Regolamento di Compliance - Gruppo Bancario Mediterraneo

Transcript

GBM – GRUPPO BANCARIO MEDITERRANEO Holding SpA
Capogruppo Bancaria
GBM Gruppo Bancario Mediterraneo Holding
SpA
Regolamento di Compliance
DATA
16/09/2011
DESCRIZIONE
Regolamento di
Compliance
REDATTO
VERIFICATO
APPROVATO
E&Y
VdG-DG-P
CdA
09/09/2011
12/09/2011
15/09/2011
Pagina 1 di 36
Capogruppo Bancaria
INDICE
1.
2.
3.
Premessa
1.1
Scopo e campo di applicazione
……………………………… pag. 04
1.2
Documenti di riferimento
1.3
Definizione del rischio di non conformità
………………………………….
…………
pag. 07
pag. 08
Organizzazione del processo
2.1
Principi organizzativi ………………………………………….
pag.
12
2.2
Ruoli e responsabilità ………………………………………… pag. 15
Fasi del processo
3.1
Il processo di gestione del rischio di non conformità ..
pag. 21
3.2
Pianificazione
…………..
pag. 22
3.3
Identificazione e valutazione del rischio
…………..
pag. 23
3.4
Il controllo del rischio ………………………………………….
pag. 26
3.5
Miglioramento dell’organizzazione
…………………….
pag. 33
3.6
Revisione interna del processo
………………………….
pag. 35
3.7
Reporting ……………….…………………………………………
pag. 36
Pagina 2 di 36
Capogruppo Bancaria
Capitolo 1
Premessa
Pagina 3 di 36
Capogruppo Bancaria
1.1
Scopo e campo di applicazione
Finalità del processo di gestione del rischio di non conformità
In un sistema, come quello bancario e finanziario, caratterizzato da un’elevata complessità degli
adempimenti normativi richiesti e basato sul rapporto fiduciario con i soggetti esterni, GBM Gruppo
Bancario Mediterraneo Holding S.p.A. (di seguito per brevità “GBM Holding SpA” o
“Capogruppo”) persegue l’obiettivo di rispettare la legalità e la correttezza negli affari, adottando
adeguati strumenti operativi e di controllo.
Peraltro, sulla base di quanto raccomandato dal Comitato di Basilea1 per la Vigilanza Bancaria e
prescritto dalla Banca d’Italia, lo sviluppo di nuovi presidi di “internal governance” è ritenuto
necessario per il perseguimento di una più sistematica azione di controllo del rischio di non
conformità, inteso come il rischio associato al mancato rispetto delle disposizioni legislative e
regolamentari, nonché di norme etiche, deontologiche e professionali dettate da codici di condotta,
standards operativi e da norme di autoregolamentazione e delle linee di indirizzo della governance.
Il rischio di non conformità si concretizza nella possibilità di incorrere in danno economico diretto
(sanzioni giudiziarie o amministrative) e/o indiretto (compromissione dell’immagine della
credibilità della reputazione aziendale a seguito di lealtà di correttezza operativa e gestionale).
Ciò premesso, nell’ambito del Gruppo Bancario denominato GBM Gruppo Bancario Mediterraneo
Holding SpA (di seguito “Gruppo”) è stato sviluppato un processo di gestione e di controllo del
rischio di non conformità, le cui principali finalità sono:

prevenire, ex ante, eventuali disallineamenti rispetto alle norme esterne ed alle linee
intermedie di indirizzo ed agli standard di Gruppo e minimizzare, ex post, eventuali
conseguenze degli stessi;
1
Con il documento “Compliance and the compliance function in bank1” del Comitato di Basilea per la vigilanza bancaria dell’aprile 2005, è stato
introdotto il concetto di compliance risk, riconoscendo allo stesso tempo la necessità di introdurre la Funzione di Compliance nelle Banche e nei
Gruppi bancari, al fine di gestire adeguatamente, per l’appunto, il rischio di compliance. La Funzione viene così definita : “An indipendent fuction
that identifies, assesses, advises on, monitors and reports on the bank’s compliance risk of legal or regulatory sanctions, financial loss, or loss to reputations
a bank may suffer as a result of its failure to comply with all applicable laws, regulations, codes of conducts and standards of good practice”1.
Pagina 4 di 36
Capogruppo Bancaria

salvaguardare la reputazione aziendale, basata sull’affidabilità e sulla responsabilità
delle società del Gruppo e conseguentemente il rapporto fiduciario con i diversi portatori di
interessi;

costituire un patrimonio di valori e regole che caratterizzino l’immagine e la cultura
aziendale, sulla base di principi di trasparenza, correttezza e rispetto sostanziale delle norme.
In un’ottica di obiettivi di Gruppo, il conseguimento di tali finalità si traduce in un miglioramento
della qualità ed affidabilità dell’operatività e nello sviluppo di una gestione responsabile dei
rapporti con tutti i portatori di interessi (clienti, azionisti, dipendenti, finanziatori, ecc.).
Ciò contribuisce a:

contenere il danno economico
derivante da sanzioni pecuniarie emesse dalle
Autorità di Vigilanza e dal contenzioso con i clienti e con i terzi;

ridurre l’impatto economico in termini di requisiti patrimoniali connesso a perdite
derivanti dai rischi di non conformità;

rafforzare il sistema dei controlli interni, contribuendo al miglioramento della qualità
dei processi e delle procedure interne e aumentando nel contempo la sensibilità del personale
al rispetto di norme obbligatorie e di autoregolamentazione;

proteggere il valore del marchio delle società del Gruppo;

perseguire una gestione maggiormente orientata al cliente, trasmettendo allo stesso
un’informativa corretta e trasparente.
L’introduzione nel sistema finanziario italiano della Funzione di Conformità alle norme
(Compliance) interviene nell’ambito di un processo più ampio di mutamento profondo, anche a
livello comunitario, della regolamentazione del settore che ha interessato in modo diretto anche il
Sistema dei Controlli Interni.
Ultimamente si è poi assistito al manifestarsi di tipologie di accadimenti dannosi connessi ai rischi
legali e reputazionali, con cui le banche non erano abituate a confrontarsi.
Da qui la necessità di identificare e monitorare anche questi rischi, attraverso la funzione
Compliance. Lo scenario di riferimento che si è manifestato in questi ultimi anni ha presentato
novità significative e strutturali con un processo di cambiamento importante di cui il documento di
Banca d’Italia del 10 luglio 2007, in materia di compliance rappresenta la logica evoluzione.
Pagina 5 di 36
Capogruppo Bancaria
Scopo del documento e modalità di attuazione
Scopo del presente documento è di descrivere l’organizzazione adottata dal Gruppo individuando,
in particolare:

i principi che presiedono alla definizione e allo sviluppo del processo di gestione e
controllo del rischio;

i ruoli e le responsabilità assegnate ai vari Organi/funzioni delle società del Gruppo;

le modalità di svolgimento delle attività relative alle differenti fasi del processo di
gestione del rischio;

il sistema di reporting verso gli Organi Amministrativi e gli Organi di Controllo.
I principi riportati nel documento riguardano e si applicano, a tutte le società del Gruppo, tenendo
conto delle specificità di ciascuna.
Il documento, predisposto dal Responsabile della funzione Compliance, approvato in via
preliminare dal Direttore Generale di GBM Holding SpA, è adottato con delibera del Consiglio di
Amministrazione della Capogruppo.
Del documento deliberato è data adeguata e tempestiva informazione agli Organi Amministrativi e
di Controllo delle società controllate ivi compresi l’organo di vigilanza e il revisore o la società di
revisione legale.
Pagina 6 di 36
Capogruppo Bancaria
1.2
Documenti di riferimento

