IL SISTEMA DEI CONTROLLI: AUDIT, CONTROLLO INTERNO, COMITATO CONTROLLO E RISCHI E COLLEGIO SINDACALE

Transcript

1 IL SISTEMA DEI CONTROLLI: AUDIT, CONTROLLO INTERNO, COMITATO CONTROLLO E RISCHI E COLLEGIO SINDACALE ENRICO MARIA BIGNAMI 1 febbraio 2014 Il Sistema dei Controlli: Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale

2 LA GOVERNANCE E IL SISTEMA DI CONTROLLO INTERNO E DI GESTIONE DEI RISCHI La Governance può essere sinteticamente definita come il metodo attraverso il quale le aziende sono dirette e controllate. Nella gestione dell impresa, esiste un legame imprescindibile fra i seguenti tre elementi: gli obiettivi, che l organizzazione di prefigge di raggiungere; i rischi, ovvero eventi che possano incidere negativamente sul perseguimento degli obiettivi, valutati in termini di probabilità e impatto; i controlli, ovvero le protezioni da mettere in atto per prevenire/mitigare/contenere gli effetti negativi generati dal concretizzarsi di eventi rischiosi. La teoria più avanzata 1 sottolinea l importanza del rischio nel sistema dei controlli: l ultima versione del Codice di Autodisciplina 2 ne ha riconosciuto ed enfatizzato la centralità. Il sistema di controllo interno e di gestione dei rischi ( SCI-GR ) è quindi uno snodo cruciale della governance di una società. Il rischio è il filo conduttore del sistema dei controlli, il quale ruota intorno all identificazione, valutazione e monitoraggio dei rischi aziendali. 1 la più rilevente è il Modello ERM, Enterprise Risk Management, emesso nel 2004 dal Committee of Sponsoring Organizations, CoSO 2 Codice di Autodisciplina del Comitato per la Corporate Governance del dicembre febbraio 2014 Il Sistema dei Controlli: Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale

3 La Definizione di SCI-GR del Codice di Autodisciplina Ogni emittente si dota di un sistema di controllo interno e di gestione dei rischi costituito dall'insieme delle regole, delle procedure e delle strutture organizzative volte a consentire l'identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi. 3 Obiettivi del SCI-GR Un efficace sistema di controllo interno e di gestione dei rischi contribuisce a una conduzione dell'impresa coerente con gli obiettivi aziendali definiti dal consiglio di amministrazione, favorendo l'assunzione di decisioni consapevoli. Esso concorre ad assicurare la salvaguardia del patrimonio sociale, l'efficienza e l'efficacia dei processi aziendali, l'affidabilità dell'informazione finanziaria, il rispetto di leggi e regolamenti nonché dello statuto sociale e delle procedure interne. 4 3 Codice di Autodisciplina, art. 7.P.1. 4 Codice di Autodisciplina, art. 7.P.2. 3 febbraio 2014 Il Sistema dei Controlli: Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale

4 I concetti generali e i principi fondamentali di architettura del sistema di controllo e di gestione dei rischi L architettura del sistema di controllo interno e di gestione dei rischi va definita specificamente per ogni singolo caso, in relazione al tipo di attività svolta, alla dimensione della società, alla struttura del gruppo, al contesto regolamentare. Il sistema dei controlli deve essere integrato nell assetto organizzativo, amministrativo, contabile e di governo societario e le sue componenti devono essere tra loro coordinate e interdipendenti. I principi di architettura sono: la separazione di ruoli e compiti (segregation of duties), che ha quale obiettivo primario quello di ridurre il rischio di frodi ed errori, e viene perseguita attraverso la suddivisione delle attività/responsabilità, relative ad un determinato processo aziendale, tra differenti funzioni/individui. l accountability di informazioni e processi, intesa quale attribuzione della responsabilità incondizionata in capo a un soggetto (o a un gruppo di soggetti) del risultato conseguito da un organizzazione, sulla base delle proprie capacità, abilità ed etica. la tracciabilità (e non ripudiabilità) dei dati e delle informazioni, in modo da rendere attendibile, ricostruibile e valutabile un attività o un processo. L Efficacia del Sistema di Controllo Interno e di gestione dei rischi 4 febbraio 2014 Il Sistema dei Controlli: Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale

