulle materie che verranno discusse; b) la documentazione a supporto delle deliberazioni, in particolare quella resa ai componenti privi di deleghe esecutive, sia adeguata in termini quantitativi e qualitativi rispetto alle materie iscritte all'ordine del giorno. Nella predisposizione dell'ordine del giorno e nella conduzione del dibattito consiliare il presidente assicura che siano trattate con priorita' le questioni a rilevanza strategica, garantendo che ad esse sia dedicato tutto il tempo necessario; c) il processo di autovalutazione, di cui al comma 2, lettera z), sia svolto con efficacia, le modalita' con cui esso e' condotto siano coerenti rispetto al grado di complessita' dei lavori dell'organo, siano adottate le misure correttive previste per far fronte alle eventuali carenze riscontrate, nonche' predisposti e attuati programmi di inserimento e piani di formazione dei componenti dell'organo; d) la dialettica tra componenti delegati e privi di deleghe sia adeguata e sia assicurata la partecipazione attiva di questi ultimi ai lavori dell'organo. 9. Il presidente ha di norma un ruolo non esecutivo e non svolge alcuna funzione gestionale. In tal caso non e' membro del comitato esecutivo, se costituito in seno all'organo amministrativo ai sensi dell'art. 2381 del codice civile, ma puo' partecipare alle relative riunioni, senza diritto di voto, al fine di assicurare l'adeguato raccordo informativo tra detto comitato e l'organo amministrativo. 10. Laddove, in ragione delle ridotte dimensioni o complessita' dell'impresa, il presidente ricopra anche un ruolo esecutivo, l'impresa adotta adeguati presidi al fine di evitare conseguenze negative sul corretto funzionamento dell'organo.   Art. 6 Comitato per il controllo interno e i rischi 1. Per l'espletamento dei compiti relativi al sistema di controllo interno e gestione dei rischi, l'organo amministrativo costituisce, ove appropriato in relazione alla natura, portata e complessita' dell'attivita' dell'impresa e dei rischi inerenti, un Comitato per il controllo interno e i rischi, composto da amministratori non esecutivi, in maggioranza indipendenti ai sensi dell'art. 2387 codice civile, al quale affidare funzioni consultive e propositive ed il compito di svolgere indagini conoscitive. 2. In particolare, il Comitato per il controllo interno e i rischi assiste l'organo amministrativo nella determinazione delle linee di indirizzo del sistema di controllo interno e gestione dei rischi, nella verifica periodica della sua adeguatezza e del suo effettivo funzionamento, e nell'identificazione e gestione dei principali rischi aziendali. 3. L'organo amministrativo definisce la composizione, i compiti e le modalita' di funzionamento del Comitato. L'istituzione del Comitato per il controllo interno e i rischi non solleva l'organo amministrativo dalle proprie responsabilita'.   Art. 7 Alta direzione 1. L'alta direzione e' responsabile dell'attuazione, del mantenimento e del monitoraggio del sistema di governo societario secondo quanto previsto dal comma 2, coerentemente con le direttive dell'organo amministrativo e nel rispetto dei ruoli e dei compiti ad essa attribuiti. 2. L'alta direzione: a) in coerenza con l'art. 258, paragrafo 5, degli atti delegati, definisce in dettaglio l'assetto organizzativo dell'impresa, i compiti e le responsabilita' delle unita' operative di base, nonche' i processi decisionali in coerenza con le direttive impartite dall'organo amministrativo; in tale ambito attua l'appropriata separazione di compiti sia tra singoli soggetti che tra funzioni, in modo da assicurare un'adeguata dialettica ed evitare, per quanto possibile, l'insorgere di conflitti di interesse; b) con riferimento alla valutazione interna del rischio e della solvibilita', attua la politica di cui alle disposizioni attuative degli articoli 30-ter e 215-ter del Codice, contribuendo ad assicurare la definizione di limiti operativi e garantendo la tempestiva verifica dei limiti medesimi, nonche' il monitoraggio delle esposizioni ai rischi e il rispetto dei limiti di tolleranza; c) attua le politiche inerenti al sistema di governo societario, nel rispetto dei ruoli e dei compiti ad essa attribuiti; d) cura il mantenimento della funzionalita' e dell'adeguatezza complessiva dell'assetto organizzativo e del sistema di governo societario di cui all'art. 4; e) verifica che l'organo amministrativo sia periodicamente informato sull'efficacia e sull'adeguatezza del sistema di governo societario di cui all'art. 4 e, comunque tempestivamente, ogni qualvolta siano riscontrate criticita' significative; f) da' attuazione alle indicazioni dell'organo amministrativo in ordine alle misure da adottare per correggere le anomalie riscontrate e apportare miglioramenti; g) propone all'organo amministrativo iniziative volte all'adeguamento ed al rafforzamento del sistema di governo societario di cui all'art. 4.   Art. 8 Organo di controllo 1. L'organo di controllo verifica l'adeguatezza dell'assetto organizzativo, amministrativo e contabile adottato dall'impresa e il suo concreto funzionamento, ai fini della normativa applicabile. 2. Per l'espletamento dei compiti di cui al comma 1 l'organo di controllo puo' richiedere la collaborazione di tutte le strutture che svolgono compiti di controllo. 3. L'organo di controllo: a) acquisisce, all'inizio del mandato, conoscenze sull'assetto organizzativo aziendale ed esamina i risultati del lavoro della societa' di revisione per la valutazione del sistema di controllo interno e del sistema amministrativo contabile; b) verifica l'idoneita' della definizione delle deleghe, nonche' l'adeguatezza dell'assetto organizzativo, prestando particolare attenzione alla separazione di responsabilita' nei compiti e nelle funzioni; c) valuta l'efficienza e l'efficacia del sistema di governo societario, con particolare riguardo all'operato della funzione di revisione interna della quale deve verificare la sussistenza della necessaria autonomia, indipendenza e funzionalita'; nell'ipotesi in cui tale funzione sia stata esternalizzata valuta il contenuto dell'incarico sulla base del relativo contratto; d) mantiene un adeguato collegamento con la funzione di revisione interna; e) cura il tempestivo scambio con la societa' di revisione dei dati e delle informazioni rilevanti per l'espletamento dei propri compiti, esaminando anche le periodiche relazioni della societa' di revisione; f) segnala all'organo amministrativo le eventuali anomalie o debolezze dell'assetto organizzativo e del sistema di governo societario, indicando e sollecitando idonee misure correttive; nel corso del mandato pianifica e svolge, anche coordinandosi con la societa' di revisione, periodici interventi di vigilanza volti ad accertare se le carenze o anomalie segnalate siano state superate e se, rispetto a quanto verificato all'inizio del mandato, siano intervenute significative modifiche dell'operativita' della societa' che impongano un adeguamento dell'assetto organizzativo e del sistema di governo societario; g) in caso di societa' appartenenti al medesimo gruppo, assicura i collegamenti funzionali ed informativi con gli organi di controllo delle altre societa' appartenenti al gruppo ed in particolare di quelle di cui all'art. 210-ter, comma 2, del Codice; h) conserva una adeguata evidenza delle osservazioni e delle proposte formulate e della successiva attivita' di verifica dell'attuazione delle eventuali misure correttive.   Art. 9 Formalizzazione degli atti 1. Nell'ambito dei generali obblighi di cui all'art. 258, paragrafo 1, lettera i), degli atti delegati, l'operato dell'organo amministrativo e di controllo, nonche' dell'alta direzione, e' adeguatamente documentato, al fine di consentire il controllo sugli atti gestionali e sulle decisioni assunte. 2. Ai fini di cui al comma 1, l'organo amministrativo documenta anche le modalita' con le quali ha tenuto conto delle informazioni fornite dal sistema di gestione dei rischi.   Art. 10 Obiettivi del sistema di controllo interno 1. Ai fini dell'art. 266 degli atti delegati e dell'art. 30-quater del Codice, l'impresa si dota di un sistema di controllo interno, proporzionato alla natura, alla portata e alla complessita' dei rischi aziendali, attuali e prospettici, inerenti all'attivita'. 2. Tale sistema e' costituito dall'insieme di regole, procedure, nonche' strutture organizzative volte ad assicurare il corretto funzionamento ed il buon andamento dell'impresa e garantisce con un ragionevole margine di sicurezza il raggiungimento degli obiettivi di cui all'art. 4.   Art. 11 Cultura del controllo interno 1. Ai fini di cui all'art. 258, paragrafo 1, lettere e), f) g) degli atti delegati, l'organo amministrativo promuove un alto livello di integrita' e una cultura del controllo interno, tale da sensibilizzare l'intero personale sull'importanza e l'utilita' dei controlli interni a presidio dei rischi. 2. L'alta direzione e' responsabile della promozione della cultura del controllo interno e assicura che il personale sia messo a conoscenza del proprio ruolo, delle proprie responsabilita' e delle politiche adottate dall'impresa, in modo da essere effettivamente impegnato nello svolgimento dei controlli, intesi quale parte integrante della propria attivita'. A tal fine assicura la formalizzazione e l'adeguata diffusione tra il personale del sistema delle deleghe e delle procedure che regolano l'attribuzione di compiti, i processi operativi, gli strumenti e le linee di riporto informativo. 3. Ai fini di cui ai commi 1 e 2, l'alta direzione assicura continuita' alle iniziative formative e di comunicazione volte a favorire l'effettiva adesione di tutto il personale ai principi di integrita' morale ed ai valori etici. 4. Al fine di promuovere la correttezza operativa ed il rispetto dell'integrita' e dei valori etici da parte di tutto il personale, nonche' per prevenire condotte devianti di cui possono essere chiamate a rispondere ai sensi del decreto legislativo 8 giugno 2001, n. 231, nonche' ai sensi dell'art. 325 del Codice, le imprese adottano un codice etico che definisce le regole comportamentali, disciplina le situazioni di potenziale conflitto di interesse e prevede azioni correttive adeguate, nel caso di deviazione dalle direttive e dalle procedure approvate dal vertice o di infrazione della normativa vigente e dello stesso codice etico. 5. Le imprese, fermo quanto previsto dalle disposizioni di cui al Capo VII del presente Titolo, evitano, ad ogni livello aziendale, politiche commerciali e pratiche di remunerazione che possano essere di incentivo ad attivita' illegali o devianti rispetto agli standard etici ovvero indurre propensioni al rischio contrastanti con la sana e prudente gestione dell'impresa e comportamenti non coerenti con la tutela degli assicurati e degli altri aventi diritto a prestazioni assicurative. I sistemi di remunerazione sono tali da favorire il rispetto del complesso delle disposizioni di legge, regolamentari e statutarie nonche' di eventuali codici etici dell'impresa o del gruppo.   Art. 12 Attivita' di controllo e separazione dei compiti 1. Ai fini di cui all'art. 258 degli atti delegati e dell'art. 30, comma 1, del Codice il sistema di Governo societario include, tra l'altro, l'esecuzione, a tutti i livelli dell'impresa, di attivita' di controllo proporzionate alla natura, alla portata ed alla complessita' dei rischi inerenti all'attivita' dell'impresa ed ai processi coinvolti, che contribuiscono a garantire l'attuazione delle direttive aziendali e a verificarne il rispetto. 2. Le attivita' di controllo di cui al comma 1 sono formalizzate e riviste su base periodica e coinvolgono tutto il personale. Tali attivita' comprendono meccanismi di doppie firme, autorizzazioni, verifiche e raffronti, liste di controllo e riconciliazione dei conti, nonche' la limitazione dell'accesso alle operazioni ai soli soggetti incaricati e la registrazione e la verifica periodica delle operazioni effettuate. 3. Compatibilmente con la natura, la portata e la complessita' dell'attivita' dell'impresa, quest'ultima assicura, nell'ambito delle funzioni aziendali, un adeguato livello di indipendenza del personale incaricato del controllo rispetto a quello con compiti operativi.   Art. 13 Flussi informativi e canali di comunicazione 1. Le imprese possiedono informazioni contabili e gestionali che garantiscano adeguati processi decisionali e consentano di definire e valutare se siano stati raggiunti gli obiettivi strategici fissati dall'organo amministrativo in modo da sottoporli ad eventuale revisione. A tal fine, l'alta direzione assicura che l'organo amministrativo abbia una conoscenza completa dei fatti aziendali rilevanti, anche attraverso la predisposizione di un'adeguata reportistica. 2. Ai fini dell'art. 258, paragrafo 1, lettere h) e i), degli atti delegati, il sistema di governo societario garantisce che le informazioni rispettino i principi di accuratezza, completezza, tempestivita', coerenza, trasparenza e pertinenza cosi' definiti: a) accuratezza: le informazioni devono essere verificate al momento della ricezione e, comunque, anteriormente rispetto al loro uso; b) completezza: le informazioni devono coprire tutti gli aspetti rilevanti dell'impresa in termini di quantita' e qualita', inclusi gli indicatori che possono avere conseguenze dirette o indirette sulla pianificazione strategica dell'attivita'; c) tempestivita': le informazioni devono essere puntualmente disponibili, in modo da favorire processi decisionali efficaci e consentire all'impresa di prevedere e reagire con prontezza agli eventi futuri; d) coerenza: le informazioni devono essere registrate secondo metodologie che le rendano confrontabili; e) trasparenza: le informazioni devono essere presentate in maniera facile da interpretare, garantendo la chiarezza delle componenti essenziali; f) pertinenza: le informazioni utilizzate devono essere in relazione diretta con la finalita' per cui vengono richieste ed essere continuamente rivedute e ampliate per garantirne la rispondenza alle necessita' dell'impresa. 3. Le informazioni dirette a terzi sono attendibili, tempestive, pertinenti e sono comunicate in maniera chiara ed efficace. 4. Il sistema delle rilevazioni contabili e gestionali interne registra correttamente i fatti di gestione e fornisce una rappresentazione corretta e veritiera della situazione patrimoniale, finanziaria ed economica dell'impresa e in conformita' con le leggi e la normativa secondaria. 5. Le imprese istituiscono e mantengono canali di comunicazione efficaci sia all'interno, in ogni direzione, sia all'esterno. 6. Il sistema favorisce le segnalazioni di criticita' anche attraverso la previsione di modalita' che consentano al personale di portare direttamente all'attenzione dei livelli gerarchici piu' elevati le situazioni di particolare gravita'.   Art. 14 Sistema di gestione dei dati 1. Ai fini dell'art. 258, paragrafo 1, lettere j) e k), degli atti delegati, le imprese prevedono un sistema di registrazione e di reportistica dei dati che ne consenta la tracciabilita' al fine di poter disporre di informazioni complete ed aggiornate sugli elementi che possono incidere sul profilo di rischio dell'impresa e sulla sua situazione di solvibilita'. 2. Il sistema di cui al comma 1 assicura nel continuo il rispetto dei principi indicati nell'art. 13, comma 2, con particolare riguardo ai dati conservati e le informazioni rappresentate, anche al fine di consentire una ricostruzione dell'attivita' svolta e l'individuazione dei relativi responsabili; garantisce altresi' l'agevole verifica delle informazioni registrate. 3. Le procedure di estrazione, controllo, gestione, aggregazione e utilizzo dei dati sono documentate e presidiate al fine di consentire la verifica della qualita' delle informazioni, con particolare previsione delle circostanze in cui e' consentita l'immissione o rettifica manuale dei dati aziendali e dei processi di acquisizione dei dati da strutture esterne. 4. I dati sono rilevati ed archiviati con granularita' adeguata a consentire le diverse analisi e aggregazione richieste dalle possibili procedure di utilizzo. 5. L'impresa stabilisce controlli e presidi adeguati ad assicurare nel continuo la qualita' dei dati aziendali, con particolare riferimento all'integrita', alla completezza e alla correttezza. 6. L'impresa garantisce l'adempimento puntuale e tempestivo degli obblighi informativi verso l'IVASS.   Art. 15 Produzione di dati e informazioni ai fini della vigilanza sul gruppo 1. Le imprese istituiscono efficaci flussi informativi per la produzione di dati e di informazioni utili ai fini dell'esercizio della vigilanza sul gruppo di cui al Titolo XV del Codice e relative disposizioni di attuazione e della valutazione attuale e prospettica dei rischi a livello di gruppo che l'ultima societa' controllante italiana svolge ai sensi dell'art. 215-ter del Codice e relative disposizioni di attuazione, adottando idonee procedure di controllo interno ed individuando idonee misure di raccolta e di coordinamento delle informazioni per l'esercizio della vigilanza sul gruppo. 2. I dati e le informazioni di cui al comma 1 sono prontamente e completamente accessibili per eventuali verifiche da parte dell'IVASS.   Art. 16 Sistemi informatici e cyber security 1. I sistemi informatici sono appropriati rispetto alla natura, portata e complessita' dell'attivita' dell'impresa, nonche' dei conseguenti rischi e forniscono informazioni, sia all'interno che all'esterno, rispondenti ai principi di cui all'art. 13, comma 2. L'impresa tutela la cyber security aziendale, come definita all'art. 2, comma 1, lettera f). 2. Ai fini di cui al comma 1: a) l'organo amministrativo approva un piano strategico sulla tecnologia della informazione e comunicazione (ICT), inclusa la cyber security aziendale, volto ad assicurare l'esistenza e il mantenimento di una architettura complessiva dei sistemi integrata e sicura dal punto di vista infrastrutturale e applicativo, adeguata ai bisogni dell'impresa e basata su standard e linee guida internazionali, nazionali e definiti nella regolamentazione di settore; b) con riferimento specifico alla cyber security aziendale di cui alla lettera a), essa: i. definisce i ruoli e le responsabilita', prevedendo risorse adeguate, l'appropriata collocazione nell'organizzazione aziendale delle funzioni aziendali dedicate e il coinvolgimento dell'organo amministrativo e dell'alta direzione; ii. valuta il rischio che le varie funzioni, attivita', prodotti e servizi, incluse le interconnessioni e dipendenze da terze parti, possono subire in relazione all'acquisizione e al trasferimento indebiti di dati, alla loro modifica o distruzione illegittima, ovvero a danneggiamenti, distruzione o ostacoli posti al regolare funzionamento delle reti e dei sistemi informativi o dei loro elementi costitutivi, al fine di identificare e implementare controlli, politiche, procedure e iniziative di formazione per mantenere i rischi al di sotto della tolleranza definita dall'organo amministrativo; iii. stabilisce un processo di monitoraggio sistematico per identificare tempestivamente incidenti e valutare periodicamente l'efficacia dei presidi implementati, anche attraverso il monitoraggio sulle reti, test e audit; iv. prevede una valutazione approfondita su natura, estensione e impatto degli incidenti; sviluppa sistemi di risposta tempestivi e adeguati a contenere l'impatto, inclusa, ove opportuno, la previsione di un'unita' di gestione delle crisi informatiche e di appropriati meccanismi graduati di intervento; v. definisce le azioni per ripristinare le attivita' aziendali, rimuovendo le fonti di attacco, riportando i sistemi e i dati ad uno stato normale, identificando e mitigando le vulnerabilita' sfruttate nel corso dell'incidente, intervenendo sulle vulnerabilita' residue per evitare incidenti simili e effettuando un'appropriata comunicazione; vi. individua le opportune modalita' di comunicazione degli incidenti e i destinatari di tale comunicazione, inclusi quelli previsti da leggi e disposizioni regolamentari; vii. garantisce l'aggiornamento continuo delle conoscenze sulle minacce, vulnerabilita', incidenti e difese e la revisione periodica delle strategie e della politica di data governance, per affrontare i rischi emergenti, rivedere la corretta allocazione delle risorse, identificare e porre rimedio ad eventuali carenze riscontrate e apprendere dall'analisi di incidenti accaduti internamente o esternamente; c) gli accessi ai diversi ambienti di sviluppo e di produzione sono regolamentati e controllati attraverso procedure per limitare i rischi derivanti da intrusioni esterne o da infedelta' del personale. Le procedure garantiscono la sicurezza logica dei dati, restringendo, in particolare per l'ambiente di produzione, l'accesso ai dati e prevedendo che tutte le violazioni vengano evidenziate; le procedure sono soggette a verifiche da parte della funzione di revisione interna; d) le procedure per l'approvazione e l'acquisizione dell'hardware e del software, nonche' per la cessione all'esterno di determinati servizi sono formalizzate; e) sono adottate procedure che assicurino la continuita' dei processi aziendali, attraverso sistemi di disaster recovery e piani di business continuity con le opportune misure organizzative, tecniche e di comunicazione. 