Circolare della Banca d’Italia n. 229 del 21 aprile 1999 e successivi aggiornamenti
recante le “Istruzioni di Vigilanza per le Banche” (in particolare il Titolo IV – Capitolo 11
“Sistema dei controlli interni, compiti del Collegio Sindacale”);

disposizioni di vigilanza “La funzione di conformità (Compliance)”, emesse da
Banca d’Italia il 10 luglio 2007;

statuto di GBM Holding SpA e delle altre società del Gruppo;

delibera del Consiglio di Amministrazione di GBM Holding SpA adottata il 16
novembre 2010 recante l’istituzione della funzione Compliance;

delibera del Consiglio di Amministrazione di GBM Holding SpA adottata il 15
febbraio 2011 in base alla quale la responsabilità della funzione di Compliance è stata affidata
ad interim al dirigente della funzione Public Affairs (oggi Funzione Istitutional Investor
Relation);

regolamento di Gruppo;

Codice Etico di GBM Holding SpA;

Modello di Organizzazione Gestione e Controllo ex d.lgs. 231/01 della Capogruppo.
Pagina 7 di 36
Capogruppo Bancaria
1.3
Definizione del rischio di non conformità
Per rischio di non conformità si intende, in applicazione delle Disposizioni di Vigilanza della Banca
d’Italia, il “rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie
rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di
regolamenti) ovvero di autoregolamentazione (es. statuti, codici di condotta, codici di
autodisciplina)”.
Detto rischio è diffuso a tutti livelli dell’organizzazione aziendale, soprattutto nell’ambito delle
linee operative.
Tenuto conto del modello organizzativo e decisionale adottato da GBM Holding SpA ovvero dalla
declinazione dei compiti attribuiti alle funzioni di controllo interni istituite (Compliance, Internal
Audit e Risk Management), tenuto conto inoltre delle prassi nell’ambito del sistema bancario, delle
indicazioni delle associazioni di categoria (in particolare ABI e AICOM) e, soprattutto, delle
disposizioni dell’Autorità di Vigilanza, GBM Holding SpA ha provveduto a definire il perimetro
normativo di riferimento ossia le norme più rilevanti presidiati dalla funzione di Compliance (cd.
“normativa rilevante”).
A tale proposito, la funzione Compliance di GBM Holding SpA, provvede a identificare i requisiti
normativi e a predisporli per la mappatura da parte delle società del Gruppo per le aree normative
indicate di seguito.
Per le stesse aree la funzione Compliance identifica le sanzioni applicabili, raggruppa i requisiti
sotto i vari rischi di non conformità e definisce il Risk Impact.
Riciclaggio / Terrorismo: in tale area rientrano gli eventi che possono generare un rischio di non
conformità a seguito del mancato rispetto delle norme esterne relative alla prevenzione di fenomeni
di riciclaggio di denaro proveniente da attività malavitosa e da eventi delittuosi e di contrasto
finanziario al terrorismo.
Usura: in tale area rientrano gli eventi che possono generare un rischio di non conformità a seguito
del mancato rispetto dei limiti stabiliti dalla normativa in materia di condizioni economiche
applicate ai clienti (rif.: disposizioni in materia di usura e di modalità di calcolo del TAEG,
Istruzioni di Vigilanza per la rilevazione del TEGM ai sensi della legge sull'usura, ecc.).
Pagina 8 di 36
Capogruppo Bancaria
Antitrust: in tale area rientrano gli obblighi ai quali si devono attenere le imprese, onde evitare
intese, abusi di posizioni dominante e concentrazioni contra legem.
Trattamento dei dati personali: in tale area rientrano gli eventi che possono generare un rischio di
non conformità a seguito del mancato rispetto delle norme esterne relative al trattamento dei dati
personali dei clienti in fase di attivazione e gestione del rapporto, comprese le attività di recupero
dei crediti, le segnalazione ai Sistemi di Informazione Creditizia ed alle attività marketing diretto
(rif. : Codice in materia di protezione dei dati personali, provvedimenti/delibere del Garante per la
Protezione dei Dati Personali, ecc.).
Responsabilità amministrativa delle società: in tale area rientrano gli eventi che possono generare
un rischio di non conformità a seguito della commissione di reati presupposto della responsabilità
amministrativa delle società (rif.: Responsabilità amministrativa delle società ex d.lgs 231/01 e
successive integrazioni/modifiche).
Governance societaria: in tale area rientrano gli eventi che possono determinare un rischio di non
conformità a seguito del mancato rispetto di norme esterne che regolano l’attività di governance,
con specifico riferimento a quelle che regolamentano la prevenzione e la gestione dei conflitti di
interesse, oltre che le norme interne relative all’esercizio dei poteri delegati e dei limiti operativi.
Assetti proprietari: in tale area rientra la disciplina sia degli obblighi di richiesta di autorizzazione
sia della comunicazione delle partecipazioni rilevanti e reciproche nonché dei patti parasociali e ciò
da un duplice angolo visuale: della disciplina delle partecipazioni “al” capitale delle banche e delle
capogruppo finanziarie di gruppo bancario; della disciplina delle partecipazioni “delle” banche e
dei gruppi bancari.
Regole etiche e di sicurezza: in tale area rientrano gli eventi che possono generare un rischio di
non conformità a seguito del mancato rispetto della normativa interna e dei codici di
autoregolamentazione del settore, cui le società del Gruppo aderiscono, e che disciplinano le regole
etiche, deontologiche e di sicurezza a cui devono essere orientati i comportamenti di coloro che
operano nell’ambito e/o in nome e per conto del Gruppo nei rapporti con gli stakeholders di
riferimento.
Pagina 9 di 36
Capogruppo Bancaria
Procedure di svolgimento dei servizi in outsourcing: rientrano in tale ambito gli eventi di rischio
legati al mancato rispetto delle disposizioni interne ed esterne in materia di attivazione e gestione
dei rapporti con fornitori di servizi in outsourcing, con riferimento specifico alle attività di contatto
con i clienti (quali ad esempio: assistenza post vendita, commercializzazione di servizi finanziari,
recupero crediti, invio delle comunicazioni periodiche ecc.).
Trasparenza e pubblicità : rientrano in tale ambito le modalità e gli strumenti di informazione nei
confronti della clientela che gli intermediari finanziari (bancari e non bancari) sono obbligati ad
adottare in sede di prestazione dei servizi bancari e finanziari e dei servizi di intermediazione di
assicurazione e di riassicurazione.
Servizi di investimento: in tale area rientra la normativa relativa alla prestazione dei servizi di
investimento e dei servizi accessori così come definiti dal Testo Unico della Finanza e correlati
provvedimenti attuativi. In particolare, esso si sofferma su aspetti legati principalmente agli
obblighi di comportamento e di informativa verso la clientela, alla forma ed al contenuto dei
contratti per la prestazione dei servizi ed alla valutazione degli investimenti avuto riguardo alla
tipologia di clientela.
Deposito e subdeposito delle disponibilità liquide degli strumenti finanziari della clientela:
rientrano in tale ambito gli obblighi a cui debbono attenersi le banche che detengono somme liquide
o strumenti finanziati di pertinenza della clientela.
Gestione accentrata degli strumenti finanziari: tale area comprende la disciplina della gestione
accentrata di strumenti finanziari (sia in regime di deposito accentrato che di dematerializzazione)
sotto il profilo degli aderenti al sistema, nonché alla disciplina della gestione accentrata di Titoli di
Stato.
Market abuse: tale area comprende la disciplina dell’informazione societaria, dell’internal dealing,
dell’insider list, dell’acquisto di azioni proprie, delle raccomandazioni, studi e ricerche e infine della
segnalazione di operazioni sospette, abuso di informazione privilegiata e/o manipolazione di
mercato.
Pagina 10 di 36
Capogruppo Bancaria
Capitolo 2
Organizzazione del processo
Pagina 11 di 36
Capogruppo Bancaria
2.1
Principi organizzativi
L’organizzazione del processo di gestione del rischio di non conformità è definita in base ai
seguenti principi:
1)
Responsabilità diffusa a tutti i livelli dell’organizzazione
Il rischio di non conformità deve essere in primo luogo presidiato nel momento in cui lo stesso
viene generato.
Pertanto, è compito primario dei dirigenti e dei responsabili delle unità organizzative di diffondere
la cultura di compliance ed assicurare la correttezza dell’operatività nel proprio ambito di
competenza.
Inoltre, è responsabilità di tutti i soggetti che operano nell’interesse delle società del Gruppo:

