Banca Ifis | Dichiarazione non finanziaria consolidata 2021



           Il sistema dei controlli interni e gestione dei rischi

           Il sistema dei controlli interni del Gruppo Banca Ifis è costituito dalle regole, dalle procedure e dalle strutture organizzative
           che mirano ad assicurare, tra gli altri, il rispetto delle strategie aziendali, l’efficacia ed efficienza dei processi e la conformità
           delle operazioni con la legge, la normativa di vigilanza, le politiche, le procedure e i codici di condotta adottati dal Gruppo.
           Tutte le attività aziendali sono oggetto di controlli da parte delle stesse funzioni o Aree di business, owner dei diversi
           processi e attività (controlli di linea o di primo livello) di controlli da parte delle funzioni preposte di secondo livello (Risk
           Management, Compliance e Antiriciclaggio) e di terzo livello (Internal Audit).

                                                                                                      [GRI 102-11]
           Il  Risk  Management  identifica  i  rischi  ai  quali  la  Capogruppo  e  le  società  del  Gruppo  sono  esposte  e  provvede  alla
           misurazione e al monitoraggio periodico degli stessi attraverso specifici indicatori di rischio, pianificando le eventuali
           azioni di mitigazione per i rischi rilevanti. L’obiettivo è garantire una visione olistica e integrata dei rischi cui il Gruppo è
           esposto, assicurando un’adeguata informativa agli organi di governo. Le attività del Risk Management sono oggetto di
           periodica rendicontazione agli organi aziendali tramite il Tableau de  Bord, e, ove previsto, anche  a Banca d’Italia e  a
           Consob.

           La struttura complessiva di governo e gestione dei rischi a livello di Gruppo è disciplinata nel Risk Appetite Framework e
           nei documenti che ne discendono, tenuti costantemente aggiornati in base alle evoluzioni del quadro strategico del Gruppo
           stesso. Con riferimento alle evoluzioni societarie del Gruppo si segnala che viene prontamente avviato un percorso di
           allineamento ed integrazione delle metodologie di governo e gestione dei rischi, nel rispetto delle specificità dei singoli
           business.

           In particolare, il Gruppo ha definito una Tassonomia dei Rischi all'interno della quale sono descritte le logiche seguite
           nell’identificazione dei rischi attuali e/o potenziali a cui il Gruppo potrebbe essere esposto nel conseguire i propri obiettivi
           strategici e, per ciascuna tipologia, gli strumenti di prevenzione e mitigazione previsti.

           La Capogruppo effettua una prima identificazione dei rischi partendo dalla lista di rischi minimi identificati dalla normativa
           di vigilanza e  ampliandola con ulteriori rischi significativi emersi  dall’analisi  del modello di business e dei mercati  di
           riferimento in cui operano le diverse società del Gruppo, delle prospettive strategiche, delle modalità operative e delle
           caratteristiche degli impieghi e delle fonti di finanziamento.

           L'individuazione dei rischi e l'aggiornamento periodico della Tassonomia dei Rischi sono frutto di un lavoro congiunto delle
           funzioni di Controllo di secondo livello (Risk Management, Compliance, Antiriciclaggio) e di terzo livello (Internal Audit),
           che  annualmente  si  riuniscono  ed  esaminano,  sulla  base  dei  risultati  della  gestione  dei  rischi  dell'anno  precedente,
           l'eventuale introduzione di nuovi eventi di rischio e/o una variazione nella valutazione dei rischi potenziali. L'Organismo di
           Vigilanza ha il compito di identificare e monitorare adeguatamente i rischi di cui al D. Lgs. 231/2001 assunti o assumibili
           rispetto ai reali processi aziendali, tenendo costantemente aggiornata la mappatura delle aree di rischio e dei “processi
           sensibili”.


           Il Comitato Controllo e Rischi, composto da membri del Consiglio di Amministrazione scelti tra gli Amministratori non
           esecutivi,  la  maggioranza  dei  quali  indipendenti,  ha  il  compito  di  supportare,  con  un’adeguata  attività  istruttoria,  le
           valutazioni e le decisioni del Consiglio di Amministrazione relative al sistema di controllo interno e di gestione dei rischi.

           Le attività di controllo effettuate dalla funzione Compliance (controlli continuativi e verifiche), individuate sulla base della
           pianificazione  approvata  dal  Consiglio  di  Amministrazione,  mirano  a  verificare  l'efficacia  delle  misure  organizzative
           richieste, proposte e attuate ai fini della gestione del rischio di non conformità, pertanto, si applicano a tutti gli ambiti in
           cui sussiste tale rischio. Gli esiti dei controlli sono formalizzati in relazioni che vengono condivise con le strutture aziendali
           competenti, alle quali è richiesto di fornire riscontro sulle azioni di rimedio individuate e sulla tempistica di realizzazione.
           Tali  adempimenti  sono  soggetti  al  monitoraggio  della  funzione  e  alla  rendicontazione  periodica  agli  organi  aziendali
           tramite il Tableau de Bord e, ove previsto, anche a Banca d’Italia e a Consob.

           Riguardo alle normative per cui sono già previsti presidi specializzati (es: sicurezza sul lavoro o trattamento dei dati
           personali),  i  compiti  della  funzione  Compliance  possono  essere  graduati  stabilendo,  ad  esempio,  un  coordinamento


           16