Linee di indirizzo per il Sistema di Controllo Interno e di

3 – Linee di indirizzo per il
Sistema di Controllo Interno e
di Gestione dei Rischi
1. Premessa
Il Sistema di Controllo Interno e di Gestione dei Rischi di Fiat S.p.A. (la “Società”) costituisce elemento essenziale del
sistema di corporate governance della Società e delle sue controllate ed assume un ruolo fondamentale nell’identificazione,
misurazione, gestione e monitoraggio dei principali rischi del Gruppo Fiat, contribuendo ad assicurare la salvaguardia del
patrimonio sociale, l’efficienza e l’efficacia dei processi aziendali, l’affidabilità dell’informazione finanziaria, il rispetto di leggi
e regolamenti nonché dello statuto sociale e delle procedure interne.
Il Sistema di Controllo Interno e di Gestione dei Rischi riduce, ma non può eliminare la possibilità di decisioni sbagliate,
errori umani, violazione fraudolenta dei sistemi di controllo e accadimenti imprevedibili. Pertanto un buon Sistema di
Controllo Interno e di Gestione dei Rischi fornisce rassicurazioni ragionevoli ma non assolute sul fatto che la Società non
sia ostacolata nel raggiungere i propri obiettivi imprenditoriali o nello svolgimento ordinato e legittimo delle proprie attività,
da circostanze che possono essere ragionevolmente previste.
Il Sistema di Controllo Interno e di Gestione dei Rischi della Società, definito in base alle leading practice nazionali ed
internazionali, si articola sui seguenti tre livelli di controllo:
- 1° livello: le funzioni operative identificano e valutano i rischi e definiscono specifiche azioni di trattamento per la loro
gestione;
- 2° livello: le funzioni preposte al controllo dei rischi definiscono metodologie e strumenti per la gestione dei rischi e
svolgono attività di monitoraggio dei rischi;
- 3° livello: la funzione di internal audit fornisce valutazioni indipendenti sull’intero Sistema.
2. Compiti relativi al Sistema di Controllo Interno e di Gestione dei Rischi
2.1 Responsabilità del Consiglio di Amministrazione
Il Consiglio di Amministrazione ha la responsabilità finale del Sistema di Controllo Interno e di Gestione dei Rischi.
In particolare, anche attraverso l’attività dei Comitati istituiti:
a)definisce la natura e il livello di rischio compatibile con gli obiettivi aziendali;
b)definisce le Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi di cui cura l’aggiornamento;
c)esamina i rischi aziendali sottoposti dall’Amministratore incaricato del Sistema di Controllo Interno e Gestione dei
Rischi e valuta se detti rischi siano stati correttamente individuati e se il Sistema di Controllo Interno ne consenta una
adeguata gestione;
d)valuta, con cadenza almeno annuale, l’adeguatezza ed efficacia del Sistema di Controllo Interno e di Gestione dei
Rischi rispetto alle caratteristiche della Società e del Gruppo;
149
e)approva, con cadenza almeno annuale, il piano di lavoro (che dovrà riguardare anche l’affidabilità dei sistemi informativi)
predisposto dal Responsabile della funzione di internal audit, sentiti il Collegio Sindacale e l’Amministratore incaricato
del Sistema di Controllo Interno e di Gestione dei Rischi;
f) descrive, nella relazione sul governo societario, le principali caratteristiche del Sistema di Controllo Interno e di Gestione
dei Rischi, esprimendo la propria valutazione sull’adeguatezza dello stesso;
g)valuta, sentito il Collegio Sindacale, i risultati esposti dal revisore legale nella eventuale lettera di suggerimenti e nella
relazione sulle questioni fondamentali emerse in sede di revisione legale.
Ai fini di un corretto svolgimento dei compiti demandati alla sua responsabilità il Consiglio di Amministrazione dovrà avvalersi
della collaborazione di specifici organi preposti. Pertanto, il Consiglio di Amministrazione:
a)individua un Amministratore incaricato della progettazione, attuazione e gestione di un efficace Sistema di Controllo
Interno e di Gestione dei Rischi;
b)individua un Comitato Controllo e Rischi, attribuendogli funzioni consultive e propositive in relazione al Sistema di
Controllo Interno e di Gestione dei Rischi e alle relazioni finanziarie periodiche;
c)su proposta dell’Amministratore incaricato del Sistema di Controllo Interno e di Gestione dei Rischi e previo parere
favorevole del Comitato Controllo e Rischi, nonché sentito il Collegio Sindacale:
i.nomina e revoca il responsabile della funzione di internal audit che non è responsabile di alcuna area operativa e
riporta al Consiglio stesso;
ii. assicura che lo stesso sia dotato delle risorse adeguate all’espletamento delle proprie responsabilità;
iii. ne definisce la remunerazione coerentemente con le politiche aziendali.
