Le funzione di conformità alle norme nell ambito del Sistema dei Controlli Interni delle Banche

Le funzione di conformità alle norme nell ambito del Sistema dei Controlli Interni delle Banche a cura di Francesco Manganaro 11 Gennaio 2014 1

Obiettivo del seminario Il Sistema dei Controlli Interni, la gestione dei rischi, i principi di corporate governance, etc. per gli intermediari creditizi sono stati impattati nel tempo da una proliferazione di norme che ha richiesto un continuo e progressivo adeguamento da parte delle banche e dei gruppi bancari al fine di garantire una sana e prudente gestione, nonché la stabilità del sistema finanziario Da ultimo il 2 luglio 2013 Banca d Italia ha emanato le nuove Disposizioni di Vigilanza prudenziale per le Banche, in materia di «Sistema dei controlli Interni, Sistema informativo e Continuità operativa» (15 aggiornamento della Circ. 263/2006) che, oltre a prevedere significative novità, costituiscono un compendio organico rispetto alla frammentazione normativa preesistente. La nuova disciplina intende infatti razionalizzare il quadro normativo preesistente alla luce dei provvedimenti emanati in materia negli ultimi anni In tale contesto, il presente seminario si propone l obiettivo di: 1 Rappresentare sinteticamente il contesto evolutivo della normativa in materia di SCI 2 Illustrare le caratteristiche essenziali di Sistema dei Controlli Interni 3 Analizzare le caratteristiche della Funzione di Compliance 2

Le Nuove Disposizioni di Vigilanza

Quadro normativo di riferimento Evoluzione del contesto esterno Con la circolare di Banca d Italia sul sistema dei controlli interni del 1999, è stato avviato un percorso evolutivo che si è articolato mediante la progressiva introduzione da parte delle Autorità di Vigilanza di principi e presidi volti a rendere sempre più efficace e solido il complessivo Sistema dei Controlli Interni Tale percorso ha condotto alla proliferazione di strutture organizzative di controllo, con responsabilità che possono risultare in alcuni casi in sovrapposizione fra loro ridondanti Il quadro delineatosi ha richiesto in un ottica di consolidamento ed evoluzione del Sistema dei Controlli Interni l esigenza di un complessivo efficientamento delle strutture e dei presidi di controllo, con una visione unitaria delle esigenze e delle priorità dell intermediario GLI STEP PRINCIPALI DEL PERCORSO EVOLUTIVO 1999 Istruzioni di Vigilanza - Sistema dei controlli interni DIRETTIVE 2001 EUROPEE D.Lgs 231/2001 2005/60/CE Modello Organizzativo e OdV 2006/70/CE 2005 L. 262/05 Riforma del risparmio - Dirigente Preposto 2006 Circ. 263 Nuove disposizioni di vigilanza prudenziale per le banche 2007 La funzione di conformità 2008 Governo societario 2010 Governance, compliance e controlli interni per il rischio riciclaggio 2013 Revisione disposizioni di vigilanza in materia di organizzazione e controlli interni 4

Quadro normativo di riferimento Le nuove Disposizioni di Vigilanza Le nuove disposizioni sono state inserite nel 15 aggiornamento della Circolare 263 del 2006 ed in particolare nel Titolo V il Capitolo 7 «Il sistema dei controlli interni», il Capitolo 8 «Il sistema informativo» ed il Capitolo 9 «la continuità operativa» Obiettivi Rafforzamento della capacità delle banche di gestire i rischi Definizione di un quadro normativo omogeneo basato sul criterio della proporzionalità Revisione organica dell attuale quadro normativo Allineamento alla direttiva comunitaria (CRD IV) 15 aggiornamento alle Nuove Disposizioni di Vigilanza prudenziale 5

