Sistema di gestione dei rischi e di controllo interno in relazione al processo di informativa finanziaria

Il sistema di controllo interno sull’informativa finanziaria è il processo volto a fornire la ragionevole certezza sull’attendibilità36 dell’informativa finanziaria medesima e sulla capacità del processo di redazione del bilancio di produrre l’informativa finanziaria in accordo con i principi contabili di generale accettazione.

Snam Rete Gas S.p.A si è dotata di un corpo normativo il “Sistema di Controllo sull’Informativa societaria” che definisce le norme, le metodologie, i ruoli e le responsabilità per la progettazione, l’istituzione e il mantenimento nel tempo del sistema di controllo interno sull’informativa societaria del Gruppo Snam Rete Gas S.p.A nonché per la valutazione della sua efficacia.

Il corpo procedurale sul sistema di controllo sull’informativa societaria è stato definito coerentemente alle previsioni dell’art. 154-bis del Testo Unico della Finanza e tenuto conto delle prescrizioni previste dalla legge statunitense Sarbanes-Oxley Act of 2002 (SOA), cui la controllante Eni Sp.A. è sottoposta, in qualità di emittente quotato al New York Stock Exchange (NYSE), che si riflettono su Snam Rete Gas S.p.A in quanto società controllata rilevante.

Il modello di controllo interno sull’informativa societaria adottato da Snam Rete Gas S.p.A è basato sul COSO Report (“Internal Control – Integrated Framework” pubblicato dal Committee of Sponsoring Organizations of the Treadway Commission).

Oltre che a Snam Rete Gas S.p.A, il modello di controllo definito è applicato, a decorrere dalla data di acquisizione del controllo, alle imprese da essa controllate direttamente e indirettamente a norma dei principi contabili internazionali in considerazione della loro significatività ai fini della predisposizione dell’informativa finanziaria. Le imprese controllate da Snam Rete Gas S.p.A adottano il modello di controllo definito quale riferimento per la progettazione e l’istituzione del proprio sistema di controllo, in modo da renderlo adeguato rispetto alle loro dimensioni e alla complessità delle attività svolte.

Principali caratteristiche del sistema di gestione dei rischi e di controllo interno in relazione al processo di informativa finanziaria

Il sistema di controllo è stato definito seguendo due principi fondamentali ovvero la diffusione dei controlli a tutti i livelli della struttura organizzativa, coerentemente con le responsabilità operative affidate e la sostenibilità dei controlli nel tempo, in modo tale che il loro svolgimento risulti integrato e compatibile con le esigenze operative.

La progettazione, l’istituzione e il mantenimento del sistema di controllo sono garantiti attraverso: un processo di valutazione dei rischi (risk assessment), l’individuazione dei controlli, la valutazione dei controlli e i flussi informativi (reporting).

Il processo di risk assessment, condotto secondo un approccio “top-down” (dall’alto verso il basso), è mirato ad individuare le entità organizzative, i processi e le specifiche attività in grado di generare rischi di errore, non intenzionale, o di frode che potrebbero avere effetti rilevanti sul bilancio.

In particolare, l’individuazione delle entità organizzative che rientrano nell’ambito del sistema di controllo (imprese rilevanti) è effettuata sia sulla base della contribuzione delle diverse entità a determinati valori del bilancio consolidato (totale attività, totale indebitamento finanziario, ricavi netti, risultato prima delle imposte) sia in relazione a considerazioni circa la rilevanza per processi e rischi specifici. Nell’ambito delle imprese rilevanti per il sistema di controllo vengono successivamente identificati i processi significativi in base ad un’analisi di fattori quantitativi (processi che concorrono alla formazione di voci di bilancio per importi superiori ad una determinata percentuale dell’utile ante imposte) e fattori qualitativi (ad esempio: complessità del trattamento contabile del conto; novità o cambiamenti significativi nelle condizioni di business).

A fronte dei processi e delle attività rilevanti vengono identificati i rischi ossia gli eventi potenziali il cui verificarsi può compromettere il raggiungimento degli obiettivi di controllo inerenti l’informativa finanziaria (ad esempio le asserzioni di bilancio). I rischi così identificati sono valutati in termini di potenziale impatto e di probabilità di accadimento, sulla base di parametri quantitativi e qualitativi e assumendo l’assenza di controlli (c.d. valutazione a livello inerente). In particolare, con riferimento ai rischi di frode37 in Snam Rete Gas S.p.A è condotto un risk assessment dedicato sulla base di una specifica metodologia relativa ai “Programmi e controlli antifrode”.

A fronte di società, processi e relativi rischi considerati rilevanti sono definite le opportune attività di controllo. La struttura del sistema di controllo prevede controlli a livello di entità che operano in maniera trasversale rispetto all’entità di riferimento (Gruppo / singola società) e controlli a livello di processo.

