FNM SpA Linee di Indirizzo del Sistema di Controllo Interno e Gestione dei Rischi

Transcript

1 FNM SpA Linee di Indirizzo del Sistema di Controllo Interno e Gestione dei Rischi Approvate dal Consiglio di Amministrazione in data 17 aprile 2014

2 Linee di Indirizzo del SCIGR 1. Premessa Il Sistema di Controllo Interno e di Gestione dei Rischi (di seguito SCIGR ) di FNM S.p.A. e del gruppo ad essa facente capo ( il Gruppo ) è l insieme delle regole, procedure e delle strutture organizzative volte a consentire l identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi ai quali la Società è esposta. Il SCIGR è componente essenziale del sistema di corporate governance del Gruppo ed è ispirato alle leading practice nazionali ed internazionali. Il SCIGR contribuisce a: garantire la salvaguardia del patrimonio sociale, l efficienza e l efficacia dei processi aziendali; garantire l affidabilità dell informazione finanziaria; garantire il rispetto di leggi e regolamenti nonché dello statuto e delle procedure interne adottate dalla Società; agevolare l efficacia e l efficienza delle operazioni aziendali. Il SCIGR ricomprende, oltre i principi espressi nelle presenti Linee di Indirizzo, anche: le specifiche disposizioni statutarie e regolamentari interne in materia di ripartizione di competenze e deleghe di responsabilità; il sistema delle deleghe, delle procedure e delle aree a rischio mappate nel Modello Organizzativo ai sensi del D.Lgs. 231/2001; gli obiettivi e le metodologie di valutazione dei rischi e le disposizioni in materia di sistema amministrativo, contabile e finanziario. Il SCIGR si uniforma alle raccomandazioni del Codice di Autodisciplina e recepisce i principi esposti nel modello Internal Controls Integrated Framework emesso dal Commitee of Sponsoring Organizations of the Treadway Commission (c.d. COSO Report) e considerato modello internazionale di riferimento per l implementazione, la gestione e la valutazione del SCIGR. Allo scopo di definire i principi, le responsabilità e le modalità di implementazione e gestione del SCIGR, il Consiglio di Amministrazione ha definito le presenti Linee di Indirizzo, adottate attraverso delibera del 17 aprile

3 2. Principi Il SCIGR si articola secondo i seguenti tre livelli: I livello: costituito dalle attività di controllo poste in essere dalle unità operative al fine di garantire il corretto svolgimento delle operazioni di competenza. Responsabilità di tale livello è attribuita al management operativo che nel corso dell operatività giornaliera identifica, misura, valuta e gestisce i rischi derivanti dallo svolgimento dell attività di propria competenza; II livello: costituito dal presidio dei processi di individuazione, valutazione gestione e controllo dei rischi. Rientrano in questo livello l organismo di vigilanza, il Controllo di Gestione, il Dirigente Preposto, il Risk Manager. III livello: costituito dalle funzioni indipendenti che forniscono l assurance complessiva sul disegno e sul funzionamento del SCIGR. Appartiene a questo livello l Internal Audit. Alla base della costruzione di un adeguato sistema di controllo, sia esso di primo, secondo o terzo livello, stanno alcuni principi che sono così riassumibili: - Definizione chiara delle attività, dei ruoli e delle responsabilità; evitando eventuali duplicazioni di attività e assicurando il coordinamento dei soggetti coinvolti; - Segregazione di compiti e responsabilità, tra unità organizzative distinte o all interno delle stesse, al fine di evitare che attività incompatibili risultino concentrate sotto responsabilità comuni; in particolare, assicura la necessaria segregazione delle attività operative e di controllo in modo da prevenire o, ove ciò non sia possibile, attenuare i conflitti di interesse; - Previsione di attività di controllo ad ogni livello operativo; al fine di rilevare tempestivamente anomalie e criticità verificatesi nello svolgimento delle attività operative; - Tracciabilità delle attività operative e di controllo svolte, attraverso l utilizzo di opportuni sistemi informativi e processi di reporting, al fine di assicurare nel tempo la ricostruzione e degli elementi informativi che supportano tali attività. La Società adotta tali principi nella progettazione e nella gestione del proprio SCIGR; verifica periodicamente, secondo le modalità di seguito descritte, l adeguatezza e l efficacia dello SCIGR e provvede conseguentemente ad aggiornare lo stesso. 3. Ruoli e Responsabilità Nell ambito del SCIGR, sussistono le seguenti responsabilità: - il Consiglio di Amministrazione; - il Comitato Controllo e Rischi; 2

