La definizione di rischio operativo adottata è quella prevista dal documento “Basilea 2 – Convergenza internazio-nale della misurazione del capitale e dei coefficienti patrimoniali” redatto dal Comitato di Basilea per la vigilanza bancaria, in cui viene riconosciuto come “il rischio di perdite derivanti dalla inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni”. Tale definizione include il rischio legale che comprende – fra l’altro – l’esposizione ad ammende, sanzioni pecuniarie o penalizzazioni derivanti da provvedi-menti assunti dall’Organo di Vigilanza, ovvero da regolaprovvedi-menti privati.
La Direzione Rischi e Controlli Permanenti è la funzione di riferimento nella gestione dei rischi operativi a livello di Gruppo ed ha il compito di garantire la completezza e la coerenza del framework complessivo di gestione. At-traverso la tempestiva percezione delle informazioni, la raccolta degli accadimenti di natura operativa e la messa in atto di interventi di mitigazione, assicura alle Direzioni Generali e ai Consigli di Amministrazione il presidio di carattere normativo e organizzativo che questa tipologia di rischio richiede.
A tal riguardo, la Direzione Rischi e Controlli Permanenti partecipa attivamente ai più importanti progetti aziendali, soprattutto ad alto impatto organizzativo, con l’obiettivo di contribuire, sin dalle fasi iniziali, alla coerente e com-pleta predisposizione dei meccanismi di governo dei rischi caratteristici di ogni iniziativa.
La Direzione Rischi e Controlli Permanenti (DRCP) svolge le attività di presidio e governo dei rischi per tutte le società del Gruppo Bancario Crédit Agricole Italia, compresa Crédit Agricole FriulAdria.
La gestione dei rischi operativi prevede condivisione e proattività da parte di tutte le strutture aziendali, in ottica di consapevolezza delle problematiche di rischio insite nei diversi processi; sono infatti in essere dei presidi specia-listici sia all’interno della DRCP che presso le funzioni operative e, in particolare:
• MRO (Manager dei Rischi Operativi), con il compito di relazionare sulla presenza di rischi effettivi e potenziali nelle diverse strutture aziendali operative e di coordinare l’esecuzione dei controlli permanenti;
• Presidio sulle FEI (Funzioni Esternalizzate Importanti);
• PRSI (Pilote des Risques SI), responsabile del presidio e monitoraggio dei rischi informatici del Sistema Infor-mativo, sulla Sicurezza Fisica e sul PCO (Piano di Continuità Operativa);
• CISO (Chief Information Security Officer), responsabile della sicurezza delle informazioni aziendali;
• Responsabile della Sicurezza Informatica (RSI): responsabile dell’implementazione e gestione della sicurezza operativa del Sistema Informativo;
• Responsabile del Piano di Continuità Operativa di Gruppo;
• Addetti ai Controlli Operativi, presso le strutture della Rete commerciale, con il compito di esercitare i controlli permanenti di 2° grado 1° livello.
Il presidio del rischio viene altresì garantito tramite dispositivi e strumenti, funzionali al corretto monitoraggio ed alla gestione di iniziative di mitigazione/miglioramento, fra i quali:
• il Comitato Rischi e Controllo Interno, già in precedenza descritto;
• l’impianto di reporting dei controlli permanenti per la Rete Commerciale, unitamente agli indicatori sintetici di anomalia, finalizzati ad evidenziare le eventuali situazioni fuori norma;
• i Tavoli di Miglioramento, momenti d’incontro con le filiali che hanno manifestato criticità nell’esito dei controlli permanenti, delle visite ispettive del Audit e in altre verifiche, dove, insieme alle strutture di coordinamento gerar-chico (Direzioni Regionali), si analizzano le problematiche rilevate e si stila un piano d’azione per il miglioramento;
• il Tavolo interfunzionale FEI (Funzioni Esternalizzate Importanti), con il compito di monitorare e assumere deci-sioni in merito alle problematiche relative alle esternalizzazioni di funzioni definite come “essenziali o importan-ti” secondo le regole di Vigilanza.