2.2 Responsabilità del Comitato Controllo e Rischi
Il Comitato per il Controllo e Rischi, nello svolgimento della sua attività a supporto del Consiglio di Amministrazione:
a)assiste il Consiglio di Amministrazione nella definizione e aggiornamento delle Linee di indirizzo;
b)valuta, unitamente al Dirigente Preposto alla redazione dei documenti contabili societari e sentiti il revisore legale e il Collegio
Sindacale, la corretta applicazione dei principi contabili e la loro omogeneità ai fini della redazione del bilancio consolidato;
c)esprime pareri su specifici aspetti inerenti alla identificazione, misurazione, gestione e monitoraggio dei principali rischi
aziendali nonché alla definizione della natura e del livello di rischio ritenuto compatibile con gli obiettivi strategici;
d)esamina le relazioni periodiche, aventi per oggetto la valutazione del Sistema di Controllo Interno e di Gestione dei
Rischi, e quelle di particolare rilevanza predisposte dalla funzione internal audit;
e)monitora l’autonomia, l’adeguatezza, l’efficacia e l’efficienza della funzione di internal audit anche alla luce del Decreto
Legislativo 231/2001 sulla responsabilità amministrativa della società;
f) esamina, sentito il Collegio Sindacale, i risultati esposti dal revisore legale nella eventuale lettera di suggerimenti e nella
relazione;
g)riferisce al Consiglio, almeno semestralmente, in occasione dell’approvazione della relazione finanziaria annuale e
semestrale, sull’attività svolta nonché sull’adeguatezza del Sistema di Controllo Interno e di Gestione dei Rischi;
h)esamina, con l’assistenza del responsabile della funzione internal audit, le segnalazioni pervenute attraverso la
Procedura di Gestione Denunce al fine di monitorare l’adeguatezza del Sistema di Controllo Interno e di Gestione dei
Rischi;
i) esamina il piano di lavoro predisposto dal Responsabile della funzione di internal audit;
j) svolge le funzioni di comitato per le operazioni con parti correlate ad eccezione di quanto inerente la materia delle
remunerazioni.
Il Comitato può richiedere al Responsabile della funzione di internal audit lo svolgimento di verifiche su specifiche aree
operative, dandone contestuale comunicazione al Presidente del Collegio Sindacale.
Il Comitato ha la facoltà di accedere alle informazioni e alle funzioni aziendali necessarie per lo svolgimento del proprio
compito e di avvalersi di consulenti esterni, nei termini stabiliti dal Consiglio di Amministrazione.
150
Relazione
sulla
Corporate
Governance
Linee di indirizzo
per il Sistema
di Controllo Interno
e di Gestione dei Rischi
La Società mette a disposizione del Comitato risorse finanziarie adeguate per l’adempimento dei propri compiti, nei limiti
del budget approvato dal Consiglio.
Il responsabile dell’internal audit mette a disposizione del Comitato a sua richiesta le risorse professionali della funzione e
conferisce, a spese della Società e su istruzione del Comitato, incarichi a consulenti indipendenti dallo stesso individuati,
su materie attinenti i suoi compiti.
2.3 Responsabilità dell’Amministratore Incaricato del Sistema di Controllo Interno e di Gestione
dei Rischi
L’Amministratore incaricato del Sistema di Controllo Interno e di Gestione dei Rischi:
a) cura l’identificazione e la gestione dinamica dei principali rischi aziendali, sottoponendoli periodicamente alla valutazione
del Consiglio di Amministrazione;
b)attua le Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi riferendo in merito ad eventuali aspetti
significativi al Consiglio di Amministrazione;
c)propone al Consiglio di Amministrazione la nomina del Responsabile della funzione di internal audit.
L’Amministratore incaricato si avvale della funzione di internal audit per lo svolgimento di verifiche su specifiche aree
operative.
2.4 Responsabilità del responsabile della funzione di internal audit
il Responsabile della funzione di internal audit:
a)verifica, sia in via continuativa sia in relazione a specifiche necessità e nel rispetto degli standard internazionali,
l’operatività e l’idoneità del Sistema di Controllo Interno e di Gestione dei Rischi, attraverso un piano di audit, approvato
dal Consiglio di Amministrazione, basato su un processo strutturato di analisi e prioritizzazione dei principali rischi;
b)ha accesso diretto a tutte le informazioni utili per lo svolgimento dell’incarico;
c)predispone relazioni periodiche contenenti adeguate informazioni sulla propria attività, sulle modalità con cui viene
condotta la gestione dei rischi nonché sul rispetto dei piani definiti per il loro contenimento. Le relazioni periodiche
contengono una valutazione sull’idoneità del Sistema di Controllo Interno e di Gestione dei Rischi;
d)predispone tempestivamente relazioni su eventi di particolare rilevanza;
e)trasmette le relazioni di cui ai punti precedenti ai Presidenti del Collegio Sindacale, del Comitato Controllo e Rischi e
del Consiglio di Amministrazione nonché all’Amministratore incaricato del Sistema di Controllo Interno e di Gestione
dei Rischi;
f) verifica, nell’ambito del piano di audit, l’affidabilità dei sistemi informativi inclusi i sistemi di rilevazione contabile.