conoscere e mantenersi informati sulle normative applicabili al proprio ambito
operativo;

rispettare, prescindendo da qualunque diversa indicazione o interesse tutelato, le
disposizioni poste dalla normativa esterna ed interna, non solo a livello formale ma anche
sostanziale, al fine di evitare comportamenti che possano recare pregiudizio alle società del
Gruppo ed alla loro reputazione;

evitare di diffondere all’esterno informazioni riservate e/o non corrette che possano
influenzare la percezione della situazione economica delle società del Gruppo;

2)
assicurare il pieno rispetto dell’interesse dei clienti.
Nomina del Responsabile della Compliance
Il Responsabile della Compliance di GBM Holding S.p.A. è nominato dal Consiglio di
Amministrazione sentito il parere del Collegio Sindacale.
I requisiti di autorevolezza, indipendenza e professionalità sia dal punto di vista organizzativo sia
dal punto di vista sostanziale del Responsabile della Compliance si configurano come prerogativa
per il corretto svolgimento della sua funzione.
Pagina 12 di 36
Capogruppo Bancaria
Il Responsabile della Compliance ha il compito di assicurare il coordinamento e la supervisione a
livello di Gruppo delle attività che compongono il complessivo processo di gestione del rischio di
non conformità.
Per assicurare un adeguato livello di indipendenza della funzione nello svolgimento delle proprie
attività, sono adottate le seguenti misure:

collocazione nell’organigramma aziendale in staff al Consiglio di Amministrazione;
in linea di reporting diretto verso il Consiglio di Amministrazione, il Collegio Sindacale e il
Direttore Generale;

possibilità di estendere l’attività di verifica a tutti i processi/aree delle società del
Gruppo;

possibilità di accedere a tutte le informazioni/documentazione rilevanti per la
realizzazione delle proprie attività, anche attraverso il colloquio diretto con il personale, sia
della Capogruppo che di tutte le società facenti parte del Gruppo;

separatezza organizzativa e funzionale rispetto all’Internal Audit, alla quale è
attribuita l’attività di revisione interna sul processo complessivo di gestione del rischio.
Inoltre, il Responsabile della Compliance e le risorse di tale funzione :

operano in modo obiettivo ed imparziale evitando condizionamenti di qualsiasi
natura;

non partecipano alla prestazione dei servizi che sono chiamati a controllare;

segnalano senza esitazioni al proprio responsabile od organo superiore qualsiasi
tentativo di condizionamento eventualmente subito;

evitano assolutamente ogni tipo di omissione azione di oneri di manipolazioni che
possa in qualsiasi modo inficiare i risultati delle analisi effettuate.
3)
Gestione accentrata del processo a livello di Gruppo
Le decisioni strategiche a livello di Gruppo in materia di gestione del rischio di non conformità
sono di competenza degli Organi Amministrativi e di Controllo della Capogruppo, tenendo conto
delle specificità delle società controllate.
Pagina 13 di 36
Capogruppo Bancaria
Delle decisioni assunte è data adeguata e tempestiva informazione agli Organi Amministrativi e di
Controllo delle società controllate.
Gli Organi aziendali ed il management delle società controllate sono responsabili dell’attuazione,
nell’ambito del proprio contesto operativo, delle strategie e delle politiche di gestione del rischio
definite.
4)
Informazione all’Alta Direzione e agli Organi amministrativi e di controllo
Deve essere assicurata un’informazione periodica al Consiglio di Amministrazione, al Collegio
Sindacale ed all’Alta Direzione sull’andamento del rischio di non conformità e continuativa su ogni
violazione rilevante alle norme da cui possa scaturire un rischio di non conformità.
Pagina 14 di 36
Capogruppo Bancaria
2.2
Ruoli e responsabilità
Organi Amministrativi e di Controllo
Il Consiglio di Amministrazione e il Collegio Sindacale della Capogruppo, nell’ambito delle
rispettive competenze come in seguito definite, sono i diretti responsabili del corretto
funzionamento del processo di gestione del rischio di non conformità ed agli stessi è attribuito un
ruolo di supervisione complessiva del sistema.
Consiglio di Amministrazione
Il Consiglio di Amministrazione ha la responsabilità di:

approvare, con apposita delibera non delegabile, le politiche di gestione del rischio,
sentito il Collegio Sindacale e su proposta del Direttore Generale. In particolare il Consiglio
di Amministrazione, nell’ambito delle suddette politiche approva:
a)
la definizione dei ruoli e responsabilità nel processo di gestione del rischio;
b)
i flussi informativi finalizzati ad assicurare la piena conoscenza agli Organi di
Amministrazione e Controllo ed alle funzioni di controllo interno delle modalità di gestione
del rischio e degli eventi rilevanti al riguardo.

