Modello di organizzazione, gestione e controllo Regolamento ODV Ex d. Lgs. 231/01

Aprile 2011 Modello di organizzazione, gestione e controllo Regolamento ODV Ex d. Lgs. 231/01 Approvato dal Consiglio di Amministrazione del 19 aprile 2011 Banca di Cesena - Credito Cooperativo di Cesena e Ronta

Indice 1. Introduzione... 3 1.1. Il decreto legislativo 231/01...3 1.2. Efficacia esimente del modello...3 1.3. I reati...4 1.4. Fonte del modello: Progetto di categoria e Linee Guida ABI...6 2. Parte generale... 7 2.1. Presupposti del modello...7 2.2. Struttura del modello...7 2.3. Destinatari...7 2.4. Adozione e aggiornamento del modello: principali ruoli e responsabilità...8 2.5. Organismo di Vigilanza - OdV...8 2.6. Diffusione e informazione del Modello...8 2.7. Formazione interna...8 2.8. Sistema disciplinare...9 3. Parte speciale... 10 4. Regolamento organismo di vigilanza ex d.lgs. 231/01... 11 4.1. Scopo e ambito di applicazione...11 4.2. Composizione e nomina dei membri...11 4.3. Causa di ineleggibilità e decadenza...11 4.4. Durata in carica e sostituzione dei membri dell OdV...11 4.5. Convocazione, voto e delibere...12 4.6. Compiti e poteri...12 4.7. Obblighi di Riservatezza...13 4.8. Budget di spesa...14 4.9. Compensi...14 4.10. Reporting dell OdV verso gli organi societari...14 4.11. Reporting all Organismo di vigilanza...14 4.12. Modifiche del Regolamento...14 5. Allegati... 15 5.1. Metodologia per la valutazione dei rischi...15 5.2. Elenco regolamenti...18 5.3. Matrice dei rischi...19 2

1. INTRODUZIONE 1.1. IL DECRETO LEGISLATIVO 231/01 Il d.lgs. n. 231/2001, recante la Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, ha introdotto nell ordinamento giuridico italiano un regime di responsabilità amministrativa a carico degli Enti (da intendersi come società, associazioni, consorzi, ecc., di seguito denominati Enti ) per reati tassativamente elencati e commessi nel loro interesse o vantaggio: o da persone fisiche che rivestano funzioni di rappresentanza, di amministrazione o di direzione degli Enti stessi o di una loro unità organizzativa dotata di autonomia finanziaria e funzionale, nonché da persone fisiche che esercitino, anche di fatto, la gestione e il controllo degli Enti medesimi, ovvero o da persone fisiche sottoposte alla direzione o alla vigilanza di uno dei soggetti sopra indicati. Il catalogo degli illeciti presupposto si è dilatato in tempi recenti con l introduzione, nell ambito degli illeciti presupposto, anche di alcune fattispecie di illecito amministrativo. La responsabilità dell Ente si aggiunge a quella della persona fisica, che ha commesso materialmente l illecito, ed è autonoma rispetto ad essa, sussistendo anche quando l autore del reato non è stato identificato o non è imputabile oppure nel caso in cui il reato si estingua per una causa diversa dall amnistia. La previsione della responsabilità amministrativa di cui al Decreto coinvolge, nella repressione degli illeciti ivi espressamente previsti, gli Enti che abbiano tratto vantaggio dalla commissione del reato o nel cui interesse siano stati compiuti i reati - o gli illeciti amministrativi - presupposto di cui al Decreto medesimo. A carico dell Ente sono irrogabili sanzioni pecuniarie e interdittive, nonché la confisca, la pubblicazione della sentenza di condanna ed il commissariamento. Le misure interdittive, che possono comportare per l Ente conseguenze più gravose rispetto alle sanzioni pecuniarie, consistono nella sospensione o revoca di licenze e concessioni, nel divieto di contrarre con la pubblica amministrazione, nell'interdizione dall'esercizio dell'attività, nell'esclusione o revoca di finanziamenti e contributi, nel divieto di pubblicizzare beni e servizi. La suddetta responsabilità si configura anche in relazione a reati commessi all estero, purché per la loro repressione non proceda lo Stato del luogo in cui siano stati commessi e l Ente abbia nel territorio dello Stato italiano la sede principale. 1.2. EFFICACIA ESIMENTE DEL MODELLO Istituita la responsabilità amministrativa degli Enti, l art. 6 del Decreto stabilisce che l Ente non risponde nel caso in cui dimostri di aver adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi. La medesima norma prevede, inoltre, l istituzione di un organismo di controllo interno all Ente con il compito di vigilare sul funzionamento, sull efficacia e sull osservanza dei predetti modelli, nonché di curarne l'aggiornamento. Il modello di organizzazione, gestione e controllo (di seguito denominato anche Modello o Modello 231 ) deve rispondere alle seguenti esigenze: o individuare le attività nel cui ambito possano essere commessi i reati previsti dal Decreto; o prevedere specifici protocolli diretti a programmare la formazione e l attuazione delle decisioni dell Ente in relazione ai reati da prevenire; o individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione di tali reati; o prevedere obblighi di informazione nei confronti dell organismo deputato a vigilare sul funzionamento e sull osservanza del Modello; o introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel Modello. Ove il reato venga commesso da soggetti che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell Ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale, nonché da soggetti che esercitano, anche di fatto, la gestione e il controllo dello stesso, l Ente non risponde se prova che: o l organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, un Modello idoneo a prevenire reati della specie di quello verificatosi; o il compito di vigilare sul funzionamento e l osservanza del Modello e di curarne l aggiornamento è stato affidato a un organismo dell Ente dotato di autonomi poteri di iniziativa e di controllo; o i soggetti hanno commesso il reato eludendo fraudolentemente il Modello; o non vi è stata omessa o insufficiente vigilanza da parte dell organismo di controllo. Nel caso in cui, invece, il reato venga commesso da soggetti sottoposti alla direzione o alla vigilanza di uno dei soggetti sopra indicati, l Ente è responsabile se la commissione del reato è stata resa possibile dall inosservanza degli obblighi di direzione e vigilanza. 3

Detta inosservanza è, in ogni caso, esclusa qualora l Ente, prima della commissione del reato, abbia adottato ed efficacemente attuato un Modello idoneo a prevenire reati della specie di quello verificatosi, secondo una valutazione che deve necessariamente essere a priori. 1.3. I REATI Originariamente prevista per i reati contro la pubblica amministrazione o contro il patrimonio della P.A., la responsabilità dell ente è stata estesa per effetto di provvedimenti normativi successivi al d. lgs. 231/2001 a numerosi altri reati. Ad oggi le fattispecie rilevanti sono : Reati commessi nei rapporti con la Pubblica Amministrazione (art. 24, D.Lgs. 231/01). o Malversazione a danno dello Stato o di altro ente pubblico (art. 316-bis c.p.); o Indebita percezione di contributi, finanziamenti o altre erogazioni da parte dello Stato o di altro ente pubblico o delle Comunità europee (art. 316-ter c.p.); o Truffa in danno dello Stato o di altro ente pubblico o delle Comunità europee (art. 640, comma 2, n. 1 c.p.); o Truffa aggravata per il conseguimento di erogazioni pubbliche (art. 640-bis c.p.); o Frode informatica in danno dello Stato o di altro ente pubblico (art. 640-ter c.p.). Delitti informatici e trattamento illecito di dati (art. 24 bis, D.Lgs. 231/2001) [articolo aggiunto dalla L. 48/2008]. o Documenti informatici (art. 491-bis c.p.); o Accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.); o Detenzione e diffusione abusiva di codici di accesso e sistemi informatici o telematici (art. 615-quater c.p.); o Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.); o Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.); o Installazione di apparecchiature atte ad intercettare, impedire od interrompere comunicazioni informatiche o telematiche (art. 617-quinquies c.p.); o Danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.); o Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.); o Danneggiamento di sistemi informatici o telematici (art. 635-quater c.p.); o Danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies c.p.); o Frode informatica del soggetto che presta servizi di certificazione di firma elettronica (art. 640-quinquies c.p.); o Reati di criminalità organizzata (Art. 24 ter, D.Lgs. 231/2001) [Articolo aggiunto dalla Legge n.94/2009]. o Associazione per delinquere (art. 416 c.p.) o Associazioni di tipo mafioso anche straniere (art.416-bis c.p.) o Scambio elettorale politico mafioso (art. 416-ter c.p.) o Sequestro di persona a scopo di rapina o di estorsione (art. 630 c.p.) o Associazione finalizzata al traffico illecito di sostanze stupefacenti o psicotrope (art. 74 DPR 309/90) Reati commessi nei rapporti con la Pubblica Amministrazione (art. 25, D.Lgs. 231/01). o Corruzione per un atto d ufficio (art. 318 c.p.); o Pene per il corruttore (art. 321 c.p.); o Corruzione per un atto contrario ai doveri di ufficio (art. 319 c.p.); o Circostanze aggravanti (art. 319-bis c.p.); o Corruzione in atti giudiziari (art. 319-ter c.p.); o Istigazione alla corruzione (art. 322 c.p.); o Concussione (art. 317 c.p.). Reati di falsità in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni di riconoscimento (art. 25-bis, D.Lgs. 231/01) [Articolo aggiunto dalla L. 25 settembre 2001 n. 350, art. 6]. o Falsificazione di monete, spendita e introduzione nello Stato, previo concerto, di monete falsificate (art. 453 c.p.); o Alterazione di monete (art. 454 c.p.); o Spendita e introduzione nello Stato, senza concerto, di monete falsificate (art. 455 c.p.); o Spendita di monete falsificate ricevute in buona fede. (art. 457 c.p.); o Falsificazione di valori di bollo, introduzione nello Stato, acquisto, detenzione o messa in circolazione di valori di bollo falsificati. (art. 459 c.p.); o Contraffazione di carta filigranata in uso per la fabbricazione di carte di pubblico credito o di valori di bollo. (art. 460 c.p.); 4