4 - l Amministratore incaricato del SCIGR (di seguito, l Amministratore Incaricato ); - il Collegio Sindacale; - il responsabile della funzione di internal audit; - il dirigente preposto alla redazione dei documenti contabili societari (di seguito il Dirigente Preposto ); - l Organismo di Vigilanza ex D.Lgs. n. 231/2001; - il risk committee; - il risk manager; - gli altri organi e funzioni aziendali competenti in materia di controlli interni e gestione dei rischi. Il Consiglio di Amministrazione ha un ruolo di indirizzo e valutazione ultima di adeguatezza del SCIGR. In particolare il Consiglio, previo parere del Comitato Controllo e Rischi: - definisce le linee di indirizzo del SCIGR, in modo che i principali rischi afferenti all emittente e alle sue controllate risultino correttamente identificati, nonché adeguatamente misurati, gestiti e monitorati, determinando inoltre il grado di compatibilità di tali rischi con una gestione dell impresa coerente con gli obiettivi strategici individuati; - valuta, con cadenza almeno annuale, l adeguatezza del SCIGR rispetto alle caratteristiche dell impresa e al profilo di rischio assunto, nonché la sua efficacia; - approva il piano di lavoro predisposto dal responsabile internal audit, sentiti il collegio sindacale e il Presidente, in qualità di amministratore incaricato del SCIGR; - descrive, nella relazione sul governo societario, le principali caratteristiche del SCIGR, esprimendo la propria valutazione sull adeguatezza dello stesso; - valuta, sentito il collegio sindacale, i risultati esposti dal revisore legale nella eventuale lettera di suggerimenti e nella relazione sulle questioni fondamentali emerse in sede di revisione legale; - approva il modello di organizzazione e di gestione di cui al Decreto Legislativo 231/2001 e le relative modifiche ed aggiornamenti. Il Consiglio inoltre nomina e revoca i componenti dell Organismo di Vigilanza 231, con le caratteristiche e secondo le modalità previste dal medesimo Modello; - nomina l Amministratore Incaricato; - costituisce nel suo ambito un Comitato Controllo e Rischi, indicandone il Presidente. Il Consiglio di Amministrazione, su proposta del Presidente quale Amministratore incaricato del SCIGR e previo parere favorevole del comitato controllo e rischi, nonché sentito il collegio sindacale: - nomina e revoca il responsabile della funzione di internal audit; - assicura che lo stesso sia dotato delle risorse adeguate all espletamento delle proprie responsabilità; 3

