Sistema di Controllo Interno e Gestione Rischi

Transcript

1 Management System Guideline Sistema di Controllo Interno e Gestione Rischi 11 aprile

2 Messaggio del CEO Il Sistema di Controllo Interno e Gestione dei Rischi (di seguito SCIGR) è considerato in eni un elemento fondamentale per consentire una conduzione dell impresa sana, corretta e coerente con gli obiettivi aziendali. Anche in attuazione delle raccomandazioni del nuovo Codice di Autodisciplina delle società quotate del 5 dicembre 2011, cui eni spa ha aderito con delibera del Consiglio di Amministrazione (di seguito CdA) del 26 aprile 2012, il CdA di eni spa ha deciso di emettere delle Linee di indirizzo SCIGR che contengono ruoli e responsabilità, principi di riferimento e criteri attuativi inderogabili da parte di tutte le società di eni in materia di SCIGR. Ad eni spa - nell ambito del proprio ruolo di direzione e coordinamento - è assegnata la responsabilità di emanare le Linee di Indirizzo e il relativo modello di attuazione, a cui le società di eni devono attenersi, monitorandone il recepimento. Ogni società di eni è autonomamente responsabile dell istituzione e funzionamento del proprio SCIGR. La presente Management System Guideline (di seguito MSG SCIGR ) illustra il modello di riferimento per l implementazione e mantenimento di un adeguato e funzionante SCIGR in linea con quanto previsto nelle Linee di Indirizzo ed è stata sviluppata con l obiettivo primario di rappresentare in modo organico ed efficiente, in un unico documento, i diversi elementi del SCIGR da tempo in essere in eni. L adozione di questa MSG non comporta responsabilità diverse da quanto già previsto in eni ma, in linea con le best practice nazionali e internazionali e considerando le specificità di eni, fornisce un supporto fondamentale per l implementazione di un Sistema che faciliti l assunzione di decisioni consapevoli. È fondamentale che tutte le persone di eni, anche attraverso la diffusione di una cultura della gestione del rischio, si sentano coinvolte e contribuiscano al processo di rafforzamento continuo del SCIGR che assicuri efficacia complessiva e, affinché crei valore aggiunto per eni, sia attuato in maniera efficiente, evitando duplicazioni e cogliendo possibili sinergie e opportunità di semplificazione operativa. Paolo Scaroni 2

3 Indice SISTEMA DI CONTROLLO INTERNO ENI 5 1. INTRODUZIONE Obiettivi del documento Ambiti di applicazione Modalità di recepimento 8 2. LINEE DI INDIRIZZO SCIGR Principi di riferimento Ruoli e responsabilità del SCIGR eni Criteri attuativi 26 Architettura del SCIGR di eni 26 Flussi informativi 27 Modalità di attuazione nelle Società Controllate FRAMEWORK SCIGR La struttura del framework Obiettivi del SCIGR (I dimensione) Ambiti di applicazione (II dimensione) Processo SCIGR (III dimensione) Ambiente interno Identificazione, valutazione e trattamento dei rischi Attività di controllo Monitoraggio Riesame e valutazione Informazione e Comunicazione 71 3

4 Indice 4. PASSI OPERATIVI PER L IMPLEMENTAZIONE, MONITORAGGIO E RIESAME DEL SCIGR DEFINIZIONI, ABBREVIAZIONI E ACRONIMI 76 INDICE ALLEGATI 79 4

5 SISTEMA DI CONTROLLO INTERNO ENI Il Consiglio di Amministrazione di eni spa (di seguito CdA di eni spa), con delibera del 26 aprile 2012, ha aderito al Codice di Autodisciplina per le società italiane con azioni quotate - edizione dicembre 2011, e ha deciso di adottare uno strumento normativo per la disciplina integrata del Sistema di Controllo Interno e di Gestione dei Rischi (di seguito SCIGR). A tal fine il CdA di eni spa, con delibera del 14 Marzo 2013, ha approvato, previo parere del Comitato Controllo e Rischi di eni spa, le linee di indirizzo sul SCIGR (di seguito Linee di Indirizzo 1 ) di eni spa e delle Società Controllate (di seguito, congiuntamente, eni), che definiscono i principi di riferimento, ruoli e responsabilità delle figure chiave e criteri attuativi. L Amministratore Delegato 2 di eni spa (di seguito CEO di eni spa) dà esecuzione alle Linee di Indirizzo, curando la progettazione, realizzazione e gestione del SCIGR, verificandone costantemente l adeguatezza e l efficacia. Il SCIGR è l insieme di strumenti, strutture organizzative, norme e regole aziendali volte a consentire una conduzione dell impresa di eni sana, corretta e coerente con gli obiettivi aziendali definiti dal CdA, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, così come attraverso la strutturazione di adeguati flussi informativi volti a garantire la circolazione delle informazioni. Tale sistema è integrato nei più generali assetti organizzativi e di governo societario adottati ed è coerente con le best practice in materia. 1 Le Linee di Indirizzo approvate dal CdA di eni spa, previo parere e su proposta del Comitato Controllo e Rischi di eni spa, sono contenute nel capitolo 2 della presente MSG. 2 Il CdA, come da delibera del 26 aprile 2012, ha attribuito al CEO il compito di sovrintendere al sistema di controllo interno e gestione rischi. 5

6 Un efficace SCIGR favorisce l assunzione di decisioni consapevoli e concorre ad assicurare la salvaguardia del patrimonio sociale, l efficienza e l efficacia dei processi aziendali, l affidabilità dell informativa finanziaria, il rispetto di leggi e regolamenti, dello Statuto Sociale, e degli strumenti normativi interni. Il CdA di eni spa valuta con cadenza semestrale l'adeguatezza del SCIGR rispetto alle caratteristiche di eni e al profilo di rischio assunto e compatibile con gli obiettivi aziendali, nonché la sua efficacia. 6

7 Introduzione 1 1. INTRODUZIONE 1.1. Obiettivi del documento Diffondere le Linee di Indirizzo sul Sistema di Controllo Interno e Gestione dei Rischi (SCIGR) che consistono in principi di riferimento, ruoli e responsabilità, criteri attuativi in termini di architettura, flussi informativi e modalità di attuazione nelle società. Disciplinare il processo relativo al SCIGR, che partendo dagli obiettivi aziendali illustra le singole fasi: i) definizione e attuazione dell Ambiente interno, ii) Identificazione, valutazione e trattamento dei rischi, iii) Definizione e attuazione delle Attività di controllo, iv) Monitoraggio, v) Riesame e valutazione dell intero sistema e vi) Informazione e comunicazione Ambiti di applicazione 34 La presente MSG si applica a eni spa e a tutte le società da essa direttamente o indirettamente controllate, in Italia e all estero 3 ( Società Controllate ). Le linee di Indirizzo, di cui al capitolo 2 della presente MSG 4, sono inderogabili. Quanto descritto nella presente MSG si applica salvo quanto diversamente previsto dai modelli di compliance e/o governance, adottati da eni spa e dalle Società Controllate in relazione all adeguamento a leggi o regolamenti a esse applicabili. Le società quotate, le società operanti nelle attività del settore gas oggetto di separazione funzionale ( società unbundled ) e le società soggette a discipline speciali, in particolare quelle del settore bancario e finanziario, il cui sistema di controllo interno è soggetto a discipline di settore, ricevono la presente MSG e la adottano, adeguandola - ove necessario - alle peculiarità della propria impresa e tenendo conto della disciplina a esse applicabile. 3 L elenco delle società in ambito è rappresentato dall allegato imprese controllate dell ultimo bilancio consolidato approvato. 4 Approvate dal CdA di eni spa previo parere e su proposta del Comitato Controllo e Rischi di eni spa. 7

8 Introduzione Modalità di recepimento Le Società Controllate assicurano il recepimento della presente MSG tempestivamente e comunque non oltre il 30 Settembre 2013, secondo le modalità descritte nella MSG del Sistema Normativo. La presente MSG annulla e sostituisce il documento Principi di Risk Management Integrato approvato dal Consiglio di Amministrazione di eni spa il 13 Dicembre

9 Linee di Indirizzo SCIGR 2 2. LINEE DI INDIRIZZO SCIGR Principi di riferimento Il SCIGR si ispira ai seguenti principi: MODELLO INTEGRATO Le componenti del SCIGR sono tra loro coordinate e interdipendenti, e il sistema, nel suo complesso, è a sua volta integrato nel generale assetto organizzativo, amministrativo e contabile 6. Il SCIGR coinvolge con diversi ruoli, secondo logiche di collaborazione e coordinamento, gli organi amministrativi, gli organismi di vigilanza, gli organi di controllo, il Management e tutto il personale. DIREZIONE E COORDINAMENTO eni spa nell ambito della propria attività di direzione e coordinamento nei confronti delle Società Controllate 7, emana e diffonde le Linee di Indirizzo e il relativo modello di attuazione contenuti nella MSG SCIGR, a cui le Società Controllate devono attenersi, nell istituzione e mantenimento del relativo SCIGR. AUTONOMIA SOCIETARIA DELLE SOCIETÀ CONTROLLATE Deve essere garantita l autonomia societaria delle controllate per quanto attiene l'istituzione e il mantenimento di un adeguato e funzionante SCIGR, nel rispetto degli indirizzi di direzione e coordinamento di eni spa. 5 Le Linee di Indirizzo, di cui al presente capitolo 2, sono approvate dal CdA di eni spa previo parere e su proposta del Comitato Controllo e Rischi di eni spa. 6 Cfr. Codice di Autodisciplina eni. 7 L elenco delle società in ambito è rappresentato dall allegato imprese controllate dell ultimo bilancio consolidato approvato. 9

10 Linee di Indirizzo SCIGR 2 RISPETTO DELLE DISPOSIZIONI DI LEGGE E COERENZA CON LE BEST PRACTICE Al fine di garantire il rispetto delle disposizioni di legge, eni definisce, ove opportuno, modelli di compliance e/o governance strutturati e organizzati in conformità con le previsioni normative applicabili. Il SCIGR è definito nel rispetto di tali modelli (che ne formano, comunque, parte integrante) e in coerenza con le best practice nazionali e internazionali. A tale riguardo, eni ha aderito al Codice di Autodisciplina e si conforma al CoSO Report 8 che rappresenta il framework di riferimento, internazionalmente riconosciuto, per la comprensione, l analisi e la valutazione integrata dell efficacia del SCIGR. RESPONSABILIZZAZIONE DEL MANAGEMENT Il Management, nell ambito delle funzioni ricoperte e nel conseguimento dei correlati obiettivi, garantisce l adeguatezza del SCIGR per le attività di competenza, partecipando attivamente al suo corretto funzionamento. A tal fine, anche in funzione dei rischi gestiti, istituisce specifiche attività di controllo e processi di monitoraggio idonei ad assicurare l efficacia e l efficienza del SCIGR nel tempo e a prevenire e individuare irregolarità e/o atti fraudolenti. Resta fermo il principio generale secondo cui tutto il personale eni deve tenere una condotta coerente con le regole e procedure definite nel SCIGR. COERENZA CON GLI OBIETTIVI AZIENDALI - Il SCIGR contribuisce a una conduzione dell'impresa volta allo sviluppo sostenibile, alla massimizzazione del valore dell'azienda e coerente con gli obiettivi aziendali definiti dal CdA della società, supportando il Management nell'assunzione di decisioni consapevoli in cui i principali rischi sono identificati, valutati, gestiti e monitorati in relazione alla loro capacità di influenzare il raggiungimento degli obiettivi e di incidere sul valore dell azienda. 8 CoSO Committee of Sponsoring Organisations of the Treadway Commission (1992), Internal Control, Integrated Framework. 10