Per quanto riguarda le attività esternalizzate a fornitori esterni, queste ultime sono sempre disciplinate da un con-tratto di servizio che, oltre a regolamentare la regolare fornitura del servizio stesso, prevede un sistema di controlli volti a presidiare i livelli qualitativi e quantitativi fissati. A seconda delle aree tematiche, sono individuati ruoli di
rife-rimento interni presso le diverse strutture della Banca che relazionano alle funzioni competenti della Capogruppo in merito all’affidabilità generale della relazione.
Infine, speciali controlli sono attivati qualora le attività siano definibili come “importanti/essenziali” – FEI – ai sensi del regolamento congiunto Banca d’Italia/Consob ed alla circolare 285/2013 di Banca d’Italia; in tal senso il princi-pale riferimento normativo aziendale è costituito da uno specifico Regolamento Attuativo della “policy” di Gruppo, che recepisce le indicazioni di Vigilanza e definisce in modo organico l’impianto dei controlli necessari.
3. SISTEMA DEI CONTROLLI INTERNI
Il Gruppo Bancario Crédit Agricole Italia ha adeguato progressivamente il sistema dei controlli interni alle disposi-zioni di Vigilanza (circolari Banca d’Italia 285/2013) ed al modello della casamadre francese Crédit Agricole S.A., per cui si avvale di un dispositivo finalizzato:
• ad un presidio costante dei rischi;
• all’adeguatezza delle attività di controllo al contesto organizzativo;
• a garantire l’attendibilità, l’accuratezza, l’affidabilità e la tempestività dell’informativa.
Il sistema dei controlli interni prevede il coinvolgimento degli Organi Collegiali, delle funzioni di controllo, dell’Or-ganismo di vigilanza, della società di revisione, dell’Alta Direzione delle società del Gruppo e di tutto il Personale.
L’analisi e la sorveglianza dei rischi sono svolte sulla base di riferimenti di Gruppo, che prevedono verifiche circa il rispetto dei termini normativi, l’affidabilità dei processi e del loro esercizio, la sicurezza e la conformità.
Il sistema dei controlli prevede l’utilizzo di un Dispositivo di Controllo Interno che recepisce le indicazioni della ca-samadre francese Crédit Agricole S.A., che comportano l’adeguamento a quanto previsto dall’Autorità di Vigilanza francese ACPR nel documento “Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement”.
Il Dispositivo di Controllo Interno del Gruppo Bancario Crédit Agricole Italia si realizza secondo tre linee di difesa rappresentate nel seguente schema:
Funzione di controllo indipendente dalle Entità/Servizi Terza linea di difesa
Audit
Seconda linea di difesa Funzioni Rischi e Controlli Permanenti Funzione Compliance
Prima linea di difesa Funzioni Operative
Funzioni di controllo che non intervengono nei processi operativi
Operatori diversi da quelli che hanno avviato l’operazione
Operatori che hanno avviato l’operazione (autocontrollo) 3° grado
2° grado - 2° livello
2° grado - 1° livello
1° grado
Secondo le linee guida definite dalla casamadre francese Crédit Agricole S.A., il Sistema dei Controlli Permanenti si articola in:
• Prima linea di difesa:
– Controlli di grado 1: eseguiti in via continuativa, all’avvio di un’operazione e durante il processo di conva-lida dalla stessa, da parte degli operatori che eseguono l’attività, dei loro responsabili gerarchici, oppure eseguiti dai sistemi automatizzati di elaborazione delle operazioni;
– Controlli di grado 2 – livello 1: posti in essere da operatori diversi da quelli che hanno avviato l’operazione;
• Seconda linea di difesa:
– Controlli di grado 2 – livello 2: posti in essere dalle funzioni specialistiche di controllo permanente di ultimo livello, indipendenti dalle funzioni direttive.
I controlli di grado 1 e 2.1 mirano all’identificazione, alla correzione ed alla prevenzione delle anomalie sull’operati-vità. I controlli di grado 2.2 possono essere effettuati anche sulla base delle evidenze dei controlli di grado inferiore ed esprimere, pertanto, anche i risultati dei controlli di grado sottostante.
Il Dispositivo di controllo interno comprende inoltre i controlli periodici di 3° grado, di competenza della Direzione Audit.
Una continua attenzione è inoltre rivolta all’aggiornamento dell’impianto normativo che, oltre all’adeguamento del-la regodel-lamentazione già a regime, vede anche un arricchimento deldel-la copertura tramite specifiche policies valide per tutto il Gruppo.