5 Il SCI-GR è efficace in un determinato momento - quando soddisfa i seguenti standard: da comprensione della misura in cui si stanno conseguendo gli obiettivi operativi, i bilanci pubblicati sono attendibili, leggi e regolamenti vengono rispettati. La valutazione di efficacia del SCI-GR è un giudizio soggettivo sulla sua presenza e funzionamento, coerentemente con gli obiettivi aziendali: la determinazione degli obiettivi è quindi una condizione irrinunciabile del controllo interno. L efficacia del SCI-GR ha intrinseche limitazioni date: sia dal fatto che la gestione del rischio di impresa dipende giudizio umano e sia che sono sempre possibili errori che possono portare a risposte inadeguate al rischio. Inoltre, i controlli potrebbero essere aggirati con la collusione di due o più persone. 5 febbraio 2014 Il Sistema dei Controlli: Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale

6 I tre livelli di presidio al sistema di controllo interno e gestione dei rischi Il presidio sul SCI-GR si articola normalmente su tre livelli a cui sono associati diverse responsabilità e diversi strumenti, a complemento delle responsabilità di governo in capo agli organi sociali di amministrazione e controllo. CONTROLLI DI PRIMO LIVELLO Sono i controlli insiti nei processi operativi predisposti e attuati dal management, nel rispetto degli obiettivi e delle responsabilità del medesimo. Consistono in controlli tipicamente di carattere procedurale, informatico, comportamentale, amministrativo-contabile, ecc. diretti ad assicurare il corretto svolgimento delle operazioni, da un punto di vista operativo e di business, di rischio e normativo. Banca d Italia 5 suggerisce che siano, per quanto possibile, incorporati nelle procedure informatiche. Sono i controlli fondamentali, sui quali si basa il SCI-GR, e sono imprescindibili, per qualsiasi dimensione aziendale ai fini della tenuta dell intero sistema. 5 Banca d Italia, Nuove disposizioni di Vigilanza Prudenziale per le Banche, edizione di Luglio 2013, pag febbraio 2014 Il Sistema dei Controlli: Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale

7 CONTROLLI DI SECONDO LIVELLO Sono controlli trasversali sui rischi e sulla conformità, svolti da funzioni di staff, che hanno l'obiettivo di: concorrere alla definizione delle metodologie di misurazione del rischio, verificare il rispetto dei limiti assegnati alle varie funzioni operative e controllare la coerenza dell'operatività delle singole aree produttive con gli obiettivi di rischio-rendimento assegnati (Risk Management); concorrere alla definizione delle metodologie di misurazione/valutazione del rischio di conformità, individuare idonee procedure per la prevenzione dei rischi rilevati e richiederne l adozione (Compliance); attestare l informativa contabile societaria secondo quanto previsto dalla legge (Dirigente Preposto) attestare l efficienza e l efficacia delle operazioni aziendali in relazione agli obiettivi strategici, porre le basi per la pianificazione (Controllo di gestione) 7 febbraio 2014 Il Sistema dei Controlli: Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale

8 CONTROLLI DI TERZO LIVELLO Il terzo livello è l Internal Audit, che fornisce l assurance (la garanzia) sul disegno e sulla funzionalità complessiva del sistema, attraverso valutazioni indipendenti. Tale attività è condotta in via continuativa e sistematica, ma anche per eccezioni, da strutture diverse e indipendenti da quelle produttive. E considerata il facilitatore dei processi di risk assessment e allineamento a temi di compliance in assenza di funzioni a ciò dedicate. Elabora il piano di audit (ha autonomi poteri di iniziativa nella predisposizione del piano di audit e nell attivazione di singoli interventi) che deve tenere conto dei rischi rilevati e analizzati da altre funzioni aziendali a ciò preposte, della percezione del management, delle indicazioni degli organi di amministrazione e controllo. Il piano di audit deve avere caratteristiche tali da coprire adeguatamente i principali rischi aziendali e, in un arco di tempo ragionevole, tutto il perimetro aziendale rilevante. 8 febbraio 2014 Il Sistema dei Controlli: Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale

9 UN MODELLO DI RIFERIMENTO PER LA GESTIONE DEL SCI-GR: L ENTERPRISE RISK MANAGEMENT (ERM) 6 Nell appendice C è esposta una sintesi del modello ERM. Nella trattazione odierna, approfondisco solo alcune considerazioni sui componenti del sistema di controllo interno e di gestione dei rischi come declinati nell ERM. Nel modello ERM, i componenti del sistema di controllo interno e di gestione dei rischi, tra loro collegati, che servono come criteri per valutare l efficacia del sistema sono: Ambiente interno: rappresenta l identità essenziale dell organizzazione, contiene la filosofia sul rischio, l integrità, i valori etici e l ambiente di lavoro. L ambiente di controllo è un elemento fondamentale della cultura di un organizzazione, poiché determina il livello di sensibilità del personale alla necessità di controllo. Parte dal commitment degli Organi Sociali e del Vertice, costituisce il fondamento di tutti gli altri componenti del controllo interno e fornisce disciplina e organizzazione. I fattori che influenzano l ambiente di controllo sono l integrità, i valori etici e la competenza del personale; la filosofia e lo stile del management; le modalità di delega delle responsabilità, la politica organizzativa e di motivazione del personale; infine la dedizione del consiglio di amministrazione e la sua capacità di indicare chiaramente gli obiettivi. In assenza di un adeguato Ambiente interno, tutto il sistema vacilla. 6 il Modello ERM, Enterprise Risk Management, emesso nel 2004 dal Committee of Sponsoring Organizations, CoSO 9 febbraio 2014 Il Sistema dei Controlli: Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale

10 Definizione obiettivi: è necessario che il CdA definisca obiettivi compatibili e coerenti con l azienda e con le opportunità e i vincoli esterni ed interni. Identificazione degli eventi: il management identifica gli eventi potenziali che, se si verificano, incideranno sull attività aziendale e determina se tali eventi rappresentano opportunità oppure rischi. Valutazione del rischio: la valutazione del rischio consente a un azienda di misurare l incidenza di un evento potenziale sul conseguimento degli obiettivi. Gli eventi vanno valutati da due prospettive diverse probabilità e impatto e normalmente viene impiegata una combinazione di tecniche quantitative e qualitative. Risposta al rischio: evitare il rischio, ridurre il rischio, accettare il rischio, compartecipare al rischio. Devono essere valutati i costi e benefici delle varie strategie e adottando quella che permette di ridurre il livello di rischio entro il termine di tolleranza stabilito (dal CdA). Attività di controllo: creare e applicare politiche e procedure di controllo per assicurare efficace attivazione dei provvedimenti che il management ritiene necessari per ridurre i rischi connessi alla realizzazione degli obiettivi. Informazioni e comunicazione: i sistemi di informazione e comunicazione consentono la raccolta e lo scambio (verso il basso, verso l alto e trasversale) delle informazioni per indurre una corretta gestione e controllo. Le informazioni devono essere pertinenti, raccolte e diffuse 10 febbraio 2014 Il Sistema dei Controlli: Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale

11 nella forma e nei tempi (la tempestività è fondamentale!) che consentono a ciascuno di adempiere le proprie responsabilità. Monitoraggio: il sistema deve essere monitorato, ai vari livelli, per verificarne l adeguatezza e l efficacia, e per apportarvi le modifiche necessarie. 11 febbraio 2014 Il Sistema dei Controlli: Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale

12 I PRINCIPALI ATTORI DEL SISTEMA DI CONTROLLO INTERNO E DI GESTIONE DEI RISCHI Premessa Nella Governance di una società gli organi di riferimento, nel modello tradizionale, sono il Consiglio di Amministrazione e il Collegio Sindacale. Il Consiglio di Amministrazione è l organo supremo di indirizzo strategico, di definizione degli obiettivi, di valutazione del livello di rischio accettabile e di indirizzo sull impostazione del Sistema dei controllo interno e di gestione dei rischi. Gli Amministratori esecutivi (compreso l Amministratore incaricato di sovraintendere al sistema dei controlli) sono emanazione del Consiglio. In sintesi, curano l attuazione degli obiettivi strategici, la definizione dell architettura e la conduzione della gestione operativa e del SCIGR. Anche per norma di autodisciplina, al proprio interno il Consiglio nomina Comitati consultivi - nel caso di specie, il riferimento è al Comitato Controllo e Rischi - che lo supportino nell istruzione e nell approfondimento propedeutico alle proprie decisioni. 12 febbraio 2014 Il Sistema dei Controlli: Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale

