Relazioni

7 - Il presidio dei rischi ed il sistema dei controlli interni

La chiara ed esaustiva identificazione dei rischi cui la Banca è potenzialmente esposta, costituisce il presupposto per la consapevole assunzione e l’efficace gestione degli stessi, attuate anche attraverso appropriati strumenti e tecniche di mitigazione e traslazione.

Nell’ambito dell’ICAAP la Banca aggiorna la mappa dei rischi rilevanti che costituisce la cornice entro la quale sono sviluppate le attività di misurazione/valutazione, monitoraggio e mitigazione dei rischi. A tal fine provvede all’individuazione di tutti i rischi verso i quali è o potrebbe essere esposta, ossia dei rischi che potrebbero pregiudicare la propria operatività, il perseguimento delle strategie definite e il conseguimento degli obiettivi aziendali. Per ciascuna tipologia di rischio identificata, vengono individuate le relative fonti di generazione (anche ai fini della successiva definizione degli strumenti e delle metodologie a presidio della loro misurazione e gestione) nonché le strutture responsabili della gestione. Nello svolgimento delle attività citate la Banca tiene conto del contesto normativo di riferimento, dell’operatività in termini di prodotti e mercati di riferimento, delle specificità connesse alla propria natura di banca cooperativa a mutualità prevalente e, per individuare gli eventuali rischi prospettici, degli obiettivi strategici definiti dal Consiglio di Amministrazione e declinati nel piano annuale, nonché di quanto rappresentato nel Risk Appetite Statement. Sulla base di quanto rilevato dalle attività di analisi svolte, la Banca ha identificato come rilevanti i seguenti rischi: rischio di credito e di controparte; rischio di concentrazione; rischio derivante da cartolarizzazioni; rischio operativo; rischio di tasso di interesse; rischio di liquidità; rischio strategico; rischio di reputazione; rischio residuo, rischio di leva finanziaria eccessiva, rischi connessi con le attività di rischio e i conflitti di interesse nei confronti di soggetti collegati, rischio di leva finanziaria eccessiva. Le valutazioni effettuate con riferimento all’esposizione ai cennati rischi e ai connessi sistemi di misurazione e controllo sono oggetto di analisi da parte dei vertici aziendali.

La Banca di Pisa e Fornacette, in ottemperanza anche alle Disposizioni di vigilanza, ha da tempo adottato un sistema dei controlli interni, costituito dall’insieme delle regole, delle funzioni, delle strutture, delle risorse, dei processi e delle procedure che mirano ad assicurare una sana e prudente gestione.

Sono operative le seguenti funzioni aziendali di Controllo - permanenti e indipendenti - dedicate ad assicurare il corretto ed efficiente funzionamento del Sistema dei Controlli Interni:

  • Funzione di Revisione Interna (esternalizzata);
  • Funzione di Controllo dei rischi (Risk Management);
  • Funzione di Conformità alle norme (Compliance);
  • Funzione Antiriciclaggio.

Il personale che partecipa alle funzioni aziendali di controllo non è coinvolto in attività che tali funzioni sono chiamate a controllare. Ad esso, è assicurato l’inserimento in programmi di formazione nel continuo. I relativi criteri di remunerazione sono definiti in modo tale da non comprometterne l’obiettività e concorrere a creare un sistema di incentivi coerente con le finalità della funzione svolta.

I responsabili delle funzioni aziendali di controllo:

  • non hanno responsabilità diretta di aree operative sottoposte a controllo né sono gerarchicamente subordinati ai responsabili di tali aree;
  • sono nominati e revocati (motivandone le ragioni) dal Consiglio di Amministrazione, sentito il Collegio Sindacale;
  • fermo il raccordo funzionale con la Direzione Generale, le Funzioni aziendali di controllo hanno accesso diretto al Consiglio di Amministrazione e al Collegio Sindacale. Tale accesso si palesa vuoi attraverso l’invio di tutti i flussi informativi prodotti, vuoi partecipando alle adunanze di tali organi nelle circostanze in cui l’argomento trattato è di specifica competenza ovvero quando si manifesta un parere discordante con la Direzione Generale su tematiche critiche per il perseguimento degli obiettivi definiti e la stabilità della Banca.

