GRUPPO TELECOM ITALIA Il Sistema di Controllo Interno Definizione, attori e competenze Federico Maurizio d Andrea
Indice Il sistema di controllo interno quale elemento della corporate governance I livelli di presidio (controlli di primo, secondo e terzo livello) I soggetti operanti nel Gruppo TI con responsabilità in tema di controllo interno (control governance): attori, responsabilità e fonti TI AUDIT and COMPLIANCE Services Federico Maurizio d Andrea
Il sistema di controllo interno IL SISTEMA DI CONTROLLO INTERNO (Codice di Autodisciplina TI art. 9.1) Il sistema di controllo interno della Società è un processo - costituito da regole, procedure e strutture organizzative - volto ad assicurare l efficienza della gestione societaria ed imprenditoriale; la sua conoscibilità e verificabilità; l affidabilità delle informazioni contabili e gestionali; il rispetto delle leggi e dei regolamenti di ogni fonte e la salvaguardia dell integrità aziendale, anche al fine di prevenire frodi a danno della Società e dei mercati finanziari. CONTROLLO (Standard IIA) Qualsiasi azione intrapresa dal management, dal board o da altri soggetti per gestire i rischi ed aumentare le possibilità di conseguimento degli obiettivi e dei traguardi stabiliti. Il management pianifica, organizza e dirige l esecuzione di iniziative in grado di fornire una ragionevole sicurezza sul raggiungimento di obiettivi e traguardi. CONTROLLO INTERNO (COSO Framework - Committee of Sponsoring Organizations of the Treadway Commission) Il controllo è definito come il processo, svolto dal consiglio di amministrazione, dai dirigenti e da altri soggetti della struttura aziendale, finalizzato a fornire una ragionevole sicurezza sul conseguimento degli obiettivi rientranti nelle seguenti categorie: efficacia ed efficienza delle attività operative; attendibilità delle informazioni di bilancio; conformità alle leggi e ai regolamenti in vigore. Federico Maurizio d Andrea 3
Il sistema di controllo interno LE COMPONENTI DEL SISTEMA DI CONTROLLO INTERNO regole procedure organizzazione Mission / Obiettivi Operativi / Sistemi di Incentivazione Organizzazione / Poteri / Responsabilità Pianificazione Operativa Know-How / Formazione / Risorse Norme / Procedure / Istruzioni operative Sistemi Informativi di Supporto ai processi Attività di Controllo Specifiche Reporting Informativo Direzionale Monitoraggio COSO Framework -Internal Control- Federico Maurizio d Andrea 4
Il sistema di controllo interno e i livelli di presidio Si distinguono tre livelli di articolazione del presidio sul Sistema di Controllo Interno, a complemento delle responsabilità di governo che risiede in capo agli organismi societari e di vigilanza: Primo livello definisce e gestisce i controlli insiti nei processi operativi che richiedono competenze specifiche del business, dei rischi e/o delle normative pertinenti; si tratta di controlli di linea ossia di quelle verifiche svolte sia da chi mette in atto una determinata attività, sia da chi ne ha la responsabilità di supervisione. Tutte le funzioni di un organizzazione, in maniera in più o meno ampia, eseguono tali controlli. Si tratta di controlli procedurali, informatici, comportamentali, amministrativo-contabili, ecc.. Secondo livello presidia il processo di individuazione, valutazione, gestione e controllo dei rischi legati all operatività garantendone la coerenza rispetto agli obiettivi aziendali e prevedendo l applicazione di criteri di segregazione che consentano un efficace monitoraggio; si tratta di controlli inerenti alla gestione dei rischi nel senso più ampio del termine. Alcune tipiche funzioni aziendali che curano tali attività sono: il Risk Management, il Compliance Officer, il Controllo di Gestione, il Dirigente Preposto alla Redazione dei Documenti Contabili Societari, ecc.. Terzo livello fornisce l assurance complessiva sul disegno e sul funzionamento del Sistema di Controllo Interno attraverso valutazioni indipendenti; tale attività è di competenza dell Internal Auditing. Federico Maurizio d Andrea 5
