ORGANISATIONS-, VERWALTUNGS- UND KONTROLLMODELL

ORGANISATIONS-, VERWALTUNGS- UND KONTROLLMODELL gemäß gesetzesvertretendem Dekret Nr. 231 vm 8. Juni 2001 vm Verwaltungsrat am 27. Januar 2014 gebilligt

INHALTSVERZEICHNIS Kapitel 1 Rechtlicher Kntext... 7 1.1 Die Regelung der administrativen Verantwrtlichkeit juristischer Persnen, Gesellschaften und Verbände gemäß gesetzesvertretendem Dekret Nr. 231/2001 7 1.2 Die Annahme vn Organisatins-, Verwaltungs- und Kntrllmdellen zum Ausschluss der administrativen Verantwrtlichkeit der Einrichtung 8 Kapitel 2 - Das Organisatins-, Verwaltungs- und Kntrllmdell der Bank für Trient und Bzen... 10 2.1 Die bestehenden Unternehmensinstrumente als Grundvraussetzungen des Mdells 10 2.1.1 Der Ethikcde und der interne Verhaltenskdex der Gruppe... 11 2.1.2 Die wesentlichen Merkmale des Systems der internen Kntrllen... 12 2.1.3 Das System der Befugnisse und der Vllmachten... 14 2.2 Mit der Annahme des Mdells verflgte Zielsetzungen 15 2.3 Die wesentlichen Elemente des Mdells 16 2.4 Aufbau des Mdells 17 2.5 Die Empfänger des Mdells 20 2.6. Annahme, effiziente Umsetzung und Änderung des Mdells - Rllen und Verantwrtlichkeiten 20 2.7. Ausgelagerte Tätigkeiten 25 2.8 Die Rlle der Muttergesellschaft 27 2.8.1 Weisungsgrundsätze der Gruppe im Bereich der administrativen Verantwrtlichkeit der Einrichtungen... 27 Kapitel 3 - Das Aufsichtsrgan... 31 3.1 Bestimmung des Aufsichtsrgans 31 3.2. Zusammensetzung, Funktinsweise und Vergütung des Aufsichtsrgans 32 3.3. Anfrderungen an die Wählbarkeit, Gründe des Ausschlusses und der Aussetzung 33 3.3.1 Vraussetzungen hinsichtlich der Prfessinalität, Zuverlässigkeit und Unabhängigkeit... 33 3.3.2 Überprüfung der Vraussetzungen... 34 3.3.3 Ausschlussgründe... 34 3.3.4 Aussetzungsgründe... 35 3.4 Vrübergehende Verhinderung eines rdentlichen Mitglieds 36 3.5 Aufgaben des Aufsichtsrgans 37 3.6 Mdalitäten und Frequenz der Meldung an die Gesellschaftsrgane 39 Kapitel 4 - Infrmatinsflüsse an das Aufsichtsrgan... 41 4.1 Infrmatinsflüsse bei Eintreten besnderer Ereignisse 41 4.2. Regelmäßige Infrmatinsflüsse 43 Kapitel 5 - Das System der Sanktinen... 46 Kapitel 6 - Weiterbildung und interne Kmmunikatin... 51 6.1 Interne Kmmunikatin 51 2

6.2 Weiterbildung 52 Kapitel 7 - Die vrgesehenen Zuwiderhandlungen - Bereiche und Tätigkeiten und diesbezügliche Verhaltens- und Kntrllgrundsätze... 55 7.1 Bestimmung der sensiblen Bereiche 55 7.2. Sensibler Bereich in Bezug auf Straftaten gegen die öffentliche Verwaltung 57 7.2.1 Straftatbestand... 57 7.2.2 Sensible Unternehmenstätigkeiten... 64 7.2.2.1 Abschluss vn Vertragsbeziehungen mit der öffentlichen Verwaltung 66 Vrwrt... 66 Beschreibung des Przesses... 67 Kntrllgrundsätze... 67 Verhaltensgrundsätze... 69 7.2.2.2 Verwaltung vn Vertragsbeziehungen mit der öffentlichen Verwaltung 73 Vrwrt... 73 Beschreibung der Przesse... 74 Kntrllgrundsätze... 76 Verhaltensgrundsätze... 78 7.2.2.3 Verwaltung der Tätigkeiten in Bezug auf Genehmigungsanträge der die Erfüllung vn Pflichten gegenüber der öffentlichen Verwaltung 81 Vrwrt... 81 Beschreibung des Przesses... 82 Kntrllgrundsätze... 82 Verhaltensgrundsätze... 84 7.2.2.4 Verwaltung vn Fördermaßnahmen 87 Vrwrt... 87 Beschreibung des Przesses... 88 Kntrllgrundsätze... 88 Verhaltensgrundsätze... 90 7.2.2.5 Verwaltung geförderter Weiterbildungsmaßnahmen 94 Vrwrt... 94 Beschreibung des Przesses... 95 Kntrllgrundsätze... 95 Verhaltensgrundsätze... 97 7.2.2.6 Verwaltung vn Rechtsstreitigkeiten und Vergleichen 100 Vrwrt... 100 Beschreibung des Przesses... 101 Kntrllgrundsätze... 102 Verhaltensgrundsätze... 103 7.2.2.7 Verwaltung der Beziehungen mit den Aufsichtsbehörden 106 Vrwrt... 106 Beschreibung des Przesses... 107 Kntrllgrundsätze... 107 Verhaltensgrundsätze... 109 7.2.2.8 Verwaltung des Einkaufs vn Gütern und Dienstleistungen und Vergabe vn Beratungsaufträgen 111 Vrwrt... 111 Beschreibung des Przesses... 112 Kntrllgrundsätze... 112 Verhaltensgrundsätze... 115 3

7.2.2.9 Verwaltung vn Werbegeschenken, Repräsentatins-, Whltätigkeits- und Spnsringaufwendungen 117 Vrwrt... 117 Beschreibung des Przesses... 118 Kntrllgrundsätze... 119 Verhaltensgrundsätze... 121 7.2.2.10 Verwaltung des Verfahrens der Auswahl und Einstellung vn Mitarbeitern 124 Vrwrt... 124 Beschreibung des Przesses... 125 Kntrllgrundsätze... 125 Verhaltensgrundsätze... 126 7.2.2.11 Verwaltung des Immbilienbestands und der beweglichen Vermögenswerte künstlerischer Natur 129 Vrwrt... 129 Beschreibung des Przesses... 130 Kntrllgrundsätze... 130 Verhaltensgrundsätze... 132 7.3 Sensibler Bereich in Bezug auf Straftaten in den Bereichen Geld- und Wertzeichenfälschung 135 7.3.1 Straftatbestand... 135 7.3.2. Sensible Unternehmenstätigkeiten... 136 7.3.2.1 Verwaltung vn Wertzeichen 138 Vrwrt... 138 Beschreibung des Przesses... 138 Kntrllgrundsätze... 139 Verhaltensgrundsätze... 140 7.4 Sensibler Bereich in Bezug auf Unternehmensverbrechen 143 7.4.1 Straftatbestand... 143 7.4.2 Sensible Unternehmenstätigkeiten... 150 7.4.2.1 Verwaltung der Beziehungen mit dem Aufsichtsrat und mit der Rechnungsprüfungsgesellschaft 152 Vrwrt... 152 Beschreibung des Przesses... 152 Kntrllgrundsätze... 153 Verhaltensgrundsätze... 154 7.4.2.2 Verwaltung der peridischen Mitteilungen 156 Vrwrt... 156 Beschreibung des Przesses... 157 Kntrllgrundsätze... 157 Verhaltensgrundsätze... 160 7.4.2.3. Kauf, Verwaltung und Verkauf vn Beteiligungen 162 Vrwrt... 162 Beschreibung des Przesses... 162 Kntrllgrundsätze... 162 Verhaltensgrundsätze... 164 7.5 Sensibler Bereich in Bezug auf Straftaten, die zu terrristischen Zwecken der gegen den demkratischen Rechtsstaat begangen werden, Straftaten der rganisierten Kriminalität, länderübergreifende Straftaten und Straftaten gegen Persnen 167 7.5.1 Straftatbestand... 167 7.5.2 Sensible Unternehmenstätigkeiten... 175 4

