Controllo interno e rischi
Il sistema di controllo interni è l’insieme di regole, procedure e funzioni aziendali che hanno lo scopo di conseguire l’efficacia dei processi interni, assicurare l’affidabilità e l’integrità delle informazioni contabili e gestionali, garantire la conformità alle norme e la gestione dei rischi
- Il Consiglio di Amministrazione
- definisce le linee di indirizzo del sistema dei controlli interni e di gestione dei rischi in coerenza con gli indirizzi strategici e la propensione al rischio. Assicura così che i principali rischi siano correttamente identificati, misurati, gestiti e monitorati, anche tenuto conto della loro evoluzione;
- assume le valutazioni e decisioni relative al sistema di controllo interno e di gestione dei rischi. Nomina i responsabili delle funzioni di controllo, ne approva i piani di attività e riceve rendicontazione periodica;
- approva annualmente il Risk Appetite Framework (RAF) di gruppo, coerentemente con le tempistiche del processo di budget e di definizione del piano strategico, per garantire che il business si sviluppi nell’ambito del profilo di rischio desiderato.
- Il Comitato Rischi svolge funzioni istruttorie e consultive a beneficio del Consiglio di Amministrazione in materia di rischi e sistema dei controlli interni.
- Il Collegio Sindacale vigila sul sistema di gestione e controllo dei rischi come definiti dal RAF e sul sistema dei controlli interni, valutando l’efficacia di tutte le strutture e funzioni coinvolte nonché il loro coordinamento.
La responsabilità per l’adeguatezza del sistema di controllo interno e di gestione dei rischi di Mediobanca compete ai vertici aziendali: predispongono le misure volte ad assicurare e mantenere nel continuo un sistema dei controlli interni efficace ed efficiente, mediante la comprensione di tutti i rischi aziendali e, nell’ambito di una gestione integrata, delle loro interrelazioni reciproche.
Per quanto riguarda la gestione dei rischi sono stati costituiti alcuni comitati direzionali con specifiche competenze.
Le principali altre funzioni aziendali coinvolte nel sistema di controllo interno e gestione dei rischi sono la Funzione Audit di gruppo, la Funzione Compliance e Group Anti Money Laundering e la Funzione Group Risk Management, oltre ai responsabili delle aree operative.
La Funzione Audit di gruppo svolge la propria attività per tutte le società del gruppo Mediobanca. La sua mission consiste nel verificare il regolare andamento dell’operatività e l’evoluzione dei rischi aziendali, valutare completezza, adeguatezza, funzionalità e affidabilità della struttura organizzativa e delle altre componenti del sistema dei controlli interni, e fornire consulenza alle funzioni del gruppo.
La centralizzazione delle attività di Internal Audit consente di rafforzare il ruolo di coordinamento della capogruppo nell’ambito del sistema dei controlli interni e di rendere maggiormente efficiente il funzionamento dell’intero impianto dei controlli di terzo livello mediante:
- l’allocazione della responsabilità di coordinamento e presidio diretto da parte della Funzione Audit di gruppo sulle società controllate;
- la definizione di un Piano di Audit del Gruppo Bancario, da sottoporre all’approvazione del Consiglio di Amministrazione di Mediobanca e, quindi, a quella dei consigli delle singole società per quanto di competenza;
- la condivisione di competenze specialistiche (ad esempio, IT Audit, tematiche quantitative) nonché di metodologie di verifica e standard di reporting verso gli organi aziendali e l’alta direzione.
La Funzione opera in maniera indipendente, ha accesso diretto a tutte le informazioni utili e dispone di mezzi adeguati allo svolgimento del proprio incarico.
Compiti della Funzione Audit di gruppo
Tra i suoi compiti, la funzione Audit di gruppo:
- verifica, tra l’altro:
- la regolarità delle diverse attività aziendali e l’evoluzione dei rischi presso gli uffici centrali e le filiali;
- la conformità alle norme dell’attività di tutti i livelli aziendali;
- il rispetto, nei diversi settori operativi, dei limiti previsti dai meccanismi di delega e il pieno e corretto utilizzo delle informazioni disponibili nelle diverse attività;
- l’efficacia dei poteri della funzione di controllo dei rischi di fornire pareri preventivi sulla coerenza con il RAF delle operazioni di maggior rilievo;
- l’adeguatezza e il corretto funzionamento dei processi e delle metodologie di valutazione delle attività aziendali;
- l’adeguatezza, l’affidabilità complessiva e la sicurezza del sistema informativo;
- la rimozione delle anomalie riscontrate nell’operatività e nel funzionamento dei controlli (“follow-up”);
- verifica la rispondenza dei comportamenti delle società appartenenti al gruppo agli indirizzi della capogruppo;
- effettua accertamenti anche con riguardo a specifiche irregolarità, se richiesto dagli organi sociali e/o dall’alta direzione;
- informa regolarmente la direzione sull’attività svolta e i relativi risultati mediante l’invio di specifica reportistica;
- predispone relazioni periodiche di sintesi destinate agli organi sociali, in cui sono descritti i principali risultati emersi dalle verifiche condotte, i suggerimenti formulati e le eventuali azioni correttive intraprese.
Il Responsabile dell’Audit di Gruppo partecipa alle riunioni del Comitato Rischi al quale fornisce supporto in relazione agli aspetti di internal control system. Annualmente, la Funzione presenta al Comitato Rischi in seduta congiunta con il Collegio Sindacale, e al Consiglio di Amministrazione, una relazione sulle attività svolte, un aggiornamento sulle sistemazioni delle criticità riscontrate, oltre a un report trimestrale volto a segnalare con immediatezza le eventuali criticità.
