MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO ai sensi del Decreto Legislativo 8 giugno 2001, n. 231

Transcript

1 MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO ai sensi del Decreto Legislativo 8 giugno 2001, n. 231 Approvato dal Consiglio di Amministrazione in data 21 giugno 2012

2 INDICE CAPITOLO 1 IL CONTESTO NORMATIVO IL REGIME DI RESPONSABILITÀ AMMINISTRATIVA PREVISTO DAL DECRETO LEGISLATIVO N. 231/2001 A CARICO DELLE PERSONE GIURIDICHE, SOCIETÀ ED ASSOCIAZIONI L ADOZIONE DEI MODELLI DI ORGANIZZAZIONE, GESTIONE E CONTROLLO QUALI ESIMENTI DELLA RESPONSABILITÀ AMMINISTRATIVA DELL ENTE... 7 CAPITOLO 2 - IL MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO DELLA CASSA DI RISPARMIO DI CITTÀ DI CASTELLO S.P.A IL MODELLO ORGANIZZATIVO DI CASSA DI RISPARMIO DI CITTÀ DI CASTELLO S.P.A GLI STRUMENTI AZIENDALI ESISTENTI QUALI PRESUPPOSTI DEL MODELLO Codice Etico e Codice interno di comportamento di Gruppo Le caratteristiche salienti del sistema dei controlli interni Il sistema dei poteri e delle deleghe LE FINALITÀ PERSEGUITE CON L ADOZIONE DEL MODELLO GLI ELEMENTI FONDAMENTALI DEL MODELLO LA STRUTTURA DEL MODELLO I DESTINATARI DEL MODELLO ADOZIONE, EFFICACE ATTUAZIONE E MODIFICAZIONE DEL MODELLO RUOLI E RESPONSABILITÀ IL RUOLO DI CAPOGRUPPO PRINCIPI DI INDIRIZZO DI GRUPPO IN MATERIA DI RESPONSABILITÀ AMMINISTRATIVA DEGLI ENTI CAPITOLO 3 - L ORGANISMO DI VIGILANZA INDIVIDUAZIONE DELL ORGANISMO DI VIGILANZA COMPOSIZIONE, DURATA E COMPENSI DELL ORGANISMO DI VIGILANZA REQUISITI DI ELEGGIBILITÀ, CAUSE DI DECADENZA E SOSPENSIONE Requisiti di professionalità, onorabilità ed indipendenza Verifica dei requisiti Cause di decadenza Cause di sospensione TEMPORANEO IMPEDIMENTO DI UN COMPONENTE EFFETTIVO COMPITI DELL ORGANISMO DI VIGILANZA L OPERATIVITÀ DELL ORGANISMO DI VIGILANZA ALL INTERNO DELLA CASSA DI RISPARMIO DI CITTÀ DI CASTELLO S.P.A Verifiche di adeguatezza del Modello MODALITÀ E PERIODICITÀ DI RIPORTO AGLI ORGANI SOCIETARI E CAPOGRUPPO Obblighi informativi in relazione all attività di prevenzione del reato di riciclaggio e di finanziamento del terrorismo di cui all art. 52 D. Lgs. n. 231/ CAPITOLO 4 - FLUSSI INFORMATIVI VERSO L ORGANISMO DI VIGILANZA FLUSSI INFORMATIVI DA EFFETTUARSI AL VERIFICARSI DI PARTICOLARI EVENTI FLUSSI INFORMATIVI PERIODICI CAPITOLO 5 - IL SISTEMA SANZIONATORIO CAPITOLO 6 - FORMAZIONE E COMUNICAZIONE INTERNA COMUNICAZIONE INTERNA FORMAZIONE CAPITOLO 7 GLI ILLECITI PRESUPPOSTO - AREE, ATTIVITÀ E RELATIVI PRINCIPI DI COMPORTAMENTO E DI CONTROLLO INDIVIDUAZIONE DELLE AREE SENSIBILI AREA SENSIBILE CONCERNENTE I REATI CONTRO LA PUBBLICA AMMINISTRAZIONE Fattispecie di reato Attività aziendali sensibili Stipula dei rapporti contrattuali con la Pubblica Amministrazione...60 Premessa...60 Descrizione del processo...60

3 Principi di controllo...61 Principi di comportamento Gestione dei rapporti contrattuali con la Pubblica Amministrazione...65 Premessa...65 Descrizione dei processi...66 Principi di controllo...68 Principi di comportamento Gestione delle attività inerenti la richiesta di autorizzazioni o l esecuzione di adempimenti verso la Pubblica Amministrazione...72 Premessa...72 Descrizione del Processo...73 Principi di controllo...73 Principi di comportamento Gestione degli interventi agevolativi...77 Premessa...77 Descrizione del processo...78 Principi di controllo...78 Principi di comportamento Gestione della formazione finanziata...83 Premessa...83 Descrizione del processo...84 Principi di controllo...84 Principi di comportamento Gestione dei contenziosi e degli accordi transattivi...88 Premessa...88 Descrizione del Processo...88 Principi di controllo...89 Principi di comportamento Gestione dei rapporti con le Autorità di Vigilanza...93 Premessa...93 Descrizione del Processo...94 Principi di controllo...94 Principi di comportamento Gestione delle procedure acquisitive dei beni e dei servizi e degli incarichi professionali...98 Premessa...98 Descrizione del Processo...99 Principi di controllo...99 Principi di comportamento Gestione di omaggi, spese di rappresentanza, beneficenze e sponsorizzazioni Premessa Descrizione del Processo Principi di controllo Principi di comportamento Gestione del processo di selezione e assunzione del personale Premessa Descrizione del Processo Principi di controllo Principi di comportamento Gestione del patrimonio immobiliare e dei beni mobili aventi valore artistico Premessa Descrizione del Processo Principi di controllo Principi di comportamento AREA SENSIBILE CONCERNENTE I REATI DI FALSITÀ IN MONETE (E VALORI) Fattispecie di reato Attività aziendali sensibili GESTIONE DEI VALORI Premessa Descrizione del processo Principi di controllo Principi di comportamento AREA SENSIBILE CONCERNENTE I REATI SOCIETARI Fattispecie di reato Attività aziendali sensibili