7.6 Sensibler Bereich in Bezug auf Straftatbestände der Hehlerei, Geldwäsche und Verwendung vn Geldern, Gütern der Mitteln unrechtmäßiger Herkunft 177 7.6.1 Straftatbestand... 177 7.6.2 Sensible Unternehmenstätigkeiten... 181 7.6.2.1. Finanzielle Bekämpfung des Terrrismus und Bekämpfung der Geldwäsche der Einnahmen aus kriminellen Handlungen 183 Vrwrt... 183 Beschreibung des Przesses... 183 Kntrllgrundsätze... 185 Verhaltensgrundsätze... 188 7.7 Sensibler Bereich in Bezug auf Straftaten und administrative Zuwiderhandlungen, denen Marktmissbrauch zugrunde liegt 193 7.7.1 Straftatbestand... 193 7.7.2 Sensible Unternehmenstätigkeiten... 196 7.7.2.1 Verwaltung und Verbreitung externer Infrmatinen und Mitteilungen zur Vrbeugung vn Straftaten und administrativer Zuwiderhandlungen in Sachen Marktmissbrauch 197 Vrwrt... 197 Beschreibung des Przesses... 199 Kntrllgrundsätze... 200 Verhaltensgrundsätze... 204 7.7.2.2. Verwaltung der Marktgeschäfte zur Vrbeugung vn Straftaten und administrativer Zuwiderhandlungen in Sachen Marktmissbrauch. 208 Vrwrt... 208 Beschreibung des Przesses... 209 Kntrllgrundsätze... 209 Verhaltensgrundsätze... 211 7.8 Sensibler Bereich in Bezug auf Straftaten in Sachen Gesundheit und Sicherheit am Arbeitsplatz 213 7.8.1 Straftatbestand... 213 7.8.2 Sensible Unternehmenstätigkeiten... 214 7.8.2.1 Risikmanagement in Sachen Gesundheit und Sicherheit am Arbeitsplatz 215 Vrwrt... 215 Beschreibung des Przesses... 217 Kntrllgrundsätze... 219 Verhaltensgrundsätze... 223 7.9 Sensibler Bereich in Bezug auf Cmputerstraftaten 226 7.9.1 Straftatbestand... 226 7.9.2 Sensible Unternehmenstätigkeiten... 233 7.9.2.1 Verwaltung und Verwendung vn EDV-Systemen und des Datenbestandes der Gruppe _ 235 Vrwrt... 235 Beschreibung des Przesses... 236 Kntrllgrundsätze... 237 Verhaltensgrundsätze... 242 7.10 Sensibler Bereich in Bezug auf Straftaten gegen Industrie und Handel und unrechtmäßige Urheberrechtsverletzung 246 7.10.1 Straftatbestände... 246 7.10.2 Sensible Unternehmenstätigkeiten... 254 7.9 Sensibler Bereich bezüglich Umweltdelikten 256 7.11.1 Straftatbestände... 256 7.11.2 Sensible Unternehmenstätigkeiten... 259 5

7.11.2.1 Risikmanagement in Sachen Umwelt 261 Vrwrt... 261 Beschreibung des Przesses... 261 Kntrllgrundsätze... 262 Verhaltensgrundsätze... 264 6

Kapitel 1 Rechtlicher Kntext 1.1 Die Regelung der administrativen Verantwrtlichkeit juristischer Persnen, Gesellschaften und Verbände gemäß gesetzesvertretendem Dekret Nr. 231/2001 In Ausübung der Gesetzgebungsermächtigung, die in Artikel 11 des Gesetzes Nr. 300 vm 29. September 2000 enthalten ist, wurde am 8. Juni 2001 das gesetzesvertretende Dekret Nr. 231 (nachstehend das Dekret der auch Dekret Nr. 231/2001 genannt) angenmmen, mit dem der Gesetzgeber das natinale Recht an die internatinalen Übereinkmmen im Bereich der Verantwrtlichkeit juristischer Persnen angepasst hat. Es handelt sich hierbei insbesndere um das Übereinkmmen vn Brüssel vm 26. Juli 1995 über den Schutz der finanziellen Interessen der Eurpäischen Gemeinschaften, das am 26. Mai 1997 in Brüssel unterzeichnete Übereinkmmen zur Bekämpfung der Bestechung, an der Beamte der Eurpäischen Gemeinschaften der der Mitgliedstaaten der Eurpäischen Unin beteiligt sind und das Übereinkmmen der OECD vm 17. Dezember 1997 über die Bekämpfung der Bestechung ausländischer Amtsträger im internatinalen Geschäftsverkehr. Mit dem Dekret zur Regelung der administrativen Verantwrtlichkeit juristischer Persnen, Gesellschaften und Verbände mit der hne Rechtspersönlichkeit wurden in die italienische Rechtsrdnung Bestimmungen zur Regelung der administrativen Verantwrtlichkeit vn Einrichtungen (d.h. Gesellschaften, Verbände, Knsrtien usw., nachstehend Einrichtungen genannt) aufgenmmen in Bezug auf die darin aufgeführten Straftaten, die im Interesse der zum Vrteil dieser Einrichtungen begangen werden: (i) vn natürlichen Persnen mit Vertretungs-, Verwaltungs- der Geschäftsführungsfunktinen innerhalb der Einrichtungen selbst der finanziell und funktinell unabhängigen Organisatinseinheiten swie vn natürlichen Persnen, die auch de fact die Leitung und die Kntrlle über diese Einrichtungen ausüben bzw. (ii) vn natürlichen Persnen, die der Weisung der Aufsicht durch eine der ben genannten Persnen unterliegen. Die Liste der gegenständlichen Zuwiderhandlungen wurde in jüngster Zeit durch die Aufnahme einiger Straftatbestände administrativer Zuwiderhandlungen erweitert. Die Verantwrtlichkeit der Einrichtung wird zusätzlich zu derjenigen der natürlichen Persn vrgesehen, die die Zuwiderhandlung effektiv begangen hat und besteht unabhängig vn dieser. Sie besteht auch, wenn der Täter nicht ermittelt wurde der nicht schuldfähig ist bzw. wenn die Straftat aus einem anderen Grund als der Amnestie nichtig wird. 7

