di Francesco Sottile
Con la lettera al mercato del 13 novembre scorso l’IVASS ha elaborato 9 aspettative in materia di esternalizzazione, al fine di favorire l’uniforme e corretta applicazione del framework normativo europeo e nazionale di riferimento.
Tali aspettative non hanno carattere vincolante, ma intendono fornire indicazioni di carattere generale circa le modalità con cui l’Istituto si attende che siano osservate le disposizioni normative in materia di esternalizzazione. L’obiettivo è infatti quello di “richiamare l’attenzione delle imprese, alla luce dell’esperienza maturata, sia sull’importanza di una corretta valutazione dei rischi e delle opportunità relative all’esternalizzazione di attività o funzioni cruciali per l’organizzazione aziendale, sia sulla corretta individuazione delle attività/servizi essenziali o importanti che, ai sensi dell’articolo 67 del Regolamento, sono soggette alla preventiva comunicazione all’Istituto”.
Eventuali osservazioni, commenti e proposte potranno essere inviate all’IVASS, entro il 14 dicembre 2024: come da prassi, al termine della fase di pubblica consultazione l’Istituto renderà note tutte le osservazioni pervenute con le conseguenti risoluzioni.
Di seguito le 9 aspettative elaborate dall’Istituto:
Aspetti di governance e gestione dei rischi
- L’Istituto si attende che le imprese:
a) valorizzino il ruolo dell’organo amministrativo nel processo decisionale che riguarda l’esternalizzazione delle funzioni fondamentali e delle attività o funzioni essenziali o importanti in modo da consentire allo stesso di avere piena consapevolezza dei risultati degli accordi in corso di operatività, del grado di dipendenza dell’impresa da soggetti esterni e dei relativi rischi;
b) considerino la scelta di ricorrere a fornitori, per l’espletamento di funzioni fondamentali o di attività o funzioni essenziali o importanti, parte integrante delle strategie aziendali approvate dall’organo amministrativo.
- L’Istituto si attende che le imprese:
a) nel vaglio dell’adeguatezza delle strutture e delle professionalità del fornitore scelto, valutino le principali tipologie di rischio delle esternalizzazioni ed almeno quelli: operativo, di concentrazione, di sub-esternalizzazione, legale, reputazionale, informatico, di lock-in (ad es. eccessiva dipendenza da un fornitore);
b) tengano in considerazione l’esito della suddetta analisi anche nella definizione delle misure previste all’articolo 65, comma 3, del Regolamento per assicurare la continuità delle attività esternalizzate in caso di interruzione o grave deterioramento della qualità del servizio reso dal fornitore, inclusi adeguati piani di emergenza o di re-internalizzazione delle attività.
- L’Istituto si attende che all’organo amministrativo sia presentata apposita relazione sui risultati degli accordi di esternalizzazione sottoscritti, nel corso della operatività degli stessi con evidenza delle criticità emerse.
Presidi sulle funzioni o attività esternalizzate
Poiché il ricorso diffuso all’esternalizzazione di funzioni fondamentali e di attività essenziali o importanti può esporre le imprese al rischio di affievolire la capacità di controllo sull’adeguatezza e correttezza di tali attività ed incidere in modo rilevante anche sui rapporti con gli assicurati, l’Istituto ha elaborato le seguenti aspettative:
- L’Istituto si attende che nell’ambito dei controlli periodici previsti all’articolo 65 del Regolamento, venga svolta un’analisi dei rischi analoga a quella effettuata in sede di conclusione dell’accordo, al fine di verificare che non siano intervenute variazioni che possano incidere sulla valutazione dell’attività esternalizzata.