o Fabbricazione o detenzione di filigrane o di strumenti destinati alla falsificazione di monete, di valori di bollo o di carta filigranata (art. 461 c.p.); o Uso di valori di bollo contraffatti o alterati. (art. 464 c.p.). o Contraffazione, alterazione o uso di segni distintivi di opere dell ingegno o di prodotti industriali (art. 473 c.p.) [Articolo aggiunto dalla Legge n.99/2009] o Introduzione nello Stato e commercio di prodotti con segni falsi (art. 474 c.p.) [Articolo aggiunto dalla Legge n.99/2009] Delitti contro l industria e il commercio (art. 25-bis.1 D.Lgs. 231/2001) [aggiunto dalla legge n.99/2009] o Turbata liberta dell industria o del commercio (art. 513 c.p.); o Illecita concorrenza con minaccia o violenza (art. 513-bis c.p.); o Frodi contro le industrie nazionali (art. 514 c.p.); o Frode nell esercizio del commercio (art. 515 c.p.); o Vendita di sostanze alimentari non genuine come genuine ( art. 516 c.p.); o Vendita di prodotti industriali con segni mendaci (art. 517 c.p.); o Fabbricazione e commercio di beni realizzati usurpando titoli di proprietà industriale (art.517-ter c.p.); o Contraffazione di indicazioni geografiche o denominazioni di origine dei prodotti agroalimentari (art. 517-quater c.p.) Reati societari (art. 25-ter, D.Lgs. 231/01) [Articolo aggiunto dal D.Lgs. 11 aprile 2002 n. 61, art. 3]. o False comunicazioni sociali (art. 2621 c.c.); o False comunicazioni sociali in danno dei soci o dei creditori (art. 2622, comma 1 e 3, c.c.); o Falso in prospetto (art. 2623, comma 1 e 2, c.c., articolo è soppresso dal 12/01/2006 dalla L del 28/12/2005 n. 262 art. 34); o Falsità nelle relazioni o nelle comunicazioni delle società di revisione (art. 29 D.Lgs. 27 gennaio 2010, n. 39); o Impedito controllo (art. 29 D.Lgs. 27 gennaio 2010, n. 39); o Formazione fittizia del capitale (art. 2632 c.c.); o Indebita restituzione di conferimenti (art. 2626 c.c.); o Illegale ripartizione degli utili e delle riserve (art. 2627 c.c.); o Illecite operazioni sulle azioni o quote sociali o della società controllante (art. 2628 c.c.); o Operazioni in pregiudizio dei creditori (art. 2629 c.c.); o Indebita ripartizione dei beni sociali da parte dei liquidatori (art. 2633 c.c.); o Illecita influenza sull assemblea (art. 2636 c.c.); o Aggiotaggio (art. 2637 c.c.); o Omessa comunicazione del conflitto d interessi (art. 2629-bis c.c.) [Articolo aggiunto dalla L. 28 dicembre 2005, n. 262, art. 31]; o Ostacolo all esercizio delle funzioni delle autorità pubbliche di vigilanza (art. 2638, comma 1 e 2, c.c.). Reati con finalità di terrorismo o di eversione dell ordine democratico previsti dal codice penale e dalle leggi speciali (art. 25-quater, D.Lgs. 231/01) [Articolo aggiunto dalla L. 14 gennaio 2003 n. 7, art. 3]. Delitti contro la personalità individuale (art. 25-quinquies, D.Lgs. 231/01) [Articolo aggiunto dalla L. 11/08/2003 n. 228, art. 5]. o Riduzione o mantenimento in schiavitù o in servitù (art. 600 c.p.); o Prostituzione minorile (art. 600-bis c.p.); o Pornografia minorile (art. 600-ter c.p.); o Detenzione di materiale pornografico (art. 600-quater); o Pornografia virtuale (art. 600-quater.1 c.p.); o Iniziative turistiche volte allo sfruttamento della prostituzione minorile (art. 600-quinquies c.p.); o Tratta di persone (art. 601 c.p.); o Acquisto e alienazione di schiavi (art. 602 c.p.). Reati di abuso di mercato (art. 25-sexies, D.Lgs. 231/01) [Articolo aggiunto dalla L. 18 aprile 2005 n. 62, art. 9]. o Abuso di informazioni privilegiate (D.Lgs. 24.02.1998, n. 58, art. 184); o Manipolazione del mercato (D.Lgs. 24.02.1998, n. 58, art. 185). Reati Transnazionali (Legge 16 marzo 2006, n. 146, artt. 3 e 10). o Associazione per delinquere (art. 416 c.p.); o Associazione di tipo mafioso (art. 416-bis c.p.); o Associazione per delinquere finalizzata al contrabbando di tabacchi lavorati esteri (art. 291-quater del testo unico di cui al decreto del Presidente della Repubblica 23 gennaio 1973, n. 43); o Associazione finalizzata al traffico illecito di sostanze stupefacenti o psicotrope (art. 74 del testo unico di cui al decreto del Presidente della Repubblica 9 ottobre 1990, n. 309); 5

o Disposizioni contro le immigrazioni clandestine (art. 12, commi 3, 3-bis, 3-ter e 5, del testo unico di cui al decreto legislativo 25 luglio 1998, n. 286); o Induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all'autorità giudiziaria (art. 377- bis c.p.) [art. 25 novies D.Lgs. 231/2001, aggiunto dalla legge n.99/2009]; o Favoreggiamento personale (art. 378 c.p.). Pratiche di mutilazione degli organi genitali femminili (art. 25-quater-1, D.Lgs. 231/01) [Articolo aggiunto dalla L. 9 gennaio 2006 n. 7, art. 8]. Reati in materia di violazione delle norme antinfortunistiche e sulla tutela dell igiene e della salute sul lavoro (art. 25 septies, D.Lgs. 231/2001) [articolo aggiunto dalla L. 3 agosto 2007, n. 123 e modificato dal D.Lgs. 1.4.2008 n.81]. Ricettazione, riciclaggio e impiego di denaro o utilità di provenienza illecita (art. 25 octies, D.Lgs. 231/2001) [articolo aggiunto dal D.Lgs. 21 novembre 2007, n. 231] o Ricettazione (art. 648 c.p.); o Riciclaggio (art.648-bis c.p.); o Impiego di denaro, beni o utilità di provenienza illecita) art. 648-ter c.p.) Delitti in materia di violazione del diritto di autore (art. 25 novies D.Lgs. 231/2001) [articolo aggiunto dalla legge n.99/2009] o Art. 171, primo comma lettera a-bis) e terzo comma Legge n.633/1941; o Art. 171-bis Legge n.633/1941; o Art. 171-ter Legge n.633/1941; o Art. 171-septies Legge n.633/1941; o Art. 171-octies Legge n.633/1941; Induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all'autorità giudiziaria (art. 377-bis c.p.) [art. 25 novies D.Lgs. 231/2001, aggiunto dalla legge n.99/2009]; 1.4. FONTE DEL MODELLO: PROGETTO DI CATEGORIA E LINEE GUIDA ABI Il Credito Cooperativo ha realizzato un progetto coordinato da Federcasse in raccordo con le Federazioni locali volto a supportare l adeguamento dei modelli organizzativi, di gestione e di controllo delle BCC al disposto del D.Lgs. 231 e delle successive integrazioni. Tale progetto è stato realizzato con l obiettivo di: o fornire alle singole BCC un quadro di riferimento aggiornato in funzione dell evoluzione del contesto normativo di riferimento. o sviluppare strumenti per la conduzione delle attività di verifica dell adeguatezza ed osservanza dei modelli di organizzazione, gestione e controllo adottati dalle BCC ai sensi del D.Lgs. 231. o individuare possibili soluzioni di Categoria relativamente alla composizione e alle modalità di funzionamento dell Organismo di Vigilanza. Nell ambito del progetto, pertanto, sono stati analizzati sia i profili giuridici sia i profili organizzativi dei contenuti del D.Lgs. 231, sviluppando approfondimenti metodologici e supporti operativi (profili di funzionamento), per guidare le BCC nell analisi della propria situazione aziendale e nella decisione delle azioni da intraprendere. Nella redazione del modello si è tenuto altresì conto delle Linee Guida ABI per l adozione dei modelli organizzativi sulla responsabilità amministrativa delle banche. 6

