6.7 Sistema di gestione dei rischi e di controllo interno in relazione al processo di informativa finanziaria
Premessa
Il sistema di gestione dei rischi e di controllo interno in relazione al processo di informativa finanziaria di Snam e Controllate sono elementi del medesimo “Sistema” (Sistema di Controllo sull’Informativa Societaria), finalizzato a garantire l’attendibilità28, l’accuratezza, l’affidabilità e la tempestività dell’informativa finanziaria e la capacità del processo di redazione del bilancio di produrre l’informativa finanziaria in accordo con i principi contabili.
Snam si è dotata di un corpo normativo che definisce le norme, le metodologie, i ruoli e le responsabilità per la progettazione, l’istituzione e il mantenimento nel tempo del sistema di controllo interno sull’informativa finanziaria della stessa Snam e delle Società da essa controllate, nonché per la valutazione nel tempo della sua efficacia.
Oltre che a Snam, il modello di controllo è infatti applicato alle Società Controllate in considerazione della loro significatività ai fini della predisposizione dell’informativa finanziaria. Le Società Controllate adottano il modello di controllo definito, quale riferimento per la progettazione e l’istituzione del proprio sistema di controllo interno sull’informativa finanziaria, in modo da renderlo adeguato rispetto alle loro dimensioni e alla complessità delle attività svolte.
Il modello di gestione dei rischi e di controllo interno sull’informativa finanziaria adottato da Snam è stato definito coerentemente alle previsioni dell’art. 154-bis del TUF ed è basato sul COSO Framework.
Nel corso del 2013 è stato avviato un progetto di revisione ed aggiornamento di tale modello, al fine di mantenerne l’affidabilità e l’adeguatezza, anche a seguito del venir meno del ruolo al riguardo garantito fino al 2012 da Eni e della crescente complessità della struttura e dell’organizzazione di Snam e delle Società Controllate nonché dell’esigenza di recepire le novità introdotte dall’aggiornamento del menzionato COSO Framework.
Fasi del sistema di gestione dei rischi e di controllo interno esistenti in relazione al processo di informativa finanziaria
La progettazione, l’istituzione e il mantenimento del sistema di controllo interno sull’informativa finanziaria sono garantiti mediante le attività di scoping, l’individuazione e la valutazione dei rischi e dei controlli (a livello aziendale e di processo, attraverso le attività di risk assessment e di monitoraggio), e i relativi flussi informativi (reporting).
Individuazione e valutazione dei rischi sull’informativa finanziaria
Le attività di scoping e di risk assessment per i processi rilevanti, condotte secondo un approccio “top down – risk based”, sono mirate a individuare le entità organizzative, le voci, i conti e le informazioni di bilancio rilevanti, i processi e le specifiche attività in grado di generare rischi di errore, non intenzionale, o di frode, che potrebbero avere effetti rilevanti sul bilancio.
In particolare, l’individuazione delle entità organizzative che rientrano nell’ambito del sistema di gestione dei rischi e di controllo interno sull’informativa finanziaria è effettuata sia sulla base della contribuzione delle diverse entità a determinati valori del bilancio consolidato (totale attività, totale indebitamento finanziario, ricavi netti, risultato prima delle imposte) sia in relazione a considerazioni circa la rilevanza per processi e rischi specifici. Nell’ambito delle Società rilevanti per il sistema di gestione dei rischi e di controllo interno sull’informativa finanziaria vengono successivamente identificati i processi significativi, in base ad un’analisi di fattori quantitativi (processi che concorrono alla formazione di voci di bilancio per importi superiori a determinate percentuali dell’utile ante imposte e del patrimonio netto) e fattori qualitativi (quali: significative attività di stima nella definizione dell’importo, complessità del trattamento contabile, ecc.).
Relativamente ai processi e alle attività rilevanti vengono identificati i rischi di errore, non intenzionale, o di frode, ossia gli eventi potenziali il cui verificarsi può compromettere il raggiungimento degli obiettivi di controllo inerenti l’informativa finanziaria (ad esempio le asserzioni di bilancio). I rischi così identificati sono valutati in termini di potenziale impatto e di probabilità di accadimento, assumendo l’assenza di controlli (c.d. valutazione a livello inerente).
Identificazione dei controlli a fronte dei rischi individuati
A fronte di società, processi e relativi rischi considerati rilevanti, è stato definito un sistema di controllo seguendo due principi fondamentali: la diffusione dei controlli a tutti i livelli della struttura organizzativa, coerentemente con le responsabilità operative affidate e la sostenibilità dei controlli nel tempo, in modo tale che il loro svolgimento risulti integrato e compatibile con le esigenze operative.
