7. il sistema dei controlli interni

7. IL SISTEMA DEI CONTROLLI INTERNI
7.1 Premessa
97
relazione degli
relazione deglisulla
amministratori
amministratori
Il Consiglio di amministrazione della Capogruppo ha definito i principi del processo di sviluppo del gestione del gruppo
sistema di controllo interno del Gruppo BPER (c.d. “Sistema dei controlli interni di Gruppo”), mediante l’emanazione e l’adozione delle “Linee Guida del Sistema dei controlli interni di Gruppo” 15.
Tale sistema è da intendersi come l’insieme delle attività aziendali organizzato per:
• migliorare la redditività del Gruppo;
• proteggere la solidità patrimoniale;
• assicurare la conformità alla normativa esterna, interna e ai codici di condotta;
• promuovere la trasparenza verso il mercato attraverso il presidio dei rischi assunti dal
Gruppo.
Il Sistema dei controlli interni di Gruppo si pone l’obiettivo di assicurare che l’attività aziendale sia
in linea con le strategie e con la dichiarazione di propensione al rischio di Gruppo.
Tale sistema è composto da regole (linee guida, politiche, regolamenti, procedure e modelli), procedure informatiche e strutture organizzative (“impianto del Sistema dei controlli interni”) finalizzate a garantire che i “comportamenti” siano allineati con gli standard prefissati (“funzionamento del
Sistema dei controlli interni”).
L’impianto del Sistema dei controlli interni è valutato verificando che le scelte in materia di regole,
procedure informatiche e strutture organizzative siano coerenti con le prescrizioni normative e regolamentari e/o con gli standard di mercato di riferimento per gli obiettivi definiti e l’operatività posta in essere.
Il corretto funzionamento del Sistema dei controlli interni è verificato sull’effettiva applicazione delle suddette regole comportamentali, procedure informatiche e strutture organizzative tramite accertamenti sui risultati dei comportamenti e delle operazioni processate dai sistemi (“verifiche di
funzionamento”).
La valutazione complessiva del Sistema dei controlli interni di Gruppo si fonda quindi sulla “valutazione d’impianto” e sulla “verifica di funzionamento”.
Il Sistema dei controlli interni è progettato, attuato e valutato avendo come riferimento la “Mappa
dei Rischi”, che identifica i rischi, presenti e potenziali, a cui il Gruppo è o potrebbe essere esposto.
A tal riguardo, il Gruppo ha definito, attraverso l’emanazione e l’adozione di apposita normativa
aziendale (“Linee Guida - Modello di governo dei rischi di Gruppo”), un modello di governo
dei rischi, inteso come l’insieme di dispositivi di governo societario e di meccanismi di gestione e
controllo finalizzati a fronteggiare i rischi a cui risulta esposto il Gruppo.
7.2 Processo di gestione del Sistema dei controlli interni
Il Sistema dei controlli interni viene gestito attraverso un processo ciclico, articolato nelle seguenti
fasi:
• progettazione del Sistema;
• attuazione del Sistema;
15
L’ultimo aggiornamento risale a marzo 2013 e non tiene conseguentemente conto degli aggiornamenti intervenuti alla normativa di riferimento, emanati dalla Banca d’Italia il 2 luglio 2013 (Agg. n.15 alla Circ. n. 263 “Nuove disposizioni di vigilanza prudenziale per le banche”, con specifico riferimento al Titolo V capitoli 7, 8 e 9).
sulla gestione
del gruppo
•
•
valutazione del Sistema;
comunicazione verso l’esterno.
98
relazionedegli
degli
relazione
amministratori
sulla
amministratori
gestione del gruppo
sulla gestione
del gruppo
Progettazione del Sistema
Il Consiglio di amministrazione della Capogruppo definisce:
• il Sistema dei controlli interni di Capogruppo e di Gruppo;
• le policy di governo dei rischi per le Società del Gruppo, in modo che i rischi risultino correttamente governati e sia assicurato l'effettivo controllo sulle scelte strategiche del Gruppo nel suo complesso e l'equilibrio gestionale delle singole componenti;
• gli standard di impianto per l’esecuzione delle attività.
Più in dettaglio il Consiglio di amministrazione, con l’assistenza del Comitato Controlli e Rischi 16 e
su proposta dell’Amministratore Delegato della Capogruppo, con riferimento al Gruppo nel suo
complesso ed alle sue componenti, definisce:
• le modalità di determinazione ed il livello di propensione al rischio;
• il modello di business, avendo consapevolezza dei rischi cui tale modello espone la Società e comprensione delle modalità attraverso le quali i rischi sono rilevati e valutati; in
tale ambito approva l’adozione di sistemi interni di misurazione dei rischi per la determinazione dei requisiti patrimoniali;
• il processo ICAAP, individuando i ruoli e le responsabilità assegnate alle funzioni e alle
strutture aziendali;
• le policy di governo dei rischi;
• le funzioni aziendali e societarie di controllo, specificando i relativi compiti e responsabilità
all’interno del Gruppo, le modalità di coordinamento e collaborazione e i flussi informativi
tra tali funzioni e tra queste e gli Organi Aziendali;
• gli ulteriori flussi informativi interni volti ad assicurare agli Organi Aziendali e alle funzioni
aziendali di controllo la piena conoscenza e governabilità dei fattori di rischio;
• procedure formalizzate di coordinamento e collegamento fra le Banche e Società del
Gruppo e la Capogruppo BPER per tutte le aree di attività;
• il processo per l’approvazione di nuovi prodotti e servizi, l’avvio di nuove attività,
l’inserimento in nuovi mercati (c.d. Product Approval);
• il processo per lo sviluppo e la convalida dei sistemi interni di misurazione dei rischi.