Conformemente a quanto previsto dalle disposizioni di vigilanza, le funzioni oltre ad adire direttamente gli organi di governo e controllo aziendali, hanno la possibilità di:

  • accedere senza restrizioni ai dati aziendali e a quelli esterni necessari per lo svolgimento dei compiti assegnati;
  • disporre di risorse economiche per il ricorso a consulenze utili allo svolgimento dei compiti assegnati.

I risultati delle attività delle Funzioni di controllo sono formalizzati in specifici report e oggetto di illustrazione agli Organi aziendali.

Più in dettaglio, il complessivo sistema dei controlli interni aziendali si incardina dunque sui seguenti presidi di controllo.

La Banca ha attivato i controlli di primo livello demandando alle strutture preposte ai singoli processi aziendali la responsabilità di attivarsi affinché le attività operative di competenza vengano espletate con efficacia ed efficienza, nel rispetto dei limiti operativi loro assegnati, coerentemente con gli obiettivi di rischio e con le procedure in cui si articola il processo di gestione dei rischi, nonché in maniera conforme al vigente sistema di deleghe.

Le strutture responsabili delle attività operative e dei relativi controlli di primo livello, sono tenute a rilevare e segnalare tempestivamente alle funzioni aziendali competenti i rischi insiti nei processi operativi di competenza e i fenomeni critici da tenere sotto osservazione nonché a suggerire i necessari presidi di controllo atti a garantire la compatibilità delle attività poste in essere con l’obiettivo aziendale di un efficace presidio dei rischi. Esse svolgono pertanto un ruolo attivo nella definizione dell’impianto dei controlli di primo livello. La Banca agevola tale processo attraverso la diffusione, a tutti i livelli, della cultura del rischio anche mediante l’attuazione di programmi di formazione per sensibilizzare i dipendenti in merito ai presidi di controllo relativi ai propri compiti e responsabilità.

I controlli di linea sono disciplinati nell’ambito delle disposizioni interne (politiche, regolamenti, procedure, manuali operativi, circolari, altre disposizioni, ecc.) dove sono declinati in termini di responsabilità, obiettivi, modalità operative, tempistiche di realizzazione e modalità di tracciamento.

Il secondo livello dei controlli assume un rilievo strategico con riguardo alla capacità di coniugare il governo del rischio con la pratica d’affari e nel supportare la declinazione della cultura aziendale in materia di gestione del rischio nei comportamenti e nelle scelte strategiche.

In tale ambito è istituita la struttura denominata Area Controlli. Ad essa sono ascrivibili attività e responsabilità assegnate dalla normativa alle sopracitate funzioni Conformità, Risk Manager, Antiriciclaggio. L’Area Controlli è stata istituita per coordinare le attività di controllo di 2° livello di diversa natura e sviluppare sinergie sul piano operativo, muovendo dal presupposto che per un efficace presidio del rischio è necessario svolgere verifiche con diverse metodologie che colgano in logica integrata le manifestazioni degli eventi avversi: controlli di impianto ex ante, controlli nel continuo ex post, controlli a distanza, controlli sul posto, misurazione dell’esposizione ai rischi. Per questo, nell’ambito di tale struttura, sono state raggruppate diverse unità organizzative cui sono assegnate attività di controllo complementari fra loro.

La Funzione di Conformità alle norme presiede, secondo un approccio risk based, alla gestione del rischio di non conformità con riguardo a tutta l’attività aziendale, verificando che le procedure interne siano adeguate a prevenire tale rischio.