nominare e revocare, con apposita delibera, il Responsabile della Compliance, sentito
il Collegio Sindacale;

valutare almeno una volta l’anno, sentito il Collegio Sindacale, l’adeguatezza del
sistema di gestione e controllo del rischio di non conformità;

approvare il Codice Etico di GBM Holding SpA ed il Modello di Organizzazione e
Gestione ex D.Lgs. 231/01.
I Consigli di Amministrazione delle società controllate operano nel rispetto delle disposizioni
statutarie ed in accordo agli indirizzi definiti dal Consiglio di Amministrazione della capogruppo.
Collegio Sindacale
Nell’ambito di ciascuna società del Gruppo è prevista la presenza del Collegio Sindacale e ove nel
caso revisore legale cui è affidato il compito di vigilare, sulla base delle attribuzioni conferite allo
stesso dalla legge (cfr.decret. leg. 27 genn. 2010 art. 2409 bis 2397 e ss. del Codice Civile) e dalle
disposizioni di vigilanza regolamentare, sull’osservanza della legge e dello Statuto, sul rispetto dei
principi di corretta amministrazione e, in particolare, sull’adeguatezza e sul concreto funzionamento
Pagina 15 di 36
Capogruppo Bancaria
dell’assetto organizzativo, amministrativo e contabile adottato, anche con riferimento al processo di
gestione del rischio di non conformità.
I Collegi Sindacali, oltre ad esprimere pareri al Consiglio di Amministrazione sulle materie indicate
in precedenza, svolgono il controllo su tutte le aree di attività delle rispettive società, in piena
autonomia ed avvalendosi della collaborazione di tutte le strutture aziendali, coordinandosi, in
particolare, con le funzioni di controllo interno della capogruppo (Responsabile della Compliance,
funzione Internal Audit), con i responsabili del controllo contabile e con le società di revisione
esterna.
Il Collegio Sindacale può formulare osservazioni e proposte di modifica volte alla rimozione di
eventuali anomalie riscontrate, verificando l’attuazione delle stesse.
Delle attività svolte è fornita evidenza mediante verbali, conservati nel “Libro delle adunanze e
deliberazioni”, presso la funzione Segreteria Societaria della capogruppo.
Direttore Generale
Il Direttore Generale, nominato dal Consiglio di Amministrazione, cura l’esecuzione delle
deliberazioni del Consiglio stesso nell'ambito delle linee d'indirizzo fornite dal medesimo. Il
Direttore Generale esercita i poteri decisionali ed operativi conferitigli dallo Statuto e/o dal CdA e
può delegare parte dei predetti poteri ai Responsabili delle Funzioni aziendali. Il Direttore Generale
persegue gli obiettivi gestionali e sovrintende allo svolgimento delle operazioni e al funzionamento
dei servizi secondo le indicazioni del Consiglio di Amministrazione, assicurando la conduzione
unitaria della Società e l’efficacia del sistema dei controlli interni.
In tale contesto allo stesso è attribuita la responsabilità di assicurare un’efficace gestione del sistema
dei controlli interni ed a tal fine, con la collaborazione della funzione Compliance, ha il compito di:

assicurare la definizione di adeguate politiche e procedure di gestione del rischio di
non conformità;

approvare, previa verifica da parte del Responsabile della Compliance, le
metodologie di svolgimento delle attività di competenza della funzione Compliance e delle
funzioni coinvolte nel processo;

assicurare la definizione di canali di comunicazione affinché tutto il personale
dell’organizzazione sia a conoscenza dei presidi di conformità relativi al proprio ambito
operativo;

Pagina 16 di 36
Capogruppo Bancaria

assicurare che le politiche e le procedure siano effettivamente applicate;

verificare, in caso di violazioni, che vengano adottate le opportune misure correttive;

assicurare la definizione di flussi informativi verso gli organi di vertice, al fine di
fornire agli stessi la piena consapevolezza sulle modalità di gestione del rischio;

assicurare l’identificazione e la valutazione, con periodicità almeno annuale, dei
principali rischi cui il Gruppo è esposto;

assicurare la programmazione degli interventi migliorativi sia con riferimento ad
eventuali carenze operative/organizzative sia a seguito dell’identificazione di nuovi fattori di
rischio emersi in fase di valutazione o a seguito di mutamenti del contesto regolamentare,
dell’entrata in nuovi mercati, di cambiamenti organizzativi;

riferire, con periodicità almeno annuale, al Consiglio di Amministrazione ed al
Collegio Sindacale sull’adeguatezza della gestione del rischio e revisione legale e organo di
vigilanza;

fornire tempestiva informazione agli Organi Amministrativi e di Controllo su ogni
violazione rilevante della conformità che possa comportare un alto rischio di sanzioni, perdite
finanziarie rilevanti o danni alla reputazione;

assicurare la definizione del sistema premiante (retribuzione, incentivazione,
valutazione del personale) in coerenza con gli obiettivi di rispetto delle norme.
La Funzione Compliance
La funzione Compliance si inserisce, nell’ambito del complessivo sistema di controllo interno,
come funzione di controllo sulla gestione dei rischi (secondo livello), con l’obiettivo di concorrere
alla definizione delle metodologie di identificazione e valutazione del rischio di conformità, di
individuare idonee procedure per la prevenzione dei rischi rilevati e di richiederne l’adozione.
In tale contesto, le principali responsabilità consistono in:

supportare gli Organi Amministrativi e di Controllo nella definizione delle politiche
di gestione del rischio di non conformità, elaborando, sulla base delle indicazioni ricevute, il
documento da sottoporre all’approvazione del Consiglio di Amministrazione;

predisporre, con riferimento all’intero processo di gestione del rischio, il
“Programma di Compliance”, avvalendosi del supporto delle funzioni coinvolte;

Pagina 17 di 36
Capogruppo Bancaria

contribuire alla diffusione della cultura di compliance tramite:

la definizione della normativa interna in materia di regole etiche, deontologiche
e di sicurezza ed in particolare il “Codice Etico di GBM Holding SpA” e il Modello di
Organizzazione Gestione e Controllo ex D. Lgs. 231/01;


il monitoraggio della formazione erogata su aspetti di compliance;
definire le metodologie e gli strumenti per l’identificazione e valutazione del rischio
di non conformità ed effettuare il risk assessment periodico a livello di processo, di società e,
in termini complessivi, di Gruppo;

verificare il grado di aderenza a leggi, regolamenti e standards interni,
dell’operatività posta in essere, tramite l’esecuzione diretta di analisi, anche a carattere
permanente, e/o attraverso la collaborazione con le altre funzioni di controllo;

promuovere l’adozione di misure per la corretta gestione del rischio, anche a seguito
di anomalie rilevate nell’esecuzione delle verifiche di competenza, seguendone l’effettiva
realizzazione. Tale attività è svolta tramite l’emissione di regolamenti interni specifici e/o la
richiesta di interventi migliorativi alle funzioni responsabili del processo;

fornire consulenza tramite analisi e valutazioni sulla normativa interna riguardante
l’adempimento di obblighi posti dalla normativa esterna e/o aspetti deontologici e di
sicurezza;

coordinare la propria azione con quella delle altre funzioni di controllo presenti in
GBM Holding SpA;

curare il reporting sull’andamento del rischio, relazionando in maniera continuativa il
Direttore Generale, l’Organismo di Vigilanza e gli Organi di Amministrazione e di Controllo;
ivi compreso il revisore legale;