5 - ne definisce la remunerazione coerentemente con le politiche aziendali. Il Comitato Controllo e Rischi svolge una attività istruttoria a supporto delle valutazioni e delle decisioni del Consiglio di Amministrazione relative al SCIGR. In particolare, il Comitato, nell assistere il Consiglio di Amministrazione: - fornisce al Consiglio un parere preventivo per l espletamento dei compiti a quest ultimo affidati dal Codice di Autodisciplina in materia di controllo interno e gestione dei rischi e lo assiste nella definizione e aggiornamento delle linee di indirizzo del SCIGR; - esprime pareri su specifici aspetti inerenti alla identificazione dei principali rischi aziendali; - fornisce parere nel caso di decisioni relative a nomina, revoca, remunerazione e dotazione di risorse del responsabile internal audit; - monitora l autonomia, l adeguatezza, l efficacia e l efficienza della funzione internal audit; - chiede alla funzione di internal audit ove ne ravvisi l esigenza lo svolgimento di verifiche su specifiche aree operative, dandone contestuale comunicazione al Presidente del Collegio Sindacale; - svolge le funzioni di Comitato per le Operazioni con Parti Correlate, così come da specifica procedura approvata dal Consiglio di Amministrazione il 29 novembre 2010, giusta delibera CONSOB n del 12 marzo 2010; - valuta con il Dirigente Preposto, sentiti la Società di Revisione ed il Collegio Sindacale, la corretta applicazione dei principi contabili e la loro omogeneità ai fini della redazione del bilancio consolidato; - esprime pareri in ordine alla identificazione, misurazione, gestione e monitoraggio dei principali rischi aziendali nonché alla definizione della natura e del livello di rischio ritenuto compatibile con gli obiettivi strategici, in collegamento con le funzioni aziendali preposte; - esamina le relazioni periodiche, aventi per oggetto la valutazione del SCIGR, nonché quelle di particolare rilevanza approntate dal responsabile internal audit; - esamina, di concerto con il Collegio Sindacale, i risultati esposti dalla società di revisione nella relazione e nell eventuale lettera di suggerimenti; - riferisce al Consiglio, in occasione dell esame ed approvazione della relazione finanziaria annuale e semestrale, sull attività da esso svolta nonché sull adeguatezza del SCIGR. Ai lavori del comitato controllo e rischi partecipa il Presidente del Collegio Sindacale o altro sindaco da lui designato; possono comunque partecipare anche gli altri sindaci. L Amministratore Incaricato del SCIGR, che nell attuale Governance societaria coincide con il Presidente del Consiglio di Amministrazione: 4

6 - cura l identificazione dei principali rischi aziendali, tenendo conto delle caratteristiche delle attività svolte dalla Società e dalle sue controllate, e li sottopone periodicamente all esame del Consiglio di Amministrazione; - dà esecuzione alle linee di indirizzo definite dal Consiglio di Amministrazione su proposta del comitato controllo e rischi, curando la progettazione, realizzazione e gestione del SCIGR e verificandone costantemente l adeguatezza e l efficacia; - provvede all adattamento di tale sistema alla dinamica delle condizioni operative e del panorama legislativo e regolamentare; - può chiedere alla funzione di internal audit lo svolgimento di verifiche su specifiche aree operative e sul rispetto delle regole e procedure interne nell esecuzione di operazioni aziendali, dandone contestuale comunicazione al Presidente del comitato controllo e rischi e al Presidente del Collegio Sindacale; - riferisce tempestivamente al comitato controllo e rischi e al Consiglio di Amministrazione in merito a problematiche e criticità emerse nello svolgimento della propria attività o di cui abbia avuto comunque notizia, affinché possano essere assunte le opportune iniziative. Il Collegio Sindacale, in quanto vertice del sistema di vigilanza dell emittente, nell ambito dei compiti assegnati dalla legge e in qualità di Comitato per il controllo interno e la revisione contabile ai sensi del D.Lgs n 39, nel rispetto delle raccomandazioni espresse dal Codice di Autodisciplina, vigila sulla generale efficacia del SCIGR. Il responsabile della funzione di internal audit è incaricato della verifica di adeguatezza ed effettivo funzionamento del SCIGR e in particolare: - verifica, sia in via continuativa sia in relazione a specifiche necessità e nel rispetto degli standard internazionali, l operatività e l idoneità del SCIGR, attraverso un piano di audit, approvato dal Consiglio di Amministrazione, basato su un processo strutturato di analisi e prioritizzazione dei principali rischi; - predispone relazioni periodiche contenenti adeguate informazioni sulla propria attività, sulle modalità con cui viene condotta la gestione dei rischi nonché sul rispetto dei piani definiti per il loro contenimento. Le relazioni periodiche contengono una valutazione sull idoneità del SCIGR; - predispone tempestivamente relazioni su eventi di particolare rilevanza; - trasmette le relazioni di cui ai punti precedenti ai Presidenti del Collegio Sindacale, del Comitato controllo e rischi e del Consiglio di Amministrazione; - verifica nell ambito del piano di audit l affidabilità dei sistemi informativi, inclusi i sistemi di rilevazione contabile. Il responsabile della funzione di internal audit: 5

