GBM Gruppo Bancario Mediterraneo Holding SpA. Regolamento di Compliance

Transcript

1 GBM Gruppo Bancario Mediterraneo Holding SpA DATA DESCRIZIONE REDATTO VERIFICATO APPROVATO 16/09/2011 Regolamento di Compliance E&Y VdG-DG-P CdA 09/09/ /09/ /09/2011 Pagina 1 di 36

2 INDICE 1. Premessa 1.1 Scopo e campo di applicazione pag Documenti di riferimento. pag Definizione del rischio di non conformità pag Organizzazione del processo 2.1 Principi organizzativi. pag Ruoli e responsabilità pag Fasi del processo 3.1 Il processo di gestione del rischio di non conformità.. pag Pianificazione.. pag Identificazione e valutazione del rischio.. pag Il controllo del rischio. pag Miglioramento dell organizzazione. pag Revisione interna del processo. pag Reporting. pag. 36 Pagina 2 di 36

3 Capitolo 1 Premessa Pagina 3 di 36

4 1.1 Scopo e campo di applicazione Finalità del processo di gestione del rischio di non conformità In un sistema, come quello bancario e finanziario, caratterizzato da un elevata complessità degli adempimenti normativi richiesti e basato sul rapporto fiduciario con i soggetti esterni, GBM Gruppo Bancario Mediterraneo Holding S.p.A. (di seguito per brevità GBM Holding SpA o Capogruppo ) persegue l obiettivo di rispettare la legalità e la correttezza negli affari, adottando adeguati strumenti operativi e di controllo. Peraltro, sulla base di quanto raccomandato dal Comitato di Basilea 1 per la Vigilanza Bancaria e prescritto dalla Banca d Italia, lo sviluppo di nuovi presidi di internal governance è ritenuto necessario per il perseguimento di una più sistematica azione di controllo del rischio di non conformità, inteso come il rischio associato al mancato rispetto delle disposizioni legislative e regolamentari, nonché di norme etiche, deontologiche e professionali dettate da codici di condotta, standards operativi e da norme di autoregolamentazione e delle linee di indirizzo della governance. Il rischio di non conformità si concretizza nella possibilità di incorrere in danno economico diretto (sanzioni giudiziarie o amministrative) e/o indiretto (compromissione dell immagine della credibilità della reputazione aziendale a seguito di lealtà di correttezza operativa e gestionale). Ciò premesso, nell ambito del Gruppo Bancario denominato GBM Gruppo Bancario Mediterraneo Holding SpA (di seguito Gruppo ) è stato sviluppato un processo di gestione e di controllo del rischio di non conformità, le cui principali finalità sono: prevenire, ex ante, eventuali disallineamenti rispetto alle norme esterne ed alle linee intermedie di indirizzo ed agli standard di Gruppo e minimizzare, ex post, eventuali conseguenze degli stessi; 1 Con il documento Compliance and the compliance function in bank 1 del Comitato di Basilea per la vigilanza bancaria dell aprile 2005, è stato introdotto il concetto di compliance risk, riconoscendo allo stesso tempo la necessità di introdurre la Funzione di Compliance nelle Banche e nei Gruppi bancari, al fine di gestire adeguatamente, per l appunto, il rischio di compliance. La Funzione viene così definita : An indipendent fuction that identifies, assesses, advises on, monitors and reports on the bank s compliance risk of legal or regulatory sanctions, financial loss, or loss to reputations a bank may suffer as a result of its failure to comply with all applicable laws, regulations, codes of conducts and standards of good practice 1. Pagina 4 di 36

5 salvaguardare la reputazione aziendale, basata sull affidabilità e sulla responsabilità delle società del Gruppo e conseguentemente il rapporto fiduciario con i diversi portatori di interessi; costituire un patrimonio di valori e regole che caratterizzino l immagine e la cultura aziendale, sulla base di principi di trasparenza, correttezza e rispetto sostanziale delle norme. In un ottica di obiettivi di Gruppo, il conseguimento di tali finalità si traduce in un miglioramento della qualità ed affidabilità dell operatività e nello sviluppo di una gestione responsabile dei rapporti con tutti i portatori di interessi (clienti, azionisti, dipendenti, finanziatori, ecc.). Ciò contribuisce a: contenere il danno economico derivante da sanzioni pecuniarie emesse dalle Autorità di Vigilanza e dal contenzioso con i clienti e con i terzi; ridurre l impatto economico in termini di requisiti patrimoniali connesso a perdite derivanti dai rischi di non conformità; rafforzare il sistema dei controlli interni, contribuendo al miglioramento della qualità dei processi e delle procedure interne e aumentando nel contempo la sensibilità del personale al rispetto di norme obbligatorie e di autoregolamentazione; proteggere il valore del marchio delle società del Gruppo; perseguire una gestione maggiormente orientata al cliente, trasmettendo allo stesso un informativa corretta e trasparente. L introduzione nel sistema finanziario italiano della Funzione di Conformità alle norme (Compliance) interviene nell ambito di un processo più ampio di mutamento profondo, anche a livello comunitario, della regolamentazione del settore che ha interessato in modo diretto anche il Sistema dei Controlli Interni. Ultimamente si è poi assistito al manifestarsi di tipologie di accadimenti dannosi connessi ai rischi legali e reputazionali, con cui le banche non erano abituate a confrontarsi. Da qui la necessità di identificare e monitorare anche questi rischi, attraverso la funzione Compliance. Lo scenario di riferimento che si è manifestato in questi ultimi anni ha presentato novità significative e strutturali con un processo di cambiamento importante di cui il documento di Banca d Italia del 10 luglio 2007, in materia di compliance rappresenta la logica evoluzione. Pagina 5 di 36

