6.7 Sistema di gestione dei rischi e di controllo interno in relazione al processo di informativa finanziaria

Premessa

Il sistema di gestione dei rischi e di controllo interno in relazione al processo di informativa finanziaria di Snam e Controllate sono elementi del medesimo “Sistema” (Sistema di Controllo Interno sull’Informativa Societaria), finalizzato a garantire l’attendibilità⁴³, l’accuratezza⁴⁴, l’affidabilità⁴⁵ e la tempestività dell’informativa societaria in tema di financial reporting e la capacità dei processi aziendali al riguardo rilevanti ai fini di produrre tale informativa in accordo con i principi contabili.

L’informativa in oggetto è costituita dall’insieme dei dati e delle informazioni contenute nei documenti contabili periodici previsti dalla legge - relazione finanziaria annuale, relazione finanziaria semestrale, resoconto intermedio di gestione, anche consolidati - nonché in ogni altro atto o comunicazione verso l’esterno avente contenuto contabile - quali i comunicati stampa ed i prospetti informativi redatti per specifiche transazioni - che costituiscono oggetto delle attestazioni previste dall’articolo 154-bis del TUF.

Tale informativa include sia dati e informazioni di carattere finanziario che non finanziario, questi ultimi aventi l’obiettivo di descrivere gli aspetti rilevanti del business, commentare i risultati economico-finanziari dell’esercizio e/o descrivere le prospettive future.

Snam si è dotata di un corpo normativo che definisce le norme, le metodologie, i ruoli e le responsabilità per la progettazione, l’istituzione, il mantenimento nel tempo e la valutazione dell’efficacia del Sistema di Controllo Interno sull’Informativa Societaria del Gruppo, che è applicato a Snam e alle Società da essa Controllate, tenendo conto della loro significatività.

Il modello di gestione dei rischi e di controllo interno sull’informativa societaria adottato da Snam e dalle Società Controllate è stato definito coerentemente con le previsioni del menzionato art. 154-bis del TUF a cui Snam è tenuta a garantire l’osservanza ed è basato, sotto il profilo metodologico, sul “COSO Framework” (“Internal Control – Integrated Framework”, emesso dal Committee of Sponsoring Organizations of the Treadway Commission), modello di riferimento a livello internazionale per l’istituzione, l’aggiornamento, l’analisi e la valutazione del sistema di controllo interno, del quale è stato pubblicato l’aggiornamento nel maggio 2013.

Nel corso del 2014 si è concluso il Progetto SCIS, che era stato avviato nella seconda pare del 2013. Il progetto, realizzato con il supporto di una primaria società di consulenza, ha riguardato la revisione e l’aggiornamento del Sistema di Controllo Interno sull’Informativa Societaria del Gruppo Snam, al fine di renderlo più aderente alle esigenze ed alle peculiarità del Gruppo stesso, in presenza di una crescente complessità organizzativa e dei processi, nonché di rafforzarne i profili metodologici, per consentire al Gruppo di perseguire un costante miglioramento del sistema, a presidio dell’affidabilità, attendibilità, tempestività e accuratezza dell’informativa societaria.

In relazione alle attività svolte nell’ambito del Progetto SCIS, è stata emessa la procedura “Il Sistema di Controllo Interno sull’Informativa Societaria del Gruppo Snam”, in sostituzione della precedente Management System Guideline (MSG), che definisce, alla luce degli sviluppi del Progetto, i ruoli e le responsabilità inerenti la progettazione, l’istituzione, l’applicazione, il mantenimento nel tempo, la gestione e la valutazione dell’efficacia del Sistema nel suo complesso. Sono state inoltre definite le istruzioni operative di dettaglio che disciplinano la metodologia, le responsabilità e le attività da svolgere per l’attuazione delle diverse componenti del Sistema di Controllo Interno sull’Informativa Societaria che riguardano, in particolare, la definizione dell’ambito di applicazione del Sistema (scoping), i “Company / Entity Level Controls” (CELC), i “Process Level Controls” (PLC), la “Segregation of Duties” (SoD), gli “Information Technology General Controls” (ITGC), il risk assessment per i Process Level Controls, la modalità di gestione dei risultati dei controlli e la valutazione delle carenze, la mappatura delle applicazioni informatiche rilevanti SCIS e il metodo di campionamento nei monitoraggi di linea.

Le attività progettuali hanno comportato anche, sulla base di quanto definito in termini di impostazione metodologica e di revisione dei processi di analisi e valutazione, la rivisitazione e l’aggiornamento di tutti i rischi ed i controlli delle singole componenti del Sistema.

