Normativa
FRANCIA: ESTERNALIZZAZIONE DELLE ATTIVITA’ DI PRIMARIA RILEVANZA NELLE ASSICURAZIONI. STUDIO DELLA VIGILANZA (ACPR)
«Enquête 2023 sur l’externalisation des activités critiques ou importantes» (Analyses et Synthèses n. 154 - 2023) WEBPAGE DI PRESENTAZIONE e REPORT (22.12.2023)
Pauline Mathieu, Marina Plever, Florence Ruffin, Pauline Schwartz, Houleye Sow, Oussama Bendriss, Christophe Letray, Stéphane Tran - avec la participation de Julien Caspers
ACPR - BANQUE DE FRANCE
https://acpr.banque-france.fr/
ACPR – Link alla WEBPAGE DI PRESENTAZIONE del Report
ACPR – Link al REPORT (Analyses et Synthèses n. 154/2023)
ACPR – Autorità di vigilanza prudenziale sul sistema finanziario francese – ha recentemente dedicato un numero della Collana “Analyses et Synthèses” all’analisi della pratica delle “esternalizzazioni” (outsourcing) di funzioni “rilevanti” da parte delle compagnie di assicurazione.
I risultati dell’indagine indicano che le imprese assicuratrici francesi fanno ampio ricorso all'outsourcing delle loro attività rilevanti/“critiche”, posto che tale pratica offre molteplici vantaggi, come razionalizzazione dei costi, competenze specifiche, rifocalizzazione sulle attività di core business, anche se il ricorso all'outsourcing aumenta i rischi operativi dell’impresa e ne complica la gestione.
Secondo il Report, le aree di attività più frequentemente esternalizzate sono la gestione dei contratti e dei sinistri, gli investimenti, la gestione degli attivi e quella dei sistemi informativi. L'indagine consente, inoltre, di distinguere tra i servizi esternalizzati a terzi e quelli presso lo stesso gruppo e pone in evidenza il grado di consapevolezza relativo ai principali obblighi legati all’outsourcing (quali – ad esempio – l'esistenza di una procedura di selezione dei fornitori, la notifica alla Vigilanza delle attività esternalizzate, l'esistenza di una policy relativa all’outsourcing, l'integrazione nel sistema di controllo interno o in quello di risk management e, infine, l'esistenza di un “piano di continuità” presso il fornitore del servizio). L'indagine rivela altresì che, sebbene vi sia rispetto, in linea di massima, dei principi generali, la loro attuazione è ancora troppo generica: viene pertanto sottolineata l’esigenza di un'applicazione più “granulare” e “operativa”, ai fini di un migliore controllo del rischio di “outsourcing”. Inoltre, le strategie per organizzare il trasferimento dei servizi esternalizzati a terzi o per re-internalizzare i servizi (“sostituibilità” o “reversibilità”) si rivelano difficili da applicare o richiedono tempi eccessivi.
Infine, le debolezze legate alle esposizioni dei servizi in cloud (pubblici o ibridi), o quelle legate all’utilizzo di operatori ICT situati al di fuori dell’Europa, rappresentano nuovi rischi da gestire. Il tema acquista ancor maggiore rilevanza alla luce dell’applicazione del Regolamento europeo “DORA”(1).
Il Report è strutturato come segue:
- Activités ou fonctions sous-traitées;
- Processus de choix d’un sous-traitant;
- Processus de notification à l’ACPR;
- Contractualisation de la sous-traitance de prestations critiques ou importantes;
- Politiques écrites;
- Pilotage de la sous-traitance;
- Dispositif de contrôle interne;
- Dispositif de gestion des risques;
- Intégration de l’externalisation dans les plans de continuité (PCA);
- Les plans de continuité des prestataires;
- Externalisation au niveau du groupe;
- Données tirées de l’inventaire.
_________________________
(1) Sul punto, si veda:
“Digital Operational Resilience Act (DORA): consultazione UE in materia di servizi ICT critici”,
in Panorama Assicurativo n. 242, dicembre 2023 (Sezione “UNIONE EUROPEA”)
https://www.panoramassicurativo.ania.it/newsletter/86325/articolo/86826
“Finanza Digitale e Cybersecurity: il Regolamento “DORA” e la Direttiva “NIS2” pubblicati in GUUE”,
in Panorama Assicurativo n. 232, febbraio 2023 (Sezione “UNIONE EUROPEA”)
https://www.panoramassicurativo.ania.it/newsletter/84229/articolo/84692