Il nostro sistema di controlli
Il sistema dei Controlli Interni
Il Sistema dei Controlli Interni è costituito dall'insieme di regole, procedure e strutture organizzative, che mirano a conseguire i seguenti obiettivi:
- assicurare che vengano rispettate le strategie aziendali
- conseguire l'efficacia e l'efficienza dei processi aziendali
- salvaguardare il valore delle attività
- assicurare l'affidabilità e l'integrità delle informazioni contabili e gestionali
- assicurare la conformità delle operazioni con tutto l'apparato normativo esistente.
Ruolo degli Organi Aziendali
Gli Organi Aziendali che partecipano al sistema sono i seguenti:
Presidente e Vice Presidente
Partecipano di diritto al Comitato Controllo Interni e Rischi. Il Presidente, previo parere del Comitato formula la proposta al Consiglio di Amministrazione in merito alla nomina o alla sostituzione del responsabile della Funzione di Internal Audit.
Consiglio di Amministrazione della Capogruppo
Definisce le linee guida e le politiche di gruppo sui controlli interni in accordo con le istruzioni emanate dalle Autorità di Vigilanza italiane e con le leggi applicabili. Il Consiglio, sentito il Collegio Sindacale, approva le politiche di gestione del rischio. Al Consiglio riporta la Direzione Internal Audit
Amministratore Delegato
Provvede ad identificare i principali rischi aziendali sottoponendoli all'esame del Consiglio di Amministrazione ed attua gli indirizzi del Consiglio stesso attraverso la progettazione, la gestione ed il monitoraggio del sistema di controllo interno.
L'Amministratore Delegato deve assicurare l'efficace gestione del rischio definendo adeguate politiche e procedure, assicurando che le politiche e le procedure vengano osservate all'interno della Banca.
In riferimento ai controlli di terzo livello, svolti dalla funzione audit che riporta direttamente al C.d.A., valuta le linee guida dell'attività di audit, formula proposte per integrare il piano annuale dei controlli, richiede specifici interventi di audit, esprime un parere preventivo non vincolante sulle proposte di adeguamenti organizzativi e del personale della Direzione Internal Audit.
Collegio Sindacale
Il Presidente del Collegio Sindacale - o altro Sindaco da lui designato - partecipa di diritto ai lavori del Comitato Controllo Interno & Rischi. I sindaci possono in qualsiasi momento procedere, anche individualmente, ad atti d'ispezione e di controllo.
Comitato per i Controlli Interni e Rischi
Composto da amministratori non esecutivi (la maggioranza indipendenti). Assiste il Consiglio nella definizione delle linee di indirizzo del sistema di controllo interno e nella verifica almeno annuale della sua adeguatezza, assicurando che i principali rischi aziendali siano correttamente identificati, misurati, gestiti e monitorati.
Il Comitato, per il tramite del suo Presidente, ha possibilità di accedere a tutte le informazioni e alle funzioni aziendali necessarie per lo svolgimento dei propri compiti avvalendosi delle strutture della società, del gruppo e anche di consulenti esterni.
Il Comitato assiste il Consiglio nella definizione del Risk Appetite del gruppo, valuta il piano annuale dei controlli preparato dal Responsabile della Direzione Audit, esamina i bilanci trimestralmente e assiste il Consiglio nella formalizzazione delle politiche per il governo dei rischi e ne riferisce almeno semestralmente sull'attività svolta e sull'adeguatezza del controllo interno.
Ruolo delle Funzioni aziendali
UniCredit Group monitora, misura e controlla l'insieme dei rischi (di mercato, di credito, operativi, reputazionali, compliance) secondo il seguente schema e regole:

Controlli di primo livello - o controlli di linea - diretto ad assicurare il corretto svolgimento delle operazioni. I controlli sono effettuati dalle stesse strutture produttive o incorporati dalle procedure o eseguiti dal back office.
Controlli di secondo livello - o controllo sulla gestione dei rischi - affidati a unità diverse da quelle produttive. Le Direzioni responsabili dei controlli di 2° livello sono:
- La Funzione Compliance è incaricata della corretta applicazione e del rispetto del framework normativo di riferimento, della sua coerente interpretazione a livello di gruppo e dell'identificazione, valutazione, prevenzione e monitoraggio dei rischi complessivi di Compliance del gruppo o delle rispettive Entità;
- Il Group Risk Management (GRM) controlla e indirizza i rischi del Gruppo attraverso la definizione di politiche e metodologie volte a misurare e controllare tali rischi e attraverso l'ottimizzazione del costo del rischio grazie alla definizione di linee guida, politiche e pareri non vincolanti su esposizioni creditizie rilevanti, nel rispetto delle norme interne ed esterne e dei regolamenti.
