LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E GESTIONE DEI RISCHI - FNM SPA
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
FNM SpA Linee di Indirizzo del Sistema di Controllo Interno e Gestione dei Rischi Approvate dal Consiglio di Amministrazione in data 17 aprile 2014
Linee di Indirizzo del SCIGR
1. Premessa
Il Sistema di Controllo Interno e di Gestione dei Rischi (di seguito “SCIGR”) di FNM
S.p.A. e del gruppo ad essa facente capo (“il Gruppo”) è l’insieme delle regole,
procedure e delle strutture organizzative volte a consentire l’identificazione, la
misurazione, la gestione e il monitoraggio dei principali rischi ai quali la Società è
esposta.
Il SCIGR è componente essenziale del sistema di corporate governance del Gruppo
ed è ispirato alle leading practice nazionali ed internazionali.
Il SCIGR contribuisce a:
garantire la salvaguardia del patrimonio sociale, l’efficienza e l’efficacia dei
processi aziendali;
garantire l’affidabilità dell’informazione finanziaria;
garantire il rispetto di leggi e regolamenti nonché dello statuto e delle
procedure interne adottate dalla Società;
agevolare l’efficacia e l’efficienza delle operazioni aziendali.
Il SCIGR ricomprende, oltre i principi espressi nelle presenti Linee di Indirizzo,
anche:
le specifiche disposizioni statutarie e regolamentari interne in materia di
ripartizione di competenze e deleghe di responsabilità;
il sistema delle deleghe, delle procedure e delle aree a rischio mappate nel
Modello Organizzativo ai sensi del D.Lgs. 231/2001;
gli obiettivi e le metodologie di valutazione dei rischi e le disposizioni in materia
di sistema amministrativo, contabile e finanziario.
Il SCIGR si uniforma alle raccomandazioni del Codice di Autodisciplina e recepisce i
principi esposti nel modello “Internal Controls – Integrated Framework” emesso dal
Commitee of Sponsoring Organizations of the Treadway Commission (c.d. COSO
Report) e considerato modello internazionale di riferimento per l’implementazione,
la gestione e la valutazione del SCIGR.
Allo scopo di definire i principi, le responsabilità e le modalità di implementazione e
gestione del SCIGR, il Consiglio di Amministrazione ha definito le presenti Linee di
Indirizzo, adottate attraverso delibera del 17 aprile 2014.
12. Principi
Il SCIGR si articola secondo i seguenti tre livelli:
I livello: costituito dalle attività di controllo poste in essere dalle unità operative al
fine di garantire il corretto svolgimento delle operazioni di competenza.
Responsabilità di tale livello è attribuita al management operativo che nel corso
dell’operatività giornaliera identifica, misura, valuta e gestisce i rischi derivanti
dallo svolgimento dell’attività di propria competenza;
II livello: costituito dal presidio dei processi di individuazione, valutazione
gestione e controllo dei rischi. Rientrano in questo livello l’organismo di vigilanza, il
Controllo di Gestione, il Dirigente Preposto, il Risk Manager.
III livello: costituito dalle funzioni indipendenti che forniscono l’assurance
complessiva sul disegno e sul funzionamento del SCIGR. Appartiene a questo
livello l’Internal Audit.
Alla base della costruzione di un adeguato sistema di controllo, sia esso di primo,
secondo o terzo livello, stanno alcuni principi che sono così riassumibili:
- Definizione chiara delle attività, dei ruoli e delle responsabilità;
evitando eventuali duplicazioni di attività e assicurando il coordinamento dei
soggetti coinvolti;
- Segregazione di compiti e responsabilità, tra unità organizzative
distinte o all’interno delle stesse, al fine di evitare che attività incompatibili
risultino concentrate sotto responsabilità comuni; in particolare, assicura la
necessaria segregazione delle attività operative e di controllo in modo da
prevenire o, ove ciò non sia possibile, attenuare i conflitti di interesse;
- Previsione di attività di controllo ad ogni livello operativo; al fine di
rilevare tempestivamente anomalie e criticità verificatesi nello svolgimento
delle attività operative;
- Tracciabilità delle attività operative e di controllo svolte, attraverso
l’utilizzo di opportuni sistemi informativi e processi di reporting, al fine di
assicurare nel tempo la ricostruzione e degli elementi informativi che
supportano tali attività.