3. In caso di operazioni straordinarie quali fusioni e scissioni o acquisizioni o trasferimento di portafoglio, l'impresa predispone un piano di integrazione dei sistemi informatici nel quale sono specificati: a) ambiti, funzioni, procedure, applicazioni e basi dati interessate dal processo di integrazione; b) la tempistica associata a ciascuna fase dell'integrazione con particolare riguardo alla migrazione delle basi dati e alle date a partire dalle quali l'integrazione dei portafogli sara' completata; c) le unita' e i presidi organizzativi ai quali sono affidati i controlli ed il monitoraggio dell'intero processo di integrazione. 4. L'impresa comunica tempestivamente all'IVASS, nell'ambito dell'informativa di cui all'art. 47-quater del Codice e relative disposizioni di attuazione, ogni evento che rappresenti un grave incidente di sicurezza informatica, inviando una relazione sintetica recante una descrizione dell'incidente e dei disservizi provocati agli utenti interni e alla clientela, indicando ove possibile: a) data e ora dell'accadimento o della rilevazione dell'incidente; b) risorse e servizi coinvolti, con una valutazione delle perdite economiche o dei danni d'immagine; c) cause dell'incidente, tempi e modalita' per il pieno ripristino dei livelli di disponibilita' e sicurezza; d) descrizione delle azioni intraprese e dei risultati ottenuti; e) valutazione dell'impatto dell'evento sulla clientela e altre controparti.   Art. 17 Obiettivi del sistema di gestione dei rischi 1. Ai fini di cui all'art. 259 degli atti delegati e all'art. 30-bis del Codice, il sistema di gestione dei rischi include le strategie, i processi, le procedure, anche di reportistica, necessarie per individuare, misurare, valutare, monitorare, gestire e rappresentare su base continuativa i rischi attuali e prospettici cui l'impresa e' o potrebbe essere esposta, con particolare attenzione a quelli significativi di cui all'art. 2, comma 1, lettera o), e, ove possibile, le relative interdipendenze e le potenziali aggregazioni. Il sistema di gestione dei rischi considera almeno le aree di cui all'art. 30-bis, comma 3, del Codice e assicura con un ragionevole margine di sicurezza il raggiungimento degli obiettivi di cui all'art. 4. 2. Il sistema di gestione dei rischi e' proporzionato alla natura, alla portata e alla complessita' dell'attivita' esercitata, e funzionale a mantenere i rischi cui l'impresa e' esposta ad un livello accettabile, coerente con le disponibilita' patrimoniali. 3. In coerenza con quanto previsto dall'art. 5, comma 1, e qualora non sia costituito il Comitato di cui all'art. 6, comma 1, almeno un membro dell'organo amministrativo, adeguatamente competente in materia e privo di deleghe, e' incaricato di monitorare le attivita', l'adeguatezza ed il corretto funzionamento del sistema di gestione dei rischi, al fine di riferire le relative risultanze all'organo stesso che ne e' responsabile ultimo. 4. Le politiche di valutazione e gestione dei rischi sono definite e implementate avendo a riferimento la visione integrata delle attivita' e passivita'. Tali politiche tengono conto di quanto previsto dalle disposizioni attuative degli articoli 37-ter e 38 del Codice. 5. Le politiche di sottoscrizione, di riservazione, di riassicurazione e delle ulteriori tecniche di mitigazione del rischio nonche' di gestione del rischio operativo tengono conto degli obiettivi strategici dell'impresa e sono coerenti con la politica di gestione dei rischi di cui all'art. 5, comma 2, lettera f) e con le disposizioni di attuazione degli articoli 32, 33, 35 e 36-bis del Codice. 6. L'impresa assicura che la politica di sottoscrizione e le relative procedure sono attuate da tutti i canali di distribuzione. 7. Ai fini della gestione del rischio operativo, l'impresa: a) individua processi atti a rintracciare, analizzare e segnalare gli eventi correlati al rischio operativo, definendo un processo di raccolta e monitoraggio degli eventi correlati a tale rischio; b) sviluppa e analizza adeguati scenari, anche di particolare gravita' purche' plausibili che tengano almeno conto: i) del fallimento di un elemento fondamentale, sia esso un processo, un ruolo, o un sistema; ii) dell'insorgenza di eventi esterni.   Art. 18 Obiettivo di solvibilita' 1. Nell'ambito della propensione al rischio definita dall'organo amministrativo ai sensi dell'art. 5, comma 2, lettera e), l'impresa individua anche un obiettivo di solvibilita' espresso come rapporto tra fondi propri ammissibili e requisito patrimoniale di solvibilita', determinati sulla base dei Capi IV e IV bis del Titolo III del Codice, sull'orizzonte temporale di un anno. 2. L'obiettivo di solvibilita' di cui al comma 1 e' fissato dall'impresa a un livello tale da consentire di disporre del tempo e della flessibilita' operativa necessaria ad assicurare il rispetto su base continuativa del requisito patrimoniale di solvibilita', tenendo conto della prevedibile dinamica del requisito stesso, dei fondi propri ammissibili e degli effetti su tali grandezze riconducibili all'utilizzo di misure transitorie o di aggiustamenti applicati ai sensi degli articoli 36-quinquies e 36-septies del Codice. 3. La determinazione dell'obiettivo di solvibilita' tiene conto delle risultanze della valutazione interna del rischio e della solvibilita' operata ai sensi degli articoli 30-ter e 215-ter del Codice e delle relative disposizioni di attuazione.   Art. 19 Individuazione e valutazione dei rischi 1. L'impresa provvede a definire le categorie di rischio, indipendentemente dalla circostanza che siano quantificabili, in funzione della natura, della portata e della complessita' dei rischi inerenti all'attivita' svolta, in un'ottica attuale e prospettica, nonche' degli effetti indiretti connessi ai rischi significativi. La catalogazione include almeno i seguenti rischi: a) rischio di sottoscrizione, per come definito dall'art. 1, comma 1, lettera vv-bis 4) del Codice; b) rischio di mercato, per come definito dall'art. 1, comma 1, lettera vv-bis 3) del Codice; c) rischio di credito, per come definito dall'art. 1, comma 1, lettera vv-bis 1) del Codice; d) rischio di liquidita', per come definito dall'art. 1, comma 1, lettera vv-bis 2) del Codice; e) rischio operativo, per come definito dall'art. 1, comma 1, lettera vv-bis 5) del Codice; f) rischio legato all'appartenenza al gruppo: rischio di «contagio», inteso come rischio che, a seguito dei rapporti intercorrenti tra l'impresa e le altre societa' del gruppo, situazioni di difficolta' che insorgono in una societa' del medesimo gruppo possano propagarsi con effetti negativi sulla solvibilita' dell'impresa stessa; g) rischio di non conformita' alle norme: il rischio di incorrere in sanzioni giudiziarie o amministrative, subire perdite o danni reputazionali in conseguenza della mancata osservanza di leggi, regolamenti e norme europee direttamente applicabili o provvedimenti delle Autorita' di vigilanza ovvero di norme di autoregolamentazione, quali statuti, codici di condotta o codici di autodisciplina; rischio derivante da modifiche sfavorevoli del quadro normativo o degli orientamenti giurisprudenziali; h) rischio reputazionale: i rischi di deterioramento dell'immagine aziendale e di aumento della conflittualita' con gli assicurati, dovuti anche alla scarsa qualita' dei servizi offerti, al collocamento di polizze non adeguate o al comportamento in fase di vendita, post vendita e di liquidazione; i) rischio strategico: il rischio attuale o prospettico di flessione degli utili o del capitale e di sostenibilita' del modello di business, incluso il rischio di non riuscire a generare un adeguato ritorno sul capitale sulla base della propensione al rischio definita dall'impresa, derivante da cambiamenti del contesto operativo o da decisioni aziendali errate, attuazione inadeguata di decisioni, impropria gestione del rischio di appartenenza al gruppo, scarsa reattivita' a variazioni del contesto competitivo. 2. L'impresa raccoglie in via continuativa informazioni sui rischi, interni ed esterni, attuali e prospettici, a cui e' esposta e che possono interessare tutti i processi operativi e le aree funzionali. La procedura di censimento dei rischi e i relativi risultati sono adeguatamente documentati. 3. L'impresa e' in grado, attraverso un adeguato processo di analisi, anche mediante il ricorso agli strumenti di cui all'art. 32, comma 1, lettera f) e secondo quanto previsto dal comma 4, di comprendere la natura dei rischi individuati e la loro origine, al fine di un'adeguata valutazione degli stessi, per la quale si richiamano gli articoli 30-ter e 215-ter del Codice e relative disposizioni di attuazione in materia di valutazione interna dei rischi e della solvibilita'. 4. Ai fini di cui al comma 3, l'impresa ricorre all'utilizzo di specifici stress test calibrati sul proprio profilo di rischio o ad altre eventuali analisi quantitative, identificando a tale scopo eventuali rischi di breve, medio e lungo termine, potenziali eventi o future modifiche nelle condizioni economiche che possono avere un impatto sfavorevole sulla complessiva situazione finanziaria e sul patrimonio. Nel processo di valutazione dei rischi l'impresa utilizza scenari adeguati, basati sull'analisi del peggiore caso possibile, prendendo in considerazione ogni significativo effetto indiretto che puo' derivare. 5. L'impresa definisce procedure in grado di evidenziare con tempestivita' l'insorgere di rischi significativi anche in una prospettiva di medio-lungo periodo, ed in coerenza con quanto previsto dall'art. 258, paragrafo 3, degli atti delegati e ai fini dell'art. 30, comma 4, del Codice, per le maggiori fonti di rischio identificate predispone un adeguato piano di emergenza. 6. Il piano di emergenza e' approvato dall'organo amministrativo, ai sensi dell'art. 5, comma 2, lettera f), rivisto e aggiornato periodicamente, con cadenza almeno annuale, valutandone l'efficacia. Il piano di emergenza e' reso accessibile al personale interessato dal piano stesso, in modo tale da garantire la consapevolezza del proprio ruolo al ricorrere di situazioni di emergenza, individuando altresi' in tali circostanze adeguati canali di comunicazione. 7. Su richiesta dell'IVASS, l'impresa effettua analisi qualitative o quantitative standardizzate sulla base di fattori di rischio e parametri prefissati.   Art. 20 Politica di riassicurazione e delle ulteriori tecniche di mitigazione del rischio 1. Nel rispetto di quanto previsto dall'art. 260, paragrafo 1, lettera g), degli atti delegati e dell'art. 30, comma 5, del Codice, l'impresa si dota di una politica di riassicurazione e delle ulteriori tecniche di mitigazione del rischio, approvata dall'organo amministrativo, ai sensi dell'art. 5, comma 2, lettera g) del presente regolamento, che individua la strategia di attenuazione dei rischi e di equilibrio del portafoglio da attuarsi in via generale mediante il ricorso alla riassicurazione o ad altre tecniche di mitigazione del rischio. 2. Il sistema di governo societario assicura che: a) sia fornita all'alta direzione, in maniera tempestiva ed esaustiva rispetto al momento in cui l'impresa acquisisce le informazioni, la situazione aggiornata dei contratti riassicurativi in atto, prestando particolare attenzione alle posizioni creditorie in essere con i riassicuratori, e delle altre tecniche di mitigazione del rischio; b) le scelte gestionali operate siano coerenti con la politica di riassicurazione e delle ulteriori tecniche di mitigazione del rischio; c) eventuali scostamenti rispetto alla politica di riassicurazione e delle ulteriori tecniche di mitigazione del rischio siano segnalati prontamente all'organo amministrativo. 3. L'impresa, nell'ambito della politica di cui al comma 1, produce un'analisi scritta delle tecniche di mitigazione del rischio utilizzate, chiarendone il funzionamento ed i relativi rischi significativi coinvolti. 4. Nell'ipotesi di ricorso a societa' veicolo, l'impresa monitora attivamente, mediante il proprio sistema di governo societario, il rispetto del requisito di finanziamento integrale di cui all'art. 1, comma 1, lettera vv-ter) del Codice e tiene in considerazione, mediante il proprio sistema di gestione dei rischi, gli ulteriori rischi derivanti dalla societa' veicolo, anche ai fini del calcolo dei propri requisiti di capitale. L'impresa presta particolare attenzione ai rischi ulteriori e residuali derivanti dalla societa' veicolo ivi incluso il rischio di perdite superiori rispetto a quelle eventualmente previste al momento dell'autorizzazione. 5. L'impresa che appartenga ad un gruppo, in caso di adesione ad un contratto di riassicurazione di gruppo, assicura il rispetto di quanto previsto dall'art. 85, comma 2.   Art. 21 Formalizzazione dei rapporti contrattuali 1. Per i contratti che devono essere provati per iscritto ai sensi dell'art. 1928 del codice civile, l'impresa provvede alla formalizzazione dei rapporti contrattuali al piu' tardi entro quattro mesi dalla conclusione degli accordi e comunque dalla data di effetto della copertura. 2. Nell'ipotesi di ricorso a contratti di riassicurazione facoltativi, entro gli stessi termini di cui al comma 1, l'impresa dispone della documentazione attestante la partecipazione dei riassicuratori firmata da ciascuno per la propria quota. 3. Ove cio' sia giustificato dalle caratteristiche specifiche delle linee di attivita' oggetto della riassicurazione, il termine per la formalizzazione dei rapporti contrattuali di cui al comma 1 e' fissato in sei mesi dalla conclusione degli accordi e comunque dalla data di effetto della copertura. 4. Fermo restando quanto previsto dai commi 1, 2, 3, l'impresa dispone di adeguata documentazione su termini e condizioni concordati, nonche' sulle quote di partecipazione di ciascun riassicuratore. Eventuali accordi che integrano il contratto o a cui il contratto fa rinvio costituiscono parte integrante della documentazione contrattuale.   Art. 22 Informativa integrativa in caso di ricorso alla riassicurazione non tradizionale 1. L'impresa, nell'ipotesi in cui ricorra alla riassicurazione non tradizionale, inclusi i contratti di riassicurazione finanziaria o di riassicurazione finite, nell'ambito dell'informativa trasmessa all'IVASS ai sensi dell'art. 309, paragrafo 5, lettera a), degli atti delegati, dell'art. 47-quater del Codice e delle relative disposizioni di attuazione, fornisce una descrizione in merito alle finalita' e alle principali caratteristiche del contratto, unitamente al trattamento contabile delle relative partite e degli effetti economici, patrimoniali e finanziari dello stesso sul bilancio dell'impresa cedente, nonche' specifica evidenza dell'eventuale rilevanza assunta dagli stessi ai fini del possesso dei requisiti di vigilanza prudenziale. L'informativa dovra' fornire la descrizione dei principali rischi per i quali si e' utilizzata la riassicurazione non tradizionale. 2. L'informativa di cui al comma 1 e' resa anche nell'ipotesi di accentramento o decentramento dell'attivita' di riassicurazione non tradizionale nel gruppo.   Art. 23 Principi della politica di gestione del capitale 1. L'organo amministrativo approva la politica di gestione del capitale, di cui all'art. 5, comma 2, lettera p), che comprende procedure volte a regolare la classificazione, l'emissione, il monitoraggio e l'eventuale distribuzione, nonche' il rimborso degli elementi dei fondi propri in coerenza con il piano di gestione del capitale a medio termine di cui all'art. 24.   Art. 24 Piano di gestione del capitale a medio termine 1. In coerenza con la propensione al rischio e l'obiettivo di solvibilita' di cui all'art. 18 e con la politica di gestione del capitale di cui all'art. 23, l'impresa elabora un piano di gestione del capitale a medio termine, di durata almeno triennale, al fine di garantire adeguati e duraturi livelli di patrimonializzazione. 2. L'organo amministrativo approva il piano di cui al comma 1, ne monitora la corretta attuazione e ne assicura l'adeguatezza, curandone l'aggiornamento nel tempo. A tali fini, tiene in particolare considerazione almeno i seguenti elementi: a) la stabilita' del modello di business dell'impresa e le relative proiezioni; b) le emissioni di capitale programmate, i rimborsi e riscatti degli elementi di fondi propri ed eventuali ulteriori fattori che hanno impatto sui fondi propri, inclusa la redditivita' prevista per gli esercizi considerati; c) l'eccedenza dei fondi propri rispetto al requisito patrimoniale di solvibilita' e la valutazione del fabbisogno di capitale individuata nell'ambito della valutazione interna del rischio e della solvibilita' di cui all'art. 30-ter e 215-ter del Codice e relative disposizioni attuative; d) le regole concernenti l'ammissibilita' degli elementi dei fondi propri; e) eventuali indicazioni fornite dall'IVASS nell'esercizio delle funzioni di vigilanza. 3. Il piano tiene conto almeno di: a) qualsiasi emissione di capitale programmata; b) la scadenza degli elementi dei fondi propri, nonche' qualsiasi altra opportunita' di rimborso o riscatto precedente alla scadenza; c) le modalita' con cui qualsiasi emissione, riscatto o rimborso o altre modifiche nella valutazione di un elemento dei fondi propri producono effetti sull'applicazione dei limiti nella classificazione dei fondi propri nei diversi livelli; d) le modalita' con cui l'applicazione della politica di distribuzione degli elementi di fondi propri influenzi l'ammontare e la qualita' di questi ultimi; e) le risultanze delle proiezioni effettuate nell'ambito della valutazione interna del rischio e della solvibilita' di cui agli articoli 30-ter e 215-ter del Codice e delle relative disposizioni di attuazione; f) l'impatto della fine del periodo di transizione nell'ipotesi di applicazione delle misure transitorie di cui all'art. 344-quinquies del Codice.   Art. 25 Requisiti di professionalita', onorabilita' e indipendenza 1. Tenuto conto di quanto previsto dall'art. 273 degli atti delegati, l'impresa verifica che i soggetti di cui all'art. 76, comma 1, del Codice e l'ulteriore personale, come identificato nella politica di cui all'art. 5, comma 2, lettera n) possiedono i requisiti di professionalita', onorabilita' e indipendenza, secondo quanto previsto dalle disposizioni di attuazione dell'art. 76, comma 1, del Codice e da tale politica aziendale, effettuando le relative valutazioni secondo quanto specificato nell'allegato 1 al presente regolamento. 2. Le scelte dell'impresa in merito all'identificazione dell'ulteriore personale di cui al comma 1 cui applicare la politica sono coerenti con la struttura organizzativa dell'impresa ed adeguatamente formalizzate nella politica stessa e nel documento di cui all'art. 5, comma 2, lettera i). 3. L'impresa verifica nel continuo la sussistenza e l'aggiornamento dei requisiti di idoneita' alla carica di cui al comma 1. 4. Relativamente ai soggetti di cui all'art. 76, comma 1-bis, del Codice, l'impresa comunica all'IVASS, tempestivamente e comunque non oltre trenta giorni dall'adozione del relativo atto o dal verificarsi della relativa fattispecie, il conferimento dell'incarico, il rinnovo e le eventuali dimissioni, decadenza, sospensione e revoca, nonche' ogni elemento sopravvenuto che possa incidere sulla valutazione dell'idoneita' alla carica. L'obbligo ricorre anche in caso di esternalizzazione o sub-esternalizzazione delle funzioni fondamentali con riguardo al titolare delle medesime. 5. Oltre alla comunicazione di cui al comma 4, sono comunicate all'IVASS le valutazioni dell'organo amministrativo mediante la trasmissione, entro trenta giorni dall'adozione, della relativa delibera adeguatamente motivata. Nel caso di nomina o rinnovo, l'impresa attesta di aver effettuato le verifiche sulla sussistenza dei requisiti e l'assenza di situazioni impeditive, fornendo adeguata motivazione in merito alla valutazione effettuata. La delibera riporta analiticamente e per singolo soggetto scrutinato i presupposti su cui l'impresa ha svolto la valutazione e le relative conclusioni cui e' pervenuta. L'IVASS si riserva la facolta', ove lo ritenga opportuno, di richiedere all'impresa l'acquisizione della documentazione analizzata a supporto della valutazione. 6. La comunicazione dei dati di cui al presente articolo avviene secondo le istruzioni tecniche fornite dall'IVASS, rese disponibili sul sito dell'Istituto.   