I principali adempimenti che la funzione di conformità alle norme è chiamata a svolgere sono:

  • l’identificazione nel continuo delle norme applicabili e la misurazione/valutazione del loro impatto su processi e procedure aziendali;
  • l’individuazione di idonee procedure per la prevenzione del rischio di non conformità e la verifica della loro adeguatezza e corretta applicazione;
  • la proposta di modifiche organizzative e procedurali finalizzate ad assicurare un adeguato presidio dei rischi di non conformità identificati e la verifica dell’efficacia degli adeguamenti organizzativi adottati;
  • la valutazione ex ante della conformità alla regolamentazione applicabile di tutti i progetti innovativi che la Banca intenda intraprendere, nonché nella prevenzione e nella gestione dei conflitti di interesse;
  • la prestazione di consulenza e assistenza nei confronti degli Organi Aziendali della banca in tutte le materie in cui assume rilievo il rischio di non conformità.

Il presidio del rischio di non conformità è assicurato, come detto a proposito dei presidi specialistici, mediante un coinvolgimento della funzione proporzionato al rilievo che le singole norme hanno per l’attività svolta e alle conseguenze della loro violazione.

La Funzione di Risk Management ha la finalità principale di collaborare alla definizione e all’attuazione del RAF e delle relative politiche di governo dei rischi, attraverso un adeguato processo di gestione dei rischi.

In particolare, le principali responsabilità attribuite alla Funzione sono:

  • il coinvolgimento nella definizione del RAF, delle politiche di governo dei rischi e delle varie fasi che costituiscono il processo di gestione dei rischi nonché nella definizione del sistema dei limiti operativi;
  • la proposta di parametri quantitativi e qualitativi necessari per la definizione del RAF, che fanno riferimento anche a scenari di stress e, in caso di modifiche del contesto operativo interno ed esterno della Banca, l’adeguamento di tali parametri;
  • la verifica di adeguatezza del RAF, del processo di gestione dei rischi e del sistema dei limiti operativi;
  • il supporto nello svolgimento del processo di autovalutazione dell’adeguatezza patrimoniale;
  • il supporto agli Organi Aziendali nella valutazione del rischio strategico, monitorandone le variabili significative;
  • il presidio della coerenza dei sistemi di misurazione e controllo dei rischi con i processi e le metodologie di valutazione delle attività aziendali, coordinandosi con le strutture aziendali interessate;
  • la verifica dell’adeguatezza ed efficacia delle misure prese per rimediare alle carenze riscontrante processo di gestione dei rischi;
  • il monitoraggio del rischio effettivo assunto dalla Banca e della sua coerenza con gli obiettivi di rischio, nonché la verifica del rispetto dei limiti operativi assegnati alle strutture operative in relazione all’assunzione delle varie tipologie di rischio;
  • il coinvolgimento nella valutazione rischi sottesi ai nuovi i prodotti e servizi e inerenti all’ingresso in nuovi segmenti operativi e di mercato
  • la formulazione di pareri preventivi sulla coerenza con il RAF delle Operazioni di Maggiore Rilievo, acquisendo, in funzione della natura dell’operazione, il parere di altre funzioni coinvolte nel processo di gestione dei rischi;
  • la verifica del corretto svolgimento del monitoraggio andamentale sulle singole esposizioni creditizie.

La Funzione Antiriciclaggio verifica nel continuo che le procedure aziendali siano coerenti con l’obiettivo di prevenire e contrastare la violazione della normativa esterna ed interna in materia di riciclaggio e di finanziamento del terrorismo.

In particolare, le principali responsabilità attribuite alla funzione sono:

  • l’identificazione delle norme applicabili e la valutazione del loro impatto su processi e procedure aziendali;
  • l’individuazione dei presidi interni finalizzati alla prevenzione e al contrasto dei rischi di riciclaggio e finanziamento al terrorismo e la verifica della relativa idoneità ed efficacia;
  • la proposta di modifiche organizzative e procedurali necessarie o opportune al fine di assicurare un adeguato presidio dei rischi;
  • la prestazione di consulenza e assistenza agli Organi Aziendali;
  • la verifica sull’affidabilità del sistema informativo di alimentazione dell’archivio unico informatico aziendale e la trasmissione alla UIF dei dati aggregati concernenti le registrazioni nell'Archivio Unico Informatico.

