Il Sistema dei Controlli Interni

Nel corso dell’esercizio è stata recepita la Politica di Gruppo in tema di assetto della Funzioni Aziendali di Controllo (FAC) del Gruppo Bancario Cooperativo Iccrea. I presidi definiti in conformità ai requisiti regolamentari previsti dall’Autorità di Vigilanza formano parte integrante del complessivo impianto del Sistema dei Controlli Interni del GBCI e ad essi si conformano tutte le componenti che declinano il modello di funzionamento organizzativo ed operativo delle Funzioni in parola.

Nell’ambito dell’SCI operano le Funzioni Aziendali di Controllo (di seguito anche “FAC”), indipendenti e dedicate ad assicurare il corretto ed efficiente funzionamento del Sistema stesso che sviluppano e attuano il proprio modello di controllo attraverso l’insieme delle regole, delle funzioni, delle strutture, delle risorse, dei processi e delle procedure che mirano ad assicurare, nel rispetto della sana e prudente gestione, il conseguimento delle seguenti finalità:

• verifica dell’attuazione delle strategie e delle politiche aziendali;

ICCREA BANCAIMPRESA S.P.A. - RELAZIONI E BILANCIO DELL’IMPRESA 2019

• supporto allo sviluppo dell’impianto e del processo di gestione dei rischi;

• monitoraggio nel continuo dell’adeguatezza dell’impianto e del processo di gestione dei rischi;

• monitoraggio nel continuo dei rischi e del loro contenimento entro i limiti indicati nel quadro di riferimento della propensione al rischio (Risk Appetite Framework - “RAF”);

• salvaguardia del valore delle attività e protezione dalle perdite;

• efficacia ed efficienza dei processi aziendali;

• affidabilità e sicurezza delle informazioni aziendali e delle procedure informatiche;

• prevenzione del rischio che le Società del Gruppo siano, anche involontariamente, coinvolte in attività illecite (con particolare riferimento a quelle connesse con il riciclaggio, l’usura ed il finanziamento al terrorismo);

• conformità delle operazioni con la legge e la normativa di vigilanza, nonché con le politiche, i regolamenti e le procedure interne.

Il Sistema dei Controlli Interni è soggetto a valutazione periodica da parte degli Organi Aziendali per accertarne l’adeguatezza rispetto ai requisiti normativi e ai principi e agli obiettivi definiti nelle Politiche del Gruppo in materia di assetto organizzativo delle FAC.

Esso riveste un ruolo centrale nell’organizzazione della Banca in quanto:

• rappresenta un elemento fondamentale di conoscenza per gli Organi Aziendali garantendo al contempo piena consapevolezza del contesto di riferimento ed efficace presidio dei rischi aziendali e delle loro interrelazioni;

• orienta i mutamenti delle linee strategiche e delle politiche aziendali e consente di adattare in modo coerente il contesto organizzativo;

• presidia la funzionalità dei sistemi gestionali e il rispetto degli istituti di vigilanza prudenziale;

• favorisce la diffusione di una corretta cultura dei rischi, della legalità e dei valori aziendali.

Coerentemente a quanto precede, il Sistema dei Controlli Interni:

• assicura la completezza, l’adeguatezza, la funzionalità (in termini di efficienza ed efficacia), l’affidabilità del processo di gestione dei rischi e la sua coerenza con il RAF;

• prevede attività di controllo diffuse ad ogni livello operativo e gerarchico;

• garantisce che le anomalie riscontrate siano tempestivamente portate a conoscenza dei livelli appropriati (gli Organi Aziendali, se significative) in grado di attivare tempestivamente gli opportuni interventi correttivi;

• prevede specifiche procedure per far fronte all’eventuale violazione di limiti operativi.

Il Gruppo ha definito un modello accentrato di governo delle Funzioni Aziendali di Controllo accentrato, sulla base del quale la Capogruppo disciplina i criteri di funzionamento e le principali attribuzioni delle Funzioni Aziendali di Controllo, definendo altresì le interrelazioni tra le stesse e con gli Organi Aziendali. In coerenza col modello adottato, la Capogruppo ha la responsabilità di dotare il Gruppo di un sistema unitario di controlli interni che consenta l'effettivo controllo sia sulle scelte strategiche del Gruppo nel suo complesso, sia sull'equilibrio gestionale delle singole componenti.