Quadro di riferimento normativo Il coordinamento con le normative preesistenti alla nuova disciplina Nell ambito del percorso di adeguamento le norme abrogate, perché superate dalle nuove disposizioni, sono: Circolare 229 del 1999 «Istruzioni di vigilanza per le banche - Sistema dei controlli interni, compiti del collegio sindacale» La gestione e il controllo dei rischi. Ruolo degli organi aziendali, contenute nelle Nuove disposizioni di vigilanza prudenziale per le banche, Circolare n. 263 Disposizioni di vigilanza - la funzione di controllo di conformità alle norme delle banche (Comunicazione del 10 luglio 2007); Norme abrogate Disposizioni di vigilanza Esternalizzazione del trattamento del contante (Comunicazione del 7 maggio 2007); 6 Disposizioni di vigilanza Continuità operativa in casi di emergenza (Comunicazione del luglio 2004); Disposizioni di vigilanza Requisiti particolari per la continuità operativa dei processi di rilevanza sistemica (Comunicazione del marzo 2007) Comunicazione del 30 dicembre 2008 - Valutazione del merito di credito, limitatamente agli aspetti concernenti le banche e le capogruppo di gruppi bancari Le nuove Disposizioni non abrogano invece il Provvedimento recante disposizioni attuative in materia di organizzazione, procedure e controlli interni volti a prevenire l utilizzo degli intermediari e degli altri soggetti che svolgono attività finanziaria ai fini di riciclaggio e di finanziamento del terrorismo ai sensi del D. Lgs. 231/2007 del 10 marzo 2011 nonché la normativa congiuntamente emanata da Consob in materia di prestazione dei servizi di investimento

Le Nuove Disposizioni I principali impatti 4. INTERNAL AUDIT Collocazione organizzativa Assetto organizzativo controlli IA Rafforzamento compiti di controllo su metodologie di valutazione delle attività, risk management, su criticità identificate dalla società di revisione legale Rafforzamento obblighi di reporting verso Banca d Italia Pianificazione in funzioni dei rischi 5. COMPLIANCE Ampliamento del perimetro normativo della funzione Ausilio alle strutture aziendali nella definizione delle metodologie di valutazione dei rischi di compliance Presidi aziendali specialistici Rafforzamento obblighi reporting a Banca d Italia 1. GOVERNANCE Codice etico Risk Appetite Framework Operazioni di maggiorie rilievo Nomina e revoca funzioni di controllo Assegnazione al Collegio Sindacale dell OdV 231/01 Documento SCI Product approval Verifica annuale compliance SCI 2. PERSONALE Definizione percorsi formativi Procedure di valutazione quali quantitativa del personale delle funzioni di controllo Consulenze per le funzioni di controllo 3. ORGANIZZAZIONE Approccio integrato alla gestione dei rischi Definizione dei controlli di linea Disciplina organica in materia di esternalizzazione di funzioni aziendali Regole e procedure per la valutazione delle attività 6. RISK MANAGEMENT Collocazione organizzativa Rafforzamento dei poteri del Risk Management Definizione politiche di governo dei rischi e relativi processi Sviluppo indicatori di controllo Analisi nuovi prodotti/servizi/nuovi mercati Rafforzamento obblighi di reporting verso Bankit 7. ICT Definizione/revisione organizzazione ICT Introduzione di un modello di gestione integrata dei Rischi Informatici Introduzione di un modello di gestione dei dati (Data Governance) Definizione/Revisione criteri specifici per l esternalizzazione di sistemi e servizi ICT ivi incluso l outsourcing in modalità cloud computing Obbligo di predisposizione dei Documenti aziendali per la gestione e il controllo ICT (Allegato A) Implementazione di misure in materia di servizi telematici Obbligo di reporting verso Banca d Italia dei controlli svolti da parte dell internal Auditing nei confronti dell outsourcer Rafforzamento requisiti in tema di Continuità Operativa Obbligo in termini di segregazione dei compiti Obbligo di tracciatura delle transazioni (critiche) 7