7 - non è responsabile di alcuna area operativa e dipende gerarchicamente dal Consiglio di Amministrazione inteso nella sua collegialità; - ha accesso diretto a tutte le informazioni utili per lo svolgimento del suo incarico. Le competenze di dettaglio, le responsabilità e i poteri di accesso a documenti e informazioni sono declinati in un documento definito mandato di audit, emesso dal Consiglio di Amministrazione nella riunione di insediamento, in conformità a quanto previsto dagli standard internazionali della professione di internal audit emessi dall Istitute of Internal Auditors. Il Dirigente Preposto è responsabile, secondo quanto previsto nella Legge n. 262 del 2005, della implementazione di un adeguato sistema di controllo a presidio della veridicità dell informativa finanziaria. A tal fine predispone adeguate procedure amministrative e contabili per la formazione del bilancio d esercizio e del bilancio consolidato ed ogni comunicazione di carattere finanziario del Gruppo. Il Dirigente cura l applicazione e l aggiornamento di tali procedure, che costituiscono il Sistema di Controllo interno per il financial reporting, parte integrante del più ampio SCIGR. Conformemente alle previsioni della suddetta normativa, il Dirigente Preposto rilascia una dichiarazione di accompagnamento agli atti e comunicazioni finanziarie, che ne attesta la corrispondenza alle risultanze dei documenti, libri e scritture contabili; inoltre, in sede di pubblicazione del bilancio d esercizio, rilascia una dichiarazione di adeguatezza ed effettiva applicazione delle procedure predisposte e di conformità del documento pubblicato ai principi contabili di riferimento. Il Dirigente Preposto è nominato e revocato dal Consiglio di Amministrazione, previo parere del Collegio Sindacale. Il Consiglio vigila inoltre affinché il Dirigente disponga dei mezzi e dei poteri necessari all assolvimento dei compiti a lui assegnati e sull effettivo rispetto delle procedure dallo stesso predisposte. L Organismo di Vigilanza 231 è incaricato di vigilare sull adeguatezza, aggiornamento ed effettivo funzionamento del modello di organizzazione e gestione ai sensi del D. Lgs. 231 del 2001, anch esso parte integrante del più ampio del SCIGR. Il responsabile internal audit è membro interno dell Organismo di Vigilanza, secondo quanto previsto dal modello medesimo. Per i ruoli e i compiti di dettaglio dell Organismo si rinvia al Modello Organizzativo 231 in vigore. Il risks committee è composto dai dirigenti titolari dei processi aziendali nell ambito dei quali vengono svolte regolari attività di risk analysis, in conformità a normative di settore o per specifiche esigenze operative. Si riunisce periodicamente allo scopo di condividere le rispettive risultanze di risk analysis, definire sinergie per evitare duplicazioni di attività e programmare, laddove possibile, sessioni coordinate. 6