A tal fine il Gruppo ha costituito apposite Funzioni Aziendali di Controllo, dotate di autonomia e indipendenza, dedicate ad assicurare il corretto ed efficiente funzionamento del Sistema dei Controlli Interni, e collocati alle dirette dipendenze del Consiglio di Amministrazione della Capogruppo:

• Area Chief Audit Executive (CAE) per la Funzione di revisione interna (Internal Audit);

• Area Chief Compliance Officer (CCO) per la Funzione di conformità alle norme (Compliance);

• Area Chief Risk Officer (CRO) per la Funzione di controllo dei rischi (Risk Management);

• Area Chief AML Officer (CAMLO) per la Funzione Antiriciclaggio (Anti Money Laundering).

Nell’ambito del Sistema dei Controlli Interni di Gruppo, il Comitato di Coordinamento delle Funzioni Aziendali di Controllo (di seguito anche

“Comitato di Coordinamento”), coerentemente con le previsioni riportate nella relativa politica di Gruppo, consente di realizzare un’efficace e corretta interazione tra le FAC e tra queste e gli Organi Aziendali, massimizzando le sinergie ed evitando ogni possibile sovrapposizione,

ICCREA BANCAIMPRESA S.P.A - RELAZIONE SULLA GESTIONE

Nel Comitato di Coordinamento si esaminano, si approfondiscono e si concordano le tematiche riferibili alle diverse fasi nelle quali si articola l’azione svolta dalle Funzioni stesse (pianificazione, esecuzione, rendicontazione e seguimento) per assicurare uno sviluppo coordinato ed armonizzato del framework di gestione dei rischi di competenza attraverso l’individuazione di soluzioni metodologiche, di processo e di supporto informatico omogenee all’interno del Gruppo, nel rispetto delle specifiche peculiarità dei singoli ambiti operativi e di business delle Banche Affiliate e delle Società del Gruppo nelle quali trovano applicazione.

Accentramento delle Funzioni Aziendali di Controllo del GBCI

In termini di governo e responsabilità del complessivo impianto del Sistema dei Controlli Interni, il modello adottato nel GBCI incardina nelle responsabilità della Capogruppo la definizione delle strategie, dei processi e delle metodologie di controllo, degli strumenti, dei meccanismi e degli standard di programmazione e rendicontazione delle attività, nonché dell’esecuzione dei controlli di secondo e terzo livello.

In tale ambito l’accentramento delle Funzioni Aziendali di Controllo è stato declinato operativamente nelle diverse Entità del Gruppo attraverso un modello di funzionamento che prevede, alternativamente:

• l’indirizzo ed il coordinamento di Funzioni Aziendali di Controllo costituite localmente, delle quali la Capogruppo assume la responsabilità funzionale;

• l’esternalizzazione alla Capogruppo delle Funzioni Aziendali di Controllo, disciplinata per il tramite di appositi accordi di esternalizzazione.

Il modello di accentramento delle Funzioni Aziendali di Controllo si attua con riguardo alla Banca attraverso l’esternalizzazione alla Capogruppo delle FAC di secondo e terzo livello, disciplinata per il tramite di un apposito accordo.

In termini di governo e responsabilità del complessivo impianto del Sistema dei Controlli Interni, il modello adottato attribuisce alla Capogruppo la responsabilità della definizione dei processi e delle metodologie di controllo, degli strumenti, dei meccanismi e degli standard di programmazione e rendicontazione delle attività, nonché dell’esecuzione dei controlli di secondo e terzo livello. I servizi FAC esternalizzati sono svolti da personale delle FAC della Capogruppo in possesso dei requisiti di adeguatezza professionale, in particolare in relazione agli incarichi di Responsabile.

La Funzione Internal Audit

L’Area Chief Audit Executive (CAE) svolge, per il tramite delle unità organizzative coordinate, le attività di controllo di terzo livello, volte a valutare la completezza, la funzionalità e l’adeguatezza del Sistema dei Controlli Interni, del sistema informativo, del processo di gestione dei rischi, nonché del c.d. Risk Appetite Framework e a fornire suggerimenti e raccomandazioni finalizzati al miglioramento dell’efficacia e dell’efficienza dell’organizzazione e delle politiche e dei processi di gestione e controllo dei rischi del Gruppo.

Nell’ambito dell’Area Chief Audit Executive è proseguita l’implementazione della Funzione Internal Audit secondo il modello disegnato in sede di costituzione del GBCI sia dal punto di vista organizzativo che metodologico, al fine di assolvere i propri compiti e responsabilità in modo unitario e coordinato la Capogruppo, le Società del Perimetro Diretto ed Indiretto e per tutte le Banche Affiliate.

