7. il sistema dei controlli interni
Transcript
7. il sistema dei controlli interni
7. IL SISTEMA DEI CONTROLLI INTERNI 7.1 Premessa 97 relazione degli relazione deglisulla amministratori amministratori Il Consiglio di amministrazione della Capogruppo ha definito i principi del processo di sviluppo del gestione del gruppo sistema di controllo interno del Gruppo BPER (c.d. “Sistema dei controlli interni di Gruppo”), mediante l’emanazione e l’adozione delle “Linee Guida del Sistema dei controlli interni di Gruppo” 15. Tale sistema è da intendersi come l’insieme delle attività aziendali organizzato per: • migliorare la redditività del Gruppo; • proteggere la solidità patrimoniale; • assicurare la conformità alla normativa esterna, interna e ai codici di condotta; • promuovere la trasparenza verso il mercato attraverso il presidio dei rischi assunti dal Gruppo. Il Sistema dei controlli interni di Gruppo si pone l’obiettivo di assicurare che l’attività aziendale sia in linea con le strategie e con la dichiarazione di propensione al rischio di Gruppo. Tale sistema è composto da regole (linee guida, politiche, regolamenti, procedure e modelli), procedure informatiche e strutture organizzative (“impianto del Sistema dei controlli interni”) finalizzate a garantire che i “comportamenti” siano allineati con gli standard prefissati (“funzionamento del Sistema dei controlli interni”). L’impianto del Sistema dei controlli interni è valutato verificando che le scelte in materia di regole, procedure informatiche e strutture organizzative siano coerenti con le prescrizioni normative e regolamentari e/o con gli standard di mercato di riferimento per gli obiettivi definiti e l’operatività posta in essere. Il corretto funzionamento del Sistema dei controlli interni è verificato sull’effettiva applicazione delle suddette regole comportamentali, procedure informatiche e strutture organizzative tramite accertamenti sui risultati dei comportamenti e delle operazioni processate dai sistemi (“verifiche di funzionamento”). La valutazione complessiva del Sistema dei controlli interni di Gruppo si fonda quindi sulla “valutazione d’impianto” e sulla “verifica di funzionamento”. Il Sistema dei controlli interni è progettato, attuato e valutato avendo come riferimento la “Mappa dei Rischi”, che identifica i rischi, presenti e potenziali, a cui il Gruppo è o potrebbe essere esposto. A tal riguardo, il Gruppo ha definito, attraverso l’emanazione e l’adozione di apposita normativa aziendale (“Linee Guida - Modello di governo dei rischi di Gruppo”), un modello di governo dei rischi, inteso come l’insieme di dispositivi di governo societario e di meccanismi di gestione e controllo finalizzati a fronteggiare i rischi a cui risulta esposto il Gruppo. 7.2 Processo di gestione del Sistema dei controlli interni Il Sistema dei controlli interni viene gestito attraverso un processo ciclico, articolato nelle seguenti fasi: • progettazione del Sistema; • attuazione del Sistema; 15 L’ultimo aggiornamento risale a marzo 2013 e non tiene conseguentemente conto degli aggiornamenti intervenuti alla normativa di riferimento, emanati dalla Banca d’Italia il 2 luglio 2013 (Agg. n.15 alla Circ. n. 263 “Nuove disposizioni di vigilanza prudenziale per le banche”, con specifico riferimento al Titolo V capitoli 7, 8 e 9). sulla gestione del gruppo • • valutazione del Sistema; comunicazione verso l’esterno. 98 relazionedegli degli relazione amministratori sulla amministratori gestione del gruppo sulla gestione del gruppo Progettazione del Sistema Il Consiglio di amministrazione della Capogruppo definisce: • il Sistema dei controlli interni di Capogruppo e di Gruppo; • le policy di governo dei rischi per le Società del Gruppo, in modo che i rischi risultino correttamente governati e sia assicurato l'effettivo controllo sulle scelte strategiche del Gruppo nel suo complesso e l'equilibrio gestionale delle singole componenti; • gli standard di impianto per l’esecuzione delle attività. Più in dettaglio il Consiglio di amministrazione, con l’assistenza del Comitato Controlli e Rischi 16 e su proposta dell’Amministratore Delegato della Capogruppo, con riferimento al Gruppo nel suo complesso ed alle sue componenti, definisce: • le modalità di determinazione ed il livello di propensione al rischio; • il modello di business, avendo consapevolezza dei rischi cui tale modello espone la Società e comprensione delle modalità attraverso le quali i rischi sono rilevati e valutati; in tale ambito approva l’adozione di sistemi interni di misurazione dei rischi per la determinazione dei requisiti patrimoniali; • il processo ICAAP, individuando i ruoli e le responsabilità assegnate alle funzioni e alle strutture aziendali; • le policy di governo dei rischi; • le funzioni aziendali e societarie di controllo, specificando i relativi compiti e responsabilità all’interno del Gruppo, le modalità di coordinamento e collaborazione e i flussi informativi tra tali funzioni e tra queste e gli Organi Aziendali; • gli ulteriori flussi informativi interni volti ad assicurare agli Organi Aziendali e alle funzioni aziendali di controllo la piena conoscenza e governabilità dei fattori di rischio; • procedure formalizzate di coordinamento e collegamento fra le Banche e Società del Gruppo e la Capogruppo BPER per tutte le aree di attività; • il processo per l’approvazione di nuovi prodotti e servizi, l’avvio di nuove attività, l’inserimento in nuovi mercati (c.d. Product Approval); • il processo per lo sviluppo e la convalida dei sistemi interni di misurazione dei rischi. Il Consiglio di amministrazione di ciascuna Società del Gruppo: • definisce le eventuali integrazioni da apportare all’impianto del Sistema dei controlli interni delle rispettive realtà, coerentemente con le procedure di coordinamento e collegamento definite dalla Capogruppo; • recepisce ed approva la propensione al rischio della propria Società, coerente con il livello di rischio di Gruppo. Attuazione del Sistema Il Consiglio di amministrazione conferisce delega all’Amministratore Delegato poteri e mezzi adeguati, affinché dia attuazione al Sistema dei controlli interni in coerenza con le scelte assunte in 16 In data 4 giugno 2013 il Consiglio di amministrazione della Capogruppo ha approvato la nuova denominazione del Comitato per il Controllo Interno in “Comitato Controllo e Rischi” e il suo nuovo regolamento, che si è reso necessario in particolare per eliminare alcuni compiti ora assorbiti dal Comitato degli Amministratori Indipendenti e per recepire gli aggiornamenti intervenuti nel Codice di Autodisciplina delle Società quotate a cui BPER si ispira pur non avendovi al momento aderito formalmente. progettazione. A tale scopo l’Amministratore Delegato con riferimento al Gruppo nel suo complesso ed alle sue componenti: 99 • garantisce che le responsabilità ed i compiti delle strutture e delle funzioni aziendali coinvolte nei processi di assunzione e di gestione dei rischi, siano chiaramente attribuiti e siarelazione relazione degli degli amministratori no prevenuti potenziali conflitti d’interessi; amministratorisulla gestione del gruppo sulla gestione • si assicura, che le attività svolte dalle funzioni e dalle strutture coinvolte nel Sistema dei del gruppo controlli interni siano effettuate da personale qualificato, con adeguato grado di autonomia di giudizio e in possesso di esperienze e conoscenze coerenti con i compiti da svolgere; • pone in essere le iniziative e gli interventi necessari per garantire nel continuo la complessiva affidabilità del Sistema dei controlli interni; • attua i necessari interventi correttivi o di adeguamento nel caso emergano carenze o anomalie, o a seguito dell’introduzione di nuovi prodotti, attività, servizi o processi rilevanti; • dà attuazione al processo ICAAP, assicurando che lo stesso sia sviluppato nel rispetto degli indirizzi strategici; • impartisce le disposizioni necessarie affinché i sistemi interni di misurazione dei rischi siano realizzati secondo le linee strategiche individuate e siano integrati nei processi decisionali e nella gestione dell’operatività aziendale; • progetta ed attua sul Gruppo programmi di formazione per sensibilizzare i dipendenti in merito alle responsabilità in materia di rischi in modo da non confinare il processo di gestione del rischio agli specialisti o alle funzioni di controllo. Più in dettaglio, nella prospettiva di Gruppo, l’Amministratore Delegato impartisce le disposizioni finalizzate a definire e rendere operativi: • meccanismi di integrazione dei sistemi informativi e dei processi di gestione dei dati, anche al fine di garantire l'affidabilità delle rilevazioni su base consolidata; • flussi informativi periodici che consentano l’effettivo esercizio delle varie forme di controllo su tutte le componenti del Gruppo; • procedure che garantiscano, a livello accentrato, un efficace processo unitario di gestione dei rischi del Gruppo, prevedendo un’anagrafe unica, o più anagrafi che siano facilmente raccordabili, presso le diverse Società del Gruppo; • sistemi per monitorare i flussi finanziari, le relazioni di credito e le altre relazioni fra i soggetti componenti il Gruppo; • controlli sul raggiungimento degli obiettivi di sicurezza informatica e di continuità operativa definiti per l’intero Gruppo e le singole componenti. Il Consiglio di amministrazione di ciascuna Società del Gruppo dà mandato alle opportune funzioni aziendali per l’attuazione delle scelte assunte in fase di progettazione dalla Capogruppo nell’ambito della propria realtà aziendale. Valutazione del Sistema Il Consiglio di amministrazione nell’ambito della propria funzione di supervisione strategica: • riceve dalle funzioni di controllo e dalle altre funzioni aziendali i flussi informativi previsti per una piena conoscenza e governabilità dei fattori di rischio; • 100 valuta periodicamente, con l’assistenza del Comitato Controlli e Rischi 17, l’adeguatezza e la conformità del Sistema dei controlli interni di Gruppo, identificando possibili miglioramenti e definendo il correlato piano di interventi. relazione degli amministratori sulla Inoltre, con riguardo ai sistemi interni di misurazione dei rischi per la determinazione dei requisiti gestione del gruppo patrimoniali, il Consiglio di amministrazione: • verifica periodicamente che le scelte di modello effettuate mantengano nel tempo la loro validità, approvando i cambiamenti sostanziali al sistema e provvedendo alla complessiva supervisione sul corretto funzionamento dello stesso; • vigila, con il supporto delle competenti funzioni, sull’effettivo utilizzo dei sistemi interni a fini gestionali e sulla loro rispondenza ai requisiti previsti dalla normativa; • esamina, almeno annualmente, le risultanze dell’attività di convalida e assume, con il parere del Collegio sindacale, formale delibera con la quale attesta il rispetto dei requisiti previsti per l’utilizzo dei sistemi interni di misurazione. Il Consiglio di amministrazione di ciascuna Società del Gruppo, Capogruppo compresa, valuta periodicamente il Sistema dei controlli interni aziendale. La funzione responsabile di supportare la valutazione della funzionalità del complessivo Sistema dei controlli interni è la Revisione Interna. Il Collegio sindacale