11 Linee di Indirizzo SCIGR 2 APPROCCIO PER PROCESSI (PROCESS BASED) Il SCIGR, in generale, è ispirato a una logica per processi, indipendentemente dalla collocazione delle relative attività nell assetto organizzativo e societario di eni. In particolare il SCIGR si articola in funzione della natura e degli obiettivi del processo. APPROCCIO BASATO SUL RISCHIO (RISK BASED) Il SCIGR prevede un approccio preventivo ai rischi, che attraverso il processo di identificazione, valutazione, gestione e monitoraggio dei principali rischi, contribuisce a supportare processi decisionali consapevoli, nonché, ove possibile, alla traduzione dei principali rischi in opportunità e vantaggio competitivo. Il SCIGR è definito e attuato in funzione delle fattispecie e rilevanza dei rischi che si intende mitigare. IMPORTANZA DEI FLUSSI INFORMATIVI - I flussi informativi sono fondamentali per consentire l adempimento delle responsabilità in materia di SCIGR e quindi per il perseguimento dei relativi obiettivi. A ogni persona sono rese disponibili le informazioni necessarie per adempiere alle proprie responsabilità, incluse quelle in materia di SCIGR. MASSIMIZZAZIONE DELL'EFFICIENZA E DELL'EFFICACIA Il SCIGR è definito in ottica di massimizzazione dell'efficacia ed efficienza, anche mediante la riduzione di eventuali duplicazioni di attività e il coordinamento tra i principali ruoli previsti dal SCIGR e tra i diversi elementi che lo costituiscono. Il SCIGR deve pertanto consentire di presidiare adeguatamente i principali rischi perseguendo un equilibrio tra costi-benefici, anche mediante possibili sinergie nella definizione e attuazione dei controlli. MIGLIORAMENTO CONTINUO E PRATICA DELL'ECCELLENZA eni persegue il miglioramento continuo del SCIGR in funzione dell evoluzione del contesto di riferimento, al fine di garantire un costante aggiornamento dello stesso rispetto alle best practice, tenendo in considerazione gli interessi degli stakeholder di eni. 11

12 Linee di Indirizzo SCIGR 2 Le persone di eni partecipano attivamente al miglioramento continuo fornendo indicazioni, suggerimenti e feedback. TRACCIABILITÀ Le persone coinvolte nei processi aziendali devono garantire, ove richiesto da disposizioni di legge o da strumenti normativi, ciascuna per la parte di propria competenza, la tracciabilità delle attività di individuazione, valutazione, gestione e monitoraggio dei rischi e dei controlli e della relativa documentazione, assicurandone nel tempo l individuazione, la ricostruzione delle fonti e degli elementi informativi che supportano le attività. Inoltre devono assicurare la conservazione della documentazione inerente, anche e non solo nel rispetto dei termini di legge, utilizzando, laddove disponibili, i sistemi informativi dedicati. SEGREGAZIONE DELLE ATTIVITÀ Il SCIGR prevede la segregazione di compiti e responsabilità, tra le funzioni e all'interno delle stesse, tale da evitare situazioni di concentrazione di attività incompatibili. L'applicazione del principio è attuata in relazione alla natura delle attività, al grado e alla tipologia di rischio associato all attività medesima, evitando inefficienze organizzative, in particolare nel caso di realtà organizzative di modeste dimensioni. 12

13 Linee di Indirizzo SCIGR Ruoli e responsabilità del SCIGR eni Il SCIGR di eni prevede i seguenti principali ruoli e relative responsabilità: CONSIGLIO DI AMMINISTRAZIONE di eni spa (di seguito CdA di eni spa), previo parere del Comitato Controllo e Rischi di eni spa: definisce le Linee di Indirizzo del SCIGR di eni spa, delle principali Società Controllate e del gruppo, in modo che i principali rischi di eni risultino correttamente identificati, nonché adeguatamente misurati, gestiti e monitorati, determinando inoltre il grado di compatibilità di tali rischi con una gestione dell impresa coerente con gli obiettivi strategici; esamina i principali rischi di eni sottoposti almeno semestralmente dal CEO di eni spa e valuta con cadenza semestrale, salvo eventi imprevisti che possono richiedere approfondimenti straordinari volti a verificare l'efficacia dei controlli in relazione a situazioni particolari, l'adeguatezza del SCIGR rispetto alle caratteristiche di eni e al profilo di rischio assunto e compatibile con gli obiettivi aziendali, nonché la sua efficacia 9 ; approva, con cadenza almeno annuale, il piano di lavoro (di seguito Piano di Audit ) predisposto dal Direttore Internal Audit di eni spa, sentiti il Collegio Sindacale e il CEO di eni spa; descrive, nella relazione sul governo societario, le principali caratteristiche del SCIGR, esprimendo la propria valutazione di adeguatezza dello stesso; 9 In questo caso il Comitato Controllo e Rischi esamina i principali rischi sottoposti al CdA di eni spa ed esprime pareri su specifici aspetti inerenti alla identificazione dei principali rischi. 13

14 Linee di Indirizzo SCIGR 2 valuta, sentito il Collegio Sindacale di eni spa, i risultati esposti dal revisore legale nella eventuale lettera di suggerimenti e nella relazione sulle questioni fondamentali emerse in sede di revisione legale; su proposta del CEO formulata d intesa con il Presidente del CdA di eni spa, previo parere favorevole del Comitato per le Nomine, sentito il Collegio Sindacale di eni spa, nomina e revoca il Direttore Internal Audit di eni spa, assicura che lo stesso sia dotato di risorse adeguate all espletamento delle proprie responsabilità e ne definisce la struttura di remunerazione, coerentemente con le politiche aziendali 10. PRESIDENTE DEL CDA di eni spa, fermo restando le altre attribuzioni previste dalla legge, dallo Statuto Sociale e dal sistema di governance della società, valuta e condivide le proposte formulate dal CEO di eni spa, da sottoporre all approvazione del CdA di eni spa, relative alla nomina e revoca dei Direttori Generali (di seguito Chief Operating Officer) di eni spa e formula la proposta di nomina del CEO di eni spa quale Direttore Generale; valuta e condivide le proposte formulate dal CEO di eni spa relative alla composizione, e sue modifiche e integrazioni, dell Organismo di Vigilanza di eni spa; valuta e condivide le proposte formulate dal CEO di eni spa relative alla nomina e revoca del Dirigente preposto alla redazione dei documenti contabili societari di eni spa e del Direttore Internal Audit di eni spa. Limitatamente a quest ultimo valuta e condivide le proposte del CEO di eni spa anche relativamente alla definizione della struttura di remunerazione fissa e variabile coerentemente con le politiche aziendali, nonché 10 In questi casi il Comitato Controllo e Rischi esprime parere favorevole. 14

15 Linee di Indirizzo SCIGR 2 all adeguatezza delle risorse allo stesso assegnate per l espletamento delle proprie responsabilità; riceve contestualmente al CEO di eni spa, al Presidente del Comitato Controllo e Rischi di eni spa e al Presidente del Collegio Sindacale di eni spa, le risultanze delle attività di audit svolte dalla Direzione Internal Audit di eni spa, nonché le relazioni periodiche contenenti adeguate informazioni sull attività della Direzione Internal Audit di eni spa, sulle modalità con cui è condotta la gestione dei rischi nonché sul rispetto dei piani definiti per il loro contenimento; riceve contestualmente al CEO di eni spa, al Presidente del Comitato Controllo e Rischi di eni spa e al Presidente del Collegio Sindacale di eni spa, le relazioni su eventi di particolare rilevanza predisposte dalla Direzione Internal Audit di eni spa; è informato, contestualmente al Presidente del Comitato Controllo e Rischi di eni spa e al Presidente del Collegio Sindacale di eni spa qualora il CEO di eni spa chieda alla Direzione Internal Audit di eni spa lo svolgimento di verifiche su specifiche aree operative e sul rispetto delle regole e procedure interne nell esecuzione di operazioni aziendali; riceve dall Organismo di Vigilanza di eni spa un rapporto semestrale relativo all attività svolta con segnalazione dell esito delle verifiche e delle innovazioni legislative in materia di responsabilità amministrativa degli enti nonché una informativa immediata, da parte dello stesso, ove risultino accertati fatti di particolare materialità o significatività; può chiedere al CEO di eni spa, anche su richiesta di uno o più amministratori, che i dirigenti di eni spa e quelli della società del gruppo che ad esso fa capo, responsabili delle funzioni aziendali competenti secondo la materia, e in particolare il Responsabile RMI, intervengano alle riunioni 15

16 Linee di Indirizzo SCIGR 2 consiliari per fornire gli opportuni approfondimenti sugli argomenti posti all ordine del giorno. COMITATO CONTROLLO E RISCHI di eni spa (di seguito CCR di eni spa), supporta il CdA di eni spa, con un adeguata attività istruttoria, nelle valutazioni e nelle decisioni relative al SCIGR, nonché in quelle relative all approvazione delle relazioni finanziarie periodiche. In particolare nell assistere il CdA di eni spa 11 : rilascia parere preventivo e formula proposte in merito alla definizione/aggiornamento delle Linee di Indirizzo del SCIGR; esamina i principali rischi sottoposti al CdA di eni spa ed esprime pareri su specifici aspetti inerenti alla identificazione dei principali rischi; valuta, unitamente al Dirigente preposto alla redazione dei documenti contabili societari di eni spa e sentiti il revisore legale e il Collegio Sindacale di eni spa, il corretto utilizzo dei principi contabili e la loro omogeneità ai fini della redazione del bilancio consolidato; rilascia parere favorevole in merito alle proposte del CEO di eni spa, formulate d intesa con il Presidente del CdA di eni spa, riguardanti la nomina e revoca del Direttore Internal Audit di eni spa, e, coerentemente con le politiche aziendali, sulla definizione della struttura di remunerazione del Direttore Internal Audit di eni spa, nonché sull adeguatezza delle risorse a quest ultimo assegnate per l espletamento delle proprie responsabilità; rilascia parere preventivo, sul Piano di Audit predisposto, con cadenza almeno annuale, dal Direttore Internal Audit di eni spa; esamina le risultanze delle attività di audit svolte dalla Direzione Internal Audit di eni spa (di seguito Rapporti di Internal Audit ), nonché le relazioni 11 Per la descrizione completa dei compiti attribuiti al CCR, si rinvia al Regolamento approvato dal CdA con delibera del 31 luglio

