MANDATO DI AUDIT DI GRUPPO
Data: Ottobre, 2013
UniCredit Group - Public
MISSION E AMBITO DI COMPETENZA
L’Internal Audit è una funzione indipendente nominata dagli Organi di Governo della Società ed è
parte integrante dell’ambiente di controllo interno. Svolge un’indipendente ed obiettiva attività di
assurance e consulenza al fine di valutare, dare valore aggiunto e contribuire al miglioramento del
Sistema dei Controlli Interni della Società.
È di supporto alla Società per il raggiungimento dei propri obiettivi aziendali fornendo un approccio
sistematico e professionale per valutare e migliorare l’adeguatezza delle operazioni poste in
essere dalla Società stessa attraverso la valutazione ed il miglioramento dell’efficacia dei processi
di governance, di gestione del rischio e di controllo.
L’attività di assurance, attraverso un approccio sistematico e professionale, è un esame obiettivo
delle evidenze allo scopo di fornire una valutazione indipendente sui processi di governance,
gestione del rischio e di controllo della Società. Lo scopo dell’attività di assurance è di valutare
l’adeguatezza del Sistema dei Controlli Interni della Società, anche attraverso la valutazione della
completezza e correttezza del disegno e del funzionamento dei controlli chiave.
L’attività di Internal Audit mira a stabilire se i processi di governance, di gestione del rischio e di
controllo della Società, così come disegnati ed applicati dal Management, sono adeguati e
funzionano in modo tale da assicurare che:

i rischi siano individuati, valutati, gestiti e controllati in modo appropriato;

l’interazione con gli Organi di Governo sia appropriata;

le informazioni finanziarie, manageriali e operative significative siano accurate, affidabili e
tempestive;

i comportamenti dei dipendenti siano conformi alle policy, agli standard, alle procedure, alla
normativa e alla regolamentazione vigente;

le risorse siano acquisite economicamente, utilizzate efficientemente ed adeguatamente
preservate;

i programmi, i piani e gli obiettivi siano raggiunti;

la qualità e il miglioramento continuo siano promossi nei processi di controllo della Società;

le questioni normative o regolamentari significative che impattano sulla Società siano
adeguatamente identificate e affrontate.
Durante gli incarichi di audit potrebbero essere individuate opportunità di miglioramento in
relazione ai controlli, alla redditività e all’immagine della Società. Tali circostanze saranno
comunicate al livello di Management competente.
L’Internal Audit può svolgere servizi di consulenza, oltre all’attività di assurance, con lo scopo di fornire
valore aggiunto e supporto alla Società nel raggiungimento dei propri obiettivi, attraverso l’offerta di
consulenza relativa al disegno, al funzionamento ed al miglioramento del Sistema dei Controlli Interni.
Tuttavia, i servizi di consulenza non devono compromettere l’indipendenza dell’Internal Audit.
RESPONSABILITÁ
Il Responsabile dell’Internal Audit, nello svolgimento dei suoi compiti, deve essere responsabile di:
UniCredit Group - Public
1

fornire annualmente una valutazione dell’adeguatezza e dell’efficacia dei processi di
gestione dei rischi e di controllo della Società nelle aree che rientrano nella mission e nel
suo ambito di competenza;

riportare le problematiche significative che riguardano i processi di controllo della Società e
delle sue affiliate, includendo le informazioni circa lo stato delle misure correttive;

fornire informazioni periodiche riguardo lo stato ed i risultati del piano annuale di audit e
l’adeguatezza circa le risorse impiegate;