Die administrative Verantwrtlichkeit im Rahmen des Dekretes betrifft - zur Unterbindung der darin explizit vrgesehenen Zuwiderhandlungen - diejenigen Einrichtungen, die aus dem Begehen der Straftat (der der administrativen Zuwiderhandlung) Vrteil gezgen haben bzw. in deren Interesse diese begangen wurde. Gegen die Einrichtungen können Geldstrafen und Verbte verhängt werden. Ferner können Beschlagnahmungen vrgenmmen werden, gegen sie ergehende Urteile können veröffentlicht werden und sie können unter Snderverwaltung gestellt werden. Weiterhin sind Maßnahmen vrgesehen, die für die Einrichtung schwerwiegendere Knsequenzen als die Verhängung vn Geldstrafen haben können: Diese bestehen in der Aussetzung der dem Widerruf vn Lizenzen und Knzessinen, im Verbt, Verträge mit der öffentlichen Verwaltung abzuschließen, im Verbt der Ausübung der Geschäftstätigkeit, im Ausschluss der dem Widerruf vn Finanzierungen und Finanzbeiträgen, im Verbt, für Waren und Dienstleistungen Werbung zu betreiben. Die ben genannte Verantwrtlichkeit besteht auch in Zusammenhang mit im Ausland begangenen Straftaten, sfern zu deren Unterbindung nicht der Staat eingreift, an dem diese begangen wurden der die Einrichtung ihren Hauptsitz auf italienischem Staatsgebiet hat. 1.2 Die Annahme vn Organisatins-, Verwaltungs- und Kntrllmdellen zum Ausschluss der administrativen Verantwrtlichkeit der Einrichtung Im Zuge der Einführung der administrativen Verantwrtlichkeit der Einrichtungen wurde in Artikel 6 des Dekrets vrgesehen, dass die Einrichtung dann nicht haftet, wenn sie nachweist, dass sie vr Begehen der Straftat Organisatins- und Verwaltungsmdelle eingeführt hat, die dazu geeignet sind, das Begehen der vm Dekret vrgesehenen Straftaten zu vermeiden. Dieselbe Bestimmung sieht ferner die Einrichtung eines Kntrllrgans innerhalb der Einrichtung vr, dessen Aufgabe es ist, über die Funktinsweise, die Wirksamkeit und die Einhaltung der genannten Mdelle zu wachen swie für deren Aktualisierung zu srgen. Das Organisatins-, Verwaltungs- und Kntrllmdell (nachstehend das Mdell genannt) muss: die einzelnen Tätigkeiten bestimmen, im Rahmen derer die vm Dekret vrgesehenen Straftaten begangen werden können; spezifische Prtklle vrsehen, die die Entscheidungsfindung und die Umsetzung vn Entscheidungen der Einrichtung im Zusammenhang mit den vrzubeugenden Straftaten regeln; Mdalitäten für die Verwaltung der finanziellen Ressurcen vrsehen, die geeignet sind, derartigen Straftaten vrzubeugen; 8

Infrmatinspflichten gegenüber dem Organ festlegen, welches die Funktinsweise und Einhaltung des Mdells überwacht; ein disziplinarrechtliches System einführen, welches die Nichteinhaltung der vm Mdell vrgesehenen Maßnahmen ahndet. Sfern die Straftat hingegen vn Persnen begangen wird, die Funktinen der rechtlichen Vertretung, Verwaltung der Leitung der Gesellschaft der einer finanziell und funktinell eigenständigen Organisatinseinheit innehaben der die, auch de fact, die Geschäftsführung und die Kntrlle über diese ausüben, haftet die Einrichtung nicht, sfern sie den Nachweis dafür erbringen kann, dass: (i) das Geschäftsführungsrgan vr dem Begehen der Straftat ein Organisatinsmdell genehmigt und eingeführt hat, welches dazu geeignet ist, das Begehen der Art vn Straftaten zu vermeiden, die begangen wurde; (ii) die Aufgabe, über Effektivität und Einhaltung des Mdells zu wachen und für dessen Anpassung Srge zu tragen, einem internen Organ der Einrichtung übertragen wurde, welches über autnme Initiativ- und Kntrllbefugnisse verfügt; (iii) die Persnen die Straftat begangen haben, indem sie in betrügerischer Absicht das Mdell umgangen haben; (iv) das Kntrllrgan seine Tätigkeit im Hinblick auf das Mdell nicht unterlassen der nicht in unzureichender Weise ausgeübt hat. Wenn die Straftat hingegen vn Persnen begangen wird, die unter Führung der Aufsicht der ben genannten Persnen stehen, s ist die Einrichtung verantwrtlich, wenn das Begehen der Straftat durch Verletzung der Führungs- der Aufsichtspflicht ermöglicht wurde. Diese Verletzung ist in jedem Fall ausgeschlssen, wenn die Einrichtung vr Begehen der Straftat ein geeignetes Organisatinsmdell eingeführt und effektiv umgesetzt hat, das geeignet ist, Straftaten der Art der begangenen Straftat zu vermeiden ausgehend vn einer ntwendigerweise vrab durchgeführten Bewertung. Artikel 6 des Dekrets sieht abschließend auch vr, dass das Organisatins- und Verwaltungsmdell auf der Grundlage der Verhaltenskdexe ausgearbeitet werden kann, die vn Wirtschaftsverbänden ausgearbeitet wurden und dem Justizministerium mitgeteilt wurden. Es wird darauf hingewiesen, dass das Mdell der Bank für Trient und Bzen (nachstehend die Bank genannt) ausgehend vn den Grundsätzen und Inhalten des Mdells der Muttergesellschaft Intesa Sanpal S.p.A. und der vm Justizministerium angenmmenen Leitlinien des Bankenverbands ABI ausgearbeitet und aktualisiert wurde unter Berücksichtigung der Besnderheiten der Geschäftstätigkeit der Bank und ihrer Organisatinsstruktur. 9

Kapitel 2 - Das Organisatins-, Verwaltungs- und Kntrllmdell der Bank für Trient und Bzen 2.1 Die bestehenden Unternehmensinstrumente als Grundvraussetzungen des Mdells Bei der Ausarbeitung des vrliegenden Mdells wurden insbesndere die geltenden Gesetzesbestimmungen und die bei der Bank für Trient und Bzen bestehenden und bereits angewandten Kntrllverfahren und -systeme berücksichtigt, da diese als Maßnahmen zur Vermeidung vn Straftaten und unrechtmäßigen Handlungen generell, einschließlich denjenigen, die vm gesetzesvertretenden Dekret Nr. 231/2001 vrgesehen sind, geeignet sind. Die Bank für Trient und Bzen ist swhl rganisatrisch als auch perativ eine kmplexe Struktur. Die Organe der Bank für Trient und Bzen haben der Definitin der Organisatinsstrukturen und der perativen Verfahren stets größte Aufmerksamkeit geschenkt unter Einhaltung der Leitlinien der Muttergesellschaft, um s swhl Effizienz, Wirksamkeit und Transparenz bei der Verwaltung der Geschäftstätigkeit sicherzustellen als auch um etwaigen Funktinsstörungen, Missständen und Unregelmäßigkeiten vrzubeugen (wzu auch unrechtmäßige der nicht den Vrgaben der Bank entsprechende Verhaltensweisen zählen). Der rganisatrische Rahmen der Bank für Trient und Bzen besteht aus einer Vielzahl vn Regeln, Strukturen und Verfahren, die das Funktinieren der Bank gewährleisten. Es handelt sich hierbei flglich um ein kmplexes System, das intern definiert und geprüft wird, was auch zur Einhaltung der Gesetzesvrgaben geschieht, denen die Bank für Trient und Bzen in ihrer Eigenschaft swhl als Bank als auch als Gesellschaft der Bankengruppe Sanpal unterliegt (Test Unic Bancari [Bankgesetz], Istruzini di Vigilanza Banca d'italia [Aufsichtsrechtliche Anweisungen der Banca d Italia], Test Unic dell'intermediazine finanziaria [Einheitstext der Finanzvermittlung] und diesbezügliche Umsetzungsverrdnungen). In ihrer Eigenschaft als Bank unterliegt sie der Aufsicht der Banca d'italia und der Cnsb, jeweils ausgehend vn deren Zuständigkeitsbereichen, welche - wie gesetzlich vrgesehen - Prüfungen und Kntrllen der Tätigkeit der Bank und vn Aspekten im Zusammenhang mit ihrer Organisatinsstruktur durchführen. Als Mitglied der Bankengruppe Intesa Sanpal unterliegt die Bank außerdem der Anleitung, Aufsicht und Unterstützung seitens der Muttergesellschaft und ist gehalten, die vn dieser im Rahmen ihrer Aufsichtstätigkeit über die Tchtergesellschaften erteilten Anweisungen zu beflgen. 10