La funzione antiriciclaggio assicura anche la propria assistenza ai colleghi di filiale e di sede, attraverso il rilascio di pareri qualificati volti a risolvere le sempre più frequenti casistiche di difficile interpretazione. Ne trae giovamento l’intero organico della Banca, in termini di maggiore conoscenza, alla quale si correla pure un’accresciuta sensibilità al rischio.

Ai sensi dell’art. 42 del D.lgs. 231/2007, il legale rappresentante della Banca o un suo delegato, in possesso dei necessari requisiti di indipendenza, autorevolezza e professionalità, deve:

  • valutare le segnalazioni di operazioni sospette pervenute;
  • trasmettere alla unità di informazione finanziaria (U.I.F.) le segnalazioni ritenute fondate.

Il soggetto delegato per la segnalazione delle operazioni sospette non deve avere responsabilità dirette in aree operative, né essere gerarchicamente dipendente da soggetti di dette aree.

La Banca ha designato, quale Responsabile delle segnalazioni di operazioni sospette, il Responsabile Antiriciclaggio. Questi ha libero accesso ai flussi informativi diretti agli Organi Aziendali e alle strutture, a vario titolo, coinvolte nella gestione e contrasto del riciclaggio e del finanziamento al terrorismo. Intrattiene i rapporti con la UIF e risponde tempestivamente alle eventuali richieste di approfondimento provenienti dalla stessa Unità.

Il responsabile delle segnalazioni di operazioni sospette comunica con le modalità organizzative ritenute più appropriate, l’esito della propria valutazione al responsabile dell’unità organizzativa da cui ha avuto origine la segnalazione.

Stante la rilevanza che tale informazione può rivestire in sede di apertura di nuovi rapporti contrattuali, ovvero di valutazione dell’operatività della clientela già in essere, il responsabile delle segnalazioni di operazioni sospette può consentire che i nominativi dei clienti oggetto di segnalazione di operazione sospetta siano consultabili - anche attraverso l’utilizzo di idonee basi informative – dai responsabili delle diverse strutture operative aziendali.

L’Ispettorato interno è un’unità organizzativa di controllo polifunzionale responsabile di svolgere controlli nel continuo, in maniera sistematica, sui comportamenti tenuti dai dipendenti e sullo svolgimento dei processi operativi; tali verifiche possono essere svolte a distanza, mediante analisi di indicatori di rischio estratti dai sistemi informativi oppure mediante controlli mirati in loco (specialmente in Filiale), programmati sulla scorta degli esiti dei controlli a distanza o su richiesta delle unità Conformità o Antiriciclaggio.

L’Ispettorato garantisce inoltre un presidio nel continuo sulle attività di verifica quotidiana e sul sistema dei controlli di linea.

Il 3° livello dei controlli è infine rappresentato dalla Revisione Interna, al vertice del sistema dei controlli interni, cui compete tra l’altro la verifica e l’analisi dei sistemi di controllo di primo e secondo livello, attivando periodici interventi finalizzati al monitoraggio delle variabili di rischio.

La Funzione di Revisione Interna è volta, da un lato, a controllare, anche con verifiche in loco, il regolare andamento dell'operatività e l’evoluzione dei rischi, dall'altro, a valutare la completezza, l’adeguatezza, la funzionalità e l’affidabilità della struttura organizzativa e delle altre componenti dello SCI, portando all'attenzione degli Organi aziendali i possibili miglioramenti, con particolare riferimento al RAF, al processo di gestione dei rischi nonché agli strumenti di misurazione e controllo degli stessi.

In particolare, le principali responsabilità attribuite alla funzione sono:

  • la valutazione in termini di completezza, adeguatezza, funzionalità e affidabilità delle altre componenti del Sistema dei Controlli Interni, del processo di gestione dei rischi e degli altri processi aziendali;
  • la valutazione di efficacia del processo di definizione del RAF, la coerenza interna dello schema complessivo e la conformità dell’operatività aziendale al RAF;
  • la verifica della regolarità delle attività aziendali, incluse quelle esternalizzate e l’evoluzione dei rischi con impatto sia sulle strutture di sede sia sulle filiali;
  • la verifica dell’adeguatezza dei presidi organizzativi e di controllo adottati dalla Banca;
  • l’accertamento del rispetto dei limiti previsti dai meccanismi di delega;
  • la verifica del monitoraggio della conformità alle norme dell’attività di tutti i livelli aziendali;
  • la verifica di adeguatezza, affidabilità complessiva e sicurezza del sistema informativo (ICT audit) e del piano di continuità operativa;
  • la verifica della rimozione delle anomalie riscontrate nell’operatività e nel funzionamento dei controlli.