Le Nuove Disposizioni Le tempistiche per l adeguamento Banca d Italia in sede di emanazione delle nuove disposizioni ha definito puntualmente i termini di adeguamento Sono previste scadenze differenziate a seconda dell intervento oggetto di adeguamento Le banche sono chiamate ad adeguarsi alle nuove disposizioni, tenendo in considerazione il principio di proporzionalità 2013 2014 2015 2016 Termini per l adeguamento 2 luglio 2013 Emanazione Disposizioni di vigilanza 31 gennaio 2014 Termine autovalutazione e inoltro a Bankit della relativa relazione e contratti di esternalizzazione 1 luglio 2014 Termine generale per l adeguamento alle disposizioni di cui al Capitolo 7 (SCI) e al Capitolo 9 (Continuità Operativa) 1 Febbraio 2015 Termine generale per l adeguamento alle disposizioni di cui al Capitolo 8 (Sistema Informativo) 1 luglio 2015 Termine per l adeguamento del collocamento organizzativo delle funzioni di controllo di secondo livello (linee di riporto) 1 luglio 2016 Termine per l adeguamento dei contratti di esternalizzazione ai requisiti previsti dalle disposizioni 8

Le Nuove Disposizioni La relazione di autovalutazione Nell immediato Banca d Italia ha richiesto alle banche di predisporre una relazione contenente un autovalutazione della propria situazione aziendale rispetto alle previsioni della nuova normativa La relazione di autovalutazione da inviare entro il 31 gennaio 2014 dovrà contenere: i risultati della diagnosi della propria situazione aziendale rispetto alle previsioni della nuova normativa (gap analysis) le misure da adottare e la relativa scansione temporale per assicurare il pieno rispetto delle nuove disposizioni 9

Il Sistema dei Controlli Interni

Il Sistema dei controlli interni Definizioni Per garantire una sana e prudente gestione, le banche devono coniugare nel tempo la profittabilità dell'impresa con un'assunzione dei rischi consapevole e compatibile con le condizioni economico-patrimoniali, nonché con una condotta operativa improntata a criteri di correttezza A tal fine è indispensabile che le banche si dotino di adeguati sistemi di rilevazione, misurazione e controllo dei rischi, coerentemente con le proprie dimensioni e la complessità della propria operatività Il Sistema dei Controlli Interni (SCI) è costituito dall'insieme delle regole, delle funzioni, delle strutture, delle risorse, dei processi e delle procedure che mirano ad assicurare il rispetto della sana e prudente gestione, il conseguimento delle seguenti finalità Verifica attuazione delle strategie e delle politiche aziendali Contenimento del rischio entro i limiti indicati nel Risk Appetite Framework Salvaguardia del valore delle attività e protezione delle perdite Efficacia ed efficienza dei processi aziendali Affidabilità e salvaguardia sicurezza del valore delle delle attività e informazioni protezione dalle aziendali perditee delle procedure informatiche Prevenzione del rischio che la banca sia coinvolta in attività illecite (antiriciclaggio, usura, etc.) Conformità operazioni con la legge e la normativa di Vigilanza, con le politiche, regolamenti e procedure interne 11

Il Sistema dei controlli interni La piramide Vengono distinte tre diverse tipologie di controllo, a prescindere dalle strutture organizzative in cui sono collocate: i controlli di linea, diretti ad assicurare il corretto svolgimento delle operazioni. Sono effettuati dalle stesse strutture operative (ad es: controlli di tipo gerarchico, sistematici e a campione), anche attraverso unità dedicate esclusivamente a compiti di controllo che riportano ai responsabili delle strutture operative, ovvero eseguiti nell ambito del back office; per quanto possibile, sono incorporati nelle procedure informatiche i controlli sui rischi e sulla conformità, hanno l'obiettivo di assicurare la corretta attuazione del processo di gestione dei rischi, il rispetto dei limiti operativi assegnati alle varie funzioni, la conformità dell operatività aziendale alle norme, incluse quelle di autoregolamentazione. Le funzioni preposte a tali controlli sono distinte da quelle produttive e concorrono alla definizione delle politiche di governo dei rischi e del processo di gestione dei rischi 3 livello Internal Audit 2 livello Risk Management, Compliance, Antiriciclaggio DP ex Lege 262/05 12 l attività di revisione interna, volta a individuare violazioni delle procedure e della regolamentazione nonché a valutare periodicamente la completezza, l adeguatezza, la funzionalità (in termini di efficienza ed efficacia) e l affidabilità del sistema dei controlli interni e del sistema informativo (ICT audit), con cadenza prefissata in relazione alla natura e all intensità dei rischi 1 livello Controlli di linea