Il Consiglio di amministrazione di ciascuna Società del Gruppo:
• definisce le eventuali integrazioni da apportare all’impianto del Sistema dei controlli interni
delle rispettive realtà, coerentemente con le procedure di coordinamento e collegamento
definite dalla Capogruppo;
• recepisce ed approva la propensione al rischio della propria Società, coerente con il livello di rischio di Gruppo.
Attuazione del Sistema
Il Consiglio di amministrazione conferisce delega all’Amministratore Delegato poteri e mezzi adeguati, affinché dia attuazione al Sistema dei controlli interni in coerenza con le scelte assunte in
16
In data 4 giugno 2013 il Consiglio di amministrazione della Capogruppo ha approvato la nuova denominazione
del Comitato per il Controllo Interno in “Comitato Controllo e Rischi” e il suo nuovo regolamento, che si è reso necessario in particolare per eliminare alcuni compiti ora assorbiti dal Comitato degli Amministratori Indipendenti e
per recepire gli aggiornamenti intervenuti nel Codice di Autodisciplina delle Società quotate a cui BPER si ispira
pur non avendovi al momento aderito formalmente.
progettazione. A tale scopo l’Amministratore Delegato con riferimento al Gruppo nel suo complesso ed alle sue componenti:
99
• garantisce che le responsabilità ed i compiti delle strutture e delle funzioni aziendali coinvolte nei processi di assunzione e di gestione dei rischi, siano chiaramente attribuiti e siarelazione
relazione degli
degli
amministratori
no prevenuti potenziali conflitti d’interessi;
amministratorisulla
gestione del gruppo
sulla gestione
• si assicura, che le attività svolte dalle funzioni e dalle strutture coinvolte nel Sistema dei
del gruppo
controlli interni siano effettuate da personale qualificato, con adeguato grado di autonomia di giudizio e in possesso di esperienze e conoscenze coerenti con i compiti da svolgere;
• pone in essere le iniziative e gli interventi necessari per garantire nel continuo la complessiva affidabilità del Sistema dei controlli interni;
• attua i necessari interventi correttivi o di adeguamento nel caso emergano carenze o anomalie, o a seguito dell’introduzione di nuovi prodotti, attività, servizi o processi rilevanti;
• dà attuazione al processo ICAAP, assicurando che lo stesso sia sviluppato nel rispetto
degli indirizzi strategici;
• impartisce le disposizioni necessarie affinché i sistemi interni di misurazione dei rischi
siano realizzati secondo le linee strategiche individuate e siano integrati nei processi decisionali e nella gestione dell’operatività aziendale;
• progetta ed attua sul Gruppo programmi di formazione per sensibilizzare i dipendenti in
merito alle responsabilità in materia di rischi in modo da non confinare il processo di gestione del rischio agli specialisti o alle funzioni di controllo.
Più in dettaglio, nella prospettiva di Gruppo, l’Amministratore Delegato impartisce le disposizioni
finalizzate a definire e rendere operativi:
• meccanismi di integrazione dei sistemi informativi e dei processi di gestione dei dati, anche al fine di garantire l'affidabilità delle rilevazioni su base consolidata;
• flussi informativi periodici che consentano l’effettivo esercizio delle varie forme di controllo
su tutte le componenti del Gruppo;
• procedure che garantiscano, a livello accentrato, un efficace processo unitario di gestione
dei rischi del Gruppo, prevedendo un’anagrafe unica, o più anagrafi che siano facilmente
raccordabili, presso le diverse Società del Gruppo;
• sistemi per monitorare i flussi finanziari, le relazioni di credito e le altre relazioni fra i soggetti componenti il Gruppo;
• controlli sul raggiungimento degli obiettivi di sicurezza informatica e di continuità operativa definiti per l’intero Gruppo e le singole componenti.
Il Consiglio di amministrazione di ciascuna Società del Gruppo dà mandato alle opportune funzioni aziendali per l’attuazione delle scelte assunte in fase di progettazione dalla Capogruppo
nell’ambito della propria realtà aziendale.
Valutazione del Sistema
Il Consiglio di amministrazione nell’ambito della propria funzione di supervisione strategica:
• riceve dalle funzioni di controllo e dalle altre funzioni aziendali i flussi informativi previsti
per una piena conoscenza e governabilità dei fattori di rischio;
•
100
valuta periodicamente, con l’assistenza del Comitato Controlli e Rischi 17, l’adeguatezza e
la conformità del Sistema dei controlli interni di Gruppo, identificando possibili miglioramenti e definendo il correlato piano di interventi.
relazione degli
amministratori sulla Inoltre, con riguardo ai sistemi interni di misurazione dei rischi per la determinazione dei requisiti
gestione del gruppo
patrimoniali, il Consiglio di amministrazione:
• verifica periodicamente che le scelte di modello effettuate mantengano nel tempo la loro
validità, approvando i cambiamenti sostanziali al sistema e provvedendo alla complessiva
supervisione sul corretto funzionamento dello stesso;
• vigila, con il supporto delle competenti funzioni, sull’effettivo utilizzo dei sistemi interni a
fini gestionali e sulla loro rispondenza ai requisiti previsti dalla normativa;
• esamina, almeno annualmente, le risultanze dell’attività di convalida e assume, con il parere del Collegio sindacale, formale delibera con la quale attesta il rispetto dei requisiti
previsti per l’utilizzo dei sistemi interni di misurazione.
Il Consiglio di amministrazione di ciascuna Società del Gruppo, Capogruppo compresa, valuta periodicamente il Sistema dei controlli interni aziendale. La funzione responsabile di supportare la
valutazione della funzionalità del complessivo Sistema dei controlli interni è la Revisione Interna.
Il Collegio sindacale della Capogruppo e quelli delle Società del Gruppo, ciascuno per le proprie
competenze svolgono le attività di valutazione sul Sistema dei controlli interni previste dalla normativa e dallo statuto. Gli esiti delle valutazioni sono portati all’attenzione dei rispettivi Consigli di
amministrazione.