I controlli a livello di entità sono organizzati in una checklist definita, sulla base del modello adottato nel COSO Report, secondo cinque componenti: ambiente di controllo, risk assessment, attività di controllo, sistemi informativi e flussi di comunicazione, attività di monitoraggio. In particolare, tra i controlli della componente “ambiente di controllo” sono inserite le attività relative alla definizione delle tempistiche per la redazione e diffusione dei risultati economicofinanziari; tra i controlli della componente “attività di controllo” rientra l’esistenza di strutture organizzative e di un corpo normativo adeguati per il raggiungimento degli obiettivi in materia di informativa finanziaria (tali controlli prevedono ad esempio attività di revisione ed aggiornamento da parte di funzioni aziendali specializzate delle norme in materia di bilancio e di contabilità); tra i controlli della componente “sistemi informativi e flussi di comunicazione” sono incluse le attività relative al sistema informativo per la gestione del processo di consolidamento.

I controlli a livello di processo si suddividono in: controlli specifici intesi come l’insieme delle attività, manuali o automatizzate, volte a prevenire, individuare e correggere errori o irregolarità che si verificano nel corso dello svolgimento delle attività operative; controlli pervasivi intesi come elementi strutturali del sistema di controllo volti a definire un contesto generale che promuova la corretta esecuzione e controllo delle attività operative (quali ad esempio la segregazione dei compiti incompatibili e i controlli generali sui sistemi informatici).

I controlli specifici sono individuati in apposite procedure che definiscono sia lo svolgimento dei processi aziendali sia i cosiddetti “controlli chiave” la cui assenza o la cui mancata operatività comporta il rischio di un errore/frode rilevante sul bilancio che non ha possibilità di essere intercettato da altri controlli.

I controlli sia a livello di entità che di processo sono oggetto di valutazione (monitoraggio) per verificarne nel tempo la bontà del disegno e l’effettiva operatività; a tal fine, sono state previste attività di monitoraggio di linea (ongoing monitoring activities), affidate al management responsabile dei processi/attività rilevanti, e attività di monitoraggio indipendente (separate evaluations), affidate all’Internal Audit, che opera secondo un piano prestabilito comunicato dal Dirigente preposto alla redazione dei documenti contabili societari (DP) volto a definire l’ambito e gli obiettivi del proprio intervento attraverso procedure di audit concordate.

Le attività di monitoraggio consentono l’individuazione di eventuali carenze del sistema di controllo che sono oggetto di valutazione in termini di probabilità e impatto sull’informativa finanziaria e in base alla loro rilevanza sono qualificate in ordine crescente di importanza come “carenze”, “significativi punti di debolezza” e “carenze rilevanti”.

Gli esiti delle attività di monitoraggio sono oggetto di un flusso informativo periodico (reporting) sullo stato del sistema di controllo che viene garantito anche dall’utilizzo di strumenti informatici volti ad assicurare la tracciabilità delle informazioni circa l’adeguatezza del disegno e l’operatività dei controlli. Sulla base di tale reporting, il DP redige una relazione semestrale sull’efficacia del sistema di controllo che, condivisa con l’Amministratore Delegato, è comunicata al Consiglio di Amministrazione, previa informativa al Comitato per il controllo interno ed al Collegio Sindacale, in occasione dell’approvazione del progetto di bilancio annuale e della relazione finanziaria semestrale, al fine di consentire lo svolgimento delle richiamate funzioni di vigilanza, nonché le valutazioni di propria competenza sul sistema di controllo interno.

L’attività del DP è supportata all’interno del gruppo Snam Rete Gas da diversi soggetti i cui compiti e responsabilità sono definiti nelle norme quadro precedentemente richiamate. In particolare, le attività di controllo coinvolgono tutti i livelli della struttura organizzativa di Snam Rete Gas e delle società controllate rilevanti quali i responsabili operativi di business e i responsabili di funzione fino ai Responsabili amministrativi e gli Amministratori Delegati. In tale contesto organizzativo assume particolare rilievo ai fini del sistema del controllo interno la figura del “risk owner” che esegue il monitoraggio di linea valutando il disegno e l’operatività dei controlli specifici e pervasivi e alimentando il flusso informativo di reporting sull’attività di monitoraggio.

(36) Attendibilità (dell’informativa): l’informativa che ha le caratteristiche di correttezza e conformità ai principi contabili generalmente accettati e ha i requisiti chiesti dalle leggi e dai regolamenti applicati.
(37) Frode: nell’ambito del Sistema di controllo, qualunque atto od omissione intenzionale che si risolve in una dichiarazione ingannevole nell’informativa.