6 Scopo del documento e modalità di attuazione Scopo del presente documento è di descrivere l organizzazione adottata dal Gruppo individuando, in particolare: i principi che presiedono alla definizione e allo sviluppo del processo di gestione e controllo del rischio; i ruoli e le responsabilità assegnate ai vari Organi/funzioni delle società del Gruppo; le modalità di svolgimento delle attività relative alle differenti fasi del processo di gestione del rischio; il sistema di reporting verso gli Organi Amministrativi e gli Organi di Controllo. I principi riportati nel documento riguardano e si applicano, a tutte le società del Gruppo, tenendo conto delle specificità di ciascuna. Il documento, predisposto dal Responsabile della funzione Compliance, approvato in via preliminare dal Direttore Generale di GBM Holding SpA, è adottato con delibera del Consiglio di Amministrazione della Capogruppo. Del documento deliberato è data adeguata e tempestiva informazione agli Organi Amministrativi e di Controllo delle società controllate ivi compresi l organo di vigilanza e il revisore o la società di revisione legale. Pagina 6 di 36

7 1.2 Documenti di riferimento Circolare della Banca d Italia n. 229 del 21 aprile 1999 e successivi aggiornamenti recante le Istruzioni di Vigilanza per le Banche (in particolare il Titolo IV Capitolo 11 Sistema dei controlli interni, compiti del Collegio Sindacale ); disposizioni di vigilanza La funzione di conformità (Compliance), emesse da Banca d Italia il 10 luglio 2007; statuto di GBM Holding SpA e delle altre società del Gruppo; delibera del Consiglio di Amministrazione di GBM Holding SpA adottata il 16 novembre 2010 recante l istituzione della funzione Compliance; delibera del Consiglio di Amministrazione di GBM Holding SpA adottata il 15 febbraio 2011 in base alla quale la responsabilità della funzione di Compliance è stata affidata ad interim al dirigente della funzione Public Affairs (oggi Funzione Istitutional Investor Relation); regolamento di Gruppo; Codice Etico di GBM Holding SpA; Modello di Organizzazione Gestione e Controllo ex d.lgs. 231/01 della Capogruppo. Pagina 7 di 36

8 1.3 Definizione del rischio di non conformità Per rischio di non conformità si intende, in applicazione delle Disposizioni di Vigilanza della Banca d Italia, il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione (es. statuti, codici di condotta, codici di autodisciplina). Detto rischio è diffuso a tutti livelli dell organizzazione aziendale, soprattutto nell ambito delle linee operative. Tenuto conto del modello organizzativo e decisionale adottato da GBM Holding SpA ovvero dalla declinazione dei compiti attribuiti alle funzioni di controllo interni istituite (Compliance, Internal Audit e Risk Management), tenuto conto inoltre delle prassi nell ambito del sistema bancario, delle indicazioni delle associazioni di categoria (in particolare ABI e AICOM) e, soprattutto, delle disposizioni dell Autorità di Vigilanza, GBM Holding SpA ha provveduto a definire il perimetro normativo di riferimento ossia le norme più rilevanti presidiati dalla funzione di Compliance (cd. normativa rilevante ). A tale proposito, la funzione Compliance di GBM Holding SpA, provvede a identificare i requisiti normativi e a predisporli per la mappatura da parte delle società del Gruppo per le aree normative indicate di seguito. Per le stesse aree la funzione Compliance identifica le sanzioni applicabili, raggruppa i requisiti sotto i vari rischi di non conformità e definisce il Risk Impact. Riciclaggio / Terrorismo: in tale area rientrano gli eventi che possono generare un rischio di non conformità a seguito del mancato rispetto delle norme esterne relative alla prevenzione di fenomeni di riciclaggio di denaro proveniente da attività malavitosa e da eventi delittuosi e di contrasto finanziario al terrorismo. Usura: in tale area rientrano gli eventi che possono generare un rischio di non conformità a seguito del mancato rispetto dei limiti stabiliti dalla normativa in materia di condizioni economiche applicate ai clienti (rif.: disposizioni in materia di usura e di modalità di calcolo del TAEG, Istruzioni di Vigilanza per la rilevazione del TEGM ai sensi della legge sull'usura, ecc.). Pagina 8 di 36

9 Antitrust: in tale area rientrano gli obblighi ai quali si devono attenere le imprese, onde evitare intese, abusi di posizioni dominante e concentrazioni contra legem. Trattamento dei dati personali: in tale area rientrano gli eventi che possono generare un rischio di non conformità a seguito del mancato rispetto delle norme esterne relative al trattamento dei dati personali dei clienti in fase di attivazione e gestione del rapporto, comprese le attività di recupero dei crediti, le segnalazione ai Sistemi di Informazione Creditizia ed alle attività marketing diretto (rif. : Codice in materia di protezione dei dati personali, provvedimenti/delibere del Garante per la Protezione dei Dati Personali, ecc.). Responsabilità amministrativa delle società: in tale area rientrano gli eventi che possono generare un rischio di non conformità a seguito della commissione di reati presupposto della responsabilità amministrativa delle società (rif.: Responsabilità amministrativa delle società ex d.lgs 231/01 e successive integrazioni/modifiche). Governance societaria: in tale area rientrano gli eventi che possono determinare un rischio di non conformità a seguito del mancato rispetto di norme esterne che regolano l attività di governance, con specifico riferimento a quelle che regolamentano la prevenzione e la gestione dei conflitti di interesse, oltre che le norme interne relative all esercizio dei poteri delegati e dei limiti operativi. Assetti proprietari: in tale area rientra la disciplina sia degli obblighi di richiesta di autorizzazione sia della comunicazione delle partecipazioni rilevanti e reciproche nonché dei patti parasociali e ciò da un duplice angolo visuale: della disciplina delle partecipazioni al capitale delle banche e delle capogruppo finanziarie di gruppo bancario; della disciplina delle partecipazioni delle banche e dei gruppi bancari. Regole etiche e di sicurezza: in tale area rientrano gli eventi che possono generare un rischio di non conformità a seguito del mancato rispetto della normativa interna e dei codici di autoregolamentazione del settore, cui le società del Gruppo aderiscono, e che disciplinano le regole etiche, deontologiche e di sicurezza a cui devono essere orientati i comportamenti di coloro che operano nell ambito e/o in nome e per conto del Gruppo nei rapporti con gli stakeholders di riferimento. Pagina 9 di 36

