3 - Linee di indirizzo per il Sistema di Controllo Interno e di Gestione

Transcript

3 - Linee di indirizzo per il Sistema di Controllo Interno e di Gestione
3 -Linee di indirizzo per il Sistema
di Controllo Interno e di Gestione dei Rischi
1. Premessa
Il Sistema di Controllo Interno e di Gestione dei Rischi di Fiat S.p.A. (la “Società”) costituisce elemento essenziale del sistema di corporate
governance della Società e delle sue controllate ed assume un ruolo fondamentale nell’identificazione, misurazione, gestione e monitoraggio
dei principali rischi del Gruppo Fiat, contribuendo ad assicurare la salvaguardia del patrimonio sociale, l’efficienza e l’efficacia dei processi
aziendali, l’affidabilità dell’informazione finanziaria, il rispetto di leggi e regolamenti nonché dello statuto sociale e delle procedure interne.
Il Sistema di Controllo Interno e di Gestione dei Rischi riduce, ma non può eliminare la possibilità di decisioni sbagliate, errori umani, violazione
fraudolenta dei sistemi di controllo e accadimenti imprevedibili. Pertanto un buon Sistema di Controllo Interno e di Gestione dei Rischi fornisce
rassicurazioni ragionevoli ma non assolute sul fatto che la Società non sia ostacolata nel raggiungere i propri obiettivi imprenditoriali o nello
svolgimento ordinato e legittimo delle proprie attività, da circostanze che possono essere ragionevolmente previste.
Il Sistema di Controllo Interno e di Gestione dei Rischi della Società, definito in base alle leading practice nazionali ed internazionali, si articola
sui seguenti tre livelli di controllo:
- 1° livello: le funzioni operative identificano e valutano i rischi e definiscono specifiche azioni di trattamento per la loro gestione;
- 2° livello: le funzioni preposte al controllo dei rischi definiscono metodologie e strumenti per la gestione dei rischi e svolgono attività di
monitoraggio dei rischi;
- 3° livello: la funzione di internal audit fornisce valutazioni indipendenti sull’intero Sistema.
2. Compiti relativi al Sistema di Controllo Interno e di Gestione dei Rischi
2.1 Responsabilità del Consiglio di Amministrazione
Il Consiglio di Amministrazione ha la responsabilità finale del Sistema di Controllo Interno e di Gestione dei Rischi. In particolare, anche
attraverso l’attività dei Comitati istituiti:
a)definisce la natura e il livello di rischio compatibile con gli obiettivi aziendali;
b)definisce le Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi di cui cura l’aggiornamento;
c)esamina i rischi aziendali sottoposti dall’Amministratore incaricato del Sistema di Controllo Interno e Gestione dei Rischi e valuta se detti
rischi siano stati correttamente individuati e se il Sistema di Controllo Interno ne consenta una adeguata gestione;
d)valuta, con cadenza almeno annuale, l’adeguatezza ed efficacia del Sistema di Controllo Interno e di Gestione dei Rischi rispetto alle
caratteristiche della Società e del Gruppo;
e)approva, con cadenza almeno annuale, il piano di lavoro (che dovrà riguardare anche l’affidabilità dei sistemi informativi) predisposto dal
Responsabile della funzione di internal audit, sentiti il Collegio Sindacale e l’Amministratore incaricato del Sistema di Controllo Interno e
di Gestione dei Rischi;
153
f) descrive, nella relazione sul governo societario, le principali caratteristiche del Sistema di Controllo Interno e di Gestione dei Rischi,
esprimendo la propria valutazione sull’adeguatezza dello stesso;
g)valuta, sentito il Collegio Sindacale, i risultati esposti dal revisore legale nella eventuale lettera di suggerimenti e nella relazione sulle
questioni fondamentali emerse in sede di revisione legale.