curare il coordinamento/monitoraggio dell’azione dei referenti della compliance
delle società controllate.
Altre Direzioni/unità organizzative coinvolte nel processo
Il processo di gestione del rischio di non conformità coinvolge, in maniera più o meno rilevante,
anche altre Direzioni/unità organizzative in relazione alla realizzazione delle singole fasi operative.
Pagina 18 di 36
Capogruppo Bancaria
Internal Audit
Le principali responsabilità della funzione consistono in:

sottoporre a revisione periodica il processo di gestione del rischio di non conformità,
nell’ambito dell’attività di valutazione della funzionalità del complessivo sistema di controllo
interno;

effettuare verifiche di audit, al fine di valutare, sia a livello periferico che centrale, la
conformità alle norme interne ed esterne dell’organizzazione e del funzionamento dei processi
aziendali;

comunicare alla funzione Compliance le eventuali inefficienze nella gestione del
rischio emerse nel corso delle verifiche;

supportare i Collegi Sindacali delle società del Gruppo relativamente alle attività di
verifica periodica svolte da questi ultimi.
Responsabili delle Società Controllate
Al fine di assicurare un maggior coordinamento di Gruppo, nell’ambito di ciascuna società
controllata è individuato un responsabile della Funzione di Compliance, nominato dal Consiglio di
Amministrazione della società controllata stessa.
In tale contesto, oltre gli obblighi e le responsabilità previste dalla legge, è responsabilità di ciascun
referente:

recepire le direttive emanate dalla capogruppo per il tramite delle funzioni
competenti, divulgando le stesse al personale della società;

verificare la corretta applicazione delle direttive della capogruppo e della normativa
esterna da parte delle funzioni interessate;

assicurare la corretta organizzazione dei dispositivi/ processi di controllo di
competenza ed il loro efficace funzionamento;

curare il reporting al Responsabile della funzione Compliance della capogruppo.
Pagina 19 di 36
Capogruppo Bancaria
CAPITOLO 3
Fasi del processo
Pagina 20 di 36
Capogruppo Bancaria
.1
Il processo di gestione del rischio di non conformità
Il processo di gestione e controllo del rischio di non conformità è costituito da varie fasi che
possono essere così individuate:
 pianificazione, in cui si definiscono le azioni da porre in essere nel periodo di riferimento
e le funzioni da coinvolgere nella realizzazione delle stesse;
 identificazione e valutazione del rischio, in cui si identificano e si valutano i rischi di
non conformità presenti nelle diverse linee di business e le procedure/dispositivi di controllo
predisposti per eliminare/limitare tali rischi;
 controllo del rischio, effettuato attraverso presidi, trasversali a tutti le aree di rischio o
specifici per ogni area normativa, di carattere preventivo e/o successivo;
 miglioramento organizzativo, in cui sono definiti e monitorati gli interventi migliorativi
da realizzare;
 reporting, in cui sono definiti e prodotti i flussi informativi verso gli Organi
Amministrativi e di Controllo e l’Alta Direzione sull’andamento del rischio.
Pagina 21 di 36
Capogruppo Bancaria
3.2
Pianificazione
La funzione Compliance della GBM Holding S.p.A. ha il compito di definire annualmente il
“Programma di Compliance”, in cui sono individuate, con riferimento al complessivo processo di
gestione del rischio, le attività da porre in essere e le funzioni incaricate della loro realizzazione.
Scopo del documento è di coordinare l’azione delle varie funzioni coinvolte nella gestione e
controllo del rischio di non conformità, prevenendo la duplicazione delle attività e fornendo un
indirizzo comune sulle priorità da affrontare nel periodo di riferimento.
Le attività sono definite sulla base dei seguenti fattori:

priorità indicate dal Direttore Generale della capogruppo o dagli Organi
Amministrativi e di Controllo;

esigenze derivanti dalle risultanze di verifiche svolte dalle Autorità di Vigilanza;

variazioni intervenute nel contesto regolamentare esterno, al fine di individuare
esigenze derivanti dall’emissione/entrata in vigore di nuova normativa;

esigenze derivanti da variazioni del contesto organizzativo interno (entrata in nuove
aree di business, attivazione di nuovi canali/modalità di distribuzione, nuovi prodotti/processi,
variazioni nella composizione del Gruppo).
Le linee guida del Piano sono presentate al Direttore Generale, al Consiglio di Amministrazione ed
al Collegio Sindacale.
Le funzioni coinvolte nel processo di compliance tengono conto nella predisposizione dei propri
piani di lavoro delle indicazioni contenute nel “Programma di Compliance”.
Pagina 22 di 36
Capogruppo Bancaria
3.3 Identificazione e valutazione del rischio
Per la valutazione, a fini gestionali, del rischio di non conformità è adottato un modello che,
fornendo un quadro sullo stato del rischio a livello di processo/società/Gruppo, consente, attraverso
un approccio risk based, l’individuazione delle priorità di intervento.
Questa fase del processo è composta dalle seguenti attività:

identificazione degli eventi di rischio;

mappatura dei processi interessati dal rischio di non conformità e dei presidi di
controllo/mitigazione predisposti;