della Capogruppo e quelli delle Società del Gruppo, ciascuno per le proprie competenze svolgono le attività di valutazione sul Sistema dei controlli interni previste dalla normativa e dallo statuto. Gli esiti delle valutazioni sono portati all’attenzione dei rispettivi Consigli di amministrazione. Il Consiglio di amministrazione riceve, direttamente o per il tramite dell’Amministratore Delegato, i flussi informativi funzionali ad acquisire la piena conoscenza e governabilità dei fattori di rischio e per programmare e dare attuazione agli interventi finalizzati ad assicurare la conformità e l’adeguatezza del Sistema dei controlli interni. Comunicazione verso l’esterno Il Consiglio di amministrazione di ciascuna Società del Gruppo, ed in particolare quello della Capogruppo per quanto riguarda il Sistema dei controlli interni di Gruppo, assicura che sia data informativa in materia di Sistema dei controlli interni e di rischi in tutti casi previsti dalla normativa, garantendo la correttezza e completezza delle informazioni fornite. In tale ambito assume rilevanza l’informativa al pubblico prevista dal “III Pilastro” per la quale il Consiglio di amministrazione della Capogruppo stabilisce responsabilità e compiti di controllo degli Organi Aziendali e delle diverse funzioni coinvolte nelle varie fasi in cui si articola il processo di governo di tale informativa. 7.3 Ruoli e compiti di controllo in funzioni della Capogruppo e del Gruppo Nell’ambito del Sistema dei Controlli interni del Gruppo si individuano i seguenti ruoli di controllo, inquadrati nei livelli previsti dalle Istruzioni di Vigilanza per le Banche (Titolo IV, Capitolo 11, Sezione II): • controlli di terzo livello: volti ad individuare andamenti anomali, violazioni delle procedure e della regolamentazione, nonché a valutare la funzionalità del complessivo Sistema dei controlli interni. Essi sono condotti nel continuo, in via periodica o per eccezioni, da strutture diverse e indipendenti da quelle produttive, anche attraverso verifiche in loco 17 Vedi nota precedente • • (come disposto dalle Istruzioni di Vigilanza Tit. IV, Cap. 11 Sez. II). Tale attività è affidata alla Direzione Revisione Interna di Gruppo. 101 controlli di secondo livello (“controlli sui rischi e sulla conformità”): la macro funzione che raggruppa in una visione unitaria le funzioni di controllo di secondo livello, è relazione degli relazione degli sulla assegnata alla Direzione Rischi di Gruppo. I controlli di secondo livello hanno l’obiettivo amministratori amministratori gestione del gruppo sulla gestione di: del gruppo o verificare nel continuo che le procedure aziendali siano coerenti con l’obiettivo di prevenzione e contrasto della violazione delle norme in materia di riciclaggio e finanziamento del terrorismo. Tale attività è affidata al Servizio Antiriciclaggio di Gruppo; o concorrere alla definizione delle metodologie di misurazione/valutazione del rischio di non conformità ed individuare idonee procedure per la prevenzione dei rischi rilevati e richiederne l’adozione. Tale attività è affidata al Servizio Compliance di Gruppo; o monitorare sistematicamente l’andamento delle singole posizioni creditizie, con lo scopo di verificare la regolarità e l’efficacia degli interventi adottati dalle funzioni incaricate della gestione e la correttezza della rappresentazione contabile delle stesse. Tale attività è affidata al Servizio Controllo Crediti di Gruppo; o concorrere alla definizione delle metodologie di misurazione del rischio, verificare il rispetto dei limiti assegnati alle varie funzioni operative e controllare la coerenza dell’operatività delle singole aree produttive con gli obiettivi di rischio rendimento assegnati. Tale attività è affidata al Servizio Risk Management di Gruppo; o effettuare la validazione qualitativa e quantitativa dei sistemi interni di misurazione dei rischi adottati dalla Capogruppo. Tali attività è affidata all’Ufficio Convalida, in staff alla Direzione Rischi di Gruppo. controlli di linea (primo livello): diretti ad assicurare il corretto svolgimento delle operazioni; essi sono effettuati dalle stesse strutture produttive (ad esempio i controlli di tipo gerarchico) o incorporati nelle procedure e nei sistemi informatici, ovvero eseguiti nell’ambito dell’attività di back office. 7.4 Revisione Interna La Direzione Revisione Interna di Gruppo ha la missione di controllare, anche con verifiche in loco, la regolarità dell’operatività e l’andamento dei rischi, valutare la funzionalità del complessivo Sistema dei controlli interni e portare all’attenzione del Consiglio di amministrazione i possibili miglioramenti alle politiche di gestione dei rischi, agli strumenti di misurazione e alle procedure. Verifica pertanto il regolare andamento ed operatività dei processi, al fine di garantire l'efficacia e l’efficienza delle attività aziendali, la salvaguardia del valore della Capogruppo, l’affidabilità e l’integrità delle informazioni contabili e gestionali, la conformità delle operazioni alle politiche stabilite dagli Organi di Governo e alle normative interne ed esterne nonché l’adeguatezza del Sistema dei controlli interni di Gruppo. La Direzione Revisione Interna di Gruppo assiste gli Organi Aziendali e le Unità Organizzative del Gruppo nel perseguimento degli obiettivi in materia di controllo interno. In tale ambito può accettare incarichi di consulenza su tematiche di particolare rilevanza, nei limiti della propria programmazione annuale. Inoltre, supporta gli Organi Aziendali delle Società del Gruppo nella diffusione all’interno del contesto aziendale di una solida cultura dei