2. PARTE GENERALE 2.1. PRESUPPOSTI DEL MODELLO Come le linee guida Abi del 2004 indicano, il sistema dei controlli interni ormai da anni attuato e continuamente aggiornato ha consentito alle banche di dotarsi di standard organizzativi ottimali, in linea con il principio di sana gestione, il quale costituisce, seppure in una accezione più ampia, ciò che il D.Lgs. n. 231/2001 intende affermare nell ordinamento. All interno di ogni banca è pertanto operativo un insieme di regole, di procedure e di strutture organizzative che devono mirare ad assicurare il rispetto delle strategie aziendali ed il conseguimento della efficacia e dell efficienza dei processi aziendali; la salvaguardia del valore delle attività e la protezione dalle perdite; l affidabilità e l integrità delle informazioni contabili e gestionali; la conformità delle operazioni con la legge, con la normativa di vigilanza nonché con le politiche, i piani, i regolamenti e le procedure interne. A tal fine, le banche devono assicurare la necessaria separatezza tra le funzioni operative e quelle di controllo ed evitare situazioni di conflitto di interesse nell assegnazione delle competenze; essere in grado di identificare, misurare e monitorare adeguatamente tutti i rischi assunti o assumibili nei diversi segmenti operativi; stabilire attività di controllo ad ogni livello operativo; assicurare sistemi informativi affidabili e idonei a riferire tempestivamente anomalie riscontrate nell attività di controllo; consentire la registrazione di ogni fatto di gestione con adeguato grado di dettaglio. Ogni banca effettua un monitoraggio finalizzato alla prevenzione di rischi connessi a frodi e infedeltà dei dipendenti e di quelli derivanti dall eventuale coinvolgimento della banca in operazioni di riciclaggio di denaro sporco; un monitoraggio sulle attività che possano determinare rischi di perdite risultanti da errori o inadeguatezza dei processi interni, delle risorse umane e dei sistemi oppure derivanti da eventi esterni. Questi principi pervadono tutta l attività aziendale e riguardano la redazione dei bilanci, i capitoli di spesa, i flussi finanziari in entrata ed in uscita, l affidabilità di tutte le informazioni finanziarie e gestionali, affinché il complesso delle attività sia conforme ai principi contabili di riferimento, alle leggi, ai regolamenti, alle norme di Vigilanza nonché alle norme statutarie. Una simile rete di controlli e verifiche, insieme alla procedimentalizzazione delle attività e dei processi decisionali, costituisce un sistema in grado di per sé di essere utilizzato anche per prevenire la commissione di reati, ivi compresi quelli di cui al D. Lgs. n. 231/2001. Ciò non esclude che le banche procedano a verificare periodicamente la tenuta del sistema esistente alla luce di quanto prescritto dal decreto legislativo e, ove necessario, ad integrarlo. 2.2. STRUTTURA DEL MODELLO Quali specifici strumenti già esistenti e diretti a programmare la formazione e l attuazione delle decisioni aziendali e ad effettuare i controlli sull attività della banca, anche in relazione ai reati e agli illeciti da prevenire, la Banca di Cesena ha individuato: o lo Statuto o la Carta dei valori o la Carta della coesione sociale o le linee guida di condotta (o Codice Eitco) ex D.Lgs. 231/01 o il sistema dei controlli interni o il sistema dei poteri e delle deleghe o i regolamenti interni e le policy aziendali. Le regole, le procedure e i principi di cui agli strumenti sopra elencati non vengono riportati dettagliatamente nel presente Modello ma fanno parte del più ampio sistema di organizzazione, gestione e controllo che lo stesso intende integrare e che tutti i soggetti destinatari, sia interni che esterni, sono tenuti a rispettare, in relazione al tipo di rapporto in essere con la Banca. Essi sono quindi parte integrante del modello organizzativo e costituiscono, insieme al presente documento in tutte le sue parti (corpo principale e allegati) il presidio ai rischi 231/101. 2.3. DESTINATARI Il Modello e le disposizioni ivi contenute e richiamate devono essere rispettate dagli esponenti aziendali e da tutto il personale della Banca di Cesena e, in particolare, da parte di coloro che si trovino a svolgere le attività sensibili. Il Modello è destinato anche ai soggetti esterni (intendendosi per tali i lavoratori autonomi o parasubordinati, i professionisti, i consulenti, gli agenti, i fornitori, i partner commerciali, ecc.) che, in forza di rapporti contrattuali, prestino la loro collaborazione alla Banca per la realizzazione delle sue attività. Nei confronti dei medesimi il rispetto del Modello è garantito mediante l apposizione di una clausola contrattuale che impegni il contraente ad attenersi ai principi del Modello. Per quanto riguarda eventuali limiti applicabili si rinvia al documento Linee Guida di Condotta o Codice Etico. 7

2.4. ADOZIONE E AGGIORNAMENTO DEL MODELLO: PRINCIPALI RUOLI E RESPONSABILITÀ L adozione e l efficace attuazione del Modello costituiscono, ai sensi dell art. 6, comma I, lett. a) del Decreto, atti di competenza e di emanazione dell organo dirigente (Consiglio di Amministrazione) che approva, mediante apposita delibera, il Modello, sentito l organo di controllo (Collegio sindacale). Il compito di vigilare sul funzionamento e l'osservanza dei modelli di curare il loro aggiornamento è affidato a un organismo dell'ente dotato di autonomi poteri di iniziativa e di controllo (Organismo di Vigilanza - OdV), che può avvalersi di alcune strutture interne (operative e di controllo) per l esplicazione dei propri compiti. Sulla base di quanto indicato dalle Linee Guida ABI in materia 231/01 è opportuno che il Consiglio di Amministrazione dia adeguata informativa ai soci sull avvenuta adozione (e/o modifica) del modello e sulla composizione e sul funzionamento dell Organismo di Vigilanza (OdV). 2.5. ORGANISMO DI VIGILANZA - ODV Come inizialmente accennato, l esenzione dalla responsabilità amministrativa come disciplinata dall art. 6 comma 1 D.Lgs. 231/2001 prevede anche l istituzione di un Organismo di Vigilanza (OdV) dell ente, dotato di autonomi poteri di iniziativa e di controllo che ha il compito di: o vigilare su funzionamento e osservanza del modello; o curarne l aggiornamento. L istituzione e il funzionamento dell organismi di Vigilanza viene disciplinato dal Regolamento dell OdV (cfr Regolamento organismo di vigilanza ex d.lgs. 231/01 ) Il Consiglio di Amministrazione della Banca di Cesena approva contestualmente al modello tale documento, che costituisce parte integrante del Modello. Nel rinviare, per una più puntuale rappresentazione, a detto documento, si ritiene opportuno soffermarsi su alcuni profili riguardanti l Organismo di Vigilanza presso la Banca di Cesena L Organismo di Vigilanza della Banca di Cesena ha natura collegiale ed è costituito da 3 (tre) componenti ed è composto in modo tale da operare con autonomia, indipendenza, professionalità, onorabilità e continuità di azione. In particolare, per soddisfare i requisiti di onorabilità, autonomia e indipendenza, intese come autorevolezza e autonomia di giudizio e di poteri di iniziativa e controllo, sono stati previsti appositi requisiti di onorabilità ed eleggibilità; è stato previsto il riporto al Consiglio di Amministrazione e al Collegio Sindacale; la disponibilità autonoma di risorse; l assenza di vincoli di subordinazione nelle attività ispettive e nelle ulteriori funzioni attribuite. 2.6. DIFFUSIONE E INFORMAZIONE DEL MODELLO Ai fini dell efficacia del presente Modello deve essere garantita una corretta conoscenza e divulgazione delle prescrizioni e dei principi ivi contenuti o richiamati nei confronti di tutti i destinatari del Modello. Tale obiettivo riguarda tutte le risorse presenti in azienda, con particolare attenzione per i neo assunti che ricevono, all atto dell assunzione, unitamente alla prevista restante documentazione, copia del Modello, contenente le Linee guida di condotta/codice etico. La sottoscrizione di un apposita dichiarazione attesta la consegna dei documenti, l integrale conoscenza dei medesimi e l impegno ad osservare le relative prescrizioni. Il Consiglio di Amministrazione, avvalendosi delle competenti strutture aziendali, provvede ad informare tutti i Destinatari dell esistenza e del contenuto del Modello stesso. Il Modello e le Linee Guida di Condotta sono comunicate formalmente: o a tutti i Dipendenti e Collaboratori mediante messa a disposizione con pubblicazione sulla rete intranet aziendale ovvero ove necessario su supporto cartaceo; o ai Soci, tramite apposita informativa resa in assemblea circa l adozione del Modello da parte della Banca e la diffusione delle Linee guida di condotta/codice etico; o alla Società di Revisione e a tutti i soggetti esterni. I contratti con i soggetti esterni alla Banca prevedono l esplicito riferimento al rispetto dei principi e prescrizioni previste o richiamate dal Modello (dalle Linee guida di condotta/codice etico), con l avvertenza che l inosservanza delle regole o principi ivi contenuti potrà costituire inadempimento delle obbligazioni contrattuali assunte. Le medesime modalità di diffusione e comunicazione sono adottate in caso di modificazione e/o aggiornamento del Modello. 2.7. FORMAZIONE INTERNA La Banca di Cesena promuove, attraverso momenti di informazione/formazione e supporti informatici la conoscenza del Modello, dei propri regolamenti e protocolli interni e dei loro eventuali aggiornamenti tra tutti i dipendenti che sono pertanto tenuti a conoscerne il contenuto ad osservarli e contribuire alla loro attuazione. Ai fini dell attuazione del Modello, l Unità Personale gestisce, di concerto, con l Organismo di Vigilanza, la formazione del personale. 8