La Società adotta tali principi nella progettazione e nella gestione del proprio
SCIGR; verifica periodicamente, secondo le modalità di seguito descritte,
l’adeguatezza e l’efficacia dello SCIGR e provvede conseguentemente ad
aggiornare lo stesso.
3. Ruoli e Responsabilità
Nell’ambito del SCIGR, sussistono le seguenti responsabilità:
- il Consiglio di Amministrazione;
- il Comitato Controllo e Rischi;
2- l’Amministratore incaricato del SCIGR (di seguito, l’ “Amministratore
Incaricato”);
- il Collegio Sindacale;
- il responsabile della funzione di internal audit;
- il dirigente preposto alla redazione dei documenti contabili societari (di
seguito “il Dirigente Preposto”);
- l’Organismo di Vigilanza ex D.Lgs. n. 231/2001;
- il risk committee;
- il risk manager;
- gli altri organi e funzioni aziendali competenti in materia di controlli interni e
gestione dei rischi.
Il Consiglio di Amministrazione ha un ruolo di indirizzo e valutazione ultima di
adeguatezza del SCIGR.
In particolare il Consiglio, previo parere del Comitato Controllo e Rischi:
- definisce le linee di indirizzo del SCIGR, in modo che i principali rischi
afferenti all’emittente e alle sue controllate risultino correttamente
identificati, nonché adeguatamente misurati, gestiti e monitorati,
determinando inoltre il grado di compatibilità di tali rischi con una gestione
dell’impresa coerente con gli obiettivi strategici individuati;
- valuta, con cadenza almeno annuale, l’adeguatezza del SCIGR rispetto alle
caratteristiche dell’impresa e al profilo di rischio assunto, nonché la sua
efficacia;
- approva il piano di lavoro predisposto dal responsabile internal audit, sentiti
il collegio sindacale e il Presidente, in qualità di amministratore incaricato del
SCIGR;
- descrive, nella relazione sul governo societario, le principali caratteristiche
del SCIGR, esprimendo la propria valutazione sull’adeguatezza dello stesso;
- valuta, sentito il collegio sindacale, i risultati esposti dal revisore legale nella
eventuale lettera di suggerimenti e nella relazione sulle questioni
fondamentali emerse in sede di revisione legale;
- approva il modello di organizzazione e di gestione di cui al Decreto
Legislativo 231/2001 e le relative modifiche ed aggiornamenti. Il Consiglio
inoltre nomina e revoca i componenti dell’Organismo di Vigilanza 231, con le
caratteristiche e secondo le modalità previste dal medesimo Modello;
- nomina l’Amministratore Incaricato;
- costituisce nel suo ambito un Comitato Controllo e Rischi, indicandone il
Presidente.
Il Consiglio di Amministrazione, su proposta del Presidente quale Amministratore
incaricato del SCIGR e previo parere favorevole del comitato controllo e rischi,
nonché sentito il collegio sindacale:
- nomina e revoca il responsabile della funzione di internal audit;
- assicura che lo stesso sia dotato delle risorse adeguate all’espletamento
delle proprie responsabilità;
3- ne definisce la remunerazione coerentemente con le politiche aziendali.
Il Comitato Controllo e Rischi svolge una attività istruttoria a supporto delle
valutazioni e delle decisioni del Consiglio di Amministrazione relative al SCIGR.