Fasi del sistema di gestione dei rischi e di controllo interno esistenti in relazione al processo di informativa finanziaria

La progettazione, l’istituzione e il mantenimento del Sistema di Controllo Interno sull’Informativa Societaria sono garantiti mediante le attività di scoping, l’individuazione e la valutazione dei rischi e dei controlli (a livello aziendale e di processo, attraverso le attività di risk assessment e di monitoraggio) ed i relativi flussi informativi (reporting).

Individuazione e valutazione dei rischi sull’informativa societaria

Le attività di scoping e quelle di risk assessment per i processi rilevanti sono condotte secondo un approccio “top down – risk based”.

La definizione dello scoping è finalizzata ad individuare sia le società del Gruppo Snam in ambito al Sistema di Controllo Interno sull’Informativa Societaria, definendo, per ciascuna di esse, le componenti da applicare, sia le voci e le informazioni di bilancio a tal fine significative e i processi ad esse associati.

Le attività di risk assessment per i processi rilevanti sono mirate a identificare le specifiche attività in grado di generare rischi di errore, non intenzionale, o di frode, che potrebbero avere effetti rilevanti sul bilancio.

L’individuazione delle società che rientrano nell’ambito del Sistema di Controllo Interno sull’Informativa Societaria del Gruppo Snam è effettuata sia sulla base della contribuzione delle stesse a determinati valori del bilancio consolidato (totale attività, totale indebitamento finanziario, ricavi netti, risultato prima delle imposte) sia in relazione a considerazioni circa la rilevanza per processi e rischi specifici. Nell’ambito delle società rilevanti vengono successivamente identificati i processi significativi, in base ad un’analisi di fattori quantitativi (processi che concorrono alla formazione di voci di bilancio per importi al 2,5% dell’utile ante imposte e dello 0,5% del patrimonio netto) e fattori qualitativi (significative attività di stima nella definizione dell’importo, complessità del trattamento contabile, ecc.).

Relativamente ai processi e alle attività rilevanti vengono identificati i rischi di errore o di frode, ossia gli eventi potenziali il cui verificarsi può compromettere il raggiungimento degli obiettivi di controllo inerenti l’informativa societaria. I rischi sono identificati assumendo l’assenza di controlli (c.d. valutazione a livello inerente).

Identificazione dei controlli a fronte dei rischi individuati

A fronte di società, processi e relativi rischi considerati rilevanti, è stato definito un sistema di controllo seguendo due principi fondamentali: la diffusione dei controlli a tutti i livelli della struttura organizzativa, coerentemente con le responsabilità operative affidate e la sostenibilità dei controlli nel tempo, in modo tale che il loro svolgimento risulti integrato e compatibile con le esigenze operative.

La struttura del sistema di controllo prevede controlli a livello di entità (Company Entity Level Controls) che operano in maniera trasversale rispetto all’entità di riferimento (gruppo/singola società) e controlli a livello di processo.

I Company Entity Level Controls sono organizzati sulla base del modello adottato nel “COSO Framework”, secondo cinque componenti (ambiente di controllo, risk assessment, attività di controllo, sistemi informativi e flussi di comunicazione, attività di monitoraggio).

I controlli a livello di processo si suddividono in:

• controlli specifici, intesi come l’insieme delle attività, manuali o automatizzate, volte a prevenire, individuare e correggere errori o irregolarità che si verificano nel corso dello svolgimento delle attività operative;
• controlli pervasivi, intesi come elementi strutturali del sistema di controllo volti a definire un contesto generale che promuova la corretta esecuzione e controllo delle attività operative. Rientrano tra i controlli pervasivi quelli afferenti la segregazione dei compiti incompatibili (Segregation of Duties) e i controlli generali sui sistemi informatici (IT General Controls).

I controlli specifici relativi ai processi rilevanti (Process Level Controls) sono individuati in apposite procedure, che definiscono lo svolgimento dei processi aziendali e i controlli la cui assenza o la cui mancata operatività comportano il rischio di un errore/frode rilevante sul bilancio, che non ha possibilità di essere intercettato da altri controlli.

Valutazione dei controlli a fronte dei rischi individuati

I controlli, sia a livello di entità, che di processo, sono oggetto di regolare valutazione (monitoraggio) per verificarne nel tempo l’adeguatezza del disegno e l’effettiva operatività. A tal fine, sono previste attività di monitoraggio di linea (ongoing monitoring activities), affidate al management responsabile dei processi/attività rilevanti, e attività di monitoraggio indipendente (separate evaluations), affidate all’Internal Audit, che opera secondo un piano concordato con il Dirigente Preposto, volto a definire l’ambito e gli obiettivi del proprio intervento attraverso procedure di audit concordate.