Le funzioni di controllo di 2° grado / livello 2 (2.2) e di 3° grado relazionano al Consiglio di Amministrazione delle singole società su:
• attività effettuate;
• principali rischi riscontrati;
• individuazione e realizzazione dei dispositivi di mitigazione ed effetti della loro applicazione.
RELAZIONE SUL GOVERNO SOCIETARIO E GLI ASSETTI PROPRIETARI – INFORMAZIONI AI SENSI DELL’ART. 123-BIS COMMA 2, LETTERA B) DEL D.LGS. 58/98 (TUF)
Nella capogruppo Crédit Agricole Italia ai sensi dell’art. 154-bis del TUF il Dirigente Preposto deve attestare, congiuntamente all’Amministratore Delegato, mediante apposita attestazione allegata al bilancio d’esercizio e consolidato annuale e al bilancio semestrale abbreviato:
• l’adeguatezza e l’effettiva applicazione delle procedure amministrative e contabili;
• la corrispondenza dei documenti contabili e societari alle risultanze dei libri e delle scritture contabili;
• l’idoneità dei suddetti bilanci a fornire una rappresentazione veritiera e corretta della situazione patrimoniale, economica e finanziaria della Banca e del Gruppo.
Attesta inoltre che la relazione sulla gestione comprenda un’analisi attendibile dell’andamento e del risultato della gestione, nonché della situazione della Banca e del Gruppo, unitamente alla descrizione dei principali rischi e incertezze cui sono esposti.
Di seguito, si illustrano le “principali caratteristiche dei sistemi di gestione dei rischi e di controllo interno esistenti all’interno del Gruppo in relazione al processo di informativa finanziaria” con riferimento al bilancio d’esercizio e consolidato annuale e al bilancio semestrale abbreviato della Capogruppo: ai sensi dell’art. 123-bis comma 2, lettera b) TUF. Il Sistema di Controllo Interno sull’informativa societaria deve essere inteso come il processo che, coinvolgendo molteplici funzioni aziendali, fornisce ragionevoli assicurazioni circa l’affidabilità dell’informa-tiva finanziaria, l’attendibilità dei documenti contabili e il rispetto della normadell’informa-tiva applicabile. È stretta e chiara la correlazione con il processo di gestione dei rischi che si configura come il processo di identificazione e analisi di quei fattori che possono pregiudicare il raggiungimento degli obiettivi aziendali, al fine di determinare come questi rischi possono essere gestiti. Un sistema di gestione dei rischi idoneo ed efficace può infatti mitigare gli eventuali effetti negativi sugli obiettivi aziendali, tra i quali l’attendibilità, l’accuratezza, l’affidabilità e la tempestività delle informazioni contabili e finanziarie. L’istituzione e il mantenimento di un adeguato sistema di controllo sull’informa-tiva societaria e la periodica valutazione della sua efficacia da parte della banca presuppongono l’individuazione preliminare di un modello di confronto cui fare riferimento. Esso deve essere generalmente accettato, rigoroso, completo e perciò tale da guidare nell’adeguata realizzazione e nella corretta valutazione del sistema di controllo stesso. Si è deciso di prendere spunto dalle indicazioni e dai principi di “COSO Report”, modello di riferimento per la valutazione del sistema di controllo interno ampiamente diffuso anche a livello internazionale, qui considerato per la parte relativa all’informativa finanziaria.
Attraverso il citato modello, l’attività di istituzione del sistema di controllo passa attraverso le fasi di: confronto tra la situazione in essere e il modello di riferimento adottato; individuazione di carenze o punti di miglioramento;
attuazione delle azioni correttive e di valutazione del sistema di controllo interno teso a supportare le attestazioni del Dirigente Preposto. La verifica della presenza di un adeguato sistema delle procedure amministrative e conta-bili e del suo corretto funzionamento nel tempo avviene secondo metodologie specifiche definite in un framework metodologico interno. L’ambito di analisi tiene altresì conto delle componenti della struttura dei controlli interni a livello aziendale che influiscono sull’informativa finanziaria; tali controlli operano trasversalmente rispetto ai singoli processi aziendali di linea.
Descrizione delle principali caratteristiche dei sistemi di gestione dei rischi e di controllo interno esistenti in rela-zione al processo di informativa finanziaria.