10 Procedure di svolgimento dei servizi in outsourcing: rientrano in tale ambito gli eventi di rischio legati al mancato rispetto delle disposizioni interne ed esterne in materia di attivazione e gestione dei rapporti con fornitori di servizi in outsourcing, con riferimento specifico alle attività di contatto con i clienti (quali ad esempio: assistenza post vendita, commercializzazione di servizi finanziari, recupero crediti, invio delle comunicazioni periodiche ecc.). Trasparenza e pubblicità : rientrano in tale ambito le modalità e gli strumenti di informazione nei confronti della clientela che gli intermediari finanziari (bancari e non bancari) sono obbligati ad adottare in sede di prestazione dei servizi bancari e finanziari e dei servizi di intermediazione di assicurazione e di riassicurazione. Servizi di investimento: in tale area rientra la normativa relativa alla prestazione dei servizi di investimento e dei servizi accessori così come definiti dal Testo Unico della Finanza e correlati provvedimenti attuativi. In particolare, esso si sofferma su aspetti legati principalmente agli obblighi di comportamento e di informativa verso la clientela, alla forma ed al contenuto dei contratti per la prestazione dei servizi ed alla valutazione degli investimenti avuto riguardo alla tipologia di clientela. Deposito e subdeposito delle disponibilità liquide degli strumenti finanziari della clientela: rientrano in tale ambito gli obblighi a cui debbono attenersi le banche che detengono somme liquide o strumenti finanziati di pertinenza della clientela. Gestione accentrata degli strumenti finanziari: tale area comprende la disciplina della gestione accentrata di strumenti finanziari (sia in regime di deposito accentrato che di dematerializzazione) sotto il profilo degli aderenti al sistema, nonché alla disciplina della gestione accentrata di Titoli di Stato. Market abuse: tale area comprende la disciplina dell informazione societaria, dell internal dealing, dell insider list, dell acquisto di azioni proprie, delle raccomandazioni, studi e ricerche e infine della segnalazione di operazioni sospette, abuso di informazione privilegiata e/o manipolazione di mercato. Pagina 10 di 36

11 Capitolo 2 Organizzazione del processo Pagina 11 di 36

12 2.1 Principi organizzativi L organizzazione del processo di gestione del rischio di non conformità è definita in base ai seguenti principi: 1) Responsabilità diffusa a tutti i livelli dell organizzazione Il rischio di non conformità deve essere in primo luogo presidiato nel momento in cui lo stesso viene generato. Pertanto, è compito primario dei dirigenti e dei responsabili delle unità organizzative di diffondere la cultura di compliance ed assicurare la correttezza dell operatività nel proprio ambito di competenza. Inoltre, è responsabilità di tutti i soggetti che operano nell interesse delle società del Gruppo: conoscere e mantenersi informati sulle normative applicabili al proprio ambito operativo; rispettare, prescindendo da qualunque diversa indicazione o interesse tutelato, le disposizioni poste dalla normativa esterna ed interna, non solo a livello formale ma anche sostanziale, al fine di evitare comportamenti che possano recare pregiudizio alle società del Gruppo ed alla loro reputazione; evitare di diffondere all esterno informazioni riservate e/o non corrette che possano influenzare la percezione della situazione economica delle società del Gruppo; assicurare il pieno rispetto dell interesse dei clienti. 2) Nomina del Responsabile della Compliance Il Responsabile della Compliance di GBM Holding S.p.A. è nominato dal Consiglio di Amministrazione sentito il parere del Collegio Sindacale. I requisiti di autorevolezza, indipendenza e professionalità sia dal punto di vista organizzativo sia dal punto di vista sostanziale del Responsabile della Compliance si configurano come prerogativa per il corretto svolgimento della sua funzione. Pagina 12 di 36

13 Il Responsabile della Compliance ha il compito di assicurare il coordinamento e la supervisione a livello di Gruppo delle attività che compongono il complessivo processo di gestione del rischio di non conformità. Per assicurare un adeguato livello di indipendenza della funzione nello svolgimento delle proprie attività, sono adottate le seguenti misure: collocazione nell organigramma aziendale in staff al Consiglio di Amministrazione; in linea di reporting diretto verso il Consiglio di Amministrazione, il Collegio Sindacale e il Direttore Generale; possibilità di estendere l attività di verifica a tutti i processi/aree delle società del Gruppo; possibilità di accedere a tutte le informazioni/documentazione rilevanti per la realizzazione delle proprie attività, anche attraverso il colloquio diretto con il personale, sia della Capogruppo che di tutte le società facenti parte del Gruppo; separatezza organizzativa e funzionale rispetto all Internal Audit, alla quale è attribuita l attività di revisione interna sul processo complessivo di gestione del rischio. Inoltre, il Responsabile della Compliance e le risorse di tale funzione : operano in modo obiettivo ed imparziale evitando condizionamenti di qualsiasi natura; non partecipano alla prestazione dei servizi che sono chiamati a controllare; segnalano senza esitazioni al proprio responsabile od organo superiore qualsiasi tentativo di condizionamento eventualmente subito; evitano assolutamente ogni tipo di omissione azione di oneri di manipolazioni che possa in qualsiasi modo inficiare i risultati delle analisi effettuate. 3) Gestione accentrata del processo a livello di Gruppo Le decisioni strategiche a livello di Gruppo in materia di gestione del rischio di non conformità sono di competenza degli Organi Amministrativi e di Controllo della Capogruppo, tenendo conto delle specificità delle società controllate. Pagina 13 di 36

14 Delle decisioni assunte è data adeguata e tempestiva informazione agli Organi Amministrativi e di Controllo delle società controllate. Gli Organi aziendali ed il management delle società controllate sono responsabili dell attuazione, nell ambito del proprio contesto operativo, delle strategie e delle politiche di gestione del rischio definite. 4) Informazione all Alta Direzione e agli Organi amministrativi e di controllo Deve essere assicurata un informazione periodica al Consiglio di Amministrazione, al Collegio Sindacale ed all Alta Direzione sull andamento del rischio di non conformità e continuativa su ogni violazione rilevante alle norme da cui possa scaturire un rischio di non conformità. Pagina 14 di 36