controlli, anche attraverso attività/interventi mirati (ad esempio, illustrazione metodologie adottate, eventi di formazione, etc.). Nel corso dell’esercizio 2013, contestualmente alla programmata fusione di tre Banche controllate (Cassa di Risparmio della Provincia dell’Aquila s.p.a., Banca Popolare di Lanciano e Sulmona 102 s.p.a. e Banca Popolare di Aprilia s.p.a.) come da Piano industriale 2012 – 2014 ed all’accentramento in Capogruppo delle funzioni Ispettorato delle Banche italiane del Gruppo, volto relazione degli amministratori sulla al rafforzamento del modello di controllo vigente, è stata realizzata la ristrutturazione organizzagestione del gruppo ta della Direzione, che prevede un’impostazione “trasversale” delle attività di revisione interna, orientata cioè a processi e rischi. Il Sistema dei controlli interni del Gruppo prevede in linea generale l’esternalizzazione alla Capogruppo delle Funzioni di Controllo di secondo e terzo livello delle Società del Gruppo di diritto italiano. In particolare, per ciò che attiene le Banche di diritto italiano, l’accentramento mediante esternalizzazione nella Capogruppo è operativo da maggio 2013 con l’eccezione di: • Sub Holding Banco di Sardegna s.p.a.; • Cassa di Risparmio di Bra s.p.a.; che si adegueranno al modello organizzativo di controllo sulla base delle tempistiche stabilite dalla Capogruppo. La rinnovata configurazione organizzativa della Direzione è costituita da n. 2 uffici in staff al responsabile, n. 2 servizi (Internal Audit e Ispettorato di Gruppo) e relative strutture organizzative sottostanti. 7.5 Direzione rischi di Gruppo La Direzione Rischi di Gruppo, il cui responsabile è il Chief Risk Officer (CRO), raggruppa in una visione unitaria le funzioni di controllo di secondo livello ed assolve le seguenti missioni: • la valutazione dell’adeguatezza patrimoniale attuale e prospettica del Gruppo; • lo sviluppo e l’applicazione degli strumenti di identificazione e misurazione del rischio; • l’attuazione dei processi di gestione dei rischi rilevanti (compreso il processo di gestione del rischio di non conformità alle norme); • la prevenzione ed il contrasto del compimento presso la Capogruppo e le Società del Gruppo di operazioni di riciclaggio e di finanziamento del terrorismo; • il controllo della regolarità dei processi di monitoraggio e gestione del credito con anomalie; • la validazione quantitativa e qualitativa dei modelli interni di misurazione dei rischi per assicurarne la conformità e l’adeguatezza. Nell’ambito della Direzione Rischi di Gruppo, il CRO assolve direttamente la seguente missione: • garantire una visione olistica e integrata dei rischi cui il Gruppo e le Società che lo compongono sono esposte e assicurarne un’adeguata informativa agli Organi di Governo; • migliorare l’integrazione organizzativa delle funzioni di controllo sottoposte e renderne più organica ed incisiva l’azione. 7.5.1 Antiriciclaggio Il Servizio Antiriciclaggio di Gruppo ha la missione di: • prevenire e contrastare il compimento presso la Capogruppo e le Società del Gruppo di operazioni di riciclaggio e di finanziamento del terrorismo (presidio antiriciclaggio); • assicurare che le procedure informatiche e organizzative predisposte dalle Società del Gruppo siano coerenti con l’obiettivo di prevenire e contrastare la violazione di norme di etero regolamentazione (leggi e norme regolamentari) e di autoregolamentazione in materia di riciclaggio (funzione antiriciclaggio). In coerenza con il ruolo di Delegato di Gruppo assegnato al Responsabile della funzione, il Servizio inoltre: • svolge un’attività di analisi, istruttoria e invio delle segnalazioni di operazioni sospette ai sensi dell’art. 41 del D.Lgs. n. 231/07, provenienti dalla rete e dagli uffici centrali e di quelle prodotte d’ufficio a seguito di controlli a distanza/ispettivi o delle attività di monitoraggio delle richieste delle autorità e delle notizie stampa; • esegue specifici controlli sulla corretta alimentazione dell’Archivio Unico Informatico (A.U.I.) al fine di ottemperare agli obblighi di corretta tenuta dell’A.U.I. ai sensi di quanto disposto dagli artt. 36 e ss. del D.Lgs. n. 231/07, nonché di consentire l’eventuale individuazione di operatività potenzialmente sospette di riciclaggio; • invia al Ministero dell’Economia e delle Finanze delle comunicazioni di violazioni delle norme relative all’uso di contante e titoli al portatore e riscontro alle richieste delle autorità relative alle segnalazioni di operazioni sospette inoltrate all’UIF. Il modello organizzativo adottato dal Gruppo prevede, in linea generale, la gestione accentrata sulla Capogruppo della funzione antiriciclaggio e del presidio antiriciclaggio per le Società del Gruppo di diritto italiano sottoposte alla normativa antiriciclaggio. Il completamento della realizzazione di tale modello organizzativo è previsto entro il 2014, con l’accentramento del presidio antiriciclaggio presso la Capogruppo anche da parte del Banco di Sardegna s.p.a. e delle Società rientranti nel suo perimetro di consolidamento. Con riferimento alle attività di direzione e coordinamento, il perimetro di competenza del Servizio Antiriciclaggio di Gruppo è esteso a tutte le Società del Gruppo rientranti nel perimetro di consolidamento. Nell’ambito delle attività di direzione e coordinamento esercitate dalla Capogruppo per le Società del Gruppo, il Servizio Antiriciclaggio di Gruppo, assolve le seguenti responsabilità: • identifica e valuta i rischi di compimento di operazioni di riciclaggio e di finanziamento del terrorismo a cui il Gruppo è esposto; • identifica i rischi di non conformità