Il programma degli interventi di audit, redatto in conformità al Regolamento della Funzione, è svolto in coerenza a quanto previsto dall’Audit Plan approvato annualmente dal Consiglio di Amministrazione.
Responsabile della Funzione Audit di gruppo è il dr. Giorgio Paleari, a riporto del Consiglio di Amministrazione.
La Funzione Compliance presidia i rischi normativi e reputazionali del gruppo e verifica, nello specifico, che le procedure interne siano coerenti con l’obiettivo di prevenire la violazione di leggi e regolamenti applicabili alla banca e al gruppo.
Con riferimento alla banca, la Funzione propone e verifica l’adozione di procedure funzionali al presidio dei rischi di non conformità legati alla prestazione dei servizi bancari e dei servizi di investimento e accessori MiFID e dell’intermediazione assicurativa, garantendo un aggiornamento sull’evoluzione del quadro normativo e regolamentare domestico ed europeo.
La Funzione presidia i rischi di conformità di gruppo avvalendosi di responsabili e referenti delle controllate.
Compiti della Funzione Compliance
Alla Funzione Compliance sono assegnati in particolare i seguenti compiti:
- verifica e presidio della conformità delle attività della banca e del gruppo alle disposizioni di legge e regolamentari, con specifico riferimento alla normativa in materia bancaria e di prestazione dei servizi di investimento e normativa market abuse, curando i rapporti operativi con le competenti autorità;
- implementazione dei presidi e degli strumenti necessari per un efficace controllo dei rischi connessi con la gestione dei conflitti di interesse;
- compiti operativi, proponendo modifiche organizzative e procedurali allo scopo di assicurare un adeguato presidio dei rischi di non conformità e predisponendo flussi informativi diretti agli organi aziendali e alle strutture coinvolte;
- assistenza alle strutture della banca e alle società del gruppo su problematiche operative, anche attraverso circolari esplicative o note su aspetti regolamentari di rilievo, garantendo un continuo e aggiornato flusso informativo sull’evoluzione del quadro normativo e regolamentare domestico e internazionale;
- reporting, predisponendo le relazioni periodiche agli organi aziendali sull’attività svolta e in tutti i casi di mancato rispetto della normativa, nonché segnalando nuovi rischi di compliance e possibili interventi correttivi.
Il Responsabile della Funzione Compliance partecipa alle riunioni del Comitato Rischi, al quale fornisce supporto per la propria attività di controllo. Con una periodicità annuale presenta una relazione sull’attività svolta al Comitato Rischi, al Consiglio di Amministrazione e al Collegio Sindacale , oltre a un sintetico report trimestrale volto a segnalare con immediatezza le eventuali criticità. Cura per il gruppo i rapporti con gli Organi di Vigilanza per le materie di competenza.
All’interno della funzione Compliance è collocata la Funzione Group AML, che verifica nel continuo, per la banca e il gruppo, che le procedure aziendali siano idonee per prevenire e contrastare i rischi di violazione di norme in materia di riciclaggio e di finanziamento del terrorismo.
Nel 2018, la Funzione è stata accentrata per le società italiane del gruppo in Mediobanca, mentre per le controllate estere la Funzione presidia tali rischi avvalendosi di responsabili e referenti delle relative controllate, che operano in riporto funzionale con il Responsabile della Funzione.
La Funzione Compliance è affidata al dr. Massimiliano Carnevali, a riporto dell’Amministratore Delegato. La Funzione riporta funzionalmente al Comitato Rischi.
La Funzione Antiriciclaggio (Group AML) di gruppo è il dr. Andrea Verger, a riporto del Responsabile della Funzione Compliance.
La funzione Group Risk Management (GRM) è responsabile dell’identificazione e attivazione del processo di gestione dei rischi e della sua trasversale applicazione all’interno del gruppo. Presiede il funzionamento del sistema di controllo dei rischi del gruppo, definendo le appropriate metodologie di misurazione dei rischi attuali e prospettici.
La Funzione garantisce il costante controllo dell’esposizione complessiva del gruppo e di ogni unità ai rischi creditizi, finanziari, di liquidità, operativi e degli altri rischi rilevanti, nel rispetto dei limiti stabiliti dalla normativa interna e di vigilanza, avvalendosi anche delle strutture di risk management delle controllate che, a tal fine, operano in riporto funzionale con il Group Chief Risk Officer.
Il Group Chief Risk Officer è responsabile del processo di gestione del rischio attraverso lo sviluppo di politiche di risk management, che includono la definizione e quantificazione del risk appetite nonché politiche e limiti di rischio a livello di unità operative e di gruppo.
Il responsabile della Funzione partecipa alle riunioni del Consiglio di Amministrazione e del Comitato Rischi, cui fornisce supporto per la propria attività di controllo.
Il Group Chief Risk Officer è Pierpaolo Montana, a diretto riporto dell’Amministratore Delegato. La Funzione riporta funzionalmente al Comitato Rischi.
Responsabili aree operative
I responsabili delle aree operative (risk owner) hanno la responsabilità di assicurare la corretta identificazione, valutazione, gestione e monitoraggio dei rischi correlati alle attività svolte e di porre in essere adeguati presidi di controllo di primo livello.