4 Gestione dei rapporti con il Collegio Sindacale e con la Società di Revisione Premessa Descrizione del Processo Principi di controllo Principi di comportamento Gestione dell informativa periodica Premessa Descrizione del Processo Principi di controllo Principi di comportamento Predisposizione dei prospetti informativi Premessa Descrizione del Processo Principi di controllo Principi di comportamento AREA SENSIBILE CONCERNENTE I REATI CON FINALITÀ DI TERRORISMO O DI EVERSIONE DELL ORDINE DEMOCRATICO, I REATI DI CRIMINALITÀ ORGANIZZATA, I REATI TRANSNAZIONALI ED I REATI CONTRO LA PERSONA Fattispecie di reato Attività aziendali sensibili AREA SENSIBILE CONCERNENTE I REATI DI RICETTAZIONE, RICICLAGGIO E IMPIEGO DI DENARO, BENI O UTILITÀ DI PROVENIENZA ILLECITA Fattispecie di reato Premessa Attività aziendali sensibili Contrasto finanziario al terrorismo ed al riciclaggio dei proventi di attività criminose Premessa Descrizione del Processo Principi di controllo AREA SENSIBILE CONCERNENTE I REATI ED ILLECITI AMMINISTRATIVI RICONDUCIBILI AD ABUSI DI MERCATO Fattispecie di reato Attività aziendali sensibili Gestione e divulgazione delle informazioni e delle comunicazioni esterne ai fini della prevenzione degli illeciti penali e amministrativi in tema di abusi di mercato Premessa Descrizione del processo Principi di controllo Principi di comportamento Gestione delle operazioni di mercato ai fini della prevenzione degli illeciti penali e amministrativi in tema di abusi di mercato Premessa Descrizione del processo Principi di controllo Principi di comportamento AREA SENSIBILE CONCERNENTE I REATI IN TEMA DI SALUTE E SICUREZZA SUL LAVORO Fattispecie di reato Attività aziendali sensibili Gestione dei rischi in materia di salute e sicurezza sul lavoro Premessa Descrizione del processo Principi di controllo Principi di comportamento AREA SENSIBILE CONCERNENTE I REATI INFORMATICI FATTISPECIE DI REATO ATTIVITÀ AZIENDALI SENSIBILI Gestione e utilizzo dei sistemi informatici e del Patrimonio Informativo di Gruppo Premessa Descrizione del Processo Principi di controllo Principi di comportamento AREA SENSIBILE CONCERNENTE I REATI CONTRO L INDUSTRIA ED IL COMMERCIO ED I REATI IN MATERIA DI VIOLAZIONE DEL DIRITTO D AUTORE Fattispecie di reato Attività aziendali sensibili AREA SENSIBILE CONCERNENTE I REATI AMBIENTALI

5 Fattispecie di reato Attività aziendali sensibili Gestione dei rischi in materia ambientale Premessa Descrizione del processo Principi di controllo Principi di comportamento...219

6 Capitolo 1 Il contesto normativo 1.1 Il regime di responsabilità amministrativa previsto dal Decreto Legislativo n. 231/2001 a carico delle persone giuridiche, società ed associazioni In attuazione della delega di cui all art. 11 della Legge 29 settembre 2000 n. 300, in data 8 giugno 2001 è stato emanato il Decreto Legislativo n. 231 (di seguito denominato il Decreto o anche D. Lgs. n. 231/2001 ), con il quale il Legislatore ha adeguato la normativa interna alle convenzioni internazionali in materia di responsabilità delle persone giuridiche. In particolare, si tratta della Convenzione di Bruxelles del 26 luglio 1995 sulla tutela degli interessi finanziari delle Comunità Europee, della Convenzione firmata a Bruxelles il 26 maggio 1997 sulla lotta alla corruzione nella quale siano coinvolti funzionari della Comunità Europea o degli Stati membri e della Convenzione OCSE del 17 dicembre 1997 sulla lotta alla corruzione di pubblici ufficiali stranieri nelle operazioni economiche ed internazionali. Il Decreto, recante la Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, ha introdotto nell ordinamento giuridico italiano un regime di responsabilità amministrativa a carico degli Enti (da intendersi come società, associazioni, consorzi, ecc., di seguito denominati Enti ) per reati tassativamente elencati e commessi nel loro interesse o vantaggio: (i) da persone fisiche che rivestano funzioni di rappresentanza, di amministrazione o di direzione degli Enti stessi o di una loro unità organizzativa dotata di autonomia finanziaria e funzionale, nonché da persone fisiche che esercitino, anche di fatto, la gestione e il controllo degli Enti medesimi, ovvero (ii) da persone fisiche sottoposte alla direzione o alla vigilanza di uno dei soggetti sopra indicati. Il catalogo degli illeciti presupposto si è dilatato in tempi recenti con l introduzione, nell ambito degli illeciti presupposto, anche di alcune fattispecie di illecito amministrativo. La responsabilità dell Ente si aggiunge a quella della persona fisica, che ha commesso materialmente l illecito, ed è autonoma rispetto ad essa, sussistendo anche quando l autore del reato non è stato identificato o non è imputabile oppure nel caso in cui il reato si estingua per una causa diversa dall amnistia. La previsione della responsabilità amministrativa di cui al Decreto coinvolge, nella repressione degli illeciti ivi espressamente previsti, gli Enti che abbiano tratto vantaggio dalla commissione del reato o nel cui interesse siano stati compiuti i reati - o gli illeciti amministrativi - presupposto di cui al Decreto medesimo. A carico dell Ente sono irrogabili sanzioni pecuniarie e interdittive, nonché la confisca, la pubblicazione della sentenza di condanna ed il commissariamento. Le misure interdittive, che possono comportare per l Ente conseguenze più gravose rispetto alle sanzioni pecuniarie, consistono nella sospensione o revoca di licenze e concessioni, nel divieto 6