alla normativa antiriciclaggio a cui il Gruppo è esposto esaminando nel continuo le norme applicabili al Gruppo e valutando il loro impatto sulle Società del Gruppo; • effettua annualmente la valutazione dei principali rischi di non conformità alla normativa antiriciclaggio ed antiterrorismo a livello di Gruppo, che presenta agli Organi Aziendali della Capogruppo, segnalando eventuali situazioni di criticità ed indicando proposte per la programmazione dei relativi interventi di gestione, sia con riferimento alle carenze emerse, sia alla necessità di affrontare eventuali nuovi rischi di non conformità identificati (“Relazione di Gruppo sul rischio di non conformità alla normativa antiriciclaggio ed antiterrorismo”); • stabilisce, in coerenza con i rischi identificati e valutati, gli obiettivi di controllo minimali previsti per le Società dotate, e verifica che la pianificazione delle attività di Antiriciclaggio delle singole Società che non hanno esternalizzato la funzione alla Capogruppo li recepisca; • assicura un’adeguata informativa (reporting) sugli esiti della propria attività agli Organi Aziendali segnalando tempestivamente le principali problematiche di non conformità 103 relazione degli relazione degli amministratori sulla amministratori gestione del gruppo sulla gestione del gruppo 104 • relazione degli relazione degli sulla amministratori gestione del gruppo amministratori sulla gestione del gruppo • • emerse ed eventi di particolare rischiosità; propone gli interventi organizzativi e procedurali ai processi di direzione e coordinamento finalizzati a: o prevenire e contrastare il compimento di reati di riciclaggio; o assicurare un adeguato presidio dei rischi di non conformità identificati e ne monitora la realizzazione; supporta il Delegato di Gruppo nell’approfondimento e valutazione, in ottica di Gruppo, delle segnalazioni archiviate e delle operazioni segnalate all’U.I.F. dalle Banche e dalle Società in perimetro nonché dalle Società estere del Gruppo alle competenti Autorità locali; supporta l’Amministratore Delegato della Capogruppo o il soggetto da lui incaricato nella valutazione dell’apertura di conti di corrispondenza con enti corrispondenti di Stati Extracomunitari “non equivalenti” da parte delle Società del Gruppo (sia italiane che estere). 7.5.2 Compliance Il Servizio Compliance di Gruppo ha la missione di assicurare l’adeguatezza delle procedure interne a prevenire la violazione di norme di etero regolamentazione (ad esempio, leggi e regolamenti) e di autoregolamentazione (per esempio, codici associativi) applicabili alle Società del Gruppo. Con riferimento alle procedure adottate ai sensi dell’art. 15 del Regolamento della Banca d’Italia e della CONSOB ai sensi dell’art. 6, comma 2-bis, del Testo Unico della Finanza il Servizio svolge anche verifiche regolari sull’effettiva applicazione (funzionamento) delle procedure stesse e delle misure adottate per rimediare a eventuali carenze riscontrate. Il Servizio Compliance assiste gli Organi Sociali e le Unità Organizzative delle Società del Gruppo nel perseguimento degli obiettivi in materia di conformità promuovendo la diffusione della cultura della conformità e della correttezza dei comportamenti, quale elemento indispensabile al buon funzionamento aziendale. Inoltre il Servizio Compliance di Gruppo valuta il rischio di non conformità derivante dai progetti innovativi che il Gruppo intende intraprendere, inclusa l’operatività in nuovi prodotti o servizi, in nuovi mercati o con nuove tipologie di clienti. Il Servizio Compliance di Gruppo, coerentemente alla propria missione, svolge la funzione di conformità alle norme per le Società del Gruppo di diritto italiano dotate di detta funzione, estendendo il perimetro di competenza delle attività di direzione e coordinamento a tutte le Società del Gruppo rientranti nel perimetro di consolidamento del Gruppo. Nell’ambito delle attività di direzione e coordinamento esercitate dalla Capogruppo per le Società del Gruppo, il Servizio Compliance di Gruppo, assolve le seguenti responsabilità: • identifica, a livello di Gruppo, i rischi di non conformità, esaminando nel continuo le norme applicabili al Gruppo e valutando il loro impatto sulle Società del Gruppo; • effettua annualmente la valutazione dei principali rischi di non conformità a livello di Gruppo, che presenta agli Organi Aziendali della Capogruppo, segnalando eventuali situazioni di criticità ed indicando proposte per la programmazione dei relativi interventi di gestione, sia con riferimento alle carenze emerse, sia alla necessità di affrontare eventuali nuovi rischi di non conformità identificati (“Relazione sul rischio di non conformità di Gruppo”); • stabilisce, in coerenza con i rischi identificati e valutati, gli obiettivi di controllo minimali previsti per le Società dotate, e verifica che la pianificazione delle attività di Compliance delle singole Società che non hanno esternalizzato la funzione alla Capogruppo li • • recepisca; assicura un’adeguata informativa (reporting) sugli esiti della propria attività agli Organi Aziendali segnalando tempestivamente le principali problematiche di non conformità 105 emerse ed eventi di particolare rischiosità; relazione degli relazione degli sulla propone gli interventi organizzativi e procedurali ai processi di direzione e coordinamento amministratori amministratori gestione del gruppo sulla gestione ed ai processi delle Società non dotate della funzione, finalizzati ad assicurare un del gruppo adeguato presidio dei rischi di non conformità identificati e ne monitora la realizzazione. 