Art. 26 Istituzione delle funzioni fondamentali 1. Ai fini di cui all'art. 258, paragrafo 1, lettera b), degli atti delegati e dell'art. 30, comma 2, lettera e), del Codice, nell'ambito del sistema di governo societario sono istituite le funzioni fondamentali in modo proporzionato alla natura, alla portata e alla complessita' dei rischi inerenti all'attivita' dell'impresa. 2. L'istituzione delle funzioni e' formalizzata in una specifica delibera dell'organo amministrativo, che ne definisce le responsabilita', i compiti, le modalita' operative, la natura e la frequenza della reportistica agli organi sociali e alle altre funzioni interessate, in coerenza con il documento di cui all'art. 5, comma 2, lettera i).   Art. 27 Struttura delle funzioni fondamentali 1. Ai fini di cui all'art. 268 degli atti delegati, la collocazione organizzativa delle funzioni fondamentali e' lasciata all'autonomia dell'impresa, nel rispetto del principio di separatezza tra funzioni operative e fondamentali e al fine di garantirne l'indipendenza, l'autonomia e l'obiettivita' di giudizio. 2. In coerenza con il comma 1, le funzioni fondamentali: a) sono costituite in forma di specifica unita' organizzativa o per le sole funzioni di gestione dei rischi, di conformita' alle norme ed attuariale, anche mediante il ricorso a risorse appartenenti ad altre unita' aziendali, tenuto conto della ridotta natura, portata e complessita' dei rischi inerenti all'attivita' dell'impresa. In tale ultimo caso, l'indipendenza va assicurata attraverso la presenza di adeguati presidi che garantiscano la separatezza di compiti e prevengano conflitti di interesse; b) dispongono di risorse umane, in possesso di conoscenze specialistiche e di cui e' curato l'aggiornamento professionale, tecnologiche e finanziarie adeguate per lo svolgimento dell'attivita'; c) hanno libero accesso alle attivita' dell'impresa, alle strutture aziendali e a tutte le informazioni pertinenti, incluse le informazioni utili a verificare l'adeguatezza dei controlli svolti sulle funzioni esternalizzate; d) anche quando non costituite in forma di specifica unita' organizzativa riferiscono direttamente all'organo amministrativo a cui, mediante adeguate procedure di reporting, danno contezza dell'attivita' svolta, dei risultati delle verifiche effettuate e rivolgono eventuali raccomandazioni. Le funzioni collaborano tra loro, al fine del perseguimento dei compiti ad esse attribuiti.   Art. 28 Titolari delle funzioni fondamentali 1. Nel rispetto di quanto previsto dagli articoli 268 e 273 degli atti delegati e dall'art. 30 del Codice, il titolare di ciascuna funzione fondamentale e' nominato e revocato dall'organo amministrativo e soddisfa, in coerenza con l'art. 76 del Codice e le relative disposizioni attuative, i requisiti di idoneita' alla carica fissati dalla politica di cui all'art. 5, comma 2, lettera n) del presente regolamento. Il titolare non e' posto a capo di aree operative, ne' e' gerarchicamente dipendente da soggetti responsabili di dette aree. Il titolare assiste, su richiesta del Presidente, alle riunioni dell'organo amministrativo e di controllo. La partecipazione puo' essere prevista anche in via stabile, in relazione alle materie trattate. 2. Fermo restando il rispetto del comma 1, la titolarita' della funzione di conformita' alle norme, gestione dei rischi e attuariale puo' essere attribuita ad un membro dell'organo amministrativo, se sono soddisfatte le seguente condizioni: a) e' appropriato alla natura, alla portata e complessita' dei rischi inerenti all'attivita' dell'impresa; b) non da' luogo a conflitti di interesse; c) il soggetto incaricato e' privo di deleghe ed e' in possesso dei requisiti di professionalita', onorabilita' e indipendenza che lo rendano idoneo a ricoprire la carica e l'attribuzione della titolarita' della funzione e' in linea con l'allocazione dei compiti, delle responsabilita' e competenze tra i membri dell'organo amministrativo; d) la composizione complessiva dell'organo amministrativo assicura un rapporto dialettico al suo interno con riguardo alle valutazioni concernenti la funzione attribuita ad uno degli amministratori.   Art. 29 Piano di attivita' delle funzioni fondamentali 1. Il titolare di ciascuna funzione fondamentale presenta annualmente all'organo amministrativo un piano di attivita' in cui sono indicati gli interventi che intende eseguire, tenuto conto dei principali rischi cui l'impresa e' esposta e delle attivita' da sottoporre prioritariamente a verifica. 2. Il piano di attivita', approvato dall'organo amministrativo: a) e' basato su un'analisi metodica dei rischi che tenga conto di tutte le attivita' e dell'intero sistema di governo societario, nonche' degli sviluppi attesi delle attivita' e delle innovazioni; b) comprende tutte le attivita' significative che sono riviste entro un periodo di tempo ragionevole; c) e' definito in modo da fronteggiare le esigenze impreviste; d) tiene conto delle carenze eventualmente riscontrate nelle verifiche precedenti e di eventuali nuovi rischi identificati. 3. Le variazioni significative al piano di attivita', gia' approvato ai sensi del comma 2, sono soggette all'approvazione dell'organo amministrativo. 4. Qualora necessario, il titolare di ciascuna funzione fondamentale predispone verifiche non previste nel piano di attivita'.   Art. 30 Relazione dell'attivita' delle funzioni fondamentali 1. Il titolare di ciascuna funzione fondamentale presenta, almeno una volta l'anno o comunque quando ritenuto necessario, una relazione all'organo amministrativo che riepiloghi, in coerenza con il piano di attivita' di cui all'art. 29, l'attivita' svolta e le verifiche compiute, le valutazioni effettuate, i risultati emersi, le criticita' e le carenze rilevate e le raccomandazioni formulate per la loro rimozione, nonche' lo stato e i tempi di implementazione degli interventi migliorativi, qualora realizzati.   Art. 31 Collaborazione tra funzioni e organi deputati al controllo 1. Ai fini degli articoli 258, paragrafo 1, lettera a) e 268, paragrafo 1, degli atti delegati, la societa' di revisione, le funzioni fondamentali, l'organismo di vigilanza di cui al decreto legislativo 8 giugno 2001, n. 231, e ogni altro organo o funzione cui e' attribuita una specifica funzione di controllo collaborano tra di loro per l'espletamento dei rispettivi compiti. Tali organi e funzioni assicurano adeguata collaborazione, anche informativa, nei confronti dell'organo di controllo, per l'assolvimento dei compiti ad esso assegnati. 2. L'organo amministrativo definisce e formalizza i collegamenti tra le varie funzioni cui sono attribuiti compiti di controllo.   Art. 32 Compiti della funzione di gestione dei rischi 1. In coerenza con quanto previsto dall'art. 30-bis, comma 10, del Codice, l'impresa istituisce una funzione di gestione dei rischi, che ai fini dell'art. 269 degli atti delegati: a) concorre alla definizione della politica di gestione del rischio e, in particolare, alla scelta dei criteri e delle relative metodologie di misurazione dei rischi; b) concorre alla definizione dei limiti operativi assegnati alle strutture operative e definisce le procedure per la tempestiva verifica dei limiti medesimi; c) valida i flussi informativi necessari ad assicurare il tempestivo controllo delle esposizioni ai rischi e l'immediata rilevazione delle anomalie riscontrate nell'operativita'; d) con riferimento alle disposizioni emanate in attuazione degli articoli 30-ter e 215-ter del Codice in materia di valutazione interna del rischio e della solvibilita', almeno: i) concorre alla definizione della politica di valutazione dei rischi e della solvibilita'; ii) contribuisce alla scelta delle metodologie, criteri e ipotesi utilizzate per le valutazioni; iii) segnala, se non gia' inclusi nella relazione sulla valutazione interna del rischio e della solvibilita', all'organo amministrativo i rischi individuati come significativi ai sensi dell'art. 2, comma 1, lettera o), anche in termini potenziali e riferisce, altresi', in merito ad ulteriori specifiche aree di rischio, d'iniziativa o su richiesta dell'organo stesso; e) predispone la reportistica nei confronti dell'organo amministrativo, dell'alta direzione e dei responsabili delle strutture operative circa l'evoluzione dei rischi e la violazione dei limiti operativi fissati; f) verifica la coerenza dei modelli di misurazione dei rischi con l'operativita' dell'impresa e concorre all'effettuazione delle analisi di scenario o di stress test operati anche nell'ambito della valutazione interna del rischio o della solvibilita' o su richiesta dell'IVASS ai sensi dell'art. 19, comma 7; g) nel caso di utilizzo di modelli interni completi o parziali, ai fini dell'art. 30-bis, comma 14 del Codice, verifica che il modello interno utilizzato sia e rimanga coerente con il profilo di rischio dell'impresa; a tal fine scambia informazioni e collabora con gli utilizzatori del modello interno, con le altre funzioni fondamentali ed in particolare con la funzione attuariale ai fini di cui all'art. 269, paragrafo 2, lettera c) degli atti delegati; h) ai sensi dell'art. 269, paragrafo 1, lettere b) e c), degli atti delegati, monitora l'attuazione della politica di gestione del rischio e il profilo generale di rischio dell'impresa nel suo complesso; i) collabora alla definizione dei meccanismi di incentivazione economica del personale. 2. Il titolare della funzione di gestione del rischio presenta all'organo amministrativo il piano di attivita', secondo quanto previsto dall'art. 29. 3. Come parte del monitoraggio del sistema di gestione dei rischi di cui all'art. 269, paragrafo 1, lettera b) degli atti delegati, nella relazione dell'attivita' all'organo amministrativo di cui all'art. 30 del presente regolamento il titolare della funzione di gestione dei rischi riferisce, tra l'altro, sull'adeguatezza ed efficacia del sistema di gestione dei rischi, sulle metodologie e modelli utilizzati, in particolare nell'ambito della valutazione interna del rischio e della solvibilita', per il presidio dei rischi stessi. La funzione cura l'attuazione del sistema di gestione dei rischi, sulla base di una visione organica di tutti i rischi cui l'impresa e' esposta, incluso il rischio di riservazione, atta a consentire l'individuazione tempestiva di modifiche al profilo di rischio. 4. Al fine di cui al comma 3, nell'ambito di un efficace sistema di gestione dei rischi l'impresa identifica la soluzione piu' idonea per assicurare un'adeguata cooperazione ed assistenza alla funzione di gestione del rischio da parte della funzione attuariale.   Art. 33 Obiettivi della funzione di verifica della conformita' 1. Nell'ambito del sistema di controllo interno, ai fini dell'art. 270 degli atti delegati e dell'art. 30-quater del Codice, l'impresa si dota di specifici presidi, ad ogni livello aziendale pertinente, e di una funzione di verifica della conformita' alle norme, nel rispetto di quanto previsto dagli articoli da 26 a 31 del presente regolamento. 2. Nell'identificazione e valutazione del rischio di non conformita' alle norme, l'impresa pone, tra gli altri, attenzione al rispetto delle norme relative alla trasparenza e correttezza dei comportamenti nei confronti degli assicurati e danneggiati, all'informativa precontrattuale e contrattuale, alla corretta esecuzione dei contratti, con specifico riferimento alla gestione dei sinistri e, piu' in generale, alla tutela degli assicurati e degli altri aventi diritto a prestazioni assicurative.   Art. 34 Compiti della funzione di verifica della conformita' 1. La funzione di verifica della conformita' alle norme valuta che l'organizzazione e le procedure interne dell'impresa siano adeguate al raggiungimento degli obiettivi di cui all'art. 33. A tal fine, la funzione: a) identifica in via continuativa le norme applicabili all'impresa, valuta il loro impatto sui processi e le procedure aziendali, prestando attivita' di supporto e consulenza agli organi sociali e alle altre funzioni aziendali sulle materie per cui assume rilievo il rischio di non conformita', con particolare riferimento alla progettazione dei prodotti; b) valuta l'adeguatezza e l'efficacia delle misure organizzative adottate per la prevenzione del rischio di non conformita' alle norme e propone le modifiche organizzative e procedurali finalizzate ad assicurare un adeguato presidio del rischio; c) valuta l'efficacia degli adeguamenti organizzativi conseguenti alle modifiche suggerite; d) predispone adeguati flussi informativi diretti agli organi sociali dell'impresa e alle altre strutture coinvolte.   Art. 35 Obiettivi della funzione di revisione interna 1. Fermo quanto previsto dagli articoli da 26 a 31 e ai fini di cui all'art. 271 degli atti delegati e all'art. 30-quinquies del Codice, l'impresa istituisce una funzione di revisione interna, incaricata di valutare e monitorare l'efficacia, l'efficienza e l'adeguatezza del sistema di controllo interno e delle ulteriori componenti del sistema di governo societario e le eventuali necessita' di adeguamento, anche attraverso attivita' di supporto e di consulenza alle altre funzioni aziendali. 2. Fermo restando il rispetto di quanto previsto dall'art. 31, comma 1, l'impresa assicura l'indipendenza della funzione di revisione interna dalle altre funzioni, incluse quelle fondamentali. 3. L'impresa puo' consentire, in via eccezionale e residuale, a coloro che svolgono la funzione di revisione interna di svolgere ulteriori funzioni fondamentali, laddove ricorrano le condizioni di cui all'art. 271, paragrafo 2, degli atti delegati, dimostrando che e' in ogni caso in grado di evitare l'insorgenza di conflitti di interessi e di garantire l'obiettivita' e l'indipendenza della funzione di revisione interna. In tale ipotesi l'impresa comunica prontamente all'IVASS l'adozione della soluzione organizzativa e fornisce dimostrazione della sussistenza dei presupposti richiesti dalla normativa per l'assunzione della relativa determinazione, nonche' di quanto richiesto dal presente comma.   Art. 36 Compiti della funzione di revisione interna 1. La funzione di revisione interna uniforma la propria attivita' agli standard professionali comunemente accettati a livello nazionale ed internazionale e verifica: a) la correttezza dei processi gestionali e l'efficacia e l'efficienza delle procedure organizzative; b) la regolarita' e la funzionalita' dei flussi informativi tra settori aziendali; c) l'adeguatezza dei sistemi informativi e la loro affidabilita' affinche' non sia inficiata la qualita' delle informazioni sulle quali il vertice aziendale basa le proprie decisioni; d) la rispondenza dei processi amministrativo contabili a criteri di correttezza e di regolare tenuta della contabilita'; e) l'efficacia dei controlli svolti sulle attivita' esternalizzate. 2. Durante l'esecuzione dell'attivita' di revisione e in sede di valutazione e segnalazione delle relative risultanze, la funzione di revisione interna: a) svolge i compiti ad essa assegnati con autonomia ed obiettivita' di giudizio, in modo da preservare la propria indipendenza e imparzialita', in coerenza con le direttive a tal fine definite dall'organo amministrativo; b) instaura collegamenti organici con tutti i centri titolari di funzioni di controllo interno. 3. A seguito dell'analisi sull'attivita' oggetto di controllo, il titolare della funzione di revisione interna procede, secondo le modalita' e la periodicita' fissata dall'organo amministrativo, a comunicare all'organo amministrativo, all'alta direzione ed all'organo di controllo, la valutazione delle risultanze e le eventuali disfunzioni e criticita'; resta fermo l'obbligo di segnalare con urgenza all'organo amministrativo e a quello di controllo le situazioni di particolare gravita'. 4. L'attivita' di revisione, con specifica evidenza degli interventi effettuati, e' adeguatamente documentata, raccolta ed archiviata. I rapporti di revisione sono obiettivi, chiari, concisi e tempestivi, contengono suggerimenti per eliminare le carenze riscontrate, riportando raccomandazioni in ordine ai tempi per la loro rimozione. I rapporti sono conservati presso la sede della societa' o mediante modalita' alternative di assolvimento dell'obbligo di conservazione documentale coerenti con quanto previsto da ulteriori disposizioni attuative emanate dall'IVASS, e sono redatti in modo tale da consentire di effettuare una valutazione in merito all'efficacia dell'attivita' svolta dalla funzione stessa ed anche di riconsiderare le revisioni effettuate e le risultanze prodotte. Le risultanze della specifica area oggetto di controllo sono altresi' comunicate al responsabile della funzione interessata dall'attivita' di revisione. 5. In coerenza con quanto previsto dagli articoli 27 e 35, comma 3 del presente regolamento e dall'art. 271 degli atti delegati con riguardo all'adozione di adeguate misure al fine di attenuare il rischio di conflitti di interesse, a coloro che svolgono la funzione di revisione interna non sono affidate responsabilita' operative o incarichi di verifica di attivita' per le quali abbiano avuto in precedenza autorita' o responsabilita' se non sia trascorso un ragionevole periodo di tempo. 6. La revisione interna si conclude con l'attivita' di follow-up, consistente nella verifica a distanza di tempo dell'efficacia delle correzioni apportate al sistema.   Art. 37 Nomina e compiti del titolare della funzione di revisione interna 1. Ai fini della nomina e della revoca del titolare della funzione di revisione interna di cui all'art. 26, comma 2, fermo quanto previsto dall'art. 28, viene sentito l'organo di controllo e, ove presente, anche il Comitato per il controllo interno e i rischi. Il titolare della funzione e' dotato dell'autorita' necessaria a garantire l'indipendenza della stessa. 2. Nel rispetto di quanto previsto dall'art. 29, il piano di attivita' presentato dal titolare della funzione di revisione interna individua almeno: a) le attivita' di verifica del sistema di controllo interno e delle ulteriori componenti del sistema di governo societario ed in particolare del flusso informativo e del sistema informatico; b) le attivita' a rischio, le operazioni e i sistemi da verificare, descrivendo i criteri sulla base dei quali sono stati selezionati e specificando le risorse necessarie all'esecuzione del piano. Analogo procedimento e' seguito in caso di variazioni significative ai piani approvati, che comunque sono definiti in modo da fronteggiare le esigenze impreviste. 3. Ai fini dell'art. 271, paragrafo 3 lettera d), degli atti delegati e dell'art. 30 del presente regolamento, nella relazione riepilogativa sono inclusi anche gli interventi di follow-up con indicazione degli esiti delle verifiche ivi comprese quelle di cui all'art. 29, comma 4 del presente regolamento, nonche' dei soggetti e/o funzioni designati per la rimozione, del tipo, dell'efficacia e della tempistica dell'intervento da essi effettuato per rimuovere le criticita' inizialmente rilevate.   Art. 38 Compiti della funzione attuariale 1. Nel rispetto di quanto previsto dagli articoli 272 degli atti delegati, 30-sexies del Codice, dalle disposizioni di attuazione adottate dall'IVASS ed in particolare con riguardo alle disposizioni in materia di riserve tecniche di cui all'art. 36-bis del Codice, la funzione attuariale: a) in attuazione dell'art. 30-sexies, comma 1, lettera a), del Codice, coordina il calcolo delle riserve tecniche. A tal fine: i) monitora le procedure e le modalita' di calcolo delle riserve tecniche e identifica qualsiasi difformita' rispetto ai requisiti previsti dal Titolo III, Capo II, del Codice per il calcolo delle riserve tecniche, proponendo eventuali azioni correttive ove appropriato; e ii) fornisce spiegazioni in merito ad ogni effetto significativo sull'ammontare delle riserve tecniche derivante da modifiche nei dati, nelle metodologie o nelle ipotesi utilizzate, intervenuto tra due diverse date di riferimento; b) in attuazione dell'art. 30-sexies, comma 1, lettera b), del Codice fornisce su richiesta informazioni sull'adeguatezza delle metodologie, dei modelli sottostanti e delle ipotesi su cui si basa il calcolo delle riserve tecniche; c) in attuazione dell'art. 30-sexies, comma 1, lettera c), del Codice, effettua la valutazione della qualita' dei dati utilizzati per il calcolo delle riserve tecniche, in particolare con riguardo alla coerenza dei dati interni ed esterni utilizzati per il calcolo delle riserve tecniche con gli standard di qualita' dei dati previsti dal Codice e dalle disposizioni di attuazione dell'IVASS e formulando, laddove opportuno, raccomandazioni sulle procedure interne per migliorare la qualita' dei dati, al fine di assicurare che l'impresa sia in grado di soddisfare gli adempimenti previsti dal quadro regolamentare; ogni valutazione operata dalla funzione viene riferita direttamente all'organo amministrativo, ivi incluse quelle inerenti la verifica dell'accuratezza e completezza dei dati che incidono sulla valutazione piu' generale di attendibilita' e adeguatezza delle riserve tecniche; d) nell'ambito delle verifiche di cui all'art. 272, paragrafo 4, degli atti delegati e all'art. 30-sexies, comma 1, lettera d) del Codice, riporta all'organo amministrativo ogni scostamento significativo tra l'esperienza reale e la migliore stima, individuandone le cause e, se del caso, proponendo modifiche delle ipotesi e del modello di valutazione, al fine di migliorare il calcolo della migliore stima. 