L’attività di auditing viene condotta nel continuo, in via periodica o per eccezioni attraverso verifiche on site ed off site, dalla META S.r.l., società di revisione specializzata nell’effettuare attività di internal audit a favore di banche piccole e medie. Anche nel 2015 essa ha svolto con puntualità un’intensa attività, che ha riguardato, fra gli altri, gli accertamenti relativi ai processi aziendali, in termini di individuazione e valutazione dei rischi, definizione delle correlate misure di mitigazione ed eventuale proposta degli opportuni adeguamenti organizzativi. Di rilievo, in tale ambito, l’azione di verifica relativa ai sistemi informatici (EDP auditing), area che è stata significativamente interessata dall’innovata normativa di Vigilanza in materia di sistema dei controlli interni.

L’attività è stata articolata prevedendo momenti di follow-up per i processi sottoposti ad audit nel corso dei piani precedenti, nell’ottica di verificare l’effettiva implementazione ed efficacia degli interventi di contenimento del rischio proposti

Un approccio, quello della società di revisione, che viene condiviso con le funzioni di Risk Management, Conformità ed Antiriciclaggio, al fine di operare su una base comune dei processi aziendali. Il modello si integra con i risultati delle verifiche svolte su filiali e uffici centrali e con gli indicatori di anomalia di un articolato sistema dei controlli a distanza, con l’ausilio anche di specifici applicativi (in uso già da tempo presso la Banca e che stanno dimostrando la loro efficacia).

In tema di conflitti di interesse, una specifica disciplina impone l’esigenza di monitorare i processi di assunzione di rischio nei confronti delle parti correlate e dei relativi soggetti connessi, costituenti nel loro insieme il novero dei cosiddetti “soggetti collegati”, onde prevenire che la vicinanza di essi ai centri decisionali della Banca possa compromettere l’oggettività e l’imparzialità delle decisioni su concessioni di finanziamenti o su altre transazioni nei confronti dei medesimi soggetti. La Banca si è da tempo dotata di apposita regolamentazione interna e di procedure informatiche, le cui risultanze sono fruibili dalle funzioni interessate. Al riguardo, è operativo un organico sistema di presidi (limiti, procedure, controlli), volto ad assicurare l’attenuazione dei rischi e l’integrità delle decisioni relative alle transazioni con i citati soggetti. L’intera articolazione degli assetti è difatti orientata alla prevenzione e alla corretta gestione dei potenziali conflitti d’interesse che afferiscono ai rapporti con soggetti che, per il ruolo ricoperto ovvero in forza di legami di controllo o di influenza notevole attinenti a società terze, potrebbero condizionare le decisioni della Banca relative ai rapporti stessi.

 

Organismo di Vigilanza ai sensi del D.lgs. 231/2001

La Banca ha adottato il Modello di organizzazione, gestione e controllo ai sensi del D.Lgs. n. 231/01 (di seguito, per brevità, anche il “Decreto”) attraverso la predisposizione di un sistema strutturato ed organico di procedure ed attività di controllo per la consapevole gestione del rischio di commissione dei reati. Il Modello adottato si integra nel Sistema dei Controlli Interni in essere ed oltre a consentire di beneficiare dell’esimente prevista dal Decreto, è volto a migliorare la corporate governance della Banca, limitando il rischio di commissione dei reati e i relativi risvolti reputazionali ed economici.