L attività formativa è resa tracciabile ai fini di un controllo da parte dell Organismo di Vigilanza sull effettiva attuazione della stessa. 2.8. SISTEMA DISCIPLINARE Il D.Lgs. 231/01 richiede l introduzione di un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel Modello sia in relazione alle ipotesi di cui all art 6, comma 2, lett. e), sia in relazione a quelle di cui all art. 7, comma 4, lett. b) del Decreto Legislativo. L efficacia del Modello è garantita infatti, oltre che dall implementazione di meccanismi di decisione e di controllo in grado di eliminare o ridurre il rischio di commissione degli illeciti penali ed amministrativi cui è applicabile il D.Lgs. 231/01, anche dagli strumenti sanzionatori posti a presidio dell osservanza delle condotte prescritte. Elemento essenziale per il funzionamento del Modello 231/01 è quindi l'introduzione di un sistema disciplinare idoneo a sanzionare gli eventuali comportamenti ed attività contrastanti con le misure indicate dalla Banca. L osservanza delle disposizioni e delle regole comportamentali previste dal Modello 231 costituisce adempimento da parte dei Soggetti sottoposti degli obblighi previsti dall art. 2104, comma 2, del codice civile; obblighi dei quali il contenuto del Modello 231 rappresenta parte sostanziale ed integrante. La violazione delle misure indicate nel Modello 231 costituisce un inadempimento contrattuale censurabile sotto il profilo disciplinare ai sensi dell art. 7 dello Statuto dei lavoratori (legge 20 maggio 1970 n. 300) e determina l applicazione delle sanzioni previste dal vigente Contratto Collettivo Nazionale dei Lavoratori e dal Regolamento Disciplinare Aziendale. Il mancato rispetto delle misure, previste dal Modello 231, viene valutato sotto il profilo disciplinare seguendo modalità differenti a seconda che si tratti di "soggetti sottoposti a direzione o vigilanza" (art. 5, comma 1, lett. b) ovvero di "soggetti apicali" (art. 5, comma 1, lett. a). Personale appartenente alle aree professionali e ai quadri direttivi Per le Aree Professionali e i Quadri Direttivi, in conformità al Progetto nazionale di Categoria, il sistema sanzionatorio introdotto ai sensi dell art. 6, comma 2, del Decreto è coerente con i principi di immediatezza e tempestività della contestazione della violazione, della concessione di termini per l esercizio del diritto di difesa prima che la sanzione sia comminata, della proporzionalità della sanzione applicata in relazione alla gravità della violazione commessa ed al grado d intenzionalità dell azione o dell omissione. In particolare le sanzioni irrogabili nei confronti dei lavoratori appartenenti alle Aree Professionali e ai Quadri Direttivi sono, come da disciplina di contrattazione collettiva, quelle già previste dal regolamento disciplinare. Dirigenti La Banca provvede ad inserire nelle singole lettere-contratto un apposita clausola che preveda la sanzionabilità delle condotte contrastanti con le norme di cui al D.Lgs. 231 e con il Modello 231. In particolare in caso di violazione delle procedure interne delle regole e dei principi previsti dal Modello 231 o di adozione nell espletamento di attività nelle aree a rischio di un comportamento non conforme alle prescrizioni del modello stesso si provvederà ad applicare nei confronti dei responsabili le misure più idonee in conformità a quanto previsto dal CCNL per i dirigenti. Lavoratori parasubordinati e autonomi Per i collaboratori autonomi e parasubordinati la Banca adotta nei singoli contratti la medesima clausola prevista per i Dirigenti. Apicali Per i Consiglieri di Amministrazione e i Sindaci la Banca richiede, al momento dell'assunzione del mandato, l impegno a rispettare e a dare attuazione al Modello 231, con la previsione che, in caso di violazione del Modello 231, l Organismo di Vigilanza provvede ad informare il Consiglio di Amministrazione ed il Collegio Sindacale per l adozione di opportuni provvedimenti. 9

3. PARTE SPECIALE L art. 6, comma 2, del D.Lgs. n. 231/2001 prevede che il Modello debba individuare le attività nel cui ambito possono essere commessi reati. In linea con quanto definito dal Progetto Nazionale di categoria, sono state pertanto analizzate le fattispecie di illeciti presupposto per le quali si applica il Decreto; con riferimento a ciascuna categoria dei medesimi sono state identificate nella Banca le aree aziendali nell ambito delle quali sussiste il rischio di commissione dei reati. Per ciascuna di tali aree si sono quindi individuate le singole attività sensibili e individuati i principali presidi (o protocolli di controllo) ad oggi in essere. Tale analisi è oggetto di sistematica revisione e aggiornamento da parte delle funzioni preposte (Organismo di Vigilanza con il supporto eventuale di altre funzioni di controllo) e viene resa disponibile attraverso un repository organizzativo e normativo della Banca (si veda allegato Metodologia per la valutazione dei rischi e allegato Matrice dei rischi ). Oltre ai protocolli specifici attualmente in essere (o da implementare ai fini dell efficacia del modello), preme sottolineare come l attività bancaria si uniforma a protocolli generali di controllo, che costituiscono la base per un efficace sistema dei controlli interni. Tali protocolli trovano applicazione in tutte le attività svolte dalla Banca ed in modo particolare nelle attività sensibili alla commissione di reato, e sono i seguenti: o Segregazione delle attività: il sistema dei controlli interni garantisce l applicazione del principio di separazione di funzioni, per cui l autorizzazione all effettuazione di un operazione è sotto la responsabilità di persona diversa da chi contabilizza, esegue operativamente o controlla l operazione. Inoltre il sistema garantisce che: i.) a nessuno sono attribuiti poteri illimitati; ii.) i poteri e le responsabilità sono definiti e conosciuti all interno dell organizzazione; iii.) i poteri autorizzativi e di firma sono coerenti con le responsabilità organizzative assegnate. La segregazione e separazione delle funzioni è attuata anche attraverso l utilizzo del sistema informatico che abilita l esecuzione dell operatività a profili utenti opportunamente identificati ed autorizzati. o Policy e procedure interne: la Banca adotta e applica disposizioni organizzative idonee a fornire principi di comportamento, modalità operative per lo svolgimento delle attività sensibili nonché modalità di archiviazione della documentazione rilevante (quali procedure, policy, linee guida e regolamenti interni, nonché disposizioni organizzative e ordini di servizio). o Poteri di firma e poteri autorizzativi: l esercizio di poteri di firma e poteri autorizzativi interni avviene sulla base di regole formalizzate a tal fine introdotte. I poteri autorizzativi e di firma assegnati sono: i.) coerenti con le responsabilità organizzative e gestionali assegnate, e prevedono, ove richiesto, indicazione delle soglie di approvazione delle spese; ii.) chiaramente definiti e conosciuti all interno della Banca. L atto attributivo di funzioni rispetta gli specifici requisiti eventualmente richiesti dalla legge (es. delega in materia di salute e sicurezza dei lavoratori). o Tracciabilità delle attività operative e di controllo: per ogni operazione l impostazione organizzativa e i sistemi informativi utilizzati assicurano un adeguato supporto documentale su cui si possa procedere in ogni momento all effettuazione di controlli che attestino le caratteristiche e le motivazioni dell operazione ed individuino chi ha autorizzato, effettuato, registrato, verificato l operazione stessa e, in ogni caso, sono disciplinati con dettaglio i casi e le modalità dell eventuale possibilità di cancellazione o distruzione delle registrazioni effettuate. La salvaguardia di dati e procedure in ambito informatico è conforme alle misure di sicurezza di cui al D.Lgs. n. 196/2003 (Codice in materia di protezione dei dati personali). 10