Es ist flglich ffensichtlich, dass dieser Grundbestand an Sndervrschriften swie die kntinuierlich ausgeübte Aufsicht durch die vrgesetzten Behörden ein wertvlles Instrument zur Vrbeugung unrechtmäßiger Verhaltensweisen generell darstellen, einschließlich derjenigen, die vn den Sndervrschriften vrgesehen sind, die die administrative Verantwrtlichkeit der Einrichtungen vrsieht. Als spezifische bereits bestehende Instrumente zur Beeinflussung und Umsetzung der Unternehmensentscheidungen und zur Durchführung vn Kntrllen bezüglich der Geschäftstätigkeit, auch in Bezug auf vrzubeugende Straftaten und Zuwiderhandlungen, hat die Bank flgende Instrumente definiert und angenmmen: die Regeln des Crprate Gvernance, die in Umsetzung der betreffenden gesellschaftsrechtlichen Bestimmungen und Verrdnungen und der vn der Muttergesellschaft herausgegebenen Richtlinien angenmmen wurden; die internen Satzungen und Unternehmensrichtlinien; den Ethikcde und den internen Verhaltenskdex der Gruppe; das System der internen Kntrllen; das System der Befugnisse und der Vllmachten. Die Regeln, Verfahren und Grundsätze der ben aufgeführten Instrumente werden im vrliegenden Mdell nicht einzeln aufgeführt, sind jedch Teil des weitergehenden Organisatins-, Verwaltungs- und Kntrllsystems, das durch das Mdell ergänzt werden sll und zu deren Einhaltung alle internen und externen vm Mdell Betrffenen verpflichtet sind unter Berücksichtigung der jeweils bestehenden Art vn Beziehung zur Bank. In den nachflgenden Absätzen werden ausschließlich die Grundprinzipien des Ethikcdes und des internen Verhaltenskdex der Gruppe swie das interne Kntrllsystem und das System der Befugnisse und Vllmachten erläutert. 2.1.1 Der Ethikcde und der interne Verhaltenskdex der Gruppe Die Bedeutung, welche den ethischen Grundsätzen und den auf Knsequenz und Integrität ausgerichteten khärenten Verhaltensweisen beigemessen wird, wird durch die Übernahme des Ethikcdes und des internen Verhaltenskdex der Gruppe, die vn Intesa Sanpal S.p.A. angenmmen wurden, bestätigt. Der Ethikcde stellt eine Art Grundgesetz der Gruppe Intesa Sanpal dar, die mit diesem Instrument die Grundzüge der eigenen Unternehmenskultur darlegt und damit die Grundwerte definiert, aus denen knkrete Verhaltensweisen intern wie extern abgeleitet werden können 11

(d.h. gegenüber den sgenannten Stakehlders ), die direkt der indirekt eine Beziehung mit der Bank unterhalten: Dazu zählen in erster Linie Kunden, Aktinäre und Mitarbeiter, aber auch Lieferanten, Geschäftspartner swie die Gemeinschaft, das Territrium und die Umwelt, in welcher die Gruppe tätig ist. Der Verhaltenskdex der Gruppe, der für alle Gesellschaften der Gruppe gilt, besteht aus einer Menge vn bewusst prägnant gehaltenen Regeln allgemeiner Natur, welche die wesentlichen Verhaltensnrmen der Unternehmensvertreter, Angestellten und externen Mitarbeiter definieren, die im Rahmen der Ausübung ihrer Funktinen gehalten sind, ihre Tätigkeit prfessinell, srgfältig, ehrlich und krrekt auszuführen. Er besteht jedch auch aus spezifischeren Regeln, die beispielsweise bestimmte persönliche Transaktinen untersagen. 2.1.2 Die wesentlichen Merkmale des Systems der internen Kntrllen Zur Gewährleistung einer gesunden und umsichtigen Geschäftsführung verknüpft die Bank für Trient und Bzen die Rentabilität des Unternehmens mit einer umsichtigen Übernahme vn Risiken und einer auf Kriterien der Krrektheit ausgerichteten Vrgehensweise. Aus diesem Grund hat die Bank - in Übereinstimmung mit den gesetzlichen und aufsichtsrechtlichen Bestimmungen und unter Berücksichtigung der Vrgaben der Muttergesellschaft - ein internes Kntrllsystem eingeführt, das in der Lage ist, die typischen Risiken der Geschäftstätigkeit zu erfassen, zu messen und zu prüfen. Das System der internen Kntrllen der Bank für Trient und Bzen besteht aus einer Reihe vn Regeln, Verfahren und Organisatinsstrukturen, die auf die Einhaltung der Unternehmensstrategien und die Erreichung flgender Zielsetzungen abzielen: Effizienz und Wirksamkeit der Unternehmensabläufe; Sicherung des Werts der Aktiva und Schutz vr Verlusten; Verlässlichkeit und Vllständigkeit der Buchhaltungs- und Verwaltungsinfrmatinen; Vereinbarkeit der Vrgänge mit den gesetzlichen und aufsichtsrechtlichen Bestimmungen swie mit den internen Richtlinien, Plänen, Verrdnungen und Verfahren. Das System der internen Kntrllen besteht aus einer Dkumenteninfrastruktur (d.h. einem Regelungswerk), die es erlaubt, die Richtlinien, Verfahren, Organisatinsstrukturen, Risiken und Kntrllen im Unternehmen swie die Unternehmensvrgaben und die Anweisungen der Aufsichtsrgane swie die Gesetzesvrschriften auf ganzheitliche und kdifizierte Weise nachvllziehen zu können, wzu auch die Prinzipien gemäß gesetzesvertretendem Dekret Nr. 231/2001 zählen. 12

Das Regelungswerk besteht aus den Crprate Gvernance -Dkumenten, die nach und nach angenmmen wurden und die Funktinsweise der Bank regeln (Satzung, Ethikcde, interner Verhaltenskdex der Gruppe, Satzung der Gruppe, Satzungen der Ausschüsse, Vrschriften zu Transaktinen mit verbundenen Parteien, Kmpetenzen und Befugnisse, Plicy, Leitlinien, Funktinsbeschreibungen der Organisatinsstrukturen, Organisatinsmdelle usw.) swie aus stärker perativen Nrmen, die die Unternehmensprzesse, die einzelnen Aktivitäten und die diesbezüglichen Kntrllen regeln (Dienstanweisungen, Dienstaufträge, Rundschreiben, Operative Anleitungen, Handbücher usw.). Die unternehmensinternen Regeln sehen rganisatrische Lösungen vr, die: eine ausreichende Trennung der perativen Funktinen vn den Kntrllfunktinen vrsehen und Interessenknflikte bei der Zuweisung vn Kmpetenzen vermeiden; in der Lage sind, die in den verschiedenen Geschäftssegmenten eingegangenen wesentlichen Risiken angemessen zu bestimmen, zu messen und zu überwachen; es erlauben, jeden Verwaltungsvrgang und insbesndere jede Transaktin angemessen detailliert zu registrieren, wbei auch eine krrekte zeitliche Zuweisung sichergestellt wird; verlässliche EDV-Systeme und angemessene Berichterstattungsverfahren auf den verschiedenen Verwaltungsebenen mit Kntrllfunktinen gewährleisten; gewährleisten, dass die vn den perativen Abteilungen, der Funktin Innenrevisin der anderen für die Kntrllen zuständigen Mitarbeitern festgestellten Unregelmäßigkeiten umgehend den jeweils zuständigen Ebenen des Unternehmens mitgeteilt werden und unverzüglich behandelt werden. Außerdem sehen die rganisatrischen Lösungen des Unternehmens Kntrllaktivitäten auf jeder perativen Ebene vr, die es erlauben, die Verantwrtlichkeit eindeutig und frmell zu bestimmen, insbesndere im Hinblick auf die Kntrllaufgaben und die Krrektur etwaig festgestellter Unregelmäßigkeiten. Die Bank hat - in Übereinstimmung mit den Vrgaben der Aufsichtsrgane - die flgenden vier Makrkntrllbereiche identifiziert: Kntrllen der perativen Ebene, die darauf abzielen die krrekte Durchführung der täglichen Geschäftsvrgänge und der einzelnen Transaktinen sicherzustellen. In der Regel werden diese Kntrllen vn den perativen (Business der Supprt) Strukturen durchgeführt der sind Teil der IT-Verfahren, d.h. werden im Bereich der Back-Office- Tätigkeiten durchgeführt; Kntrllen des Risikmanagements, die das Ziel verflgen, zur Definitin der Methden zur Messung des Risiks beizutragen, die Einhaltung der Beschränkungen der verschiedenen perativen Funktinen zu prüfen und die Khärenz der Geschäftstätigkeit 13