Inoltre il Consiglio di Amministrazione di Snam ha conferito un incarico alla Società di revisione Reconta Ernst & Young avente ad oggetto l’esame dell’adeguatezza del sistema di controllo interno connesso alla predisposizione dell’informativa finanziaria per la formazione del bilancio d’esercizio e del bilancio consolidato di Snam S.p.A., tramite lo svolgimento di autonome verifiche indipendenti dell’efficacia del disegno e dell’operatività del sistema di controllo stesso. Tale incarico, conferito annualmente e su base volontaria, riflette l’esigenza di mantenere invariata l’attenzione sulle tematiche inerenti il sistema di controllo interno sull’informativa societaria, anche successivamente al venir meno dell’obbligo di compliance al Sarbanes Oxley Act, alla cui osservanza Snam era tenuta allorché controllata da Eni, società quotata sul mercato azionario di New York.

Il conferimento di tale incarico rappresenta una best practice applicata da società di primaria rilevanza e, analogamente al Sarbanes Oxley Act statunitense, prevede l’emissione, da parte della Società di Revisione Legale, di una relazione annuale indirizzata al Consiglio di Amministrazione, in merito alle verifiche effettuate ed all’adeguatezza del sistema di controllo interno connesso alla predisposizione dell’informativa finanziaria del Gruppo Snam.

Le attività di monitoraggio, le verifiche svolte sui controlli ed ogni altra eventuale informazione o situazione con un potenziale impatto sull’informativa societaria sono volte a consentire l’individuazione di eventuali carenze del Sistema di Controllo Interno sull’Informativa Societaria, differentemente classificate in relazione alla loro rilevanza e l’identificazione di azioni correttive per il relativo superamento. La valutazione delle carenze avviene considerando le stesse sia individualmente, sia in aggregato rispetto a voci di bilancio o informazioni significative.

Gli esiti deI monitoraggio, delle verifiche svolte sui controlli e le altre eventuali informazioni o situazioni rilevanti per il Sistema di Controllo Interno sull’Informativa Societaria sono oggetto di un flusso informativo periodico (reporting) sullo stato del sistema di controllo, che viene garantito anche dall’utilizzo di strumenti informatici volti ad assicurare la tracciabilità delle informazioni circa l’adeguatezza del disegno e l’operatività dei controlli.

Sulla base di tale reporting, il Dirigente Preposto redige un rapporto semestrale e annuale sull’adeguatezza e l’effettiva applicazione del Sistema di Controllo Interno sull’Informativa Societaria che, condiviso con l’Amministratore Delegato, è comunicato al Consiglio di Amministrazione, previa informativa al Comitato Controllo e Rischi e al Collegio Sindacale, in occasione dell’approvazione del progetto di bilancio di esercizio e del bilancio consolidato, nonchè della relazione finanziaria semestrale consolidata, al fine di consentire lo svolgimento delle funzioni di vigilanza del Consiglio di Amministrazione stesso, nonché le valutazioni di sua competenza sul Sistema di Controllo Interno sull’Informativa Societaria, anche sulla base degli esiti delle procedure di verifica effettuate dalla Società di Revisione Legale in merito all’adeguatezza del sistema di controllo connesso alla predisposizione del bilancio di esercizio e del bilancio consolidato.

Ruoli e Funzioni coinvolte

Il Dirigente Preposto è supportato all’interno di Snam e delle Società controllate da diversi soggetti, i cui compiti e responsabilità sono definiti nelle norme precedentemente richiamate sul Sistema di Controllo sull’Informativa Societaria. In particolare, le attività di controllo e le valutazioni coinvolgono tutti i livelli della struttura organizzativa di Snam e delle Società Controllate rilevanti. In tale contesto organizzativo, assume particolare rilievo la figura del risk owner, che esegue il monitoraggio di linea per i Process Level Controls e gli Information Technology General Controls, valutando il disegno e l’operatività dei controlli e alimentando il flusso informativo di reporting sull’attività di monitoraggio e sulle eventuali carenze riscontrate, ai fini di una tempestiva identificazione delle opportune azioni correttive. Un ruolo fondamentale è attribuito anche al responsabile di funzione, che ha la responsabilità del risk assessment, della definizione dei controlli e della valutazione dei risultati del sistema dei controlli nell’ambito dei processi di competenza, effettuata anche sulla base degli esiti dei monitoraggi svolti dai propri risk owner. Infine, le massime posizioni amministrative e gli amministratori delegati delle singole società del Gruppo sono responsabili dell’istituzione, del disegno e del mantenimento nel tempo del sistema di controllo della società, ricevono gli esiti delle verifiche svolte su tutti i controlli e redigono appositi rapporti semestrali e annuali di società che sottopongono al proprio Consiglio di Amministrazione, previa informativa al Collegio Sindacale, e alla controllante.