7 di contrarre con la pubblica amministrazione, nell'interdizione dall'esercizio dell'attività, nell'esclusione o revoca di finanziamenti e contributi, nel divieto di pubblicizzare beni e servizi. La suddetta responsabilità si configura anche in relazione a reati commessi all estero, purché per la loro repressione non proceda lo Stato del luogo in cui siano stati commessi e l Ente abbia nel territorio dello Stato italiano la sede principale. 1.2 L adozione dei modelli di organizzazione, gestione e controllo quali esimenti della responsabilità amministrativa dell Ente Istituita la responsabilità amministrativa degli Enti, l art. 6 del Decreto stabilisce che l Ente non risponde nel caso in cui dimostri di aver adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi. La medesima norma prevede, inoltre, l istituzione di un organismo di controllo interno all Ente con il compito di vigilare sul funzionamento, sull efficacia e sull osservanza dei predetti modelli, nonché di curarne l'aggiornamento. Il modello di organizzazione, gestione e controllo (di seguito denominato anche Modello ) deve rispondere alle seguenti esigenze: individuare le attività nel cui ambito possano essere commessi i reati previsti dal Decreto; prevedere specifici protocolli diretti a programmare la formazione e l attuazione delle decisioni dell Ente in relazione ai reati da prevenire; individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione di tali reati; prevedere obblighi di informazione nei confronti dell organismo deputato a vigilare sul funzionamento e sull osservanza del Modello; introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel Modello. Ove il reato venga commesso da soggetti che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell Ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale, nonché da soggetti che esercitano, anche di fatto, la gestione e il controllo dello stesso, l Ente non risponde se prova che: (i) l organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, un Modello idoneo a prevenire reati della specie di quello verificatosi; (ii) il compito di vigilare sul funzionamento e l osservanza del Modello e di curarne l aggiornamento è stato affidato a un organismo dell Ente dotato di autonomi poteri di iniziativa e di controllo; (iii) i soggetti hanno commesso il reato eludendo 7

8 fraudolentemente il Modello; (iv) non vi è stata omessa o insufficiente vigilanza da parte dell organismo di controllo. Nel caso in cui, invece, il reato venga commesso da soggetti sottoposti alla direzione o alla vigilanza di uno dei soggetti sopra indicati, l Ente è responsabile se la commissione del reato è stata resa possibile dall inosservanza degli obblighi di direzione e vigilanza. Detta inosservanza è, in ogni caso, esclusa qualora l Ente, prima della commissione del reato, abbia adottato ed efficacemente attuato un Modello idoneo a prevenire reati della specie di quello verificatosi, secondo una valutazione che deve necessariamente essere a priori. L art. 6 del Decreto dispone, infine, che il Modello possa essere adottato sulla base di codici di comportamento redatti da associazioni rappresentative di categoria e comunicati al Ministero della Giustizia. In particolare, il Modello di Cassa di Risparmio di Città di Castello S.p.A. (di seguito la Banca ), tiene conto delle peculiarità connesse al ruolo di sub-holding svolto da Banca CR Firenze, dalla quale è controllata, dell attività posta in essere e della conseguente struttura organizzativa e si attiene ai principi contenuti nel Modello della Capogruppo Intesa Sanpaolo S.p.A., nonché delle Linee Guida redatte in materia dall ABI ed approvate dal Ministero della Giustizia. 8

9 Capitolo 2 - Il Modello di organizzazione, gestione e controllo della Cassa di Risparmio di Città di Castello S.p.A. 2.1 Il Modello Organizzativo di Cassa di Risparmio di Città di Castello S.p.A A seguito dell acquisizione del controllo, avvenuta nel gennaio 2008, da parte di Intesa Sanpaolo di Banca CR Firenze S.p.A., che a sua volta detiene il controllo di Cassa di Risparmio di Città di Castello S.p.A., si è reso necessario un profondo riassetto organizzativo e procedurale culminato nella migrazione sul sistema informativo della Capogruppo nel mese di ottobre Sotto il profilo organizzativo-territoriale, Cassa di Risparmio di Città di Castello S.p.A. fa parte della Divisione di Banca dei Territori di Intesa Sanpaolo e ad essa fa capo la Direzione Regionale Toscana, Umbria, Lazio e Sardegna dal 1 gennaio Alla controllante Banca CR Firenze è stato riconosciuto, dall Addendum al Regolamento di Gruppo (convenuto con la Capogruppo ed approvato con delibera del CdA di Banca CR Firenze del 22 settembre 2008) il ruolo di sub-holding. La sub-holding opera in forma integrata con la struttura di Direzione Regionale nell osservanza di ruolo e funzioni previste dal citato Addendum. Pertanto, Banca CR Firenze svolge per conto e nell interesse della Capogruppo, nei confronti delle sub-controllate (società direttamente o indirettamente partecipate o controllate da Banca CR Firenze, tra le quali anche Cassa di Risparmio di Città di Castello), l attività di governo, direzione e coordinamento esercitata dalla, e spettante alla, stessa Capogruppo nei confronti del Gruppo, nonché l attività di governo delle Filiali e dei Centri Imprese di Intesa Sanpaolo che sono presenti sul territorio di pertinenza di Banca CR Firenze e delle sue sub-controllate. Cassa di Risparmio di Città di Castello S.p.A. dunque, risponde a Banca CR Firenze la quale esercita ed ha la responsabilità dell organizzazione e del supporto dell attività delle proprie subcontrollate, per conto della Capogruppo, ai fini dell esecuzione, applicazione e rispetto delle direttive di indirizzo e di governo emanate da quest ultima, assicurandone il costante adempimento. Il citato Addendum assicura autonomia gestionale ed operativa a Banca CR Firenze, nelle attività di direzione e coordinamento delle sub-controllate, tra le quali anche Cassa di Risparmio di Città di Castello S.p.A. A tal fine la prima è stata dotata di funzioni e strutture operative idonee allo svolgimento del ruolo assegnatole e, proprio in tale ottica, è stato attivato un «Centro Servizi» dedicato alla gestione di talune funzioni; tra le quali: Segreteria Generale, Legale e Contenzioso non recuperatorio, Compliance, Amministrazione e Bilancio, Internal Auditing, Relazioni esterne, Organizzazione. 9