der einzelnen perativen Strukturen ausgehend vn den zugewiesenen Risik- /Ertragszielsetzungen zu kntrllieren. Für diese Kntrllen sind generell andere Einheiten als die perativen Einheiten zuständig. Cmpliance-Kntrllen, bestehend aus Richtlinien und Verfahren, die in der Lage sind, das Risik im Zusammenhang mit der Nichteinhaltung vn Gesetzen, Maßnahmen der Aufsichtsbehörden und unternehmensinternen Regeln swie allen anderen auf die Bank anwendbaren Nrmen zu identifizieren, zu bewerten, zu kntrllieren und anzugehen; Innenrevisin, die darauf abzielt, Unregelmäßigkeiten und Verletzungen der Verfahren und Bestimmungen zu identifizieren und die Funktinsfähigkeit des Systems der internen Kntrllen insgesamt zu bewerten. Sie wird vn Einheiten durchgeführt, die nicht zu den perativen Strukturen zählen und vn diesen unabhängig sind. Das System der internen Kntrllen wird - ausgehend vn der Geschäftstätigkeit des Unternehmens und vm Bezugskntext - regelmäßig analysiert und angepasst. Das System der internen Kntrllen basiert insbesndere auf den Instrumenten und den Vrgehensweisen, die bei Intesa Sanpal S.p.A. bestehen; davn ausgenmmen sind die Kntrllen der perativen Ebene und die hierarchischen Kntrllen. Die Aktivitäten sind insgesamt auf die Kntrllfunktinen der Muttergesellschaft ausgerichtet, wbei selbstverständlich angemessene Berichterstattungspflichten gegenüber den Verwaltungsrganen und der exekutiven Ebene der Bank vrgesehen sind. Im Wesentlichen sieht das vn der Bank angenmmene System der internen Kntrllen vr, dass die Kntrllen der perativen Ebene vn den Strukturen der Bank für Trient und Bzen durchgeführt werden; die Verwaltung, die Messung und die Kntrlle der Kredit-, Finanz- und Betriebsrisiken wird an die Strukturen der Muttergesellschaft ausgelagert; die Auditkntrllen und die Kntrlle der Einhaltung der Vrschriften werden vn der Muttergesellschaft in ihrer Eigenschaft als slche durchgeführt. Diese Wahl basiert nicht zuletzt auf den Aufsichtsbestimmungen, welche die Möglichkeit vrsehen, dass ausgehend vn Strategien der Bankengruppe die Funktinen Internal Audit und Cmpliance vn einer der Banken der Gruppe selbst ausgeführt werden. 2.1.3 Das System der Befugnisse und der Vllmachten Gemäß Satzung verfügt der Verwaltungsrat über alle Befugnisse für die gewöhnliche und außergewöhnliche Verwaltung der Bank. Er kann dem Generaldirektr und den Verantwrtlichen der Funktinen Vllmachten erteilen, wbei die jeweiligen Befugnisse ausgehend vn den verschiedenen ausgeführten Funktinen definiert werden und etwaige 14

Beschränkungen vrab festgelegt werden swie die Mdalitäten und Beschränkungen für die Ausübung der Untervllmachten bestimmt werden. Die Befugnis zur Erteilung vn Untervllmachten wird im Rahmen eines transparenten Przesses ausgeübt, der stets überwacht wird und vn der Rlle und der Psitin des Unterbevllmächtigten abhängt, wbei stets eine Infrmatinspflicht gegenüber der Funktin besteht, die die Vllmacht erteilt. Ferner sind die Mdalitäten der Zeichnung vn Urkunden, Verträgen, Dkumenten und Krrespndenz swhl extern als auch intern definiert und die diesbezüglichen Befugnisse werden den Mitarbeitern entweder gebündelt der einzeln zugeteilt, je nach (verfügender der infrmativer) Art vn Dkument. Alle Einheiten werden auf der Grundlage spezifischer Vrschriften tätig, die die jeweiligen Kmpetenz- und Verantwrtlichkeitsbereiche definieren; diese Vrschriften werden in der gesamten Bank verteilt. Auch die perativen Verfahren, die die Art und Weise regeln, mit der die verschiedenen Unternehmensabläufe durchgeführt werden, werden innerhalb der Einheit definiert durch Herausgabe vn spezifischen Vrschriften. Flglich sind die wichtigsten Entscheidungsfindungs- und Umsetzungsprzesse bezüglich der Verwaltungsautnmie kdifiziert, überwachbar und vn der gesamten Struktur einsehbar. 2.2 Mit der Annahme des Mdells verflgte Zielsetzungen Obgleich die in den ben stehenden Abschnitten erläuterten Unternehmensinstrumente für sich genmmen bereits dazu geeignet wären, die im Dekret vrgesehenen Straftaten zu vermeiden, hat es die Bank für angemessen erachtet, ein spezifisches Organisatins-, Verwaltungs- und Kntrllinstrument gemäß Dekret anzunehmen, da sie davn überzeugt ist, dass dies nicht nur ein wertvlles Instrument zur Sensibilisierung all derjenigen darstellt, die im Auftrag der Bank handeln, damit diese krrekte und lineare Verhaltensweisen an den Tag legen, sndern auch ein effizientes Mittel zur Vrbeugung vn Straftaten und administrativen Zuwiderhandlungen ist, die vn den einschlägigen Bestimmungen vrgesehen sind. Die Bank verflgt mit der Annahme und der kntinuierlichen Aktualisierung des Mdells flgende Hauptzielsetzungen: gegenüber all denjenigen, die für die Bank in sensiblen Bereichen tätig sind (d.h. Bereiche, in denen vn ihrer Natur her die im Dekret vrgesehenen Straftaten begangen werden können), das Bewusstsein dafür zu stärken, dass sie bei Verletzung der einschlägigen Anweisungen mit disziplinarrechtlichen und/der vertragsrechtlichen Knsequenzen swie 15