4. REGOLAMENTO ORGANISMO DI VIGILANZA EX D.LGS. 231/01 4.1. SCOPO E AMBITO DI APPLICAZIONE In ottemperanza a quanto stabilito dall articolo 6, comma primo, lettera b) del D. Lgs. 231/2001, e anche ai fini del rispetto delle disposizioni del successivo articolo 7 dello stesso Decreto, è costituito presso la Banca di Cesena (di seguito la Banca) un organismo con funzioni di vigilanza (di seguito OdV ) sul funzionamento, sull efficacia e sull osservanza del Modello di Organizzazione, Gestione e Controllo (di seguito Modello ) ai sensi del D. Lgs. 231/01 (di seguito Decreto ) e successive modifiche e integrazioni, deliberato dalla Banca. Il presente Regolamento disciplina il funzionamento dell OdV e costituisce parte integrante del Modello organizzativo ai sensi del Decreto. 4.2. COMPOSIZIONE E NOMINA DEI MEMBRI L Organismo di Vigilanza è composto da tre membri. I componenti dell OdV sono nominati dal Consiglio di Amministrazione che all unanimità e con il parere favorevole del Collegio Sindacale può revocare in ogni momento i membri dell Organismo per ragioni connesse a rilevanti inadempimenti rispetto al mandato conferito o quando sopravvengano le cause di decadenza di cui al paragrafo successivo. La nomina deliberata dal Consiglio di Amministrazione, sentito il Collegio Sindacale, deve essere formalmente accettata da ciascun membro designato. L OdV elegge al suo interno, alla prima seduta, il Presidente. 4.3. CAUSA DI INELEGGIBILITÀ E DECADENZA Non possono essere nominati membri dell Organismo, e se designati decadono: o coloro i quali abbiano riportato una condanna anche non definitiva per uno dei reati previsti dal D.Lgs. 231/01 ovvero siano stati condannati con sentenza (anche non definitiva): 1 a pena detentiva per uno dei reati previsti dalle norme che disciplinano l attività bancaria, finanziaria, mobiliare, assicurativa e dalle norme in materia di mercati e valori mobiliari, di strumenti di pagamento; 2 alla reclusione per uno dei delitti previsti nel titolo XI del libro V del codice civile e nel regio decreto del 16 marzo 1942, n. 267; 3 alla reclusione per un tempo non inferiore a un anno per un delitto contro la pubblica amministrazione, contro la fede pubblica, contro il patrimonio, contro l ordine pubblico, contro l economia pubblica ovvero per un delitto in materia tributaria; 4 alla reclusione per un tempo non inferiore a due anni per un qualunque delitto non colposo; o gli interdetti, gli inabilitati e i falliti; o i parenti, coniugi o affini con amministratori, sindaci o dipendenti della Banca fino al secondo grado incluso. I membri dell Organismo sono tenuti a far conoscere immediatamente al Consiglio di Amministrazione l eventuale sopravvenienza anche di una sola delle suddette situazioni in quanto comportano la decadenza dall incarico. In ogni caso il Consiglio di Amministrazione verifica periodicamente la permanenza in capo a ciascun componente dell OdV dei requisiti di onorabilità, di assenza di conflitti di interesse e di assenza di rapporti di parentela con i vertici societari, nonché di ogni altro requisito o condizione la cui sussistenza è prevista dal Modello all atto della nomina. Il venir meno in capo ad un membro della carica di amministratore della Banca ovvero la risoluzione del rapporto di lavoro subordinato costituisce causa di decadenza dall incarico. 4.4. DURATA IN CARICA E SOSTITUZIONE DEI MEMBRI DELL ODV I componenti dell Organismo di Vigilanza restano in carica per il periodo stabilito all atto della nomina e, comunque, non oltre 3 anni dalla medesima; i componenti dell OdV sono rieleggibili. Alla prescritta scadenza, l OdV decade pur continuando a svolgere pro tempore le proprie funzioni, fino a nuova nomina dei suoi componenti. La mancata partecipazione a più di due riunioni consecutive senza giustificato motivo così come il verificarsi delle cause di ineleggibilità e/o decadenza, comporta la decadenza automatica del membro effettivo dell Organismo dall ufficio. In caso di rinuncia, morte o decadenza di un membro dell Organismo, il Presidente o il membro più anziano di età ne darà comunicazione tempestiva al Consiglio di Amministrazione il quale provvederà senza indugio alla sostituzione, sentito il Collegio Sindacale. Il nuovo membro scadrà insieme a quelli già in carica. 11

In caso di rinuncia, morte, revoca o decadenza del Presidente, subentra a questi il membro più anziano di età, il quale rimane in carica fino alla data in cui l OdV non abbia deliberato la nomina del nuovo Presidente dell Organismo. 4.5. CONVOCAZIONE, VOTO E DELIBERE L OdV si riunisce su convocazione del Presidente, almeno trimestralmente, e comunque ogni volta che il Presidente lo ritenga opportuno ovvero uno dei componenti ne faccia richiesta scritta al Presidente con indicazione dell ordine del giorno. L OdV potrà essere convocato in ogni momento dal Consiglio di Amministrazione e dagli altri organi societari per riferire su particolari eventi o situazioni relative al funzionamento e al rispetto del Modello. L OdV riferisce in modo collegiale al Consiglio di Amministrazione secondo le modalità previste dal presente Regolamento. Si intendono validamente costituite le riunioni dell OdV anche a mezzo di audioconferenze o videoconferenze, a condizione che tutti i partecipanti possano essere identificati e possano intervenire in tempo reale nella trattazione degli argomenti discussi. In questi casi, la riunione dell OdV si considera tenuta nel luogo in cui si trova il Presidente. Il Presidente convoca la riunione dell OdV inviando agli altri componenti una comunicazione contenente l ordine del giorno, la data e il luogo dell incontro. Tale comunicazione deve pervenire almeno cinque giorni prima della data stabilita per la riunione o, in caso di urgenza, almeno 1 giorno prima. Per ogni argomento da trattare all ordine del giorno viene messa a disposizione dei componenti la relativa documentazione. Si intende in ogni caso validamente convocata la riunione alla quale, pur in assenza di formale convocazione partecipino tutti i componenti dell OdV, ovvero la riunione convocata in occasione di una precedente riunione, se ad essa erano presenti tutti i componenti dell OdV e se la convocazione consta dal relativo verbale. Le riunioni dell OdV sono valide con la presenza della maggioranza dei componenti. Le riunioni dell OdV sono presiedute dal Presidente o dal componente in carica più anziano il quale ha facoltà di nominare, di volta in volta, un Segretario, anche estraneo all OdV. Di ogni riunione, il Segretario redige apposito verbale che viene diffuso per conoscenza a tutti i componenti e sottoscritto dal Presidente e dal Segretario stesso. Tutti i verbali di riunione dell OdV sono conservati dal Responsabile dell Unità Segreteria Generale in apposito libro sociale. Le delibere dell OdV sono valide se adottate con il consenso della maggioranza dei componenti presenti. Ciascun componente dell OdV ha diritto ad un voto. È fatto obbligo a ciascun componente dell OdV di astenersi dalla votazione nel caso in cui tale persona si trovi in situazione di conflitto di interessi con l oggetto della delibera. Nell ipotesi di inosservanza dell obbligo di astensione, la delibera si ritiene non valida qualora, senza il voto del componente dell OdV che avrebbe dovuto astenersi, non si sarebbe raggiunta la necessaria maggioranza. 4.6. COMPITI E POTERI L Organismo di Vigilanza nell esecuzione della sua attività, espressamente definita all articolo 6 comma 1, lett. b) del D.Lgs. 231/01: vigila su funzionamento ed osservanza del Modello; cura l aggiornamento del Modello. Con riferimento all attività di vigilanza su funzionamento ed osservanza del Modello, all OdV sono affidate le seguenti attività: predisporre il piano annuale delle verifiche (o attività) su adeguatezza e funzionamento del Modello; effettuare verifiche su base continuativa, nell ambito del Piano annuale, sulle attività od operazioni individuate nelle aree a rischio effettuare verifiche mirate su determinate operazioni o su atti specifici, posti in essere nell ambito delle aree di attività a rischio; raccogliere, elaborare e conservare le informazioni rilevanti per il rispetto del Modello; in particolare disciplinare il flusso informativo da parte dei Responsabili delle Direzioni e delle Unità Operative; predisporre una casella di posta elettronica dedicata al fine di ricevere dalle strutture aziendali eventuali richieste di chiarimenti in ordine a casi dubbi o ad ipotesi problematiche, nonché sollecitazioni di interventi tesi all implementazione del Modello; promuovere adeguate iniziative volte alla diffusione della conoscenza e della comprensione del Modello; valutare le segnalazioni di possibili violazioni e/o inosservanze del Modello; condurre le indagini volte all accertamento di possibili violazioni delle prescrizioni del Modello; segnalare le violazioni accertate all'organo competente per l'apertura del procedimento disciplinare; verificare che le violazioni del Modello siano effettivamente e adeguatamente sanzionate; 12