Il Sistema dei controlli interni Collocazione organizzativa delle funzioni di controllo Collegio Sindacale CDA Internal Auditing Controlli di revisione interna Alta Direzione Compliance Controlli sulla gestione dei rischi Risk Management Controlli sulla gestione dei rischi Antiriciclaggio Controlli sulla gestione dei rischi Aree operative Controlli di linea Aree operative Controlli di linea Aree operative Controlli di linea 13

Il Sistema dei controlli interni Principali caratteristiche delle funzioni di controllo Le Banche istituiscono funzioni aziendali di controllo (funzioni di gestione dei rischi e funzione di revisione interna) permanenti e indipendenti Competenza e Autorità Risorse economiche adeguate, eventualmente attivabili in autonomia Accesso ai dati aziendali e a quelli esterni Tra loro separate (le funzioni di controllo di secondo livello sono separate dalla funzione IA) Funzioni di controllo di secondo Requisiti delle livello affidate ad unica struttura funzioni di Possono essere affidate ad un outsourcer esterno controllo Responsabili delle funzioni di controllo Possiedono requisiti di professionalità adeguati Sono collocati in posizione gerarchicofunzionale adeguata Non hanno responsabilità diretta di aree operative sottoposte a controllo Sono nominati e revocati dal CdA sentito il Collegio Sindacale Riferiscono direttamente agli organi aziendali Collaborano tra loro e con le altre funzioni con lo scopo Coordinamento di sviluppare metodologie di delle funzioni di controllo coerenti con le strategie controllo e l operatività aziendale Compiti e responsabilità delle funzioni comunicati all intera organizzazione aziendale Articolazione dei flussi informativi tra le funzioni aziendali di controllo (flussi informativi tra le funzioni esternalizzate e tra queste ed i referenti interni alle banche Gestione del personale Politiche di gestione delle risorse umane volte ad assicurare che il personale sia provvisto di adeguate competenze Linee guida per l aggiornamento delle risorse e per la definizione dei programmi di formazione continua Il personale che partecipa alle funzioni di controllo non deve essere coinvolto in attività che tali funzioni sono chiamate a controllare 14

Il Sistema dei controlli interni Programmazione e rendicontazione delle funzioni di controllo Per ciascuna funzione aziendale di controllo la regolamentazione interna indica responsabilità, compiti, modalità operative, flussi informativi, programmazione dell attività di controllo, in particolare: Funzione di controllo di 2 livello Funzione di Conformità alle norme (Compliance) Funzione di controllo dei rischi (Risk Management) Funzione Antiriciclaggio presentano annualmente agli organi aziendali, ciascuna in base alle rispettive competenze, un programma di attività, in cui sono identificati e valutati i principali rischi a cui la banca è esposta e sono programmati i relativi interventi di gestione. La programmazione degli interventi tiene conto sia delle eventuali carenze emerse nei controlli, sia di eventuali nuovi rischi identificati Flussi informativi vs organi aziendali Funzione di controllo di 3 livello Funzione di revisione interna (Internal Audit) la funzione di revisione interna presenta annualmente agli organi aziendali un piano di audit, che indica le attività di controllo pianificate, tenuto conto dei rischi delle varie attività e strutture aziendali; il piano contiene una specifica sezione relativa all attività di revisione del sistema informativo (ICT auditing) 15 Le Funzioni aziendali di controllo, annualmente: presentano agli organi aziendali una relazione dell attività svolta, che illustra le verifiche effettuate, i risultati emersi, i punti di debolezza rilevati e propongono gli interventi da adottare per la loro rimozione riferiscono, ciascuna per gli aspetti di rispettiva competenza, in ordine alla completezza, adeguatezza, funzionalità e affidabilità del sistema dei controlli interni in ogni caso, informano tempestivamente gli organi aziendali su ogni violazione o carenza rilevante riscontrate

La funzione di conformità alle norme

Organizzazione della Funzione Compliance Il rischio di non conformità alle norme Il rischio di non conformità alle norme, diffuso a tutti i livelli dell organizzazione aziendale, è il rischio di incorrere in taluni effetti avversi, in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione (es: codici di condotta, codici di autodisciplina) Sanzioni giudiziarie o amministrative Effetti Avversi Perdite finanziarie rilevanti Danni di reputazione La Funzione di Compliance presiede alla gestione del rischio di non conformità alle norme, verificando che le procedure interne siano adeguate a prevenire tale rischio.