Le attività di verifica definite nel Piano di Audit 2019 hanno riguardato:

▪ verifiche richieste per gli adempimenti previsti dalla normativa di Vigilanza in materia di esternalizzazioni (Relazione sulle FOI) e in materia dei sistemi di remunerazione e incentivazione;

▪ verifiche sul processo del credito, quali l’Istruttoria Ordinaria, la rilevazione dei finanziamenti per immobili a fini speculativi nonché verifiche sulle attività preparatorie all'esecuzione dell'Asset Quality Review (AQR);

▪ verifiche consolidate a livello di Gruppo Bancario Cooperativo Iccrea, relativamente a tematiche Privacy (GDPR) e all’operato della Funzione Antiriciclaggio, ivi inclusa un’attività di revisione sul processo di individuazione di operazioni sospette;

▪ verifiche sul processo di adeguamento alla normativa Insurance Distribution Directive (IDD) e sull’operatività in derivati per la clientela, rispettivamente relative ai processi di Bancaassicurazione e finanza;

▪ verifiche in ambito ICT, quali le attività di verifica sui servizi informatici forniti da terze parti, controlli in materia GDPR, nonché la partecipazione al Test di Disaster Recovery.

ICCREA BANCAIMPRESA S.P.A. - RELAZIONI E BILANCIO DELL’IMPRESA 2019

Le attività di audit sono oggetto di informativa agli Organi aziendali attraverso rapporti di audit contenenti i rilievi sui punti di attenzione emersi tempo per tempo, le connesse raccomandazioni e gli interventi di sistemazione individuati e condivisi dalla Direzione nonché assoggettati a specifica azione di monitoraggio (c.d. follow-up) condotta con modalità strutturate e consolidate.

Continue e proficue sono state le interrelazioni con la Funzione di Conformità, con la Funzione Antiriciclaggio e con il Risk Management, nonché con il Collegio Sindacale cui la Funzione ha prestato costantemente supporto sulle tematiche di comune interesse.

La Funzione Risk Management

L’Area Chief Risk Officer ha la responsabilità, a livello di Gruppo, delle attività di controllo di secondo livello riferite alla gestione dei rischi creditizi, finanziari ed operativi, inclusi i rischi informatici. Rappresenta il referente degli Organi Aziendali della Capogruppo per le materie di competenza, esprimendo una visione integrata e di sintesi del complesso dei rischi assunti e gestiti dalle singole entità e dal Gruppo nel suo complesso.

Nel corso del 2019 è stata data continuità alle attività di monitoraggio del profilo di rischio del portafoglio creditizio, anche attraverso l’ulteriore evoluzione del framework complessivo di analisi e reporting, al fine di rappresentare, in modo sempre più efficace ed in coerenza con quanto previsto dal Risk Appetite Statement della Banca, i driver alla base dell’evoluzione dei rischi in essere, verificando, al contempo, le misure di rischio-rendimento associate alla nuova produzione.

Le risultanze delle attività di analisi andamentale del portafoglio creditizio della Banca, ivi comprese quelle prodotte in ambito Risk Appetite Statement, dunque comprensive delle dinamiche degli indicatori chiave di analisi rispetto ai limiti di rischio per essi definiti in coerenza con il Piano annuale della Banca, sono state oggetto di periodica informativa agli Organi aziendali della Banca.

Con riferimento alle attività in materia di controlli di II livello sul processo del credito, in esecuzione di quanto disciplinato dal nuovo impianto normativo ed operativo di Gruppo in materia, sono stati condotti e completati i due cicli semestrali del processo di controllo sulla dimensione individuale della Banca, i cui esiti sono stati oggetto di rappresentazione al Consiglio di Amministrazione.

Il costante affinamento delle metodologie di analisi a supporto dei processi decisionali, è proseguito in termini di manutenzione evolutiva dei modelli di valutazione dei rischi creditizi, con particolare riguardo alla declinazione degli stessi nell’ambito del processo di determinazione della perdita attese secondo quanto previsto dal Principio contabile IFRS9, anche attraverso il fine-tuning ed aggiornamento dei parametri di rischio (PD, LGD) utilizzati per tali finalità; il complesso delle attività condotte in ambito modelli è proseguito, in coerenza con il complessivo framework di Gruppo, nell’ottica della sempre maggiore integrazione delle misure di rischio nell’ambito dei principali processi di creazione e gestione del valore, ivi comprese le analisi di stress previste per finalità sia regolamentari che gestionali interne.