Ai fini di un corretto svolgimento dei compiti demandati alla sua responsabilità il Consiglio di Amministrazione dovrà avvalersi della collaborazione
di specifici organi preposti. Pertanto, il Consiglio di Amministrazione:
a)individua un Amministratore incaricato della progettazione, attuazione e gestione di un efficace Sistema di Controllo Interno e di Gestione
dei Rischi;
b)individua un Comitato Controllo e Rischi, attribuendogli funzioni consultive e propositive in relazione al Sistema di Controllo Interno e di
Gestione dei Rischi e alle relazioni finanziarie periodiche;
c)su proposta dell’Amministratore incaricato del Sistema di Controllo Interno e di Gestione dei Rischi e previo parere favorevole del
Comitato Controllo e Rischi, nonché sentito il Collegio Sindacale:
i.nomina e revoca il responsabile della funzione di internal audit che non è responsabile di alcuna area operativa e riporta al Consiglio stesso;
ii. assicura che lo stesso sia dotato delle risorse adeguate all’espletamento delle proprie responsabilità;
iii. ne definisce la remunerazione coerentemente con le politiche aziendali.
2.2 Responsabilità del Comitato Controllo e Rischi
Il Comitato per il Controllo e Rischi, nello svolgimento della sua attività a supporto del Consiglio di Amministrazione:
a)assiste il Consiglio di Amministrazione nella definizione e aggiornamento delle Linee di indirizzo;
b)valuta, unitamente al Dirigente Preposto alla redazione dei documenti contabili societari e sentiti il revisore legale e il Collegio Sindacale,
la corretta applicazione dei principi contabili e la loro omogeneità ai fini della redazione del bilancio consolidato;
c)esprime pareri su specifici aspetti inerenti alla identificazione, misurazione, gestione e monitoraggio dei principali rischi aziendali nonché
alla definizione della natura e del livello di rischio ritenuto compatibile con gli obiettivi strategici;
d)esamina le relazioni periodiche, aventi per oggetto la valutazione del Sistema di Controllo Interno e di Gestione dei Rischi, e quelle di
particolare rilevanza predisposte dalla funzione internal audit;
e)monitora l’autonomia, l’adeguatezza, l’efficacia e l’efficienza della funzione di internal audit anche alla luce del Decreto Legislativo
231/2001 sulla responsabilità amministrativa della società;
f) esamina, sentito il Collegio Sindacale, i risultati esposti dal revisore legale nella eventuale lettera di suggerimenti e nella relazione;
g)riferisce al Consiglio, almeno semestralmente, in occasione dell’approvazione della relazione finanziaria annuale e semestrale, sull’attività
svolta nonché sull’adeguatezza del Sistema di Controllo Interno e di Gestione dei Rischi;
h)esamina, con l’assistenza del responsabile della funzione internal audit, le segnalazioni pervenute attraverso la Procedura di Gestione
Denunce al fine di monitorare l’adeguatezza del Sistema di Controllo Interno e di Gestione dei Rischi;
i) esamina il piano di lavoro predisposto dal Responsabile della funzione di internal audit;
j) svolge le funzioni di comitato per le operazioni con parti correlate ad eccezione di quanto inerente la materia delle remunerazioni.
Il Comitato può richiedere al Responsabile della funzione di internal audit lo svolgimento di verifiche su specifiche aree operative, dandone
contestuale comunicazione al Presidente del Collegio Sindacale.
Il Comitato ha la facoltà di accedere alle informazioni e alle funzioni aziendali necessarie per lo svolgimento del proprio compito e di avvalersi
di consulenti esterni, nei termini stabiliti dal Consiglio di Amministrazione.
La Società mette a disposizione del Comitato risorse finanziarie adeguate per l’adempimento dei propri compiti, nei limiti del budget approvato
dal Consiglio.
154
Relazione sulla
Corporate Governance
Linee di indirizzo per il Sistema
di Controllo Interno e di Gestione dei Rischi
Il responsabile dell’internal audit mette a disposizione del Comitato a sua richiesta le risorse professionali della funzione e conferisce, a spese
della Società e su istruzione del Comitato, incarichi a consulenti indipendenti dallo stesso individuati, su materie attinenti i suoi compiti.