2. Con riguardo al parere sulla politica di sottoscrizione globale e sull'adeguatezza degli accordi di riassicurazione di cui all'art. 272, paragrafi 6 e 7 degli atti delegati, e all'art. 30-sexies, comma 1, lettere g) e h), del Codice, considera le interrelazioni tra questi e le riserve tecniche. 3. Fermo restando quanto previsto dall'art. 272, paragrafo 6, degli atti delegati, il parere della funzione attuariale sulla politica di sottoscrizione globale include, ove rilevante: a) la coerenza della determinazione del prezzo dei prodotti con la politica di sottoscrizione per l'assunzione dei rischi; b) l'opinione sui principali fattori di rischio che influenzeranno la redditivita' degli affari che saranno sottoscritti nel successivo esercizio, ivi compreso il potenziale impatto di fattori esterni quali inflazione, rischio legale, variazioni nel volume degli affari e nelle condizioni del mercato; c) l'opinione sul possibile impatto finanziario di ogni programmata variazione rilevante dei termini e delle condizioni dei contratti; d) il grado di variabilita' della stima della redditivita' attesa dell'impresa e la relativa coerenza con la propensione al rischio dell'impresa. 4. Fermo restando quanto previsto dall'art. 272, paragrafo 7, degli atti delegati, il parere della funzione attuariale sull'adeguatezza degli accordi di riassicurazione include, ove rilevante: a) la coerenza degli accordi di riassicurazione stipulati dall'impresa con la sua propensione al rischio; b) l'effetto della riassicurazione sulla stima delle riserve tecniche al netto degli importi recuperabili dalla riassicurazione; c) l'indicazione dell'efficacia degli accordi di riassicurazione stipulati dall'impresa nell'azione di mitigazione della volatilita' dei fondi propri. 5. Il parere di cui al comma 4 include una valutazione dell'efficacia della copertura riassicurativa in presenza di alcuni scenari di stress, che comprendono, tra l'altro, l'esposizione del portafoglio dei contratti dell'impresa ai rischi catastrofali, l'aggregazione dei rischi, i default dei riassicuratori ed il potenziale esaurimento della riassicurazione. I pareri di cui ai commi 3 e 4 includono la descrizione, l'esame di altre possibili opzioni e se, del caso, proposte di modifica. 6. Nell'ambito dei compiti di cui all'art. 30-sexies, comma 1, lettera i) del Codice in materia di modelli interni, la funzione attuariale fornisce il proprio contributo, fondato su specifiche analisi tecniche che riflettono la propria esperienza e competenza, in merito: a) alla individuazione dei rischi coperti dal modello interno; b) alla determinazione delle correlazioni tra i rischi coperti dal modello interno e tra questi ed altri rischi. 7. L'impresa, qualora siano assegnati alla funzione attuariale compiti o attivita' aggiuntive, anche di coordinamento e di raccordo, rispetto a quelle di cui al comma 1, adotta adeguate misure e procedure idonee ad evitare possibili conflitti di interesse. 8. L'impresa assicura in ogni caso che i processi di calcolo e validazione delle riserve tecniche sono eseguiti in modo indipendente. 9. Nell'ambito dell'assegnazione di compiti aggiuntivi ai sensi del comma 7, la funzione attuariale verifica la coerenza tra gli importi delle riserve tecniche calcolati sulla base dei criteri di valutazione applicabili al bilancio civilistico e i calcoli risultanti dall'applicazione dei criteri Solvency II, nonche' sulla conseguente rappresentazione e motivazione delle differenze emerse. Tale verifica di coerenza e' richiesta anche tra le base-dati e il processo di data quality adottati, rispettivamente, per le finalita' prudenziali e civilistiche.   Art. 39 Ambito di applicazione delle politiche di remunerazione 1. Il presente Capo si applica alle imprese di cui all'art. 3, comma 1, lettere a) e c) e, nei limiti della compatibilita' con la loro organizzazione, alle sedi secondarie di cui alla lettera b).   Art. 40 Principi generali delle politiche di remunerazione 1. Ai fini dell'art. 258, paragrafo 1, lettera l), degli atti delegati e in linea con quanto previsto dall'art. 275 degli atti delegati, le imprese adottano politiche di remunerazione in forma scritta coerenti con la sana e prudente gestione e in linea con gli obiettivi strategici, la redditivita' e l'equilibrio dell'impresa nel lungo termine. 2. Le imprese evitano politiche di remunerazione basate in modo esclusivo o prevalente sui risultati di breve termine, tali da incentivare una eccessiva esposizione al rischio o una assunzione dei rischi che ecceda i limiti di tolleranza al rischio fissati dall'organo amministrativo, ai sensi dell'art. 5, comma 2, lettera e). 3. Le imprese nelle politiche di cui al comma 1 assicurano, almeno, che: a) le remunerazioni concesse non pregiudicano la capacita' dell'impresa di mantenere una base patrimoniale adeguata; b) gli accordi di remunerazione con i fornitori di servizi non incoraggiano un'eccessiva assunzione di rischi, in considerazione della strategia di gestione del rischio dell'impresa; c) i sistemi di remunerazione siano idonei a garantire il rispetto delle disposizioni di legge, regolamentari e statutarie nonche' di eventuali codici etici, promuovendo l'adozione di comportamenti ad essi conformi; d) siano note al personale le conseguenze di eventuali violazioni normative o di codici etici; e) la remunerazione, nelle sue componenti fissa e variabile, riflette l'esperienza professionale e le responsabilita' organizzative assegnate, in linea con quanto descritto dal documento di cui all'art. 5, comma 2, lettera i) punto i), ed e' coerente con la natura, portata e complessita' dei rischi inerenti all'attivita' dell'impresa; f) la remunerazione degli amministratori privi di deleghe esecutive non include, di norma, componenti variabili. Nei casi eccezionali in cui tali componenti sono previste, esse sono adeguatamente motivate e rappresentano comunque una parte non significativa della remunerazione.   Art. 41 Ruolo dell'assemblea 1. Lo statuto delle imprese prevede che l'assemblea ordinaria, oltre a stabilire i compensi spettanti ai componenti degli organi dalla stessa nominati, approvi le politiche di remunerazione a favore degli organi sociali e del personale rilevante, come identificato dall'impresa ai sensi dell'art. 2, comma 1, lettera m), inclusi i piani di remunerazione basati su strumenti finanziari.   Art. 42 Ruolo del Consiglio di amministrazione 1. Ai fini dell'art. 275, paragrafo 1, lettere d) ed e), degli atti delegati, il Consiglio di amministrazione definisce e rivede periodicamente le politiche di remunerazione ai fini dell'approvazione dell'assemblea ordinaria prevista dall'art. 41 del presente regolamento ed e' responsabile della loro corretta applicazione. 2. Il Consiglio di amministrazione assicura il coinvolgimento delle funzioni fondamentali, nonche' della funzione risorse umane nella definizione delle politiche di remunerazione. 3. I processi decisionali relativi alle politiche di remunerazione sono chiari, documentati e trasparenti e includono misure atte ad evitare conflitti di interesse.   Art. 43 Comitato remunerazioni 1. Le imprese, ove appropriato in relazione alla natura, portata e complessita' dell'attivita' dell'impresa e dei rischi inerenti, costituiscono all'interno del Consiglio di amministrazione, ai sensi dell'art. 275, paragrafo 1, lettera f), degli atti delegati, il Comitato remunerazioni, composto da amministratori non esecutivi, in maggioranza indipendenti ai sensi dell'art. 2387 del codice civile. 2. Il Consiglio di amministrazione definisce la composizione, i compiti e le modalita' di funzionamento del Comitato remunerazioni. L'istituzione del comitato non solleva il Consiglio di amministrazione dalle proprie responsabilita' in materia. 3. Il Comitato remunerazioni, tra l'altro: a) svolge funzioni di consulenza e di proposta nell'ambito della definizione delle politiche di remunerazione e formula proposte in materia di compensi di ciascuno degli amministratori investiti di particolari cariche; b) verifica la congruita' del complessivo schema retributivo, nonche' la proporzionalita' delle remunerazioni dell'amministratore esecutivo rispetto al personale rilevante dell'impresa; c) sottopone periodicamente a verifica le politiche di remunerazione al fine di garantirne l'adeguatezza anche in caso di modifiche all'operativita' dell'impresa o del contesto di mercato in cui la stessa opera; d) individua i potenziali conflitti di interesse e le misure adottate per gestirli; e) accerta il verificarsi delle condizioni per il pagamento degli incentivi del personale rilevante; f) fornisce adeguata informativa al Consiglio di amministrazione sull'efficace funzionamento delle politiche di remunerazione. 4. Se non e' istituito un Comitato remunerazioni, il Consiglio di amministrazione svolge i compiti che gli sarebbero stati assegnati, avendo cura di prevenire conflitti di interesse. 5. I membri del Consiglio di amministrazione incaricati della formulazione di proposte per la definizione delle politiche di remunerazione, nonche' i membri del Comitato remunerazioni dispongono delle necessarie competenze ed agiscono con indipendenza di giudizio al fine di formulare valutazioni sulla adeguatezza delle politiche e sulle loro implicazioni sulla assunzione e gestione dei rischi ed hanno libero accesso alle informazioni e ai dati rilevanti per l'espletamento delle funzioni ad essi attribuite.   Art. 44 Consulenti esterni 1. Qualora il Consiglio di amministrazione si avvalga del supporto di consulenti esterni per la determinazione delle politiche di remunerazione dell'impresa, esso verifica preventivamente, con l'ausilio del Comitato remunerazioni, ove presente, che tali soggetti non si trovino in situazioni che ne compromettano l'indipendenza di giudizio.   Art. 45 Sistema di amministrazione dualistico 1. Limitatamente alla materia delle remunerazioni, per le imprese che hanno adottato il sistema di amministrazione di cui all'art. 2409-octies del codice civile, le disposizioni relative alle funzioni del Consiglio di amministrazione sono da intendersi riferite al consiglio di sorveglianza.   Art. 46 Bilanciamento delle componenti fisse e variabili 1. Se la politica di remunerazione degli amministratori con deleghe esecutive prevede il riconoscimento di una componente variabile, e' assicurato un corretto bilanciamento tra la componente fissa e quella variabile e sono previsti limiti massimi per la componente variabile, in coerenza con quanto previsto dall'art. 275, paragrafo 2, lettera a), degli atti delegati. 2. La ripartizione tra le due componenti e' tale da consentire all'impresa di perseguire una politica flessibile in materia di riconoscimento di componenti variabili, con particolare riferimento all'esercizio delle facolta' di cui all'art. 48, comma 2.   Art. 47 Fissazione e misurazione dei risultati 1. Ai fini di cui all'art. 275, paragrafo 2, lettera b), degli atti delegati, il riconoscimento della componente variabile e' subordinato al raggiungimento di risultati predeterminati, oggettivi e agevolmente misurabili. 2. Anche ai fini di cui all'art. 275, paragrafo 2, lettere a), b), d) ed e) degli atti delegati, la politica di remunerazione, nella fissazione dei risultati da raggiungere: a) prevede l'adozione di indicatori di performance che tengano conto dei rischi attuali e prospettici connessi ai risultati prefissati e dei correlati oneri in termini di costo del capitale impiegato e di liquidita' necessaria; b) tiene conto, ove appropriato, anche di criteri non finanziari che contribuiscono alla creazione di valore per l'impresa, quali la conformita' alla normativa esterna ed interna e l'efficienza della gestione del servizio alla clientela; c) assicura che l'importo complessivo della componente variabile sia basato su una adeguata combinazione dei risultati ottenuti dal singolo, dall'unita' produttiva di appartenenza e dei risultati complessivi dell'impresa o del gruppo di appartenenza. 3. La misurazione dei risultati e' effettuata su un adeguato arco temporale preferibilmente pluriennale.   Art. 48 Pagamento della componente variabile 1. La politica di remunerazione prevede che una parte significativa della componente variabile, indipendentemente dall'orizzonte temporale dei risultati a cui e' subordinata sia erogata solo al termine di un periodo di differimento minimo in conformita' all'art. 275, paragrafo 2, lettera c), degli atti delegati e tenendo conto dei rischi associati ai risultati secondo quanto disposto dall'art. 47, comma 2, lettera a) del presente regolamento. 2. Fermo restando quanto previsto dall'art. 46, comma 2 ed in coerenza con l'art. 275, paragrafo 2, degli atti delegati, se la politica di remunerazione degli amministratori prevede il riconoscimento di una componente variabile, l'impresa adotta opportune disposizioni contrattuali che le consentono di: a) non erogare in tutto o in parte tali compensi se i risultati prefissati non sono stati raggiunti ovvero se si e' verificato un significativo deterioramento della situazione patrimoniale o finanziaria dell'impresa; b) chiedere la restituzione, in tutto o in parte, dei compensi erogati sulla base di risultati che si sono rivelati non duraturi o effettivi a causa di condotte dolose o gravemente colpose o in caso di violazioni di codici etici applicabili all'impresa, nei casi da questa stabiliti.   Art. 49 Remunerazioni basate su strumenti finanziari 1. In coerenza con gli articoli 46, 47 e 48, le forme di retribuzione incentivanti basate su strumenti finanziari, sono parametrate al rischio assunto dall'impresa e strutturate in modo da evitare il prodursi di incentivi in conflitto con la sana e prudente gestione della societa' in un'ottica di lungo termine. 2. In coerenza con quanto previsto dall'art. 275, paragrafo 2, lettera c), degli atti delegati, i piani di remunerazione basati su azioni e altri strumenti finanziari prevedono adeguati periodi temporali per l'assegnazione delle azioni o di tali strumenti, per l'esercizio delle opzioni e per il mantenimento degli stessi, in modo che il conseguimento dei relativi vantaggi economici si compia in modo graduale nel tempo.   Art. 50 Importi erogati in caso di anticipata cessazione dall'incarico 1. L'impresa prevede che le somme accordate in caso di anticipata cessazione dell'incarico, ivi inclusi benefici discrezionali di natura pensionistica o integrativa previdenziale, nonche' eventuali compensi corrisposti in base a patti di non concorrenza o quale indennita' di mancato preavviso per l'eccedenza rispetto a quanto previsto dalla legge, sono soggette a stringenti limiti quantitativi; il pagamento e' differito ai sensi dell'art. 48, e sono determinati i casi in cui tali somme non devono essere corrisposte, nel rispetto di quanto previsto dall'art. 275, paragrafo 2, lettera f), degli atti delegati.   Art. 51 Limiti alla remunerazione variabile per gli organi di controllo 1. Ai componenti del collegio sindacale, del consiglio di sorveglianza e comitato per il controllo sulla gestione non sono riconosciuti compensi collegati ai risultati o basati su strumenti finanziari.   Art. 52 Disposizioni generali 1. Le disposizioni della presente Sezione si applicano nel rispetto della vigente disciplina che regola i rapporti di lavoro.   Art. 53 Comunicazione interna 1. Ai fini dell'art. 275, paragrafo 1, lettera g), degli atti delegati, i criteri generali della politica di remunerazione del personale rilevante sono accessibili a tutto il personale a cui si applicano, nel rispetto del diritto di riservatezza di ciascun soggetto. Il personale interessato e' informato in anticipo dei criteri utilizzati per determinarne la remunerazione e la valutazione dei risultati cui e' collegata la componente variabile. 2. Ai fini di cui al comma 1, la politica di remunerazione e il processo di valutazione sono adeguatamente documentati e resi trasparenti a ciascun soggetto interessato.   Art. 54 Struttura della politica di remunerazione del personale rilevante 1. Alla struttura della remunerazione del personale rilevante, ove comprenda componenti variabili, si applicano le disposizioni di cui agli articoli 46, 47, 48 e 49.   Art. 55 Remunerazione delle funzioni fondamentali 1. La remunerazione dei titolari e del personale di livello piu' elevato delle funzioni fondamentali e' fissata in misura adeguata rispetto al livello di responsabilita' e all'impegno connessi al ruolo. 2. Nel rispetto di quanto stabilito dall'art. 275, paragrafo 2, lettera h), degli atti delegati, per i soggetti di cui al comma 1 sono evitate, salvo valide e comprovate ragioni, remunerazioni variabili o basate su strumenti finanziari. Tali eventuali remunerazioni sono coerenti con i compiti assegnati, indipendenti dai risultati conseguiti dalle unita' operative soggette al loro controllo e legate al raggiungimento di obiettivi connessi all'efficacia e alla qualita' dell'azione di controllo, a condizione che non siano fonte di conflitti di interesse.   Art. 56 Intermediari assicurativi e riassicurativi 1. Nella definizione delle politiche di remunerazione degli intermediari assicurativi e riassicurativi, le imprese hanno cura di assicurare che i compensi e gli incentivi siano coerenti con i principi della sana e prudente gestione e in linea con gli obiettivi strategici, la redditivita' e l'equilibrio dell'impresa nel lungo termine e che, in ogni caso, non incentivino condotte contrarie all'obbligo di comportarsi secondo correttezza nei confronti degli assicurati. 2. L'impresa, ai fini di cui al comma 1, evita politiche di remunerazione basate in modo esclusivo o prevalente su risultati di breve termine, tali da incentivare una eccessiva esposizione al rischio.   Art. 57 Fornitori di servizi esternalizzati 1. In caso di esternalizzazione di attivita' o funzioni essenziali o importanti o di funzioni fondamentali, l'impresa adotta politiche di remunerazione coerenti con la sana e prudente gestione e in linea con gli obiettivi strategici, la redditivita' e l'equilibrio dell'impresa. 2. L'impresa, ai fini di cui al comma 1, evita politiche di remunerazione basate in modo esclusivo o prevalente sui risultati di breve termine, tali da incentivare una eccessiva esposizione al rischio.   Art. 58 Verifica delle politiche di remunerazione 1. L'attuazione delle politiche di remunerazione adottate dall'impresa e' soggetta, con cadenza almeno annuale, ad una verifica da parte delle funzioni fondamentali che collaborano ciascuna secondo le rispettive competenze. A tal fine, tra l'altro: a) la funzione di revisione interna verifica la corretta applicazione delle politiche di remunerazione sulla base degli indirizzi definiti dal Consiglio di amministrazione in ottica di efficienza e salvaguardia del patrimonio dell'impresa; b) la funzione di verifica della conformita' accerta che le politiche di remunerazione siano coerenti con gli obiettivi di rispetto delle norme del presente Capo, dello statuto nonche' di eventuali codici etici o altri standard di condotta applicabili all'impresa, in modo da prevenire e contenere i rischi legali e reputazionali; c) la funzione di gestione dei rischi contribuisce, tra l'altro, ad assicurare la coerenza delle politiche di remunerazione con la propensione al rischio, come definita ai sensi dell'art. 5, comma 2, lettera e), anche attraverso la definizione degli indicatori di rischio di cui agli articoli 47 e 48, comma 2, e la verifica del relativo corretto utilizzo. 2. Le funzioni di cui al comma 1 riferiscono sui risultati delle verifiche compiute agli organi competenti all'adozione di eventuali misure correttive, che ne valutano la rilevanza ai fini di una pronta informativa all'IVASS. Gli esiti delle verifiche condotte sono portati annualmente a conoscenza dell'assemblea nell'ambito dell'informativa di cui all'art. 59, comma 2.   