6.7 Sistema di gestione dei rischi e di controllo interno in relazione al processo di informativa finanziaria
(i) Premessa
Il sistema di gestione dei rischi e di controllo interno in relazione al processo di informativa finanziaria di Snam e Controllate sono elementi del medesimo “Sistema” (Sistema di Controllo Interno sull’Informativa Societaria), finalizzato a garantire l’attendibilità56, l’accuratezza57, l’affidabilità58 e la tempestività dell’informativa societaria in tema di Financial Reporting e la capacità dei processi aziendali al riguardo rilevanti ai fini di produrre tale informativa in accordo con i principi contabili.
L’informativa in oggetto è costituita dall’insieme dei dati e delle informazioni contenute nei documenti contabili periodici previsti dalla legge - relazione finanziaria annuale, relazione finanziaria semestrale, resoconto intermedio di gestione, anche consolidati - nonché in ogni altro atto o comunicazione verso l’esterno avente contenuto contabile - quali i comunicati stampa ed i prospetti informativi redatti per specifiche transazioni - che costituiscono oggetto delle attestazioni previste dall’articolo 154-bis del TUF.
Tale informativa include sia dati e informazioni di carattere finanziario che non finanziario, questi ultimi aventi l’obiettivo di descrivere gli aspetti rilevanti del business, commentare i risultati economico-finanziari dell’esercizio e/o descrivere le prospettive future.
Snam si è dotata di un corpo normativo che definisce le norme, le metodologie, i ruoli e le responsabilità per la progettazione, l’istituzione, il mantenimento nel tempo e la valutazione dell’efficacia del Sistema di Controllo Interno sull’Informativa Societaria del Gruppo, che è applicato a Snam e alle Società da essa Controllate, tenendo conto della loro significatività.
Il modello di gestione dei rischi e di controllo interno sull’informativa societaria adottato da Snam e dalle Società Controllate è stato definito coerentemente con le previsioni del menzionato art. 154-bis del TUF a cui Snam è tenuta a garantire l’osservanza ed è basato, sotto il profilo metodologico, sul “COSO Framework” (“Internal Control – Integrated Framework”, emesso dal Committee of Sponsoring Organizations of the Treadway Commission), modello di riferimento a livello internazionale per l’istituzione, l’aggiornamento, l’analisi e la valutazione del sistema di controllo interno, del quale è stato pubblicato l’aggiornamento nel maggio 2013.
Il Sistema di Controllo Interno sull’Informativa Societaria del Gruppo Snam è regolato da normative interne che hanno l’obiettivo di definire:
- i principi, le logiche di funzionamento e le metodologie del sistema;
- i ruoli e le responsabilità relative all’istituzione, all’aggiornamento ed alla valutazione della sua costante efficacia;
- le attività da porre in essere per assicurarne il funzionamento.
Le normative sul SCIS sono organizzate prevedendo una procedura sul “Sistema di Controllo Interno sull’Informativa Societaria del Gruppo Snam” e una serie di istruzioni operative.
La procedura illustra l’articolazione del sistema nel suo complesso, partendo dai presupposti, le finalità ed il modello di riferimento, fino a descrivere le caratteristiche delle singole componenti, le modalità di monitoraggio, valutazione e reporting, nonché le principali responsabilità.
Le istruzioni operative disciplinano nel dettaglio, per ciascuno degli aspetti trattati, le figure coinvolte, le specifiche attività e modalità operative da porre in essere e riguardano “Scoping”, “Risk Assessment Process Level Controls”, “Lista delle applicazioni rilevanti”, “Raccolta e gestione dei flussi informativi e dei risultati delle attività di controllo e valutazione delle carenze”, “Campionamento nei monitoraggi di linea”, “Company Entity Level Controls”, “Process Level Controls”, “Information Technology General Controls”, “Segregation of Duties”.
(ii) Fasi del sistema di gestione dei rischi e di controllo interno esistenti in relazione al processo di informativa finanziaria
La progettazione, l’istituzione e il mantenimento del Sistema di Controllo Interno sull’Informativa Societaria sono garantiti mediante le attività di scoping, l’individuazione e la valutazione dei rischi e dei controlli (a livello aziendale e di processo, attraverso le attività di risk assessment e di monitoraggio) ed i relativi flussi informativi (reporting).
(iii) Individuazione e valutazione dei rischi sull’informativa societaria
Le attività di scoping e quelle di risk assessment per i processi rilevanti sono condotte secondo un approccio “top down – risk based”.
La definizione dello scoping è finalizzata ad individuare sia le società del Gruppo Snam in ambito al Sistema di Controllo Interno sull’Informativa Societaria, definendo, per ciascuna di esse, le componenti da applicare, sia le voci e le informazioni di bilancio a tal fine significative e i processi ad esse associati.
