Nel panorama assicurativo europeo, l’esternalizzazione non è più solo una leva operativa, ma un elemento centrale della strategia aziendale. A regolare questa pratica è un quadro normativo definito, che prende le mosse dalla Direttiva Solvency II e dal Regolamento delegato UE 2015/35. Entrambi aprono alla possibilità di affidare a terzi servizi e funzioni aziendali, a condizione che la gestione dell’impresa resti stabile, sicura e pienamente sotto controllo.
E’ prevista la possibilità per le imprese di assicurazioni e riassicurazione di esternalizzare i servizi e le funzioni purché non sia pregiudicata la loro regolare gestione. A tal fine, il Regolamento delegato impone una politica scritta ed individua le modalità con cui procedere alla esternalizzazione delle funzioni e delle attività essenziali.
Alla luce del crescente ricorso all’esternalizzazione di attività e processi aziendali da parte delle imprese di assicurazione, l’IVASS ha elaborato delle aspettative con lo scopo di richiamare l’attenzione sull’importanza di una corretta valutazione dei rischi e delle opportunità connesse all’esternalizzazione di attività e funzioni essenziali.
Il messaggio è chiaro: si alla esternalizzazione ma senza abdicare il controllo. In altri termini, L’impresa deve essere in grado di replicare sugli outsourcer lo stesso livello di monitoraggio e verifica che applicherebbe a processi interni. In questa logica, IVASS si aspetta che le compagnie strutturino un sistema di governance e controllo organizzativo in grado di garantire continuità, qualità e conformità anche nei processi esternalizzati.
L’Ivass si attende che le imprese valutino le tipologie di rischio delle esternalizzazioni e adottino misure volte ad assicurare la continuità delle attività esternalizzate anche in caso di interruzione o grave deterioramento del servizio reso da fornitore.
Per quanto riguarda i servizi ICT, l’Ivass si attende che le Imprese completino l’allineamento dei propri modelli gestionali e di controllo al Regolamento DORA, adottando strategie dedicate per i rischi informatici e una policy per l’utilizzo dei servizi ICT.