coordinarsi con le altre funzioni di controllo al fine di assicurare un adeguato approccio di
gestione del rischio e di controllo nel Gruppo e un sistematico processo di valutazione del
Sistema dei Controlli Interni. Questo impegno e questo coordinamento non devono,
tuttavia, compromettere l’indipendenza dell’audit.
INDIPENDENZA
L’attività dell’Internal Audit è indipendente e gli Internal Auditors sono obiettivi nello svolgimento
del loro lavoro.
Il Responsabile dell’Internal Audit della Società deve riportare ad un livello adeguato nell’ambito della
Società che permetta alla Funzione di Internal Audit di adempiere alle proprie responsabilità. Per
raggiungere il livello di indipendenza necessario per esercitare in modo efficace le responsabilità
dell’attività di internal audit, il Responsabile dell’Internal Audit è direttamente subordinato agli Organi
di Governo della Società. Per Organi di Governo si intendono il Consiglio di Amministrazione, nel
modello tradizionale e monistico, o il Consiglio di Sorveglianza/Consiglio di Gestione nel modello
dualistico. Conseguentemente, gli Organi di Governo sono coinvolti nella:







nomina e revoca del Responsabile dell’Internal Audit;
approvazione del Mandato di Audit;
approvazione del piano di audit basato sulla valutazione dei rischi;
approvazione del budget e del piano delle risorse dell’Internal Audit;
ricezione di comunicazioni dal Responsabile dell’Internal Audit della Società riguardo ai risultati
dell’attività di internal audit rispetto al piano e ad altre tematiche;
approvazione della remunerazione del Responsabile di Internal Audit;
effettuazione di opportuni approfondimenti con il Management ed il Responsabile dell’Internal
Audit della Società per stabilire se sono presenti limitazioni non appropriate delle risorse o
dell’ambito di copertura.
In linea con il framework di Governance localmente in vigore, l’Audit Committee, ove presente,
dovrebbe essere coinvolto nel processo di approvazione degli aspetti sopra menzionati, così come in
tutte le altre responsabilità definite in questo documento, quando è previsto il
coinvolgimento
degli Organi di Governo.
Il Responsabile dell’Internal Audit della Società ha accesso diretto e senza limitazioni agli Organi di
Governo, anche tramite l’Audit Committee, ed al Collegio Sindacale, ove presente.
Inoltre, al fine di rafforzare l’indipendenza dell’Internal Audit, la struttura della sua politica
retributiva non deve esporre l’Internal Audit ad alcun conflitto d’interessi e deve essere conforme
alle raccomandazioni delle Autorità di Vigilanza così come delle istituzioni nazionali ed
internazionali.
Gli Internal Auditors devono avere un atteggiamento imparziale, essere privi di pregiudizi e devono
evitare qualsiasi conflitto di interessi. L’obiettività è assicurata attraverso la segregazione, a livello
funzionale, delle risorse dell’Internal Audit dalle altre funzioni della Società.
UniCredit Group - Public
2
Il Responsabile dell’Internal Audit della Società deve confermare al Consiglio di Amministrazione,
almeno annualmente, l’indipendenza organizzativa dell’attività di internal audit.
COMPITI
Il Responsabile dell’Internal Audit ed il personale dell’Internal Audit svolgono i seguenti compiti:

sviluppare un piano annuale di audit flessibile attraverso un’adeguata valutazione dei rischi
che prenda in considerazione gli aspetti riguardanti i rischi e i relativi controlli identificati dal
Management e sottoporlo agli Organi di Governo per la revisione e/o per l’approvazione;
nel preparare un piano annuale flessibile dovrebbero essere tenuti in dovuta
considerazione le Società direttamente controllate e i rischi che potrebbero impattare sulla
controllante;

implementare il piano annuale di audit, così come approvato, compresi gli incarichi o i
progetti speciali richiesti dal Management, dall’Audit Committee, ove presente, e dagli
Organi di Governo;

svolgere special investigation su eventi operativi, su potenziali frodi ed al verificarsi di frodi
nella Società, informando dei risultati il Management e gli Organi di Governo, tramite l’Audit
Committee, ove presente;

emettere report periodici per gli Organi di Governo, tramite l’Audit Committee, ove presente
e per il Management, sintetizzando i risultati delle attività di audit e lo stato di
implementazione dei piani di azione del Management;

offrire, oltre ai servizi di assurance, servizi di consulenza indipendenti e obiettivi al fine di
assistere il Management nel raggiungere i propri obiettivi, qualora l’Internal Audit decida di
accettare le attività di consulenza proposte;

