Il Sistema dei Controlli nel Gruppo
Bancario Iccrea
1
Il sistema dei controlli
adottato da Iccrea Holding
Le attività, i processi, l’assetto organizzativo , la gestione del rischio, la conformità alle regole. Si tratta di aspetti
fondamentali per una gestione sana, prudente e corretta delle attività aziendali che necessitano di essere presidiate
mediante un adeguato sistema di controlli. A tal fine, Iccrea Holding ha adottato due modelli organizzativi, per
garantire, a livello di Gruppo:
1. I controlli di linea e, quindi, la regolarità dell’operatività e la conformità sia dei processi che dei comportamenti a
specifici aspetti della normativa esterna;
2. l’attività di Risk Management sempre più connessa a quella di Asset Liability Management;
3. la realizzazione di audit, con l’obiettivo di verificare l’adeguatezza dell’assetto organizzativo (efficacia, efficienza
e sistema dei controlli) dei processi sottesi alle attività delle Società, garantendone, al contempo, l’effettivo e
regolare svolgimento.
In particolare, i due modelli sono i seguenti:
 Modello decentrato: previsto per i controlli di linea e per la Funzione di Conformità (denominata anche
“Compliance”). Il supporto a quest’ultima ha comportato la costituzione, presso Iccrea Holding, di una struttura con
compiti di indirizzo, monitoraggio e supporto metodologico degli autonomi presidi che, a loro volta, sono stati attivati
anche presso le Società controllate. Mira, in particolare, ad indirizzare l’operatività delle funzioni costituite presso le
controllate, ed a verificare che ogni Società, nell’ambito delle proprie attività, si adegui alla normativa prevista a livello
nazionale ed europeo;
 Modello accentrato: previsto, invece, per le attività di Risk Management, A.L.M. e per i Controlli interni , consiste in
un sistema organizzativo che colloca in seno alla Capogruppo due strutture che, in modo efficace ed efficiente, possono:
• fornire supporto ai processi decisionali ed un organico presidio delle differenti tipologie di rischio che caratterizzano
l’operatività delle società del Gruppo Bancario;
• effettuare attività di auditing di processi e strutture – anche sul fronte dell’information Technology –
presso le Società controllate, oltre a realizzare controlli a distanza e, laddove richiesti, servizi di consulenza
sul sistema dei controlli
2
Sistema di Controllo Interno
del Gruppo Bancario
- modello di tipo “decentrato” -
Il modello organizzativo del Sistema di Controllo Interno del Gruppo bancario è il seguente:
Modello di tipo “decentrato”: è il modello utilizzato per i controlli di linea e la Funzione di Conformità.
A supporto di quest’ultima, presso la Capogruppo, è stata prevista una struttura con compiti di indirizzo,
monitoraggio e supporto metodologico (e/o su singoli progetti) degli autonomi presidi dedicati presso le
singole Società nonché con compiti di supporto diretto verso le società di più piccole dimensioni e ‘non
finanziarie’. In coerenza con il suddetto modello organizzativo, nel corso del 2008 le principali società del
Gruppo bancario Iccrea (ICCREA Banca, Banca Agrileasing, Aureo Gestioni e BCC Private Equity) hanno
istituito al loro interno una specifica Funzione di Conformità.
La funzione di conformità della Capogruppo ha indirizzato, anche tramite l’emanazione di due direttive,
l’assetto organizzativo delle funzioni costituite presso le singole società e dei relativi responsabili, i
principali contenuti dei relativi regolamenti (Regolamento di Gestione del rischio di non conformità,
Regolamento della Funzione), i modelli e processi di pianificazione e di reporting/rendicontazione
periodica, i flussi informativi e le interrelazioni fra le diverse funzioni di controllo (Regolamento di
processo) da adattare per le opportune delibere del CDA.
La scelta del modello ‘decentrato’ risponde alle seguenti esigenze:
 trattandosi di Funzione di nuova costituzione, le diverse attività svolte dalle società controllate non
avevano (al tempo) fatto emergere la presenza di rilevanti sinergie nelle attività/competenze
necessarie per la costituzione di una funzione “accentrata” di conformità;
 garantire un contatto diretto con l’operatività propria di ciascuna società e, di conseguenza,
costituire funzioni con competenze specifiche nei singoli segmenti di attività, assicurandone il
presidio continuativo;
 garantire una forte responsabilizzazione delle singole società in tema di conformità alle norme
e non accentrare sulla sola Capogruppo tutti i profili connessi all’esercizio del Sistema dei
Controlli Interni (nelle componenti diverse dai controlli di linea).
3
Sistema di Controllo Interno
del Gruppo Bancario
- Modello di tipo “accentrato” -
Modello di tipo “accentrato”: è il modello utilizzato per le funzioni di revisione interna e di risk
management. Si caratterizza per l’istituzione presso la Capogruppo di strutture dedicate (Risk
Management e ALM di Gruppo e Funzione Controlli) che svolgono le rispettive attività di controllo in
virtù di specifici contratti di esternalizzazione e in maniera accentrata.