Il Consiglio di amministrazione riceve, direttamente o per il tramite dell’Amministratore Delegato, i
flussi informativi funzionali ad acquisire la piena conoscenza e governabilità dei fattori di rischio e
per programmare e dare attuazione agli interventi finalizzati ad assicurare la conformità e
l’adeguatezza del Sistema dei controlli interni.
Comunicazione verso l’esterno
Il Consiglio di amministrazione di ciascuna Società del Gruppo, ed in particolare quello della Capogruppo per quanto riguarda il Sistema dei controlli interni di Gruppo, assicura che sia data informativa in materia di Sistema dei controlli interni e di rischi in tutti casi previsti dalla normativa,
garantendo la correttezza e completezza delle informazioni fornite. In tale ambito assume rilevanza l’informativa al pubblico prevista dal “III Pilastro” per la quale il Consiglio di amministrazione
della Capogruppo stabilisce responsabilità e compiti di controllo degli Organi Aziendali e delle diverse funzioni coinvolte nelle varie fasi in cui si articola il processo di governo di tale informativa.
7.3 Ruoli e compiti di controllo in funzioni della Capogruppo e del Gruppo
Nell’ambito del Sistema dei Controlli interni del Gruppo si individuano i seguenti ruoli di controllo,
inquadrati nei livelli previsti dalle Istruzioni di Vigilanza per le Banche (Titolo IV, Capitolo 11, Sezione II):
• controlli di terzo livello: volti ad individuare andamenti anomali, violazioni delle procedure e della regolamentazione, nonché a valutare la funzionalità del complessivo Sistema
dei controlli interni. Essi sono condotti nel continuo, in via periodica o per eccezioni, da
strutture diverse e indipendenti da quelle produttive, anche attraverso verifiche in loco
17
Vedi nota precedente
•
•
(come disposto dalle Istruzioni di Vigilanza Tit. IV, Cap. 11 Sez. II). Tale attività è affidata
alla Direzione Revisione Interna di Gruppo.
101
controlli di secondo livello (“controlli sui rischi e sulla conformità”): la macro funzione che raggruppa in una visione unitaria le funzioni di controllo di secondo livello, è
relazione
degli
relazione
degli
sulla
assegnata alla Direzione Rischi di Gruppo. I controlli di secondo livello hanno l’obiettivo amministratori
amministratori
gestione del gruppo
sulla gestione
di:
del gruppo
o verificare nel continuo che le procedure aziendali siano coerenti con l’obiettivo di prevenzione e contrasto della violazione delle norme in materia di riciclaggio e finanziamento del terrorismo. Tale attività è affidata al Servizio Antiriciclaggio di Gruppo;
o concorrere alla definizione delle metodologie di misurazione/valutazione del rischio di
non conformità ed individuare idonee procedure per la prevenzione dei rischi rilevati e
richiederne l’adozione. Tale attività è affidata al Servizio Compliance di Gruppo;
o monitorare sistematicamente l’andamento delle singole posizioni creditizie, con lo
scopo di verificare la regolarità e l’efficacia degli interventi adottati dalle funzioni incaricate della gestione e la correttezza della rappresentazione contabile delle stesse.
Tale attività è affidata al Servizio Controllo Crediti di Gruppo;
o concorrere alla definizione delle metodologie di misurazione del rischio, verificare il rispetto dei limiti assegnati alle varie funzioni operative e controllare la coerenza
dell’operatività delle singole aree produttive con gli obiettivi di rischio rendimento assegnati. Tale attività è affidata al Servizio Risk Management di Gruppo;
o effettuare la validazione qualitativa e quantitativa dei sistemi interni di misurazione dei
rischi adottati dalla Capogruppo. Tali attività è affidata all’Ufficio Convalida, in staff
alla Direzione Rischi di Gruppo.
controlli di linea (primo livello): diretti ad assicurare il corretto svolgimento delle operazioni; essi sono effettuati dalle stesse strutture produttive (ad esempio i controlli di tipo
gerarchico) o incorporati nelle procedure e nei sistemi informatici, ovvero eseguiti
nell’ambito dell’attività di back office.
7.4 Revisione Interna
La Direzione Revisione Interna di Gruppo ha la missione di controllare, anche con verifiche in loco, la regolarità dell’operatività e l’andamento dei rischi, valutare la funzionalità del complessivo
Sistema dei controlli interni e portare all’attenzione del Consiglio di amministrazione i possibili miglioramenti alle politiche di gestione dei rischi, agli strumenti di misurazione e alle procedure.
Verifica pertanto il regolare andamento ed operatività dei processi, al fine di garantire l'efficacia e
l’efficienza delle attività aziendali, la salvaguardia del valore della Capogruppo, l’affidabilità e
l’integrità delle informazioni contabili e gestionali, la conformità delle operazioni alle politiche stabilite dagli Organi di Governo e alle normative interne ed esterne nonché l’adeguatezza del Sistema dei controlli interni di Gruppo.
La Direzione Revisione Interna di Gruppo assiste gli Organi Aziendali e le Unità Organizzative del
Gruppo nel perseguimento degli obiettivi in materia di controllo interno. In tale ambito può accettare incarichi di consulenza su tematiche di particolare rilevanza, nei limiti della propria programmazione annuale.
Inoltre, supporta gli Organi Aziendali delle Società del Gruppo nella diffusione all’interno del contesto aziendale di una solida cultura dei controlli, anche attraverso attività/interventi mirati (ad esempio, illustrazione metodologie adottate, eventi di formazione, etc.).
Nel corso dell’esercizio 2013, contestualmente alla programmata fusione di tre Banche controllate
(Cassa di Risparmio della Provincia dell’Aquila s.p.a., Banca Popolare di Lanciano e Sulmona
102
s.p.a. e Banca Popolare di Aprilia s.p.a.) come da Piano industriale 2012 – 2014 ed
all’accentramento in Capogruppo delle funzioni Ispettorato delle Banche italiane del Gruppo, volto
relazione degli
amministratori sulla al rafforzamento del modello di controllo vigente, è stata realizzata la ristrutturazione organizzagestione del gruppo
ta della Direzione, che prevede un’impostazione “trasversale” delle attività di revisione interna,
orientata cioè a processi e rischi.