10 I ruoli ed i compiti assegnati alle singole strutture della sub-holding, sono disciplinati nei Funzionigrammi e nella normativa aziendale a cui si rimanda. Attività oggetto di outsourcing Il Modello Organizzativo di Cassa di Risparmio di Città di Castello S.p.A. prevede l esternalizzazione (di seguito anche outsourcing ) presso la Capogruppo Intesa Sanpaolo e/o altre Società del Gruppo (tra le quali in particolare Intesa Sanpaolo Group Services S.C.p.A. - di seguito anche ISGS) nonché presso la sub-holding Banca CR Firenze per conto e con il coordinamento della Capogruppo, di una parte delle attività di governance, amministrative e di back office della Banca (back office titoli/sistemi di pagamento/estero, help desk, sviluppo organizzativo, gestione dei sistemi informativi, sicurezza fisica ed informatica, selezione e gestione del personale, capital budget e controllo costi, corporate ed investment banking, decisioni creditizie, presidio qualità del credito, qualità dati e valutazioni specialistiche rating, pianificazione e controllo, recupero crediti, tesoreria, acquisti, tutela aziendale salute e sicurezza dei lavoratori reclami, risk management, valutazione partecipazioni etc.), nonché di quelle di supporto all attività commerciale, ivi compresa la revisione/istruttoria delle pratiche di fido al di sopra di determinati livelli di facoltà (marketing strategico, supporto commerciale e pricing, accordi commerciali, enti e tesorerie, multicanalità ecc.). L affidamento in outsourcing di tali attività è realizzato in conformità alle prescrizioni delle competenti Autorità di Vigilanza ed è formalizzato attraverso la stipula di specifici contratti che assicurano alla Cassa di Risparmio di Città di Castello S.p.A.: di assumere ogni decisione nel rispetto della propria autonomia, mantenendo la necessaria responsabilità su tutte le attività, ivi comprese quelle relative ai servizi esternalizzati; di mantenere conseguentemente la capacità di controllo circa la congruità dei servizi resi in outsourcing dalla stessa Banca CR Firenze e/o da Capogruppo Intesa Sanpaolo e/o da altre Società del Gruppo. In particolare, tali contratti prevedono: una descrizione dettagliata delle attività esternalizzate; le modalità di erogazione dei servizi; gli specifici livelli di servizio; i poteri di verifica e controllo spettanti alla Banca; le modalità di tariffazione dei servizi resi; idonei sistemi di reporting; adeguati presidi a tutela del patrimonio informativo della Banca e della sicurezza delle transazioni; 10

11 l obbligo dell outsourcer di operare in conformità alle leggi ed ai regolamenti vigenti nonché di esigere l osservanza delle leggi e dei regolamenti anche da parte di terzi ai quali si dovesse rivolgere per lo svolgimento delle attività esternalizzate; l obbligo di consentire, agli Organi di Controllo interni e/o ad altri incaricati di Cassa di Risparmio di Città di Castello S.p.A. potere di accesso e di ispezione; la facoltà per Cassa di Risparmio di Città di Castello S.p.A. di risolvere il contratto in caso di violazione da parte dell outsourcer: (i) delle norme legislative e delle disposizioni impartite dall Autorità di Vigilanza che possano comportare sanzioni a carico del committente; (ii) dell obbligo di dare esecuzione all attività nel rispetto dei principi contenuti del Modello di Organizzazione, Gestione e Controllo ai sensi del D. Lgs. n. 231/2001 adottato dalla Banca. nonché del Codice Etico e del Codice interno di comportamento di Gruppo. Apposite strutture accentrate presso la sub-holding Banca CR Firenze verificano nel continuo, anche tramite il controllo dei previsti livelli di servizio, il rispetto delle clausole contrattuali e, di conseguenza, l adeguatezza delle attività prestate dagli outsourcer. Non sono regolate da contratti di outsourcing le attività svolte istituzionalmente dalla Capogruppo in tale sua qualità, tra cui quelle finalizzate a definire le linee strategiche del Gruppo e delle Società che lo compongono e volte a garantire l uniformità nei processi e nelle azioni. Per quanto concerne il sistema dei controlli interni (che replica gli strumenti e le modalità attualmente in uso presso Intesa Sanpaolo S.p.a.), in attuazione della facoltà al riguardo prevista nelle Istruzioni di Vigilanza della Banca d Italia, le Funzioni di Internal Audit e di Compliance della Cassa di Risparmio di Città di Castello S.p.A., sono state accentrate presso Banca CR Firenze nella sua qualità di diretta controllante, prevedendosi, ovviamente, adeguate linee di reporting agli Organi Amministrativi ed al vertice esecutivo della medesima Cassa di Risparmio di Città di Castello S.p.A. In sostanza il sistema di controlli interni adottato dalla Cassa di Risparmio di Città di Castello S.p.A. prevede che: i controlli di linea siano svolti dalle strutture di Cassa di Risparmio di Città di Castello S.p.A., di Banca CR Firenze, della Capogruppo Intesa Sanpaolo e di altre Società del Gruppo; la gestione, la misurazione e il controllo dei rischi di credito, finanziari ed operativi siano svolti in outsourcing dalle strutture di Capogruppo; i controlli di compliance e di audit siano svolti in outsourcing da Banca CR Firenze. 2.2 Gli strumenti aziendali esistenti quali presupposti del Modello Nella predisposizione del presente Modello si è tenuto innanzitutto conto della normativa, delle procedure e dei sistemi di controllo esistenti e già operanti nella Cassa di Risparmio di Città di 11