15 2.2 Ruoli e responsabilità Organi Amministrativi e di Controllo Il Consiglio di Amministrazione e il Collegio Sindacale della Capogruppo, nell ambito delle rispettive competenze come in seguito definite, sono i diretti responsabili del corretto funzionamento del processo di gestione del rischio di non conformità ed agli stessi è attribuito un ruolo di supervisione complessiva del sistema. Consiglio di Amministrazione Il Consiglio di Amministrazione ha la responsabilità di: approvare, con apposita delibera non delegabile, le politiche di gestione del rischio, sentito il Collegio Sindacale e su proposta del Direttore Generale. In particolare il Consiglio di Amministrazione, nell ambito delle suddette politiche approva: a) la definizione dei ruoli e responsabilità nel processo di gestione del rischio; b) i flussi informativi finalizzati ad assicurare la piena conoscenza agli Organi di Amministrazione e Controllo ed alle funzioni di controllo interno delle modalità di gestione del rischio e degli eventi rilevanti al riguardo. nominare e revocare, con apposita delibera, il Responsabile della Compliance, sentito il Collegio Sindacale; valutare almeno una volta l anno, sentito il Collegio Sindacale, l adeguatezza del sistema di gestione e controllo del rischio di non conformità; approvare il Codice Etico di GBM Holding SpA ed il Modello di Organizzazione e Gestione ex D.Lgs. 231/01. I Consigli di Amministrazione delle società controllate operano nel rispetto delle disposizioni statutarie ed in accordo agli indirizzi definiti dal Consiglio di Amministrazione della capogruppo. Collegio Sindacale Nell ambito di ciascuna società del Gruppo è prevista la presenza del Collegio Sindacale e ove nel caso revisore legale cui è affidato il compito di vigilare, sulla base delle attribuzioni conferite allo stesso dalla legge (cfr.decret. leg. 27 genn art bis 2397 e ss. del Codice Civile) e dalle disposizioni di vigilanza regolamentare, sull osservanza della legge e dello Statuto, sul rispetto dei principi di corretta amministrazione e, in particolare, sull adeguatezza e sul concreto funzionamento Pagina 15 di 36

16 dell assetto organizzativo, amministrativo e contabile adottato, anche con riferimento al processo di gestione del rischio di non conformità. I Collegi Sindacali, oltre ad esprimere pareri al Consiglio di Amministrazione sulle materie indicate in precedenza, svolgono il controllo su tutte le aree di attività delle rispettive società, in piena autonomia ed avvalendosi della collaborazione di tutte le strutture aziendali, coordinandosi, in particolare, con le funzioni di controllo interno della capogruppo (Responsabile della Compliance, funzione Internal Audit), con i responsabili del controllo contabile e con le società di revisione esterna. Il Collegio Sindacale può formulare osservazioni e proposte di modifica volte alla rimozione di eventuali anomalie riscontrate, verificando l attuazione delle stesse. Delle attività svolte è fornita evidenza mediante verbali, conservati nel Libro delle adunanze e deliberazioni, presso la funzione Segreteria Societaria della capogruppo. Direttore Generale Il Direttore Generale, nominato dal Consiglio di Amministrazione, cura l esecuzione delle deliberazioni del Consiglio stesso nell'ambito delle linee d'indirizzo fornite dal medesimo. Il Direttore Generale esercita i poteri decisionali ed operativi conferitigli dallo Statuto e/o dal CdA e può delegare parte dei predetti poteri ai Responsabili delle Funzioni aziendali. Il Direttore Generale persegue gli obiettivi gestionali e sovrintende allo svolgimento delle operazioni e al funzionamento dei servizi secondo le indicazioni del Consiglio di Amministrazione, assicurando la conduzione unitaria della Società e l efficacia del sistema dei controlli interni. In tale contesto allo stesso è attribuita la responsabilità di assicurare un efficace gestione del sistema dei controlli interni ed a tal fine, con la collaborazione della funzione Compliance, ha il compito di: assicurare la definizione di adeguate politiche e procedure di gestione del rischio di non conformità; approvare, previa verifica da parte del Responsabile della Compliance, le metodologie di svolgimento delle attività di competenza della funzione Compliance e delle funzioni coinvolte nel processo; assicurare la definizione di canali di comunicazione affinché tutto il personale dell organizzazione sia a conoscenza dei presidi di conformità relativi al proprio ambito operativo; Pagina 16 di 36

17 assicurare che le politiche e le procedure siano effettivamente applicate; verificare, in caso di violazioni, che vengano adottate le opportune misure correttive; assicurare la definizione di flussi informativi verso gli organi di vertice, al fine di fornire agli stessi la piena consapevolezza sulle modalità di gestione del rischio; assicurare l identificazione e la valutazione, con periodicità almeno annuale, dei principali rischi cui il Gruppo è esposto; assicurare la programmazione degli interventi migliorativi sia con riferimento ad eventuali carenze operative/organizzative sia a seguito dell identificazione di nuovi fattori di rischio emersi in fase di valutazione o a seguito di mutamenti del contesto regolamentare, dell entrata in nuovi mercati, di cambiamenti organizzativi; riferire, con periodicità almeno annuale, al Consiglio di Amministrazione ed al Collegio Sindacale sull adeguatezza della gestione del rischio e revisione legale e organo di vigilanza; fornire tempestiva informazione agli Organi Amministrativi e di Controllo su ogni violazione rilevante della conformità che possa comportare un alto rischio di sanzioni, perdite finanziarie rilevanti o danni alla reputazione; assicurare la definizione del sistema premiante (retribuzione, incentivazione, valutazione del personale) in coerenza con gli obiettivi di rispetto delle norme. La Funzione Compliance La funzione Compliance si inserisce, nell ambito del complessivo sistema di controllo interno, come funzione di controllo sulla gestione dei rischi (secondo livello), con l obiettivo di concorrere alla definizione delle metodologie di identificazione e valutazione del rischio di conformità, di individuare idonee procedure per la prevenzione dei rischi rilevati e di richiederne l adozione. In tale contesto, le principali responsabilità consistono in: supportare gli Organi Amministrativi e di Controllo nella definizione delle politiche di gestione del rischio di non conformità, elaborando, sulla base delle indicazioni ricevute, il documento da sottoporre all approvazione del Consiglio di Amministrazione; predisporre, con riferimento all intero processo di gestione del rischio, il Programma di Compliance, avvalendosi del supporto delle funzioni coinvolte; Pagina 17 di 36