8 L attività del risks committee viene riassunta in specifiche relazioni di sintesi a cura del risk manager, indirizzate all Amministratore Incaricato e al Comitato Controllo e Rischi. Il risk manager, in collaborazione con i titolari di processo definiti, coordina e monitora l intero processo di risk management secondo le modalità di dettaglio definita nell apposita procedura operativa risk management. Tutti i Dipendenti del Gruppo FNM sono chiamati a contribuire all efficace funzionamento del SCIGR, attraverso lo svolgimento diligente delle attività di loro competenza e la segnalazione al proprio referente delle criticità riscontrate nello svolgimento delle stesse. I dipendenti sono inoltre chiamati a segnalare, attraverso gli appositi canali predisposti, le violazioni alle norme etiche adottate dal Gruppo e al Modello Organizzativo Implementazione e Gestione del SCIGR 4.1. Individuazione dei Rischi Avvalendosi del supporto delle funzioni di controllo di secondo e terzo livello il l Amministratore incaricato del SCIGR indirizza le attività di gestione dei rischi sui principali rischi aziendali, tenendo conto degli obiettivi aziendali e delle specificità di business del Gruppo. Le modalità di valutazione di tali rischi constano dei seguenti aspetti; - natura del rischio, esemplificabile in strategica, operativa, finanziaria, di frode o di compliance normativa; - probabilità del verificarsi dell evento negativo connesso al rischio; - impatto dell evento negativo sull attività aziendale. Il Consiglio di Amministrazione, su proposta dell Amministratore Incaricato e giusta parere del Comitato Controllo e Rischi, determina il livello di rischio ritenuto compatibile con gli obiettivi strategici del gruppo e valuta le misure di contenimento intraprese e da intraprendersi a presidio di tali rischi Attuazione del SCIGR Il Presidente, in qualità di Amministratore incaricato del SCIGR, cura l attuazione delle presenti linee di indirizzo, assicurandosi che il SCIGR: - sia parte integrante dell operatività e della cultura del Gruppo, attivando a tal fine idonei processi di informazione, comunicazione e formazione e sistemi di retribuzione e disciplinari che incentivino la corretta gestione dei rischi e scoraggino comportamenti contrari ai principi dettati da tali processi; - sia idoneo a reagire tempestivamente a significative situazioni di rischio che nascano sia all interno del Gruppo che da modifiche dell ambiente in cui il Gruppo opera; 7

9 - preveda regolari attività di controllo dell efficacia del SCIGR, nonché la possibilità di attivare specifiche attività di controllo nell ipotesi in cui vengano segnalate debolezze nel SCIGR; - faciliti l individuazione e tempestiva esecuzione di azioni correttive. Con cadenza annuale, contestualmente alla fase di predisposizione del budget, esegue una analisi globale dei rischi con la relativa valutazione del loro possibile impatto sul raggiungimento dei risultati. Tale valutazione si concretizza in un documento in cui viene rappresentato in maniera completa il livello di rischio per ogni area di rilievo e vengono definite le azioni dirette a mitigare i rischi previsti. Il Comitato Controllo e Rischi potrà richiedere delucidazioni e/o integrazioni al predetto documento affinché possa relazionare in modo esaustivo al Consiglio di Amministrazione. Il Consiglio di Amministrazione dovrà essere posto nelle condizioni di poter valutare agevolmente se il livello di rischio compatibile con gli obiettivi strategici della Società è accettabile così come riportato nel documento predisposto dal risks committee e discusso con il Comitato Controllo e Rischi. Il Consiglio di Amministrazione dovrà esprimere la propria opinione in merito alle azioni di mitigazione proposte e sull entità del rischio residuo. L'esame, la discussione e la definizione nel Consiglio di Amministrazione della natura e livello di rischio compatibile con gli obiettivi aziendali è attuata attraverso un analisi critica della valutazione di probabilità/impatto e tiene conto di parametri collegati al risultato della gestione, al patrimonio netto e alla posizione finanziaria netta della Società. Le modalità di dettaglio con il quale viene gestito il complessivo processo di risk management sono definite in una specifica procedura operativa, parte integrante del sistema procedurale della società, a cura dell Amministratore Incaricato Valutazione dell efficacia del SCIGR La piena e corretta efficacia del SCIGR è garantita dalla periodica verifica dell adeguatezza e dell effettivo funzionamento e dalla sua eventuale conseguente revisione. Tale verifica periodica spetta al Consiglio di Amministrazione ed è svolta col supporto del Comitato Controllo e Rischi e la Funzione di Internal Audit. Il Consiglio di Amministrazione riceve ed esamina le relazioni periodiche predisposte dal Responsabile Internal Audit e dal Comitato Controllo e Rischi. Il Consiglio di Amministrazione, inoltre in occasione dell approvazione del bilancio: - esprime la propria valutazione circa l efficacia e l adeguatezza del SCIGR del Gruppo ponendo particolare attenzione alle eventuali inefficienze che siano state segnalate; - considera quali azioni siano state poste in essere ovvero debbano essere tempestivamente intraprese per sanare tali carenze. 8