2.3 Responsabilità dell’Amministratore Incaricato del Sistema di Controllo Interno e di Gestione dei Rischi
L’Amministratore incaricato del Sistema di Controllo Interno e di Gestione dei Rischi:
a)cura l’identificazione e la gestione dinamica dei principali rischi aziendali, sottoponendoli periodicamente alla valutazione del Consiglio di
Amministrazione;
b)attua le Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi riferendo in merito ad eventuali aspetti significativi al
Consiglio di Amministrazione;
c)propone al Consiglio di Amministrazione la nomina del Responsabile della funzione di internal audit.
L’Amministratore incaricato si avvale della funzione di internal audit per lo svolgimento di verifiche su specifiche aree operative.
2.4 Responsabilità del responsabile della funzione di internal audit
Il Responsabile della funzione di internal audit:
a)verifica, sia in via continuativa sia in relazione a specifiche necessità e nel rispetto degli standard internazionali, l’operatività e l’idoneità
del Sistema di Controllo Interno e di Gestione dei Rischi, attraverso un piano di audit, approvato dal Consiglio di Amministrazione, basato
su un processo strutturato di analisi e prioritizzazione dei principali rischi;
b)ha accesso diretto a tutte le informazioni utili per lo svolgimento dell’incarico;
c)predispone relazioni periodiche contenenti adeguate informazioni sulla propria attività, sulle modalità con cui viene condotta la gestione
dei rischi nonché sul rispetto dei piani definiti per il loro contenimento. Le relazioni periodiche contengono una valutazione sull’idoneità
del Sistema di Controllo Interno e di Gestione dei Rischi;
d)predispone tempestivamente relazioni su eventi di particolare rilevanza;
e)trasmette le relazioni di cui ai punti precedenti ai Presidenti del Collegio Sindacale, del Comitato Controllo e Rischi e del Consiglio di
Amministrazione nonché all’Amministratore incaricato del Sistema di Controllo Interno e di Gestione dei Rischi;
f) verifica, nell’ambito del piano di audit, l’affidabilità dei sistemi informativi inclusi i sistemi di rilevazione contabile.
2.5 Responsabilità delle funzioni che svolgono controlli di “secondo livello”
Fiat individua le funzioni aziendali alle quali sono affidati gli specifici controlli “di secondo livello” volti ad assicurare il monitoraggio e la gestione
dei rischi aziendali.
L’Amministratore incaricato del Sistema di Controllo Interno e di Gestione dei Rischi, nell’identificare i principali rischi aziendali, si avvale delle
funzioni aziendali che svolgono controlli “di secondo livello”.
In particolare le principali funzioni aziendali attualmente coinvolte sono:
n funzioni centrali per l’aggiornamento, gestione e coordinamento della mappatura dei risk driver per tutti i settori e le società operative
secondo un approccio top-down;
n funzione delegata al coordinamento e al consolidamento dei risk report delle singole unità organizzative ai diversi livelli (Gruppo/Settori/
Region/Società operative);
n Dirigente Preposto alla redazione dei documenti contabili societari, per i rischi di errori o irregolarità dell’informativa finanziaria;
n apposite strutture organizzative a presidio di altre tipologie specifiche di rischio, tra cui i rischi strategici, operativi, finanziari e di (non)
conformità.
155
2.6 Responsabilità del Collegio Sindacale
Il Collegio Sindacale, anche in quanto Comitato per il Controllo Interno e la Revisione Contabile, vigila sull’efficacia del Sistema di Controllo
Interno e di Gestione dei Rischi.
Nell’ambito delle proprie attività, il Collegio:
n può chiedere alla funzione di internal audit lo svolgimento di verifiche su specifiche aree operative od operazioni aziendali;
n scambia tempestivamente con il Comitato Controllo e Rischi le informazioni rilevanti per l’espletamento dei rispettivi compiti.
2.7 Responsabilità dei dipendenti
Tutti i dipendenti del Gruppo, in funzione dei compiti loro affidati nell’organizzazione aziendale, assicurano un efficace ed efficiente
funzionamento del Sistema di Controllo Interno e di Gestione dei Rischi, come parte della loro responsabilità nel raggiungimento degli obiettivi.