Le attività di risk assessment per i processi rilevanti sono mirate a identificare le specifiche attività in grado di generare rischi di errore, non intenzionale, o di frode, che potrebbero avere effetti rilevanti sul bilancio.
L’individuazione delle società che rientrano nell’ambito del Sistema di Controllo Interno sull’Informativa Societaria del Gruppo Snam è effettuata sia sulla base della contribuzione delle stesse a determinati valori del bilancio consolidato (totale attività, totale indebitamento finanziario, ricavi netti, risultato prima delle imposte) sia in relazione a considerazioni circa la rilevanza per processi e rischi specifici. Nell’ambito delle società rilevanti vengono successivamente identificati i processi significativi, in base ad un’analisi di fattori quantitativi (processi che concorrono alla formazione di voci di bilancio per importi al 2,5% dell’utile ante imposte e dello 0,5% del patrimonio netto) e fattori qualitativi (significative attività di stima nella definizione dell’importo, complessità del trattamento contabile, ecc.).
Relativamente ai processi e alle attività rilevanti vengono identificati i rischi di errore o di frode, ossia gli eventi potenziali il cui verificarsi può compromettere il raggiungimento degli obiettivi di controllo inerenti l’informativa societaria. I rischi sono identificati assumendo l’assenza di controlli (c.d. valutazione a livello inerente).
(iv) Identificazione dei controlli a fronte dei rischi individuati
A fronte di società, processi e relativi rischi considerati rilevanti, è stato definito un sistema di controllo seguendo due principi fondamentali: la diffusione dei controlli a tutti i livelli della struttura organizzativa, coerentemente con le responsabilità operative affidate e la sostenibilità dei controlli nel tempo, in modo tale che il loro svolgimento risulti integrato e compatibile con le esigenze operative.
La struttura del sistema di controllo prevede controlli a livello di entità (Company Entity Level Controls) che operano in maniera trasversale rispetto all’entità di riferimento (gruppo/singola società) e controlli a livello di processo.
I Company Entity Level Controls sono organizzati sulla base del modello adottato nel “COSO Framework”, secondo cinque componenti (ambiente di controllo, risk assessment, attività di controllo, sistemi informativi e flussi di comunicazione, attività di monitoraggio).
I controlli a livello di processo si suddividono in:
- controlli specifici, intesi come l’insieme delle attività, manuali o automatizzate, volte a prevenire, individuare e correggere errori o irregolarità che si verificano nel corso dello svolgimento delle attività operative (Process Level Controls);
- controlli pervasivi, intesi come elementi strutturali del sistema di controllo volti a definire un contesto generale che promuova la corretta esecuzione e controllo delle attività operative. Rientrano tra i controlli pervasivi quelli afferenti la segregazione dei compiti incompatibili (Segregation of Duties) e i controlli generali sui sistemi informatici (IT General Controls).
I controlli specifici relativi ai processi rilevanti sono individuati in apposite procedure, che definiscono lo svolgimento dei processi aziendali e i controlli la cui assenza o la cui mancata operatività comportano il rischio di un errore/frode rilevante sul bilancio, che non ha possibilità di essere intercettato da altri controlli.
(v) Valutazione dei controlli a fronte dei rischi individuati
I controlli, sia a livello di entità, che di processo, sono oggetto di regolare valutazione (monitoraggio) per verificarne nel tempo l’adeguatezza del disegno e l’effettiva operatività. A tal fine, sono previste attività di monitoraggio di linea (ongoing monitoring activities), affidate al management responsabile dei processi/attività rilevanti, e attività di monitoraggio indipendente (separate evaluations), affidate all’Internal Audit, che opera secondo un piano concordato con il Dirigente Preposto, volto a definire l’ambito e gli obiettivi del proprio intervento attraverso procedure di audit concordate.
Inoltre il Consiglio di Amministrazione di Snam ha conferito un incarico alla Società di revisione Reconta Ernst & Young avente ad oggetto l’esame dell’adeguatezza del sistema di controllo interno connesso alla predisposizione dell’informativa finanziaria per la formazione del bilancio d’esercizio e del bilancio consolidato di Snam S.p.A., tramite lo svolgimento di autonome verifiche indipendenti dell’efficacia del disegno e dell’operatività del sistema di controllo stesso.
Tale incarico, conferito annualmente e su base volontaria, riflette l’esigenza di mantenere una elevata attenzione sulle tematiche inerenti il Sistema di Controllo Interno sull’Informativa Societaria, in conformità con quanto previsto dall’art. 154-bis del TUF e con le best practice applicate da società di primaria rilevanza.