12 Castello S.p.A., in quanto idonei a valere anche come misure di prevenzione di reati e di comportamenti illeciti in genere, inclusi quelli previsti dal D. Lgs. n. 231/2001. Gli organi della Cassa di Risparmio di Città di Castello S.p.A. hanno dedicato e continuano a dedicare la massima cura nella definizione delle strutture organizzative e delle procedure operative in linea con le direttive della Capogruppo, sia al fine di assicurare efficienza, efficacia e trasparenza nella gestione delle attività e nell attribuzione delle correlative responsabilità, sia allo scopo di ridurre al minimo disfunzioni, malfunzionamenti ed irregolarità (tra i quali si annoverano anche comportamenti illeciti o comunque non in linea con quanto indicato dalla Banca). Il contesto organizzativo della Cassa di Risparmio di Città di Castello S.p.A. è costituito dall insieme di regole, strutture e procedure che garantiscono il funzionamento della Banca; si tratta di un sistema che viene definito e verificato internamente anche al fine di rispettare le previsioni normative a cui la Cassa di Risparmio di Città di Castello S.p.A. è sottoposta sia in qualità di banca che di società appartenente al gruppo bancario Intesa Sanpaolo (Testo Unico Bancario, Istruzioni di Vigilanza Banca d Italia, Testo Unico dell intermediazione finanziaria e i relativi regolamenti attuativi). In tale sua qualità la Banca è sottoposta alla vigilanza di Banca d Italia e di Consob, ognuna per i profili di rispettiva competenza, le quali svolgono verifiche e controlli sull operato della Banca e su aspetti relativi alla sua struttura organizzativa, come previsto dalla normativa. In quanto appartenente al gruppo bancario Intesa Sanpaolo, in cui Banca CR Firenze svolge il ruolo di sub-holding nei confronti delle sub-controllate, Cassa di Risparmio di Città di Castello è, inoltre, sottoposta all attività di governo, direzione e coordinamento esercitata, per conto e nell interesse della Capogruppo, da Banca CR Firenze ed è tenuta ad osservare le disposizioni emanate dalla stessa nel quadro delle attività di governo delle proprie partecipate. E dunque evidente che tale complesso di norme speciali, nonché la sottoposizione all esercizio costante della vigilanza da parte delle Authority preposte, costituiscono anche un prezioso strumento a presidio della prevenzione di comportamenti illeciti in genere, inclusi quelli previsti dalla normativa specifica che dispone la responsabilità amministrativa degli Enti. Quali specifici strumenti già esistenti e diretti a programmare la formazione e l attuazione delle decisioni aziendali e ad effettuare i controlli sull attività di impresa, anche in relazione ai reati e agli illeciti da prevenire, la Banca ha individuato ed approvato: le regole di corporate governance adottate in recepimento della normativa societaria e regolamentare rilevante e delle direttive emanate dalla Capogruppo; i regolamenti interni e le policy aziendali; il Codice Etico e il Codice interno di comportamento di Gruppo; il sistema dei controlli interni; il sistema dei poteri e delle deleghe. 12

13 Le regole, le procedure e i principi di cui agli strumenti sopra elencati non vengono riportati dettagliatamente nel presente Modello ma fanno parte del più ampio sistema di organizzazione, gestione e controllo che lo stesso intende integrare e che tutti i soggetti destinatari, sia interni che esterni, sono tenuti a rispettare, in relazione al tipo di rapporto in essere con la Banca. Nei paragrafi che seguono si intendono illustrare, per grandi linee, esclusivamente i principi di riferimento del Codice Etico, del Codice interno di comportamento di Gruppo, del Codice di condotta e del Codice contro le molestie sessuali di Cassa di Risparmio di Città di Castello, il sistema dei controlli interni, nonché il sistema dei poteri e delle deleghe Codice Etico e Codice interno di comportamento di Gruppo A conferma dell importanza attribuita ai profili etici ed a coerenti comportamenti improntati a rigore e integrità, la Banca recepisce il Codice Etico ed il Codice interno di comportamento di Gruppo adottati da Intesa Sanpaolo S.p.A.. Il Codice Etico rappresenta la carta costituzionale del Gruppo Intesa Sanpaolo che, attraverso esso, rende espliciti i fondamenti della propria cultura aziendale e i valori di riferimento dai quali fa derivare regole concrete di comportamento verso tutti i soggetti interni ed esterni (i c.d. stakeholder ), che hanno direttamente o indirettamente una relazione con la Banca: i clienti, gli azionisti e i collaboratori in primo luogo, ma anche i fornitori, i partner commerciali, la comunità, i territori e l ambiente in cui il Gruppo opera. Il Codice interno di comportamento di Gruppo, applicabile a tutte le Società del Gruppo, è costituito da un insieme, volutamente snello, di regole sia di carattere generale che definiscono le norme essenziali di comportamento degli esponenti aziendali, dei dipendenti e dei collaboratori esterni che, nell ambito delle loro funzioni, sono tenuti ad esercitare le loro attività con professionalità, diligenza, onestà e correttezza - sia di carattere più specifico, ad esempio laddove si vietano determinate operazioni personali. Codice di condotta e Codice contro le molestie sessuali di Cassa di Risparmio di Città di Castello La Banca nel 2011 ha adottato il Codice di Condotta, già in vigore presso la sub-holding Banca CR Firenze, al fine di orientare i comportamenti di tutti i dipendenti, e di evitare atti e/o condotte che violino i principi che presiedono la centralità dei valori di personalità e dignità umana, il cui rispetto oltre a rispondere a ragioni di ordine etico si pone anche come premessa irrinunciabile ed indispensabile allo sviluppo e al successo dell Impresa stessa. L Azienda riconosce, ai soggetti che vi operano, il valore di vivere in un ambiente di lavoro sereno e favorevole a relazioni e comunicazioni interpersonali improntate al reciproco rispetto. L Azienda 13