18 contribuire alla diffusione della cultura di compliance tramite: la definizione della normativa interna in materia di regole etiche, deontologiche e di sicurezza ed in particolare il Codice Etico di GBM Holding SpA e il Modello di Organizzazione Gestione e Controllo ex D. Lgs. 231/01; il monitoraggio della formazione erogata su aspetti di compliance; definire le metodologie e gli strumenti per l identificazione e valutazione del rischio di non conformità ed effettuare il risk assessment periodico a livello di processo, di società e, in termini complessivi, di Gruppo; verificare il grado di aderenza a leggi, regolamenti e standards interni, dell operatività posta in essere, tramite l esecuzione diretta di analisi, anche a carattere permanente, e/o attraverso la collaborazione con le altre funzioni di controllo; promuovere l adozione di misure per la corretta gestione del rischio, anche a seguito di anomalie rilevate nell esecuzione delle verifiche di competenza, seguendone l effettiva realizzazione. Tale attività è svolta tramite l emissione di regolamenti interni specifici e/o la richiesta di interventi migliorativi alle funzioni responsabili del processo; fornire consulenza tramite analisi e valutazioni sulla normativa interna riguardante l adempimento di obblighi posti dalla normativa esterna e/o aspetti deontologici e di sicurezza; coordinare la propria azione con quella delle altre funzioni di controllo presenti in GBM Holding SpA; curare il reporting sull andamento del rischio, relazionando in maniera continuativa il Direttore Generale, l Organismo di Vigilanza e gli Organi di Amministrazione e di Controllo; ivi compreso il revisore legale; curare il coordinamento/monitoraggio dell azione dei referenti della compliance delle società controllate. Altre Direzioni/unità organizzative coinvolte nel processo Il processo di gestione del rischio di non conformità coinvolge, in maniera più o meno rilevante, anche altre Direzioni/unità organizzative in relazione alla realizzazione delle singole fasi operative. Pagina 18 di 36

19 Internal Audit Le principali responsabilità della funzione consistono in: sottoporre a revisione periodica il processo di gestione del rischio di non conformità, nell ambito dell attività di valutazione della funzionalità del complessivo sistema di controllo interno; effettuare verifiche di audit, al fine di valutare, sia a livello periferico che centrale, la conformità alle norme interne ed esterne dell organizzazione e del funzionamento dei processi aziendali; comunicare alla funzione Compliance le eventuali inefficienze nella gestione del rischio emerse nel corso delle verifiche; supportare i Collegi Sindacali delle società del Gruppo relativamente alle attività di verifica periodica svolte da questi ultimi. Responsabili delle Società Controllate Al fine di assicurare un maggior coordinamento di Gruppo, nell ambito di ciascuna società controllata è individuato un responsabile della Funzione di Compliance, nominato dal Consiglio di Amministrazione della società controllata stessa. In tale contesto, oltre gli obblighi e le responsabilità previste dalla legge, è responsabilità di ciascun referente: recepire le direttive emanate dalla capogruppo per il tramite delle funzioni competenti, divulgando le stesse al personale della società; verificare la corretta applicazione delle direttive della capogruppo e della normativa esterna da parte delle funzioni interessate; assicurare la corretta organizzazione dei dispositivi/ processi di controllo di competenza ed il loro efficace funzionamento; curare il reporting al Responsabile della funzione Compliance della capogruppo. Pagina 19 di 36

20 CAPITOLO 3 Fasi del processo Pagina 20 di 36

21 .1 Il processo di gestione del rischio di non conformità Il processo di gestione e controllo del rischio di non conformità è costituito da varie fasi che possono essere così individuate: pianificazione, in cui si definiscono le azioni da porre in essere nel periodo di riferimento e le funzioni da coinvolgere nella realizzazione delle stesse; identificazione e valutazione del rischio, in cui si identificano e si valutano i rischi di non conformità presenti nelle diverse linee di business e le procedure/dispositivi di controllo predisposti per eliminare/limitare tali rischi; controllo del rischio, effettuato attraverso presidi, trasversali a tutti le aree di rischio o specifici per ogni area normativa, di carattere preventivo e/o successivo; miglioramento organizzativo, in cui sono definiti e monitorati gli interventi migliorativi da realizzare; reporting, in cui sono definiti e prodotti i flussi informativi verso gli Organi Amministrativi e di Controllo e l Alta Direzione sull andamento del rischio. Pagina 21 di 36

22 3.2 Pianificazione La funzione Compliance della GBM Holding S.p.A. ha il compito di definire annualmente il Programma di Compliance, in cui sono individuate, con riferimento al complessivo processo di gestione del rischio, le attività da porre in essere e le funzioni incaricate della loro realizzazione. Scopo del documento è di coordinare l azione delle varie funzioni coinvolte nella gestione e controllo del rischio di non conformità, prevenendo la duplicazione delle attività e fornendo un indirizzo comune sulle priorità da affrontare nel periodo di riferimento. Le attività sono definite sulla base dei seguenti fattori: priorità indicate dal Direttore Generale della capogruppo o dagli Organi Amministrativi e di Controllo; esigenze derivanti dalle risultanze di verifiche svolte dalle Autorità di Vigilanza; variazioni intervenute nel contesto regolamentare esterno, al fine di individuare esigenze derivanti dall emissione/entrata in vigore di nuova normativa; esigenze derivanti da variazioni del contesto organizzativo interno (entrata in nuove aree di business, attivazione di nuovi canali/modalità di distribuzione, nuovi prodotti/processi, variazioni nella composizione del Gruppo). Le linee guida del Piano sono presentate al Direttore Generale, al Consiglio di Amministrazione ed al Collegio Sindacale. Le funzioni coinvolte nel processo di compliance tengono conto nella predisposizione dei propri piani di lavoro delle indicazioni contenute nel Programma di Compliance. Pagina 22 di 36