Art. 59 Informativa all'assemblea 1. Al fine dell'approvazione delle politiche di remunerazione di cui all'art. 41, il Consiglio di amministrazione fornisce all'assemblea, distintamente per gli organi sociali e per il personale rilevante ed in maniera disaggregata per ruoli e funzioni: a) una illustrazione delle linee generali, delle motivazioni e delle finalita' che l'impresa intende perseguire attraverso la politica retributiva; b) le informazioni relative al processo decisionale utilizzato per definire la politica retributiva, comprese quelle sui soggetti coinvolti; c) i criteri utilizzati per definire l'equilibrio tra componente fissa e variabile ed i parametri, le motivazioni e i relativi periodi di differimento per il riconoscimento delle componenti variabili, nonche' la politica in materia di trattamento di fine incarico; la descrizione delle circostanze in presenza delle quali l'impresa ricorre ai meccanismi di cui agli articoli 48, comma 2, lettere a) e b); d) una descrizione delle principali caratteristiche della previdenza complementare o dei piani di prepensionamento per coloro che svolgono funzioni di amministrazione, direzione e controllo e per i titolari delle funzioni fondamentali; e) le informazioni sulle modifiche apportate rispetto alle politiche gia' approvate. 2. Il Consiglio di amministrazione rende annualmente all'assemblea un'adeguata informativa sull'applicazione delle politiche di remunerazione, corredata da informazioni quantitative sui compensi corrisposti nell'esercizio di riferimento ai singoli membri dell'organo amministrativo e di controllo e al direttore generale o ad altro membro dell'alta direzione che eserciti funzioni equivalenti, come individuati dalle previsioni di cui al regolamento ministeriale di attuazione dell'art. 76 del Codice. E' in tale sede fornita altresi' un'adeguata rappresentazione di ciascuna delle voci, fissa e variabile, che compongono la remunerazione, compresi i trattamenti previsti in caso di cessazione anticipata dalla carica o di risoluzione del rapporto di lavoro, evidenziandone la coerenza con la politica in materia di remunerazione approvata nell'esercizio precedente. Le informazioni sui compensi riguardanti i soggetti menzionati e i titolari delle funzioni fondamentali sono rese nell'ambito dell'informativa da trasmettersi all'IVASS ai sensi dell'art. 47-quater del Codice e relative disposizioni di attuazione, nelle modalita' e con il livello di dettaglio definito dall'allegato 3 al regolamento. Per l'ulteriore personale rilevante, come definito dall'art. 2, comma 1, lettera m), l'informativa e' resa mediante l'invio all'IVASS del dato aggregato, a meno che l'importo complessivo della remunerazione di uno di tali soggetti sia superiore rispetto al compenso piu' elevato riconosciuto ad uno dei soggetti per cui e' prevista la comunicazione del dato nominativo. In tal caso e' comunicato all'IVASS il dato nominativo. 3. Nelle imprese che hanno adottato il sistema di amministrazione di cui all'art. 2409-octies del codice civile, le disposizioni di cui ai commi 1 e 2 relative alle funzioni del Consiglio di amministrazione sono da intendersi riferite al consiglio di sorveglianza.   Art. 60 Esternalizzazione di funzioni o attivita' 1. Nel rispetto di quanto previsto dall'art. 274 degli atti delegati e dall'art. 30-septies del Codice e in coerenza con la politica di esternalizzazione di cui all'art. 5, comma 2, lettera m), l'impresa conclude accordi di esternalizzazione a condizione che la natura e la quantita' delle funzioni o attivita' esternalizzate e le modalita' della cessione non determinino lo svuotamento dell'attivita' dell'impresa cedente. 2. Non puo' in ogni caso essere esternalizzata l'attivita' di assunzione dei rischi. 3. In coerenza con quanto previsto dall'art. 30-septies, comma 1, del Codice, l'esternalizzazione non esonera in alcun caso gli organi sociali e l'alta direzione dell'impresa dalle rispettive responsabilita'.   Art. 61 Politica di esternalizzazione e scelta dei fornitori 1. In coerenza con quanto previsto dall'art. 274, paragrafo 1, degli atti delegati, dall'art. 30, comma 5, del Codice e dall'art. 60 del presente regolamento, l'organo amministrativo definisce la politica per l'esternalizzazione delle funzioni o attivita' dell'impresa e per la scelta dei fornitori. 2. L'impresa che esternalizza funzioni o attivita' conserva l'accordo di esternalizzazione per i cinque anni successivi alla cessazione del rapporto contrattuale presso la propria sede o mediante modalita' alternative di assolvimento dell'obbligo di conservazione documentale coerenti con quanto previsto da ulteriori disposizioni attuative emanate dall'IVASS.   Art. 62 Esternalizzazione di funzioni o attivita' essenziali o importanti 1. L'impresa, in coerenza con quanto previsto dall'art. 30, comma 2, lettera e) del Codice, ed in linea con gli articoli 2, comma 1, lettera c) e 61 del presente regolamento, individua le funzioni o attivita' essenziali o importanti esternalizzate. Tale processo di individuazione e' adeguatamente documentato. 2. L'impresa nell'ambito della politica di esternalizzazione definisce il processo di analisi da effettuarsi ai fini della conclusione dell'accordo di esternalizzazione. In particolare, con riguardo alla valutazione del fornitore di servizi, di cui alla lettera c) del contenuto della politica di esternalizzazione e scelta dei fornitori come descritto nell'allegato 1, l'impresa verifica la sussistenza di eventuali conflitti di interesse, anche considerando quelli tra il fornitore di servizi e l'impresa o eventuali accordi con soggetti concorrenti. 3. L'analisi di cui al comma 2 e' condotta, in coerenza con la politica, al fine di comprendere i principali rischi derivanti dall'esternalizzazione, individuare le relative strategie per la mitigazione e gestione, nonche' per una adeguata valutazione in merito alla identificazione del fornitore di servizi cui affidare la funzione o l'attivita'. Le valutazioni dell'impresa sono adeguatamente documentate e, laddove opportuno, riviste. Su richiesta dell'IVASS, l'impresa fornisce la documentazione di supporto all'analisi effettuata. 4. L'impresa che affida ad un terzo l'esecuzione di funzioni o attivita' essenziali o importanti garantisce anche, in aggiunta a quanto previsto dall'art. 274, paragrafo 5, degli atti delegati e dall'art. 30-septies, comma 2, del Codice, che le modalita' di esternalizzazione non compromettano i risultati finanziari e la stabilita' dell'impresa e la continuita' delle sue attivita'. 5. L'impresa individua al proprio interno uno o piu' responsabili delle attivita' di controllo sulle funzioni o attivita' essenziali o importanti esternalizzate e ne formalizza compiti e responsabilita'. Il numero dei responsabili e' proporzionato alla natura e alla quantita' delle attivita' esternalizzate. 6. Nell'ambito della politica sono altresi' definiti dall'impresa i criteri per l'individuazione dei servizi esternalizzati di funzioni o attivita' essenziali o importanti da sottoporre a preventiva approvazione da parte dell'organo amministrativo. Tale organo e' regolarmente informato, con cadenza almeno annuale, in merito ai risultati degli accordi nel corso della operativita' degli stessi   Art. 63 Esternalizzazione delle funzioni fondamentali 1. In coerenza con quanto previsto dall'art. 30, comma 2, lettera e) del Codice e salvo quanto diversamente specificato, le disposizioni dettate dal presente Capo per le funzioni o attivita' essenziali o importanti si applicano anche alle funzioni fondamentali. 2. L'impresa puo' esternalizzare le funzioni fondamentali, nel rispetto delle disposizioni di cui al presente Capo ed in conformita' a quanto previsto dall'art. 30-septies del Codice e dall'art. 274 degli atti delegati, ove appropriato in ragione della ridotta portata e complessita' dei rischi inerenti alla sua attivita' e qualora l'istituzione di funzioni fondamentali all'interno di essa non risponde a criteri di economicita', efficienza e affidabilita'. 3. L'impresa designa al proprio interno il titolare della funzione fondamentale esternalizzata, cui e' assegnata la complessiva responsabilita' della funzione esternalizzata. Il titolare, oltre ai requisiti di professionalita', onorabilita' ed indipendenza di cui all'art. 76 del Codice e 28 del presente regolamento, possiede conoscenze ed esperienze tali da consentire una valutazione critica della prestazione svolta e dei risultati raggiunti dal fornitore di servizi. 4. In aggiunta a quanto previsto dal comma 3, coloro che presso il fornitore o subfornitore dei servizi svolgono la funzione fondamentale esternalizzata, possiedono i requisiti di professionalita', onorabilita' e indipendenza richiesti a coloro che svolgono funzioni fondamentali nell'impresa, ai sensi dell'art. 25.   Art. 64 Accordi di esternalizzazione delle funzioni o attivita' essenziali o importanti e delle funzioni fondamentali 1. Oltre a quanto stabilito dall'art. 274, paragrafo 4 degli atti delegati, gli accordi di esternalizzazione delle funzioni o attivita' essenziali o importanti e delle funzioni fondamentali prevedono almeno: a) la chiara definizione dell'attivita' oggetto della cessione, delle modalita' di esecuzione e del relativo corrispettivo; b) le modalita' e la frequenza della reportistica al responsabile delle attivita' di controllo di cui all'art. 62, comma 5 o al titolare di cui all'art. 63, comma 3, concernente l'attivita' o la funzione esternalizzata; c) che l'impresa possa recedere dal contratto senza oneri sproporzionati o tali da pregiudicare, in concreto, l'esercizio del diritto di recesso; d) che l'impresa possa recedere o modificare il contratto in caso di richiesta dell'IVASS; e) che il contratto non possa essere sub-esternalizzato senza il consenso dell'impresa; f) che siano acquisite informazioni con riguardo all'adozione da parte del fornitore dei presidi in tema di conflitti di interesse di cui all'art. 274, paragrafo 3, lettera b) degli atti delegati. 2. L'esternalizzazione di funzioni o attivita' essenziali o importanti, ad un fornitore con sede legale all'interno dello S.E.E. e' sottoposta agli obblighi di comunicazione di cui all'art. 67, commi 1 e 2. 3. L'esternalizzazione di funzioni o attivita' essenziali o importanti, ad un fornitore con sede legale fuori dallo S.E.E. e' sottoposta alla preventiva autorizzazione dell'IVASS, allegando all'istanza gli elementi informativi di cui all'art. 67, comma 1. Se il fornitore e' ricompreso nell'ambito del gruppo di cui all'art. 210-ter, comma 2, del Codice, l'esternalizzazione e', in deroga, sottoposta agli obblighi di comunicazione di cui all'art. 67, comma 3. 4. Salvo quanto previsto dal comma 5, gli accordi di esternalizzazione delle funzioni fondamentali possono essere conclusi solo con fornitori con sede legale nello S.E.E., secondo quanto previsto dall'art. 68, commi 1 e 2. In tal caso l'impresa assicura altresi' che siano adeguatamente definiti: a) obiettivi, metodologie e frequenza dei controlli; b) modalita' e frequenza dei rapporti con l'organo amministrativo e l'alta direzione; c) possibilita' di riconsiderare le condizioni del servizio al verificarsi di modifiche di rilievo nell'operativita' e nell'organizzazione dell'impresa di assicurazione. 5. In deroga a quanto previsto dal comma 4, e' consentita, previa autorizzazione dell'IVASS, l'esternalizzazione di funzioni fondamentali ad un fornitore con sede legale fuori dallo S.E.E., purche' ricompreso nell'ambito del gruppo di cui all'art. 210-ter, comma 2, del Codice. L'impresa allega all'istanza gli elementi informativi di cui all'art. 68.   Art. 65 Controllo sulle funzioni o attivita' esternalizzate 1. Relativamente alle funzioni o attivita' esternalizzate, il sistema di governo societario garantisce controlli di standard analoghi a quelli che sarebbero attuati se le stesse fossero svolte direttamente dall'impresa. I rischi specifici connessi all'esternalizzazione sono inclusi nella politica di gestione dei rischi. 2. Ai fini di cui al comma 1, l'impresa adotta idonei presidi organizzativi e contrattuali che consentano di monitorare costantemente le attivita' esternalizzate, la loro conformita' a norme di legge e regolamenti e alle direttive e procedure aziendali, ai termini dell'accordo di esternalizzazione, nonche' il rispetto dei limiti operativi e dei limiti di tolleranza al rischio fissati dall'impresa e di intervenire tempestivamente ove il fornitore non rispetti gli impegni assunti o la qualita' del servizio fornito sia carente. I presidi sono altresi' finalizzati a garantire il rispetto delle condizioni di cui all'art. 30-septies, comma 5, del Codice, con particolare riguardo alle ipotesi in cui il fornitore di servizi ha sede legale fuori dallo S.E.E. 3. In coerenza con quanto previsto dall'art. 274, paragrafo 5 lettera d) degli atti delegati e dall'art. 30-septies del Codice, l'impresa che esternalizza attivita' o funzioni essenziali o importanti, adotta idonee misure per assicurare la continuita' della attivita' in caso di interruzione o grave deterioramento della qualita' del servizio reso dal fornitore, inclusi adeguati piani di emergenza o di reinternalizzazione delle attivita', in linea con la politica di cui all'art. 61 del presente regolamento. 4. Se l'esternalizzazione di funzioni o attivita' essenziali o importanti e' effettuata nell'ambito del gruppo di cui all'art. 210-ter, comma 2, del Codice, l'ultima societa' controllante italiana: a) mantiene evidenza delle funzioni o attivita' esternalizzate e delle imprese o societa' che hanno esternalizzato, assicurando l'opportuna diffusione delle informazioni alle societa' del gruppo interessate; e b) assicura che l'accordo di esternalizzazione non pregiudichi la prestazione della funzione o attivita' a livello della societa' o impresa interessata.   Art. 66 Poteri di intervento dell'IVASS 1. L'IVASS verifica che l'esternalizzazione di funzioni e attivita' e la loro esecuzione rispettino le condizioni di cui al presente Capo. 2. Qualora, in considerazione della natura, della portata e della complessita' dei rischi inerenti all'attivita' dell'impresa nonche' della propria posizione finanziaria, della natura dell'attivita' esternalizzata, delle caratteristiche e della posizione di mercato del fornitore o della qualita' del servizio da questo reso, l'IVASS ritenga che possa essere compromessa la sana e prudente gestione dell'impresa o arrecato pregiudizio agli interessi degli assicurati e dei danneggiati, ovvero non sia consentito il pieno esercizio delle funzioni di vigilanza, puo' imporre all'impresa di modificare il contratto di esternalizzazione, ovvero, nei casi piu' gravi, di recedere dal contratto, come previsto dall'art. 64, comma 1, lettera d).   Art. 67 Comunicazioni in caso di esternalizzazione di funzioni o attivita' essenziali o importanti 1. Coerentemente con quanto previsto dall'art. 30-septies, comma 3, del Codice e dall'art. 64, comma 2, del presente regolamento, nel caso di esternalizzazione di funzioni o attivita' essenziali o importanti ad un fornitore con sede legale nello S.E.E., l'impresa ne da' preventiva comunicazione all'IVASS, almeno sessanta giorni prima della esecuzione del contratto, trasmettendo il modello di cui all'allegato 2 al presente regolamento debitamente compilato ed una relazione che descriva, in modo analitico, le attivita' esternalizzate, l'eventuale ricorso alla sub-esternalizzazione, nonche' le motivazioni sottostanti l'esternalizzazione, la scelta del fornitore e la determinazione del corrispettivo. 2. Se l'esternalizzazione di cui al comma 1 avviene nei confronti di un fornitore ricompreso tra le societa' di cui all'art. 210-ter, comma 2, del Codice, l'impresa ne da' preventiva comunicazione all'IVASS almeno quarantacinque giorni prima dell'esecuzione del contratto, fornendo indicazione del nominativo del fornitore, della portata delle attivita' che vengono esternalizzate, la durata e le motivazioni. La comunicazione puo' essere presentata dall'ultima societa' controllante italiana per conto delle societa' del gruppo interessate dall'esternalizzazione. 3. Coerentemente con quanto previsto dall'art. 64, comma 3, secondo periodo, nel caso di esternalizzazione di funzioni o attivita' essenziali o importanti ad un fornitore con sede legale fuori dallo S.E.E., ma ricompreso nell'ambito del gruppo di cui all'art. 210-ter, comma 2, del Codice, l'impresa ne da' preventiva comunicazione all'IVASS almeno quarantacinque giorni prima dell'esecuzione del contratto, allegando gli elementi informativi di cui al comma 1. 4. Nelle ipotesi di cui ai commi 1, 2 e 3, alla comunicazione e' allegata l'attestazione dell'impresa in merito all'idoneita' e sufficienza dei presidi adottati dal fornitore di servizi in materia di conflitti di interessi, in coerenza con quanto previsto dall'art. 62, comma 2 e dall'art. 64, comma 1, lettera f). 5. L'IVASS comunica all'impresa l'esistenza di eventuali motivi ostativi all'esternalizzazione entro sessanta giorni dal ricevimento della comunicazione di cui al comma 1 o entro quarantacinque giorni dal ricevimento della comunicazione di cui ai commi 2 e 3, complete della documentazione di supporto. 6. L'impresa comunica in ogni caso tempestivamente all'IVASS se in corso di contratto sono intervenuti sviluppi rilevanti, in merito all'esternalizzazione di tali funzioni o attivita', con particolare riguardo a cambiamenti relativi al fornitore che incidono sul servizio. 7. L'impresa comunica all'IVASS la cessazione del contratto di esternalizzazione, allegando una relazione sulle modalita' di reinternalizzazione della funzione o dell'attivita' o di affidamento ad altro fornitore.   Art. 68 Comunicazioni in caso di esternalizzazione delle funzioni fondamentali 1. Coerentemente con quanto previsto dall'art. 30-septies, comma 3 del Codice e dall'art. 64, comma 4, del presente regolamento, nel caso di esternalizzazione delle funzioni fondamentali ad un fornitore con sede legale nello S.E.E., l'impresa ne da' preventiva comunicazione all'IVASS, almeno sessanta giorni prima della esecuzione del contratto, allegando la bozza del contratto e gli ulteriori eventuali elementi informativi di cui all'art. 67, comma 1, ove non illustrati nella bozza del contratto, comunicando ogni ulteriore informazione che consenta di valutare il rispetto dei criteri di economicita', efficienza ed affidabilita' nonche' la sussistenza dei presupposti per il pieno esercizio dell'attivita' di vigilanza, anche ispettiva, da parte dell'IVASS. E' altresi' comunicato il nominativo del responsabile, presso il fornitore, della funzione esternalizzata. 2. Se l'esternalizzazione di cui al comma 1 avvenga nei confronti di un fornitore ricompreso tra le societa' di cui all'art. 210-ter, comma 2, del Codice, l'impresa ne da' preventiva comunicazione all'IVASS almeno quarantacinque giorni prima dell'esecuzione del contratto, fornendo l'indicazione del nominativo del fornitore di servizi e del responsabile presso il fornitore della funzione esternalizzata, della portata, ivi incluso l'oggetto, delle ragioni e della durata dell'esternalizzazione, al fine di consentire all'IVASS la valutazione di cui al comma 1. In tal caso il rispetto dei criteri di economicita' di cui all'art. 63, comma 2 si presume. La comunicazione puo' essere presentata dall'ultima societa' controllante italiana per conto delle societa' del gruppo interessate dall'esternalizzazione.   Art. 69 Comunicazioni in caso di esternalizzazione di altre attivita' 1. Nel caso di esternalizzazione di funzioni o attivita' diverse da quelle di cui agli articoli 67 e 68 ad un fornitore residente al di fuori dello S.E.E., l'impresa ne da' preventiva comunicazione all'IVASS, almeno sessanta giorni prima della esecuzione del contratto, fornendo indicazione del nominativo, del luogo di ubicazione del fornitore, dell'attivita' o funzione esternalizzata e della durata del contratto. 2. L'IVASS comunica all'impresa la sussistenza di eventuali motivi ostativi all'esternalizzazione entro sessanta giorni dal ricevimento della comunicazione, completa della documentazione di supporto. 3. Se l'esternalizzazione di cui al comma 1 avviene nei confronti di un fornitore ricompreso tra le societa' di cui all'art. 210-ter, comma 2, del Codice, l'impresa ne da' successiva comunicazione all'IVASS nell'ambito della informativa trasmessa ai sensi dell'art. 216-octies del Codice e delle relative disposizioni di attuazione, fornendo le informazioni di cui al comma 1. La comunicazione puo' essere presentata dall'ultima societa' controllante italiana per le societa' del gruppo interessate dall'esternalizzazione. 4. In caso di esternalizzazione di altre attivita' di cui ai commi 1 e 3 si applicano le previsioni di cui all'art. 67, commi 6 e 7.   