- L’Istituto si attende che, al fine di avere contezza dell’attività svolta dal fornitore e informare tempestivamente l’organo amministrativo di eventuali criticità, le imprese:
a) inseriscano nei contratti “Livelli di Servizio” (SLA) che definiscano uno standard qualitativo adeguato a cui il fornitore dovrà attenersi, la misurazione di detti standard attraverso l’individuazione di specifici indicatori (key performance indicators, KPI), nonché eventuali penali applicabili al fornitore nei casi di mancato raggiungimento dei livelli di servizio pattuiti;
b) adottino processi che consentano di valutare:
- il rispetto degli SLA;
- il regolare andamento dei KPI;
- le cause dell’eventuale mancato rispetto dei KPI e dei livelli di servizio forniti alla clientela; iv) le misure intraprese dal fornitore e la tempistica di attuazione delle stesse per il superamento di eventuali criticità;
- l’eventuale applicazione delle penali previste nel contratto;
- adeguamenti, modifiche e integrazioni al contratto, tenuto conto anche dell’evoluzione dei servizi;
c) non determinino complesse catene di subfornitori che possano incidere sulla capacità delle imprese cedenti di verificare l’adeguato svolgimento dell’attività o della funzione esternalizzata.
Esternalizzazioni di servizi ICT
In coerenza con l’emanazione del nuovo Regolamento Dora, tendente a rafforzare la gestione dei rischi connessi alla esternalizzazione dei servizi ICT a fornitori terzi (compresi quelli infragruppo), e che sarà applicabile a partire del 17 gennaio 2025
- L’Istituto si attende che le imprese perseguano in maniera proattiva l’allineamento dei propri modelli gestionali e di controllo al Regolamento DORA, con particolare riguardo all’adozione di una strategia dedicata per i rischi informatici, fondata sul costante esame di tutte le dipendenze da terzi nel settore ICT e comprensiva di una policy per l’utilizzo dei servizi ICT a supporto di funzioni critiche o importanti prestate da fornitori terzi.
Comunicazioni preventive di esternalizzazione di attività o funzioni essenziali o importanti ai sensi dell’articolo 67 del Regolamento
- L’Istituto si attende che, nell’ambito del processo di individuazione delle attività o funzioni essenziali o importanti da parte delle imprese, si presumano tali e quindi soggette all’obbligo della comunicazione preventiva quelle relative a:
- la progettazione dei prodotti assicurativi con la relativa definizione delle tariffe;
- la gestione degli investimenti;
- la gestione e liquidazione dei sinistri (incluso il caso di utilizzo di call center);
- la gestione dei reclami;
- la prestazione regolare e costante di supporto di natura contabile;
- la prestazione dei servizi di ICT;
- il processo ORSA.
Comunicazioni di cui all’articolo 67, commi 6 e 7, del Regolamento.
Con riferimento alle disposizioni sopra richiamate inerenti gli sviluppi rilevanti dell’accordo di esternalizzazione già sottoscritto o sua cessazione con affidamento a altro fornitore, l’Istituto ha osservato un differente approccio comunicativo da parte del mercato anche a fronte di fattispecie simili, e ha pertanto elaborato le seguenti aspettative:
- L’Istituto si attende che:
a) sia comunicato preventivamente il conferimento dell’incarico da parte dell’impresa cedente ad un nuovo fornitore;
b) non sia comunicato preventivamente il conferimento in sub-esternalizzazione del contratto di esternalizzazione, essendo esplicitamente previsto che il fornitore possa svolgere l’attività esternalizzata, anziché direttamente, tramite sub-esternalizzazione, nei termini ed alle condizioni fissati nel contratto di outsourcing
c) dal punto di vista del contenuto contrattuale, sia comunicato l’inserimento nell’accordo di esternalizzazione di una prestazione ulteriore, in aggiunta a quella inizialmente concordata, che modifica l’attività oggetto di fornitura. Ciò accade, a titolo di esempio, nel caso di affidamento di fasi gestionali riguardanti un ramo differente rispetto a quello cui si riferisce l’originario conferimento (per es. l’affidamento della gestione dei sinistri RCG in aggiunta a quella dei sinistri R.C. auto già conferita).
- L’istituto si attende che l’affidamento ad un nuovo fornitore di una funzione o attività essenziale o importante in seguito alla scadenza naturale del precedente contratto, configurando una nuova esternalizzazione, sia comunicata preventivamente, nei termini previsti dall’art. 67, commi 1 e 2, del Regolamento.
© Riproduzione riservata