In particolare, il Comitato, nell’assistere il Consiglio di Amministrazione:
- fornisce al Consiglio un parere preventivo per l’espletamento dei compiti a
quest’ultimo affidati dal Codice di Autodisciplina in materia di controllo
interno e gestione dei rischi e lo assiste nella definizione e aggiornamento
delle linee di indirizzo del SCIGR;
- esprime pareri su specifici aspetti inerenti alla identificazione dei principali
rischi aziendali;
- fornisce parere nel caso di decisioni relative a nomina, revoca,
remunerazione e dotazione di risorse del responsabile internal audit;
- monitora l’autonomia, l’adeguatezza, l’efficacia e l’efficienza della funzione
internal audit;
- chiede alla funzione di internal audit – ove ne ravvisi l’esigenza – lo
svolgimento di verifiche su specifiche aree operative, dandone contestuale
comunicazione al Presidente del Collegio Sindacale;
- svolge le funzioni di “Comitato per le Operazioni con Parti Correlate”, così
come da specifica procedura approvata dal Consiglio di Amministrazione il
29 novembre 2010, giusta delibera CONSOB n. 17221 del 12 marzo 2010;
- valuta con il Dirigente Preposto, sentiti la Società di Revisione ed il Collegio
Sindacale, la corretta applicazione dei principi contabili e la loro omogeneità
ai fini della redazione del bilancio consolidato;
- esprime pareri in ordine alla identificazione, misurazione, gestione e
monitoraggio dei principali rischi aziendali nonché alla definizione della
natura e del livello di rischio ritenuto compatibile con gli obiettivi strategici,
in collegamento con le funzioni aziendali preposte;
- esamina le relazioni periodiche, aventi per oggetto la valutazione del SCIGR,
nonché quelle di particolare rilevanza approntate dal responsabile internal
audit;
- esamina, di concerto con il Collegio Sindacale, i risultati esposti dalla società
di revisione nella relazione e nell’eventuale lettera di suggerimenti;
- riferisce al Consiglio, in occasione dell’esame ed approvazione della relazione
finanziaria annuale e semestrale, sull’attività da esso svolta nonché
sull’adeguatezza del SCIGR.
Ai lavori del comitato controllo e rischi partecipa il Presidente del Collegio Sindacale
o altro sindaco da lui designato; possono comunque partecipare anche gli altri
sindaci.
L’Amministratore Incaricato del SCIGR, che nell’attuale Governance societaria
coincide con il Presidente del Consiglio di Amministrazione:
4- cura l’identificazione dei principali rischi aziendali, tenendo conto delle
caratteristiche delle attività svolte dalla Società e dalle sue controllate, e li
sottopone periodicamente all’esame del Consiglio di Amministrazione;
- dà esecuzione alle linee di indirizzo definite dal Consiglio di Amministrazione
su proposta del comitato controllo e rischi, curando la progettazione,
realizzazione e gestione del SCIGR e verificandone costantemente
l’adeguatezza e l’efficacia;
- provvede all’adattamento di tale sistema alla dinamica delle condizioni
operative e del panorama legislativo e regolamentare;
- può chiedere alla funzione di internal audit lo svolgimento di verifiche su
specifiche aree operative e sul rispetto delle regole e procedure interne
nell’esecuzione di operazioni aziendali, dandone contestuale comunicazione
al Presidente del comitato controllo e rischi e al Presidente del Collegio
Sindacale;
- riferisce tempestivamente al comitato controllo e rischi e al Consiglio di
Amministrazione in merito a problematiche e criticità emerse nello
svolgimento della propria attività o di cui abbia avuto comunque notizia,
affinché possano essere assunte le opportune iniziative.
Il Collegio Sindacale, in quanto vertice del sistema di vigilanza dell’emittente,
nell’ambito dei compiti assegnati dalla legge e in qualità di “Comitato per il controllo
interno e la revisione contabile” ai sensi del D.Lgs 27.01.2010 n°39, nel rispetto delle
raccomandazioni espresse dal Codice di Autodisciplina, vigila sulla generale efficacia
del SCIGR.
Il responsabile della funzione di internal audit è incaricato della verifica di
adeguatezza ed effettivo funzionamento del SCIGR e in particolare:
- verifica, sia in via continuativa sia in relazione a specifiche necessità e nel
rispetto degli standard internazionali, l’operatività e l’idoneità del SCIGR,
attraverso un piano di audit, approvato dal Consiglio di Amministrazione,
basato su un processo strutturato di analisi e prioritizzazione dei principali
rischi;
- predispone relazioni periodiche contenenti adeguate informazioni sulla
propria attività, sulle modalità con cui viene condotta la gestione dei rischi
nonché sul rispetto dei piani definiti per il loro contenimento. Le relazioni
periodiche contengono una valutazione sull’idoneità del SCIGR;
- predispone tempestivamente relazioni su eventi di particolare rilevanza;
- trasmette le relazioni di cui ai punti precedenti ai Presidenti del Collegio
Sindacale, del Comitato controllo e rischi e del Consiglio di Amministrazione;
- verifica nell’ambito del piano di audit l’affidabilità dei sistemi informativi,
inclusi i sistemi di rilevazione contabile.