17 Linee di Indirizzo SCIGR 2 periodiche, aventi per oggetto la valutazione del SCIGR, e quelle di particolare rilevanza predisposte dal Direttore Internal Audit di eni spa; monitora l autonomia, l adeguatezza, l efficacia e l efficienza della Direzione Internal Audit di eni spa e ne sovrintende alle attività, affinché le stesse siano svolte assicurando il mantenimento delle necessarie condizioni di indipendenza e con la dovuta obiettività, competenza e diligenza professionali nel rispetto di quanto prescritto dal Codice Etico di eni spa e dagli standard internazionali; può incaricare la Direzione Internal Audit di eni spa dello svolgimento di verifiche su specifiche aree operative (c.d. Audit Spot), dandone contestuale comunicazione al Presidente del Collegio Sindacale di eni spa; esamina e valuta le comunicazioni e le informazioni ricevute dal Collegio Sindacale di eni spa e dai suoi componenti in merito al SCIGR; esamina e valuta le informative sul SCIGR, anche nell ambito di incontri periodici con le strutture preposte della società e di indagini ed esami svolti da terzi in merito; riceve dall Organismo di Vigilanza di eni spa un rapporto semestrale relativo all attività svolta con segnalazione dell esito delle verifiche e delle innovazioni legislative in materia di responsabilità amministrativa degli enti nonché una informativa immediata, da parte dello stesso, ove risultino accertati fatti di particolare materialità o significatività; esamina e rilascia parere preventivo sulla valutazione dei risultati esposti dal revisore legale nella eventuale lettera di suggerimenti e nella relazione sulle questioni fondamentali emerse in sede di revisione legale; rilascia parere preventivo sulla descrizione, nell ambito della relazione annuale sul governo societario, delle principali caratteristiche del SCIGR, esprimendo la propria valutazione dell adeguatezza dello stesso; 17

18 Linee di Indirizzo SCIGR 2 riferisce al CdA di eni spa, almeno semestralmente, in occasione dell approvazione della relazione finanziaria annuale e semestrale, sull attività svolta nonché sull adeguatezza del SCIGR. CEO di eni spa, sovrintende al SCIGR in qualità di amministratore incaricato dell istituzione e del mantenimento dell efficacia dello stesso. In particolare: assicura l'identificazione, la valutazione, la gestione e il monitoraggio dei principali rischi, tenendo conto delle caratteristiche delle attività svolte da eni, e li sottopone almeno semestralmente all'esame del CdA di eni spa; dà esecuzione alle Linee di Indirizzo sul SCIGR definite dal CdA di eni spa, curando la progettazione, realizzazione e gestione del SCIGR, verificandone costantemente l'adeguatezza e l efficacia; si occupa dell'adattamento di tale sistema alla dinamica delle condizioni operative e del panorama legislativo e regolamentare; sottopone al CdA di eni spa, d intesa con il Presidente del CdA di eni spa, le proposte relative alla nomina e revoca dei Chief Operating Officer di eni spa; sottopone al CdA di eni spa, d intesa con il Presidente del CdA di eni spa, le proposte relative alla composizione, e sue modifiche e integrazioni, dell Organismo di Vigilanza di eni spa; sottopone al CdA di eni spa, d intesa con il Presidente del CdA di eni spa, le proposte di nomina e revoca del Dirigente preposto alla redazione dei documenti contabili societari di eni spa e del Direttore Internal Audit di eni spa. Limitatamente a quest ultimo sottopone al CdA di eni spa, d intesa con il Presidente del CdA di eni spa, le proposte relative alla definizione della struttura di remunerazione fissa e variabile coerentemente con le politiche aziendali; 18

19 Linee di Indirizzo SCIGR 2 valuta e condivide, con cadenza almeno annuale, il Piano di Audit predisposto dal Direttore Internal Audit di eni spa e approvato dal CdA di eni spa; può chiedere alla Direzione Internal Audit di eni spa lo svolgimento di verifiche su specifiche aree operative e sul rispetto delle regole e procedure interne nell esecuzione di operazioni aziendali, dandone contestuale comunicazione al Presidente del CdA di eni spa, al Presidente del CCR di eni spa e al Presidente del Collegio Sindacale di eni spa; riceve contestualmente al Presidente del CdA di eni spa, al Presidente del CCR di eni spa e al Presidente del Collegio Sindacale di eni spa, le risultanze delle attività di audit svolte dalla Direzione Internal Audit di eni spa, nonché le relazioni periodiche contenenti adeguate informazioni sull attività della Direzione Internal Audit di eni spa, sulle modalità con cui è condotta la gestione dei rischi nonché sul rispetto dei piani definiti per il loro contenimento; riceve contestualmente al Presidente del CdA di eni spa, al Presidente del CCR di eni spa e al Presidente del Collegio Sindacale di eni spa, le relazioni su eventi di particolare rilevanza predisposte dalla Direzione Internal Audit di eni spa; riceve dall Organismo di Vigilanza di eni spa un rapporto semestrale relativo all attività svolta con segnalazione dell esito delle verifiche e delle innovazioni legislative in materia di responsabilità amministrativa degli enti nonché una informativa immediata, da parte dello stesso, ove risultino accertati fatti di particolare materialità o significatività; valuta e condivide la valutazione semestrale e annuale del Dirigente Preposto e CFO di eni spa di competenza di quest ultimo. Riceve, contestualmente al Presidente del CdA di eni spa, dal Dirigente Preposto e 19

20 Linee di Indirizzo SCIGR 2 CFO di eni spa, qualora quest ultimo lo ritenga opportuno, una valutazione straordinaria sullo stato del sistema di controllo eni sull informativa finanziaria, con riferimento a specifiche carenze; riferisce tempestivamente al CCR (o al CdA) in merito a problematiche e criticità emerse nello svolgimento della propria attività o di cui abbia avuto notizia, affinché il CCR (o CdA) possa prendere le opportune iniziative. COLLEGIO SINDACALE di eni spa (di seguito CS di eni spa), svolge i compiti a esso attribuiti ai sensi di legge, in particolare vigila sull'efficacia del SCIGR, anche in quanto Comitato per il controllo interno e la revisione contabile e Audit Committee ai sensi del Sarbanes Oxley Act. A tal fine, è destinatario dei flussi informativi necessari per l esercizio dei propri compiti. I CHIEF OPERATING OFFICER di eni spa, anche in qualità di institori, assicurano lo sviluppo, l'attuazione e il mantenimento di un efficace ed efficiente SCIGR nell'esercizio delle rispettive responsabilità e nel conseguimento dei correlati obiettivi e in coerenza con le modalità di attuazione definite dal CEO. ORGANISMO DI VIGILANZA di eni spa effettua le attività di vigilanza così come previsto dal Modello 231. L Organismo di Vigilanza di eni spa riferisce in merito alle attività di propria competenza nei confronti del CdA di eni spa, del CEO di eni spa, del CCR di eni spa e del CS di eni spa secondo quanto previsto dal Modello

21 Linee di Indirizzo SCIGR 2 DIRIGENTE PREPOSTO ALLA REDAZIONE DEI DOCUMENTI CONTABILI SOCIETARI E CFO di eni spa (di seguito Dirigente Preposto e CFO di eni spa), è responsabile del sistema di controllo eni sull informativa finanziaria e a tal fine predispone le procedure amministrativo-contabili per la formazione della documentazione contabile periodica e di ogni altra comunicazione finanziaria per eni spa e per il gruppo. Il Dirigente Preposto e CFO di eni spa esprime, in condivisione con il CEO di eni spa, la valutazione semestrale e annuale di propria competenza, dandone comunicazione al CdA di eni spa, previo esame del CCR di eni spa e indicando eventuali carenze rilevanti e punti significativi di debolezza; in questo caso ne è data comunicazione anche al CS di eni spa e al revisore legale. Le comunicazioni predette sono corredate dal relativo piano delle azioni correttive finalizzate a eliminare le carenze o i punti di debolezza. Al fine di rappresentare specifiche carenze, comunica, ogni qualvolta lo ritenga opportuno, al Presidente e al CEO di eni spa una valutazione straordinaria sullo stato del sistema di controllo eni sull informativa finanziaria. COMITATO RISCHI di eni spa, presieduto dal CEO di eni spa, svolge funzioni consultive nei suoi confronti in merito ai principali rischi. In particolare, esamina ed esprime pareri, su richiesta del CEO di eni spa, in relazione alle principali risultanze del processo di risk management integrato (di seguito RMI). COMITATO DI COMPLIANCE di eni spa, tra i diversi compiti assegnati, segnala al CEO l esigenza di sviluppare una nuova tematica di compliance e/o di governance per la quale propone un responsabile della definizione del relativo modello. 21

22 Linee di Indirizzo SCIGR 2 RESPONSABILE RISK MANAGEMENT INTEGRATO di eni spa (di seguito responsabile RMI di eni spa), posto alle dirette dipendenze del CEO di eni spa, assicura, anche avvalendosi del supporto delle competenti funzioni di pianificazione e controllo, lo svolgimento delle attività di RMI e la presentazione dei risultati sui principali rischi e sui relativi piani di trattamento al Comitato Rischi e, almeno semestralmente al CCR di eni spa, nonché, ove richiesto, agli altri organi di controllo e di vigilanza. Promuove la diffusione della cultura del Risk Management in eni, anche attraverso l identificazione di iniziative che sviluppino gli attuali sistemi di gestione dei principali rischi. FUNZIONI DI PIANIFICAZIONE E CONTROLLO CENTRALE E/O DI AREA DI BUSINESS, nell ambito delle attività di competenza, assicurano il controllo di gestione nonché supportano, nell ambito del processo di RMI, la funzione di RMI di eni spa nelle attività di risk assessment, svolte dal Risk Owner, di monitoraggio dei principali rischi, identificazione delle relative azioni di trattamento e di consolidamento del reporting dei risultati sui principali rischi, previste dal processo RMI. MANAGEMENT DI ENI SPA E/O DELLE SOCIETÀ CONTROLLATE è responsabile, per l ambito di competenza, dell adeguatezza ed effettivo funzionamento del SCIGR. RISK OWNER DI ENI SPA O DELLE SOCIETÀ CONTROLLATE, identifica, valuta e gestisce i rischi di competenza, in relazione ai quali individua e attua specifiche azioni di trattamento. Il Risk Owner monitora i principali rischi, l adeguatezza e operatività dei controlli posti a loro presidio, avvalendosi, ove esistenti, di funzioni con compiti appositamente individuati in considerazione della fattispecie e rilevanza del rischio (c.d. Risk Specialist). 22