Controlli di terzo livello - internal audit - sono finalizzati alla valutazione e verifica periodica della completezza, della funzionalità e dell'adeguatezza del sistema dei controlli interni. L'attività è condotta da strutture diverse da quelle produttive e di controllo di 2° livello. In alcuni casi tali attività sono realizzate da ogni Società in outsourcing verso UniCredit SpA.
La Capogruppo dispone di una propria Direzione Internal Audit. Il "Preposto al Controllo Interno" - previsto dal Codice di Autodisciplina - si identifica con il Responsabile della funzione Internal Audit.
Clicca sull'accordion di seguito per approfondire le funzioni aziendali responsabili per i controlli interni
La funzione del Group Risk Management (GRM) di UniCredit è quella di controllare e indirizzare i rischi del Gruppo attraverso:
- la gestione e l'ottimizzazione della qualità dell'attivo e del costo del rischio del Gruppo;
- la definizione (di concerto con la funzione CFO) e il monitoraggio della propensione al rischio del Gruppo, valutandone inoltre l'adeguatezza patrimoniale;
- la definizione - in conformità con i requisiti normativi - delle regole, metodologie, tipologie di limiti di rischio, politiche e strategie di gestione del rischio del Gruppo;
- la definizione e l'applicazione dei criteri per la valutazione, gestione, misurazione, monitoraggio e reportistica dei rischi in modo da garantirne la coerenza e la trasparenza a livello di Gruppo;
- la verifica dell'adeguatezza dei sistemi di misurazione dei rischi adottati nell'ambito del Gruppo;
- la quantificazione dell'impatto delle variazioni del ciclo economico o degli eventi eccezionali sulla struttura finanziaria del Gruppo;
- la creazione di una cultura del rischio estesa a tutto il Gruppo.
Attraverso un collaudato processo di governace del rischio, il GRM gestisce attivamente l'esposizione del Gruppo ai rischi nelle seguenti aree:
- Rischio di credito
- Rischio di mercato
- Rischio di liquidità
- Rischio operativo e reputazionale
La funzione Compliance opera come funzione di controllo di secondo livello con l'obiettivo di prevenire e gestire il rischio di non-conformità alle norme e di conflitti di interesse per preservare il buon nome della Banca, la fiducia del pubblico e contribuire alla sostenibilità (creazione e consolidamento di valore aziendale), attraverso:
- l'indirizzo (policy e pareri)
- il supporto e il monitoraggio (mappatura del rischio di Compliance, valutazione preventiva su tutte le attività di Compliance del Gruppo.
Responsabilità
La funzione Compliance ha responsabilità sulle materie che hanno un rilevante impatto sul cliente esterno e che presentano un alto rischio reputazionale.
Le sue aree di competenza coprono le normative tipiche di:
- Banking Services (es. Antiriciclaggio, Trasparenza, Privacy)
- Financial Services (es. Market Abuse, strumenti e prodotti finanziari emessi da Banche)
Nel dettaglio la funzione Compliance:
- interpreta le norme ed emana policy e linee guida a livello di Gruppo
- fornisce input per la definizione o adeguamenti ai processi
- valuta preventivamente la conformità di processi, prodotti, strutture, contratti
- fornisce supporto e consulenza, attraverso la predisposizione di pareri
- fornisce supporto alla formazione
- gestisce i Conflitti di Interesse
- verifica "nel continuo" che i processi sui servizi d'investimento siano adeguati e efficaci
- identifica le aree caratterizzate dai maggiori rischi di Compliance, al fini della programmazione annuale degli interventi di Compliance
- relaziona periodicamente agli Organi di vertice della Banca e agli Organi di Vigilanza sulle rispettive materie di competenza.
In UniCredit l'Internal Audit ha l'obiettivo di contribuire alla tutela del patrimonio e della stabilità aziendale e di fornire una "ragionevole garanzia" che l'organizzazione possa conseguire in modo efficiente i propri obiettivi, attraverso:
- il controllo della regolarità dell'operatività e della conformità della stessa alle leggi e regolamenti
- la valutazione dell'efficacia e dell'efficienza dei processi operativi
- il supporto alle Divisioni e alle Società del Gruppo nell'ottenimento di una chiara visione dell'esposizione e della valutazione dei rischi a livello di Divisione e dell'implementazione delle linee guida sui controlli interni a livello delle singole Entità
- la valutazione della corretta funzionalità del complessivo Sistema dei Controlli Interni (controlli di linea, o operativi, e i controlli sulla gestione dei rischi).
L' Internal Audit Department di UniCredit verifica la rispondenza dei comportamenti delle società appartenenti al Gruppo agli indirizzi della Capogruppo, l'efficacia dei sistemi dei controlli interni e definisce gli indirizzi, coordina e controlla le attività di revisione interna svolta dalle funzioni di Internal Audit nel Gruppo. In tal senso, l'Internal Audit Department svolge funzione di controllo di terzo e quarto livello.