23 3.3 Identificazione e valutazione del rischio Per la valutazione, a fini gestionali, del rischio di non conformità è adottato un modello che, fornendo un quadro sullo stato del rischio a livello di processo/società/gruppo, consente, attraverso un approccio risk based, l individuazione delle priorità di intervento. Questa fase del processo è composta dalle seguenti attività: identificazione degli eventi di rischio; mappatura dei processi interessati dal rischio di non conformità e dei presidi di controllo/mitigazione predisposti; valutazione del livello di rischiosità mediante un sistema di valutazione qualitativa e quantitativa (vedi di seguito). La definizione dei criteri metodologici del modello, l esecuzione della valutazione periodica ed il reporting sul risultato di sintesi è di competenza della funzione Compliance, che si avvale della collaborazione delle varie Direzioni/funzioni del Gruppo. Le impostazioni ed i criteri metodologici sottostanti al modello sono portati a conoscenza del Consiglio di Amministrazione e del Collegio Sindacale della Capogruppo e delle società controllate. Identificazione degli eventi di rischio Tale attività è svolta dalla funzione Compliance, cui è assegnata la responsabilità di individuare e monitorare gli adempimenti normativi di interesse per la predisposizione/aggiornamento del modello. In relazione ad ogni fonte normativa, relativa al perimetro di riferimento del rischio di non conformità, sono censite le disposizioni specifiche aventi impatto sulle linee di business del Gruppo e le sanzioni collegate. Le informazioni sono aggiornate periodicamente in funzione delle modifiche intervenute nel contesto normativo o di nuove interpretazioni delle disposizioni normative censite. Pagina 23 di 36

24 I singoli requisiti normativi sono successivamente analizzati dalla funzione Compliance al fine di verificare eventuali interazioni/sovrapposizioni fra gli adempimenti posti da normative differenti. Il risultato di tale analisi è una mappatura degli eventi che possono generare delle non conformità, applicabile trasversalmente sia alle fonti normative specifiche, sia ai processi di Gruppo. Mappatura rischi/processi/controlli La funzione Compliance prende in esame tutti i processi e le operatività delle società del Gruppo, identificando quelli nei quali vi sia la possibilità di incorrere in rischi di non conformità alle normative di interesse, ed in particolare le attività che hanno impatto diretto nel rapporto con i clienti. Nell ambito dell analisi sono individuati i principali rischi collegati ai processi/sub processi e le attività di controllo predisposte per prevenire/mitigare gli stessi. Valutazione del livello di rischiosità Al fine di valutare il grado di esposizione al rischio, la funzione Compliance definisce un sistema di valutazione qualitativa basato sui seguenti elementi: rischio inerente: rischio collegato alla specifica area di riferimento senza prendere in considerazione le eventuali misure di mitigazione/controllo predisposte. Tale rischio viene valutato in funzione della probabilità di accadimento e dell impatto potenziale dello stesso. La probabilità, in assenza di dati storici consolidati, è valutata sulla base dell esperienza della funzione Compliance, eventualmente integrata con le valutazioni effettuate dalle funzioni responsabili dei processi/aree sensibili interessati. L impatto potenziale è stimato in funzione dell entità delle sanzioni collegate agli adempimenti normativi e delle conseguenze in termini reputazionali di eventuali inadempienze. procedure e controlli: valutazione dell organizzazione del sistema di controllo predisposto (regolamentazione delle attività e dei controlli, presenza ed efficacia dei dispositivi di controllo di linea, individuazione dei punti di controllo fondamentali, ecc.) e dell effettivo funzionamento dello stesso. Pagina 24 di 36

25 indicatori di rischio: il processo/area sensibile è valutato anche in funzione di indicatori quantitativi come ad esempio: reclami dei clienti; rilievi da parte delle Autorità di Vigilanza e/o delle funzioni di controllo interno, compresa la funzione Compliance, per i quali non siano stati adottati/completati, al momento della valutazione, gli interventi richiesti; incidenti di rischio operativo; ecc. Pagina 25 di 36

26 3.4 Il controllo del rischio Nell ambito del Sistema di Controllo Interno del Gruppo sono previsti presidi/processi di controllo finalizzati alla prevenzione del verificarsi degli eventi che possono generare la non conformità alle norme o alla mitigazione degli effetti degli stessi. Possono essere individuati presidi di carattere generale, trasversali a tutte le aree di rischio, e presidi di carattere specifico, individuati in funzione di adempimenti legati alle singole norme. Monitoraggio del contesto normativo esterno, informativa ed indirizzi interpretativi su leggi e regolamenti esterni. Tale attività rientra nell ambito di responsabilità della funzione Compliance e prevede: il controllo permanente dell evoluzione del contesto legislativo e regolamentare; l interpretazione degli adempimenti richiesti dalle norme esterne e la valutazione dell impatto sui processi del Gruppo; la diffusione delle informazioni alle funzioni/direzioni interessate. L acquisizione delle informazioni è effettuata tramite fonti ufficiali individuate, in linea generale, in: Gazzetta Ufficiale; comunicazioni/circolari delle associazioni di categoria (ASSOFIN, ABI ecc.) e delle Autorità di Vigilanza, diffuse tramite la Segreteria Societaria; siti internet di Organi Istituzionali (Governo, Ministeri, Parlamento, Commissione Europea, ecc.) e/o delle Autorità di Vigilanza (Banca d Italia, Garante per la Protezione dei Dati Personali, Autorità Garante della Concorrenza e del Mercato, ecc.); Effettuato l esame del contenuto normativo e valutato l impatto sui processi di Gruppo, la diffusione delle informazioni relative è effettuata attraverso riunioni con le Direzioni/funzioni interessate per le ulteriori valutazioni del caso, la diffusione di analisi specifiche o tramite la diretta predisposizione di regolamenti interni. Pagina 26 di 36