analizzare e valutare i cambiamenti organizzativi significativi e i principali servizi, processi,
operazioni e processi di controllo di nuova istituzione o modificati, al fine di assicurare
l’opportuno e tempestivo allineamento del risk assessment di audit;

stabilire un programma di assurance e miglioramento della qualità attraverso cui l’Internal
Audit garantisca la professionalità nello svolgimento delle attività di Internal Audit;

garantire personale dell’Internal Audit qualificato con adeguate conoscenze, capacità,
esperienza e dotato di certificazioni professionali, in modo tale da soddisfare i requisiti di
questo Mandato;

tenere informati gli Organi di Governo, tramite l’Audit Committee, ove presente, sui trend
emergenti e sulle prassi di successo nell’attività di Internal Audit;

fornire agli Organi di Governo, tramite l’Audit Committee, ove presente, un elenco dei
principali obiettivi e risultati della misurazione;

rilasciare la documentazione dell’incarico e comunicare i risultati alle parti appropriate,
evitando di divulgare le informazioni senza le necessarie autorizzazioni, salvo che lo
impongano motivi di ordine legale o deontologico;

considerare l’ambito del lavoro dei Revisori Contabili e degli Organi di Vigilanza, ove
opportuno, al fine di fornire alla Società una copertura di audit ottimale a costi complessivi
ragionevoli.
UniCredit Group - Public
3
AUTORITÁ
L’Internal Audit è autorizzato a:

avere accesso illimitato a tutte le funzioni aziendali, registrazioni, proprietà e personale
della Società. Qualora le attività siano esternalizzate a terze parti, l’Internal Audit deve
essere autorizzato ad avere accesso a tali attività;

comunicare ed interagire direttamente con gli Organi di Governo;

allocare personale, definire obiettivi e tempi, determinare l’ambito del lavoro ed applicare le
tecniche richieste per raggiungere gli obiettivi di audit;

ottenere il supporto necessario dal personale della Società in cui si effettuano audit o altri
incarichi speciali all’interno o all’esterno della Società.
L’Internal Audit deve essere informato di ogni direttiva e decisione del Management che potrebbe
essere rilevante per le proprie attività. Deve essere tempestivamente informato di eventuali
cambiamenti significativi nei processi di governance, di gestione del rischio e di controllo. Inoltre,
sussiste l’obbligo di informare l’Internal Audit se, in termini di rischio, sono state individuate gravi
carenze, se si sono verificate considerevoli perdite oppure se esiste la possibilità che si verifichino
irregolarità.
L’Internal Audit non è autorizzato a:

svolgere compiti operativi per qualunque Società del Gruppo;

dirigere le attività del personale della Società non appartenete all’Internal Audit, ad
eccezione del personale assegnato al team di audit o che supporta gli Internal Auditors;

avviare o approvare operazioni non pertinenti all’attività di Internal Audit.
ESTERNALIZZAZIONE DELLE ATTIVITA’ DI INTERNAL AUDIT
L’esternalizzazione della Funzione di Internal Audit deve essere approvata dagli Organi di Governo
della Società, nel rispetto delle limitazioni derivanti dalla regolamentazione esterna.
L’esternalizzazione delle attività di internal audit, ma non della Funzione, su base limitata e mirata,
qualora ci sia necessità di competenze e conoscenze specialistiche, può essere approvata dal
Responsabile dell’Internal Audit.
STANDARD PER LE ATTIVITÁ DI AUDIT
L’Internal Audit realizza la propria mission e svolge le attività nel rispetto degli Internal Audit Group
Standards, che includono il Codice Etico, approvati dai competenti Organi di Governo della
Società.
Gli Internal Audit Group Standards sono generalmente basati sugli Standards Internazionali per la
Pratica Professionale dell’Internal Audit.
APPROVAZIONE E REVISIONE
Il Responsabile dell’Internal Audit deve periodicamente:

valutare se il Mandato di Audit debba essere aggiornato per consentire all’attività di
raggiungere i propri obiettivi e

comunicare i relativi risultati agli Organi di Governo della Società per l’approvazione.
UniCredit Group - Public
4