14 ritiene necessario prevenire l instaurarsi ed il consolidarsi di comportamenti vessatori e comunque di quelle azioni che ledono le fondamentali regole del rispetto e della collaborazione fra le persone, considerando che queste ultime circostanze possono avere diretta ricaduta sulla qualità delle prestazioni e delle relazioni. Con il recepimento nel 2011 del Codice contro le molestie sessuali, già in vigore presso la subholding, la Banca ha inteso far emergere e combattere le molestie dissimulate, che talvolta non vengono neppure percepite come tali da chi le pone in essere, ma ugualmente possono produrre l effetto di offendere la dignità e la libertà di colui/colei che le subisce, ovvero di creare un clima umiliante o intimidatorio o ostile nei suoi confronti Le caratteristiche salienti del sistema dei controlli interni Cassa di Risparmio di Città di Castello S.p.A., per garantire una sana e prudente gestione, coniuga la profittabilità dell'impresa con un'assunzione dei rischi consapevole e con una condotta operativa improntata a criteri di correttezza. Pertanto, la Banca, in linea con la normativa di legge e di Vigilanza ed in coerenza con le indicazioni fornite direttamente dalla Capogruppo nonché da Banca CR Firenze in qualità di sub-holding, si è dotata di un sistema dei controlli interni idoneo a rilevare, misurare e verificare nel continuo i rischi tipici dell attività sociale. Il sistema dei controlli interni della Cassa di Risparmio di Città di Castello S.p.A. è insito nell'insieme di regole, procedure e strutture organizzative che mirano ad assicurare il rispetto delle strategie aziendali e il conseguimento delle seguenti finalità: efficacia ed efficienza dei processi aziendali; salvaguardia del valore delle attività e protezione dalle perdite; affidabilità e integrità delle informazioni contabili e gestionali; conformità delle operazioni con la legge, la normativa di vigilanza nonché con le politiche, i piani, i regolamenti e le procedure interne. Il sistema dei controlli interni è delineato da un infrastruttura documentale (impianto normativo) che permette di ripercorrere in modo organico e codificato le linee guida, le procedure, le strutture organizzative, i rischi ed i controlli presenti in azienda, recependo, oltre agli indirizzi aziendali e le indicazioni degli Organi di Vigilanza, anche le disposizioni di Legge, ivi compresi i principi dettati dal D. Lgs. n. 231/2001. L impianto normativo è costituito da Documenti di Governance, tempo per tempo adottati, che sovraintendono al funzionamento della Banca (Statuto, Codice Etico, Codice interno di comportamento di Gruppo, Regolamento di Gruppo, Regolamento delle operazioni con parti correlate, Facoltà e poteri, Policy, Regole, Linee guida, Funzionigrammi delle Strutture 14

15 Organizzative, Modelli organizzativi, ecc.) e da norme più strettamente operative che regolamentano i processi aziendali, le singole attività e i relativi controlli (Ordini di Servizio, Note di Servizio, Circolari, Guide Operative, Manuali, etc.). Più nello specifico le regole aziendali disegnano soluzioni organizzative che: assicurano una sufficiente separatezza tra le funzioni operative e quelle di controllo ed evitano situazioni di conflitto di interesse nell'assegnazione delle competenze; sono in grado di identificare, misurare e monitorare adeguatamente i principali rischi assunti nei diversi segmenti operativi; consentono la registrazione di ogni fatto di gestione e, in particolare, di ogni operazione con adeguato grado di dettaglio, assicurandone la corretta attribuzione sotto il profilo temporale; assicurano sistemi informativi affidabili e idonee procedure di reporting ai diversi livelli direzionali ai quali sono attribuite funzioni di controllo; garantiscono che le anomalie riscontrate dalle unità operative, dalla funzione di revisione interna o da altri addetti ai controlli siano tempestivamente portate a conoscenza di livelli appropriati dell'azienda e gestite con immediatezza. Inoltre, le soluzioni organizzative aziendali prevedono attività di controllo a ogni livello operativo che consentano l'univoca e formalizzata individuazione delle responsabilità, in particolare nei compiti di controllo e di correzione delle irregolarità riscontrate. La Banca, in coerenza con le indicazioni degli Organi di Vigilanza, ha individuato le seguenti quattro macro tipologie di controllo: controlli di linea, diretti ad assicurare il corretto svolgimento dell operatività quotidiana e delle singole transazioni. Di norma tali controlli sono effettuati dalle strutture produttive (di business o di supporto) o incorporati nelle procedure informatiche, ovvero eseguiti nell ambito delle attività di back office; controlli sulla gestione dei rischi, che hanno l'obiettivo di concorrere alla definizione delle metodologie di misurazione del rischio, di verificare il rispetto dei limiti assegnati alle varie funzioni operative e di controllare la coerenza dell'operatività delle singole strutture produttive con gli obiettivi di rischio rendimento assegnati. Essi sono affidati di norma a strutture diverse da quelle produttive; controlli di conformità, costituiti da politiche e procedure in grado di individuare, valutare controllare e gestire il rischio conseguente al mancato rispetto di leggi, provvedimenti delle autorità di vigilanza e norme di autoregolamentazione, nonché di qualsiasi altra norma applicabile alla Banca; revisione interna, volta a individuare andamenti anomali, violazioni delle procedure e della regolamentazione, nonché a valutare la funzionalità del complessivo sistema dei 15