Organizzazione della Funzione Compliance La Compliance nei gruppi bancari Modello Accentrato Le responsabilità sono accentrate presso la Funzione di Compliance di Capogruppo Presso le Controllate è individuato un REFERENTE che svolge funzioni di collegamento con il Responsabile della Funzione di Compliance Modello Decentrato Le responsabilità relative alle decisioni strategiche a livello di Gruppo in materia di compliance sono rimesse agli organi aziendali della Capogruppo Presso ciascuna Controllata viene istituita la Funzione di Compliance e nominato un RESPONSABILE che, sulla base delle linee d indirizzo della Capogruppo, è responsabile del presidio del rischio di non conformità in ambito aziendale Misto Le responsabilità relative alle decisioni strategiche a livello di Gruppo in materia di compliance sono rimesse agli organi aziendali della Capogruppo Presso alcune Controllate viene istituita la Funzione di Compliance e nominato un RESPONSABILE; talune altre esternalizzano la Funzione di Conformità ala Capogruppo nominando un REFERENTE 18 la Capogruppo emana Linee guida per la nomina del Compliance Officer nelle Società del Gruppo e adeguamento della Funzione Compliance rimettendo in capo al Consiglio di Amministrazione di ciascuna Società la responsabilità di effettuare la scelta del Modello organizzativo da adottare Tipicamente le Società bancarie del Gruppo, soggette alla nomina della Funzione di Conformità, optano per il Modello organizzativo accentrato con l esternalizzazione della Funzione di Conformità di capogruppo, in ragione di fattori quali dimensioni aziendali delle singole Società facenti parte del Gruppo economie di scala realizzabili con l accentramento della Funzione complessiva operatività ed i profili professionali in organico e contestualmente l opportunità di ricorrere a professionalità e competenze presenti in Capogruppo possibilità di avvalersi di una Funzione di Gruppo che operi con univocità ed omogeneità nella formulazione degli indirizzi per la gestione di tutte le componenti della conformità Le Società altre società del Gruppo nominano propri Compliance Officer residenti, ottemperando nel contempo alle linee guida di Gruppo

Organizzazione della Funzione Compliance La gestione operativa del processo di compliance caratterizzato dall esistenza di una Funzione di Conformità interna alla Società, che svolge senza altri supporti tutte le attività previste nel processo di gestione del rischio di non conformità, con eccezione di quelle di competenza dei vertici aziendali. Tale modello richiede l individuazione di una Funzione ad hoc in grado di operare autonomamente caratterizzato dall esistenza di una Funzione di Conformità interna alla Società, che svolge direttamente alcune attività (in relazione ad organico, competenze, dimensioni e complessità aziendale) mentre per altre si avvale del supporto di altre Funzioni aziendali (es: Legale), che coordina direttamente al fine di assicurare unitarietà e coerenza complessiva d approccio caratterizzato dall esternalizzazione della Funzione a soggetti terzi purché dotati dei requisiti di professionalità e indipendenza. Il Responsabile interno svolge un ruolo di collegamento con l outsourcer, assicurando il rispetto delle disposizioni di vigilanza in materia 19 Soluzione accentrata Punti di forza Punti di debolezza Soluzione mista Soluzione esternalizzata elevata sensibilità aziendale maggiore tempestività di azione derivante dalla gestione diretta Punti di forza creazione di sinergie derivanti dall utilizzo di professionalità diversificate presenti nei diversi settori aziendali coerenza con il c.d. principio di proporzionalità, in relazione alle dimensioni e al tipo di attività della Società limitazione delle duplicazioni e sovrapposizioni di competenze Punti di forza economie di scala derivanti da approcci standardizzati implementazione di soluzioni già verificate per le quali si potrà beneficiare delle esperienze altrui difficoltà di inserimento e sviluppo di una pluralità di competenze in una sola Funzione aggravamento del costo del SCI minore sfruttamento di eventuali economie di scala Punti di debolezza difficoltà di riportare all unitarietà le azioni/attività svolte da più funzioni aziendali e/o esterne Punti di debolezza ridotta personalizzazione riferimento esclusivo all outsourcer basso committment della Società e ridotta incidenza di azione