valutazione del livello di rischiosità mediante un sistema di valutazione qualitativa e
quantitativa (vedi di seguito).
La definizione dei criteri metodologici del modello, l’esecuzione della valutazione periodica ed il
reporting sul risultato di sintesi è di competenza della funzione Compliance, che si avvale della
collaborazione delle varie Direzioni/funzioni del Gruppo.
Le impostazioni ed i criteri metodologici sottostanti al modello sono portati a conoscenza del
Consiglio di Amministrazione e del Collegio Sindacale della Capogruppo e delle società
controllate.
Identificazione degli eventi di rischio
Tale attività è svolta dalla funzione Compliance, cui è assegnata la responsabilità di individuare e
monitorare gli adempimenti normativi di interesse per la predisposizione/aggiornamento del
modello.
In relazione ad ogni fonte normativa, relativa al perimetro di riferimento del rischio di non
conformità, sono censite le disposizioni specifiche aventi impatto sulle linee di business del Gruppo
e le sanzioni collegate.
Le informazioni sono aggiornate periodicamente in funzione delle modifiche intervenute nel
contesto normativo o di nuove interpretazioni delle disposizioni normative censite.
Pagina 23 di 36
Capogruppo Bancaria
I singoli requisiti normativi sono successivamente analizzati dalla funzione Compliance al fine di
verificare eventuali interazioni/sovrapposizioni fra gli adempimenti posti da normative differenti.
Il risultato di tale analisi è una mappatura degli eventi che possono generare delle non conformità,
applicabile trasversalmente sia alle fonti normative specifiche, sia ai processi di Gruppo.
Mappatura rischi/processi/controlli
La funzione Compliance prende in esame tutti i processi e le operatività delle società del Gruppo,
identificando quelli nei quali vi sia la possibilità di incorrere in rischi di non conformità alle
normative di interesse, ed in particolare le attività che hanno impatto diretto nel rapporto con i
clienti.
Nell’ambito dell’analisi sono individuati i principali rischi collegati ai processi/sub processi e le
attività di controllo predisposte per prevenire/mitigare gli stessi.
Valutazione del livello di rischiosità
Al fine di valutare il grado di esposizione al rischio, la funzione Compliance definisce un sistema di
valutazione qualitativa basato sui seguenti elementi:
 rischio inerente: rischio collegato alla specifica area di riferimento senza prendere in
considerazione le eventuali misure di mitigazione/controllo predisposte. Tale rischio viene
valutato in funzione della probabilità di accadimento e dell’impatto potenziale dello stesso.
La probabilità, in assenza di dati storici consolidati, è valutata sulla base dell’esperienza della
funzione Compliance, eventualmente integrata con le valutazioni effettuate dalle funzioni
responsabili dei processi/aree sensibili interessati. L’impatto potenziale è stimato in funzione
dell’entità delle sanzioni collegate agli adempimenti normativi e delle conseguenze in termini
reputazionali di eventuali inadempienze.
 procedure e controlli: valutazione dell’organizzazione del sistema di controllo
predisposto (regolamentazione delle attività e dei controlli, presenza ed efficacia dei
dispositivi di controllo di linea, individuazione dei punti di controllo fondamentali, ecc.) e
dell’effettivo funzionamento dello stesso.
Pagina 24 di 36
Capogruppo Bancaria
 indicatori di rischio: il processo/area sensibile è valutato anche in funzione di indicatori
quantitativi come ad esempio: reclami dei clienti; rilievi da parte delle Autorità di Vigilanza
e/o delle funzioni di controllo interno, compresa la funzione Compliance, per i quali non siano
stati adottati/completati, al momento della valutazione, gli interventi richiesti; incidenti di
rischio operativo; ecc.
Pagina 25 di 36
Capogruppo Bancaria
3.4
Il controllo del rischio
Nell’ambito del Sistema di Controllo Interno del Gruppo sono previsti presidi/processi di controllo
finalizzati alla prevenzione del verificarsi degli eventi che possono generare la non conformità alle
norme o alla mitigazione degli effetti degli stessi.
Possono essere individuati presidi di carattere generale, trasversali a tutte le aree di rischio, e presidi
di carattere specifico, individuati in funzione di adempimenti legati alle singole norme.
Monitoraggio del contesto normativo esterno, informativa ed indirizzi interpretativi su leggi e
regolamenti esterni.
Tale attività rientra nell’ambito di responsabilità della funzione Compliance e prevede:

il controllo permanente dell’evoluzione del contesto legislativo e regolamentare;

l’interpretazione degli adempimenti richiesti dalle norme esterne e la valutazione
dell’impatto sui processi del Gruppo;

la diffusione delle informazioni alle funzioni/Direzioni interessate.
L’acquisizione delle informazioni è effettuata tramite fonti ufficiali individuate, in linea generale,
in:

Gazzetta Ufficiale;

comunicazioni/circolari delle associazioni di categoria (ASSOFIN, ABI ecc.) e delle
Autorità di Vigilanza, diffuse tramite la Segreteria Societaria;

siti internet di Organi Istituzionali (Governo, Ministeri, Parlamento, Commissione
Europea, ecc.) e/o delle Autorità di Vigilanza (Banca d’Italia, Garante per la Protezione dei
Dati Personali, Autorità Garante della Concorrenza e del Mercato, ecc.);
Effettuato l’esame del contenuto normativo e valutato l’impatto sui processi di Gruppo, la
diffusione delle informazioni relative è effettuata attraverso riunioni con le Direzioni/funzioni
interessate per le ulteriori valutazioni del caso, la diffusione di analisi specifiche o tramite la diretta
predisposizione di regolamenti interni.
Pagina 26 di 36
Capogruppo Bancaria
Sistema regolamentare interno
La diffusione a tutti i livelli organizzativi di una cultura di attenzione costante al rispetto delle
regole, interne ed esterne, è condizione essenziale per la creazione di un adeguato “ambiente di
controllo” e, in definitiva, per l’efficace funzionamento dei dispositivi di controllo predisposti.
Tale obiettivo è perseguito, tra l’altro, attraverso la definizione di regolamentazione interna per
l’adeguata
implementazione
della
normativa
esterna,
di
codici
di
condotta
e
di
autoregolamentazione e di linee guida pratiche, finalizzata da un lato a fornire a tutto il personale
un’adeguata informazione sulla normativa di riferimento e sui principi di carattere etico e di
sicurezza adottati dal Gruppo e, dall’altro, a guidare l’operatività ed i comportamenti del personale
stesso nello svolgimento delle attività di competenza.
In tale ambito, è responsabilità della funzione Compliance assistere il CdA nell’approvazione della
normativa interna primaria, in particolare:

“Codice Etico di GBM Holding SpA”, che individua i valori essenziali, gli standard
di riferimento e le norme di condotta, fissando i principi generali cui devono essere orientati i
comportamenti di coloro che operano nell’ambito e/o in nome e per conto del Gruppo;

“Modello di Organizzazione e Gestione ex D.Lgs. 231/01”, che descrive il sistema
di controllo predisposto per prevenire il rischio di commissione dei reati contemplati dal
D.Lgs. 231/01.
E’ compito delle varie Direzioni/funzioni aziendali, secondo il rispettivo ambito di competenza,
definire regolamentazioni di dettaglio che tengano conto ed implementino i principi di carattere
generale enunciati dalla normativa primaria e dalla normativa esterna.
Il sistema di gestione dei documenti è coordinato dalla funzione Compliance, che definisce le regole
relative alla redazione, approvazione e diffusione degli stessi, curando, inoltre, con la
collaborazione delle Direzioni interessate, l’aggiornamento degli elenchi dei documenti in vigore.
I documenti di normativa primaria sono pubblicati sul sito intranet del Gruppo.
Pagina 27 di 36
Capogruppo Bancaria
Gli altri documenti possono essere pubblicati sul sito intranet, qualora riguardino aspetti di interesse
generale, oppure possono avere una diffusione controllata e limitata esclusivamente ad alcune
funzioni.
Formazione del personale
Formazione e comunicazione interna
Nella definizione delle modalità di comunicazione interna e formazione, GBM Holding SpA ha
l’obiettivo di fornire al personale le informazioni e le competenze necessarie a svolgere le mansioni
assegnate ed a consentire lo svolgimento delle stesse nel rispetto dell’insieme delle regole interne ed
esterne vigenti.
In modo particolare, i principi guida per la definizione del programma formativo e di
comunicazione in materia di aspetti di compliance sono i seguenti:

pervasività: è previsto il coinvolgimento di tutto il personale della società;

documentabilità: al termine delle sessioni formative, deve essere dimostrabile
l’avvenuta fruizione della formazione e l’assimilazione dei concetti proposti (ad esempio
attraverso l’esecuzione di test di verifica delle conoscenze acquisite);