Il Sistema dei controlli interni del Gruppo prevede in linea generale l’esternalizzazione alla Capogruppo delle Funzioni di Controllo di secondo e terzo livello delle Società del Gruppo di diritto italiano. In particolare, per ciò che attiene le Banche di diritto italiano, l’accentramento mediante esternalizzazione nella Capogruppo è operativo da maggio 2013 con l’eccezione di:
• Sub Holding Banco di Sardegna s.p.a.;
• Cassa di Risparmio di Bra s.p.a.;
che si adegueranno al modello organizzativo di controllo sulla base delle tempistiche stabilite dalla Capogruppo.
La rinnovata configurazione organizzativa della Direzione è costituita da n. 2 uffici in staff al responsabile, n. 2 servizi (Internal Audit e Ispettorato di Gruppo) e relative strutture organizzative
sottostanti.
7.5 Direzione rischi di Gruppo
La Direzione Rischi di Gruppo, il cui responsabile è il Chief Risk Officer (CRO), raggruppa in
una visione unitaria le funzioni di controllo di secondo livello ed assolve le seguenti missioni:
• la valutazione dell’adeguatezza patrimoniale attuale e prospettica del Gruppo;
• lo sviluppo e l’applicazione degli strumenti di identificazione e misurazione del rischio;
• l’attuazione dei processi di gestione dei rischi rilevanti (compreso il processo di gestione
del rischio di non conformità alle norme);
• la prevenzione ed il contrasto del compimento presso la Capogruppo e le Società del
Gruppo di operazioni di riciclaggio e di finanziamento del terrorismo;
• il controllo della regolarità dei processi di monitoraggio e gestione del credito con
anomalie;
• la validazione quantitativa e qualitativa dei modelli interni di misurazione dei rischi per
assicurarne la conformità e l’adeguatezza.
Nell’ambito della Direzione Rischi di Gruppo, il CRO assolve direttamente la seguente missione:
• garantire una visione olistica e integrata dei rischi cui il Gruppo e le Società che lo
compongono sono esposte e assicurarne un’adeguata informativa agli Organi di
Governo;
• migliorare l’integrazione organizzativa delle funzioni di controllo sottoposte e renderne più
organica ed incisiva l’azione.
7.5.1 Antiriciclaggio
Il Servizio Antiriciclaggio di Gruppo ha la missione di:
• prevenire e contrastare il compimento presso la Capogruppo e le Società del Gruppo di
operazioni di riciclaggio e di finanziamento del terrorismo (presidio antiriciclaggio);
•
assicurare che le procedure informatiche e organizzative predisposte dalle Società del
Gruppo siano coerenti con l’obiettivo di prevenire e contrastare la violazione di norme di
etero regolamentazione (leggi e norme regolamentari) e di autoregolamentazione in
materia di riciclaggio (funzione antiriciclaggio).
In coerenza con il ruolo di Delegato di Gruppo assegnato al Responsabile della funzione, il Servizio inoltre:
• svolge un’attività di analisi, istruttoria e invio delle segnalazioni di operazioni
sospette ai sensi dell’art. 41 del D.Lgs. n. 231/07, provenienti dalla rete e dagli uffici
centrali e di quelle prodotte d’ufficio a seguito di controlli a distanza/ispettivi o delle attività
di monitoraggio delle richieste delle autorità e delle notizie stampa;
• esegue specifici controlli sulla corretta alimentazione dell’Archivio Unico Informatico
(A.U.I.) al fine di ottemperare agli obblighi di corretta tenuta dell’A.U.I. ai sensi di quanto
disposto dagli artt. 36 e ss. del D.Lgs. n. 231/07, nonché di consentire l’eventuale
individuazione di operatività potenzialmente sospette di riciclaggio;
• invia al Ministero dell’Economia e delle Finanze delle comunicazioni di violazioni delle
norme relative all’uso di contante e titoli al portatore e riscontro alle richieste delle autorità
relative alle segnalazioni di operazioni sospette inoltrate all’UIF.
Il modello organizzativo adottato dal Gruppo prevede, in linea generale, la gestione accentrata
sulla Capogruppo della funzione antiriciclaggio e del presidio antiriciclaggio per le Società del
Gruppo di diritto italiano sottoposte alla normativa antiriciclaggio. Il completamento della realizzazione di tale modello organizzativo è previsto entro il 2014, con l’accentramento del presidio antiriciclaggio presso la Capogruppo anche da parte del Banco di Sardegna s.p.a. e delle Società
rientranti nel suo perimetro di consolidamento.
Con riferimento alle attività di direzione e coordinamento, il perimetro di competenza del Servizio Antiriciclaggio di Gruppo è esteso a tutte le Società del Gruppo rientranti nel perimetro di consolidamento.