23 Linee di Indirizzo SCIGR 2 PROCESS OWNER DI ENI SPA, nell ambito delle attività di direzione e coordinamento svolte da eni spa sulle Società Controllate, assicura l adeguatezza delle linee guida per il processo di competenza. CDA O ORGANO EQUIVALENTE DELLE SOCIETÀ CONTROLLATE - recepisce la presente MSG SCIGR secondo le modalità definite dalla MSG Sistema Normativo ed è responsabile di garantire un adeguato ed effettivo SCIGR nella società e nelle proprie Società Controllate. AMMINISTRATORE DELEGATO O FIGURA EQUIVALENTE DELLE SOCIETÀ CONTROLLATE - cura l istituzione e mantenimento di un adeguato ed effettivo SCIGR dando attuazione alla MSG SCIGR 12. o La DIREZIONE INTERNAL AUDIT di eni spa è incaricata di verificare in maniera indipendente che il SCIGR di eni nel suo complesso sia funzionante e adeguato. Il CCR di eni spa sovrintende alle attività della Direzione, in relazione ai compiti del CdA in materia, monitorando che le stesse siano svolte assicurando il mantenimento delle necessarie condizioni di indipendenza, autonomia, adeguatezza, efficacia ed efficienza. Il CdA di eni spa, con l assistenza del CCR, è competente in materia di nomina, revoca e remunerazione del Direttore Internal Audit di eni spa e delega per ragioni operative, al CEO di eni spa la gestione ordinaria del rapporto di impiego con quest ultimo. Inoltre, il Direttore Internal 12 Il CdA assegna l incarico di curare l istituzione e mantenimento di un adeguato ed effettivo SCIGR all amministratore incaricato con delega per il business; nel caso siano presenti due o più amministratori con deleghe per il business il CdA provvede ad assegnare tale incarico a uno tra tali amministratori. In caso di assenza di amministratori con deleghe per il business, il CdA assegna comunque tale incarico a uno degli amministratori. 23

24 Linee di Indirizzo SCIGR 2 Audit di eni spa risponde anche al CEO di eni spa, in quanto questi è incaricato dal CdA di eni spa di sovrintendere al SCIGR di eni e riferisce al CS di eni spa, anche in quanto Audit Committee ai sensi della legislazione statunitense. In particolare, la Direzione Internal Audit: verifica, sia in via continuativa sia in relazione a specifiche necessità e nel rispetto degli standard internazionali, l operatività e l idoneità del SCIGR nel suo complesso, attraverso i) un piano di audit, approvato dal CdA di eni spa, basato su un processo strutturato di analisi e prioritizzazione dei principali rischi a livello di gruppo, ii) lo svolgimento di specifiche verifiche non pianificate; non è responsabile di alcuna area operativa; ha accesso diretto a tutte le informazioni utili per lo svolgimento dell incarico; verifica, nell ambito del piano di audit, l affidabilità dei sistemi informativi inclusi i sistemi di rilevazione contabile; assicura la gestione delle attività di istruttoria sulle segnalazioni, anche anonime, ricevute da eni spa e da Società Controllate in Italia e all estero e cura, inoltre, i necessari flussi informativi sulle istruttorie condotte e la relativa reportistica periodica nei confronti del vertice aziendale e degli organi di vigilanza e controllo di eni spa e delle società controllate, in linea con gli strumenti normativi eni in materia; predispone relazioni periodiche contenenti adeguate informazioni sulla propria attività, sulle modalità con cui è condotta la gestione dei rischi nonché sul rispetto dei piani definiti per il loro contenimento. Le relazioni periodiche contengono una valutazione sull idoneità del SCIGR; 24

25 Linee di Indirizzo SCIGR 2 predispone tempestivamente relazioni su eventi di particolare rilevanza; trasmette le relazioni di cui ai punti precedenti ai presidenti del CS di eni spa, del CCR di eni spa e del CdA di eni spa nonché al CEO di eni spa. Copia delle relazioni contenenti la valutazione sull idoneità del SCIGR sono inviate anche al Dirigente Preposto e CFO. Per maggiori dettagli su finalità, ambito, modalità di funzionamento e svolgimento delle attività della Direzione Internal Audit di eni spa si rinvia all internal audit charter allegato al presente documento. 25

26 Linee di Indirizzo SCIGR Criteri Attuativi Architettura del SCIGR di eni Il SCIGR di eni è costituito dall insieme di strumenti, strutture organizzative, norme e regole aziendali volte a consentire l identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi e l implementazione di controlli per il raggiungimento degli obiettivi aziendali di: salvaguardia del patrimonio sociale; efficacia ed efficienza dei processi aziendali; affidabilità dell informativa finanziaria; rispetto delle leggi, dei regolamenti, dello statuto sociale e delle normative aziendali. Il SCIGR si articola nei seguenti tre livelli controllo interno: Primo livello di controllo identifica, valuta, gestisce e monitora i rischi di competenza in relazione ai quali individua e attua specifiche azioni di trattamento. Secondo livello di controllo monitora i principali rischi al fine di assicurare l'efficacia e l'efficienza del trattamento degli stessi, nonché monitora l adeguatezza e operatività dei controlli posti a presidio dei principali rischi. Fornisce inoltre supporto al primo livello nella definizione e implementazione di adeguati sistemi di gestione dei principali rischi e dei relativi controlli. 26

27 Linee di Indirizzo SCIGR 2 Terzo livello di controllo fornisce assurance indipendente e obiettiva sull adeguatezza ed effettiva operatività del primo e secondo livello di controllo e in generale sul SCIGR di eni nel suo complesso. L articolazione del Primo e Secondo livello di controllo è coerente con dimensione, complessità, profilo di rischio specifico e il contesto regolamentare in cui ciascuna società opera. I modelli di compliance e/o governance, adottati da eni spa e dalle Società Controllate in relazione all adeguamento a leggi o regolamenti a esse applicabili, definiscono la struttura dei livelli di controllo nonché individuano le funzioni e/o organi che svolgono i compiti rientranti negli stessi. Il Terzo livello di controllo è garantito dalla Direzione Internal Audit di eni spa che, in base ad un modello accentrato 13, svolge verifiche con approccio risk based sul SCIGR di eni nel suo complesso, attraverso interventi di monitoraggio su eni spa e Società Controllate. Flussi informativi Al fine di consentire al Management e agli organi di gestione e controllo di svolgere il proprio ruolo in materia di SCIGR, sono definiti appositi flussi informativi tra i suddetti livelli di controllo e i competenti organi di gestione e controllo, coordinati e adeguati in termini di contenuti e tempistiche. 13 Sono escluse dall ambito delle verifiche della Direzione Internal Audit di eni spa le società quotate dotate di un proprio presidio Internal Audit. 27

28 Linee di Indirizzo SCIGR 2 Tutti i flussi a supporto delle valutazioni del SCIGR da parte del CdA confluiscono verso il CCR di eni spa, che svolge un adeguata attività di istruttoria dei cui esiti riferisce direttamente al CdA di eni spa, nell ambito delle proprie relazioni periodiche e/o attraverso il rilascio di specifici pareri. Tali flussi sono inoltre trasmessi al CS di eni spa per l esercizio dei compiti a esso attribuiti dalla legge in materia di SCIGR. Modalità di attuazione nelle Società Controllate È responsabilità del CdA o organo equivalente di ciascuna Società Controllata di eni istituire, gestire e mantenere il proprio SCIGR. eni spa nell ambito della propria attività di direzione e coordinamento nei confronti delle Società Controllate, emana e diffonde le Linee di Indirizzo 14 e il relativo modello di attuazione, contenuti nella MSG SCIGR, a cui le Società Controllate devono attenersi, nonché istituisce un'adeguata attività di monitoraggio del relativo recepimento nei termini previsti dal Sistema Normativo eni. Fermo restando i principi di riferimento del SCIGR di eni e quanto altro contenuto nel presente paragrafo, le Società Controllate, nel rispetto dell autonomia e dell indipendenza che caratterizza l operato proprio e dei propri organi e/o funzioni, anche ai sensi di legge, adottano le modalità più opportune di implementazione del SCIGR in coerenza con dimensione, complessità, profilo di rischio specifico e il contesto regolamentare in cui esse operano. Nell attenersi alle Linee di Indirizzo e al relativo modello di attuazione, contenuti nella MSG SCIGR, ogni Società Controllata, tra l altro, definisce adeguati flussi 14 Le Linee di Indirizzo, di cui al presente capitolo 2, sono approvate dal CdA di eni spa previo parere e su proposta del Comitato Controllo e Rischi di eni spa. 28

29 Linee di Indirizzo SCIGR 2 informativi tra i diversi livelli di controllo e verso gli organi di gestione e controllo della stessa, cui è tenuto anche il personale di eni spa o di altra Società Controllata cui sono assegnati incarichi operativi presso la società stessa. 29

30 3. FRAMEWORK SCIGR 3.1. La struttura del framework Il SCIGR di eni è l insieme di strumenti, strutture organizzative, norme e regole aziendali volte a consentire, una conduzione dell impresa sana, corretta e coerente con gli obiettivi aziendali definiti dal CdA, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi. In particolare il SCIGR di eni: coinvolge tutti gli organi e le risorse a tutti i livelli dell organizzazione, dal CdA fino al Management e a tutte le persone di eni, ciascuna nell ambito delle proprie responsabilità e aree di competenza; favorisce il raggiungimento degli obiettivi aziendali; è definito in base alle caratteristiche di eni, in termini di modello di business e strategie, portafoglio delle attività e presenza geografica e articolazione dell assetto societario; è declinato in funzione delle specificità della singola società e/o processo, in relazione al quadro normativo applicabile, alla dimensione e alla struttura organizzativa, alle competenze e al numero delle persone impegnate. Nella figura successiva si riporta il framework di riferimento del SCIGR di eni che si articola su 3 dimensioni: i) obiettivi del SCIGR, strategici, operativi, di compliance e di reporting (I dimensione), ii) ambiti di applicazione, direzione e 30

31 coordinamento, entity e processi (II dimensione), iii) processo del SCIGR (III dimensione). Esiste una stretta interrelazione tra le tre dimensioni. Il processo SCIGR si applica a ciascuna categoria di obiettivi, e a ciascun ambito (direzione e coordinamento, società e processo). Ciascun obiettivo influenza le fasi del processo SCIGR nei vari ambiti di applicazione (ad esempio le attività di controllo sono definite e attuate al fine di perseguire gli obiettivi di efficacia ed efficienza delle attività relative a un processo specifico). 31