Il responsabile della funzione di internal audit:
5- non è responsabile di alcuna area operativa e dipende gerarchicamente dal
Consiglio di Amministrazione inteso nella sua collegialità;
- ha accesso diretto a tutte le informazioni utili per lo svolgimento del suo
incarico.
Le competenze di dettaglio, le responsabilità e i poteri di accesso a documenti e
informazioni sono declinati in un documento definito “mandato di audit”, emesso dal
Consiglio di Amministrazione nella riunione di insediamento, in conformità a quanto
previsto dagli standard internazionali della professione di internal audit emessi
dall’Istitute of Internal Auditors.
Il Dirigente Preposto è responsabile, secondo quanto previsto nella Legge n. 262
del 2005, della implementazione di un adeguato sistema di controllo a presidio della
veridicità dell’informativa finanziaria. A tal fine predispone adeguate procedure
amministrative e contabili per la formazione del bilancio d’esercizio e del bilancio
consolidato ed ogni comunicazione di carattere finanziario del Gruppo. Il Dirigente
cura l’applicazione e l’aggiornamento di tali procedure, che costituiscono il Sistema di
Controllo interno per il financial reporting, parte integrante del più ampio SCIGR .
Conformemente alle previsioni della suddetta normativa, il Dirigente Preposto rilascia
una dichiarazione di accompagnamento agli atti e comunicazioni finanziarie, che ne
attesta la corrispondenza alle risultanze dei documenti, libri e scritture contabili;
inoltre, in sede di pubblicazione del bilancio d’esercizio, rilascia una dichiarazione di
adeguatezza ed effettiva applicazione delle procedure predisposte e di conformità del
documento pubblicato ai principi contabili di riferimento.
Il Dirigente Preposto è nominato e revocato dal Consiglio di Amministrazione, previo
parere del Collegio Sindacale. Il Consiglio vigila inoltre affinché il Dirigente disponga
dei mezzi e dei poteri necessari all’assolvimento dei compiti a lui assegnati e
sull’effettivo rispetto delle procedure dallo stesso predisposte.
L’Organismo di Vigilanza 231 è incaricato di vigilare sull’adeguatezza,
aggiornamento ed effettivo funzionamento del modello di organizzazione e gestione ai
sensi del D. Lgs. 231 del 2001, anch’esso parte integrante del più ampio del SCIGR. Il
responsabile internal audit è membro interno dell’Organismo di Vigilanza, secondo
quanto previsto dal modello medesimo. Per i ruoli e i compiti di dettaglio
dell’Organismo si rinvia al Modello Organizzativo 231 in vigore.
Il risks committee è composto dai dirigenti titolari dei processi aziendali nell’ambito
dei quali vengono svolte regolari attività di risk analysis, in conformità a normative di
settore o per specifiche esigenze operative. Si riunisce periodicamente allo scopo di
condividere le rispettive risultanze di risk analysis, definire sinergie per evitare
duplicazioni di attività e programmare, laddove possibile, sessioni coordinate.
6L’attività del risks committee viene riassunta in specifiche relazioni di sintesi a cura del
risk manager, indirizzate all’Amministratore Incaricato e al Comitato Controllo e
Rischi.
Il risk manager, in collaborazione con i titolari di processo definiti, coordina e
monitora l’intero processo di risk management secondo le modalità di dettaglio
definita nell’apposita procedura operativa “risk management”.
Tutti i Dipendenti del Gruppo FNM sono chiamati a contribuire all’efficace
funzionamento del SCIGR, attraverso lo svolgimento diligente delle attività di loro
competenza e la segnalazione al proprio referente delle criticità riscontrate nello
svolgimento delle stesse.
I dipendenti sono inoltre chiamati a segnalare, attraverso gli appositi canali
predisposti, le violazioni alle norme etiche adottate dal Gruppo e al Modello
Organizzativo 231.
4. Implementazione e Gestione del SCIGR
4.1. Individuazione dei Rischi
Avvalendosi del supporto delle funzioni di controllo di secondo e terzo livello il l’
Amministratore incaricato del SCIGR indirizza le attività di gestione dei rischi sui
principali rischi aziendali, tenendo conto degli obiettivi aziendali e delle specificità di
business del Gruppo.