Con riferimento all aggiornamento del Modello, occorre premettere che l art 6 comma 1 lett a) del D.Lgs. 231/01 attribuisce la responsabilità diretta dell adozione e dell efficace attuazione dello stesso all Organo Dirigente (CdA) assegnandogli quindi la facoltà di adozione di eventuali modifiche. Con riferimento all OdV, il compito di curare l aggiornamento del Modello si traduce nelle seguenti attività: monitorare l evoluzione della normativa di riferimento; predisporre misure idonee ai fini di mantenere aggiornata la mappatura delle aree a rischio, secondo le modalità e i principi seguiti nell adozione del Modello vigilare sull adeguatezza e sull aggiornamento dei protocolli rispetto alle esigenze di prevenzione dei reati e verificare che ogni parte che concorre a realizzare il Modello sia e resti rispondente e adeguata alle finalità del Modello come individuate dalla legge, a tal fine potendosi avvalere delle informazioni e della collaborazione dei Responsabili delle Direzioni e delle Unità Operative; valutare, nel caso di effettiva commissione di reati e di significative violazioni del Modello, l opportunità di introdurre modifiche al Modello stesso; proporre al Consiglio di Amministrazione le modifiche al Modello; verificare l effettività e la funzionalità delle modifiche del Modello adottate dal Consiglio di Amministrazione; vigilare sulla congruità del sistema di procure e deleghe al fine di garantire la costante efficacia del Modello. L OdV dovrà pertanto anche svolgere controlli incrociati per verificare l effettiva corrispondenza tra le attività concretamente poste in essere dai rappresentanti della Banca di Cesena ed i poteri formalmente conferiti attraverso le procure in essere. A garanzia della piena efficacia della sua azione, l OdV ha libero accesso a tutta la documentazione aziendale che possa rilevare ai fini della verifica del corretto funzionamento del Modello La previsione di un Organismo di Vigilanza ai sensi del D.Lgs. 231/01 che vigili sull applicazione del modello organizzativo non modifica la struttura di poteri delegati presente in Banca, che mantengono la propria autonomia, ma tale Organismo ha la facoltà di poter sollecitare la verifica della sussistenza degli elementi richiesti dalla legge ai fini della proposizione di azioni di responsabilità o di revoca per giusta causa ed interagisce con le strutture operative e di controllo in modo autonomo ai fini di tale verifica. L'OdV è inoltre tenuto a rispettare precisi obblighi di segnalazione nei confronti di Autorità. Con il D.Lgs. 231/2007 (in applicazione della III Direttiva in materia di prevenzione e lotta al riciclaggio di denaro proveniente da attività illecite). L Organismo di Vigilanza, oltre a vigilare sull osservanza delle norme contenute nel detto Decreto, è altresì tenuto a comunicare: alle autorità di Vigilanza di settore la violazione delle disposizioni da queste emanate, relative agli obblighi di adeguata verifica della clientela, all organizzazione, alla registrazione, alle procedure ed ai controlli interni istituiti per prevenire il riciclaggio ed il finanziamento del terrorismo; al titolare dell attività o al legale rappresentante le violazioni delle prescrizioni in tema di Segnalazione delle operazioni sospette ; al Ministero dell Economia e delle Finanze le infrazioni alle disposizioni concernenti le Limitazioni all uso del contante e dei titoli al portatore ed il Divieto di conti e libretti di risparmio anonimi o con intestazione fittizia di cui abbiano notizia; alla UIF le violazioni degli Obblighi di registrazione e della conservazione dei documenti e delle informazioni precedentemente acquisite dall ente per assolvere gli obblighi di adeguata verifica della clientela. Al fine dell espletamento dei propri compiti l Organismo di Vigilanza si può avvalere delle funzioni operative e di controllo interne, anche attivando i flussi informativi previsti dall Organismo di Vigilanza e resi noti ai destinatari degli stessi dallo stesso Organismo. 4.7. OBBLIGHI DI RISERVATEZZA I componenti dell Organismo sono tenuti al segreto in ordine alle notizie ed informazioni acquisite nell esercizio delle loro funzioni. I componenti dell Organismo assicurano la riservatezza delle informazioni di cui vengano in possesso - con particolare riferimento alle segnalazioni che agli stessi dovessero pervenire in ordine a presunte violazioni del Modello - e si astengono dal ricercare ed utilizzare informazioni riservate per scopi non conformi alle funzioni proprie dell Organismo. Le informazioni in possesso dei componenti dell Organismo vengono trattate in conformità con le normative vigenti in materia di trattamento dei dati personali e delle informazioni riservate. L inosservanza dei suddetti obblighi da parte di uno dei componenti dell ODV, qualora accertata, dovrà essere comunicata tempestivamente al Consiglio di Amministrazione da parte del Presidente o dal componente più anziano al fine di permettere allo stesso Consiglio di valutare se disporre la revoca del mandato al componente in questione. 13

4.8. BUDGET DI SPESA Qualora per l espletamento dei compiti che la legge assegna all OdV si ritenga necessario ottenere uno specifico supporto consulenziale, non presente in ambito aziendale, ovvero non ottenibile dalle strutture federative locali e nazionali, l Organo potrà ricorrere alle prestazioni di enti e/o professionisti esterni. A tal fine l OdV è dotato di un budget annuo di spesa, determinato dal Consiglio di Amministrazione. L Organismo, nei casi in cui ciò sia assolutamente necessario, può sostenere costi in misura superiore al budget assegnato, dandone comunicazione al Consiglio di Amministrazione. 4.9. COMPENSI I membri dell Organismo hanno diritto, oltre al rimborso delle spese effettivamente sostenute per l espletamento dell incarico, al compenso determinato dal Consiglio di Amministrazione per l intero periodo di durata del loro incarico. Tale compenso deve esser conforme alle politiche retributive delle banca così come presentate all Assemblea dei soci e comunque mai in contrasto con quanto stabilito dalle Disposizioni di vigilanza del marzo 2008 in materia di governance e dei successivi provvedimenti integrativi e modificativi. 4.10. REPORTING DELL ODV VERSO GLI ORGANI SOCIETARI Come già precisato nel documento che istituisce il Modello organizzativo ai sensi del D.Lgs. 231/01, al fine di garantire la sua piena autonomia e indipendenza nello svolgimento delle proprie funzioni, l Organismo di Vigilanza riferisce direttamente al Consiglio di Amministrazione della società e al Collegio Sindacale. Il riporto a siffatti organi, competenti a convocare l assemblea dei soci, costituisce anche la miglior garanzia del controllo ultimo sull operato degli amministratori affidato ai soci. Segnatamente, in sede di approvazione del bilancio annuale, l OdV riferisce al Consiglio di Amministrazione e al Collegio Sindacale sullo lo stato di fatto sull attuazione del Modello, con particolare riferimento agli esiti dell attività di vigilanza espletata durante l anno e agli interventi opportuni per l implementazione del Modello, mediante una relazione scritta. L OdV potrà in ogni momento chiedere di essere sentito dal Consiglio di Amministrazione ogni volta che ritenga opportuno un esame o un intervento di siffatto organo in materie inerenti il funzionamento e l efficace attuazione del Modello. A garanzia di un corretto ed efficace flusso informativo, l OdV ha inoltre la possibilità, al fine di un pieno e corretto esercizio dei suoi poteri, di chiedere chiarimenti o informazioni direttamente al Direttore generale ed ai soggetti con le principali responsabilità operative. L OdV potrà, a sua volta, essere convocato in ogni momento dal Consiglio di Amministrazione e dagli altri organi societari per riferire su particolari eventi o situazioni relative al funzionamento e al rispetto del Modello. Il reporting dell OdV nei confronti del Consiglio di Amministrazione avverrà solo con le modalità sopra descritte e sarà esercitato anch'esso sempre in modo collegiale. 4.11. REPORTING ALL ORGANISMO DI VIGILANZA Il D.Lgs. 231/01 contempla l obbligo di prevedere, nei modelli organizzativi, flussi informativi nei confronti dell organismo deputato a vigilare sul funzionamento e l osservanza dei modelli (art. 6, co. 2, lett. d) relativi sia all esecuzione di attività sensibili (c.d. informazioni ordinarie) si a situazioni anomale e a possibili violazioni del modello (c.d. informazioni straordinarie). Con riferimento alle informazioni ordinarie, i flussi informativi previsti verso l Organismo di Vigilanza sono definiti dallo stesso Organismo e resi noti alle strutture operative interessate. Tali flussi possono essere oggetto di aggiornamento periodico da parte dell OdV sulla base dell evoluzione normativa e degli eventuali cambiamenti nella struttura organizzativa della Banca. Con riferimento alle informazioni straordinarie, il personale, dipendente e non, deve riferire ogni informazione relativa a comportamenti costituenti violazioni delle prescrizioni del Modello o inerenti alla commissione di reati. A tali fini è istituito un canale di comunicazione consistente nell invio all OdV di corrispondenza riservata presso un indirizzo di posta elettronica (odv@bancadicesena.bcc.it) da parte del personale che voglia procedere alla segnalazione; siffatta modalità di trasmissione delle informazioni è intesa a garantire la riservatezza per i segnalatori del messaggio, anche al fine di evitare atteggiamenti ritorsivi nei confronti del segnalante. 4.12. MODIFICHE DEL REGOLAMENTO Eventuali modifiche al presente Regolamento possono essere apportate su proposta, o con parere favorevole,dell Organismo di Vigilanza unicamente con delibera del CdA. Per quanto non espressamente disciplinato nel presente Regolamento, si rinvia a quanto previsto dal Modello. 14