Organizzazione della Funzione Compliance Le responsabilità della Funzione La Funzione Compliance presiede, secondo un approccio risk based, alla gestione del rischio di non conformità con riguardo a tutte le disposizioni normative applicabili alle banche, verificando che le procedure interne siano adeguate a prevenire il rischio. Il ruolo della funzione può essere graduato in relazione sia al rilievo delle singole norme sia all esistenza di presidi specifici sulla normativa specifica (ad. es. normativa Fiscale) Principali responsabilità I principali adempimenti che la Funzione è chiamata a svolgere sono: a) ausilio alle strutture aziendali per definizione di metodologie di valutazione dei rischi di compliance b) Individuazione di idonee procedure per la prevenzione del rischio e verifica della loro adeguatezza e applicazione c) identificazione nel continuo delle norme applicabili, misurazione/valutazione del loro impatto d) proposta di modifiche organizzative e procedurali finalizzate ad assicurare un adeguato presidio dei rischi identificati e) predisposizione di flussi informativi diretti agli organi aziendali e alle strutture coinvolte f) verifica dell efficacia degli adeguamenti organizzativi suggeriti per la prevenzione del rischio di compliance g) coinvolgimento nella valutazione ex-ante della conformità alla regolamentazione applicabile di tutti i progetti innovativi, nonché nella prevenzione e gestione dei conflitti di interesse sia tra le attività svolte dalla banca sia con riferimento a dipendenti ed esponenti aziendali h) consulenza nei confronti degli organi aziendali in tutte le materie in cui assume rilievo il rischio di compliance e collaborazione attiva nella formazione del personale 20

Organizzazione della Funzione Compliance I «mestieri» della funzione Le attività della Funzione di Compliance possono essere suddivise in quattro macro tipologie: 1. Consulenza 1.1 Legal Inventory 1.2 progettuale 1.3 spot Consulenza volta a individuare nel continuo le variazioni del quadro normativo di riferimento (legal inventory) e la conseguente misurazione/valutazione del loro impatto su processi e procedure aziendali Consulenza nella gestione del cambiamento, volta alla definizione di linee guida applicative e alla verifica dell adeguatezza delle misure organizzative sviluppate dall azienda a fronte delle modificazioni intervenute in termini di nuove normative e/o di nuovi prodotti/servizi/processi, prima dell adozione delle stesse da parte delle strutture organizzative Consulenza volta a fornire pareri in merito a quesiti di natura normativa connessi all operatività 2. Controlli 3. Formazione 2.1 sui processi 2.2 sui comportamenti 3.1 individuazione fabbisogni 3.2 progettazione Verifiche di esistenza/adeguatezza dei presidi organizzativi già adottati a presidio dei rischi di non conformità Verifiche sui comportamenti osservati finalizzate a monitorare l efficacia degli adeguamenti organizzativi suggeriti per la prevenzione del rischio di non conformità Valutazione in merito alla completezza dei piani formativi rispetto alle necessità formative delle risorse Collaborazione con la Funzione Risorse Umane per la predisposizione dei contenuti della formazione, valutando la completezza degli argomenti trattati 21 4. Altre attività 4.1 conflitti d interesse 4.2 sistema premiante 4.3 relazioni Consob Consulenza in materia di prevenzione e gestione dei conflitti di interesse sia tra le diverse attività svolte dalla banca sia con riferimento ai dipendenti e agli esponenti aziendali Verifica della coerenza del sistema premiante aziendale (in particolare retribuzione e incentivazione del personale) con gli obiettivi di rispetto delle norme, dello statuto nonché di eventuali codici etici o altri standard di condotta applicabili alla banca Predisposizione delle relazioni alla Consob obbligatorie ai sensi della normativa sui servizi di investimento