Principi di riferimento per il Sistema di Controllo Interno Separazione di ruoli/compiti (segregation of duty) a tutela della corretta funzionalità, efficacia ed efficienza del Modello Organizzativo aziendale Tracciabilità e non ripudiabilità dei dati/informazioni a presidio della trasparenza e della completa ricostruibilità delle operazioni/attività aziendali Accountability delle informazioni e dei processi anche al fine dell individuazione dei soggetti direttamente responsabili Federico Maurizio d Andrea 6
Il sistema di controllo interno e i livelli di presidio Disegno/ architettura progetta Funzionamento valuta Governo Consiglio di Amministrazione Collegio Sindacale Comitato per il Controllo Interno Organismo di Vigilanza Controllo di III livello Internal Auditing (Direz. Audit) Controllo di II livello Dirigente Preposto Doc. Contabili Risk Manager Compliance Officer (Direz. Compliance) IT Risk&Compliance (IT Risk&Sec. Gov.) Controllo di Gestione Controllo di I livello Management Organizzazione Federico Maurizio d Andrea 7
I soggetti operanti e i riferimenti di control governance BORSA ITALIANA AUTHORITY (CONSOB, SEC, AGCOM, GARANTE PRIVACY) Preposto al Controllo Interno Comitato per il Controllo Interno e la Corporate Governance Consiglio di Ammnistrazione Dirigente Preposto alla redazione dei documenti contabili societari Organismo di Vigilanza Altri soggetti (Università, Associazione Consumatori, ecc.) Management Collegio Sindacale Società di revisione Federico Maurizio d Andrea 8
I soggetti operanti e i riferimenti di control governance Consiglio di Amministrazione CC / TUF / Codice di Autodisciplina Borsa Italiana / Atti societari / Codice di Autodisciplina TI / Codice Etico e di Condotta TI Comitato per il Controllo Interno e la Corporate Governance Codice di Autodisciplina Borsa Italiana / Codice di Autodisciplina TI Soggetti Preposto al Controllo Interno Dirigente Preposto alla Redazione dei Documenti Contabili Societari Organismo di Vigilanza Management TUF / Codice di Autodisciplina Borsa Italiana / Codice di Autodisciplina TI /Codice Etico e di Condotta TI / Procedura segnalazioni al preposto al controllo interno TUF/Codice di Autodisciplina Borsa Italiana / Sarbanes Oxley Act / Codice di Autodisciplina TI / Regolamento del Dirigente preposto alla redazione dei documenti contabili societari D.Lgs.231/01 / Linee Guida Confindustria approvate dal Ministero Giustizia / Modello Organizzativo 231 TI Codice Etico e di Condotta TI / Modello Organizzativo 231 TI / Sistema procedurale Riferimenti esterni/interni Collegio Sindacale CC / TUF / Codice di Autodisciplina di Borsa Italiana / Atti societari / Codice di Autodisciplina di TI / Codice Etico e di Condotta TI Società di Revisione CC / TUF / Codice di Autodisciplina di Borsa Italiana / Codice di Autodisciplina TI / Procedura conferimento incarichi a società di revisione Federico Maurizio d Andrea 9
I soggetti operanti e i riferimenti di control governance in TI Il Codice di Autodisciplina di Telecom Italia ha sviluppato e adeguato alla realtà di Telecom Italia i principi e le raccomandazioni del corrispondente Codice di Borsa Italiana. Esso si fonda sul principio generale secondo il quale: Telecom Italia e i suoi organi conformano la loro attività, anche nei confronti delle società del Gruppo, ai principi di corretta gestione societaria e imprenditoriale, nonché a quelli contenuti nel Codice Etico del Gruppo Telecom Italia. In esso viene definito il ruolo centrale del Consiglio di Amministrazione sulla trasparenza delle scelte gestionali, sull'efficacia del sistema di controllo interno e sulla rigorosa disciplina dei potenziali conflitti di interesse. Nella sua articolazione, il Codice definisce puntualmente: il sistema di controllo interno con relative responsabilità e deleghe; la composizione, le responsabilità e le attività del Comitato per il Controllo Interno e la Corporate Governance; la figura del Preposto al Controllo Interno. Federico Maurizio d Andrea 10