32 Ciascuna società struttura il proprio SCIGR in funzione degli obiettivi definiti dalla società, in coerenza con la propria dimensione, complessità, profilo di rischio specifico e il contesto regolamentare in cui essa opera, declinando il SCIGR in funzione dei processi specifici presenti nella società e nel rispetto degli indirizzi di direzione e coordinamento definiti da eni spa. La I dimensione rappresenta la vista del SCIGR in funzione degli obiettivi e dei correlati rischi che il SCIGR intende presidiare: Obiettivi Strategici sono fissati dal CdA, nel Piano Strategico, al fine di orientare la gestione aziendale nel lungo termine. Sulla base degli obiettivi strategici il Management declina obiettivi operativi, di compliance e di reporting ai vari livelli dell'assetto organizzativo e societario; Obiettivi Operativi riguardano l efficacia ed efficienza delle attività aziendali (ottimizzazione della produzione anche attraverso l utilizzo di nuove tecnologie, crescita della quota di mercato, ecc ); Obiettivi di Compliance riguardano il rispetto di leggi e regolamenti applicabili alla società. Tra gli obiettivi di compliance sono inclusi gli obiettivi di attendibilità dell'informativa finanziaria; Obiettivi di Reporting riguardano l affidabilità e tempestività del reporting. Possono essere relativi sia a report finanziari sia non finanziari, sia a report con diffusione sia interna sia esterna a eni. Gli obiettivi di reporting esterni rispondono a esigenze normative (in tal caso rientrano anche negli obiettivi di compliance) o degli stakeholder di eni, mentre gli obiettivi di reporting interni supportano la gestione dell'azienda e quindi il Management nel prendere decisioni. 32

33 Nelle categorie di obiettivi operativi e obiettivi di reporting rientra anche la salvaguardia del patrimonio sociale. Quanto descritto nella presente MSG si applica a tutti gli obiettivi citati, salvo quanto diversamente previsto dai modelli di compliance e/o governance, adottati da eni spa e dalle Società Controllate in relazione all adeguamento a leggi o regolamenti a esse applicabili, che costituiscono parte integrante del SCIGR eni. La II dimensione si riferisce agli ambiti di applicazione in base ai quali il SCIGR è strutturato: Direzione e coordinamento che eni spa, in qualità di capogruppo, esercita nei confronti delle Società Controllate anche con riferimento al SCIGR; Entity, eni spa e le singole Società Controllate, in base alla propria autonomia giuridica e gestionale, istituiscono sotto la propria responsabilità un adeguato e funzionante SCIGR; Processi adottati da eni, in base ai quali il SCIGR si articola anche in funzione della natura e degli obiettivi del singolo processo. La III dimensione è rappresentata dal processo SCIGR e dalle singole fasi che lo compongono. Sulla base degli obiettivi aziendali, sono sviluppate le fasi del processo SCIGR di i) definizione e attuazione dell Ambiente interno; ii) Identificazione, valutazione e trattamento dei rischi; iii) definizione e attuazione delle Attività di controllo; iv) Monitoraggio, v) Riesame e valutazione dell intero sistema e vi) Informazione e comunicazione. Il processo è: 33

34 continuo, volto al miglioramento del SCIGR nel suo complesso e in grado di influenzare la definizione e il raggiungimento degli obiettivi aziendali; integrato nelle attività aziendali e nell assetto organizzativo e di governance; interattivo, in quanto le singole fasi, seppur in sequenza logica, possono essere influenzate dallo sviluppo di ciascuna delle altre fasi in modo che il valore generato dal processo non sia la sola somma del valore generato dalle singole fasi; svolto dalle persone, attraverso le attività (e i relativi flussi informativi) poste in essere nel perseguimento degli obiettivi aziendali; valutato con cadenza semestrale, salvo eventi imprevisti che possono richiedere approfondimenti straordinari, per garantirne l adeguatezza e il funzionamento nella sua interezza. Gli attori del SCIGR agiscono secondo un modello a tre livelli di controllo come schematizzato nella figura seguente. 34

35 Il Management è responsabile, per l ambito di competenza, dell adeguatezza ed effettivo funzionamento del SCIGR e svolge il proprio ruolo su due livelli di controllo. Nell ambito del primo livello di controllo il Risk Owner è responsabile, per quanto di sua competenza, dell identificazione, valutazione, gestione e monitoraggio dei rischi, nonché della definizione, attuazione e monitoraggio nel tempo dell adeguatezza e operatività dei controlli posti a loro presidio, nel rispetto dei principi contenuti nella MSG del processo di riferimento e nelle MSG di compliance e/o di governance applicabili. 35

36 Il secondo livello di controllo monitora i principali rischi e l adeguatezza e operatività dei controlli posti a loro presidio, supportando la definizione e implementazione di adeguati sistemi di gestione dei rischi e dei controlli. Nell ambito delle attività del secondo livello di controllo, ruoli specifici sono assegnati a: Process Owner (nell'ambito delle attività di direzione e coordinamento del Sistema Normativo eni 15 ); funzioni di Pianificazione e Controllo e funzione RMI di eni spa nell ambito del processo di risk management integrato; inoltre, in considerazione della fattispecie e rilevanza del rischio possono essere identificate funzioni, dedicate o meno, con compiti attinenti alle attività di secondo livello (c.d. Risk Specialist) 16. Il SCIGR e l articolazione dei primi due livelli 17 sono strutturati in funzione della dimensione, complessità, profilo di rischio specifico e contesto regolamentare in cui ciascuna società opera. I modelli di compliance e/o governance, adottati da eni spa e dalle Società Controllate in relazione all adeguamento a leggi o regolamenti a esse applicabili, definiscono la struttura dei livelli di controllo nonché individuano le funzioni e/o organi che svolgono i compiti rientranti negli stessi. 15 Il Process Owner è responsabile di assicurare l adeguatezza del disegno di processo, inclusi i principi di controllo, mediante l elaborazione e aggiornamento della MSG di competenza. 16 Rientrano nel secondo livello di controllo anche i comitati costituiti a supporto del CEO quali ad esempio il Comitato Rischi, il Comitato di Compliance, ecc 17 Relativamente al terzo livello si veda quanto riportato al paragrafo

37 3.2. Obiettivi del SCIGR (I dimensione) Il Management definisce gli obiettivi operativi, di compliance e di reporting della società in linea con gli obiettivi strategici definiti dal CdA di eni spa e in linea con la mission della società stessa. Tali obiettivi così definiti riflettono le scelte con cui il Management intende creare e preservare valore per tutti gli stakeholder di riferimento. 37

38 La definizione degli obiettivi è un prerequisito fondamentale del SCIGR di eni e rappresenta una componente chiave del processo gestionale che prende avvio dal piano strategico. La declinazione degli obiettivi, nelle diverse aree di business, società, processi e/o funzioni, è elemento fondamentale per la corretta identificazione, valutazione e gestione dei rischi. Gli obiettivi aziendali sono specifici, raggiungibili, misurabili, adeguati e concreti e sono comunicati a tutti i livelli dell'organizzazione. È fondamentale che il raggiungimento degli obiettivi sia misurato. Il framework del SCIGR eni raggruppa gli obiettivi del SCIGR in quattro categorie: obiettivi strategici, obiettivi operativi, obiettivi di compliance e obiettivi di reporting. Tali categorie di obiettivi, distinte ma parzialmente sovrapponibili (un determinato obiettivo può rientrare in più di una categoria), hanno la finalità di consentire di approfondire i differenti aspetti dei rischi tenendo al contempo in considerazione le interrelazioni tra gli stessi. 38

39 3.3. Ambiti di applicazione (II dimensione) La seconda dimensione del SCIGR è rappresentata dagli ambiti di applicazione secondo i quali il sistema stesso è strutturato: 39

40 Direzione e coordinamento - Nell ambito del SCIGR, eni spa, in qualità di capogruppo, definisce alcuni strumenti, strutture organizzative, norme e regole aziendali nell ambito della propria attività di direzione e coordinamento nei confronti delle Società Controllate. Ciò al fine di favorire il perseguimento degli obiettivi aziendali di eni mediante un approccio volto alla coerenza complessiva, valorizzazione delle caratteristiche comuni anche tramite sinergie. Tale approccio prevede per tematiche trasversali alle società di eni, azioni comuni e coordinate, adeguati flussi informativi dalle Società Controllate verso eni spa, nonché l esecuzione di opportune attività di monitoraggio. Il monitoraggio è finalizzato alla verifica del rispetto da parte delle Società Controllate eni delle direttive fornite in materia di SCIGR e quindi non comprende la verifica che il SCIGR di ciascuna società controllata eni sia adeguato e funzionante nel suo complesso. Entity L'Amministratore Delegato o figura equivalente di ciascuna società di eni 18, istituisce sotto la propria responsabilità un adeguato e funzionante SCIGR, nel rispetto della presente MSG e, comunque, degli indirizzi di direzione e coordinamento di eni spa, in coerenza con dimensione, complessità, profilo di rischio specifico e contesto regolamentare in cui opera. Il SCIGR di ciascuna società è parte integrante del SCIGR di eni. 18 Nell ambito di eni spa, i Chief Operating Officer, anche in qualità di institori, assicurano lo sviluppo, l attuazione e il mantenimento di un efficace ed efficiente SCIGR. 40

41 Processi - eni adotta un approccio per processi, pertanto il SCIGR si articola anche in funzione della natura e degli obiettivi del singolo processo, indipendentemente dalla collocazione delle relative attività nell ambito di una singola società di eni, al fine di assicurare omogeneità di trattamento da parte delle differenti realtà di eni che presidiano i medesimi rischi, al fine di massimizzare l efficienza dei controlli e di promuovere la diffusione di best practice. 41

42 3.4. Processo SCIGR (III dimensione) Ambiente interno La fase consiste nella definizione e attuazione dell'ambiente interno, che rappresenta le fondamenta del SCIGR, che è costituito dall insieme di diversi elementi, coerenti tra di loro, che concorrono in maniera integrata a determinare l'ambiente nel quale le persone di eni operano, indirizzandone le attività, nell'ambito delle responsabilità attribuite, e favorendo l'assunzione delle decisioni volte al raggiungimento degli obiettivi aziendali. 42

43 Gli elementi che costituiscono l'ambiente interno del SCIGR di eni sono: Consiglio di Amministrazione l ambiente interno e la cultura aziendale sono fortemente influenzati dal CdA. Il CdA identifica le aspettative degli stakeholder nonché i requisiti normativi da rispettare, sulla base dei quali definisce gli obiettivi che la società deve perseguire e su cui pertanto concentrare la propria supervisione. Il CdA affida all Amministratore Delegato, o figura equivalente, della società la gestione delle attività volte al perseguimento degli obiettivi definiti, supportato da un adeguato e funzionante SCIGR. L esperienza, l indipendenza e la levatura morale dei membri del CdA, il loro livello d impegno e di supervisione nella conduzione aziendale, il loro rigore nel controllo delle attività come anche dell adeguatezza delle azioni sono fattori rilevanti dell ambiente interno. Il CdA rappresenta pertanto un elemento critico per l efficacia del SCIGR. Principi etici e standard di condotta l'impegno all integrità e i valori etici sono riflessi in tutte le attività aziendali. Il Codice Etico eni e in generale il Modello 231 di cui il Codice Etico forma parte integrante, statuiscono i principi etici e standard di condotta definiti sulla base di quanto previsto dalle normative applicabili tenendo conto degli interessi degli stakeholder di eni. Il Management promuove comportamenti da parte di tutte le persone di eni nel rispetto dei principi etici e standard di condotta eni mediante la loro 43