mit straf- und verwaltungsrechtlichen Sanktinen zu rechnen haben, die gegen sie verhängt werden können; zu unterstreichen, dass diese Frmen unrechtmäßiger Verhaltensweisen strengstens verurteilt werden, da sie (auch wenn die Bank anscheinend daraus Vrteile schlagen kann) nicht nur gegen die Gesetzesbestimmungen verstßen sndern auch gegen die ethischen Grundsätze, an welche sich die Bank in Übereinstimmung mit der Muttergesellschaft bei Ausübung ihrer Unternehmenstätigkeit zu halten gedenkt; es der Bank zu erlauben, dank der Überwachung risikbehafteter Tätigkeiten, frühzeitig einzugreifen, um dem Begehen vn Straftaten vrzubeugen der diese zu unterbinden und Verhaltensweisen, die gegen dieses Mdell verstßen, zu bestrafen. 2.3 Die wesentlichen Elemente des Mdells Das Mdell der Bank für Trient und Bzen wurde in Übereinstimmung mit dem Willen des Gesetzgebers und unter Berücksichtigung der Leitlinien der ABI und der Kriterien und Leitlinien ausgearbeitet, die vn der Muttergesellschaft zur Ausarbeitung des eigenen Mdells herangezgen wurden. Die wesentlichen Elemente, die bei der Definitin des Mdells herausgearbeitet wurden, können wie flgt zusammengefasst werden: Bestimmung der risikbehafteten Tätigkeitsbereiche bzw. der sensiblen Unternehmensbereiche, in denen Straftaten begangen werden könnten und die der Analyse und Überwachung zu unterziehen sind; Abwicklung der perativen Abläufe zur Gewährleistung: der Trennung der Aufgaben mittels krrekter Verteilung der Verantwrtlichkeiten und der Einführung angemessener Ermächtigungsebenen, um funktinelle Überlagerungen der perative Zurdnungen zu vermeiden, bei denen die kritischen Aktivitäten auf eine einzige Persn knzentriert werden; einer klaren und frmellen Zuteilung der Befugnisse und Verantwrtlichkeiten mit ausdrücklicher Angabe der Ausübungsbeschränkungen und in Übereinstimmung mit den zugeteilten Aufgaben und den Psitinen innerhalb der Organisatinsstruktur; krrekter Durchführungsmdalitäten der Tätigkeiten selbst; der Nachvllziehbarkeit vn Handlungen, Vrgängen und Transaktinen mittels angemessener Dkumentatin und EDV-Verfahren; 16

vn Entscheidungsfindungsprzessen, die auf vrdefinierten bjektiven Kriterien basieren (z.b. das Bestehen eines Lieferantenverzeichnisses, das Bestehen bjektiver Kriterien für die Bewertung und Auswahl des Persnals usw.); des Bestehens und der Nachvllziehbarkeit der Kntrll- und Überwachungsaktivitäten der Unternehmenstransaktinen; der Präsenz vn Sicherheitsmechanismen, die in der Lage sind, einen angemessenen Schutz bzw. den physischen der lgischen Zugang zu Daten und Vermögenswerten des Unternehmens zu gewährleisten; Ausgabe vn Verhaltensregeln, die dazu geeignet sind, die Ausübung der Geschäftstätigkeit unter Einhaltung der Gesetze und der Verrdnungen und der Integrität des Unternehmensvermögens zu gewährleisten; Definitin der Verantwrtlichkeit bei der Annahme, Änderung, Umsetzung und Kntrlle des Mdells selbst; Bestimmung des Aufsichtsrgans und Erteilung der spezifischen Aufsichtsaufgaben bezüglich der wirksamen und krrekten Funktinsweise des Mdells; Definitin der Infrmatinsflüsse an das Aufsichtsrgan; Definitin und Anwendung vn Vrschriften, die dazu geeignet sind, die Nichteinhaltung der vm Mdell vrgesehenen Maßnahmen zu ahnden; Weiterbildung des Persnals und der internen Kmmunikatin in Bezug auf die Inhalte des Dekrets und des Mdells und die darauf zurückzuführenden Pflichten. 2.4 Aufbau des Mdells Zur Definitin des vrliegenden Organisatins-, Verwaltungs- und Kntrllmdells hat die Bank für Trient und Bzen einen Ansatz gewählt, der es ihr ermöglicht, im Mdell selbst - ausgehend vn dem bei Annahme des Mdells und dessen Aktualisierungen vrgenmmenen Mapping der sensiblen Bereiche und Tätigkeiten - die bestehenden internen Regeln und Vrschriften zu verwenden und einzugliedern. Es wurden s für jede Kategrie die vrgesehenen Zuwiderhandlungen und die sensiblen Unternehmensbereiche identifiziert. In jedem sensiblen Bereich wurden dann diejenigen Unternehmenstätigkeiten identifiziert, bei deren Ausübung es am wahrscheinlichsten ist, dass die vm Dekret vrgesehenen Zuwiderhandlungen begangen werden (die sgenannten sensiblen Tätigkeiten). Für jede dieser Tätigkeiten wurden Grundsätze des Verhaltens und der 17

Kntrlle festgelegt, ausgehend vm jeweiligen vrzubeugenden Straftatrisik, an welche sich alle, die in diesen Bereichen tätig sind, halten müssen. Ein ähnliches Mapping wurde auch für die Zweigstelle in Innsbruck erstellt, auch mittels eigens zu diesem Zweck ausgearbeiteten Frmularen und Gesprächen mit den Vertretern der Zweigstelle, wbei flgende Schlussflgerungen gezgen wurden: Es wurden keine anderen Risikprfile festgestellt als beim Mapping der Bank für Trient und Blzen (in Italien). Die mit dem Risik 231 behafteten Tätigkeiten entsprechen denjenigen, die bereits im Mdell der Bank für Trient und Bzen erfasst wurden. Es besteht bereits ein System der internen Kntrllen, das mit den österreichischen Vrschriften vereinbar ist und auch im Hinblick auf den Schutz vr dem Risik 231 hilfreich ist. Das Mdell findet in der Bank und in der Zweigstelle Innsbruck vllumfänglich Anwendung mittels Verknüpfung einer jeden sensiblen Tätigkeit mit den beteiligten Unternehmensstrukturen und mit der dynamischen Verwaltung der Abläufe und dem einschlägigen internen Vrschriftsrahmen, der auf den Grundsätzen des Verhaltens und der Kntrlle basiert, die für jede der genannten Tätigkeiten frmuliert wurden. Der verflgte Ansatz: gestattet es, die bereits bestehenden Kenntnisse des Unternehmens im Hinblick auf die Richtlinien, Regeln und internen Vrschriften bestmöglich in Wert zu setzen, welche die Entscheidungsfindung und Umsetzung der Entscheidungen der Bank in Bezug auf die vrzubeugenden Zuwiderhandlungen und auf einer allgemeineren Ebene das Risikmanagement und die Durchführung vn Kntrllen beeinflussen und regeln; erlaubt es, die perativen Regeln des Unternehmens, einschließlich denjenigen für die sensiblen Bereiche auf der Grundlage eindeutiger Regeln zu bestimmen; erleichtert die kntinuierliche Umsetzung und rechtzeitige Anpassung der internen Abläufe und des internen Regelungswerks an die Änderungen der Organisatinsstruktur und der Geschäftstätigkeit des Unternehmens unter Gewährleistung eines hhen Grads an Dynamik des Mdells, vr allem in einer Phase wie der derzeitigen, d.h. der kntinuierlichen Änderungen aufgrund der rganisatrischen und perativen Integratin. In der Bank für Trient und Bzen besteht der Schutz vr den Risiken im Zusammenhang mit der durch das gesetzesvertretende Dekret Nr. 231/2001 eingeführten Verantwrtlichkeit flglich in: 18