Nell’ambito delle attività di direzione e coordinamento esercitate dalla Capogruppo per le Società
del Gruppo, il Servizio Antiriciclaggio di Gruppo, assolve le seguenti responsabilità:
• identifica e valuta i rischi di compimento di operazioni di riciclaggio e di finanziamento del
terrorismo a cui il Gruppo è esposto;
• identifica i rischi di non conformità alla normativa antiriciclaggio a cui il Gruppo è esposto
esaminando nel continuo le norme applicabili al Gruppo e valutando il loro impatto sulle
Società del Gruppo;
• effettua annualmente la valutazione dei principali rischi di non conformità alla normativa
antiriciclaggio ed antiterrorismo a livello di Gruppo, che presenta agli Organi Aziendali
della Capogruppo, segnalando eventuali situazioni di criticità ed indicando proposte per la
programmazione dei relativi interventi di gestione, sia con riferimento alle carenze
emerse, sia alla necessità di affrontare eventuali nuovi rischi di non conformità identificati
(“Relazione di Gruppo sul rischio di non conformità alla normativa antiriciclaggio ed
antiterrorismo”);
• stabilisce, in coerenza con i rischi identificati e valutati, gli obiettivi di controllo minimali
previsti per le Società dotate, e verifica che la pianificazione delle attività di Antiriciclaggio
delle singole Società che non hanno esternalizzato la funzione alla Capogruppo li
recepisca;
• assicura un’adeguata informativa (reporting) sugli esiti della propria attività agli Organi
Aziendali segnalando tempestivamente le principali problematiche di non conformità
103
relazione
degli
relazione
degli
amministratori
sulla
amministratori
gestione del gruppo
sulla gestione
del gruppo
104
•
relazione degli
relazione degli sulla
amministratori
gestione
del gruppo
amministratori
sulla gestione
del gruppo
•
•
emerse ed eventi di particolare rischiosità;
propone gli interventi organizzativi e procedurali ai processi di direzione e coordinamento
finalizzati a:
o prevenire e contrastare il compimento di reati di riciclaggio;
o assicurare un adeguato presidio dei rischi di non conformità identificati e ne
monitora la realizzazione;
supporta il Delegato di Gruppo nell’approfondimento e valutazione, in ottica di Gruppo,
delle segnalazioni archiviate e delle operazioni segnalate all’U.I.F. dalle Banche e dalle
Società in perimetro nonché dalle Società estere del Gruppo alle competenti Autorità
locali;
supporta l’Amministratore Delegato della Capogruppo o il soggetto da lui incaricato nella
valutazione dell’apertura di conti di corrispondenza con enti corrispondenti di Stati
Extracomunitari “non equivalenti” da parte delle Società del Gruppo (sia italiane che
estere).
7.5.2 Compliance
Il Servizio Compliance di Gruppo ha la missione di assicurare l’adeguatezza delle procedure interne a prevenire la violazione di norme di etero regolamentazione (ad esempio, leggi e regolamenti) e di autoregolamentazione (per esempio, codici associativi) applicabili alle Società del
Gruppo. Con riferimento alle procedure adottate ai sensi dell’art. 15 del Regolamento della Banca
d’Italia e della CONSOB ai sensi dell’art. 6, comma 2-bis, del Testo Unico della Finanza il Servizio
svolge anche verifiche regolari sull’effettiva applicazione (funzionamento) delle procedure stesse
e delle misure adottate per rimediare a eventuali carenze riscontrate.
Il Servizio Compliance assiste gli Organi Sociali e le Unità Organizzative delle Società del Gruppo
nel perseguimento degli obiettivi in materia di conformità promuovendo la diffusione della cultura
della conformità e della correttezza dei comportamenti, quale elemento indispensabile al buon
funzionamento aziendale.
Inoltre il Servizio Compliance di Gruppo valuta il rischio di non conformità derivante dai progetti
innovativi che il Gruppo intende intraprendere, inclusa l’operatività in nuovi prodotti o servizi, in
nuovi mercati o con nuove tipologie di clienti.
Il Servizio Compliance di Gruppo, coerentemente alla propria missione, svolge la funzione di conformità alle norme per le Società del Gruppo di diritto italiano dotate di detta funzione, estendendo
il perimetro di competenza delle attività di direzione e coordinamento a tutte le Società del Gruppo
rientranti nel perimetro di consolidamento del Gruppo.
Nell’ambito delle attività di direzione e coordinamento esercitate dalla Capogruppo per le Società
del Gruppo, il Servizio Compliance di Gruppo, assolve le seguenti responsabilità:
• identifica, a livello di Gruppo, i rischi di non conformità, esaminando nel continuo le norme
applicabili al Gruppo e valutando il loro impatto sulle Società del Gruppo;
• effettua annualmente la valutazione dei principali rischi di non conformità a livello di
Gruppo, che presenta agli Organi Aziendali della Capogruppo, segnalando eventuali
situazioni di criticità ed indicando proposte per la programmazione dei relativi interventi di
gestione, sia con riferimento alle carenze emerse, sia alla necessità di affrontare
eventuali nuovi rischi di non conformità identificati (“Relazione sul rischio di non
conformità di Gruppo”);
• stabilisce, in coerenza con i rischi identificati e valutati, gli obiettivi di controllo minimali
previsti per le Società dotate, e verifica che la pianificazione delle attività di Compliance
delle singole Società che non hanno esternalizzato la funzione alla Capogruppo li
•
•
recepisca;
assicura un’adeguata informativa (reporting) sugli esiti della propria attività agli Organi
Aziendali segnalando tempestivamente le principali problematiche di non conformità
105
emerse ed eventi di particolare rischiosità;
relazione
degli
relazione
degli
sulla
propone gli interventi organizzativi e procedurali ai processi di direzione e coordinamento amministratori
amministratori
gestione del gruppo
sulla gestione
ed ai processi delle Società non dotate della funzione, finalizzati ad assicurare un
del gruppo
adeguato presidio dei rischi di non conformità identificati e ne monitora la realizzazione.
7.5.3 Controllo Crediti
Il Servizio Controllo Crediti di Gruppo ha la missione di assicurare, per le Società del Gruppo esposte al rischio di credito, attraverso una sistematica attività di controllo, la corretta rappresentazione del profilo di rischio e valorizzazione delle posizioni creditizie.
Il modello organizzativo adottato dal Gruppo prevede, in linea generale, la gestione accentrata
sulla Capogruppo della funzione controllo crediti delle Società del Gruppo. Il completamento della
realizzazione di tale modello organizzativo è previsto entro il 2014, con l’accentramento della funzione controllo crediti presso la Capogruppo anche da parte del Banco di Sardegna s.p.a. e delle
Società rientranti nel suo perimetro di consolidamento.