7.5.3 Controllo Crediti Il Servizio Controllo Crediti di Gruppo ha la missione di assicurare, per le Società del Gruppo esposte al rischio di credito, attraverso una sistematica attività di controllo, la corretta rappresentazione del profilo di rischio e valorizzazione delle posizioni creditizie. Il modello organizzativo adottato dal Gruppo prevede, in linea generale, la gestione accentrata sulla Capogruppo della funzione controllo crediti delle Società del Gruppo. Il completamento della realizzazione di tale modello organizzativo è previsto entro il 2014, con l’accentramento della funzione controllo crediti presso la Capogruppo anche da parte del Banco di Sardegna s.p.a. e delle Società rientranti nel suo perimetro di consolidamento. Nell’esercizio dell’attività di direzione e coordinamento, il Servizio Controllo Crediti di Gruppo supporta l’Amministratore Delegato della BPER, per l’assunzione della decisione finale, nell’analisi delle posizioni per le quali, nel ruolo di outsourcer, non sia pervenuto ad una condivisione con le Società del Gruppo. Con riferimento alla Sub holding e alle Società rientranti nel suo perimetro di consolidamento, il Servizio Controllo Crediti di Gruppo, sempre nella prospettiva di direzione, controllo e coordinamento, verifica sistematicamente l’adeguatezza e la conformità delle attività eseguite dalle diverse strutture operanti nel processo del credito presso la Sub holding. 7.5.4 Risk Management Il Servizio Risk Management di Gruppo ha la missione di attuare le politiche di governo dei rischi attraverso un adeguato processo di gestione degli stessi. La missione è esercitata sia nell’ambito delle attività di direzione e coordinamento della Capogruppo sia in qualità di outsourcer nei confronti delle Banche e Società del Gruppo. Il Servizio Risk Management di Gruppo, coerentemente con la propria missione, estende il suo perimetro di competenza a tutte le società rientranti nel perimetro di consolidamento del Gruppo. Il modello organizzativo adottato dal Gruppo prevede, inoltre, una gestione accentrata sulla Capogruppo della funzione di controllo dei rischi: le Società del Gruppo dotate di detta funzione la esternalizzano alla relativa funzione di Capogruppo, svolta dal Servizio Risk Management di Gruppo. Nell’ambito delle attività di direzione e coordinamento esercitate dalla Capogruppo per le Società del Gruppo, il Servizio Risk Management di Gruppo, assolve le seguenti responsabilità: • identificare i rischi rilevanti cui il Gruppo nel suo complesso (dotate e non dotate) è esposto in ottica attuale e prospettica, sintetizzando gli esiti nella “Mappa dei Rischi di Gruppo”; • misurare (anche attraverso stress test) e monitorare i rischi di Gruppo rilevanti misurabili e il rischio di liquidità collaborando alla definizione di proposte di azioni per la mitigazione degli stessi; • • 106 relazione degli amministratori relazione degli relazione degli amministratori sulla gestione sulla amministratori gestione del gruppo del gruppo sulla gestione del gruppo • • • • stimare il capitale interno complessivo di Gruppo, attuale e prospettico, integrando tutti i stimare il capitale interno complessivo di Gruppo, attuale e prospettico, integrando tutti i rischi rilevanti, sia quelli misurabili sia quelli non misurabili; rischi rilevanti, sia quelli sia quelli non misurabili; controllare il rispetto deimisurabili limiti operativi rientranti nelle proprie competenze sulla base di controllareinterna il rispetto limitiassunto operativi rientranti nelle proprie competenze sulla base di normativa ed ildei valore dagli indicatori di anomalia; normativa interna ed il valore assunto dagli indicatori di anomalia; assicurare un’adeguata informativa (reporting) sugli esiti della propria attività agli Organi assicurare un’adeguata informativa (reporting) sugli esiti della propria attività agli Organi Aziendali della Capogruppo. Aziendali della Capogruppo. 7.6 Controlli di linea 7.6 Controlli di linea Le unità organizzative centrali della Capogruppo incaricate della progettazione, di metodologie, Le unità organizzative centrali della incaricate della progettazione, di metodologie, processi, reportistica e strumenti (nel Capogruppo seguito anche “Titolari di processo”) sono responsabili di inprocessi, reportistica e strumenti (nel seguito anche “Titolari di processo”) sono responsabili indirizzare tecnicamente le omologhe funzioni previste nelle Società del Gruppo, in modo da di condirizzarela tecnicamente le un omologhe funzioni nelle Società del Gruppo, in modo da consentire condivisione di approccio unitariopreviste alla gestione dei controlli da attivare a presidio dei sentire la condivisione di un approccio unitario alla gestione dei controlli da attivare a presidio dei rischi. rischi. La funzione organizzazione della Capogruppo, con la collaborazione delle opportune funzioni di La funzione organizzazione della Capogruppo, la collaborazione delle opportune di controllo, supporta le Unità Organizzative titolaricon di processo nella progettazione deglifunzioni opportuni controllo, supporta le Unità Organizzative titolari delle di processo nella progettazione degli del opportuni adeguamenti tecnico-organizzativi e nell’indirizzo omologhe funzioni delle Società Grupadeguamenti tecnico-organizzativi e nell’indirizzo delle omologhe funzioni Società delèGruppo. La responsabilità dell’adeguatezza e della conformità dell’impianto dei delle controlli di linea attripo. La responsabilità dell’adeguatezza e della conformità dell’impianto dei controlli di linea è attribuita al responsabile delle Unità Organizzative titolari di processo. buita al responsabile delle Unità titolari di processo. La funzione organizzazione dellaOrganizzative Capogruppo coordina il processo di produzione e gestione della La funzione della Capogruppo coordina il processo di produzione e gestione della normativa di organizzazione Gruppo. normativa di Gruppo. 