dem vrliegenden Dkument ( Organisatins-, Verwaltungs- und Kntrllmdell ) und dem bestehenden Regelungswerk, das ein fester und wesentlicher Bestandteil desselben ist. Das Organisatins-, Verwaltungs- und Kntrllmdell beschreibt insbesndere: den einschlägigen Rechtsrahmen; die Rlle und die Verantwrtlichkeit der an der Annahme, der effizienten Umsetzung und der Änderung des Mdells beteiligten Strukturen; die spezifischen Aufgaben und Verantwrtlichkeiten des Aufsichtsrgans; die Infrmatinsflüsse an das Aufsichtsrgan; das System der Sanktinen; die Weiterbildungsinhalte; die sensiblen Bereiche in Bezug auf die Tatbestände der im Dekret vrgesehenen Zuwiderhandlungen; die Unternehmenstätigkeiten, im Bereich derer das Risik besteht, dass die vrgesehenen Zuwiderhandlungen begangen werden und die Verhaltensgrundsätze und Kntrllregeln, die darauf abzielen, diese zu vermeiden ( sensible Tätigkeiten). Das Regelungswerk der Bank, das aus den Gvernance-Dkumenten besteht (Satzung, Ethikcde, interner Verhaltenskdex der Gruppe, verschiedene Satzungen, Plicy, Leitlinien usw.) und Dienstanweisungen, Dienstaufträge, Rundschreiben, Handbücher, Operative Anleitungen und andere Instrumente regeln die perativen Vrgänge der Bank in den sensiblen Bereichen bzw. Tätigkeiten und stellen in jeder Hinsicht einen festen Bestandteil des Mdells dar. Das Regelungswerk enthält in Bezug auf jede sensible Tätigkeit eine entsprechende Quellenangabe, die innerhalb der Bank mittels Intranet verteilt und kntinuierlich aktualisiert wird vn den zuständigen Funktinen unter Berücksichtigung der Entwicklung der perativen Tätigkeit. Flglich kann durch die Verbindung der Inhalte des Mdells mit dem Regelungswerk für jede sensible Tätigkeit ein spezifisches, genaues und stets aktuelles Prtkll extrapliert werden, das die Phasen der Tätigkeit, die beteiligten Strukturen, die Grundsätze der Kntrlle und der Verhaltensweisen und die perativen Ablaufregeln beschreibt und es erlaubt, jede Phase der Tätigkeit überprüfbar und kngruent zu machen. 19

2.5 Die Empfänger des Mdells Das Mdell und die darin enthaltenen Bestimmungen müssen vn den Unternehmensvertretern und dem gesamten Persnal der Bank für Trient und Bzen eingehalten werden (auch dem Persnal, das im Ausland in der Filiale vn Innsbruck eingestellt und/der beschäftigt ist) und insbesndere vn denjenigen, die in sensiblen Bereichen tätig sind. Die Weiterbildung des Persnals und die interne Unterrichtung über den Inhalt des Mdells sind kntinuierlich sichergestellt im Rahmen der im nachflgenden Kapitel 6 näher beschriebenen Mdalitäten. Um eine wirksame und effiziente Vrbeugung vn Straftaten zu gewährleisten, ist dieses Mdell auch an externe Mitarbeiter und Berater gerichtet (gemeint sind dabei Selbstständige der Quasi-Selbstständige, Freiberufler, Berater, Agenten, Lieferanten, Geschäftspartner usw.), die auf der Grundlage vn Verträgen mit der Bank zur Durchführung der Geschäftstätigkeit zusammenarbeiten. Im Hinblick auf die genannten Persnen ist die Einhaltung des Mdells gewährleistet durch das Einfügen einer Vertragsklausel, mit der der Vertragsnehmer verpflichtet wird, sich an die Grundsätze des Mdells zu halten und das Aufsichtsrgan über etwaige Zuwiderhandlungen der Verletzungen des Mdells zu unterrichten. 2.6. Annahme, effiziente Umsetzung und Änderung des Mdells - Rllen und Verantwrtlichkeiten Annahme des Mdells Die Annahme und effiziente Umsetzung des Mdells stellen gemäß Art. 6 Absatz I Buchstabe a des Dekrets Handlungen dar, für welche der Verwaltungsrat zuständig ist, der im Rahmen eines diesbezüglichen Beschlusses das Mdell auf Vrschlag des Generaldirektrs annimmt. Der Generaldirektr definiert, auch in seiner Rlle als Arbeitgeber gemäß gesetzesvertretendem Dekret Nr. 81/2008, die Struktur des Mdells, die dem Verwaltungsrat zur Genehmigung vrgelegt wird mit der Unterstützung - in Bezug auf den jeweiligen Zuständigkeitsbereich - der Funktinen Cmpliance, Internal Audit, Crprate Affairs und Beteiligungen, Humanressurcen und Geldwäschebekämpfung der Muttergesellschaft, des Auftraggebers gemäß gesetzesvertretendem Dekret Nr. 81/2008 und der Funktin Organisatin der ISGS swie nach Anhörung des Aufsichtsrgans. Wirksame Umsetzung und Änderung des Mdells 20

Es bliegt dem Verwaltungsrat (der den vn diesem frmell bevllmächtigen Persnen) für eine wirksame Umsetzung des Mdells zu srgen mittels Bewertung und Annahme vn Handlungen, die für dessen Umsetzung der Änderung erfrderlich sind. Zur Bestimmung dieser Handlungen bedient sich das Verwaltungsrgan der Unterstützung des Aufsichtsrgans. Der Verwaltungsrat erteilt den einzelnen Strukturen eine Vllmacht zur Umsetzung der Inhalte des Mdells und zur kntinuierlichen Aktualisierung und Umsetzung der internen Vrschriften und der Unternehmensabläufe, die fester Bestandteil des Mdells sind, unter Einhaltung der Kntrll- und Verhaltensgrundsätze, die in Bezug auf jede sensible Tätigkeit definiert werden. Etwaige Änderungen der Abläufe und der internen Vrschriften werden dem Verwaltungsrat und dem Aufsichtsrgan halbjährlich in angemessener Frm mitgeteilt. Die wirksame und knkrete Umsetzung des Mdells wird auch gewährleistet: vm Aufsichtsrgan in Ausübung der diesem Organ zustehenden Initiativ- und Kntrllbefugnisse bezüglich den Tätigkeiten der einzelnen Organisatinseinheiten in den sensiblen Bereichen; vn den Verantwrtlichen der verschiedenen Organisatinseinheiten der Bank und/der der Muttergesellschaft in Bezug auf risikbehaftete Tätigkeiten dieser Einheiten. Der Verwaltungsrat muss ferner - auch über die Tätigkeit des Aufsichtsrgans - garantieren, dass bei zukünftigem Anpassungsbedarf die sensiblen Bereiche und das Mdell aktualisiert werden. Spezifische Rllen und Verantwrtlichkeiten im Bereich der Verwaltung des Mdells sind für die nachflgend aufgeführten Strukturen vrgesehen: Funktin Internal Audit Die Funktin Internal Audit gewährleistet generell eine kntinuierliche und unabhängige Aufsicht über die regelmäßige Geschäftstätigkeit und die Geschäftsabläufe, um dem Auftreten vn abweichenden risikbehafteten Verhaltensweisen der Situatinen vrzubeugen, wbei die Funktinalität des Systems der internen Kntrllen swie dessen Eignung zur Gewährleistung der Wirksamkeit und Effizienz der Unternehmensabläufe bewertet wird. Die Funktin Internal Audit unterstützt das Aufsichtsrgan direkt bei der Kntrlle der Einhaltung und Angemessenheit der im Mdell enthaltenen Regeln, wbei bei Auftreten etwaiger kritischer Situatinen im Rahmen der eigenen Tätigkeit, die jeweils zuständigen Funktinen eingeschaltet werden, damit sie entsprechende Maßnahmen zur Lösung der Situatin ergreifen können. 21