44 comunicazione e diffusione a tutti i livelli dell organizzazione, nonché l adozione di comportamenti sempre in linea con tali principi e standard. In particolare, i principi etici e standard di condotta i) sono comunicati alle persone di eni e ai terzi con cui eni entra in relazione; ii) sono oggetto di iniziative di formazione alle persone di eni. eni intraprende opportune azioni correttive a fronte di comportamenti accertati in violazione dei principi etici e standard di condotta definiti. Strumenti normativi - costituiscono l'insieme dei principi e delle regole che guidano l esecuzione delle attività volte al perseguimento degli obiettivi aziendali, la gestione dei rischi a esse associati, le attività di controllo e il monitoraggio. In particolare il Management: diffonde principi che ispirano l esecuzione delle attività e regole di comportamento da rispettare nell ambito dello svolgimento delle stesse attività; promuove best practice gestionali e operative e il loro continuo miglioramento; garantisce coerenza e omogeneità nella gestione e monitoraggio delle attività di processo e dei relativi rischi; definisce regole di riferimento finalizzate ad assicurare il rispetto di leggi, regolamenti e norme. Tutti questi elementi si realizzano nel quadro normativo di ciascuna società e più in generale nel Sistema Normativo eni. 44

45 Cultura della gestione del rischio il Management adotta un approccio preventivo ed efficace alla gestione dei rischi, coerente con il grado di compatibilità determinato dal CdA di eni spa, al fine di favorire la creazione di valore di lungo termine per eni. Il Management considera il rischio come parte integrante delle attività aziendali, dalla pianificazione fino alla gestione dell operatività. Il Management, in coordinamento con la funzione RMI di eni spa o altre funzioni e/o organi individuati dai modelli di compliance e/o governance, adottati da eni spa e dalle Società Controllate in relazione all adeguamento a leggi o regolamenti a esse applicabili, promuove la diffusione della cultura del risk management, anche attraverso l identificazione di iniziative che sviluppino gli attuali sistemi di gestione dei principali rischi. Attribuzione di ruoli, responsabilità e poteri fermi i compiti che il sistema di governo societario attribuisce agli organi di eni e coerentemente con essi, ruoli e responsabilità relativi alla pianificazione, esecuzione e controllo delle attività aziendali sono assegnati garantendo al contempo i necessari flussi informativi nel rispetto delle linee gerarchiche definite. Ruoli e responsabilità sono definiti nell ambito del sistema organizzativo che prevede anche l attribuzione di deleghe di poteri funzionali al raggiungimento degli obiettivi aziendali. Competenza delle persone la valorizzazione delle persone di eni, il presidio e lo sviluppo delle competenze sono fondamentali per il raggiungimento, in generale, degli obiettivi aziendali e, nello specifico, delle finalità del SCIGR. A tal fine il Management, con il supporto delle competenti funzioni aziendali, 45

46 assicura la presenza di persone con competenze adeguate a soddisfare i fabbisogni aziendali, attraverso: un percorso di selezione trasparente e documentato, basato su processi e metodologie definite, applicate uniformemente; iniziative di formazione per lo sviluppo professionale e manageriale delle persone di eni; la rilevazione di comportamenti lavorativi, risultati, conoscenze professionali, esperienze e potenzialità delle persone utilizzando sistemi di valutazione appropriati per orientare la gestione e lo sviluppo in funzione dei fabbisogni aziendali; sistemi di remunerazione volti a valorizzare le persone in coerenza con i livelli di responsabilità attribuiti, contesto di riferimento e professionalità acquisite. I suddetti elementi dell ambiente interno sono integrati nei più generali assetti organizzativi e di governo societario adottati. Il Sistema Normativo di eni spa e di ciascuna Società Controllata disciplina le caratteristiche di tali elementi nonché le modalità di attuazione degli stessi. Gli elementi dell'ambiente interno sono definiti sulla base degli obiettivi aziendali e tutti gli elementi che lo compongono evolvono secondo un processo di miglioramento continuo, influenzati dalle diverse fasi del SCIGR e in particolare dalle attività di riesame e valutazione del sistema stesso. 46

47 Identificazione, valutazione e trattamento dei rischi La fase consiste nell'identificazione, valutazione e analisi dei rischi ai fini della definizione delle più idonee modalità di trattamento. Tali attività sono di responsabilità del Risk Owner, il quale si avvale del supporto delle funzioni Pianificazione e Controllo, della funzione RMI di eni spa e dei Risk Specialist, ove esistenti. 47

48 L'identificazione dei rischi è finalizzata all individuazione e alla descrizione dei principali rischi che potrebbero influire sul conseguimento degli obiettivi aziendali, declinati per area di business, funzioni organizzative, aree funzionali e, ove necessario, per processi. La valutazione e analisi dei rischi è finalizzata a determinare l entità dei rischi identificati che potrebbero influire sul raggiungimento degli obiettivi e fornisce informazioni utili per stabilire se e con quali strategie e modalità è necessario avviare azioni di trattamento. La valutazione dei rischi è effettuata: a livello inerente, cioè in assenza di azioni volte a mitigare il rischio, e a livello residuo ossia considerando le azioni di trattamento poste in essere per mitigare il rischio; considerando l impatto ossia le conseguenze derivanti dal verificarsi del rischio nonché la probabilità di accadimento del rischio. Con riferimento ai principali rischi sono svolte analisi di correlazione ai fini della loro valutazione complessiva. In generale deve essere garantita una valutazione integrata dei principali rischi cui l'azienda è soggetta. La definizione delle modalità di trattamento del rischio prevede l'individuazione, anche sulla base dell'analisi costi benefici e del grado di compatibilità definito dal CdA di eni spa, di quale strategia di trattamento si intende intraprendere a fronte del rischio identificato tra: evitare, accettare, ridurre o condividere il rischio. 48

49 I risultati della fase di Identificazione, valutazione e trattamento dei rischi permettono al Risk Owner di identificare i principali rischi di competenza. Tali rischi sono utilizzati per la predisposizione del reporting sui rischi volto a focalizzare l attenzione del Management in un ottica integrata, sulle aree di rischio prioritarie, sulle attività di mitigazione in essere, e sulle eventuali strategie e priorità di trattamento da adottare. 49

50 Attività di controllo Le attività di controllo sono volte a verificare che le azioni di trattamento dei rischi siano attuate. Le attività di controllo sono, in tutto o in parte, integrate nelle attività operative e si attuano a tutti i livelli organizzativi. Esse includono un insieme di operazioni diverse, come approvazioni, autorizzazioni, verifiche, raffronti, esame della performance operativa, controlli sui sistemi informativi, controlli a salvaguardia dei beni aziendali, separazione dei compiti, ecc 50

51 È responsabilità del Management, valutare la necessità di istituire attività di controllo e di definirne le più adeguate modalità di svolgimento, nell ambito delle proprie competenze. In particolare, il Process Owner, nell ambito delle attività di direzione e coordinamento svolte da eni spa sulle Società Controllate, definisce nell ambito della MSG di competenza i principi di controllo per la gestione dei principali rischi. Il Risk Owner identifica, valuta e gestisce i rischi di competenza in relazione ai quali disegna e attua specifiche attività di controllo in modo da ottenere la ragionevole certezza che i rischi siano mitigati. Il Process Owner e il Risk Owner tengono conto delle risultanze del monitoraggio del Management, come definito nel par , nonché delle risultanze delle attività di monitoraggio indipendente svolte dalla Direzione Internal Audit di eni spa ai fini della valutazione dell efficacia dei controlli e dell individuazione di eventuali azioni di miglioramento da porre in essere. Le attività di controllo devono essere adeguate in termini di disegno ed effettivamente operative. Le attività di controllo sono definite in relazione alla rilevanza e fattispecie del rischio da presidiare. In generale le attività di controllo sono correlate alla complessità e natura delle attività gestite e alle specifiche caratteristiche dell'assetto organizzativo e/o societario. A tal fine, le attività di controllo sono integrate nei processi aziendali e definite in modo da mitigare, ove possibile, più rischi con la medesima attività di 51

52 controllo, evitando duplicazioni di controlli sulla medesima attività, garantendo l contempo l efficacia. L affidabilità dell attività di controllo dipende della modalità con cui è attuata, nonché della sua vicinanza al rischio dal punto di vista logico e temporale: tanto più l attività di controllo è automatizzata e preventiva, tanto maggiore è la sua efficacia. La scelta del mix tra attività di controllo preventive e successive, manuali e automatiche si basa sulla valutazione costi benefici. In particolare, fermo restando la garanzia di efficacia delle attività di controllo, i controlli automatici sono privilegiati in quanto tendono a essere più affidabili, fruibili, tracciabili e tempestivi. Per assicurare l'affidabilità delle tecnologie all'interno dei processi aziendali, che includono anche i controlli automatici, il Risk Owner prevede un adeguato monitoraggio sul funzionamento dei controlli informatici, con il supporto delle competenti funzioni ICT. La segregazione di compiti e responsabilità è attuata in relazione alla natura delle attività, al grado e alla tipologia di rischio associato all attività medesima, evitando inefficienze organizzative, in particolare nel caso di realtà organizzative di modeste dimensioni. Qualora la segregazione non sia attuabile devono essere definiti e attuati idonei controlli compensativi volti a ridurre a un livello accettabile il rischio generato dalla mancata segregazione. Affinché i rischi siano mitigati i controlli devono essere attuati e ogni persona di eni, per quanto di sua competenza, ne garantisce il funzionamento. In tal senso, le persone di eni devono tempestivamente intervenire per intraprendere le necessarie azioni correttive volte a rendere operativi i controlli qualora ne sia riscontrato il mal funzionamento, ovvero una non adeguata operatività. 52

53 Q&A Attività di controllo Come comprendere quando è necessario istituire un controllo? L istituzione di un controllo è da valutare nei casi in cui nell ambito dell attività sia riscontrato un rischio che è necessario mitigare. Il controllo è definito e attuato al fine di garantire che l azione di mitigazione del rischio sia attuata. Al fine di identificare il controllo da implementare è pertanto necessario: identificare e valutare il rischio presente nella specifica attività; identificare l azione di trattamento necessaria a mitigare il rischio identificato; identificare il controllo e le relative modalità di attuazione per garantire che l azione di trattamento prevista sia adeguata e funzionante. Come definire un attività di controllo? Un adeguata definizione delle attività di controllo implica l individuazione: di cosa deve essere controllato; delle finalità per cui deve essere svolto il controllo (ossia rischio da mitigare); del soggetto responsabile dello svolgimento del controllo; 53