2.5 Responsabilità delle funzioni che svolgono controlli di “secondo livello”
Fiat individua le funzioni aziendali alle quali sono affidati gli specifici controlli “di secondo livello” volti ad assicurare il
monitoraggio e la gestione dei rischi aziendali.
L’Amministratore incaricato del Sistema di Controllo Interno e di Gestione dei Rischi, nell’identificare i principali rischi
aziendali, si avvale delle funzioni aziendali che svolgono controlli “di secondo livello”.
In particolare le principali funzioni aziendali attualmente coinvolte sono:
n funzioni centrali per l’aggiornamento, gestione e coordinamento della mappatura dei risk driver per tutti i settori e le
società operative secondo un approccio top-down;
n funzione delegata al coordinamento e al consolidamento dei risk report delle singole unità organizzative ai diversi livelli
(Gruppo/Settori/Region/Società operative);
n Dirigente Preposto alla redazione dei documenti contabili societari, per i rischi di errori o irregolarità dell’informativa
finanziaria;
n apposite strutture organizzative a presidio di altre tipologie specifiche di rischio, tra cui i rischi strategici, operativi,
finanziari e di (non) conformità.
151
2.6 Responsabilità del Collegio Sindacale
Il Collegio Sindacale, anche in quanto Comitato per il Controllo Interno e la Revisione Contabile, vigila sull’efficacia del
Sistema di Controllo Interno e di Gestione dei Rischi.
Nell’ambito delle proprie attività, il Collegio:
n può chiedere alla funzione di internal audit lo svolgimento di verifiche su specifiche aree operative od operazioni
aziendali;
n scambia tempestivamente con il Comitato Controllo e Rischi le informazioni rilevanti per l’espletamento dei rispettivi
compiti.
2.7 Responsabilità dei dipendenti
Tutti i dipendenti del Gruppo, in funzione dei compiti loro affidati nell’organizzazione aziendale, assicurano un efficace ed
efficiente funzionamento del Sistema di Controllo Interno e di Gestione dei Rischi, come parte della loro responsabilità nel
raggiungimento degli obiettivi.
Essi, pertanto, devono avere la necessaria conoscenza, preparazione e capacità per agire ed operare nell’ambito del
Sistema di Controllo Interno e di Gestione dei Rischi e deve essere loro consentito di adempiere ai compiti conseguenti
al proprio ruolo ed assolvere alle proprie responsabilità. Questo implica, pertanto, il diritto ed il dovere di ogni singolo
dipendente di avere piena conoscenza e comprensione della società in cui opera e del Gruppo, dei meccanismi operativi,
degli obiettivi, dei mercati in cui opera e dei rischi cui è quotidianamente esposto.
3. Linee di indirizzo
3.1 Individuazione dei rischi
Avvalendosi del supporto delle funzioni di controllo “di secondo livello”, l’Amministratore incaricato del Sistema di Controllo
Interno e di Gestione dei Rischi indirizza le attività di gestione dei rischi sui principali rischi aziendali, tenendo conto degli
obiettivi aziendali e delle caratteristiche delle attività svolte dalla Società e dalle sue controllate, e li sottopone periodicamente
all’esame del Consiglio di Amministrazione.
Tali rischi sono individuati sulla base dei seguenti criteri:
a)natura del rischio, con particolare riferimento ai rischi di natura finanziaria, quelli relativi all’osservanza delle norme
contabili e quelli con un potenziale significativo impatto sulla reputazione della Società;
b)significativa probabilità del verificarsi del rischio;
c)limitata capacità della Società a ridurre l’impatto del rischio sulla sua operatività;
d)significativa entità del rischio.
Conseguentemente, il Consiglio di Amministrazione esamina tali rischi e le rispettive misure di contenimento, in funzione
anche della natura e il livello di rischio ritenuto compatibile con gli obiettivi strategici del Gruppo.