Nell’esercizio dell’attività di direzione e coordinamento, il Servizio Controllo Crediti di Gruppo
supporta l’Amministratore Delegato della BPER, per l’assunzione della decisione finale,
nell’analisi delle posizioni per le quali, nel ruolo di outsourcer, non sia pervenuto ad una condivisione con le Società del Gruppo.
Con riferimento alla Sub holding e alle Società rientranti nel suo perimetro di consolidamento, il
Servizio Controllo Crediti di Gruppo, sempre nella prospettiva di direzione, controllo e coordinamento, verifica sistematicamente l’adeguatezza e la conformità delle attività eseguite dalle diverse
strutture operanti nel processo del credito presso la Sub holding.
7.5.4 Risk Management
Il Servizio Risk Management di Gruppo ha la missione di attuare le politiche di governo dei rischi
attraverso un adeguato processo di gestione degli stessi. La missione è esercitata sia nell’ambito
delle attività di direzione e coordinamento della Capogruppo sia in qualità di outsourcer nei confronti delle Banche e Società del Gruppo.
Il Servizio Risk Management di Gruppo, coerentemente con la propria missione, estende il suo
perimetro di competenza a tutte le società rientranti nel perimetro di consolidamento del Gruppo.
Il modello organizzativo adottato dal Gruppo prevede, inoltre, una gestione accentrata sulla Capogruppo della funzione di controllo dei rischi: le Società del Gruppo dotate di detta funzione la
esternalizzano alla relativa funzione di Capogruppo, svolta dal Servizio Risk Management di
Gruppo.
Nell’ambito delle attività di direzione e coordinamento esercitate dalla Capogruppo per le Società del Gruppo, il Servizio Risk Management di Gruppo, assolve le seguenti responsabilità:
• identificare i rischi rilevanti cui il Gruppo nel suo complesso (dotate e non dotate) è
esposto in ottica attuale e prospettica, sintetizzando gli esiti nella “Mappa dei Rischi di
Gruppo”;
• misurare (anche attraverso stress test) e monitorare i rischi di Gruppo rilevanti misurabili
e il rischio di liquidità collaborando alla definizione di proposte di azioni per la mitigazione
degli stessi;
•
•
106
relazione degli
amministratori
relazione
degli
relazione
degli
amministratori
sulla gestione sulla
amministratori
gestione
del gruppo
del gruppo
sulla
gestione
del gruppo
•
•
•
•
stimare il capitale interno complessivo di Gruppo, attuale e prospettico, integrando tutti i
stimare
il capitale
interno
complessivo
di Gruppo,
attuale e prospettico, integrando tutti i
rischi
rilevanti,
sia quelli
misurabili
sia quelli
non misurabili;
rischi rilevanti,
sia quelli
sia quelli
non misurabili;
controllare
il rispetto
deimisurabili
limiti operativi
rientranti
nelle proprie competenze sulla base di
controllareinterna
il rispetto
limitiassunto
operativi
rientranti
nelle
proprie competenze sulla base di
normativa
ed ildei
valore
dagli
indicatori
di anomalia;
normativa
interna
ed
il
valore
assunto
dagli
indicatori
di
anomalia;
assicurare un’adeguata informativa (reporting) sugli esiti della propria attività agli Organi
assicurare
un’adeguata
informativa (reporting) sugli esiti della propria attività agli Organi
Aziendali della
Capogruppo.
Aziendali della Capogruppo.
7.6 Controlli di linea
7.6 Controlli di linea
Le unità organizzative centrali della Capogruppo incaricate della progettazione, di metodologie,
Le
unità organizzative
centrali della
incaricate
della
progettazione,
di metodologie,
processi,
reportistica e strumenti
(nel Capogruppo
seguito anche
“Titolari di
processo”)
sono responsabili
di inprocessi,
reportistica
e
strumenti
(nel
seguito
anche
“Titolari
di
processo”)
sono
responsabili
indirizzare tecnicamente le omologhe funzioni previste nelle Società del Gruppo, in modo da di
condirizzarela tecnicamente
le un
omologhe
funzioni
nelle Società
del Gruppo,
in modo
da consentire
condivisione di
approccio
unitariopreviste
alla gestione
dei controlli
da attivare
a presidio
dei
sentire la condivisione di un approccio unitario alla gestione dei controlli da attivare a presidio dei
rischi.
rischi.
La funzione organizzazione della Capogruppo, con la collaborazione delle opportune funzioni di
La
funzione
organizzazione
della Capogruppo,
la collaborazione
delle opportune
di
controllo,
supporta
le Unità Organizzative
titolaricon
di processo
nella progettazione
deglifunzioni
opportuni
controllo, supporta
le Unità Organizzative
titolari delle
di processo
nella
progettazione
degli del
opportuni
adeguamenti
tecnico-organizzativi
e nell’indirizzo
omologhe
funzioni
delle Società
Grupadeguamenti
tecnico-organizzativi
e nell’indirizzo
delle omologhe
funzioni
Società
delèGruppo.
La responsabilità
dell’adeguatezza
e della conformità
dell’impianto
dei delle
controlli
di linea
attripo.
La
responsabilità
dell’adeguatezza
e
della
conformità
dell’impianto
dei
controlli
di
linea
è
attribuita al responsabile delle Unità Organizzative titolari di processo.
buita
al responsabile
delle Unità
titolari di processo.
La funzione
organizzazione
dellaOrganizzative
Capogruppo coordina
il processo di produzione e gestione della
La funzione
della Capogruppo coordina il processo di produzione e gestione della
normativa
di organizzazione
Gruppo.
normativa di Gruppo.
7.7 Altre funzioni coinvolte nel Sistema dei controlli interni
7.7 Altre funzioni coinvolte nel Sistema dei controlli interni
Dirigente preposto
Dirigente
preposto
La
Legge n.