Ogni entità del Gruppo ha istituito una funzione di Internal Audit responsabile dei controlli di terzo livello.
L'Internal Audit Department della Capogruppo, le strutture locali di Internal Audit, anche quando le Legal Entities operano in funzione di subholding, sono parte della competence line di Internal Audit. La responsabile della competence line coincide con la responsabilità dell'Internal Audit Department.
Mandato di Audit di Gruppo
Il Mandato di Audit di Gruppo definisce la mission, le responsabilità, l'indipendenza, i compiti e l'autorità dell'Internal Audit nel Gruppo UniCredit.
Ruolo dell'Organismo di vigilanza
ai sensi del decreto legislativo 231/2001
Il decreto legislativo 231/01 prevede l'istituzione di un Organismo di Vigilanza interno all'Ente (di seguito anche OdV), dotato di autonomi poteri di iniziativa e di controllo, cui è assegnato specificamente il compito di vigilare sul funzionamento e l'osservanza del modello di organizzazione e di gestione e di curarne il relativo aggiornamento.
Le funzioni dell'OdV di UniCredit S.p.A., ai sensi del D.Lgs. 8 giugno 2001, n. 231, sono state attribuite al Collegio Sindacale.
Modello di organizzazione e gestione ai sensi del D.Lgs 231/2001
Il decreto legislativo n. 231, dell'8 giugno 2001, disciplina la responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica (enti). Tale forma di responsabilità presenta forti analogie con quella penale poiché è autonoma rispetto alla persona fisica che ha commesso il reato (l'ente potrà essere dichiarato responsabile anche se la persona fisica che ha commesso il reato non è perseguibile ovvero non è stata individuata).
L'ente può incorrere in tale responsabilità qualora:
a) un soggetto che riveste posizione apicale al suo interno, ovvero un sottoposto, abbia commesso uno dei reati previsti dalla parte speciale del Decreto;
b) il reato sia stato commesso nell'interesse o a vantaggio dell'ente stesso e sia espressione della politica aziendale o quantomeno derivi da una colpa da organizzazione.
L'ente può essere esonerato dalla responsabilità se dimostra di aver adottato ed efficacemente attuato modelli di organizzazione e di gestione idonei a prevenire la commissione degli illeciti previsti dal decreto.
In tale contesto UniCredit Spa ha adottato un proprio Modello di Organizzazione e Gestione che descrive la metodologia adottata per il presidio dei rischi ex D.Lgs 231/2001, la composizione e il ruolo dell'Organismo di Vigilanza e il sistema disciplinare interno.
Il "Codice Etico ai sensi del D.Lgs. 231/2001" costituisce parte integrante del Modello di Organizzazione e Gestione e contiene le regole volte a garantire che i comportamenti dei soggetti destinatari siano sempre ispirati a criteri di correttezza, collaborazione, lealtà, trasparenza e reciproco rispetto, nonché ad evitare che vengano poste in essere condotte idonee ad integrare le fattispecie di reato e illeciti amministrativi inclusi nell'elenco del D.Lgs. 231/01.
Documenti correlati
Ruolo della Società di Revisione
La società di Revisione deve essere iscritta in un apposito Albo tenuto dalla Consob e, nel corso dell'esercizio, ha il compito di verificare:
- la regolare tenuta della contabilità sociale e la corretta rilevazione dei fatti di gestione nelle scritture contabili;
- che il Bilancio d'esercizio e il Bilancio consolidato rappresentino in modo veritiero e corretto la situazione patrimoniale e finanziaria e il risultato economico dell'esercizio e che siano conformi alle norme che li disciplinano.
Inoltre, su raccomandazione di Consob, svolge la revisione contabile limitata della relazione semestrale individuale e consolidata.
Gli incarichi citati, sono stati conferiti nel corso dell'Assemblea ordinaria di UniCredit dell' 11 maggio 2012, su proposta motivata del Collegio Sindacale, per gli esercizi 2013-2021, ai sensi del D.Lgs. 39/2010 che ha stabilito la durata dell'incarico in 9 anni non rinnovabili.
La società di revisione attualmente incaricata da UniCredit è Deloitte & Touche S.p.A.:
Via Tortona, 25
20144 Milano
Tel. 02 83322111
www.deloitte.it
Le relazioni della società di revisione sono consultabili insieme ai bilanci annuali (bilancio d'esercizio e consolidato) nonché alla relazione semestrale individuale e consolidata.
La tabella con i corrispettivi di competenza dell'esercizio 2014 per i servizi di revisione resi dalla società di revisione Deloitte & Touche SpA e da entità appartenenti alla sua rete potrete trovarli nel documento "Relazioni e Bilancio Consolidato" a pag. 552.