5. ALLEGATI 5.1. METODOLOGIA PER LA VALUTAZIONE DEI RISCHI 5.1.1. PREMESSA Il presente documento descrive la metodologia di risk assessment definita dal gruppo di lavoro costituito tra Federazione Emilia Romagna e la società di consulenza Nexen Spa, per la rilevazione della presenza di attività sensibili alla commissione degli illeciti di cui all art.6 comma 2 punto a del Decreto Legislativo 231/01 in materia di responsabilità amministrativa degli enti nell ambito dei processi operativi delle Banche socie. La metodologia proposta ricalca le metodologie e gli strumenti operativi elaborati nell ambito del progetto nazionale di categoria, in sintonia con il più generale sistema di gestione dei controlli interni sui processi bancari, volto a supportare l adeguamento dei modelli organizzativi di gestione e di controllo al disposto del decreto stesso. L analisi del rischio viene realizzata tramite lo svolgimento di interviste e di rilevazioni dirette che vengono effettuate in diversi incontri con il personale direttivo e operativo della Banca con l obiettivo di raccogliere e analizzare la documentazione interna nonché di approfondire le consuetudini interne al fine di individuare le attività sensibili e valutare l efficacia del sistema di controllo interno. Le attività sensibili vengono documentate in un database di riferimento (database 231) che costituisce il repository dei rischi 231 e che è di supporto per il monitoraggio periodico dei rischi ed il loro aggiornamento. 5.1.2. IL DATABASE DI RIFERIMENTO Dal punto di vista metodologico si è provveduto a predisporre un database in cui sono stati individuati, per ciascun processo aziendale tipico di ogni singola BCC, le attività sensibili alla commissione dei reati 231 allo scopo di valorizzare il rischio per poter definire ulteriori contromisure per le attività a maggiore rischio di commissione di reati. Il database risulta essere distinto in due sezioni fondamentali: una prima sezione precompilata e una seconda da personalizzare con le informazioni previste. Le informazioni contenute nella prima sezione sono le seguenti: o Il Ref. D. Lgs. 231/01 che indica il riferimento del D.Lgs. 231/01, cioè all articolo del Decreto. o Il Ref. Reato che indica l'articolo del c.c. o c.p. richiamato dal D.Lgs. 231/01. o Il Rischio/ Reato che indica il reato previsto da detto articolo. o La Descrizione rischio elementare che illustra in modo generale la fattispecie di reato correlata, se possibile, all'attività bancaria. o Gli Esempi operativi che illustrano alcuni esempi di realizzazione del reato nell'ambito del processo di riferimento. o Il Processo che identifica il processo in cui può essere commesso il reato. o La Fase che identifica la fase di processo in cui può essere commesso il reato. o La Sottofase che identifica la sottofase di processo in cui può essere commesso il reato. o L Attività che identifica, se possibile, l'attività elementare del processo in cui può essere commesso il reato. o Il Peso che indica il peso attribuito dall'analisi del rischio di Federcasse: "continuità" o "alto" in funzione dell'impatto in termini di sanzioni previste e che è descritto nel paragrafo riguardante il rischio assoluto. Le informazioni contenute nella seconda sezione, invece, sono le seguenti: o L Applicabilità del rischio in cui bisogna indicare "sì"/"no" a seconda che l'attività in questione venga svolta o meno presso la Banca. In caso negativo non si prosegue nell'assessment. o L UO responsabile dove è necessario indicare l'unità organizzativa aziendale che ha la responsabilità dell'attività in questione. o Le altre UO coinvolte dove bisogna indicare le eventuali altre unità organizzative coinvolte nel processo (indicare anche eventuali coinvolgimenti di outsourcer o società di sistema). o Il N. risorse coinvolte mediamente in cui si indicano il numero di risorse mediamente coinvolte nello svolgimento dell'attività, anche se appartenenti a diverse funzioni aziendali. o La Normativa interna di riferimento dove si indica la normativa aziendale che disciplina l'attività in questione. (es.: regolamento crediti, procedura antiriciclaggio, etc.). o La Descrizione del processo organizzativo "as is" in cui è necessario fornire una breve descrizione delle attuali modalità di svolgimento del processo con particolare riferimento ai livelli di proceduralizzazione. o La Probabilità di accadimento in cui va inserita una valutazione complessiva relativa alla probabilità di commissione del reato indicato secondo una scala di valori predefinita e descritta nel paragrafo riguardante il rischio assoluto. o Il Rischio Assoluto è una colonna che si valorizza automaticamente in base alla combinazione delle informazioni tra peso (continuità/alto) e probabilità di accadimento (bassa/media/alta). Il 15

o o o o o MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO rischio assoluto può assumere i valori elevato/ rilevante/ ridotto, alimentando la relativa matrice, come di seguito illustrato. I Controlli a presidio del rischio in cui si descrivono i controlli esistenti a presidio del rischio di commissione del reato indicato. La Valutazione Efficacia Controlli in cui va inserita una valutazione complessiva relativa alle contromisure organizzative e all'efficacia dei controlli a presidio del rischio di commissione del reato indicato secondo una scala di valori predefinita e descritta nel paragrafo riguardante la valutazione dei controlli. Il Rischio Residuo è una colonna che si valorizza automaticamente in base alla combinazione delle informazioni risultanti dall incrocio tra rischio assoluto precedentemente determinato con la valutazione dell efficacia dei controlli presenti. Il rischio residuo, in funzione dei valori assunti dalle due variabili, può assumere i valori critico/ da migliorare/ accettabile come di seguito illustrato. Le Aree di criticità del processo in cui si indicano le principali criticità (carenze di presidi) che limitano l'idoneità del modello organizzativo nel prevenire eventuali reati. Gli Interventi di mitigazione ipotizzati in cui si indicano gli interventi che ragionevolmente possono essere realizzati dalla Banca in ottica di rafforzamento dei presidi organizzativi/di controllo. 5.1.3. LA VALUTAZIONE DEL RISCHIO REATO Per quanto concerne la valutazione del rischio di commissione dell illecito, essa è ricostruita mediante: o l individuazione dell indice di rischiosità assoluta; o la valutazione dei controlli a presidio dei rischi individuati; o la determinazione del rischio residuo. RA (Modalità di realizzazione della condotta illecita) - VC (Esistenza, adeguatezza e conformità dei controlli/contromisure a presidio del rischio) = RR (Rischio Residuo) RA = Rischio Assoluto VC = Valutazione Controlli RR = Rischio Residuo 5.1.4. IL RISCHIO ASSOLUTO Il rischio assoluto ai sensi 231 rappresenta la valutazione sintetica del rischio di processo il cui manifestarsi potrebbe comportare la responsabilità degli enti per gli illeciti amministrativi ex D.Lgs. 231/01. Il rischio assoluto è stato valutato in base a due variabili: Peso e Probabilità di accadimento. Le due variabili misurano da un lato l impatto della sanzione potenzialmente derivante dalla manifestazione del rischio, dall altro determina la possibilità di accadimento dell illecito rispetto allo svolgimento dell attività. La scala di valutazione del Peso adottata è basata su 2 livelli: 1. Continuità: se dalla manifestazione del rischio potenziale 231 potrebbero derivare sanzioni pecuniarie e interdittive; 2. Alto: se dalla manifestazione del rischio potenziale 231 potrebbero derivare esclusivamente sanzioni pecuniarie La probabilità è stata valutata tenendo conto di fattori oggettivi legati alla frequenza di svolgimento dell attività, all entità del possibile interesse o vantaggio per la Banca, al verificarsi del rischio nella storia della banca. sulla seguente scala: o Bassa: probabilità remota di accadimento dell illecito o Media: probabilità media di accadimento dell illecito o Alta: probabilità alta di accadimento dell illecito Dall incrocio della probabilità di accadimento con il peso viene determinato il Rischio Assoluto per la Banca per ciascuna attività sensibile, articolato su tre possibili livelli: Ridotto, Rilevante, Elevato, come riportato nello schema seguente: 16