Nell’ambito dei rischi finanziari, il cui presidio è garantito attraverso il supporto competenziale dal Financial Risk Management della Capogruppo, sono state recepite le evoluzioni del framework di governo e controllo dei rischi finanziari introdotte con l’aggiornamento delle Risk Policies di Gruppo in materia. Le principali attività di monitoraggio e controllo svolte nel corso del 2019, hanno riguardato:

• il monitoraggio dell’esposizione al rischio di tasso di interesse del banking book secondo una prospettiva di valore economico (EVE Sensitivity) e una prospettiva reddituale (NII Sensitivity), considerando shock paralleli e non paralleli delle curve dei tassi risk-free al fine di valutarne l’impatto sul valore economico e sul margine di interesse;

• il monitoraggio della posizione di liquidità a breve e strutturale attraverso la verifica nel continuo dell'adeguatezza e del bilanciamento dei flussi di cassa in entrata ed in uscita con produzione di reportistica giornaliera;

• l’esame delle metodologie di conduzione dei test di efficacia e verifica periodica dei relativi esiti, con riferimento alle operazioni di copertura dei portafogli d'impiego a tasso fisso e tasso medio;

• il supporto alla predisposizione ed al controllo delle ipotesi di fabbisogno finanziario e del piano di funding;

• il supporto alla definizione delle caratteristiche delle operazioni di provvista infragruppo in termini di tempistica, importo, durata, modalità, parametri d'indicizzazione e pricing.

Le risultanze delle attività di analisi andamentale relative alle dinamiche dei rischi finanziari sono state oggetto di periodica informativa agli Organi aziendali della Banca, attraverso la produzione della relativa reportistica in materia.

ICCREA BANCAIMPRESA S.P.A - RELAZIONE SULLA GESTIONE

La Funzione Compliance

Il Regolamento di Corporate Governance del Gruppo Bancario Iccrea definisce, tra l’altro, l’articolazione e l’assetto organizzativo del Sistema dei Controlli Interni di Gruppo indicando il modello di governance delle Funzioni di Controllo di II° livello della Capogruppo e delle società controllate. In particolare, la Capogruppo ha istituito al suo interno un presidio organizzativo che assume la responsabilità funzionale del comparto compliance a livello di Gruppo; detto presidio opera sulla base di un accentramento funzionale nella Capogruppo delle competenze in materia di governo dei rischi di conformità e si articola organizzativamente in presidi dislocati, oltre che nella Capogruppo, nelle diverse società controllate.

Al vertice della struttura è posto il Chief Compliance Officer (CCO) che rappresenta il referente degli Organi Aziendali della Capogruppo per le materie di competenza, esprimendo una visione integrata e di sintesi del complesso dei rischi assunti e gestiti dalle singole società e dal Gruppo nel suo complesso. Il CCO assicura peraltro il coordinamento funzionale dei presidi organizzativi che operano a livello di singola società controllata.

In generale:

• alla Funzione Compliance della Capogruppo sono attribuite le seguenti responsabilità: a) presiedere alla gestione del rischio di non conformità, di riciclaggio e di finanziamento del terrorismo con riguardo a tutta l’attività del Gruppo, verificando che le procedure interne siano adeguate a prevenire tale rischio; b) fornire consulenza e assistenza alle società del Gruppo in materia di gestione del rischio di non conformità, di riciclaggio e di finanziamento del terrorismo; c) predisporre annualmente il piano delle attività – in coordinamento con le analoghe strutture presenti nelle società controllate – ed un’informativa riepilogativa delle principali risultanze emerse a seguito delle attività poste in essere e dei piani d’azione individuati al fine di rimuovere le eventuali criticità rilevate.

• le Funzioni di Compliance e Antiriciclaggio istituite nelle società controllate quale presidio di secondo livello in ambito compliance sono dotate di autonomia e indipendenza e: a) ricevono dalla Capogruppo (Area CCO) indirizzi e assistenza in materia di gestione del rischio di non conformità e identificano, in condivisione con la stessa, i presidi e le procedure per lo svolgimento delle attività di competenza;

b) rilevano, valutano e propongono interventi mitigatori dei rischi di non conformità delle aziende di riferimento; c) predispongono annualmente il piano delle attività ed un’informativa riepilogativa delle principali risultanze emerse a seguito delle attività poste in essere nonché dei piani d’azione individuati al fine di rimuovere le eventuali criticità rilevate, da sottoporre agli Organi Aziendali della società stessa e della Capogruppo; d) informano tempestivamente gli Organi Aziendali della società e il presidio di compliance e antiriciclaggio della Capogruppo in ordine a fatti che abbiano un rilevante impatto sul profilo di rischio aziendale.