16 controlli interni. Essa è condotta da strutture diverse e indipendenti da quelle produttive. Il sistema dei controlli interni è periodicamente soggetto a ricognizione e adeguamento in relazione all evoluzione dell operatività aziendale e al contesto di riferimento Il sistema dei poteri e delle deleghe A norma di Statuto, il Consiglio di Amministrazione è investito di tutti i poteri per l ordinaria e straordinaria amministrazione della Banca, tenuto conto delle prerogative della Capogruppo, nonché dei Regolamenti di Gruppo e può delegare le proprie attribuzioni al Comitato Esecutivo determinandone i poteri, le attribuzioni ed i limiti. Inoltre il Consiglio di Amministrazione può delegare poteri deliberativi in materia di erogazione del credito e di gestione corrente a dipendenti della Società o del Gruppo, in base alle funzioni o al grado ricoperto singolarmente o riuniti in comitati, predeterminandone i limiti e fissando altresì modalità e limiti per l esercizio delle subdeleghe. La facoltà di subdelega viene esercitata attraverso un processo trasparente, sempre monitorato, graduato in funzione del ruolo e della posizione ricoperta dal subdelegato, comunque prevedendo sempre l obbligo di informativa alla funzione delegante. Il Consiglio di Amministrazione viene informato sulle decisioni assunte nell ambito dei poteri delegati con le modalità e la periodicità dallo stesso fissate. Sono inoltre formalizzate le modalità di firma sociale per atti, contratti, documenti e corrispondenza sia esterna sia interna e le facoltà sono attribuite ai dipendenti in forma abbinata o singola a seconda del carattere della documentazione stessa, si sottolinea che è prescritta di norma la sottoscrizione con firma abbinata per la documentazione avente carattere dispositivo/impegnativo per la Banca. La struttura organizzativa generale della Banca e le sue eventuali modifiche sono deliberate dal Consiglio di Amministrazione. Tutte le Strutture/Ruoli esistenti in Banca operano sulla base della normativa interna che definisce i rispettivi ambiti di competenza e di responsabilità operativa e dei Regolamenti e Policy di Gruppo. Tale regolamentazione è diffusa in modo capillare all interno della Banca stessa, analogamente è diffuso il documento approvato dal Consiglio che definisce le facoltà di autonomia gestionale. Anche le procedure operative, che regolano le modalità di svolgimento dei diversi processi aziendali, sono diramate all interno della Banca attraverso l emanazione di specifica normativa. Pertanto i principali processi decisionali ed attuativi, riguardanti l operatività della Banca, sono codificati, monitorabili e conoscibili da tutta la struttura. 16

17 2.3 Le finalità perseguite con l adozione del Modello Nonostante gli strumenti aziendali illustrati nei paragrafi precedenti risultino di per sé idonei anche a prevenire i reati contemplati dal Decreto, la Banca ha ritenuto opportuno adottare uno specifico Modello di organizzazione, gestione e controllo ai sensi del Decreto, nella convinzione che ciò costituisca, oltre che un valido strumento di sensibilizzazione di tutti coloro che operano per conto della Banca, affinché tengano comportamenti corretti e lineari, anche un più efficace mezzo di prevenzione contro il rischio di commissione dei reati e degli illeciti amministrativi previsti dalla normativa di riferimento. In particolare, attraverso l adozione ed il costante aggiornamento del Modello, la Banca si propone di perseguire le seguenti principali finalità: determinare, in tutti coloro che operano per conto della Banca nell ambito di attività sensibili (ovvero di quelle nel cui ambito, per loro natura, possono essere commessi i reati di cui al Decreto), la consapevolezza di poter incorrere, in caso di violazione delle disposizioni impartite in materia, in conseguenze disciplinari e/o contrattuali, oltre che in sanzioni penali e amministrative irrogabili nei loro stessi confronti; ribadire che tali forme di comportamento illecito sono fortemente condannate, in quanto le stesse (anche nel caso in cui la Banca fosse apparentemente in condizione di trarne vantaggio) sono comunque contrarie, oltre che alle disposizioni di legge, anche ai principi etici ai quali la Banca, in linea con la Capogruppo, intende attenersi nell esercizio dell attività aziendale; consentire alla Banca, grazie ad un azione di monitoraggio sulle aree di attività a rischio, di intervenire tempestivamente, al fine di prevenire o contrastare la commissione dei reati stessi e sanzionare i comportamenti contrari al proprio Modello. 17

18 2.4 Gli elementi fondamentali del Modello Il Modello della Cassa di Risparmio di Città di Castello S.p.A. è stato predisposto in coerenza con la volontà del Legislatore, tenuto conto delle linee guida emanate dall ABI e dei criteri e delle linee guida utilizzati da Capogruppo nella redazione del proprio Modello. Gli elementi fondamentali sviluppati nella definizione del Modello possono essere così brevemente riassunti: individuazione delle aree di attività a rischio ovvero delle attività aziendali sensibili nel cui ambito potrebbero configurarsi le ipotesi di reato da sottoporre ad analisi e monitoraggio; gestione di processi operativi in grado di garantire: o la separazione dei compiti attraverso una corretta distribuzione delle responsabilità e la previsione di adeguati livelli autorizzativi, allo scopo di evitare sovrapposizioni funzionali o allocazioni operative che concentrino le attività critiche su un unico soggetto; o una chiara e formalizzata assegnazione di poteri e responsabilità, con espressa indicazione dei limiti di esercizio e in coerenza con le mansioni attribuite e le posizioni ricoperte nell ambito della struttura organizzativa; o corrette modalità di svolgimento delle attività medesime; o la tracciabilità degli atti, delle operazioni e delle transazioni attraverso adeguati supporti documentali o informatici; o processi decisionali legati a predefiniti criteri oggettivi (es.: esistenza di albi fornitori, esistenza di criteri oggettivi di valutazione e selezione del personale, ecc.); o l esistenza e la tracciabilità delle attività di controllo e supervisione compiute sulle transazioni aziendali; o la presenza di meccanismi di sicurezza in grado di assicurare un adeguata protezione/accesso fisico-logico ai dati e ai beni aziendali; emanazione di regole comportamentali idonee a garantire l esercizio delle attività aziendali nel rispetto delle leggi e dei regolamenti e dell integrità del patrimonio aziendale; definizione delle responsabilità nell adozione, modifica, attuazione e controllo del Modello stesso; identificazione dell Organismo di Vigilanza e attribuzione di specifici compiti di vigilanza sull efficace e corretto funzionamento del Modello; definizione dei flussi informativi nei confronti dell Organismo di Vigilanza; definizione e applicazione di disposizioni idonee a sanzionare il mancato rispetto delle misure indicate nel Modello; formazione del personale e comunicazione interna in merito al contenuto del Decreto e del Modello ed agli obblighi che ne conseguono. 18