Il conferimento di tale incarico è previsto dal corpo normativo del Gruppo e in particolare da:
- la procedura “Conferimento e gestione degli incarichi alla Società di Revisione”, che prevede chel’incarico inerente la “revisione finalizzata all’attestazione della dichiarazione del CEO e de Dirigente Preposto sul Sistema di Controllo Interno sull’Informativa Societaria”, sia classificabile tra quelli di attestazione e quindi assegnabile alla società di revisione;
- la procedura SCIS, che prevede che, in linea con le best practice internazionali, sia istituito un ulteriore elemento di valutazione dell’efficacia del disegno e dell’operatività del Sistema di Controllo Interno sull’Informativa Societaria rappresentato dall’esito dell’esame svolto da un soggetto esterno, indipendente rispetto all’organizzazione, identificato nella società di revisione che, sulla basedelle verifiche effettuate, rilascia annualmente una relazione riguardante l’adeguatezza del sistema di controllo interno connesso alla predisposizione dell’informativa finanziaria per la formazione del bilancio d’esercizio e del bilancio consolidato di Snam;
- gli standard di controllo relativi al Modello 231 di Snam inerenti il processo Amministrazione, cheprevedono la verifica da parte della società incaricata della revisione legale dei conti del Gruppo Snam sull’adeguatezza del disegno e dell’operatività del SCIS.
Le attività di monitoraggio, le verifiche svolte sui controlli ed ogni altra eventuale informazione o situazione con un potenziale impatto sull’informativa societaria sono volte a consentire l’individuazione di eventuali carenze del Sistema di Controllo Interno sull’Informativa Societaria, differentemente classificate in relazione alla loro rilevanza e l’identificazione di azioni correttive per il relativo superamento. La valutazione delle carenze avviene considerando le stesse sia individualmente, sia in aggregato rispetto a voci di bilancio o informazioni significative.
Gli esiti deI monitoraggio, delle verifiche svolte sui controlli e le altre eventuali informazioni o situazioni rilevanti per il Sistema di Controllo Interno sull’Informativa Societaria sono oggetto di un flusso informativo periodico (reporting) sullo stato del sistema di controllo, che viene garantito anche dall’utilizzo di strumenti informatici volti ad assicurare la tracciabilità delle informazioni circa l’adeguatezza del disegno e l’operatività dei controlli.
Sulla base di tale reporting, il Dirigente Preposto redige un rapporto semestrale e annuale sull’adeguatezza e l’effettiva applicazione del Sistema di Controllo Interno sull’Informativa Societaria che, condiviso con l’Amministratore Delegato, è comunicato al Consiglio di Amministrazione, previa informativa al Comitato Controllo e Rischi e al Collegio Sindacale, in occasione dell’approvazione del progetto di bilancio di esercizio e del bilancio consolidato, nonchè della relazione finanziaria semestrale consolidata, al fine di consentire lo svolgimento delle funzioni di vigilanza del Consiglio di Amministrazione stesso, nonché le valutazioni di sua competenza sul Sistema di Controllo Interno sull’Informativa Societaria, anche sulla base degli esiti delle procedure di verifica effettuate dalla Società di Revisione Legale in merito all’adeguatezza del sistema di controllo connesso alla predisposizione del bilancio di esercizio e del bilancio consolidato.
(vi) Ruoli e Funzioni coinvolte
Il Dirigente Preposto è supportato all’interno di Snam e delle Società controllate da diversi soggetti, i cui compiti e responsabilità sono definiti nelle norme precedentemente richiamate sul Sistema di Controllo sull’Informativa Societaria.
In particolare, le attività di controllo e le valutazioni coinvolgono tutti i livelli della struttura organizzativa di Snam e delle Società Controllate.
In tale contesto organizzativo, assume particolare rilievo la figura del risk owner, che esegue il monitoraggio di linea per i Process Level Controls e gli Information Technology General Controls, valutando il disegno e l’operatività dei controlli e alimentando il flusso informativo di reporting sull’attività di monitoraggio e sulle eventuali carenze riscontrate, ai fini di una tempestiva identificazione delle opportune azioni correttive. Un ruolo fondamentale è attribuito anche al responsabile di funzione, che ha la responsabilità del risk assessment, della definizione dei controlli e della valutazione dei risultati del sistema dei controlli nell’ambito dei processi di competenza, effettuata anche sulla base degli esiti dei monitoraggi svolti dai propri risk owner. Infine, le massime posizioni amministrative e gli amministratori delegati delle singole società del Gruppo sono responsabili dell’istituzione, del disegno e del mantenimento nel tempo del sistema di controllo della società, ricevono gli esiti delle verifiche svolte su tutti i controlli e redigono appositi rapporti semestrali e annuali di società che sottopongono al proprio Consiglio di Amministrazione, previa informativa al Collegio Sindacale, e alla controllante.
56 Attendibilità (dell’informativa): informativa che ha le caratteristiche di correttezza e conformità ai principi contabili generalmente accettati e possiede i requisiti richiesti dalle leggi e dai regolamenti applicabili.
57 Accuratezza (dell’informativa): informativa priva di errori.
58 Affidabilità (dell’informativa): informativa che ha le caratteristiche di chiarezza e completezza tali da indurre decisioni di investimento consapevoli da parte degli investitori.