27 Sistema regolamentare interno La diffusione a tutti i livelli organizzativi di una cultura di attenzione costante al rispetto delle regole, interne ed esterne, è condizione essenziale per la creazione di un adeguato ambiente di controllo e, in definitiva, per l efficace funzionamento dei dispositivi di controllo predisposti. Tale obiettivo è perseguito, tra l altro, attraverso la definizione di regolamentazione interna per l adeguata implementazione della normativa esterna, di codici di condotta e di autoregolamentazione e di linee guida pratiche, finalizzata da un lato a fornire a tutto il personale un adeguata informazione sulla normativa di riferimento e sui principi di carattere etico e di sicurezza adottati dal Gruppo e, dall altro, a guidare l operatività ed i comportamenti del personale stesso nello svolgimento delle attività di competenza. In tale ambito, è responsabilità della funzione Compliance assistere il CdA nell approvazione della normativa interna primaria, in particolare: Codice Etico di GBM Holding SpA, che individua i valori essenziali, gli standard di riferimento e le norme di condotta, fissando i principi generali cui devono essere orientati i comportamenti di coloro che operano nell ambito e/o in nome e per conto del Gruppo; Modello di Organizzazione e Gestione ex D.Lgs. 231/01, che descrive il sistema di controllo predisposto per prevenire il rischio di commissione dei reati contemplati dal D.Lgs. 231/01. E compito delle varie Direzioni/funzioni aziendali, secondo il rispettivo ambito di competenza, definire regolamentazioni di dettaglio che tengano conto ed implementino i principi di carattere generale enunciati dalla normativa primaria e dalla normativa esterna. Il sistema di gestione dei documenti è coordinato dalla funzione Compliance, che definisce le regole relative alla redazione, approvazione e diffusione degli stessi, curando, inoltre, con la collaborazione delle Direzioni interessate, l aggiornamento degli elenchi dei documenti in vigore. I documenti di normativa primaria sono pubblicati sul sito intranet del Gruppo. Pagina 27 di 36

28 Gli altri documenti possono essere pubblicati sul sito intranet, qualora riguardino aspetti di interesse generale, oppure possono avere una diffusione controllata e limitata esclusivamente ad alcune funzioni. Formazione del personale Formazione e comunicazione interna Nella definizione delle modalità di comunicazione interna e formazione, GBM Holding SpA ha l obiettivo di fornire al personale le informazioni e le competenze necessarie a svolgere le mansioni assegnate ed a consentire lo svolgimento delle stesse nel rispetto dell insieme delle regole interne ed esterne vigenti. In modo particolare, i principi guida per la definizione del programma formativo e di comunicazione in materia di aspetti di compliance sono i seguenti: pervasività: è previsto il coinvolgimento di tutto il personale della società; documentabilità: al termine delle sessioni formative, deve essere dimostrabile l avvenuta fruizione della formazione e l assimilazione dei concetti proposti (ad esempio attraverso l esecuzione di test di verifica delle conoscenze acquisite); responsabilizzazione: al termine della formazione, il personale è formato e responsabilizzato sulla necessità di tenere comportamenti conformi a quanto previsto dalle norme esterne ed interne. La funzione Compliance individua le esigenze di formazione del personale derivanti dalla normativa vigente, definendone contenuti e modalità di attuazione. Gli interventi sono differenziati in ragione del ruolo, delle responsabilità dei destinatari e della circostanza che i medesimi operino in aree sensibili al rischio di non conformità, in un ottica di personalizzazione dei percorsi e di reale rispondenza ai bisogni delle singole strutture/risorse. I soggetti destinatari della formazione sono tutti coloro che operano nell ambito di GBM Holding SpA, indipendentemente dal tipo di contratto di lavoro. Sistema premiante e disciplinare Pagina 28 di 36

29 La funzione Compliance ha la responsabilità di definire, sulla base delle politiche aziendali, il sistema premiante (valutazione, retribuzione e incentivazione del personale) in coerenza con gli obiettivi di rispetto delle norme, dello Statuto e dei principi etici di Gruppo. Tale sistema viene poi sottoposto al Consiglio di Amministrazione per l approvazione. La funzione Compliance ha, inoltre, il compito di segnalare all Organismo di Vigilanza di GBM Holding SpA i comportamenti non in linea con la normativa esterna e con le regole etiche, deontologiche e di sicurezza di Gruppo, per l adozione delle opportune misure disciplinari, secondo le modalità previste dai circuiti operativi interni e nel rispetto della normativa in materia di rapporto di lavoro. Consulenza L attività di consulenza nei confronti degli Organi/funzioni aziendali nelle materie in cui assume rilievo il rischio di non conformità è svolta dalla funzione Compliance di GBM Holding SpA. Fermo restando il dovere di ciascun Dirigente/Responsabile di funzione di essere a conoscenza delle regole interne ed esterne in vigore e di assicurare l applicazione delle stesse nel proprio ambito di competenza, ogni accordo commerciale, contratto o comunicazione che vincoli o esponga GBM Holding SpA e le società del Gruppo nei riguardi di soggetti esterni, qualora non faccia riferimento a standard precedentemente approvati/predisposti, deve essere sottoposto ad una valutazione preventiva da parte di quest ultima. Le richieste di parere/consulenza inoltrate alla funzione Compliance devono essere trasmesse in forma scritta ed inviate con un congruo anticipo, in relazione anche alla complessità dell argomento trattato. La richiesta deve pervenire da un Responsabile di funzione e deve essere validata (ad esempio, mediante trasmissione dell per conoscenza) dal Direttore della Direzione/società del Gruppo proponente, oppure da un Responsabile che risponda direttamente a questi. Il parere/consulenza è espresso in forma scritta. La funzione Compliance mantiene un archivio, per argomenti, delle richieste e dei pareri/consulenze rilasciati. Pagina 29 di 36

30 Rapporti con i regulators La tenuta dei rapporti con le Autorità di Vigilanza, sia in fase di richiesta di chiarimenti che in fase di verifiche ispettive, è curata/coordinata dalla funzione Istitutional Investor Relation che si può avvalere delle altre Direzioni/funzioni anche in outsourcing eventualmente interessate. Sono definiti circuiti specifici per: il trattamento ed il monitoraggio degli esposti dei clienti alle Autorità di Vigilanza ed alle Autorità Garanti (Trattamento dei Dati Personali, Concorrenza e Mercato, ecc.) e il trattamento di eventuali richieste di chiarimenti in caso di procedimenti attivati presso le Autorità a seguito di ricorsi presentati dai clienti; il seguito delle verifiche ispettive condotte dalle suddette Autorità, con lo scopo di: supportare, coordinando le funzioni interessate, l attività di verifica sulla base delle esigenze evidenziate dall Organo/Autorità di Vigilanza; dare una tempestiva informativa all Alta Direzione; fornire un adeguato seguito agli eventuali rilievi evidenziati interessando le Direzioni competenti. Verifiche e testing La funzione Compliance, come funzione di controllo di secondo livello, ha il compito di verificare i comportamenti aziendali e il grado di aderenza alle normative esterne ed interne attraverso: l esecuzione diretta di analisi/controlli; la collaborazione con altre funzioni di controllo interno mediante: l elaborazione di check list su aspetti di compliance, da utilizzare nell ambito delle verifiche svolte da quest ultime; l utilizzo delle risultanze delle verifiche effettuate da tali funzioni. L attività di verifica diretta è articolata in controlli permanenti e verifiche specifiche. I controlli permanenti consistono in attività svolte sistematicamente, con una periodicità definita, sull applicazione delle previsioni della norme esterne (ad esempio controlli sugli adempimenti previsti dal Modello di Organizzazione e Gestione ex D.Lgs. 231/01, controlli sulle operazioni sospette e per il contrasto finanziario al terrorismo) e possono essere svolti anche attraverso Pagina 30 di 36