54 delle modalità operative più efficienti di svolgimento del controllo con un opportuno grado di dettaglio (es. dati e/o informazioni e sistemi informatici a supporto); della frequenza con cui il controllo deve essere effettuato (es. a evento, giornalmente, mensilmente, ecc ); delle modalità per garantire la tracciabilità dell attività di controllo. Perché un controllo preventivo è più efficace di un controllo successivo? Il controllo preventivo è preferibile in quanto disegnato per evitare un errore e/o una frode nel momento stesso in cui l attività è posta in essere. Il controllo successivo è disegnato per identificare un errore e/o una frode in un momento successivo a quello in cui l attività è posta in essere; in quest ultimo caso è fondamentale che siano intraprese azioni volte a correggere l errore, anche se in alcuni casi le conseguenze negative dell errore e/o della frode non sempre possono essere eliminate. Come sono strutturati i controlli ai differenti livelli organizzativi? I controlli che sono svolti ai livelli più elevati della struttura organizzativa aziendale sono controlli che coprono molti più rischi, tra i quali rientrano le analisi delle performance rispetto al budget o analisi delle varianze (ad esempio variazioni dei prezzi di acquisto, variazioni percentuali degli ordini, variazione di 54

55 margine); nel caso di scostamenti sono identificate le necessarie azioni da intraprendere. I controlli svolti a un livello più basso della struttura organizzativa sono controlli volti a presidiare un singolo rischio, quali ad esempio i controlli volti a verificare la corretta redazione dei singoli contratti. Come comprendere se un controllo è efficace? Per valutare se un controllo è efficace è necessario comprendere quanto il controllo è in grado di mitigare il rischio a cui è associato. In particolare è necessario verificare l effetto prodotto in termini di riduzione del potenziale impatto e della probabilità di accadimento dell evento a rischio. Per verificare pertanto il corretto funzionamento di un controllo è necessario verificare: la fattispecie e la rilevanza del rischio che si intende mitigare con il controllo; le modalità con cui il controllo è effettuato; l affidabilità delle informazioni su cui si basa il controllo; la frequenza con cui il controllo è effettuato; la completezza del periodo coperto dal controllo; la competenza ed esperienza del personale che svolge il controllo (se manuale); l affidabilità del sistema con cui viene svolto il controllo (se automatico). 55

56 Come comprendere se un controllo è efficiente? Per valutare l efficienza dei controlli è opportuno calcolare il costo (non solo in termini di risorse necessarie, ma anche di impatti sulla velocità dei processi decisionali e del time-to-market) necessario per lo svolgimento del controllo e confrontarlo con i benefici dello stesso (in termini di mitigazione del rischio ossia riduzione del potenziale impatto e delle probabilità di accadimento del rischio). In linea generale, se il costo derivante dallo svolgimento del controllo è inferiore ai benefici derivanti dalla riduzione dei rischi, il controllo può essere ritenuto efficiente. In ogni caso è sempre necessario operare al fine di un miglioramento continuo dei controlli anche al fine di ridurre, per quanto possibile, il costo controllo dei controlli, senza pregiudicarne l efficacia (ad esempio evitando duplicazioni di controlli, utilizzando uno stesso controllo per più rischi, ecc...). Se, invece, i benefici attesi del controllo sono inferiori rispetto al costo del controllo, occorre trovare soluzioni alternative quali l individuazione di modalità di svolgimento dei controlli differenti (controlli automatici anziché manuali) o di controlli differenti, utilizzando, ove possibile, il medesimo controllo per coprire più rischi. 56

57 Monitoraggio Il SCIGR è soggetto a mutamenti in funzione di fattori interni ed esterni all azienda. Controlli e/o azioni di trattamento che nel passato erano efficaci possono rivelarsi oggi insufficienti e non più applicati e/o applicabili. 57

58 Il monitoraggio ha la finalità di garantire che il SCIGR sia adeguato e funzionante nel tempo. Il monitoraggio è l insieme delle attività volte a verificare che il SCIGR, nel suo complesso e nelle sue singole fasi, sia efficacemente disegnato ed effettivamente operativo; consiste in un attività di supervisione continua e/o in valutazioni a carattere specifico svolte periodicamente. L ambito e la frequenza delle attività di monitoraggio dipendono dalla significatività dei rischi e dall efficacia delle azioni di trattamento e dei controlli posti a loro presidio. Gli esiti del monitoraggio sono fondamentali ai fini del Riesame e valutazione del SCIGR. Qualora gli esiti del monitoraggio evidenzino la non adeguatezza del SCIGR, potenziale o reale, il non effettivo funzionamento o la necessità di miglioramento dello stesso per meglio presidiare i rischi, essi devono essere tempestivamente comunicati alle persone responsabili di identificare e realizzare le necessarie azioni correttive. Il Management individua le azioni correttive comuni e coordinate, ove di interesse di due o più realtà, assicurando la valorizzazione dell'esperienza all'interno delle diverse realtà eni. In particolare, le azioni correttive sono poste in essere in modo pervasivo anche laddove non siano state riscontrate aree di miglioramento, ma se ne possa ravvisare il rischio di accadimento. Il monitoraggio si distingue in i) monitoraggio del Management (ongoing evaluations) e ii) monitoraggio indipendente (separate evaluations). 58

59 Monitoraggio del Management È l insieme delle attività volte a verificare nel tempo i) la corretta individuazione e l evoluzione dei rischi ii) il corretto trattamento dei rischi, nonché l adeguatezza e funzionamento dei controlli posti a loro presidio. Il monitoraggio è svolto dal Management e, in particolare, dal Process Owner (che, nell ambito delle attività di direzione e coordinamento del Sistema Normativo eni, assicura l adeguatezza del disegno di processo, inclusi i principi di controllo, mediante l elaborazione e aggiornamento della MSG), dal Risk Owner e dal Risk Specialist, ove esistente, dalle funzioni di Pianificazione e Controllo e dalla funzione RMI di eni spa, nonché dalle funzioni e/o organi individuati dai modelli di compliance e/o governance, adottati da eni spa e dalle Società Controllate in relazione all adeguamento a leggi o regolamenti a esse applicabili 19. Il monitoraggio può essere svolto in modo continuo o con valutazioni specifiche periodiche. Il monitoraggio è integrato nell ambito delle attività operative, è svolto in funzione della fattispecie dei rischi da presidiare e rilevanza degli stessi e con una periodicità tanto più elevata i) quanto maggiori sono i mutamenti interni e/o esterni verificatisi, ii) quanto minori sono i controlli posti a presidio dei rischi e/o iii) quanto maggiori sono le aree di miglioramento riscontrate dall attività di monitoraggio. I contenuti, la frequenza, le modalità delle attività di monitoraggio sono espressamente definiti nell ambito degli strumenti normativi aziendali che disciplinano le attività e i controlli. Il Management, ove possibile, assicura che il monitoraggio sia svolto in modo strutturato e secondo criteri uniformi e da persone dotate di sufficienti competenze ed esperienze professionali per comprendere gli elementi sottoposti a monitoraggio e le implicazioni delle informazioni emerse dal monitoraggio stesso; 19 Rientrano in tale livello di controllo anche i comitati costituiti a supporto del CEO quali Comitato Rischi, Comitato di Compliance, ecc 59

60 il Management, inoltre, assicura che il monitoraggio svolto per finalità differenti sia attuato, per quanto possibile, in maniera integrata. Il monitoraggio è documentato al fine di garantirne la tracciabilità, nonché la ripetibilità della rilevazione. Monitoraggio indipendente della Direzione Internal Audit di eni spa La Direzione Internal Audit di eni spa svolge attività di monitoraggio indipendente mediante verifiche sull adeguatezza e funzionamento del SCIGR di eni nel suo complesso e/o di specifici processi aziendali, ivi inclusa l efficacia e l effettiva operatività del monitoraggio svolto dal Management. Per le finalità, ambito, modalità di funzionamento e svolgimento delle attività della Direzione Internal Audit si rinvia all Internal Audit Charter, allegato al presente documento. La Direzione Internal Audit di eni spa fornisce al CEO di eni spa, agli organi di amministrazione, controllo e vigilanza e al Management, accertamenti, analisi valutazioni e raccomandazioni in merito al disegno e al funzionamento del SCIGR di eni al fine di promuoverne l efficacia e l efficienza. Gli interventi della Direzione Internal Audit di eni spa sono svolti sulla base di un Piano di Audit annuale definito tenendo conto dei criteri di rilevanza e di copertura dei principali rischi di eni (c.d. top-down, risk based ). Il Direttore Internal Audit di eni spa attiva altri interventi di audit non pianificati su richiesta del CEO di eni spa, degli organi di controllo e/o vigilanza e del top management o in base a proprie specifiche valutazioni di opportunità. 60

61 I risultati di ciascun intervento di audit sono riportati in Rapporti di Internal Audit che contengono: i) la valutazione di sintesi del sistema di controllo interno e gestione dei rischi riferito alle aree/processi oggetto di verifica, ii) la descrizione dei rilievi riscontrati e delle limitazioni incontrate, nonché iii) le raccomandazioni emesse, a fronte delle quali i responsabili redigono un piano di azioni correttive. Le valutazione riportate nei Rapporti di Internal Audit, essendo limitate all ambito oggetto di verifica, devono essere integrate dal Management con gli esiti del monitoraggio svolto al fine di avere una visione esaustiva del SCIGR per quanto di propria competenza. La Direzione Internal Audit di eni spa svolge inoltre attività di vigilanza per conto dell Organismo di Vigilanza di eni spa. Nel caso in cui gli interventi di audit riguardino processi e/o sottoprocessi di Società Controllate, tali interventi possono considerarsi integrativi, ma non sostitutivi, delle attività di vigilanza che l Organismo di Vigilanza della società controllata deve svolgere in base a quanto previsto dal Modello 231 della società. Nello svolgimento del monitoraggio previsto dai modelli di compliance e/o governance, adottati da eni spa e dalle Società Controllate in relazione all adeguamento a leggi o regolamenti a esse applicabili, la Direzione Internal Audit di eni spa assicura che lo stesso sia integrato, ove possibile, nell ambito delle attività di internal audit previste nel piano nell ottica di cogliere possibili sinergie, evitare duplicazioni e rendere più efficienti le attività svolte. 61

62 La Direzione Internal Audit di eni spa monitora l implementazione delle azioni correttive, definite secondo modalità di intervento graduate e coerenti con la criticità della valutazione di sintesi. 62