I soggetti operanti e i riferimenti di governance in TI Il CdA (C.A. art.9.2) Il Consiglio di Amministrazione definisce le linee guida del sistema di controllo interno e ne verifica l adeguatezza, l efficacia e il corretto funzionamento con riferimento alla gestione dei rischi aziendali. Il Comitato per il Controllo Interno e la Corporate Governance (C.A. art 14.3) Il Consiglio di Amministrazione costituisce un Comitato per il controllo interno e per la Corporate Governance, con funzioni consultive e propositive,. In particolare, il Comitato: a) assiste il Consiglio nell espletamento dei compiti di cui all art. 9; c) valuta il piano di lavoro preparato dal preposto al controllo interno e riceve le sue relazioni periodiche; d) valuta, unitamente ai responsabili amministrativi della Società, al dirigente preposto alla redazione dei documenti contabili societari e ai revisori, il corretto utilizzo dei principi contabili e la loro omogenea applicazione all interno del Gruppo ai fini della redazione del bilancio consolidato; f) vigila sull efficacia del processo di revisione contabile; h) vigila sull osservanza e sul periodico aggiornamento delle regole di corporate governance. Federico Maurizio d Andrea 11
I soggetti operanti e i riferimenti di governance in TI Il Preposto (C.A. art 9.5) Al fine di verificare il corretto funzionamento del sistema di controllo interno, il Consiglio di Amministrazione si avvale del Comitato per il controllo interno e per la corporate governance, nonché di un preposto dotato di un adeguato livello di indipendenza e di mezzi idonei allo svolgimento della funzione. Il preposto al controllo interno, espressione della funzione di internal auditing, riferisce del suo operato all Amministratore all uopo delegato, al Comitato per il controllo interno e per la corporate governance, e per il suo tramite al Consiglio di Amministrazione, al Collegio Sindacale. si identifica con il Presidente e Direttore Generale di TI Audit and Compliance Services, quale società impegnata nel presidiare il corretto funzionamento del Sistema di Controllo Interno di Telecom Italia e TI Media e società controllate Federico Maurizio d Andrea 12
I soggetti operanti e i riferimenti di control governance in TI Il Collegio Sindacale assicura la vigilanza sull adeguatezza del Sistema di controllo interno aziendale nonché opera quale Audit Committee secondo la normativa USA Il Dirigente Preposto alla Redazione dei Documenti Contabili Societari attesta con l AD l adeguatezza/applicazione delle procedure contabili/amministrative per la formazione del bilancio d esercizio/consolidato nonché dichiara che le comunicazioni societarie diffuse al mercato corrispondano alle risultanze documentali/libri/scritture contabili Organismo di Vigilanza 231 ha il compito di vigilare sul funzionamento ed osservanza del Modello Organizzativo 231 nonchè di curarne l aggiornamento Società di Revisione riceve l incarico dall Assemblea, su proposta del Collegio Sindacale, con compiti di revisione legale articolati nel controllo contabile e nei giudizi sui bilanci Federico Maurizio d Andrea 13
Recente evoluzione della control governance: D. Lgs. n. 39/2010 il Collegio Sindacale Il Comitato per il controllo interno e la revisione contabile si identifica con: il Consiglio di Sorveglianza negli enti che adottano il sistema di amministrazione e controllo dualistico, a condizione che ad esso non siano attribuite le funzioni di cui all'articolo 2409- terdecies, primo comma, lettera f-bis), del codice civile (delibere in tema di operazioni strategiche e di piani industriali e finanziari), ovvero un Comitato costituito al suo interno il Comitato per il Controllo sulla Gestione negli enti che adottano il sistema di amministrazione e controllo monistico Federico Maurizio d Andrea 14