31 l utilizzo di schede di autovalutazione, compilate dalle funzioni responsabili dei controlli di linea. Per le verifiche specifiche la determinazione delle priorità di intervento è effettuata sulla base di: risultanze del risk assessment; valutazione delle evoluzioni del contesto interno ed esterno; esigenze evidenziate dall Alta Direzione e/o dagli Organi di controllo. Le analisi possono essere condotte mediante verifiche documentali e colloqui con il personale delle funzioni interessate. Le risultanze di tutte le attività sono riportate in una relazione, in cui la funzione Compliance propone anche gli eventuali miglioramenti da apportare all operatività al fine di mitigare i rischi residui individuati e le funzioni responsabili della realizzazione degli stessi. La relazione di analisi è diffusa, generalmente, alle Direzioni/funzioni interessate e al Direttore Generale. L attività di verifica e testing può essere svolta anche in collaborazione con altre funzioni di controllo ed in particolare con l Internal Audit. I responsabili dell Internal Audit o delle altre funzioni coinvolte comunicano alla funzione Compliance eventuali anomalie legate al rischio di non conformità riscontrate nell esecuzione delle attività di loro competenza, anche mediante la trasmissione per conoscenza dei rapporti sulle verifiche effettuate. Trattamento e monitoraggio dei reclami dei clienti L attività di trattamento e monitoraggio dei reclami 2 Compliance. dei clienti sono curate dalla funzione Nell ambito della complessiva gestione sono trattati anche i reclami riferiti ad aspetti etici/di compliance, riguardanti, in particolare: 22 La definizione di reclamo adottata, in conformità alle indicazioni dell Associazione Bancaria Italiana, è: qualunque questione, rappresentata in forma scritta, derivante da rapporti intrattenuti con la banca avente ad oggetto rilievi circa il modo con cui la banca abbia gestito operazioni o servizi, purché posti in essere nei due anni precedenti il giorno della presentazione del reclamo. Pagina 31 di 36

32 trasparenza dei servizi bancari e finanziari (contestazioni inerenti la presunta insufficienza delle informazioni ricevute dai clienti); trattamento dei dati personali (segnalazioni effettuate presso i SIC e/o presso le Centrali di Rischi pubbliche; trattamento dei dati a fini promozionali, pubblicitari, di marketing); commercializzazione a distanza di prodotti/servizi (contestazioni inerenti il mancato rispetto delle regole di comportamento previste dalla normativa esterna e dalle regole etico/deontologiche interne); rapporti con il personale (contestazioni inerenti contatti di natura commerciale o finalizzati al recupero amichevole del credito che per modalità o contenuti non rispondono agli standard qualitativi attesi dalla clientela); aspetti organizzativi (contestazioni inerenti problematiche di contatto con le società del Gruppo o, in linea generale, anomalie in fase di dopo vendita). I reclami pervenuti sono oggetto di monitoraggio continuativo da parte dell unità organizzativa preposta, che produce periodicamente un report sull andamento degli stessi. Il report è diffuso all Alta Direzione e alle funzioni maggiormente coinvolte. Eventuali aree di intervento migliorativo, di carattere organizzativo o legate ai prodotti e servizi offerti, rilevate a seguito di eventuali ricorrenze nei motivi di insoddisfazione lamentati dai clienti, sono segnalate alle funzioni competenti a cura del Responsabile dell unità organizzativa. Pagina 32 di 36

33 3.5 Miglioramento dell organizzazione L attività di miglioramento dell organizzazione, con riferimento alla gestione del rischio di non conformità, viene svolta tramite: l adozione di misure correttive a fronte delle anomalie rilevate nel corso del testing e del risk assessment; l emissione di regolamenti specifici da parte della funzione Compliance. Con riferimento al primo punto, è responsabilità delle funzioni di controllo interno, compresa la funzione Compliance, monitorare la realizzazione degli interventi migliorativi richiesti a seguito delle attività di verifica/assessment effettuate. I Responsabili delle Direzioni/funzioni destinatarie di interventi migliorativi predispongono un Piano d Azione con cui si assumono l impegno formale di realizzare gli stessi o, diversamente, la responsabilità di non dare seguito a quanto richiesto, specificandone la motivazione. Il Piano d Azione, con indicazione degli interventi previsti e dei tempi di realizzazione, deve essere comunicato, a cura del Responsabile della funzione destinataria, in forma scritta (anche mediante posta elettronica), o comunque da questi validato (ad esempio per conoscenza). I tempi di attuazione indicati nel Piano d Azione possono variare a seconda della complessità degli interventi richiesti, e saranno oggetto di valutazione da parte delle funzioni che hanno condotto la verifica, interessando, se ritenuto opportuno, la funzione Compliance. Le modalità di seguito dei Piani di Azione sono specificate nella regolamentazione interna delle funzioni di controllo. La mancata attuazione di un intervento può comportare, secondo il livello di rischio determinato dall analisi, la possibilità di sanzioni/danni reputazionali. Per questo motivo il Responsabile della funzione che ha condotto la verifica ne discute con il Responsabile della funzione destinataria o con i suoi superiori gerarchici. In mancanza di intesa, ne viene data informazione alla funzione Compliance e al Direttore Generale della capogruppo per l assunzione delle decisioni del caso. Pagina 33 di 36