262/2005 (Legge per la Tutela del Risparmio) ha istituito la figura del “Dirigente preLa
Legge
n.
262/2005 dei
(Legge
per la Tutela
del societari”
Risparmio)(Dirigente
ha istituitopreposto),
la figura del
“Dirigente preposto alla redazione
documenti
contabili
attribuendole,
tra
posto
alla
redazione
dei
documenti
contabili
societari”
(Dirigente
preposto),
attribuendole,
tra
l’altro, la responsabilità di contribuire a garantire “l’affidabilità dell’informativa finanziaria”.
l’altro,
la responsabilità
di contribuire
garantirenella
“l’affidabilità
dell’informativa
finanziaria”.
La
disciplina
del Dirigente
preposto èaprevista
sezione V
bis del TUF, dedicata
alla redazioLa dei
disciplina
del Dirigente
è prevista
nella le
sezione
bis del sulla
TUF,designazione,
dedicata alla redazione
documenti
contabili,preposto
all’art. 154-bis
che detta
normeVgenerali
i compine
dei
documenti
contabili,
all’art.
154-bis
che
detta
le
norme
generali
sulla
designazione,
i compiti e i poteri del Dirigente preposto; nonché sulle responsabilità civili e penali che conseguono
tiall’incarico.
e i poteri del Dirigente preposto; nonché sulle responsabilità civili e penali che conseguono
all’incarico.
Il “Dirigente preposto alla redazione dei documenti contabili societari” del Gruppo BPER, nominaIl
preposto
allaEmilio
redazione
dei- documenti
contabili
Gruppo BPER,e nominato“Dirigente
nella persona
del rag.
Annovi
Responsabile
della societari”
Direzione del
Amministrazione
Bilancio
to
nella
persona
del
rag.
Emilio
Annovi
Responsabile
della
Direzione
Amministrazione
e
Bilancio
di Gruppo, provvede, come prescritto nelle Linee Guida del Sistema dei controlli interni di Gruppo,
di Gruppo,
provvede,
come prescritto
nelle Linee Guida
del Sistema
dei controlli
interni di Gruppo,
alla
progettazione,
realizzazione
e manutenzione
del “Modello
di controllo
sull’informativa
fialla progettazione,
realizzazione
e manutenzione
del “Modello
di controllo
finanziaria”
da applicare
alla Capogruppo
e, con riferimento
alle procedure
persull’informativa
la predisposizione
nanziaria”
da
applicare
alla
Capogruppo
e,
con
riferimento
alle
procedure
per
la
predisposizione
del bilancio consolidato, alle Banche e Società rientranti nel perimetro di consolidamento.
del
bilanciodiconsolidato,
alle Banche efinanziaria
Società rientranti
nel dei
perimetro
consolidamento.
Il Modello
controllo sull’informativa
è l’insieme
requisitidida
rispettare per la corretIl Modello
finanziaria
è l’insieme
requisiti
da rispettare
per la corretta
gestionediecontrollo
controllosull’informativa
dei rischi di errori
non intenzionali
e dei
di frodi
nell’informativa
finanziaria
e di
ta gestione
e controllo
rischi
di errori l’adozione.
non intenzionali e di frodi nell’informativa finanziaria e di
cui
il Dirigente
prepostodei
deve
assicurare
cui il Dirigente preposto deve assicurare l’adozione.
Nel Gruppo BPER, pertanto, la responsabilità del processo di gestione del rischio di errori non inNel Gruppo
la responsabilità
processo
gestione
del rischionormativo
di errori non
intenzionali
e BPER,
di frodi pertanto,
nell’informativa
finanziaria,del
anche
tenutodiconto
del contesto
di rifetenzionali e di frodi nell’informativa finanziaria, anche tenuto conto del contesto normativo di rife-
rimento che assegna specifiche responsabilità al Dirigente preposto, è assegnata, oltre che agli
Organi Sociali, in via prevalente al Dirigente medesimo.
107
Il Modello di controllo dell’informativa finanziaria è rappresentato da un “corpus normativo” così
relazione
degli
relazione
degli
amministratori
sulla
composto:
amministratori
gestione del gruppo
sulla gestione
• Policy di gestione dei rischi di errori non intenzionali e di frodi dell’informativa finanziaria;
del gruppo
• Regolamento del Dirigente preposto alla redazione dei documenti contabili societari e
dell’Ufficio Monitoraggio e controllo dell’informativa finanziaria;
• Regolamento del Dirigente preposto alla redazione dei documenti contabili societari della
Sub-Holding Banco di Sardegna e della sua struttura in staff;
• Regolamento del Referente del Dirigente preposto alla redazione dei documenti contabili
societari;
• Procedura Organizzativa e Manuale metodologico del processo di gestione del Modello di
controllo dell’informativa finanziaria;
• Procedura e Manuale del Referente del Dirigente preposto alla redazione dei documenti
contabili societari.
Il Dirigente preposto si avvale, per lo svolgimento dei propri compiti, di una struttura identificata
all’interno della Capogruppo denominata Ufficio Monitoraggio e controllo dell’informativa finanziaria di Gruppo, che dipende gerarchicamente dal Dirigente preposto stesso.
Per la gestione del Modello di controllo dell’informativa finanziaria, nell’ambito del Gruppo assume
un ruolo di rilievo anche la figura del Referente del Dirigente preposto, nominato in ogni singola
Banca e Società rientrante nel perimetro di consolidamento, e che, come previsto dalla regolamentazione prima indicata, dipende funzionalmente dal Dirigente preposto della Capogruppo. La
dipendenza funzionale attiene alle metodologie, agli strumenti, alla reportistica e ai processi di lavoro relativi allo svolgimento delle attività del Referente. Le responsabilità identificate nella specifica regolamentazione si esplicano in tre ambiti: rappresentanza, raccordo informativo e supporto
operativo.