3.2 Attuazione del Sistema di Controllo Interno e di Gestione dei Rischi
Il Sistema di Controllo Interno e di Gestione dei Rischi, costituito dall’insieme delle regole, delle procedure e delle strutture
organizzative volte a consentire l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi, contribuisce a:
a)promuovere l’efficienza e l’efficacia dei processi aziendali consentendo la gestione adeguata dei rischi operativi,
finanziari, legali o di altra natura che la ostacolino nel raggiungimento dei propri obiettivi imprenditoriali;
b)assicurare l’affidabilità dell’informazione finanziaria e la qualità del sistema di reporting interno ed esterno attraverso
l’utilizzo di processi, procedure e sistemi che permettano di generare un flusso di informazioni significative e affidabili
all’interno ed all’esterno dell’organizzazione;
c)assicurare il rispetto di leggi e regolamenti nonché dello Statuto sociale e delle procedure interne;
152
Relazione
sulla
Corporate
Governance
Linee di indirizzo
per il Sistema
di Controllo Interno
e di Gestione dei Rischi
d)salvaguardare il patrimonio sociale e la protezione dei beni aziendali da un loro uso inappropriato o fraudolento e dalla
loro perdita.
A tal fine, l’Amministratore incaricato del Sistema di Controllo Interno e di Gestione dei Rischi si cura che il Sistema:
I. sia parte integrante dell’operatività e della cultura del Gruppo, attivando a tal fine idonei processi di informazione,
comunicazione e formazione e sistemi di retribuzione e disciplinari che incentivino la corretta gestione dei rischi e
scoraggino comportamenti contrari ai principi dettati da tali processi;
II. sia idoneo a reagire tempestivamente a significative situazioni di rischio che nascano sia all’interno del Gruppo che da
modifiche dell’ambiente in cui il Gruppo opera;
III.comprenda procedure per la comunicazione immediata ad un livello appropriato del Gruppo, adottando a tal fine
idonee soluzioni organizzative che garantiscano l’accesso delle funzioni direttamente coinvolte nel Sistema di Controllo
Interno e di Gestione dei Rischi alle necessarie informazioni ed ai vertici aziendali;
IV.preveda regolari attività di controllo dell’efficacia del Sistema di Controllo Interno e di Gestione dei Rischi, nonché
la possibilità di attivare specifiche attività di controllo nell’ipotesi in cui vengano segnalate debolezze nel Sistema di
Controllo Interno e di Gestione dei Rischi;
V.faciliti l’individuazione e tempestiva esecuzione di azioni correttive.
3.3 Valutazione dell’efficacia del Sistema di Controllo Interno e di Gestione dei Rischi
La periodica verifica dell’adeguatezza e dell’effettivo funzionamento e la sua eventuale revisione, costituiscono parte
essenziale della struttura del Sistema di Controllo Interno e di Gestione dei Rischi, al fine di consentire una sua piena e
corretta efficacia.
Tale verifica periodica spetta al Consiglio di Amministrazione assistito dal Comitato Controllo e Rischi. Lo stesso avrà cura
non solo di verificare l’esistenza e l’attuazione nell’ambito del Gruppo di un Sistema di Controllo Interno e di Gestione
dei Rischi, ma anche di procedere periodicamente ad un esame dettagliato della struttura del Sistema stesso, della sua
idoneità e del suo effettivo e concreto funzionamento.
A tal fine il Consiglio di Amministrazione riceve ed esamina almeno semestralmente le relazioni predisposte dal Responsabile
della funzione di internal audit, dal Comitato Controllo e Rischi e dall’Amministratore incaricato del Sistema di Controllo
Interno e di Gestione dei Rischi, al fine di verificare (i) se la struttura del Sistema di Controllo Interno e di Gestione dei
Rischi in essere nel Gruppo risulti concretamente efficace nel perseguimento degli obiettivi e (ii) se le eventuali debolezze
segnalate implichino la necessità di un miglioramento del Sistema.
Il Consiglio di Amministrazione, inoltre, annualmente, in occasione dell’approvazione del bilancio:
a)esamina quali siano i rischi aziendali significativi sottoposti alla sua attenzione dall’Amministratore incaricato del
Sistema di Controllo Interno e di Gestione dei Rischi e valuta come gli stessi siano stati identificati, valutati e gestiti.
A tal fine particolare attenzione viene posta nell’esame dei cambiamenti intervenuti, nel corso dell’ultimo esercizio di
riferimento, nella natura ed estensione dei rischi e nella valutazione della risposta del Gruppo a tali cambiamenti;
b)valuta l’efficacia e l’adeguatezza del Sistema di Controllo Interno e Gestione dei Rischi della Società nonché quello
delle controllate aventi rilevanza strategica nel fronteggiare tali rischi, ponendo particolare attenzione alle eventuali
inefficienze che siano state segnalate;
c)considera quali azioni siano state poste in essere ovvero debbano essere tempestivamente intraprese per sanare tali
carenze;
d)predispone eventuali ulteriori politiche, processi e regole comportamentali che consentano al Gruppo di reagire in
modo adeguato a situazioni di rischio nuove o non adeguatamente gestite.
Approvazione:
Revisione:
Consiglio di Amministrazione del 10 dicembre 2002 (in vigore dal 1° gennaio 2003)
Consiglio di Amministrazione del 22 febbraio 2012