responsabilizzazione: al termine della formazione, il personale è formato e
responsabilizzato sulla necessità di tenere comportamenti conformi a quanto previsto dalle
norme esterne ed interne.
La funzione Compliance individua le esigenze di formazione del personale derivanti dalla
normativa vigente, definendone contenuti e modalità di attuazione. Gli interventi sono differenziati
in ragione del ruolo, delle responsabilità dei destinatari e della circostanza che i medesimi operino
in aree sensibili al rischio di non conformità, in un’ottica di personalizzazione dei percorsi e di reale
rispondenza ai bisogni delle singole strutture/risorse.
I soggetti destinatari della formazione sono tutti coloro che operano nell’ambito di GBM Holding
SpA, indipendentemente dal tipo di contratto di lavoro.
Sistema premiante e disciplinare
Pagina 28 di 36
Capogruppo Bancaria
La funzione Compliance ha la responsabilità di definire, sulla base delle politiche aziendali, il
sistema premiante (valutazione, retribuzione e incentivazione del personale) in coerenza con gli
obiettivi di rispetto delle norme, dello Statuto e dei principi etici di Gruppo. Tale sistema viene poi
sottoposto al Consiglio di Amministrazione per l’approvazione.
La funzione Compliance ha, inoltre, il compito di segnalare all’Organismo di Vigilanza di GBM
Holding SpA i comportamenti non in linea con la normativa esterna e con le regole etiche,
deontologiche e di sicurezza di Gruppo, per l’adozione delle opportune misure disciplinari, secondo
le modalità previste dai circuiti operativi interni e nel rispetto della normativa in materia di rapporto
di lavoro.
Consulenza
L’attività di consulenza nei confronti degli Organi/funzioni aziendali nelle materie in cui assume
rilievo il rischio di non conformità è svolta dalla funzione Compliance di GBM Holding SpA.
Fermo restando il dovere di ciascun Dirigente/Responsabile di funzione di essere a conoscenza
delle regole interne ed esterne in vigore e di assicurare l’applicazione delle stesse nel proprio
ambito di competenza, ogni accordo commerciale, contratto o comunicazione che vincoli o esponga
GBM Holding SpA e le società del Gruppo nei riguardi di soggetti esterni, qualora non faccia
riferimento a standard precedentemente approvati/predisposti, deve essere sottoposto ad una
valutazione preventiva da parte di quest’ultima.
Le richieste di parere/consulenza inoltrate alla funzione Compliance devono essere trasmesse in
forma scritta ed inviate con un congruo anticipo, in relazione anche alla complessità dell’argomento
trattato.
La richiesta deve pervenire da un Responsabile di funzione e deve essere validata (ad esempio,
mediante trasmissione dell’e-mail per conoscenza) dal Direttore della Direzione/società del Gruppo
proponente, oppure da un Responsabile che risponda direttamente a questi.
Il parere/consulenza è espresso in forma scritta. La funzione Compliance mantiene un archivio, per
argomenti, delle richieste e dei pareri/consulenze rilasciati.
Pagina 29 di 36
Capogruppo Bancaria
Rapporti con i regulators
La tenuta dei rapporti con le Autorità di Vigilanza, sia in fase di richiesta di chiarimenti che in fase
di verifiche ispettive, è curata/coordinata dalla funzione Istitutional Investor Relation che si può
avvalere delle altre Direzioni/funzioni anche in outsourcing eventualmente interessate.
Sono definiti circuiti specifici per:

il trattamento ed il monitoraggio degli esposti dei clienti alle Autorità di Vigilanza ed
alle Autorità Garanti (Trattamento dei Dati Personali, Concorrenza e Mercato, ecc.) e il
trattamento di eventuali richieste di chiarimenti in caso di procedimenti attivati presso le
Autorità a seguito di ricorsi presentati dai clienti;

il seguito delle verifiche ispettive condotte dalle suddette Autorità, con lo scopo di:

supportare, coordinando le funzioni interessate, l’attività di verifica sulla base
delle esigenze evidenziate dall’Organo/Autorità di Vigilanza;

dare una tempestiva informativa all’Alta Direzione;

fornire un adeguato seguito agli eventuali rilievi evidenziati interessando le
Direzioni competenti.
Verifiche e testing
La funzione Compliance, come funzione di controllo di secondo livello, ha il compito di verificare i
comportamenti aziendali e il grado di aderenza alle normative esterne ed interne attraverso:

l’esecuzione diretta di analisi/controlli;

la collaborazione con altre funzioni di controllo interno mediante:

l’elaborazione di check list su aspetti di compliance, da utilizzare nell’ambito
delle verifiche svolte da quest’ultime;

l’utilizzo delle risultanze delle verifiche effettuate da tali funzioni.
L’attività di verifica diretta è articolata in controlli permanenti e verifiche specifiche.
I controlli permanenti consistono in attività svolte sistematicamente, con una periodicità definita,
sull’applicazione delle previsioni della norme esterne (ad esempio controlli sugli adempimenti
previsti dal Modello di Organizzazione e Gestione ex D.Lgs. 231/01, controlli sulle operazioni
sospette e per il contrasto finanziario al terrorismo) e possono essere svolti anche attraverso
Pagina 30 di 36
Capogruppo Bancaria
l’utilizzo di “schede di autovalutazione”, compilate dalle funzioni responsabili dei controlli di linea.
Per le verifiche specifiche la determinazione delle priorità di intervento è effettuata sulla base di:

risultanze del risk assessment;

valutazione delle evoluzioni del contesto interno ed esterno;

esigenze evidenziate dall’Alta Direzione e/o dagli Organi di controllo.
Le analisi possono essere condotte mediante verifiche documentali e colloqui con il personale delle
funzioni interessate.
Le risultanze di tutte le attività sono riportate in una relazione, in cui la funzione Compliance
propone anche gli eventuali miglioramenti da apportare all’operatività al fine di mitigare i rischi
residui individuati e le funzioni responsabili della realizzazione degli stessi.
La relazione di analisi è diffusa, generalmente, alle Direzioni/funzioni interessate e al Direttore
Generale.
L’attività di verifica e testing può essere svolta anche in collaborazione con altre funzioni di
controllo ed in particolare con l’Internal Audit.
I responsabili dell’Internal Audit o delle altre funzioni coinvolte comunicano alla funzione
Compliance eventuali anomalie legate al rischio di non conformità riscontrate nell’esecuzione delle
attività di loro competenza, anche mediante la trasmissione per conoscenza dei rapporti sulle
verifiche effettuate.
Trattamento e monitoraggio dei reclami dei clienti
L’attività di trattamento e monitoraggio dei reclami2 dei clienti sono curate dalla funzione
Compliance.
Nell’ambito della complessiva gestione sono trattati anche i reclami riferiti ad aspetti etici/di
compliance, riguardanti, in particolare:
22
La definizione di reclamo adottata, in conformità alle indicazioni dell’Associazione Bancaria Italiana, è:
“qualunque questione, rappresentata in forma scritta, derivante da rapporti intrattenuti con la banca avente ad
oggetto rilievi circa il modo con cui la banca abbia gestito operazioni o servizi, purché posti in essere nei due
anni precedenti il giorno della presentazione del reclamo.”
Pagina 31 di 36
Capogruppo Bancaria