19 2.5 La Struttura del Modello Il nuovo contesto societario ed organizzativo ha reso necessario rivedere il Modello di Organizzazione, Gestione e Controllo ex D.Lgs n. 231/2001 di cui la Banca si era dotata nella versione già armonizzata agli indirizzi ed al nuovo assetto normativo del Gruppo Intesa Sanpaolo, conseguente all integrazione dei Modelli in essere ante fusione presso ex Banca Intesa ed ex Sanpaolo IMI. Nella definizione del precedente Modello la Banca aveva adottato un approccio che aveva consentito di utilizzare ed integrare nel Modello stesso le regole e la normativa interna esistenti sulla base dell aggiornamento della rilevazione delle aree e attività sensibili, tramite la compilazione di un apposito questionario, nell ottica di garantirne l allineamento alla normativa ed ai principi assunti dalla Capogruppo nell ambito del sistema di organizzazione, gestione e controllo da essa adottato in ossequio al D. Lgs. n. 231/2001, nel rispetto delle proprie peculiarità. Nel definire il presente Modello di organizzazione, gestione e controllo, Cassa di Risparmio di Città di Castello S.p.A. ha adottato un approccio tale per cui il Modello previgente è stato aggiornato alla luce della mappatura delle aree ed attività sensibili effettuata dalla Capogruppo in occasione della predisposizione e dell aggiornamento del proprio Modello. Sono state così identificate per ciascuna categoria di illeciti presupposto, le aree aziendali sensibili. Nell ambito di ogni area sensibile sono state poi individuate le attività aziendali nello svolgimento delle quali è più verosimile il rischio della commissione di illeciti presupposto previsti dal Decreto (c.d. attività sensibili ), codificando per ciascuna di dette attività, principi di comportamento e di controllo - diversificati in relazione allo specifico rischio-reato da prevenire - cui devono attenersi tutti coloro che vi operano. Il Modello trova poi piena ed efficace attuazione nella realtà della Banca attraverso il collegamento di ciascuna attività sensibile con le strutture aziendali coinvolte e con la gestione dinamica dei processi e della relativa normativa interna di riferimento, che deve basarsi sui principi di comportamento e di controllo enunciati per ciascuna di dette attività. L approccio seguito: consente di valorizzare al meglio il patrimonio conoscitivo già esistente in azienda in termini di politiche, regole e normative interne che indirizzano e governano la formazione e l attuazione delle decisioni della Banca in relazione agli illeciti da prevenire e, più in generale, la gestione dei rischi e l effettuazione dei controlli; permette di gestire con criteri univoci le regole operative aziendali, incluse quelle relative alle aree sensibili ; rende più agevole la costante implementazione e l adeguamento tempestivo dei processi e dell impianto normativo interni ai mutamenti della struttura organizzativa e dell operatività aziendale, assicurando un elevato grado di dinamicità del Modello, soprattutto in una fase, 19

20 come quella attuale, di continuo cambiamento dovuto all integrazione organizzativa e operativa. Nella Cassa di Risparmio di Città di Castello S.p.A. il presidio dei rischi rivenienti dal D. Lgs n. 231/2001 è pertanto assicurato: dal presente documento ( Modello di organizzazione, gestione e controllo ), e dall impianto normativo esistente, che ne costituisce parte integrante e sostanziale. Il Modello di organizzazione, gestione e controllo delinea in particolare: il contesto normativo di riferimento; il ruolo e la responsabilità delle strutture coinvolte nell adozione, efficace attuazione e modificazione del Modello; gli specifici compiti e responsabilità dell Organismo di Vigilanza; i flussi informativi verso l Organismo di Vigilanza; il sistema sanzionatorio; le logiche formative; le aree sensibili in relazione alle fattispecie di illecito di cui al Decreto; le attività aziendali nell ambito delle quali può verificarsi il rischio di commissione degli illeciti presupposto ed i principi di comportamento e le regole di controllo volti a prevenirli (attività sensibili ). L impianto normativo della Banca, costituito dai Documenti di Governance e altri strumenti, regolamenta ai vari livelli l operatività della Banca nelle aree/attività sensibili e costituisce a tutti gli effetti parte integrante del Modello. L impianto normativo è contenuto e catalogato, con specifico riferimento ad ogni attività sensibile, in un apposito repository documentale, diffuso all interno di tutta la Banca tramite la rete Intranet aziendale e costantemente aggiornato a cura delle funzioni competenti in coerenza con l evolversi dell operatività. Pertanto, dall associazione dei contenuti del Modello con l impianto normativo aziendale è possibile estrarre, per ciascuna delle attività sensibili, specifici, puntuali e sempre aggiornati Protocolli che descrivono fasi di attività, strutture coinvolte, principi di controllo e di comportamento, regole operative di processo e che consentono di rendere verificabile e congrua ogni fase di attività. 20