Una specifica regolamentazione è poi prevista per i rapporti con il Dirigente preposto nominato
presso la Sub-Holding quotata Banco di Sardegna s.p.a. ed i relativi Referenti.
Organismo di Vigilanza ai sensi del D. Lgs. 231/01
La Capogruppo, in ottemperanza agli artt. 6 e 7 del D.Lgs. n. 231/01, ha adottato un proprio Modello di Organizzazione e Gestione al fine di prevenire la commissione e/o la tentata commissione
delle fattispecie di reato previste da tale Decreto. Quindi, in conformità alla citata normativa, la
Capogruppo ha costituto il proprio Organismo di Vigilanza con il compito di vigilare sul funzionamento e sull’osservanza del Modello di Organizzazione e Gestione.
L’Organismo è composto da cinque membri:
• due Amministratori non esecutivi ed indipendenti;
• due dipendenti della Banca popolare dell’Emilia Romagna s.c., dotati di idonee competenze specialistiche, in particolare di natura giuridico/organizzativa, che non ricoprono incarichi gestionali nella stessa;
• un professionista esterno munito delle necessarie competenze professionali.
Il suddetto Organismo concretizza la propria attività di controllo sul funzionamento e
sull’osservanza del Modello di Organizzazione e Gestione, mediante:
• l’accertamento di eventuali modifiche alla “mappatura” delle aree di rischio;
•
108
relazione
degli
relazione
degli
amministratori
sulla
amministratori
gestione del gruppo
•
•
sulla gestione
del gruppo
•
•
•
•
•
il riscontro del rispetto delle procedure, nell’ambito delle attività ritenute sensibili al compimento delle fattispecie di reato ex D.Lgs. n. 231/01;
l’attivazione e/o l’esecuzione di indagini interne in coordinamento con le funzioni di controllo;
la programmazione di attività formative rivolte al personale, per quanto concerne
l’evoluzione giurisprudenziale, ovvero in relazione ad eventuali modifiche legislative che
possano interessare le fattispecie di reato previste dal D.Lgs. n. 231/01;
la richiesta di individuazione di idonee procedure a presidio di nuove tipologie di attività
qualificabili come sensibili;
la richiesta di aggiornamento di procedure esistenti, qualora l’attività aziendale subisca
modifiche rilevanti per i rischi compresi nel perimetro;
la segnalazione di accertate violazioni delle disposizioni;
un’attività di coordinamento da parte della Capogruppo degli Organismi di Vigilanza delle
società controllate favorendo l’interscambio di informazioni, conoscenze o metodologie;
il recepimento da parte delle Banche del Gruppo dei principali documenti normativi che
costituiscono il Modello Organizzativo Gestionale, salvo limitati e necessari adeguamenti.
Inoltre, l’Organismo di Vigilanza è destinatario di specifici flussi informativi, essendo previsto che il
personale dipendente, i Sindaci e gli Amministratori hanno l’obbligo nei termini e con le modalità
specificati nel Modello di Organizzazione e Gestione di trasmettere all’Organismo di Vigilanza:
• i provvedimenti e le notizie, provenienti da organi di Polizia Giudiziaria, o da qualsiasi altra autorità, dai quali si evinca lo svolgimento di indagini per i reati di cui al D.Lgs. n.
231/01, anche nei confronti di ignoti, che coinvolgano la Capogruppo, ovvero i suoi dipendenti od i componenti di Organi Societari (amministrativi e di controllo);
• le richieste di assistenza legale inoltrate dagli Amministratori, Sindaci e/o dai dipendenti in
caso di avvio di procedimento giudiziario per i reati previsti dal D.Lgs. n. 231/01;
• i rapporti ordinari come individuati dall’Organismo di Vigilanza, predisposti dai responsabili di funzioni aziendali specialistiche (funzione di Revisione Interna, funzione Antiriciclaggio, funzione Compliance, ecc);
• le informazioni relative all’avvio di procedimenti disciplinari, nonché sul loro svolgimento e
sulle eventuali sanzioni irrogate, nel caso di fatti aventi rilevanza ai sensi del D.Lgs. n.
231/01;
• le modifiche organizzative/procedurali aventi impatto sul Modello di Organizzazione e
Gestione;
• la segnalazione dell’insorgenza di ulteriori tipologie di rischi;
• il sistema delle deleghe di poteri e/o funzioni adottato dalla Capogruppo, e qualsiasi modificazione di carattere strutturale ad esso apportata.
Infine, l’Organismo di Vigilanza é informato anche mediante segnalazioni ricevute secondo le procedure prestabilite, dai soggetti tenuti all’osservanza del Modello e del Codice Etico (Soci, Sindaci, Amministratori, dipendenti, società di revisione, componenti dell’Organismo di Vigilanza, soggetti che, pur non rientrando nella categoria dei dipendenti, operino e siano sotto il controllo e la
Direzione di BPER, soggetti che, pur esterni alla Società, operino per o con la Capogruppo e
qualsiasi altro soggetto che si relaziona con la Capogruppo, al fine di effettuare la segnalazione),
in merito ad eventi che potrebbero ingenerare responsabilità ai sensi del D.Lgs. n. 231/01.
L’Organismo di Vigilanza riferisce con immediatezza, in caso di necessità, al Consiglio di amministrazione e relaziona semestralmente allo stesso e al Collegio sindacale sull’attività svolta e sulla
situazione della Capogruppo rispetto agli adempimenti di cui al D.Lgs. n. 231/01.
In tal contesto la Capogruppo ha emanato apposite Direttive e diffuso vari documenti normativi
per il recepimento da parte delle singole Società del Gruppo nel rispetto del D.Lgs. 231/01 e delle
specifiche responsabilità.
109
relazione degli
amministratori
relazione degli
sulla gestione
amministratori
sulla
gestione
gruppo
deldel
gruppo