All’Organismo di Vigilanza è attribuito il compito di vigilare sul funzionamento e sull’osservanza del Modello di organizzazione e gestione adottato dalla Banca ai sensi del D.Lgs. 231/01, nonché di curarne l’aggiornamento ai fini di prevenzione dell’imputazione in capo all’Ente della responsabilità amministrativa derivante da reato.

In particolare, ad esso è affidato il compito di vigilare con autonomi poteri di iniziativa e di controllo:

  • sull'efficacia e adeguatezza del Modello in relazione alla struttura aziendale ed alla effettiva capacità di prevenire la commissione dei reati contemplati dal Decreto;
  • sul funzionamento e l'osservanza delle prescrizioni contenute nel Modello attraverso il compimento di apposite verifiche, anche periodiche;
  • sull'opportunità di aggiornamento del Modello, laddove si riscontrino esigenze di adeguamento dello stesso in relazione a mutate condizioni aziendali e/o normative, nonché al verificarsi di violazioni significative e/ o ripetute del Modello medesimo. Inoltre, in relazione ai reati di ricettazione, riciclaggio ed impiego di denaro, beni o utilità di provenienza illecita (D.lgs. 231/01, art. 25-octies), l’Organismo di Vigilanza, secondo quanto disposto dall’art. 52 del D.lgs. 231/07, nell’ambito delle proprie attribuzioni e competenze, vigila sull'osservanza delle norme contenute nello stesso decreto ed a provvedere alle relative comunicazioni nei confronti delle Autorità competenti.

La Banca ha affidato i compiti dell’Organismo di Vigilanza 231 al Collegio Sindacale.

 

Revisione legale dei conti

Il soggetto incaricato della revisione legale dei conti, nell’ambito delle competenze e responsabilità previste dalla normativa vigente, ha il compito di controllare la regolare tenuta della contabilità sociale e la corretta registrazione dei fatti di gestione nelle scritture contabili, nonché quello di verificare che il Bilancio d’esercizio corrisponda alle risultanze delle scritture contabili e sia conforme alle norme che lo disciplinano.

Qualora dagli accertamenti eseguiti emergano fatti ritenuti censurabili, la società incaricata informa senza indugio il Collegio Sindacale e le autorità di vigilanza competenti.

Il soggetto incaricato della revisione legale dei conti nell’esercizio dei propri compiti interagisce con gli Organi Aziendali e le funzioni aziendali di controllo (compliance, risk management, internal audit); in particolare nei confronti del Collegio Sindacale, ottempera a quanto previsto dal D.L.gs. 39/2010.

 

Referente delle Funzioni Operative Importanti

Laddove esternalizzate, la Banca ha mantenuto internamente la competenza richiesta per controllare efficacemente le funzioni operative importanti (FOI) e per gestire i rischi connessi con l’esternalizzazione, inclusi quelli derivanti da potenziali conflitti di interessi del fornitore di servizi. In tale ambito, è stato individuato all’interno dell’organizzazione, un referente interno (referente interno per le attività esternalizzate) dotato di adeguati requisiti di professionalità.

La principale responsabilità attribuita al suddetto referente (di seguito “referente FOI”) riguarda il controllo del livello dei servizi prestati dall’outsourcer e sanciti nei rispettivi contratti di esternalizzazione.

In particolare, il referente per le attività esternalizzate ha come principale mandato il monitoraggio, nel continuo, dell’attività svolta dal fornitore, attività che deve esplicarsi attraverso:

  • la predisposizione e messa in opera di specifici protocolli di comunicazione con il fornitore;
  • il presidio dei rischi sottesi alle attività esternalizzate;
  • la verifica del rispetto dei livelli di servizio concordati;
  • l’informativa agli Organi Aziendali sullo stato e l’andamento delle funzioni esternalizzate;
  • la stretta collaborazione con la funzione di revisione interna.

Per una più compiuta illustrazione dell’assetto organizzativo o e delle procedure operative poste a presidio delle principali aree di rischio e delle metodologie utilizzate per la misurazione e la prevenzione dei rischi medesimi si rinvia all’informativa qualitativa e quantitativa riportata nella parte E della nota Integrativa – informazioni sui rischi e sulle relative politiche di copertura.