Organizzazione della Funzione Compliance Evoiluzione del perimetro di compliance La Funzione di Compliance è direttamente responsabile della gestione del rischio di non conformità con riferimento a norme più rilevanti che disciplinano attività bancaria e di intermediazione (es. Trasparenza, Usura, MiFID, etc.) Le nuove disposizioni di vigilanza evidenziano la possibilità di graduare i compiti della Funzione di Compliance, per le normative per le quali siano già previste forme specifiche di presidio specializzato (es. normativa sulla sicurezza sul lavoro, in materia di trattamento dei dati personali, normativa fiscale, ecc.). La funzione Compliance rimane almeno responsabile della definizione delle metodologie di valutazione del rischio e della definizione delle relative procedure Possono essere individuati presidi aziendali specialistici, con il compito, per le normative fuori perimetro core della Funzione, di assicurare, nel continuo, la conformità dei comportamenti alla normativa di riferimento e di fornire alla Funzione Compliance giudizi/ dati quantitativi/ esiti sull attività svolta CONTABILITÀ E BILANCIO PRIVACY NORME RESPONSABILITA DIRETTA COMPLIANCE RESPONSABILITÀ AMMINISTRATIVA DEGLI ENTI SEGNALAZIONI DI VIGILANZA GETIONE DEI CONTENZIOSI SERVIZI DI INVESTIMENTO CONFLITTI DI INTERESSE MARKET ABUSE TRASPARENZA SISTEMI DI REMUNERAZIONE OPERAZIONI CON PARTI CORRELATE ANTIUSURA ANTIRICICLAGGIO... SICUREZZA SUI LUOGHI DI LAVORO FISCALE ICAAP 22

Organizzazione della Funzione Compliance Esternalizzazione Alla luce del principio di proporzionalità e, in presenza dei necessari vincoli dimensionali, la Funzione di Compliance può essere esternalizzata a soggetti terzi dotati di requisiti idonei in termini di professionalità e indipendenza. In tal caso l accordo di esternalizzazione deve definire: gli obiettivi, la metodologia e la frequenza dei controlli; le modalità e la frequenza della reportistica dovuta al referente per l attività esternalizzata e agli organi aziendali sulle verifiche effettuate. gli obblighi di riservatezza delle informazioni acquisite nell esercizio della funzione; i collegamenti con le attività svolte dall organo con funzione di controllo; la possibilità di richiedere specifiche attività di controllo al verificarsi di esigenze improvvise; la proprietà esclusiva della banca dei risultati dei controlli. In caso di esternalizzazione la banca nomina uno specifico referente interno cui si applicano le medesime disposizioni in materia di linee di riporto e dipendenza gerarchica/funzionale previste per il Responsabile della Funzione di Compliance. Il fornitore di servizi presso cui si intendono esternalizzare le funzioni aziendali di controllo rispetta le seguenti condizioni: è indipendente rispetto alla banca presso la quale assume l incarico e non cumula incarichi relativi a funzioni aziendali di controllo di secondo e di terzo livello per una stessa banca o gruppo bancario; non svolge contemporaneamente, per la stessa banca o gruppo bancario, incarichi relativi a funzioni aziendali di controllo e attività che sarebbe chiamato a controllare in qualità di fornitore di servizi; non svolge la funzione di revisione legale dei conti per la banca o per altre società del gruppo. 23

Metodologie e strumenti Approccio metodologico La metodologia di valutazione è basata sull utilizzo di un approccio per rischi e per tipologia di normativa ed è finalizzata alla determinazione della rischiosità residuale alla quale è esposta la Società, con la conseguente identificazione delle possibili perdite potenziali Per ciascuna normativa rientrante nel perimetro definito, la valutazione sull adeguato presidio e sulla corretta gestione dei rischi di conformità viene effettuata secondo le regole di seguito illustrate: Identificazione dei rischi di non conformità e la valutazione della corrispondente rischiosità potenziale, condotta sulla base di considerazioni qualitative con riferimento agli effetti avversi che dal manifestarsi del rischio possono scaturire e determinata sulla base dei seguenti parametri: impatto/ significatività frequenza/ probabilità Analisi e valutazione dei presidi sui rischi di non conformità, attraverso l esecuzione delle verifiche di compliance e la successiva valutazione dei presidi che scaturisce dal mero giudizio professionale dei valutatori Determinazione della rischiosità residuale (scoring) mediante l algoritmo di valutazione dato dalla combinazione dei giudizi precedenti ovvero: Scoring = Indice di rischiosità potenziale Valutazione dei presidi 24