Distinzione di ruoli del CCI e del Collegio Sindacale (Dottrina) v il Comitato per il Controllo interno assicura un supporto specialistico per le esigenze istruttorie del CdA: il Comitato per il controllo interno, opera in una prospettiva ex ante, mentre il Collegio tende ad operare ex post (cioè controlla quanto fatto, anziché istruire il da fare) v il Comitato per il controllo interno svolge le proprie attività in un ottica propositiva e consultiva nell interesse degli obiettivi di competenza del CdA, mentre le responsabilità gravanti sul Collegio sindacale -anche nella sua veste di Audit Committee (ai fini dell applicazione della Legge Sarbanes-Oxley, approvata in U.S.A. il 30 luglio 2002, che incide sugli obblighi di informativa delle società soggette al controllo della SEC/ Securities and Exchange Commission)- si riflettono invece nell esercizio di un autentica attività di vigilanza sull adeguatezza del Sistema di controllo interno Comitato Controllo Interno Controlli ex ante per supporto al CdA Collegio Sindacale Controllo ex post (Vigilanza) Federico Maurizio d Andrea 15
Rapporti tra CDA/CCI e Collegio Sindacale (Dottrina) v Principi di Corporate Governance: il CdA si configura come l organo sociale che, avvalendosi del CCI, attiva il processo di autovalutazione, miglioramento e monitoraggio del Sistemadi controllo interno il Collegio Sindacale esercita l attività di vigilanza in funzione dei risultati della ricognizione autovalutativa e del suo aggiornamento per opera del CdA v Il Collegio Sindacale il cui Presidente o altro sindaco da lui designato partecipa ai lavori del Comitatoper il Controllo Interno- ha il compito di verificare: a) la validità del programma di attività, le modalità operative e la composizione del Comitato per il controllo interno in grado di assicurare a tale organo adeguati profili di competenza tecnica; b) la metodologia di valutazione della adeguatezza dei controlli interni in quanto applicata alle singole strutture organizzative dell azienda; c) le azioni intraprese con riferimento a quelle unità organizzative ove sono state individuate aree di debolezza e/o esposte a maggiori rischi Federico Maurizio d Andrea 16
Cenni evolutivi funzioni di controllo (audit e compliance) Fine anni 70 Anni 80/ 90 Anni 2000 Posizione organizzativa Direzione Amministrativa Amministratore Delegato Presidente (CCICG e CS) Mandato organizzativo Audit finanziario e supporto alla Società di revisione Audit finanziario e operativo su eventi specifici e supporto alla predisposizione di procedure Audit di processo finalizzati alla valutazione del sistema di controllo interno e presidio di rischi e compliance alle norme Federico Maurizio d Andrea 17
TI AUDIT and COMPLIANCE Services S.C. a r.l. Mission: la società consortile si propone lo svolgimento di attività e servizi -nell interesse dei soci (Telecom Italia e TI Media), nonché delle società direttamente o indirettamente controllate dalle stesse- finalizzati alla verifica della efficienza, efficacia, funzionalità del sistema di controllo interno ed al presidio dei processi di gestione della compliance e dei rischi compreso l ambito IT. STATUTO REGOLAMENTO STANDARD PROFESSIONALI e BEST PRACTICES DIREZIONE AUDIT E. Humar Audit & Compliance Consulting P. Cuomo 82% 18% TELECOM ITALIA AUDIT AND COMPLIANCE SERVICES F. M. d Andrea DIREZIONE COMPLIANCE a.i. P. Cuomo Modelli e Programmi di Revisione L. Trucco TI Audit Latam s.a. It Risk & Security Governance R. Mazzilli La società consortile si propone lo svolgimento di attività e servizi -nell interesse dei soci consorziati (Telecom Italia e TI Media)- finalizzati alla verifica di funzionalità ed al miglioramento del sistema di controllo interno, nei confronti dei soci e delle società direttamente o indirettamente partecipate dagli stessi, nonché al presidio dei processi di gestione della compliance e dei rischi compreso l ambito IT. Modalità di prestazione dei servizi: vpianificazione triennale ( Piano triennale di Audit, Compliance ed IT Compliance aggiornato ogni anno e sottoposto alla valutazione del Comitato per il Controllo Interno dei rispettivi soci); vprogrammi di intervento analitici (individuati dal Preposto al Controllo interno, almeno con cadenza trimestrale, e comunicati ai Comitati per il Controllo Interno dei soci consorziati); vformalizzazione dei rapporti contrattuali con i soci consorziati per gli interventi previsti in tali Programmi; vrealizzazione degli interventi di audit e di compliance: a) pianificazione e svolgimento dell intervento; b) comunicazione dei risultati (reporting); c) monitoraggio e follow-up. Reporting periodico del Preposto al Controllo Interno con valutazione annuale del Sistema di Controllo Interno (all Amministratore delegato incaricato di sovrintendere alla funzionalità del sistema di controllo interno, al Comitato per il Controllo interno ed al Collegio Sindacale dei soci consorziati). Federico Maurizio d Andrea 18