Art. 70 Elementi ed obiettivi del sistema di governo societario di gruppo 1. Ai fini di cui all'art. 215-bis del Codice, l'ultima societa' controllante italiana dota il gruppo, in coerenza con gli obiettivi previsti dall'art. 4 del presente regolamento e con le disposizioni di attuazione del Titolo XV del Codice, di un sistema di governo societario, adeguato alla struttura, al modello di business e alla natura, portata e complessita' dei rischi del gruppo e delle singole societa' partecipate e controllate, che consente la sana e prudente gestione del gruppo e che tiene conto degli interessi delle societa' che ne fanno parte e delle modalita' attraverso le quali tali interessi contribuiscono all'obiettivo comune del gruppo nel lungo periodo, anche in termini di salvaguardia del patrimonio. Tale sistema, idoneo ad attuare un controllo effettivo sulle scelte strategiche del gruppo nel suo complesso, nonche' sull'equilibrio gestionale delle singole societa', comprende almeno: a) un'adeguata e trasparente struttura organizzativa che supporti l'operativita' e le strategie del gruppo, nonche' procedure e presidi che garantiscano l'efficienza e l'efficacia dei processi aziendali; b) la definizione delle strategie e politiche di gruppo in coerenza con quanto previsto dall'art. 5, comma 2; c) procedure formalizzate di coordinamento e collegamento, anche informativo, per le diverse aree di attivita' tra le societa' del gruppo e l'ultima societa' controllante italiana, che assicurino un adeguato flusso informativo bottom-up e top-down, secondo quanto previsto dall'art. 79; d) la costituzione, a livello di gruppo, di una adeguata struttura ed organizzazione per la gestione dei rischi, anche mediante una chiara definizione dei compiti e ripartizione delle responsabilita' tra le societa' del gruppo e delle diverse unita' deputate al controllo, nonche' l'applicazione coerente di meccanismi di controllo interno, ivi inclusi adeguati meccanismi di coordinamento, che consentano, in linea con gli indirizzi strategici, con la propensione al rischio e con i limiti di tolleranza al rischio del gruppo, il raggiungimento degli obiettivi coerenti, tenuto conto della diversa natura del soggetto vigilato, con quelli di cui all'art. 4, nonche' l'attendibilita' e l'integrita' delle informazioni contabili e gestionali; e) l'istituzione, in coerenza con quanto previsto dall'art. 215-bis del Codice, a livello di gruppo delle funzioni fondamentali di cui all'art. 30, comma 2, lettera e) del Codice; f) il possesso dei requisiti di professionalita', onorabilita' e indipendenza di cui all'art. 76 del Codice da parte di coloro che per il gruppo svolgono funzioni di amministrazione, direzione e controllo nell'ultima societa' controllante italiana, dei titolari delle funzioni fondamentali di cui alla lettera e) del presente comma e di coloro che svolgono tali funzioni; g) meccanismi idonei a garantire a livello di gruppo la conformita' del sistema di governo societario alle disposizioni del Codice e alle corrispondenti disposizioni di attuazione in materia di governo societario, assicurando la conformita' dell'attivita' del gruppo alla normativa vigente, alle direttive e alle procedure aziendali e di gruppo; h) meccanismi che consentano alla ultima societa' controllante italiana di verificare la rispondenza dei comportamenti delle societa' del gruppo di cui all'art. 210-ter, comma 2, del Codice agli indirizzi dalla stessa dettati, l'applicazione coerente da parte delle societa' del gruppo delle disposizioni in materia di governo societario ad esse applicabili, nonche' l'efficacia dei sistemi di controllo interno e gestione dei rischi, avuto particolare riguardo alle societa' di cui all'art. 210-ter, comma 2, del Codice. A tal fine l'ultima societa' controllante italiana si attiva affinche' siano effettuati accertamenti periodici nei confronti delle societa' del gruppo, anche mediante la funzione di revisione interna delle stesse. 2. Il sistema di governo societario di gruppo e' sottoposto a riesame periodico, secondo quanto previsto dall'art. 71, comma 2, lettera cc) e, in ogni caso, al ricorrere di modifiche rilevanti della struttura di gruppo. 3. Ai fini della definizione del sistema di governo societario di cui al comma 1 che consenta una applicazione coerente al gruppo delle relative disposizioni, l'ultima societa' controllante italiana tiene conto, tra l'altro, della rilevanza delle societa' che fanno parte del gruppo anche in termini di attivita' da esse svolta, del profilo di rischio, del contributo alla rischiosita' del gruppo, del rapporto di partecipazione o controllo, della natura di impresa regolamentata, della eventuale quotazione in borsa o ubicazione in uno Stato terzo, tenendo conto di quanto stabilito dal Codice e dalle relative disposizioni di attuazione. 4. Il sistema di cui al comma 1 consente all'ultima societa' controllante italiana di assicurare, mediante un adeguato sistema di controllo interno e gestione dei rischi di gruppo, il perseguimento a livello di gruppo di obiettivi coerenti, tenuto conto della diversa natura del soggetto vigilato, con quelli di cui all'art. 4. 5. Il sistema di cui al comma 1 consente altresi' all'ultima societa' controllante italiana di esercitare: a) un controllo strategico sull'evoluzione delle diverse aree di attivita' in cui il gruppo opera e dei rischi ad esse correlati. Il controllo verte sull'attivita' attuale e prospettica svolta dalle societa' appartenenti al gruppo e sulle politiche di acquisizione o dismissione da parte delle societa' del gruppo, con particolare riguardo a quelle di cui all'art. 210-ter, comma 2, del Codice; b) un controllo gestionale volto ad assicurare il mantenimento delle condizioni di equilibrio economico, finanziario e patrimoniale delle singole societa' e del gruppo nel suo insieme; c) un controllo tecnico operativo, finalizzato alla valutazione dei profili di rischio apportati al gruppo dalle singole controllate.   Art. 71 Organo amministrativo dell'ultima societa' controllante italiana 1. Ai fini dell'art. 215-bis del Codice, l'organo amministrativo dell'ultima societa' controllante italiana ha la responsabilita' ultima del sistema di governo societario di gruppo di cui all'art. 70 del presente regolamento, del quale ne definisce gli indirizzi strategici e ne garantisce la complessiva coerenza. A tal fine, esso: a) definisce e rivede le politiche di gruppo, assicurando l'opportuno coinvolgimento dell'organo amministrativo delle societa' del gruppo, con particolare riferimento alle societa' di cui all'art. 210-ter, comma 2, del Codice; b) comunica le politiche di gruppo alle societa' del gruppo, in coerenza con la tipologia di politica e di societa' del gruppo cui l'informativa e' diretta; c) verifica la complessiva coerenza delle politiche individuali delle societa' del gruppo con quelle definite a livello di gruppo, in particolare assicurando che le politiche definite dalle societa' del gruppo a livello individuale non contrastino con le politiche di gruppo; d) garantisce che le politiche di gruppo siano attuate correttamente dalle societa' di cui all'art. 210-ter, comma 2, del Codice e che siano coerentemente applicate dalle altre societa' del gruppo. 2. L'organo amministrativo dell'ultima societa' controllante italiana, nel definire il sistema di governo societario di cui al comma 1: a) approva l'assetto organizzativo del gruppo, curandone l'adeguatezza nel tempo, valutando gli effetti dei cambiamenti della struttura del gruppo sulla sostenibilita' della situazione finanziaria delle singole societa' interessate e del gruppo, adattandolo con tempestivita', se necessario. A tal fine possiede adeguate conoscenze della struttura organizzativa del gruppo, del business model delle societa' che ne fanno parte, dei legami e delle relazioni tra esse, anche in termini di rischi derivanti dalla struttura del gruppo, dalle operazioni infragruppo e di eventuale impatto, anche al ricorrere di circostanze avverse, sulla stabilita' e sul profilo di rischio del gruppo; b) prevede la chiara individuazione e ripartizione di compiti e di responsabilita' degli organi e delle funzioni dell'ultima societa' controllante italiana, nonche' adeguati meccanismi di raccordo con gli organi e le funzioni delle societa' del gruppo mediante idonei strumenti, procedure e linee di responsabilita' e rendicontazione; c) assicura che: i) siano adottati e formalizzati adeguati processi decisionali; ii) i compiti e le responsabilita' siano assegnati, ripartiti e coordinati nel rispetto delle politiche di gruppo e riflessi nella descrizione degli incarichi e delle responsabilita'; iii) tutti gli incarichi rilevanti siano assegnati e che siano evitate sovrapposizioni non necessarie, promuovendo un'efficace cooperazione tra i membri del personale delle societa' del gruppo, in particolare di quelle di cui all'art. 210-ter, comma 2, del Codice; d) in coerenza con l'art. 258, paragrafo 4, degli atti delegati, approva, curandone l'adeguatezza nel tempo, il sistema delle deleghe di poteri e responsabilita' a livello di gruppo, avendo cura di evitare l'eccessiva concentrazione di poteri in un singolo soggetto e ponendo in essere strumenti di verifica sull'esercizio dei poteri delegati, con conseguente possibilita' di prevedere misure adeguate, qualora decida di avocare a se' i poteri delegati; e) definisce le direttive in materia di sistema di governo societario di gruppo, rivedendole almeno una volta l'anno e curandone l'adeguamento alla evoluzione dell'operativita' aziendale e delle condizioni esterne. Nell'ambito di tali direttive approva le politiche di gruppo relative al sistema di controllo interno, al sistema di gestione dei rischi e alla revisione interna, in linea con quanto previsto dall'art. 30, comma 5 del Codice e dall'art. 258, paragrafo 2, degli atti delegati e quella relativa alla funzione attuariale; con particolare riguardo alla politica di revisione interna assicura che essa contenga la descrizione delle modalita' con cui la funzione coordina le attivita' di revisione interna nel gruppo e garantisce l'osservanza dei requisiti di revisione interna a livello di gruppo; definisce e approva altresi' una politica di data governance, coerente con quanto previsto dall'art. 5, comma 2, lettera d), ai fini dell'assolvimento di quanto previsto dall'art. 79, comma 3, lettera b); f) con riferimento alla valutazione prospettica dei rischi di gruppo, compie gli adempimenti previsti dalle disposizioni attuative dell'art. 215-ter del Codice e con riferimento alla concentrazione dei rischi e alle operazioni infragruppo compie gli adempimenti di cui agli articoli 215-quater e 215-quinquies del Codice e alle relative disposizioni di attuazione; g) determina il sistema degli obiettivi di rischio di gruppo, definendo, sulla base delle valutazioni di cui alle lettere e) ed f) che rilevano a tali fini, ivi inclusa la valutazione interna del rischio e della solvibilita', la propensione al rischio del gruppo in coerenza con il fabbisogno di solvibilita' globale del gruppo, individuando le tipologie di rischio di gruppo che ritiene di assumere, fissando in modo coerente i limiti di tolleranza al rischio del gruppo che rivede una volta l'anno, al fine di assicurarne l'efficacia nel tempo; h) approva, sulla base degli elementi di cui alle lettere f) e g), la politica di gestione dei rischi e le direttive di gruppo di cui alla lettera e), in coerenza con la struttura del gruppo, la dimensione e le specificita' delle societa' del gruppo, anche in un'ottica di medio lungo periodo, nonche' per le maggiori fonti di rischio identificate a livello di gruppo, il piano di emergenza di gruppo di cui all'art. 82, comma 5, al fine di garantire la regolarita' e continuita' dell'attivita' del gruppo; i) approva, tenuto conto degli obiettivi strategici ed in coerenza con la politica di gestione dei rischi di gruppo, le politiche di sottoscrizione, di riservazione, di riassicurazione e delle ulteriori tecniche di mitigazione del rischio, nonche' di gestione del rischio operativo di gruppo, in coerenza con le lettere f), g) e h); l) definisce le direttive e i criteri per la raccolta dei dati e delle informazioni utili ai fini dell'esercizio della vigilanza sul gruppo di cui al Titolo XV del Codice e delle relative disposizioni di attuazione, nonche' le direttive in materia di controllo interno per la verifica della completezza e tempestivita' dei relativi flussi informativi; m) approva un documento, coerente con le disposizioni di cui alle lettere precedenti a), e), f) e g), da diffondere a tutte le strutture del gruppo interessate, in cui sono definiti: i) in coerenza con quanto previsto dalla normativa applicabile, i compiti e le responsabilita' degli organi sociali dell'ultima societa' controllante italiana, dei comitati consiliari, eventualmente costituiti per l'espletamento di funzioni in ambito di gruppo e delle funzioni fondamentali di gruppo nonche' l'identificazione, mediante l'adeguata formalizzazione e motivazione delle relative scelte, delle categorie di soggetti che appartengono all'ulteriore personale rilevante di cui all'art. 2, comma 1, lettera m); ai fini di tale identificazione, si tiene conto, tra l'altro, nell'ambito di gruppo, della posizione rivestita, del grado di responsabilita', del livello gerarchico, dell'attivita' svolta, delle deleghe conferite, dell'ammontare della remunerazione corrisposta, della possibilita' di assumere posizioni di rischio, generare profitti o incidere su altre poste contabili per importi rilevanti; ii) i flussi informativi, ivi comprese le tempistiche, tra le diverse funzioni di gruppo, i comitati consiliari costituiti a livello di gruppo e tra questi e gli organi sociali dell'ultima societa' controllante italiana e iii) nel caso in cui gli ambiti di attivita' presentino aree di potenziale sovrapposizione o permettano di sviluppare sinergie, le modalita' di coordinamento e di collaborazione tra di essi con le funzioni operative dell'ultima societa' controllante italiana, nonche' di raccordo con gli organi sociali e le funzioni fondamentali delle societa' di cui all'art. 210-ter, comma 2, del Codice e di cooperazione con gli organi sociali e le funzioni delle altre societa' del gruppo. Nel definire le modalita' di raccordo, l'ultima societa' controllante italiana presta attenzione a non alterare, anche nella sostanza, le responsabilita' ultime dei propri organi sociali sul sistema di governo societario di gruppo; n) nel rispetto di quanto previsto dall'art. 258, paragrafo 1, lettera l) degli atti delegati e in coerenza con le disposizioni di cui alla Parte II, Titolo III, Capo VII, del presente regolamento, definisce e rivede periodicamente le politiche di remunerazione di gruppo, ai fini dell'approvazione dell'assemblea ordinaria dell'ultima societa' controllante italiana sulla base di quanto previsto dall'art. 93, comma 5 del presente regolamento, ed e' responsabile della loro corretta applicazione; o) nel rispetto di quanto previsto dall'art. 274 degli atti delegati e dell'art. 30, comma 5, del Codice approva la politica di esternalizzazione di gruppo, definendo la strategia ed i processi applicabili per tutta la relativa durata; p) nel rispetto di quanto previsto dagli articoli 258, paragrafo 1, lettere c) e d), 273 degli atti delegati e 215-bis del Codice approva la politica per la definizione e la valutazione dei requisiti di idoneita' alla carica, in termini di onorabilita', professionalita' e indipendenza di coloro che svolgono funzioni di amministrazione, direzione e controllo nell'ultima societa' controllante italiana e, anche in caso di esternalizzazione o sub-esternalizzazione, dei soggetti in essa titolari delle funzioni fondamentali di gruppo e di coloro che svolgono tali funzioni, nonche' dell'ulteriore personale in grado di incidere in modo significativo sul profilo di rischio, identificato dall'ultima societa' controllante italiana, ai sensi dell'art. 2, comma 1, lettera m) del presente regolamento. Valuta la sussistenza dei requisiti in capo a tali soggetti con cadenza almeno annuale. In particolare, tale politica assicura che l'organo amministrativo dell'ultima societa' controllante italiana sia nel suo complesso in possesso di adeguate competenze tecniche al fine di assolvere i compiti ad esso richiesti dalla struttura, dall'attivita', nonche' dal profilo di rischio del gruppo; q) con riferimento alla politica sulle informazioni di gruppo da fornire all'IVASS e di informativa al pubblico (c.d. reporting policy) di cui agli articoli 216-octies e 216-novies e relative disposizioni di attuazione, compie gli adempimenti previsti dalle vigenti disposizioni normative; r) approva la politica di gestione del capitale di gruppo di cui all'art. 86; s) con riferimento alle ipotesi di utilizzo da parte dell'impresa di un modello interno di cui all'art. 207-octies e relative disposizioni di attuazione, nonche' con riferimento alle ipotesi di utilizzo di parametri specifici nella determinazione del requisito patrimoniale di solvibilita' di cui agli articoli 216-ter del Codice e relative disposizioni di attuazione, compie gli adempimenti previsti dalle vigenti disposizioni normative; t) verifica che l'alta direzione dell'ultima societa' controllante italiana implementi correttamente le indicazioni circa lo sviluppo ed il funzionamento del sistema di governo societario di gruppo, secondo quanto previsto dall'art. 73, in linea con le direttive impartite, e che ne valuti la funzionalita' e l'adeguatezza complessiva; u) dispone verifiche periodiche sulla efficacia e adeguatezza del sistema di governo societario di gruppo e che gli siano riferite con tempestivita' le criticita' piu' significative, siano esse individuate dall'alta direzione dell'ultima societa' controllante, dalle funzioni fondamentali di gruppo, nonche' da altri soggetti nell'ambito del gruppo, impartendo con tempestivita' le direttive per l'adozione di misure correttive, di cui successivamente valuta l'efficacia; tale informativa riguarda, in particolare, gli obiettivi del gruppo e i rischi a cui esso e' esposto. Ogni flusso informativo significativo tra le societa' rilevanti per il gruppo, individuate secondo i criteri di cui all'art. 70, comma 3, e' documentato e reso tempestivamente accessibile, su richiesta, alle funzioni che svolgono attivita' di controllo e all'IVASS; v) individua particolari eventi o circostanze a livello di gruppo che richiedono un immediato intervento da parte dell'alta direzione dell'ultima societa' controllante italiana; z) assicura che sussista un'idonea e continua interazione tra tutti i comitati istituiti per espletare le funzioni a livello di gruppo, all'interno dell'organo amministrativo stesso, l'alta direzione dell'ultima societa' controllante e le funzioni fondamentali di gruppo, nonche' con coloro che svolgono funzioni di amministrazione direzione e controllo nelle societa' del gruppo, avuto particolare riguardo alle societa' di cui all'art. 210-ter, comma 2, del Codice e nelle altre societa' del gruppo che hanno un impatto significativo sul profilo di rischio del gruppo, richiedendo informazioni in modo proattivo e mettendo in discussione le decisioni che possono avere impatto sul gruppo; aa) assicura, con appropriate misure, un aggiornamento professionale continuo delle risorse e dei componenti dell'organo stesso, predisponendo, altresi', piani di formazione adeguati ad assicurare il bagaglio di competenze tecniche necessario per svolgere con consapevolezza il proprio ruolo nel rispetto della natura, della portata e della complessita' dei compiti assegnati a livello di gruppo e per preservare le proprie conoscenze nel tempo; bb) effettua, almeno una volta l'anno, una valutazione sulla dimensione, sulla composizione e sull'efficace funzionamento dell'organo amministrativo dell'ultima societa' controllante italiana nel suo complesso, nonche' dei suoi comitati, operando le verifiche previste dall'art. 5, comma 2, lettera z), ed esprimendo orientamenti sulle figure professionali la cui presenza nell'organo amministrativo sia ritenuta opportuna, anche considerata la struttura del gruppo, con particolare riguardo alle societa' di cui all'art. 210-ter, comma 2, del Codice e proponendo eventuali azioni correttive; cc) in coerenza con quanto previsto dall'art. 258, paragrafo 6, degli atti delegati e 215-bis del Codice, assicura che il sistema di governo societario di gruppo sia soggetto a riesame interno periodico; nella determinazione dell'ambito e della frequenza del riesame, tiene conto della natura, portata e complessita' dei rischi inerenti all'attivita' delle societa' del gruppo e della struttura del gruppo stesso; le risultanze del riesame sono adeguatamente documentate e trasmesse all'organo amministrativo, con evidenza delle misure correttive intraprese; dd) verifica che il sistema di governo societario di gruppo sia coerente con gli obiettivi strategici del gruppo, con la propensione al rischio e con i limiti di tolleranza al rischio di gruppo, e sia in grado di cogliere l'evoluzione a livello di gruppo dei rischi aziendali delle societa' del gruppo di cui all'art. 210-ter, comma 2, del Codice e l'interazione tra gli stessi, nonche' i rischi derivanti dall'appartenenza al gruppo. 3. L'organo amministrativo dell'ultima societa' controllante italiana assicura che nell'ambito dell'informativa trasmessa all'IVASS, ai sensi dell'art. 308 degli atti Delegati, degli articoli 216-octies e 216-novies del Codice e delle relative disposizioni di attuazione, in materia di governo societario di gruppo siano rappresentate le ragioni che rendono la struttura organizzativa del gruppo idonea ad assicurare la completezza, la funzionalita' ed efficacia del sistema di governo societario di gruppo, informando altresi' senza indugio l'IVASS qualora vengano apportate significative modifiche alla struttura organizzativa del gruppo ed illustrando le cause interne od esterne che hanno reso necessari tali interventi. 