5.1.5. LA VALUTAZIONE DEI CONTROLLI La valutazione dell efficacia dei controlli posti in essere dalla Banca a presidio di ciascun rischio potenziale 231 avviene mediante l analisi di ciascuna attività sensibili, la valutazione delle contromisure organizzative e/o procedurali esistenti, nonché dei controlli previsti dalle normative specifiche o dai protocolli di cui al Modello organizzativo ex D.Lgs. 231/01 della Banca. La valutazione dell efficacia dei controlli posti in essere è articolata sulla base di 5 livelli: 1. Adeguato: Presenza di controlli automatici, formalizzati e tracciati, formalizzazione dei ruoli e delle responsabilità; dimensionamento corretto degli organici della funzione; 2. In prevalenza adeguato: Presenza di controlli semiautomatici, formalizzati e tracciati; formalizzazione parziale dei ruoli e delle responsabilità; dimensionamento accettabile degli organici della funzione 3. Parzialmente adeguato: Presenza di controlli manuali, formalizzati e non tracciati; parziale formalizzazione di ruoli e responsabilità, dimensionamento degli organici della funzione non sufficiente 4. In prevalenza inadeguato: Presenza di controlli manuali, non formalizzati e non tracciati, parziale o inesistente formalizzazione dei ruoli e delle responsabilità; sottodimensionamento degli organici della funzione 5. Inadeguato/assente: Controlli assenti; mancata formalizzazione di ruoli, responsabilità, processi; dimensionamento inadeguato degli organici della funzione Tali valutazioni riassumono considerazioni di carattere soggettivo oltre che oggettivo in merito alla capacità dei controlli/contromisure in essere di assicurare, attraverso il presidio sulle possibili modalità di realizzazione delle condotte illecite, la conformità dell operatività della Banca al disposto del D. Lgs. 231/01. In funzione delle verifiche effettuate ed in presenza di una valutazione dei controlli ritenuti inefficaci la Banca potrà procedere alla formalizzazione delle criticità riscontrate ed alla conseguente individuazione degli interventi di mitigazione che dovranno essere proposti ai vertici aziendali. 17

5.1.6. IL RISCHIO RESIDUO Le informazioni inserite nel Risk Assessment vengono quindi riclassificate in funzione dell incrocio rischio assoluto e efficacia del controllo generando una matrice di classificazione finale che determina il rischio residuo. Questo (v. tabella seguente) è articolato su tre livelli: o Rischio residuo accettabile: i presidi esistenti sono in grado di prevenire la commissione degli illeciti di cui al Decreto; o Rischio residuo da migliorare: occorrerà valutare il costo/beneficio delle contromisure per la mitigazione del rischio; o Rischio residuo inaccettabile: risulterà opportuno attivare ulteriori contromisure organizzative e controlli atti a ridurre concretamente l esposizione al rischio. 5.2. ELENCO REGOLAMENTI L impianto normativo interno è costituito da Regolamenti, tempo per tempo adottati, che sovraintendono al funzionamento della Banca (Statuto, Facoltà e poteri, Policy, Regolamento Interno, ecc.) e da norme più strettamente operative che regolamentano i processi aziendali, le singole attività e i relativi controlli (Regolamento Processo del Credito, Regolamento Processo Finanza, Direttive, Ordini di Servizio, Circolari, Guide Operative, Manuali, ). I Regolamenti e la normativa aziendale è diffusa in modo capillare all interno della Banca. 18

5.3. MATRICE DEI RISCHI MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO PROCESSI REATI Go ve rn o C ont abilità B ilan cio e S egna laz ioni di V igilanz a D isposizioni no rm ative C redito M erca ti F ina nz iari R is pa rm io In ca ss i e P aga m en ti Es tero F iliali Te so re ria E nti Inf ra st ru ttur e e Sp es e R is ors e U m ane R elazio ni Esterne 1. Malversazione a danno dello Stato 2. Truffa aggravata per il conseguimento di erogazioni pubbliche 3. Truffa aggravata ai danni dello stato 4. Frode Informatica 5. Falsità in un documento informatico pubblico o privato 6. Accesso abusivo ad un sistema informatico o telematico 7. 8. Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico 10. Concussione 11. Corruzione 11. bis 12. Corruzione in atti giudiziari Falsita` in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni di riconoscimento 13. (Concorso in) false comunicazioni sociali 14. (Concorso in) falso in prospetto 15. (Concorso in) falsità nelle relazioni e nelle comunicazioni della società di revisione 16. (Concorso in) impedito controllo 17. (Concorso in) indebita restituzione dei conferimenti 18. (Concorso in) illegale ripartizione di utili e riserve 19. (Concorso in) illecite operazioni sulle azioni o quote sociali o della società controllante 20. Operazioni in pregiudizio dei creditori 20. bis Omessa comunicazione del conflitto di interessi 21. (Concorso in) formazione fittizia del capitale 22. Indebita ripartizione dei beni sociali da parte dei liquidatori 23. Illecita influenza sull assemblea 24. Aggiotaggio 25. 26. (Concorso in) ostacolo all esercizio delle funzioni delle autorità pubbliche di vigilanza Reati con finalità di terrorismo o di eversione dell'ordine democratico 27. Delitti contro la personalità individuale 28. Reati di abuso di mercato 29. Reati Transnazionali 30. Omicidio colposo e Lesioni personali colpose 31. Ricettazione 32. Riciclaggio e Impiego di denaro, beni o utilità di provenienza illecità 33. Delitti di criminalità organizzata 34. Delitti contro l'industria e il commercio 35. Delitti in materia di violazione del diritto d'autore e 36. Induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all'autorità giudiziaria 19

LEGGENDA o Sono evidenziati con un "pallino verde" i rischi elementari di processo identificati nell'ambito del progetto nazionale di categoria. o Sono evidenziati con un "pallino blu" i rischi elementari di processo inseriti dal gruppo di lavoro della Federazione Lombarda, a seguito di un approfondimento sul materiale prodotto nell'ambito del progetto nazionale di categoria. o Sono evidenziati con un "pallino rosso" i rischi elementari di processo identificati a seguito dell'introduzione dei reati transnazionali con la legge n. 146/2006, dei reati di omicidio colposo e di lesioni personali colpose col Decreto Legislativo 9 aprile 2008 n. 81 (testo unico in tema di tutela della salute e della sicurezza sul lavoro), dei reati di ricettazione, riciclaggio e impiego di denaro, beni e utilità di provenienza illecita con D.Lgs. 231/2007, dei reati informatici con legge 18 marzo 2008, n. 48, dei delitti di criminalità organizzata con la L. 15 luglio 2009, n. 94, art. 2, co. 29, dei delitti contro l'industria e il commercio con la legge n. 99 del 23/07/09, dei delitti in materia di violazione del diritto d'autore con la legge n. 99 del 23/07/09, dei reati di induzione a non rendere dichiarazioni mendaci con la legge 3 agosto 2009 n. 116, art. 4), dei reati di falsità in monete modificati dalla dalla legge n. 409 del 23/11/2001; modificato dalla legge n. 99 del 23/07/09) e non ancora recepiti dalla metodologia Federcasse. 20