Sia in ambito compliance che antiriciclaggio sono state eseguite le attività di verifica programmate che concorrono ad alimentare progressivamente il Risk Appetite Statement del Gruppo in ottemperanza alle previsioni normative esterne in materia di Risk Appetite Framerwork.

La Funzione Antiriciclaggio

La Funzione di Antiriciclaggio costituisce il presidio a livello di Gruppo delle attività di secondo livello riferite alla prevenzione e contrasto della realizzazione di operazioni di riciclaggio e di finanziamento al terrorismo, verificando nel continuo che i presidi di controllo e i sistemi informativi siano in grado di garantire l’osservanza delle norme di legge e regolamentari previste in materia.

La Funzione Antiriciclaggio del Gruppo è identificata presso l’Area Chief AML Office che assicura la definizione di indirizzi, principi organizzativi e politiche in materia di governo del rischio di riciclaggio e finanziamento del terrorismo e ne controlla l’attuazione da parte delle unità organizzative preposte e dei Presidi Periferici. Al Chief AML Officer è attribuita la responsabilità della Funzione Antiriciclaggio di Iccrea Banca ed è conferita la delega per le segnalazioni di operazione sospetta per il perimetro di Iccrea Banca dal Consiglio di Amministrazione, sentito il Collegio Sindacale.

Con riferimento all’ambito normativo “Antiriciclaggio e contrasto al finanziamento del Terrorismo” l’esercizio è stato caratterizzato dal proseguimento delle attività progettuali, anche a supporto della Capogruppo, volte alla definizione dei presidi di controllo ed organizzativi finalizzati al rispetto degli adempimenti previsti dalla nuova normativa. Rileva in particolare l’integrazione nelle società del perimetro diretto dell’applicativo Gianos4D finalizzato a fornire, su basi standardizzate, supporto all’intero processo di misurazione, gestione e mitigazione del rischio di riciclaggio e finanziamento del terrorismo.

Sono proseguite le attività di integrazione del plesso normativo interno in funzione dei nuovi assetti organizzativi che hanno determinato l’emanazione di specifiche policy da parte della Capogruppo, a valere anche su tutte le società del perimetro diretto, e delle nuove

ICCREA BANCAIMPRESA S.P.A. - RELAZIONI E BILANCIO DELL’IMPRESA 2019

prescrizioni normative introdotte con i Decreti Legislativi di recepimento della IV e V Direttiva Antiriciclaggio e con la conseguenziale regolamentazione secondaria di settore emanata dalle Autorità di Vigilanza.

Particolarmente rilevante è stato ed è il focus sulle attività di controllo a distanza attuate dalla Capogruppo mediante appositi indicatori informatizzati (Key Risk Indicator) finalizzati anche ad avere un quadro riepilogativo ed omogeneo dello stato delle attività di controllo in corso ed eseguite anche nell’ambito delle nuove prescrizioni introdotte dal plesso normativo interno ed esterno sopra citato.

Sono stati avviati e sono tuttora in corso tavoli di confronto e gruppi di lavoro volti a finalizzare le attività operative e di controllo verso un approccio univoco e su basi interpretative omogenee all’interno dell’intero Gruppo Bancario Cooperativo anche definendo metodologie di verifica comuni e più efficaci per il raggiungimento di più adeguati standard qualitativi di trattamento delle fattispecie operative in coincidenza di prodotti/servizi diversi offerti/prestati alla medesima tipologia di clientela.

È stata rafforzata l’attività di formazione del personale amplificando la diffusione di conoscenze sempre più mirate alla gestione dei processi di controllo con riferimento a specifiche tipologie di prodotti (ad esempio operatività su estero merci e servizi di trade finance) e favorendo la condivisione delle competenze fra i diversi attori dei processi operativi nell’ambito dei processi esperiti.

Sono state introdotte nuove modalità di rendicontazione su base periodica annuale e infra-annuale e più mirate modalità di rappresentazione delle verifiche svolte, ad evento e nel continuo, agli Organi di Controllo e di Amministrazione anche introducendo modalità e meccanismi di Autovalutazione caratterizzati da un percorso applicativo e da una rappresentazione degli esiti standardizzati per tutte le Società del perimetro diretto e le Banche affiliate.

ICCREA BANCAIMPRESA S.P.A - RELAZIONE SULLA GESTIONE