La struttura del sistema di controllo prevede controlli a livello di entità che operano in maniera trasversale rispetto all’entità di riferimento (gruppo/singola società) e controlli a livello di processo. I controlli a livello di entità sono organizzati sulla base del modello adottato nel “COSO Framework”, secondo cinque componenti (ambiente di controllo, risk assessment, attività di controllo, sistemi informativi e flussi di comunicazione, attività di monitoraggio). In particolare, assumono rilevanza le attività di controllo relative alla definizione delle tempistiche per la redazione e diffusione dei risultati economico-finanziari (“circolare semestrale e di bilancio” e relativi calendari); l’esistenza di strutture organizzative e di un corpo normativo adeguati per il raggiungimento degli obiettivi in materia di informativa finanziaria; le attività di formazione in materia di principi contabili e sistema di controllo interno sull’informativa finanziaria.
I controlli a livello di processo si suddividono in:
- controlli specifici, intesi come l’insieme delle attività, manuali o automatizzate, volte a prevenire, individuare e correggere errori o irregolarità che si verificano nel corso dello svolgimento delle attività operative;
- controlli pervasivi, intesi come elementi strutturali del sistema di controllo volti a definire un contesto generale che promuova la corretta esecuzione e controllo delle attività operative (quali ad esempio la segregazione dei compiti incompatibili e i controlli generali sui sistemi informatici).
I controlli specifici sono individuati in apposite procedure che definiscono sia lo svolgimento dei processi aziendali, sia i controlli la cui assenza o la cui mancata operatività comportano il rischio di un errore/frode rilevante sul bilancio, che non ha possibilità di essere intercettato da altri controlli.
Valutazione dei controlli a fronte dei rischi individuati
I controlli, sia a livello di entità, che di processo, sono oggetto di regolare valutazione (monitoraggio) per verificarne nel tempo l’adeguatezza del disegno e l’effettiva operatività. A tal fine, sono previste attività di monitoraggio di linea (ongoing monitoring activities), affidate al management responsabile dei processi/attività rilevanti, e attività di monitoraggio indipendente (separate evaluations), affidate all’Internal Audit, che opera secondo un piano concordato con il Dirigente preposto alla redazione dei documenti contabili societari (DP), volto a definire l’ambito e gli obiettivi del proprio intervento attraverso procedure di audit concordate.
Le attività di monitoraggio consentono l’individuazione di eventuali carenze del sistema di controllo interno sull’informativa finanziaria, differentemente classificate in relazione alla loro rilevanza e l’identificazione di azioni correttive per il relativo superamento. La valutazione delle carenze avviene considerando le stesse sia individualmente, sia in aggregato rispetto a voci di bilancio o informazioni significative.
Gli esiti delle attività di monitoraggio sono oggetto di un flusso informativo periodico (reporting) sullo stato del sistema di controllo, che viene garantito anche dall’utilizzo di strumenti informatici volti ad assicurare la tracciabilità delle informazioni circa l’adeguatezza del disegno e l’operatività dei controlli. Sulla base di tale reporting, il DP redige una relazione semestrale sull’adeguatezza e l’effettiva applicazione del sistema di controllo interno sull’informativa finanziaria che, condivisa con l’Amministratore Delegato, è comunicata al Consiglio di Amministrazione, previa informativa al Comitato Controllo e Rischi e al Collegio Sindacale, in occasione dell’approvazione del bilancio consolidato, del progetto di bilancio di esercizio e della relazione finanziaria semestrale, al fine di consentire lo svolgimento delle funzioni di vigilanza del Consiglio di Amministrazione stesso, nonché le valutazioni di sua competenza sul sistema di controllo interno sull’informativa finanziaria, anche sulla base del giudizio esterno acquisito in merito all’adeguatezza del sistema di controllo connesso alla predisposizione del bilancio di esercizio e del bilancio consolidato.
Ruoli e Funzioni coinvolte
Il DP è supportato all’interno di Snam e delle Società controllate da diversi soggetti, i cui compiti e responsabilità sono definiti nelle norme precedentemente richiamate sul sistema di controllo sull’informativa finanziaria. In particolare, le attività di controllo coinvolgono tutti i livelli della struttura organizzativa di Snam e delle Controllate rilevanti, quali i responsabili operativi di business e i responsabili di funzione, fino ai responsabili amministrativi e agli Amministratori Delegati. In tale contesto organizzativo, assume particolare rilievo la figura del soggetto che esegue il monitoraggio di linea (c.d. risk owner), valutando il disegno e l’operatività dei controlli specifici e pervasivi e alimentando il flusso informativo di reporting sull’attività di monitoraggio e sulle eventuali carenze riscontrate, ai fini di una tempestiva identificazione delle opportune azioni correttive.
28 Attendibilità (dell’informativa): l’informativa che ha le caratteristiche di correttezza e conformità ai principi contabili generalmente accettati e ha i requisiti chiesti dalle leggi e dai regolamenti applicati.