Metodologie e strumenti Approccio metodologico Il Rischio Potenziale rappresenta la valutazione sintetica del singolo evento rischioso il cui manifestarsi, alla violazione della norma, potrebbe provocare un danno diretto o indiretto di natura economico-finanziaria, patrimoniale, sanzionatoria o d immagine verso l esterno; è rilevato nell ambito delle attività della Società e risulta indipendente dai presidi implementati, che potranno, eventualmente, solo mitigarne o prevenirne gli effetti Impatto/ significatività Rischio Potenziale Rischio Potenziale = ƒ (impatto; frequenza) 25 Frequenza/ Probabilità

Metodologie e strumenti Approccio metodologico Impatto/ significatività Intensità del danno potenzialmente derivante dalla manifestazione del rischio Frequenza/ Probabilità Stima del numero di volte o della possibilità che il rischio possa manifestarsi 4 livelli di impatto 3 livelli di frequenza Impatto / significatività Frequenza/ Probabilità Indice di rischiosità potenziale MOLTO SIGNIFICATIVO MOLTO SIGNIFICATIVO SIGNIFICATIVO SOSTENUTA MODERATA SOSTENUTA MOLTO ALTO MOLTO SIGNIFICATIVO SIGNIFICATIVO SIGNIFICATIVO LIMITATA MODERATA LIMITATA ALTO MISURATO MISURATO CONTENUTO SOSTENUTA MODERATA SOSTENUTA MEDIO MISURATO CONTENUTO CONTENUTO LIMITATA MODERATA LIMITATA BASSO 26

Metodologie e strumenti Approccio metodologico I risultati conseguiti con le verifiche permettono di pervenire alla valutazione dei presidi sui rischi di non conformità Compliance Programm Conforme Prevalentement e Conforme Prevalentement e Non Conforme Valutazione dei presidi Non Conforme 27

Metodologie e strumenti Approccio metodologico L indice di rischio residuo rappresenta la valutazione sintetica del singolo evento rischioso (il cui manifestarsi potrebbe provocare un danno diretto o indiretto di natura economico-finanziaria, patrimoniale, sanzionatoria o d immagine verso l esterno), data la struttura e l adeguatezza dei presidi esistenti e l aderenza dei comportamenti alle disposizioni normative. L indice di rischio residuo, rappresenta dunque una valutazione qualitativa del rischio a cui l azienda rimane esposta a valle dei presidi predisposti Legenda: Impatto/ significatività Rischio Potenziale Valutazione del presidio Rischio Residuo 28 Frequenza/ Probabilità

Metodologie e strumenti Approccio metodologico Lo scoring è articolato in classi numeriche, espresse in ordine crescente di negatività, sulla base dell opportunità di intraprendere iniziative atte a ridurre il rischio residuo e pertanto circoscrivere le possibili perdite potenziali. In termini concettuali, ciascun scoring rappresenta un giudizio sintetico sul rispetto della conformità alle norme Indice rischiosità potenziale Non Conforme Valutazione dei presidi Prevalentemente Non Conforme Prevalentemente Conforme Conforme MOLTO ALTO 5 4 2 1 ALTO 4 3 2 1 MEDIO 4 3 2 1 BASSO 3 2 1 1 29

Metodologie e strumenti Pianificazione e reporting Il Piano annuale di compliance individua le attività da svolgere nel corso dell esercizio da parte della Funzione di Conformità, inerenti l analisi e la valutazione dei rischi di non conformità, gli interventi formativi, le attività in ambito di Gruppo. Piano di compliance Report Consuntivo Report Ordinario Il Report Ordinario è redatto a seguito di ciascun intervento di compliance, al fine di rendicontare tempestivamente su aspetti significativi per i quali è opportuno intervenire senza indugio. Il Report Consuntivo contiene il riepilogo delle attività svolte nel corso dell esercizio, le conclusioni raggiunte riguardo al presidio dei rischi di non conformità, il piano degli interventi proposti 30