13 Il Collegio Sindacale è l organo di controllo, è il vertice della vigilanza. La sua attività parte dalla vigilanza sull operato del Consiglio di Amministrazione, a scendere. Il Collegio Sindacale non entra nel merito delle scelte di amministrazione (sono gli Amministratori che esercitano la cd. business judgment rule ), ma vigila tra l altro - sulla legittimità sostanziale dell operato del Consiglio, ha poteri pervasivi di ispezione controllo ed esercita attività di stimolo e denuncia, con il fine di indurre una corretta gestione ( promuovere gli interventi di amministratori e management ). * * * * * * * Da quanto sopra emerge la grande differenza tra l attività del Consiglio di Amministrazione (e dei suoi Comitati), che è essenzialmente di valutazione e decisione - principalmente di merito sugli obiettivi, sulle principali questioni strategiche e operative, sull adeguatezza degli assetti e del SCI-GR, e quella del Collegio Sindacale che svolge solo attività di vigilanza, senza entrare nel merito e senza alcun potere operativo, ma che può esercitare un forte impulso: ha poteri/doveri di attivarsi nei confronti degli organi sociali (amministratori esecutivi, consiglio e assemblea), ed eventualmente accedendo all esterno (Tribunale, Consob e organismi di vigilanza in generale) al fine di interessare e forzare le valutazioni e i necessari interventi e misure correttive. Questa impostazione è, a mio parere, migliore sia del modello anglosassone che degli altri modelli di Amministrazione e controllo (dualistico e monistico) perché separa l indirizzo strategico dal controllo, riducendo significativamente il rischio di un conflitto di interessi tra controllore e controllato (migliorando quindi un elemento fondamentale dei sistemi di controllo, che è la segregation of duties). 13 febbraio 2014 Il Sistema dei Controlli: Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale

14 14 febbraio 2014 Il Sistema dei Controlli: Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale

15 L articolo 7 del Codice di Autodisciplina 2011 indica in dettaglio gli attori del SCI-GR specificando per ognuno i relativi compiti. Consiglio di amministrazione (CdA) In quanto organo di supervisione strategica, svolge un ruolo di indirizzo e di valutazione dell adeguatezza del SCI-GR. In particolare: definisce la natura e il livello di rischio compatibile con gli obiettivi strategici dell emittente 7 ; definisce le linee di indirizzo del SCI-GR, in modo che i principali rischi risultino correttamente identificati, misurati, gestiti e monitorati; valuta l adeguatezza e l efficacia del SCI-GR 8 ; nomina e revoca il responsabile della funzione di internal audit 9, che dipende gerarchicamente dal medesimo CdA; approva il piano di audit 10. Il Consiglio di amministrazione inoltre 11 individua al suo interno: 7 Articolo 1, Criterio 1.C.1 b) del Codice di Autodisciplina valuta, con cadenza almeno annuale, l adeguatezza e l efficacia del SCI-GR rispetto alle caratteristiche dell impresa e al profilo di rischio assunto 9 su proposta dell amministratore incaricato del SCI-GR e previo parere favorevole del comitato controllo e rischi, nonché sentito il collegio sindacale, nomina e revoca il responsabile della funzione di internal audit, assicura che lo stesso sia dotato delle risorse adeguate all espletamento delle proprie responsabilità e ne definisce la remunerazione coerentemente con le politiche aziendali. 10 approva, con cadenza almeno annuale, il piano di audit predisposto dall internal audit, sentiti il collegio sindacale e l amministratore incaricato del SCI-GR. 15 febbraio 2014 Il Sistema dei Controlli: Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale

16 - Uno o più amministratori incaricati del sistema di controllo interno e di gestione dei rischi 12 ; - Un comitato controllo e rischi (CCR), composto da amministratori indipendenti. Amministratore incaricato del SCI-GR E un amministratore esecutivo, incaricato dell istituzione e del mantenimento di un efficace SCI- GR. In particolare: cura l identificazione dei principali rischi aziendali, tenendo conto delle caratteristiche delle attività svolte, e li sottopone periodicamente all esame del CdA; dà esecuzione alle linee di indirizzo definite dal CdA, curando la progettazione, realizzazione e gestione del SCI-GR e verificandone costantemente l adeguatezza e l efficacia il Codice di Autodisciplina prevede inoltre che (i) descrive, nella relazione sul governo societario, le principali caratteristiche del SCI-GR, esprimendo la propria valutazione sull adeguatezza dello stesso; (ii) valuta, sentito il collegio sindacale, i risultati esposti dal revisore legale nella eventuale lettera di suggerimenti e nella relazione sulle questioni fondamentali emerse in sede di revisione legale. 12 Il CdA, laddove una simile scelta risulti coerente con le caratteristiche dell impresa, può decidere di disimpegnare tali attività istruttorie direttamente, senza cioè la costituzione di un apposito comitato, illustrando analiticamente le motivazioni di tale scelta nella relazione sul governo societario e sottoponendola a periodica revisione 13 Inoltre, sempre da Codice di Autodisciplina, (i) si occupa dell adattamento di tale sistema alla dinamica delle condizioni operative e del panorama legislativo e regolamentare; (ii) può chiedere alla funzione di internal audit lo svolgimento di verifiche su specifiche aree operative e sul rispetto delle regole e procedure interne nell esecuzione di operazioni aziendali, dandone contestuale comunicazione al presidente del CdA, al presidente del CCR e al presidente del collegio sindacale; (iii) riferisce tempestivamente al CCR (o al CdA) in merito a problematiche e criticità emerse nello svolgimento della propria attività o di cui abbia avuto comunque notizia, affinché il comitato (o il consiglio) possa prendere le opportune iniziative. 16 febbraio 2014 Il Sistema dei Controlli: Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale

17 Comitato controllo e rischi (CCR) Ha il compito di supportare, con un adeguata attività istruttoria, le valutazioni e le decisioni del CdA relative al SCI-GR 14. In particolare: esprime pareri su specifici aspetti inerenti alla identificazione dei principali rischi aziendali; esamina le relazioni periodiche, aventi per oggetto la valutazione del sistema di controllo interno e di gestione dei rischi, e quelle di particolare rilevanza predisposte dalla funzione internal audit; monitora l autonomia, l adeguatezza, l efficacia e l efficienza della funzione di internal audit 15. Responsabile della funzione di internal audit Riveste una posizione centrale nel SCI-GR, in quanto come detto - è investito dell attività di controllo di terzo livello 16. Possiede autonomi poteri di iniziativa e dipende gerarchicamente esclusivamente dal CdA. In particolare: 14 nonché quelle relative all approvazione delle relazioni finanziarie periodiche 15 Inoltre, da Codice di Autodisciplina, (i) valuta, unitamente al dirigente preposto alla redazione dei documenti contabili societari e sentiti il revisore legale e il collegio sindacale, il corretto utilizzo dei principi contabili e, nel caso di gruppi, la loro omogeneità ai fini della redazione del bilancio consolidato; (ii) può chiedere alla funzione di internal audit lo svolgimento di verifiche su specifiche aree operative, dandone contestuale comunicazione al presidente del collegio sindacale; (iii) riferisce al CdA, almeno semestralmente, in occasione dell approvazione della relazione finanziaria annuale e semestrale, sull attività svolta nonché sull adeguatezza del sistema di controllo interno e di gestione dei rischi. 16 La funzione di internal audit, nel suo complesso o per segmenti di operatività, può essere affidata a un soggetto esterno all impresa, purché dotato di adeguati requisiti di professionalità, indipendenza e organizzazione. 17 febbraio 2014 Il Sistema dei Controlli: Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale

18 verifica l operatività e l idoneità del SCI-GR, attraverso un piano di audit, approvato dal CdA, basato su un processo strutturato di analisi e prioritizzazione dei principali rischi; non è responsabile di alcuna area operativa; ha accesso diretto a tutte le informazioni utili per lo svolgimento dell incarico; predispone relazioni periodiche contenenti adeguate informazioni sulla propria attività, sulle modalità con cui viene condotta la gestione dei rischi nonché sul rispetto dei piani definiti per il loro contenimento. Nelle relazioni periodiche, l audit esprime la propria valutazione sull idoneità del SCI-GR; predispone tempestivamente relazioni su eventi di particolare rilevanza; trasmette di norma in modo contestuale - le relazioni predisposte ai presidenti del CdA, del Collegio Sindacale, del CCR e nonché all amministratore incaricato del SCI-GR; verifica, nell ambito del piano di audit, l affidabilità dei sistemi informativi inclusi i sistemi di rilevazione contabile. Collegio sindacale Il Collegio Sindacale rappresenta il vertice del sistema di vigilanza. Il Collegio Sindacale vigila sull adeguatezza del SCI-GR, avendo assunto informazioni e flussi in via sistematica dai responsabili dei controlli di secondo e terzo livello, e di ogni altra informazione ritenuta rilevante. Più in dettaglio, il compito del Collegio Sindacale si estrinseca mediante: 18 febbraio 2014 Il Sistema dei Controlli: Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale

19 l acquisizione della conoscenza e poi il monitoraggio dello stato del sistema dei controlli, sempre da una posizione di sintesi e apicale; vigilando sull Ambiente interno, con particolare riferimento al commitment del CdA e del Vertice dell impresa; mediante sessioni periodiche e flussi informativi dai principali attori del sistema: le funzioni di internal audit, compliance, risk management, controllo di gestione, dirigente preposto alla redazione dei documenti contabili, revisore legale, organismo di vigilanza ex d.lgs. n. 231/2001, ecc.; prendendo conoscenza e approfondendo le criticità e le carenze, le modalità e i tempi di risoluzione delle problematiche, il buon fine delle attività di follow-up, l adeguatezza e il funzionamento delle strutture di controllo; in generale promuovendo gli interventi correttivi delle carenze e delle irregolarità rilevate Banca d Italia, op.cit. pagina febbraio 2014 Il Sistema dei Controlli: Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale

20 Appendice A Il SCI-GR nella Normativa e nell Autodisciplina Il Legislatore nazionale e l Autodisciplina hanno introdotto obblighi di disclosure sul sistema di controllo interno e sulle modalità di gestione dei rischi aziendali. I riferimenti più rilevanti in tale ambito sono: Il Testo Unico della Finanza (D.Lgs. 58/1998) e successive modifiche e integrazioni richiede che nella relazione sulla gestione allegata al bilancio: sia data informativa dei principali rischi e incertezze (art. 154 ter); sia data informativa sulle principali caratteristiche dei sistemi di gestione dei rischi e di controllo interno esistenti in relazione al processo di informativa finanziaria (art. 123 bis). L art del Codice Civile: stabilisce che il bilancio debba essere corredato da una relazione degli amministratori contenente [...] una descrizione dei principali rischi e incertezze cui la società è esposta. Il D.Lgs. 39/2010, intervenuto sul Codice Civile, prevede che il collegio sindacale vigili sull'efficacia dei sistemi di controllo interno e di gestione del rischio. Il D.Lgs. 231/2001 ( Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della legge 29 settembre 2000, n. 300 ), introducendo la responsabilità amministrativa e penale degli enti ha contribuito a promuovere processi di identificazione e valutazione del rischio di commissione di specifiche fattispecie di reato e soprattutto una cultura di risk management a tutti i livelli aziendali. 20 febbraio 2014 Il Sistema dei Controlli: Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale

21 Il Codice di Autodisciplina (dicembre 2011) che sottolinea la centralità del rischio nel sistema di controllo. Numerosi aspetti costituiscono utili spunti di riflessione anche per aziende non quotate: 1. Centralità del rischio 7.P.1, 7.P.2. Sottolinea la centralità del rischio nel sistema dei controlli e rafforza l attenzione al risk management quale strumento gestionale per contribuire a una conduzione sana dell impresa coerente con gli obiettivi strategici e all assunzione di decisioni consapevoli 2. Sistema dei controlli unico e integrato 7.P.3. Rafforza il principio di unicità del sistema, esplicitando l opportunità di prevedere modalità di coordinamento tra i diversi soggetti al fine di massimizzare l efficienza del sistema di controllo interno e di gestione dei rischi e di ridurre la duplicazione delle attività. 3. Politiche di gestione dei rischi riflesse nelle remunerazioni 6.P.4, 6.C.1, 6.C.3. E stato introdotto il criterio secondo cui componenti fisse e variabili della remunerazione di amministratori e dirigenti debbano essere adeguatamente bilanciate anche in funzione della politica di gestione dei rischi. 4. Funzioni di controllo di secondo livello 7.P.1, commento art. 7 Chiarimento dei ruoli 7.C.1, 7.C.2, commento art. 8. Sono stati chiariti i ruoli di competenza tra il Comitato controllo e rischi (supporto alle decisioni e valutazioni gestionali del CdA sul sistema di controllo interno e di gestione dei rischi) e il Collegio Sindacale (vigilanza sull efficacia del sistema di controllo interno e di gestione dei rischi) 21 febbraio 2014 Il Sistema dei Controlli: Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale

22 Appendice B - UN MODELLO DI RIFERIMENTO DI GESTIONE DEL SCI-GR: L ENTERPRISE RISK MANAGEMENT (ERM) Definizione del CoSO ERM Framework del L ERM è un processo, posto in essere dal consiglio di amministrazione, dal management e da altri operatori della struttura aziendale, utilizzato per la formulazione delle strategie in tutta l organizzazione e progettato per: individuare eventi potenziali che possono influire sull attività aziendale; gestire il rischio entro i limiti del rischio accettabile; fornire una ragionevole sicurezza sul perseguimento degli obiettivi aziendali. L ERM consente al management un efficace ed efficiente gestione delle condizioni di incertezza e dei relativi rischi ed opportunità, con conseguente possibilità di salvaguardia o di creazione di valore 22 febbraio 2014 Il Sistema dei Controlli: Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale

23 Le caratteristiche dei sistemi di ERM L ERM deve coinvolgere ogni area della società in un processo continuo e necessita di un forte commitment dei vertici. 1. Inclusione di tutte le categorie di rischio (all risk categories included), strategici, finanziari, operativi, di conformità 2. Focalizzazione su un numero limitato di rischi (key risk focus), in particolare su quelli con il maggiore impatto potenziale sul valore e sulle attività dell azienda; 3. Integrazione nella gestione dei rischi (integrated across risk types) 4. Gestione del rischio L ERM permette di: allineare la strategia al rischio accettabile migliorare la risposta ai rischi individuati ridurre gli imprevisti e le perdite conseguenti identificare e gestire i rischi correlati e multipli identificare le opportunità migliorare l impiego del capitale 23 febbraio 2014 Il Sistema dei Controlli: Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale

24 Il COSO ERM: un modello di Sistema di controllo interno Strategici Operativi Reporting Conformità Obiettivi relativi alla mission aziendale Obiettivi relativi all efficienza e efficacia delle attività operative aziendali Obiettivi relativi all attendibilità dei report interni ed esterni Obiettivi relativi all osservanza delle leggi e dei regolamenti Ambiente interno Definizione degli obiettivi Identificazione degli eventi Valutazione del rischio Risposta al rischio Attività di controllo Informazioni e comunicazione Monitoraggio Modalità in cui il rischio è considerato e affrontato (filosofia di risk management) Gli obiettivi devono essere coerenti con la missione aziendale e allineati al rischio accettabile Identificazione degli eventi che originano rischi e opportunità Metodologie per valutare l impatto e la probabilità dei rischi Metodologia con cui è identificata la reazione da adottare in risposta ai rischi identificati Politiche e procedure per assicurare che le risposte al rischio siano efficacemente eseguite Le informazioni devono essere raccolte e diffuse affinché ciascuno possa adempiere alle proprie responsabilità Verifica l adeguatezza del sistema di ERM 24 febbraio 2014 Il Sistema dei Controlli: Audit, Controllo Interno, Comitato Controllo Rischi e Collegio Sindacale