4. L'art. 5, comma 4, che prevede per il livello individuale il contenuto minimale delle politiche, si applica al gruppo, tenendo conto della diversa natura del soggetto vigilato ed in coerenza con le specificita' di cui all'art. 70, comma 3. Per i gruppi rilevanti a fini di stabilita' finanziaria, ai sensi dell'art. 83, comma 1, le politiche di gruppo di cui al comma 2, lettere e), h), i), n) o), p) e r) sono trasmesse all'IVASS dall'ultima societa' controllante italiana entro trenta giorni dalla relativa approvazione, unitamente al documento di cui al comma 2, lettera m). 5. L'organo amministrativo dell'ultima societa' controllante italiana approva altresi' le politiche di gruppo aventi ad oggetto aspetti diversi da quelli di cui al comma 2, laddove previsto dal Codice e dalle relative disposizioni di attuazione. 6. L'organo amministrativo dell'ultima societa' controllante italiana assicura che le politiche, parte del sistema di governo societario di gruppo, siano coerenti tra loro e con le strategie di gruppo. 7. Secondo quanto previsto dall'art. 215-bis del Codice, l'organo amministrativo dell'ultima societa' controllante italiana rivede le politiche almeno una volta l'anno e ne cura l'adeguamento alla evoluzione dell'operativita' aziendale del gruppo, della struttura dello stesso e delle condizioni esterne. Le risultanze della revisione sono adeguatamente documentate, fornendo idonea evidenza della revisione condotta e delle eventuali decisioni assunte dall'organo amministrativo in seguito ad essa.   Art. 72 Comitati consiliari 1. Ai fini dell'espletamento dei compiti e delle funzioni ad esso assegnati a livello di gruppo, l'organo amministrativo dell'ultima societa' controllante italiana costituisce, ove appropriato in relazione alla natura, portata e complessita' dell'attivita' del gruppo e delle societa' che ne fanno parte, nonche' dei rischi inerenti, comitati previsti dalle disposizioni regolamentari, con funzioni propositive e consultive. Nell'espletamento dei compiti i comitati assicurano idonei collegamenti funzionali ed operativi con le competenti strutture di gruppo. 2. L'organo amministrativo dell'ultima societa' controllante italiana definisce la composizione, i compiti e le modalita' di funzionamento dei comitati. L'istituzione dei comitati non solleva l'organo amministrativo dalle proprie responsabilita' nell'ambito del gruppo.   Art. 73 Alta direzione dell'ultima societa' controllante italiana 1. L'alta direzione dell'ultima societa' controllante italiana e' responsabile della complessiva attuazione, del mantenimento e monitoraggio del sistema di governo societario di gruppo, secondo quanto previsto dal comma 2, coerentemente con le direttive dell'organo amministrativo e nel rispetto dei ruoli e dei compiti ad essa attribuiti. A tale fine l'alta direzione si avvale, in particolare, della collaborazione delle societa' di cui all'art. 210-ter, comma 2, del Codice. 2. L'alta direzione: a) in coerenza con l'art. 258, paragrafo 5, degli atti delegati, definisce in dettaglio l'assetto organizzativo del gruppo con particolare riguardo alle societa' di cui all'art. 210-ter del Codice, i compiti e le responsabilita' delle unita' operative di base del gruppo e dell'ultima societa' controllante italiana, nonche' i processi decisionali in coerenza con le direttive impartite dall'organo amministrativo; in tale ambito attua l'appropriata separazione di compiti sia tra singoli soggetti che tra funzioni nell'ambito del gruppo e della ultima societa' controllante italiana in modo da evitare, per quanto possibile, l'insorgere di conflitti di interesse; b) con riferimento alla valutazione interna del rischio e della solvibilita' di gruppo, attua la politica di cui alle disposizioni attuative dell'art. 215-ter del Codice, contribuendo ad assicurare la definizione di limiti operativi e garantendo la tempestiva verifica dei limiti medesimi, nonche' il monitoraggio delle esposizioni ai rischi e il rispetto dei limiti di tolleranza di gruppo; c) attua le politiche inerenti al sistema di Governo societario di gruppo, nel rispetto dei ruoli e dei compiti ad essa attribuiti in ambito di gruppo; d) cura il mantenimento della funzionalita' e dell'adeguatezza complessiva dell'assetto organizzativo e del sistema di Governo societario di gruppo di cui all'art. 70, comma 4; e) verifica che l'organo amministrativo dell'ultima societa' controllante italiana sia periodicamente informato sull'efficacia e sull'adeguatezza del sistema di Governo societario di gruppo, di cui all'art. 70, comma 4, e, comunque tempestivamente, ogni qualvolta siano riscontrate criticita' significative; f) da' attuazione alle indicazioni dell'organo amministrativo dell'ultima societa' controllante italiana, in ordine alle misure da adottare per correggere le anomalie riscontrate e apportare miglioramenti; g) propone all'organo amministrativo dell'ultima societa' controllante italiana iniziative volte all'adeguamento ed al rafforzamento del sistema di Governo societario di gruppo di cui all'art. 70, comma 4.   Art. 74 Organo di controllo 1. L'organo di controllo dell'ultima societa' controllante italiana verifica l'adeguatezza dell'assetto organizzativo, amministrativo e contabile adottato dal gruppo e dall'ultima societa' controllante italiana, ai fini dell'espletamento delle funzioni ad essa assegnate a livello di gruppo, ed il suo concreto funzionamento ai fini della normativa applicabile. 2. Per l'espletamento dei compiti di cui al comma 1 l'organo di controllo dell'ultima societa' controllante italiana puo' richiedere la collaborazione di tutte le strutture che svolgono compiti di controllo nell'ambito del gruppo, assicurando adeguati collegamenti funzionali ed informativi. 3. Ai fini di cui al comma 1, l'organo di controllo: a) acquisisce, all'inizio del mandato, conoscenze sull'assetto organizzativo del gruppo, ed esamina i risultati del lavoro della societa' di revisione per la valutazione del sistema di controllo interno e del sistema amministrativo contabile; b) verifica l'idoneita' della definizione delle deleghe, nonche' l'adeguatezza dell'assetto organizzativo del gruppo, prestando particolare attenzione alla separazione di responsabilita' nei compiti e nelle funzioni; c) valuta l'efficienza e l'efficacia del sistema di governo societario di gruppo di cui all'art. 70, comma 4, con particolare riguardo all'operato della funzione di revisione interna di gruppo, della quale deve verificare la sussistenza della necessaria autonomia, indipendenza e funzionalita'; nell'ipotesi in cui tale funzione sia stata esternalizzata, valuta il contenuto dell'incarico sulla base del relativo contratto; d) mantiene un adeguato collegamento con la funzione di revisione interna di gruppo; e) cura il tempestivo scambio con la societa' di revisione dei dati e delle informazioni rilevanti per l'espletamento dei propri compiti, esaminando anche le periodiche relazioni della societa' di revisione; f) segnala all'organo amministrativo dell'ultima societa' controllante italiana le eventuali anomalie o debolezze dell'assetto organizzativo e del sistema di governo societario di gruppo di cui all'art. 70, comma 4, indicando e sollecitando idonee misure correttive; nel corso del mandato pianifica e svolge, anche coordinandosi con la societa' di revisione, periodici interventi di vigilanza volti ad accertare se le carenze o anomalie segnalate siano state superate e se, rispetto a quanto verificato all'inizio del mandato, siano intervenute significative modifiche del profilo di rischio e dell'operativita' delle societa' del gruppo che impongano un adeguamento dell'assetto organizzativo del gruppo e del sistema di governo societario di gruppo di cui all'art. 70, comma 4; g) assicura i collegamenti funzionali ed informativi con gli organi di controllo delle altre societa' del gruppo; h) conserva un'adeguata evidenza delle osservazioni e delle proposte formulate e della successiva attivita' di verifica dell'attuazione delle eventuali misure correttive.   Art. 75 Formalizzazione degli atti 1. Nell'ambito dei generali obblighi di cui all'art. 258, paragrafo 1, lettera i), degli atti delegati, l'operato dell'organo amministrativo e di controllo, nonche' dell'alta direzione dell'ultima societa' controllante italiana e' adeguatamente documentato, al fine di consentire il controllo sugli atti gestionali e sulle decisioni assunte a livello di gruppo. 2. Ai fini di cui al comma 1, l'organo amministrativo dell'ultima societa' controllante italiana documenta anche le modalita' con le quali ha tenuto conto delle informazioni fornite dal sistema di gestione dei rischi del gruppo.   Art. 76 Obiettivi del sistema di controllo interno di gruppo 1. Ai fini di cui all'art. 266 degli atti delegati e dell'art. 215-bis del Codice, l'ultima societa' controllante italiana dota il gruppo di un sistema di controllo interno, proporzionato alla natura, alla portata e alla complessita' dei rischi, attuali e prospettici, inerenti all'attivita' del gruppo e delle societa' che lo compongono ed in ogni caso coerente con quanto previsto dall'art. 70 del presente regolamento. 2. Tale sistema e' costituito dall'insieme di regole, procedure, nonche' strutture organizzative, validate a livello di gruppo, volte ad assicurare il corretto funzionamento ed il buon andamento del gruppo, e garantisce con un ragionevole margine di sicurezza il raggiungimento a livello di gruppo degli obiettivi di cui all'art. 70, comma 4.   Art. 77 Cultura del controllo interno di gruppo 1. Ai fini di cui all'art. 258, paragrafo 1, lettere e), f), g) degli atti delegati, l'organo amministrativo dell'ultima societa' controllante italiana promuove un alto livello di integrita' e una diffusa cultura del controllo interno a livello di gruppo, tale da sensibilizzare l'intero personale delle societa' del gruppo sull'importanza e l'utilita' dei controlli interni. 2. L'alta direzione dell'ultima societa' controllante italiana e' responsabile della promozione della cultura del controllo interno all'interno del gruppo e assicura che il personale delle societa' del gruppo sia messo a conoscenza del proprio ruolo e delle proprie responsabilita', in modo da essere effettivamente impegnato nello svolgimento dei controlli, intesi quale parte integrante della propria attivita'. A tal fine assicura la formalizzazione e l'adeguata diffusione tra il personale del sistema delle deleghe e delle procedure che regolano l'attribuzione di compiti, i processi operativi e i canali di reportistica. 3. Ai fini di cui ai commi 1 e 2, l'alta direzione dell'ultima societa' controllante italiana promuove continue iniziative formative e di comunicazione volte a favorire l'effettiva adesione di tutto il personale ai principi di integrita' morale ed ai valori etici. 4. Al fine di promuovere la correttezza operativa ed il rispetto dell'integrita' e dei valori etici da parte del personale del gruppo, nonche' per prevenire condotte devianti di cui possono essere chiamate a rispondere ai sensi del decreto legislativo 8 giugno 2001, n. 231, nonche' ai sensi dell'art. 325 del Codice, le ultime societa' controllanti italiane adottano per il gruppo un codice etico che definisca le regole comportamentali, disciplini le situazioni di potenziale conflitto di interesse e preveda azioni correttive adeguate, nel caso di deviazione dalle direttive e dalle procedure approvate dal vertice o di infrazione della normativa vigente e dello stesso codice etico. 5. Il gruppo, in coerenza con quanto previsto dalle disposizioni di cui alla Parte II, Titolo III, Capo VII, evita, ad ogni livello, politiche e pratiche di remunerazione che possano essere di incentivo ad attivita' illegali o devianti rispetto agli standard etico-legali ovvero indurre propensioni al rischio contrastanti con la sana e prudente gestione del gruppo e comportamenti non coerenti con la tutela degli assicurati e degli altri aventi diritto a prestazioni assicurative.   Art. 78 Attivita' di controllo e separazione dei compiti 1. Ai fini di cui all'art. 258 degli atti delegati e dell'art. 215-bis del Codice il sistema di Governo societario di gruppo include, tra l'altro, l'esecuzione, a tutti i livelli della struttura del gruppo, di attivita' di controllo proporzionate alla natura, alla portata ed alla complessita' dei rischi inerenti all'attivita' delle societa' del gruppo interessate ed ai processi coinvolti che contribuiscono a garantire l'attuazione delle direttive e delle politiche dettate dall'ultima societa' controllante italiana e a verificarne il rispetto. A tal fine, sono previsti meccanismi di controllo interno adeguatamente differenziati, in termini di tempistica e livello di dettaglio, in ragione del diverso profilo di rischio e contributo alla rischiosita' del gruppo delle societa' interessate, nonche' alle diverse strutture organizzative e operative delle societa' del gruppo. 2. Le attivita' di controllo a livello di gruppo, di cui al comma 1, sono formalizzate e riviste su base periodica e coinvolgono il personale delle societa' del gruppo e possono comprendere, tra l'altro, gli strumenti di cui all'art. 12, comma 2. 3. Compatibilmente con la natura, la portata, la complessita' e rischiosita' delle attivita' delle societa' del gruppo, l'ultima societa' controllante italiana assicura che il personale incaricato del controllo a livello di gruppo sia indipendente rispetto alle funzioni operative.   Art. 79 Flussi informativi e canali di comunicazione di gruppo 1. L'ultima societa' controllante italiana possiede informazioni contabili e gestionali che garantiscono adeguati processi decisionali a livello di gruppo e consentono di definire e valutare se in ambito di gruppo sono stati raggiunti gli obiettivi strategici fissati dal proprio organo amministrativo in modo da sottoporli ad eventuale revisione. 2. Ai fini di cui al comma 1, l'ultima societa' controllante prevede per il gruppo, in coerenza con i principi previsti dall'art. 13, comma 2, anche al fine di garantire il perseguimento delle finalita' di cui all'art. 13, commi 4 e 6: a) procedure formalizzate di coordinamento e collegamento, anche informativo, con le societa' appartenenti al gruppo per tutte le aree di attivita' (flussi informativi bottom-up e top-down); b) flussi informativi regolari che consentano adeguati processi decisionali e la verifica del perseguimento degli obiettivi strategici fissati dall'organo amministrativo dell'ultima societa' controllante italiana, in modo da sottoporli ad eventuale revisione; a tal fine, l'alta direzione dell'ultima societa' controllante italiana assicura che l'organo amministrativo abbia una conoscenza completa dei fatti rilevanti per il gruppo, anche attraverso la predisposizione di un'adeguata reportistica; c) efficaci canali di comunicazione sia all'interno, in ogni direzione, sia all'esterno, e meccanismi che consentano la conoscenza compiuta e tempestiva di situazioni a livello di gruppo di particolare gravita' da parte degli opportuni livelli di responsabilita' dell'ultima societa' controllante italiana. 3. Con particolare riguardo alle imprese di cui all'art. 210-ter, comma 2, del Codice, sono inoltre previsti dall'ultima societa' controllante italiana: a) efficaci meccanismi di integrazione dei sistemi informatici, contabili e gestionali, che, in coerenza con l'art. 13, comma 4, consentono di garantire l'affidabilita' delle rilevazioni su base consolidata; b) efficaci meccanismi, coerenti con le disposizioni di cui all'art. 14, che consentono alle societa' del gruppo: i) la produzione di dati e informazioni utili ai fini della vigilanza sul gruppo; ii) un sistema di registrazione e reportistica dei dati di gruppo, coerente con quanto previsto dall'art. 14, che consente di disporre di informazioni complete ed aggiornate sugli elementi che possono incidere sul profilo di rischio e sulla situazione di solvibilita' del gruppo; iii) lo scambio di informazioni pertinenti ai fini della vigilanza di gruppo, anche in presenza di cambiamenti nella struttura del gruppo stesso. 4. Le informazioni attinenti al gruppo dirette a terzi sono attendibili, tempestive, pertinenti e devono essere comunicate in maniera chiara ed efficace. 5. L'ultima societa' controllante italiana assicura che le societa' del gruppo conservino presso le loro sedi i dati e le informazioni ai fini dell'esercizio della vigilanza ispettiva da parte dell'IVASS, di cui all'art. 214, commi 1 e 2, del Codice. 6. L'ultima societa' controllante italiana informa tempestivamente l'IVASS dei casi in cui specifiche disposizioni di legge vigenti nello Stato in cui hanno sede legale le societa' estere del gruppo ostino al rispetto delle disposizioni in materia di governo societario di gruppo.   Art. 80 Obiettivi del sistema di gestione dei rischi di gruppo 1. Ai fini dell'art. 259 degli atti delegati e dell'art. 215-bis del Codice, in coerenza con l'art. 70, comma 1, lettera d) del presente regolamento, l'ultima societa' controllante italiana dota il gruppo di un efficace sistema di gestione dei rischi, proporzionato alla natura, alla portata e alla complessita' dell'attivita' esercitata dalle societa' del gruppo che include almeno la definizione e l'aggiornamento di: a) politica e strategia di gestione del rischio, in coerenza con quanto previsto rispettivamente nelle successive lettere b) e c); b) processi e procedure idonei a garantire l'adeguata individuazione, misurazione, valutazione monitoraggio, gestione e rappresentazione, con frequenza adeguata al profilo di rischio, dei rischi attuali e prospettici, con particolare attenzione a quelli significativi, cui il gruppo e le societa' che lo compongono, con particolare riguardo alle societa' di cui all'art. 210-ter, comma 2, del Codice, e' o potrebbe essere esposto e, ove possibile, le relative interdipendenze. A tale fine e' prestata attenzione ai rischi derivanti da societa' con sede legale in Stati terzi ricomprese nel perimetro della vigilanza di gruppo, ai rischi derivanti da societa' non soggette a normativa di settore ricomprese nel perimetro della vigilanza di gruppo, nonche' ai rischi derivanti da altre societa' soggette a specifica normativa di settore ricomprese nel perimetro della vigilanza di gruppo; c) propensione al rischio e, nell'ambito di essa, l'obiettivo di solvibilita' di gruppo di cui all'art. 81, nonche' i limiti di tolleranza al rischio, anche in un'ottica di medio-lungo periodo, in coerenza con gli indirizzi strategici del gruppo. 2. Ai fini della definizione del sistema di cui al comma 1, l'organo amministrativo dell'ultima societa' controllante italiana assicura che siano adeguatamente documentate le decisioni in merito alla valutazione della struttura, organizzazione e accentramento del sistema di gestione dei rischi di gruppo. 3. Con riguardo alla politica di gestione dei rischi di cui al comma 1, lettera a), l'ultima societa' controllante italiana formalizza e rende noti a tutte le societa' del gruppo i processi e le procedure di cui al comma 1, lettera b), assicurandone l'adeguata documentazione e revisione. 4. L'organo amministrativo dell'ultima societa' controllante italiana garantisce che la politica della gestione del rischio a livello di gruppo sia attuata in modo coerente e continuativo all'interno del gruppo, tenendo conto della struttura, dimensione e specificita' delle societa' del gruppo, nonche' dei rischi di ciascuna societa' del gruppo e delle reciproche interdipendenze. A tali fini si considerano, in particolare: a) i rischi reputazionali, quelli derivanti da operazioni infragruppo, di cui all'art. 215-quinquies del Codice e relative disposizioni di attuazione, di concentrazione, di cui all'art. 215-quater del Codice e relative disposizioni di attuazione, incluso il rischio di contagio, a livello di gruppo; b) le interdipendenze tra rischi derivanti dallo svolgimento dell'attivita' assicurativa e riassicurativa in societa' e in giurisdizioni differenti. 5. Si applicano, laddove coerenti con la diversa struttura del soggetto vigilato, le disposizioni di cui all'art. 17. 6. Resta impregiudicata la responsabilita' dell'organo amministrativo delle imprese del gruppo di cui all'art. 210-ter, comma 2, del Codice in merito all'osservanza delle disposizioni in materia di gestione dei rischi di cui alla Parte II, Titolo III, Capo II. 7. L'ultima societa' controllante italiana verifica che le societa' del gruppo di cui all'art. 210-ter, comma 2, del Codice concorrano all'attuazione delle strategie e delle politiche di gestione del rischio da essa definite al fine di garantire l'osservanza delle disposizioni in materia dettate per il gruppo.   