Report e flussi informativi Tipologia Report periodici (piano triennale, rendiconto trimestrale, consuntivo) e Dashboard per CCICG / CS Report di Audit Note di approfondimento per il Collegio Sindacale Relazioni 231, approfondimenti e analisi periodiche per Organismo di Vigilanza Relazioni Sox-404/262 Altre Relazioni di Compliance IT Risk Report per i soci consorziati e relative società controllate in funzione di competenze di materia e rilevanza degli esiti: Vertice (Presidente e AD) Comitato per il Controllo Interno e la Corporate Governance Collegio Sindacale Organismo di Vigilanza 231 Dirigente Preposto alla Redazione dei Documenti Contabili Societari IT Steering Committee Responsabili di struttura interessati dagli interventi audit/compliance Destinatari Federico Maurizio d Andrea 19
Audit i servizi Servizi di Assurance Consistono in un esame obiettivo delle evidenze, allo scopo di ottenere una valutazione indipendente dei processi di governance, di gestione del rischio e di controllo dell organizzazione. Tra gli esempi si possono includere incarichi di tipo finanziario, di tipo operativo, di conformità, di sicurezza informatica e di due diligence. 95% analizzare e valutare Mission / Obiettivi Operativi/ Sistemi di Incentivazione Organizzazione / Poteri / Responsabilità Pianificazione Operativa Know-How / Formazione / Risorse Norme / Procedure / Istruzioni operative Sistemi Informativi di Supporto ai processi Attività di Controllo Specifiche Reporting Informativo Direzionale Monitoraggio Rating di Generally conforms agli Standard Internazionali di Internal Auditing conseguito a seguito di External Quality Assurance svolta dall Institute of Internal Auditors (IIA) 2011 Disegno/ architettura Funzionamento 5% Servizi di Consulenza Servizi di supporto e assistenza al cliente, la cui natura ed estensione vengano concordate con il cliente, intesi a fornire valore aggiunto e a migliorare i processi di governance, gestione del rischio e controllo di un organizzazione, senza che l internal auditor assuma responsabilità manageriali in materia. Tra i possibili esempi figurano consulenza, assistenza specialistica, facilitazione e formazione. Federico Maurizio d Andrea 20
Audit le tipologie di intervento e i volumi sviluppati L attività di Audit (Italia e Brasile) si sviluppa in termini di: Interventi di audit Follow-up ISA-Internal Security Assessment Analisi specifiche Monitoraggio di audit (avviato dal 2 sem 2009) A partire dal 2010 gli interventi di audit previsti sono stati: razionalizzati all internodi progetti così connotabili: progetti di continuità - argomenti di rilevante interesse aziendale su cui mantenere un presidio costante; progetti di consolidamento - temi già affrontati che necessitano di valutazione integrativa; progetti innovativi - nuovi ambiti di approfondimento; presidio - previsti anche per esigenze mirate e/o finalizzate alla copertura complessiva. Esempi Progetti 2010 Sicurezza logica dei sistemi Sistemi e servizi Autorità Giudiziaria Gestione del credito Commercializzazione clientela business Realizzazione e manutenzione infrastrutture immobiliari e tecnologiche Qualità e sicurezza dei nuovi servizi Rapporti intercompany Comunicazione e pubblicità Federico Maurizio d Andrea 21