La scelta di costituire tali funzioni “accentrate” presso la Capogruppo deriva dall’esigenza di perseguire
le seguenti finalità:
dotare le funzioni in questione, riferibili ad ognuna delle Società del gruppo, di risorse costantemente
adeguate sotto il profilo quali/quantitativo;
applicare, nell'ambito del Gruppo, metodologie di revisione e di misurazione e gestione dei rischi
‘trasversali’, omogenee e sempre aggiornate, nonché modalità di riporto uniformi per iter di
comunicazione e formati di rappresentazione;
contenere le spese, a livello di singola società e quindi complessivamente per il Gruppo, rendendo
disponibile per ogni Società risorse accentrate con funzioni manageriali, di coordinamento, nonché di
più elevato contenuto specialistico in base alle effettive esigenze e con costi rapportati ai giorni/uomo
di concreto utilizzo.
4
Sistema di Controllo Interno
del Gruppo Bancario
- Funzione Risk Management e ALM di Gruppo Funzione Risk Management e ALM di Gruppo: accentrata presso la Capogruppo:
 Svolge a livello consolidato e per le Società del Gruppo le attività di rilevazione, misurazione e
monitoraggio dei rischi di mercato, di credito, operativi, dei rischi relativi all’attività di gestione di
patrimoni
di terzi e all’attività assicurativa nel ramo vita, nonché degli altri rischi previsti dalla
normativa di vigilanza.
 Esprime valutazioni e pareri e supporta la formulazione di indirizzi sulle politiche di rischio a livello
aziendale e di gruppo.
 Effettua il monitoraggio dei requisiti patrimoniali e degli indicatori prudenziali previsti dalla normativa
di vigilanza.
 Gestisce il sistema di ALM di Gruppo.
 Provvede all’analisi ed al monitoraggio della posizione di liquidità delle Società del Gruppo e a livello
consolidato, assicurando il coordinamento delle attività di funding e di capital market a supporto delle
esigenze del Gruppo bancario.
 Partecipa allo sviluppo evolutivo ed effettua il monitoraggio delle performance dei sistemi di rating
interni.
La Funzione Risk Management e ALM di Gruppo è articolata nelle seguenti unità organizzative:
- Rischi Finanziari;
- Rischi di Credito e Operativi.
RISK MANAGEMENT
E ALM DI GRUPPO
Rischi Finanziari
Rischi di credito e operativi
5
Sistema di Controllo Interno
del Gruppo Bancario
- Funzione di Revisione Interna Funzione Controlli: esternalizzata presso la Capogruppo, si occupa – sulla base di un Piano annuale di
attività formalmente approvato dagli organi deliberanti delle singole società e/o su richiesta degli Organi a
ciò facoltizzati – di effettuare audit di processi (e ispezioni mirate) al fine di garantire l’adeguatezza
complessiva dell’assetto organizzativo dei processi sottesi alle attività e ai servizi prestati, la regolarità
operativa ed, in sostanza, l’efficacia e l’efficienza del sistema di controllo interno.
Nello svolgimento di tali compiti svolge verifiche in loco e a distanza ovvero affianca e valida per i profili di
pertinenza (coerenza con i requisiti aziendali del sistema dei controlli) le funzioni che conducono
progettualità rilevanti, al fine di prevenire e\o mitigare le rischiosità aziendali. Su richiesta supporta anche
altre funzioni di controllo (compliance) nella esecuzione dell’attività di verifica.
Le attività della Funzione si esplicano, dunque, in:
 attività di assurance: auditing di processi/strutture, di Information & Communication Technology,
controlli a distanza;
 consulenze e progetti: attività di supporto a progetti e sviluppi organizzativi eventualmente
richieste, tempo per tempo, dalla Committenza (anche provenienti da specifici settori aziendali) o
che dovessero presentarsi nel corso dell’espletamento delle attività.
La struttura organizzativa della funzione - i cui referenti, all’interno delle Società committenti, sono i
Consigli di Amministrazione e, se istituiti, i Comitati di Controllo Interno (Comitati di Audit, Organismi di
Vigilanza 231), i Collegi sindacali, l’Alta Direzione - è attualmente così articolata:
FUNZIONE
CONTROLLI
Revisione
Information
System
Audit
Controlli
a distanza
Segreteria
Tecnica
6
PRINCIPI ETICI E STANDARD PROFESSIONALI
Come dettagliato nella “Guida” della Funzione, documento aggiornato, ordinariamente, annualmente e
condiviso anche dai Consigli di Amministrazione della Capogruppo e delle Controllate, la Funzione
Controlli adotta i principi di etica professionale definiti dall’Associazione di categoria (The Institute of
Internal Auditors) e, per la parte relativa relativi all’Information System Audit , applica altresì gli analoghi
principi dettati dall’ISACA .
L’attività della Funzione Controlli viene effettuata da risorse con differenti professionalità che operano
all’interno di organizzazioni che variano per finalità, dimensione e struttura. Ciò richiede comportamenti
professionali che siano quanto più aderenti alle migliori best practice per un corretto assolvimento delle
relative responsabilità.
In proposito si fa riferimento ai seguenti standard professionali:
• STANDARD PER LA PRATICA PROFESSIONALE DELL’INTERNAL AUDITING
• STANDARD GENERALI DI AUDIT DEI SISTEMI INFORMATICI
7
Certificazioni Professionali
CISA - Certified Information System Auditor
CGEIT – Certified in the Governance of Enterprise IT
Lead auditor BS25999 / BS7799 / ISO27001
CIA /Certified Internal Auditor
Quality Assessor Validator
Revisore Contabile
Dottore Commercialista
CISM - Certified Information Security Manager
PMP - Project Manager Professional
IT Infrastructure Libraries
Lead auditor ISO 9001
CCSA - Certified Control Self Assessor
Internet Security Scanner
OPSA – OSSTMM Professional Security Analyst
8