7.7 Altre funzioni coinvolte nel Sistema dei controlli interni 7.7 Altre funzioni coinvolte nel Sistema dei controlli interni Dirigente preposto Dirigente preposto La Legge n. 262/2005 (Legge per la Tutela del Risparmio) ha istituito la figura del “Dirigente preLa Legge n. 262/2005 dei (Legge per la Tutela del societari” Risparmio)(Dirigente ha istituitopreposto), la figura del “Dirigente preposto alla redazione documenti contabili attribuendole, tra posto alla redazione dei documenti contabili societari” (Dirigente preposto), attribuendole, tra l’altro, la responsabilità di contribuire a garantire “l’affidabilità dell’informativa finanziaria”. l’altro, la responsabilità di contribuire garantirenella “l’affidabilità dell’informativa finanziaria”. La disciplina del Dirigente preposto èaprevista sezione V bis del TUF, dedicata alla redazioLa dei disciplina del Dirigente è prevista nella le sezione bis del sulla TUF,designazione, dedicata alla redazione documenti contabili,preposto all’art. 154-bis che detta normeVgenerali i compine dei documenti contabili, all’art. 154-bis che detta le norme generali sulla designazione, i compiti e i poteri del Dirigente preposto; nonché sulle responsabilità civili e penali che conseguono tiall’incarico. e i poteri del Dirigente preposto; nonché sulle responsabilità civili e penali che conseguono all’incarico. Il “Dirigente preposto alla redazione dei documenti contabili societari” del Gruppo BPER, nominaIl preposto allaEmilio redazione dei- documenti contabili Gruppo BPER,e nominato“Dirigente nella persona del rag. Annovi Responsabile della societari” Direzione del Amministrazione Bilancio to nella persona del rag. Emilio Annovi Responsabile della Direzione Amministrazione e Bilancio di Gruppo, provvede, come prescritto nelle Linee Guida del Sistema dei controlli interni di Gruppo, di Gruppo, provvede, come prescritto nelle Linee Guida del Sistema dei controlli interni di Gruppo, alla progettazione, realizzazione e manutenzione del “Modello di controllo sull’informativa fialla progettazione, realizzazione e manutenzione del “Modello di controllo finanziaria” da applicare alla Capogruppo e, con riferimento alle procedure persull’informativa la predisposizione nanziaria” da applicare alla Capogruppo e, con riferimento alle procedure per la predisposizione del bilancio consolidato, alle Banche e Società rientranti nel perimetro di consolidamento. del bilanciodiconsolidato, alle Banche efinanziaria Società rientranti nel dei perimetro consolidamento. Il Modello controllo sull’informativa è l’insieme requisitidida rispettare per la corretIl Modello finanziaria è l’insieme requisiti da rispettare per la corretta gestionediecontrollo controllosull’informativa dei rischi di errori non intenzionali e dei di frodi nell’informativa finanziaria e di ta gestione e controllo rischi di errori l’adozione. non intenzionali e di frodi nell’informativa finanziaria e di cui il Dirigente prepostodei deve assicurare cui il Dirigente preposto deve assicurare l’adozione. Nel Gruppo BPER, pertanto, la responsabilità del processo di gestione del rischio di errori non inNel Gruppo la responsabilità processo gestione del rischionormativo di errori non intenzionali e BPER, di frodi pertanto, nell’informativa finanziaria,del anche tenutodiconto del contesto di rifetenzionali e di frodi nell’informativa finanziaria, anche tenuto conto del contesto normativo di rife- rimento che assegna specifiche responsabilità al Dirigente preposto, è assegnata, oltre che agli Organi Sociali, in via prevalente al Dirigente medesimo. 107 Il Modello di controllo dell’informativa finanziaria è rappresentato da un “corpus normativo” così relazione degli relazione degli amministratori sulla composto: amministratori gestione del gruppo sulla gestione • Policy di gestione dei rischi di errori non intenzionali e di frodi dell’informativa finanziaria; del gruppo • Regolamento del Dirigente preposto alla redazione dei documenti contabili societari e dell’Ufficio Monitoraggio e controllo dell’informativa finanziaria; • Regolamento del Dirigente preposto alla redazione dei documenti contabili societari della Sub-Holding Banco di Sardegna e della sua struttura in staff; • Regolamento del Referente del Dirigente preposto alla redazione dei documenti contabili societari; • Procedura Organizzativa e Manuale metodologico del processo di gestione del Modello di controllo dell’informativa finanziaria; • Procedura e Manuale del Referente del Dirigente preposto alla redazione dei documenti contabili societari. Il Dirigente preposto si avvale, per lo svolgimento dei propri compiti, di una struttura identificata all’interno della Capogruppo denominata Ufficio Monitoraggio e controllo dell’informativa finanziaria di Gruppo, che dipende gerarchicamente dal Dirigente preposto stesso. Per la gestione del Modello di controllo dell’informativa finanziaria, nell’ambito del Gruppo assume un ruolo di rilievo anche la figura del Referente del Dirigente preposto, nominato in ogni singola Banca e Società rientrante nel perimetro di consolidamento, e che, come previsto dalla regolamentazione prima indicata, dipende funzionalmente dal Dirigente preposto della Capogruppo. La dipendenza funzionale attiene alle metodologie, agli strumenti, alla reportistica e ai processi di lavoro relativi allo svolgimento delle attività del