Compliance i servizi Gli ambiti di responsabilità della Direzione Compliance: stimolare e sviluppare la cultura all'interno del Gruppo per il rispetto delle regole vigenti, a garanzia della conformità di tutti i comportamentiai limiti e ai divieti normativi applicabili; ridurre l'esposizione ai rischi economici, legali e più in generale operativi, derivanti da possibili violazioni e/o comportamenti illeciti; tutelare l immagine e la reputazione aziendale. La Compliance interagisce operativamente con tutte le altre funzioni aziendali di staff e di business, integrando le proprie attività con gli altri processi aziendali Interventi di tipo PREVENTIVO due DIRETTRICI Attività EX-POST monitoraggio del contesto normativo di riferimento e definizione/revisione delle procedure a garanzia della piena aderenza alle normative applicabili; identificazione, valutazione e verifica nel continuo del rischio di conformità; definizione e attuazione di piani formativi e di comunicazione per la diffusione della conoscenza delle responsabilità presenti in azienda per il presidio della compliance e delle conseguenze personali ed aziendali di possibili violazioni. 40% verifica diretta, periodica e risk-oriented, della conformità dei comportamenti e dell efficacia dei presidi in essere; monitoraggio della corretta e tempestiva applicazione degli interventi di rimedio pianificati; Federico Maurizio d Andrea 22 60%
Governance rischi e compliance IT Governare la compliance IT significa soddisfare il complesso di requisiti definiti da: Leggi e normative esterne Politiche e/o standard aziendali Standard internazionali e/o best practices nell ambito di un processo di continuous improvement del livello aziendale di rischio e di compliance Elementi di controllo e governance ESITI VERIFICHE Audit PIANI DI RIENTRO PIANI DI SICUREZZA Flussi in input al processo di Governo dei rischi IT NORME ESTERNE STANDARD E BEST PRACTICE INIZIATIVE STRATEGICHE PROCEDURE INTERNE ANALISI DEI RISCHI E POLICY PIANI di RIENTRO e di MIGLIORAMENTO INTERVENTI di ADEGUAMENTO ASSESSMENT / ASSURANCE responsabilità: ITRSG Flussi di adeguamento Prevenzione attraverso presidio, indirizzo e coordinamento, e analisi dei rischi IT Implementazioni tecnologiche Revisione di processi organizzativi Linee guida operative Modelli di governance FUNZIONI OPERATIVE Programmi di intervento nell ambito dei flussi di adeguamento Controllo, attraverso verifiche di II livello, di ITRSG Federico Maurizio d Andrea rischio e compliance IT 23
Governance rischi e compliance IT IT Risk & Security Governance svolge il proprio ruolo perseguendo obiettivi di: 4Prevenzione à analisi ex-ante delle aree di rischio per valutarne criticità e definire priorità di interventi di indirizzo e controllo, in coerenza con obiettivi aziendali di mitigazione dei rischi 4Indirizzo à attraverso la condivisione ed emissione di policy e linee guida che definiscono ruoli e responsabilità nell attuazione e interpretazione dei requisiti normativi nell ambito IT del Gruppo Telecom 4Efficienza organizzativa ed operativa à interfaccia integrata e gestione sinergica tra i piani di adeguamento e di assessment 4Contributo al miglioramento del Sistema di Controllo Interno à verifiche di II livello che contribuiscono al presidio del livello di rischio, anche attraverso l individuazione di non conformità puntuali per l alimentazione di indicazioni di andamento Fonti esterne Fonti interne Fonti esterne Fonti interne Fonti dei requisiti Leggi, Provvedimenti Authority D. lgs. 196/03 e Provvedimenti Privacy Direttive AGCOM D. lgs. 231/01 Sarbanes Oxley Act Section 404 D. lgs. 109/08 (cosiddetto decreto Frattini Testo Unico Finanza (Informazioni Price Sensitive e SOX italiana sull informativa finanziaria) Basilea II rating del credito Legge 300/70 (Statuto dei lavoratori art. 4) Prestazioni obbligatorie per AA.GG. Policy e linee guida aziendali Direttive da Vertice e organi aziendali (CCICG, CdA, Comitati) Risultanze Audit Standard, Best Practice ISO 27001 ITIL/ISO 20000 CMMI COBIT PCI-DSS Codice di Autodisciplia per Società quotate alla Borsa di Milano Linee guida e procedure Metodologie e strumenti di supporto per la compliance (es. MIMIP) Software Lifecycle Model di Gruppo Federico Maurizio d Andrea 24
Caratteristiche del Controllore Indipendente ONORABILITA E REPUTAZIONE CREDIBILITA requisiti essenziali del controllore indipendente biglietto da visita del controllore indipendente Federico Maurizio d Andrea 25