trasparenza dei servizi bancari e finanziari (contestazioni inerenti la presunta
insufficienza delle informazioni ricevute dai clienti);

trattamento dei dati personali (segnalazioni effettuate presso i SIC e/o presso le
Centrali di Rischi pubbliche; trattamento dei dati a fini promozionali, pubblicitari, di
marketing);

commercializzazione a distanza di prodotti/servizi (contestazioni inerenti il mancato
rispetto delle regole di comportamento previste dalla normativa esterna e dalle regole
etico/deontologiche interne);

rapporti con il personale (contestazioni inerenti contatti di natura commerciale o
finalizzati al recupero amichevole del credito che per modalità o contenuti non rispondono
agli standard qualitativi attesi dalla clientela);

aspetti organizzativi (contestazioni inerenti problematiche di contatto con le società
del Gruppo o, in linea generale, anomalie in fase di dopo vendita).
I reclami pervenuti sono oggetto di monitoraggio continuativo da parte dell’unità organizzativa
preposta, che produce periodicamente un report sull’andamento degli stessi. Il report è diffuso
all’Alta Direzione e alle funzioni maggiormente coinvolte.
Eventuali aree di intervento migliorativo, di carattere organizzativo o legate ai prodotti e servizi
offerti, rilevate a seguito di eventuali ricorrenze nei motivi di insoddisfazione lamentati dai clienti,
sono segnalate alle funzioni competenti a cura del Responsabile dell’unità organizzativa.
Pagina 32 di 36
Capogruppo Bancaria
3.5
Miglioramento dell’organizzazione
L’attività di miglioramento dell’organizzazione, con riferimento alla gestione del rischio di non
conformità, viene svolta tramite:

l’adozione di misure correttive a fronte delle anomalie rilevate nel corso del testing e
del risk assessment;

l’emissione di regolamenti specifici da parte della funzione Compliance.
Con riferimento al primo punto, è responsabilità delle funzioni di controllo interno, compresa la
funzione Compliance, monitorare la realizzazione degli interventi migliorativi richiesti a seguito
delle attività di verifica/assessment effettuate.
I Responsabili delle Direzioni/funzioni destinatarie di interventi migliorativi predispongono un
Piano d’Azione con cui si assumono l’impegno formale di realizzare gli stessi o, diversamente, la
responsabilità di non dare seguito a quanto richiesto, specificandone la motivazione.
Il Piano d’Azione, con indicazione degli interventi previsti e dei tempi di realizzazione, deve essere
comunicato, a cura del Responsabile della funzione destinataria, in forma scritta (anche mediante
posta elettronica), o comunque da questi validato (ad esempio e-mail per conoscenza).
I tempi di attuazione indicati nel Piano d’Azione possono variare a seconda della complessità degli
interventi richiesti, e saranno oggetto di valutazione da parte delle funzioni che hanno condotto la
verifica, interessando, se ritenuto opportuno, la funzione Compliance.
Le modalità di seguito dei Piani di Azione sono specificate nella regolamentazione interna delle
funzioni di controllo.
La mancata attuazione di un intervento può comportare, secondo il livello di rischio determinato
dall’analisi, la possibilità di sanzioni/danni reputazionali. Per questo motivo il Responsabile della
funzione che ha condotto la verifica ne discute con il Responsabile della funzione destinataria o con
i suoi superiori gerarchici. In mancanza di intesa, ne viene data informazione alla funzione
Compliance e al Direttore Generale della capogruppo per l’assunzione delle decisioni del caso.
Pagina 33 di 36
Capogruppo Bancaria
Con riferimento al secondo punto (emissione di regolamenti specifici), la funzione Compliance può
procedere, in funzione delle risultanze delle verifiche svolte e/o sulla base delle indicazioni ricevute
dal Direttore Generale, alla predisposizione/emissione di specifici documenti normativi interni,
anche per il tramite delle funzioni coinvolte nel processo di gestione del rischio di non conformità.
Pagina 34 di 36
Capogruppo Bancaria
3.6
Revisione interna del processo
L’attività di revisione interna del processo di gestione del rischio di non conformità è svolta dalla
funzione Internal Audit, e in caso di omissione o di dissenso dall’organismo di vigilanza e revisore
legale sulla base delle priorità di intervento stabilite.
Al fine di assicurare l’indipendenza della funzione, collocata in staff al Consiglio di
Amministrazione, rispetto a quelle coinvolte nel processo, sono previste:

una linea diretta di reporting al Consiglio d’Amministrazione, al Collegio Sindacale
e al Direttore Generale;

la possibilità di estendere la propria azione di verifica a tutte le Direzioni/funzioni e
processi del Gruppo, comprese le funzioni facenti parte della Direzione di appartenenza.
L’attività di revisione interna può prevedere sia l’audit sul complessivo processo di gestione del
rischio di non conformità, sia la verifica della corretta applicazione nei singoli processi/unità
organizzative di Gruppo della normativa esterna ed interna.
In presenza di anomalie sono emesse raccomandazioni alle Direzioni/funzioni competenti, cui
spetta la realizzazione dei Piani di Azione. L’Internal Audit cura il seguito della realizzazione dei
Piani di Azione definiti.
Il responsabile dell’ Internal Audit informa tempestivamente il Responsabile della funzione
Compliane e dell’organo di vigilanza e al revisore legale o Società sulle eventuali anomalie rilevate
nella gestione del rischio, evidenziate nel corso delle verifiche di propria competenza.
Pagina 35 di 36
Capogruppo Bancaria
3.7
Reporting
Il Responsabile della funzione Compliance e con la collaborazione di tutte le funzioni coinvolte nel
processo, predispone un report annuale in cui sono indicate le attività svolte nell’ambito del
processo di gestione del rischio ed i principali eventi e dati relativi ad aspetti collegati al rischio di
non conformità (mutamenti intervenuti nel contesto normativo-regolamentare, attività di controllo
svolte, consulenze fornite, formazione erogata, andamento dei reclami dei clienti, rapporti con le
Autorità di Vigilanza, ecc.).
Il report è distribuito al Direttore Generale di GBM Holding SpA al Collegio Sindacale e al
Consiglio di Amministrazione.
Sulla base del report prodotto dalla funzione Compliance, unitamente alle informazioni fornite
dall’Internal Audit, il Direttore Generale relaziona il Consiglio di Amministrazione sull’andamento
del rischio di non conformità.
La funzione Compliance definisce i criteri di reporting ed i flussi informativi fra le unità
organizzative coinvolte nel processo.
Pagina 36 di 36

Regolamento di Compliance - Gruppo Bancario Mediterraneo

Transcript

Documenti analoghi

dichiarazione di conformita` ce ec declaration of

Laura Piatti

Stampa X0089R09 DS MiniCLIP.svg

S9 Escape - Sapio Life

Opentech - Solution Cart

Legal Inventory

“Rigore, Equità e Crescita sono i tre principi

La "compliance" e il rischio bene

Comunicato congiunto della Francia, della Germania, dell`Italia, del