Art. 81 Obiettivo di solvibilita' di gruppo 1. L'organo amministrativo dell'ultima societa' controllante italiana definisce per il gruppo, ai sensi dell'art. 71, comma 2, lettera g), la propensione al rischio, fissando nell'ambito di essa l'obiettivo di solvibilita' di gruppo, in coerenza con quanto previsto dall'art. 18, nonche' i relativi limiti di tolleranza.   Art. 82 Individuazione e valutazione dei rischi a livello di gruppo 1. L'ultima societa' controllante italiana provvede a definire le categorie di rischio a livello di gruppo in funzione della natura, portata e complessita' dell'attivita' svolta dal gruppo, in un'ottica attuale e prospettica tenendo conto, laddove compatibile, di quanto previsto dall'art. 19, comma 1. 2. L'ultima societa' controllante italiana raccoglie in via continuativa informazioni sui rischi, interni ed esterni, esistenti e prospettici, a cui, anche in via potenziale, e' esposto il gruppo e che possono interessare tutti i processi operativi e le aree funzionali. La procedura di censimento dei rischi e i relativi risultati sono adeguatamente documentati. 3. L'ultima societa' controllante italiana e' in grado, attraverso un adeguato processo di analisi, anche mediante il ricorso agli strumenti di cui all'art. 32, comma 1, lettera f), di comprendere la natura dei rischi individuati e la loro origine, al fine di un'adeguata valutazione degli stessi, per la quale si richiamano le disposizioni di attuazione dell'art. 215-ter del Codice in materia di valutazione interna dei rischi e della solvibilita'. 4. Ai fini di cui al comma 3, l'ultima societa' controllante italiana ricorre all'utilizzo di specifici stress test calibrati sul profilo di rischio o ad altre eventuali analisi quantitative, identificando eventuali rischi di breve e lungo termine, potenziali eventi o future modifiche nelle condizioni economiche che possono avere un impatto sfavorevole sulla complessiva situazione finanziaria e sul capitale di gruppo. Nel processo di valutazione dei rischi l'impresa utilizza scenari adeguati, basati sull'analisi del peggiore caso possibile, prendendo in considerazione ogni significativo effetto indiretto che puo' derivare. 5. L'ultima societa' controllante italiana definisce procedure in grado di evidenziare con tempestivita' l'insorgere di rischi significativi anche in una prospettiva di medio-lungo periodo ed in coerenza con quanto previsto dall'art. 258, paragrafo 3, degli atti delegati e dall'art. 215-bis del Codice, e, per le maggiori fonti di rischio identificate, predispone un adeguato piano di emergenza di gruppo. 6. Il piano di emergenza di gruppo e' approvato dall'organo amministrativo dell'ultima societa' controllante italiana, ai sensi dell'art. 71, comma 2, lettera h), ed e' rivisto e aggiornato periodicamente, con cadenza almeno annuale, in particolare in occasione di eventuali modifiche significative della struttura e dell'organizzazione del gruppo o dell'attivita' delle societa' che ne fanno parte, al fine di valutarne l'efficacia. 7. Il piano di emergenza di cui al comma 6 e' reso accessibile a livello di gruppo al personale interessato, in modo da garantire la preventiva consapevolezza del proprio ruolo al ricorrere di situazioni di emergenza, individuando altresi' in tali circostanze adeguati canali di comunicazione. 8. Su richiesta dell'IVASS, l'ultima societa' controllante italiana effettua analisi qualitative o quantitative standardizzate sulla base di fattori di rischio e parametri prefissati.   Art. 83 Caratteristiche del piano di emergenza rafforzato di un gruppo rilevante a fini di stabilita' finanziaria 1. Il gruppo soggetto agli obblighi di informativa a fini di stabilita' finanziaria, ai sensi degli articoli 190 e 191 del Codice e relative disposizioni di attuazione, redige un piano di emergenza rafforzato. Il piano: a) contiene le informazioni previste dall'allegato 1 al presente regolamento riguardanti tale piano; b) indica le caratteristiche generali delle societa' del gruppo interessate dal piano; c) e' coerente con il sistema di governo societario di gruppo; d) non prevede il ricorso a misure di sostegno pubblico straordinario. 2. Le misure contenute nel piano di cui al comma 1 si fondano su ipotesi realistiche ed in particolare: a) sono plausibili ed economicamente sostenibili; b) consentono al gruppo di superare rapidamente ed efficacemente i diversi scenari di difficolta' finanziaria e di grave stress macroeconomico contemplati; c) sono attivate o attivabili secondo una tempistica realistica; d) tengono conto delle interconnessioni giuridiche e operative tra le societa' del gruppo, nonche' delle interconnessioni esterne al gruppo. 3. Ai fini di cui ai commi 1 e 2, l'ultima societa' controllante italiana individua gli scenari di stress macroeconomico e finanziario nonche' i possibili eventi, connessi alle attivita' svolte dalle societa' del gruppo, capaci di incidere negativamente sul profilo di rischio del gruppo in presenza dei quali attuare il piano di emergenza rafforzato. 4. L'IVASS valuta le modalita' applicative nelle ipotesi in cui il gruppo di cui al comma 1 assolva ad obblighi analoghi, in quanto soggetto a disposizioni di vigilanza equivalenti a livello di conglomerato finanziario ai sensi del decreto legislativo 30 maggio 2005, n. 142. 5. L'IVASS, al fine di assicurare la sana e prudente gestione del gruppo, puo' estendere l'obbligo di redigere il piano di emergenza rafforzato di cui ai commi precedenti a gruppi diversi da quelli rilevanti a fini di stabilita' finanziaria o ad ulteriori entita'.   Art. 84 Verifica del piano di emergenza rafforzato di gruppo rilevante a fini di stabilita' finanziaria 1. Il piano di emergenza rafforzato di gruppo di cui all'art. 83, a seguito dell'approvazione da parte dell'organo amministrativo dell'ultima societa' controllante italiana, e' trasmesso annualmente entro trenta giorni dalla relativa approvazione all'IVASS, che ne verifica l'adeguatezza e la completezza indicando, se del caso, le modifiche da apportare al piano.   Art. 85 Politica di riassicurazione e delle ulteriori tecniche di mitigazione del rischio di gruppo 1. Si applicano al gruppo gli articoli 20, 21 e 22 in materia di riassicurazione e delle ulteriori tecniche di mitigazione del rischio, nonche' le previsioni di cui all'allegato 1 con riguardo al contenuto della relativa politica. 2. Laddove il ricorso alla riassicurazione sia effettuato mediante un unico contratto che assicuri la copertura di affari per piu' societa' del gruppo, l'ultima societa' controllante italiana assicura che siano soddisfatte le seguenti condizioni: a) il trattato sia controfirmato da ciascuna impresa del gruppo, o vi sia evidenza che la stipulante firma anche in nome e per conto di ogni impresa del gruppo; b) le condizioni contrattuali del contratto di riassicurazione di gruppo prevedono un rapporto di riassicurazione diretto tra il riassicuratore e ciascuna impresa, con specifica e chiara evidenza delle condizioni di riassicurazione applicabili ad ogni impresa del gruppo. 3. In tale ipotesi ogni relazione negoziale conserva la sua specifica autonomia strutturale, regolamentare e funzionale, in modo che sia in ogni caso possibile avere distinta evidenza dei singoli rapporti giuridici e degli effetti che individualmente ne derivano.   Art. 86 Principi della politica di gestione del capitale di gruppo 1. A livello di gruppo la politica di gestione del capitale ed il relativo piano di gestione del capitale a medio termine, approvati dall'organo amministrativo dell'ultima societa' controllante italiana ai sensi di quanto previsto dall'art. 71, comma 2, lettera r), sono definiti in coerenza con gli articoli 23 e 24, tenendo anche conto della disponibilita' a livello di gruppo dei fondi propri ammissibili, nonche' degli effetti delle operazioni infragruppo.   Art. 87 Requisiti di professionalita', onorabilita' e indipendenza a livello di gruppo 1. Tenuto conto di quanto previsto dall'art. 273 degli atti delegati e dagli articoli 212-bis, comma 1, lettera c) e 215-bis del Codice, si applica a livello di ultima societa' controllante italiana quanto previsto dall'art. 25 del presente regolamento. A tal fine, l'ultima societa' controllante italiana: a) assicura il rispetto dell'art. 25, commi 1 e 3, in coerenza con la politica di cui all'art. 71, comma 2, lettera p), definita per il gruppo dall'organo amministrativo di tale societa'; b) verifica il possesso dei requisiti di onorabilita', professionalita' e indipendenza in capo a coloro che svolgono funzioni di amministrazione, direzione e controllo presso tale societa' e, anche in caso di esternalizzazione, dei soggetti in essa titolari delle funzioni fondamentali, effettuando gli adempimenti di cui all'art. 25, commi 4 e 5 ed inviando all'IVASS le informazioni in conformita' a quanto previsto dall'art. 25, comma 6.   Art. 88 Funzioni fondamentali di gruppo 1. Ai fini di cui all'art. 258, paragrafo 1, lettera b), degli atti delegati e dell'art. 215-bis del Codice, l'organo amministrativo dell'ultima societa' controllante italiana, nell'ambito del sistema di governo societario di gruppo: a) costituisce le funzioni fondamentali a livello di gruppo, in modo proporzionato alla natura, alla portata e alla complessita' dei rischi inerenti all'attivita' del gruppo ed in coerenza con quanto previsto dall'art. 70, commi 1 e 3 e dall'art. 71, comma 3; b) assicura che le funzioni fondamentali svolgano a livello di gruppo i compiti ad essi attribuiti dalle disposizioni di cui alla Parte II, Titolo III, Capo VI; c) valuta le modalita' con cui le funzioni fondamentali di gruppo svolgono i compiti ad esse assegnati, tenendo in considerazione a tali fini la struttura del gruppo, il profilo di rischio e l'attivita' svolta, nonche' gli elementi di cui all'art. 70, comma 3. 2. L'attribuzione dei compiti alle funzioni fondamentali di gruppo e' formalizzata in una apposita delibera dell'organo amministrativo dell'ultima societa' controllante italiana che ne definisce le responsabilita', i compiti, le modalita' operative, la natura e la frequenza della reportistica agli organi sociali e alle altre funzioni interessate, in coerenza con il documento di cui all'art. 71, comma 2, lettera m). Al fine di garantire l'espletamento delle funzioni ad esse assegnate a livello di gruppo, sono altresi' definite dall'organo amministrativo dell'ultima societa' controllante italiana le modalita' ed i meccanismi di riporto con le funzioni e gli organi sociali interessati. 3. La struttura e l'assegnazione della titolarita' delle funzioni fondamentali a livello di gruppo e' in ogni caso coerente con quanto previsto dagli articoli 27 e 28. 4. Il piano di attivita', redatto dal titolare della funzione fondamentale a livello di gruppo, e' approvato dall'organo amministrativo dell'ultima societa' controllante italiana. A tale piano e alla relazione dell'attivita' svolta dal titolare della funzione fondamentale a livello di gruppo si applicano gli articoli 29 e 30. 5. In coerenza con quanto previsto dall'art. 74 del presente regolamento, nell'ambito del gruppo, con particolare riguardo alle societa' di cui all'art. 210-ter, comma 2, del Codice, e' assicurata la collaborazione tra le funzioni, strutture e gli organi deputati al controllo, secondo quanto previsto dall'art. 31 del presente regolamento. La definizione e formalizzazione dei collegamenti tra tali strutture e organi e' rimessa all'organo amministrativo dell'ultima societa' controllante italiana. 6. L'organo amministrativo dell'ultima societa' controllante italiana del gruppo assicura che le soluzioni adottate non siano in contrasto con la sana e prudente gestione del gruppo, avendo cura di evitare l'eccessiva concentrazione di poteri, e non ostacolino il corretto esercizio dei poteri di vigilanza sul gruppo da parte dell'IVASS, in coerenza con quanto previsto dal Titolo XV del Codice e relative disposizioni di attuazione.   Art. 89 Obiettivi e compiti della funzione di gestione dei rischi a livello di gruppo 1. La funzione di gestione dei rischi di gruppo, costituita secondo quanto previsto dall'art. 88, assolve a livello di gruppo i compiti ad essa assegnati dall'art. 32, concorrendo altresi' al perseguimento degli obiettivi del sistema di gestione dei rischi di gruppo di cui al Capo II del presente Titolo. Per l'espletamento dei propri compiti la funzione tiene conto della rilevanza delle societa' del gruppo secondo quanto previsto dall'art. 70, comma 3, nonche' degli specifici rischi individuati in coerenza con l'art. 80, comma 4, fornendo il proprio contributo per assicurare il rispetto degli articoli 80, 81 e 82. Il titolare della funzione e' nominato ed assolve i compiti ad esso assegnati dall'art. 28.   Art. 90 Obiettivi e compiti della funzione di verifica della conformita' di gruppo 1. La funzione di verifica della conformita' di gruppo, costituita secondo quanto previsto dall'art. 88, persegue gli obiettivi e assolve a livello di gruppo i compiti ad essa assegnati dagli articoli 33 e 34. Il titolare della funzione e' nominato ed assolve i compiti ad esso assegnati dall'art. 28.   Art. 91 Obiettivi e compiti della funzione di revisione interna di gruppo 1. La funzione di revisione interna di gruppo, costituita secondo quanto previsto dall'art. 88, persegue gli obiettivi e assolve a livello di gruppo i compiti ad essa assegnati dagli articoli 35, 36. 2. Il titolare della funzione e' nominato ed assolve i compiti ad esso assegnati in coerenza con quanto previsto dall'art. 37.   Art. 92 Obiettivi e compiti della funzione attuariale di gruppo 1. L'ultima societa' controllante italiana richiede alla funzione attuariale di gruppo, costituita, ove rilevante, secondo quanto previsto dall'art. 88, di fornire un'opinione sulla politica di riassicurazione e delle ulteriori tecniche di mitigazione del rischio, nonche' sul programma di riassicurazione del gruppo complessivamente considerato, che include un parere sugli accordi di riassicurazione, sulle altre forme di trasferimento o sulle altre tecniche di mitigazione del rischio, relativamente ai rischi legati all'esercizio dell'attivita' assicurativa di gruppo. Laddove appropriato in relazione alla tipologia dei contratti, in particolare in presenza del riconoscimento da parte dell'impresa di una partecipazione discrezionale all'utile da essa realizzato, la funzione attuariale di gruppo esprime un parere, anche ai fini della distribuzione dei dividendi, in merito alla attribuzione di rendimento e all'adeguatezza dei premi e dei riconoscimenti accordati, nonche' della metodologia utilizzata ai fini della loro determinazione. 2. La funzione attuariale di gruppo fornisce altresi' consulenza ed esprime pareri con riguardo ai seguenti aspetti: a) rischi di sottoscrizione di gruppo; b) aspetti connessi alla gestione delle attività-passivita'; c) la solvibilita' del gruppo, anche prospettica mediante stress test e analisi di scenario nelle aree relative alle riserve tecniche e alla gestione delle attività-passivita'; d) politiche di sottoscrizione e riservazione. 3. Si applica a livello di gruppo, in coerenza con la diversa struttura del soggetto vigilato, l'art. 38. 4. Il titolare della funzione e' nominato ed assolve i compiti ad esso assegnati in coerenza con quanto previsto dall'art. 28.   Art. 93 Caratteristiche delle politiche di remunerazione di gruppo 1. L'organo amministrativo dell'ultima societa' controllante italiana, ai sensi di quanto previsto dall'art. 71, comma 2, lettera n), definisce, in coerenza con le strategie e la politica di gestione del rischio del gruppo, con la propensione al rischio ed i limiti di tolleranza al rischio di gruppo, le politiche di remunerazione del gruppo, garantendo che esse siano adeguatamente calibrate rispetto alle caratteristiche delle societa' del gruppo, tenendo conto dei criteri a tal fine individuati dall'art. 70, comma 3 e di quanto previsto dall'art. 39. 2. Le politiche di remunerazione di gruppo si applicano anche a coloro che svolgono funzioni di amministrazione, direzione e controllo presso l'ultima societa' controllante italiana ai titolari e al personale di livello piu' elevato delle funzioni fondamentali di gruppo nonche' all'ulteriore personale rilevante, identificato dall'ultima societa' controllante italiana, ai sensi dell'art. 2, comma 1, lettera m). 3. Ai fini di cui al comma 1, l'organo amministrativo dell'ultima societa' controllante italiana assicura: a) la complessiva coerenza delle politiche e prassi di remunerazione del gruppo, verificandone la coerente attuazione da parte delle societa' del gruppo; b) la conformita' delle remunerazioni delle societa' del gruppo ai principi e alle regole contenute nel presente Capo e, nel caso di societa' estere, l'assenza di contrasto con il quadro normativo dello Stato estero e della regolamentazione di settore; c) l'adeguata gestione dei rischi significativi a livello di gruppo connessi ad aspetti attinenti alle remunerazioni delle societa' del gruppo. 4. Le societa' del gruppo mantengono la responsabilita' del rispetto delle disposizioni ad esse direttamente applicabili in materia di remunerazioni e della corretta attuazione degli indirizzi forniti in materia dalla ultima societa' controllante italiana. 5. Si applicano al gruppo le disposizioni di cui alla Parte II, Titolo III, Capo VII, Sezioni II, III, IV, V, VI. 6. Si applicano altresi' a livello di gruppo gli articoli 58 e 59, relativamente alla verifica in merito all'attuazione della politica di remunerazione, nonche' all'informativa all'assemblea sull'applicazione delle politiche di remunerazione e sui compensi da trasmettersi all'IVASS ad integrazione di quella resa ai sensi dell'art. 216-octies del Codice. Per il gruppo ai fini delle verifiche di cui all'art. 58 si tiene conto di intervenute modifiche alla rischiosita' o al contributo al profilo di rischio del gruppo.   Art. 94 Esternalizzazione a livello di gruppo 1. All'esternalizzazione a livello di gruppo si applicano le disposizioni di cui alla Parte II, Titolo III, Capo VIII. Se l'esternalizzazione avviene nei confronti di un fornitore ricompreso tra le societa' di cui all'art. 210-ter, comma 2 del Codice, si applica il regime semplificato di cui agli articoli 67, comma 2 e 68, comma 2.   Art. 95 Disposizioni transitorie 1. In sede di prima applicazione, le imprese di cui all'art. 3 si adeguano alle previsioni del regolamento entro il termine del 31 dicembre 2019, adottando le opportune delibere entro il mese di giugno 2019. 2. Ove l'adeguamento richieda modifiche statutarie, tra cui la definizione del requisito di indipendenza dei componenti dell'organo amministrativo, la previsione del ruolo non esecutivo del presidente dell'organo amministrativo, la composizione dei comitati endoconsiliari, di cui agli articoli 5, commi 2, lettera z), 5 comma 9, 6 e 43, queste sono apportate in tempo utile ad assicurare che dispieghino i propri effetti sugli eventuali rinnovi degli organi sociali deliberati in occasione dell'assemblea chiamata ad approvare il bilancio 2018. In deroga al comma 1 le imprese assicurano l'adeguamento compiuto al piu' tardi entro il 2021. 3. Entro il termine per l'approvazione del bilancio 2018, le imprese sottopongono all'assemblea, per la relativa approvazione, la politica di remunerazione e approvano la politica di esternalizzazione, definite secondo le disposizioni del presente regolamento. In deroga al termine del 31 dicembre 2019 di cui al comma 1, con riferimento agli incarichi e ai contratti in corso, adottano ogni iniziativa per l'adeguamento, compatibilmente con la disciplina che ne regola la modificabilita', al piu' tardi entro la relativa scadenza, dandone adeguata formalizzazione nelle politiche e nell'Informativa al Supervisore di cui all'art. 47-quater del Codice e relative disposizioni di attuazione. Nel conferimento di incarichi e nella stipulazione di contratti intervenuta successivamente all'entrata in vigore del regolamento e prima dell'approvazione di tali politiche, tengono conto delle disposizioni del presente regolamento in materia di esternalizzazione e remunerazione.   Art. 96 Abrogazioni 1. Dalla data di entrata in vigore del presente regolamento sono abrogati: a) il regolamento ISVAP n. 20 del 26 marzo 2008; b) il regolamento ISVAP n. 39 del 9 giugno 2011. 2. Dalla data di entrata in vigore del presente regolamento la circolare ISVAP n. 574/D del 23 dicembre 2005 si applica alle sole imprese locali di cui al Titolo IV, Capo II, del Codice.   Art. 97 Pubblicazione ed entrata in vigore 1. Il presente regolamento e' pubblicato nella Gazzetta Ufficiale della Repubblica italiana, nel Bollettino dell'IVASS e sul sito istituzionale. 2. Il presente regolamento entra in vigore il giorno successivo alla sua pubblicazione. Roma, 3 luglio 2018 p. Il Direttorio integrato Il presidente Rossi