Funktin Cmpliance Die Funktin Cmpliance ist dafür zuständig, dass Regeln, Verfahren und perative Praktiken bestehen, die Verletzungen der Verstößen gegen bestehende Nrmen wirksam vrbeugen. Speziell in Bezug auf die Risiken der administrativen Verantwrtlichkeit, die vm Dekret eingeführt wurde, unterstützt die Funktin Cmpliance das Aufsichtsrgan bei Durchführung seiner Kntrlltätigkeit mittels: Definitin und Aktualisierung des Mdells in Zusammenarbeit mit der Funktin Organisatin, dem Arbeitsgeber und dem Auftraggeber gemäß gesetzesvertretendem Dekret Nr. 81/2008 und der Funktin Geldwäschebekämpfung, im jeweiligen Zuständigkeitsbereich, in Übereinstimmung mit den jeweils geltenden einschlägigen Bestimmungen und den Änderungen der Organisatinsstruktur des Unternehmens und mit Unterstützung der Funktin Recht und Rechtsstreitigkeiten der Intesa Sanpal Grup Services S.c.p.A. Lösung vn juristischen Frage - im Hinblick auf die Auslegung der Bestimmungen - und Identifizierung vn Verhaltensweisen, die zu einer Straftat führen könnten; kntinuierlicher Überwachung der Wirksamkeit des Mdells in Bezug auf die Verhaltensregeln und -grundsätze zur Vermeidung sensibler Straftaten; zu diesem Zweck ist die Funktin Cmpliance für Flgendes zuständig: jährliche Identifizierung der Abläufe mit den größten Risiken swhl ausgehend vn Überlegungen qualitativer Art im Hinblick auf die vrgesehenen Straftaten als auch im Hinblick auf das Bestehen etwaiger spezifischer Schutzvrkehrungen in Bezug auf das relative Risik; im Hinblick auf die vn der Funktin Cmpliance identifizierten Abläufe für die Ausstellung einer Bescheinigung der krrekten Umsetzung der vm Mdell vrgesehenen Grundsätze der Kntrlle und der Verhaltensweisen vr Veröffentlichung im System der Unternehmensvrschriften; ferner führt sie ausgehend vn einem risikbasierten Ansatz spezifische Tätigkeiten zur Bewertung der Übereinstimmung der Abläufe mit den vm Mdell vrgesehenen Prtkllen vr; Analyse der Ergebnisse des Przesses der Selbstbewertung und Selbstbescheinigung der Organisatinseinheiten im Hinblick auf die Einhaltung der Grundsätze der Kntrlle und Verhaltensweisen, die im Mdell vrgesehen sind; Prüfung der Infrmatinen, die vn der Funktin Internal Audit übermittelt werden im Hinblick auf kritische Situatinen, die im Rahmen der Prüftätigkeit festgestellt werden. 22

Funktin Geldwäschebekämpfung Die Funktin Geldwäschebekämpfung prüft frtlaufend, dass die Unternehmensverfahren mit dem Ziel der Vrbeugung und der Bekämpfung der Verletzung vn extern auferlegten Nrmen (Gesetzen und Verrdnungen) und selbst auferlegten Vrschriften in Bezug auf die Geldwäschebekämpfung und die Bekämpfung der Terrrismusfinanzierung vereinbar sind. Zur Verflgung der Zielsetzungen gemäß Dekret ist die Funktin Geldwäschebekämpfung in Bezug auf das Risikmanagement im Bereich der Geldwäschebekämpfung und Terrrismusfinanzierung für Flgendes zuständig: Teilnahme an der Definitin der Struktur des Mdells und dessen Aktualisierung; Förderung vn Änderungen der Organisatin und Abläufe mit dem Ziel, einen angemessenen Schutz vr dem Risik der Geldwäsche und der Terrrismusfinanzierung zu gewährleisten; Empfang und Weiterleitung regelmäßiger Berichte und Infrmatinsflüsse, die in den Linee Guida per il cntrast ai fenmeni di riciclaggi e di finanziament del terrrism e per la gestine degli embarghi [Leitlinien für die Bekämpfung der Geldwäsche und Terrrismusfinanzierung und das Embargmanagement] vrgesehen sind; Ausarbeitung - in Zusammenarbeit mit den anderen für die Weiterbildung zuständigen Funktinen des Unternehmens - eines angemessenen Weiterbildungsplans, dessen Ziel es ist, die Beschäftigten und andere Mitarbeiter kntinuierlich auf den neuesten Stand zu bringen. Funktin Crprate Affairs und Beteiligungen Die Funktin Crprate Affairs und Beteiligungen ist in Übereinstimmung mit ihrer institutinellen Rlle dafür verantwrtlich, das Aufsichtsrgan beratend zu unterstützen, insbesndere in Bezug auf die Merkmale und Aktivitäten des Aufsichtsrgans. Ferner muss sie die zuständigen Gesellschaftsrgane über die Ntwendigkeit der Änderung des Mdells infrmieren, sfern es zu Änderungen der Vrgänge innerhalb der Gesellschaft kmmt bzw. zu snstigen Änderungen, die den Tätigkeitsbereich der Gesellschaft ändern, damit das Mdell diese neue Situatin widerspiegeln kann. Funktin Organisatin Die Funktin Organisatin vn ISGS (Intesa Sanpal Grup Services S.c.p.a.) ist zum bestmöglichen Schutz der Khärenz der Organisatinsstruktur und der Mechanismen der 23

Crprate Gvernance im Hinblick auf die mit dem Mdell verflgten Zielsetzungen verantwrtlich für: die Planung der Organisatinsstruktur mittels Definitin der Aufgaben, Organigramme und Funktinen, damit diese dem Generaldirektr zu Genehmigung unterbreitet werden kann; die Definitin der Regeln für den Aufbau, die frmelle Annahme und Verwaltung der Organisatinsabläufe; die Unterstützung der Planung der Organisatinsabläufe bzw. die Validierung der vn anderen Funktinen definierten Verfahren unter Gewährleistung der Khärenz mit dem gesamten Aufbau der Organisatin; die Identifizierung der überwiegend für die Selbstdiagnse und den Infrmatinsfluss an das Aufsichtsrgan zuständigen Unternehmenseinheit für jeden sensiblen Unternehmensablauf; die Zusammenarbeit mit den Organisatinseinheiten, mit den Funktinen Internal Audit, Cmpliance, Recht, Geldwäschebekämpfung, dem Arbeitgeber und dem Auftraggeber gemäß gesetzesvertretendem Dekret Nr. 81/2008 und mit den anderen betrffenen Unternehmensfunktinen im jeweils eigenen Zuständigkeitsbereich, zur Anpassung der Vrschriften und des Mdells (ausgehend vn Änderungen der anwendbaren Vrschriften, der Unternehmensrganisatin und/der der perativen Verfahren, die zu Zwecken des Dekrets vn Belang sind); die Verbreitung der internen Vrschriften an die gesamte Struktur der Bank mittels Intranet. Funktin Humanressurcen Mit Bezug auf das Dekret ist die Funktin Humanressurcen der Bank für Trient und Bzen, wie im Detail in Kapitel 5 und 6 erläutert, zuständig für: die Ausarbeitung vn Weiterbildungsplänen und Sensibilisierungsmaßnahmen - mit Unterstützung der Funktinen Weiterbildung und Interne Kmmunikatin - für alle Beschäftigten in Bezug auf die Bedeutung eines mit den Unternehmensregeln vereinbaren Verhaltens, das Verständnis der Inhalte des Mdells, des internen Verhaltenskdex und des Ethikcdes swie vn spezifischen Kursen für das Persnal, das in sensiblen Bereichen tätig ist mit dem Ziel, kritische Punkte, Warnzeichen für Anmalien und Unregelmäßigkeiten und die umzusetzenden Krrekturmaßnahmen für nichtknfrme der risikbehaftete Vrgänge im Detail zu klären; den Schutz des Przesses der Feststellung und Verwaltung vn Verletzungen des Mdells - mit Unterstützung der Funktinen Cmpliance, Internal Audit, Geldwäschebekämpfung und Recht - swie des darauf flgenden Verfahrens der Bestrafung und die Übermittlung aller Infrmatinen, die im Zusammenhang mit einschlägigen Fakten und/der 24