Referente. Le responsabilità identificate nella specifica regolamentazione si esplicano in tre ambiti: rappresentanza, raccordo informativo e supporto operativo. Una specifica regolamentazione è poi prevista per i rapporti con il Dirigente preposto nominato presso la Sub-Holding quotata Banco di Sardegna s.p.a. ed i relativi Referenti. Organismo di Vigilanza ai sensi del D. Lgs. 231/01 La Capogruppo, in ottemperanza agli artt. 6 e 7 del D.Lgs. n. 231/01, ha adottato un proprio Modello di Organizzazione e Gestione al fine di prevenire la commissione e/o la tentata commissione delle fattispecie di reato previste da tale Decreto. Quindi, in conformità alla citata normativa, la Capogruppo ha costituto il proprio Organismo di Vigilanza con il compito di vigilare sul funzionamento e sull’osservanza del Modello di Organizzazione e Gestione. L’Organismo è composto da cinque membri: • due Amministratori non esecutivi ed indipendenti; • due dipendenti della Banca popolare dell’Emilia Romagna s.c., dotati di idonee competenze specialistiche, in particolare di natura giuridico/organizzativa, che non ricoprono incarichi gestionali nella stessa; • un professionista esterno munito delle necessarie competenze professionali. Il suddetto Organismo concretizza la propria attività di controllo sul funzionamento e sull’osservanza del Modello di Organizzazione e Gestione, mediante: • l’accertamento di eventuali modifiche alla “mappatura” delle aree di rischio; • 108 relazione degli relazione degli amministratori sulla amministratori gestione del gruppo • • sulla gestione del gruppo • • • • • il riscontro del rispetto delle procedure, nell’ambito delle attività ritenute sensibili al compimento delle fattispecie di reato ex D.Lgs. n. 231/01; l’attivazione e/o l’esecuzione di indagini interne in coordinamento con le funzioni di controllo; la programmazione di attività formative rivolte al personale, per quanto concerne l’evoluzione giurisprudenziale, ovvero in relazione ad eventuali modifiche legislative che possano interessare le fattispecie di reato previste dal D.Lgs. n. 231/01; la richiesta di individuazione di idonee procedure a presidio di nuove tipologie di attività qualificabili come sensibili; la richiesta di aggiornamento di procedure esistenti, qualora l’attività aziendale subisca modifiche rilevanti per i rischi compresi nel perimetro; la segnalazione di accertate violazioni delle disposizioni; un’attività di coordinamento da parte della Capogruppo degli Organismi di Vigilanza delle società controllate favorendo l’interscambio di informazioni, conoscenze o metodologie; il recepimento da parte delle Banche del Gruppo dei principali documenti normativi che costituiscono il Modello Organizzativo Gestionale, salvo limitati e necessari adeguamenti. Inoltre, l’Organismo di Vigilanza è destinatario di specifici flussi informativi, essendo previsto che il personale dipendente, i Sindaci e gli Amministratori hanno l’obbligo nei termini e con le modalità specificati nel Modello di Organizzazione e Gestione di trasmettere all’Organismo di Vigilanza: • i provvedimenti e le notizie, provenienti da organi di Polizia Giudiziaria, o da qualsiasi altra autorità, dai quali si evinca lo svolgimento di indagini per i reati di cui al D.Lgs. n. 231/01, anche nei confronti di ignoti, che coinvolgano la Capogruppo, ovvero i suoi dipendenti od i componenti di Organi Societari (amministrativi e di controllo); • le richieste di assistenza legale inoltrate dagli Amministratori, Sindaci e/o dai dipendenti in caso di avvio di procedimento giudiziario per i reati previsti dal D.Lgs. n. 231/01; • i rapporti ordinari come individuati dall’Organismo di Vigilanza, predisposti dai responsabili di funzioni aziendali specialistiche (funzione di Revisione Interna, funzione Antiriciclaggio, funzione Compliance, ecc); • le informazioni relative all’avvio di procedimenti disciplinari, nonché sul loro svolgimento e sulle eventuali sanzioni irrogate, nel caso di fatti aventi rilevanza ai sensi del D.Lgs. n. 231/01; • le modifiche organizzative/procedurali aventi impatto sul Modello di Organizzazione e Gestione; • la segnalazione dell’insorgenza di ulteriori tipologie di rischi; • il sistema delle deleghe di poteri e/o funzioni adottato dalla Capogruppo, e qualsiasi modificazione di carattere strutturale ad esso apportata. Infine, l’Organismo di Vigilanza é informato anche mediante segnalazioni ricevute secondo le procedure prestabilite, dai soggetti tenuti all’osservanza del Modello e del Codice Etico (Soci, Sindaci, Amministratori, dipendenti, società di revisione, componenti dell’Organismo di Vigilanza, soggetti che, pur non rientrando nella categoria dei dipendenti, operino e siano sotto il controllo e la Direzione di BPER, soggetti che, pur esterni alla Società, operino per o con la Capogruppo e qualsiasi altro soggetto che si relaziona con la Capogruppo, al fine di effettuare la segnalazione), in merito ad eventi che potrebbero ingenerare responsabilità ai sensi del D.Lgs. n. 231/01. L’Organismo di Vigilanza riferisce con immediatezza, in caso di necessità, al Consiglio di amministrazione e relaziona semestralmente allo stesso e al Collegio sindacale sull’attività svolta e sulla situazione della Capogruppo rispetto agli adempimenti di cui al D.Lgs. n. 231/01. In tal contesto la Capogruppo ha emanato apposite Direttive e diffuso vari documenti normativi per il recepimento da parte delle singole Società del Gruppo nel rispetto del D.Lgs. 231/01 e delle specifiche responsabilità. 109 relazione degli amministratori relazione degli sulla gestione amministratori sulla gestione gruppo deldel gruppo