Le modalità di valutazione di tali rischi constano dei seguenti aspetti;
- natura del rischio, esemplificabile in strategica, operativa, finanziaria, di frode o
di compliance normativa;
- probabilità del verificarsi dell’evento negativo connesso al rischio;
- impatto dell’evento negativo sull’attività aziendale.
Il Consiglio di Amministrazione, su proposta dell’Amministratore Incaricato e giusta
parere del Comitato Controllo e Rischi, determina il livello di rischio ritenuto
compatibile con gli obiettivi strategici del gruppo e valuta le misure di contenimento
intraprese e da intraprendersi a presidio di tali rischi.
4.2. Attuazione del SCIGR
Il Presidente, in qualità di Amministratore incaricato del SCIGR, cura l’attuazione delle
presenti linee di indirizzo, assicurandosi che il SCIGR:
- sia parte integrante dell’operatività e della cultura del Gruppo, attivando a tal
fine idonei processi di informazione, comunicazione e formazione e sistemi di
retribuzione e disciplinari che incentivino la corretta gestione dei rischi e
scoraggino comportamenti contrari ai principi dettati da tali processi;
- sia idoneo a reagire tempestivamente a significative situazioni di rischio che
nascano sia all’interno del Gruppo che da modifiche dell’ambiente in cui il
Gruppo opera;
7- preveda regolari attività di controllo dell’efficacia del SCIGR, nonché la
possibilità di attivare specifiche attività di controllo nell’ipotesi in cui vengano
segnalate debolezze nel SCIGR;
- faciliti l’individuazione e tempestiva esecuzione di azioni correttive.
Con cadenza annuale, contestualmente alla fase di predisposizione del budget, esegue
una analisi globale dei rischi con la relativa valutazione del loro possibile impatto sul
raggiungimento dei risultati.
Tale valutazione si concretizza in un documento in cui viene rappresentato in maniera
completa il livello di rischio per ogni area di rilievo e vengono definite le azioni dirette
a mitigare i rischi previsti.
Il Comitato Controllo e Rischi potrà richiedere delucidazioni e/o integrazioni al
predetto documento affinché possa relazionare in modo esaustivo al Consiglio di
Amministrazione.
Il Consiglio di Amministrazione dovrà essere posto nelle condizioni di poter valutare
agevolmente se il livello di rischio compatibile con gli obiettivi strategici della Società è
accettabile così come riportato nel documento predisposto dal risks committee e
discusso con il Comitato Controllo e Rischi.
Il Consiglio di Amministrazione dovrà esprimere la propria opinione in merito alle
azioni di mitigazione proposte e sull’entità del rischio residuo.
L'esame, la discussione e la definizione nel Consiglio di Amministrazione della natura e
livello di rischio compatibile con gli obiettivi aziendali è attuata attraverso un’analisi
critica della valutazione di probabilità/impatto e tiene conto di parametri collegati al
risultato della gestione, al patrimonio netto e alla posizione finanziaria netta della
Società.
Le modalità di dettaglio con il quale viene gestito il complessivo processo di risk
management sono definite in una specifica procedura operativa, parte integrante del
sistema procedurale della società, a cura dell’Amministratore Incaricato.
4.3. Valutazione dell’efficacia del SCIGR
La piena e corretta efficacia del SCIGR è garantita dalla periodica verifica
dell’adeguatezza e dell’effettivo funzionamento e dalla sua eventuale conseguente
revisione.
Tale verifica periodica spetta al Consiglio di Amministrazione ed è svolta col supporto
del Comitato Controllo e Rischi e la Funzione di Internal Audit.
Il Consiglio di Amministrazione riceve ed esamina le relazioni periodiche predisposte
dal Responsabile Internal Audit e dal Comitato Controllo e Rischi.
Il Consiglio di Amministrazione, inoltre in occasione dell’approvazione del bilancio:
- esprime la propria valutazione circa l’efficacia e l’adeguatezza del SCIGR del
Gruppo ponendo particolare attenzione alle eventuali inefficienze che siano
state segnalate;
- considera quali azioni siano state poste in essere ovvero debbano essere
tempestivamente intraprese per sanare tali carenze.
8Puoi anche leggere