63 Q&A Monitoraggio Con quali modalità può essere effettuato il monitoraggio del Management? Il monitoraggio del Management può essere effettuato verificando direttamente il controllo. Le tecniche di verifica, elencate in ordine crescente di affidabilità sono: richiesta di informazioni al responsabile del controllo o ad altra persona in possesso delle medesime. La richiesta di informazioni da sola non è considerata sufficiente a fornire evidenza dell effettiva operatività del controllo. Proprio per questo motivo essa deve essere abbinata a una o più fra le altre tecniche di seguito descritte e non può essere utilizzata da sola; osservazione dell esecuzione del controllo: consiste nell osservare come è svolta l attività di controllo. Tale tecnica di test non consente, da sola, di valutare l operatività dei controlli e pertanto occorre affiancarla a tecniche supplementari; ispezione delle evidenze del controllo: consiste nell ottenimento e valutazione degli elementi che documentano l avvenuto controllo secondo quanto stabilito dalla procedura di riferimento; riesecuzione del controllo: consiste nel rieseguire tutti gli step operativi dell attività di controllo su un campione rappresentativo di transazioni. Il monitoraggio del Management può essere effettuato indirettamente mediante verifiche operate nel corso delle normali attività di business (es. controllo di gestione, controllo qualità) volte a rilevare eventuali indizi (es. indicatori di 63

64 performance, report eccezioni) potenzialmente in grado di individuare un anomalo funzionamento dell attività di controllo. Come scegliere la modalità di monitoraggio più opportuna? Le modalità di esecuzione del monitoraggio in termini di frequenza e tecnica di monitoraggio da adottare sono definite sulla base degli elementi di seguito indicati: rilevanza del rischio sottostante il controllo; natura delle transazioni sottostanti il controllo (es. attività di valutazione e stima); natura del controllo (es. preventivo/successivo, manuale/automatico) e frequenza dello stesso (es. controlli annuali); complessità delle modalità di esecuzione del controllo; soggettività richiesta per l esecuzione del controllo; competenza del personale che svolge il controllo o ne esegue il monitoraggio; cambiamenti intervenuti nel volume o nella natura delle transazioni; grado in cui il corretto funzionamento del controllo dipende da altri controlli (es. controlli generali informatici); esiti del controllo o del monitoraggio dei periodi precedenti; esistenza o meno di elementi dell ambiente interno collegati al controllo ed esiti delle relative valutazioni possibili sinergie con altre attività di monitoraggio. 64

65 Quali valutazioni devono essere effettuate in caso di malfunzionamento dei controlli? Nel caso in cui dal monitoraggio siano riscontrate delle aree di miglioramento dei controlli il Management deve individuare le azioni da intraprendere nella realtà in cui tali aree sono state individuate. Tuttavia, il Management deve valutare se estendere le azioni correttive anche a tutte le altre aree che potrebbero avere la medesima problematica. Quali sono le tipologie di azioni correttive che si possono intraprendere in caso in cui siano identificate aree di miglioramento del SCIGR? Le azioni correttive devono essere definite tenendo conto degli esiti del monitoraggio e/o di qualsiasi altra informazione ricevuta sul malfunzionamento dei controlli. Nel definire l azione correttiva è necessario ispirarsi al principio dell equilibrio tra efficacia ed efficienza. Le azioni correttive che possono essere adottate sono ad esempio modifiche organizzative, modifiche o implementazione di sistemi informatici, modifica o formalizzazione di strumenti normativi, introduzione di controlli, ecc Affinché l azione correttiva si consideri completata il Management deve garantire non solo la definizione del nuovo controllo e/o modifica di quello esistente (adeguatezza del disegno) ma anche l effettiva operatività dello stesso. 65

66 Riesame e valutazione Il Riesame e valutazione, che completa il processo SCIGR, consiste nell analisi strutturata delle evidenze emerse dall attività di monitoraggio svolta sul SCIGR (ivi incluse quelle provenienti da soggetti esterni, tra cui il revisore legale) ai fini di valutarne l adeguatezza e funzionamento e possibili iniziative di miglioramento. Per eni spa consiste nel riesame e valutazione del SCIGR da parte del Management, per quanto di competenza, al fine di garantirne il miglioramento 66

67 continuo e nel fornire al CdA di eni spa gli elementi necessari a esprimere una valutazione sull'adeguatezza del SCIGR di eni nel suo complesso. Con cadenza semestrale, salvo eventi straordinari che ne suggeriscano una diversa periodicità, il CdA di eni spa, previo parere del CCR di eni spa, valuta l'adeguatezza del SCIGR di eni nel suo complesso rispetto alle caratteristiche di eni e al profilo di rischio assunto e compatibile con gli obiettivi aziendali, nonché la sua efficacia. Il modello di valutazione del CdA di eni spa si fonda su appositi flussi informativi e di reporting da parte del Management, articolati a più livelli e strutturati in modo da fornire al CdA di eni spa, nei tempi opportuni, gli elementi valutativi necessari a esprimere efficacemente una valutazione periodica sull adeguatezza del SCIGR di eni. Tutti i flussi a supporto delle valutazioni del SCIGR da parte del CdA di eni spa confluiscono verso il CCR di eni spa, che svolge un adeguata attività di istruttoria dei cui esiti riferisce direttamente al CdA di eni spa nell ambito delle proprie relazioni periodiche e/o attraverso il rilascio di specifici pareri corredati della documentazione ricevuta. Tali flussi sono inoltre trasmessi al CS di eni spa per l esercizio dei compiti a esso attribuiti dalla legge in materia di SCIGR. 67

68 I flussi informativi e di reporting indirizzati al CCR di eni spa al fine svolgere un'adeguata attività di istruttoria dei cui esiti riferisce direttamente al CdA di eni spa, sono garantiti dai tre livelli di controllo: Primo livello di controllo incontri con COO e il Management, su richiesta del CCR e/o CS di eni spa, in cui i) sono illustrate le principali azioni intraprese a fronte degli esiti delle attività di monitoraggio del Management e/o, ove esistente, del monitoraggio indipendente della Direzione Internal Audit di eni spa, lo stato di attuazione delle stesse, e le eventuali ulteriori iniziative di miglioramento del SCIGR individuate; ii) è fornita informativa su aspetti specifici del SCIGR riferiti alle attività di competenza qualora richiesto. Secondo livello di controllo relazioni previste dai modelli di compliance e/o governance, adottati da eni spa in relazione all adeguamento a leggi o regolamenti a essa applicabili; reporting sui rischi del RMI; 68

69 attestazioni di adeguatezza del Sistema Normativo espresse dai diversi Process Owner; riesame del modello HSE; altri flussi definiti nell ambito delle MSG di processo. Terzo livello di controllo valutazione complessiva del SCIGR da parte della Direzione Internal Audit di eni spa. I flussi sono temporalmente allineati rispetto alle tempistiche di valutazione del SCIGR da parte del CdA di eni spa e coerenti nei contenuti. A tal fine, la Direzione Internal Audit di eni spa, nell ambito del proprio ruolo in materia di SCIGR, fornisce supporto agli organi di controllo in merito all analisi e alla rappresentazione di sintesi dei principali aspetti del SCIGR evidenziati in tali flussi, in tempo utile a consentire loro le proprie valutazioni periodiche. Tale processo di valutazione di adeguatezza del SCIGR si basa principalmente sugli esiti del monitoraggio svolto i) dalla Direzione Internal Audit di eni spa sul SCIGR eni nel suo complesso; ii) dal Management nelle rispettive aree di responsabilità; iii) nonché dalle funzioni e/o organi individuati dai modelli di compliance e/o governance, adottati da eni spa in relazione all adeguamento a leggi o regolamenti a essa applicabili. Inoltre, allo stesso scopo, su richiesta del CCR e CS di eni spa, sono previsti incontri con COO e Management per approfondimenti specifici sul funzionamento del SCIGR nei rispettivi ambiti di competenza. 69

70 Nei flussi informativi sono evidenziate, ove presenti, le principali aree di miglioramento afferenti il SCIGR di competenza e le azioni intraprese e/o da intraprendere, con indicazione del responsabile e dei relativi tempi di attuazione. Le modalità e le tempistiche di attivazione di tali flussi sono previsti nell ambito delle MSG di riferimento. Per le Società Controllate il Management effettua il riesame e valutazione del SCIGR, per quanto di competenza, che consiste nell analisi delle evidenze emerse dall attività di monitoraggio del Management e/o del monitoraggio indipendente della Direzione Internal Audit di eni spa, ove esistente, al fine di i) verificare le principali azioni intraprese e lo stato di attuazione delle stesse, e ii) individuare eventuali ulteriori iniziative di miglioramento del SCIGR. L Amministratore Delegato, o figura equivalente, della società controllata relaziona il proprio CdA, o organo equivalente, nell ambito dell informativa sull esercizio delle deleghe conferite, in merito allo SCIGR nonché in merito allo stato di recepimento e attuazione delle MSG, così come previsto dalla MSG Sistema Normativo. 70

71 Informazione e Comunicazione Le informazioni e la comunicazione sono fondamentali per consentire l adempimento delle responsabilità in materia di SCIGR e quindi per il perseguimento dei relativi obiettivi. Le informazioni ricevute, utilizzate o inviate devono essere pertinenti, rispetto all uso che ne deve essere fatto, chiare, tempestive, accurate, accessibili, veritiere e complete, e, laddove possibile, definite utilizzando un linguaggio uniforme. 71

72 I sistemi informativi, intesi come l insieme di persone, processi e tecnologie, supportano la rilevazione delle informazioni sia interne sia esterne e la relativa elaborazione al fine di fornire le informazioni necessarie alle responsabilità da adempiere. L utilizzo di tecnologie integrate deve essere privilegiato per garantire non solo informazioni adeguate, ma al tempo stesso maggiormente accessibili e più tempestive. A ogni persona sono rese disponibili le informazioni (comunicazione) necessarie per adempiere alle proprie responsabilità nonché quelle rilevanti per il buon funzionamento e l adeguatezza del SCIGR. 72

73 Passi operativi per l implementazione, monitoraggio e riesame del SCIGR 4 4. PASSI OPERATIVI PER L IMPLEMENTAZIONE, MONITORAGGIO E RIESAME DEL SCIGR La figura successiva schematizza i passi operativi che il Management pone in essere per l implementazione, monitoraggio e riesame del SCIGR affinché lo stesso sia adeguato e funzionante nel tempo. Tali passi operativi formano parte integrante delle normali attività aziendali, tuttavia è opportuno che siano attuati in occasione di eventi che possano incidere sul grado di adeguatezza e funzionamento del SCIGR, quali ad esempio: cambiamenti delle normative applicabili alla società; introduzione e/o cambiamenti di tecnologie e/o sistemi informatici; acquisizioni o dismissioni significative; cambiamento del modello di business, attività e/o prodotti; riorganizzazioni aziendali; cambiamenti significativi del top management; eventi che hanno impatti direttamente sulla società, supply chain e/o business partners. 73

74 Passi operativi per l implementazione, monitoraggio e riesame del SCIGR 4 74

75 Passi operativi per l implementazione, monitoraggio e riesame del SCIGR 4 75