Essi, pertanto, devono avere la necessaria conoscenza, preparazione e capacità per agire ed operare nell’ambito del Sistema di Controllo
Interno e di Gestione dei Rischi e deve essere loro consentito di adempiere ai compiti conseguenti al proprio ruolo ed assolvere alle proprie
responsabilità. Questo implica, pertanto, il diritto ed il dovere di ogni singolo dipendente di avere piena conoscenza e comprensione della
società in cui opera e del Gruppo, dei meccanismi operativi, degli obiettivi, dei mercati in cui opera e dei rischi cui è quotidianamente esposto.
3. Linee di indirizzo
3.1 Individuazione dei rischi
Avvalendosi del supporto delle funzioni di controllo “di secondo livello”, l’Amministratore incaricato del Sistema di Controllo Interno e di Gestione
dei Rischi indirizza le attività di gestione dei rischi sui principali rischi aziendali, tenendo conto degli obiettivi aziendali e delle caratteristiche
delle attività svolte dalla Società e dalle sue controllate, e li sottopone periodicamente all’esame del Consiglio di Amministrazione.
Tali rischi sono individuati sulla base dei seguenti criteri:
a)natura del rischio, con particolare riferimento ai rischi di natura finanziaria, quelli relativi all’osservanza delle norme contabili e quelli con
un potenziale significativo impatto sulla reputazione della Società;
b)significativa probabilità del verificarsi del rischio;
c)limitata capacità della Società a ridurre l’impatto del rischio sulla sua operatività;
d)significativa entità del rischio.
Conseguentemente, il Consiglio di Amministrazione esamina tali rischi e le rispettive misure di contenimento, in funzione anche della natura e
il livello di rischio ritenuto compatibile con gli obiettivi strategici del Gruppo.
3.2 Attuazione del Sistema di Controllo Interno e di Gestione dei Rischi
Il Sistema di Controllo Interno e di Gestione dei Rischi, costituito dall’insieme delle regole, delle procedure e delle strutture organizzative volte a
consentire l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi, contribuisce a:
a)promuovere l’efficienza e l’efficacia dei processi aziendali consentendo la gestione adeguata dei rischi operativi, finanziari, legali o di altra
natura che la ostacolino nel raggiungimento dei propri obiettivi imprenditoriali;
b)assicurare l’affidabilità dell’informazione finanziaria e la qualità del sistema di reporting interno ed esterno attraverso l’utilizzo di
processi, procedure e sistemi che permettano di generare un flusso di informazioni significative e affidabili all’interno ed all’esterno
dell’organizzazione;
156
Relazione sulla
Corporate Governance
Linee di indirizzo per il Sistema
di Controllo Interno e di Gestione dei Rischi
c)assicurare il rispetto di leggi e regolamenti nonché dello Statuto sociale e delle procedure interne;
d)salvaguardare il patrimonio sociale e la protezione dei beni aziendali da un loro uso inappropriato o fraudolento e dalla loro perdita.
A tal fine, l’Amministratore incaricato del Sistema di Controllo Interno e di Gestione dei Rischi si cura che il Sistema:
I. sia parte integrante dell’operatività e della cultura del Gruppo, attivando a tal fine idonei processi di informazione, comunicazione e
formazione e sistemi di retribuzione e disciplinari che incentivino la corretta gestione dei rischi e scoraggino comportamenti contrari ai
principi dettati da tali processi;
II.sia idoneo a reagire tempestivamente a significative situazioni di rischio che nascano sia all’interno del Gruppo che da modifiche
dell’ambiente in cui il Gruppo opera;
III.comprenda procedure per la comunicazione immediata ad un livello appropriato del Gruppo, adottando a tal fine idonee soluzioni
organizzative che garantiscano l’accesso delle funzioni direttamente coinvolte nel Sistema di Controllo Interno e di Gestione dei Rischi
alle necessarie informazioni ed ai vertici aziendali;
IV.preveda regolari attività di controllo dell’efficacia del Sistema di Controllo Interno e di Gestione dei Rischi, nonché la possibilità di attivare
specifiche attività di controllo nell’ipotesi in cui vengano segnalate debolezze nel Sistema di Controllo Interno e di Gestione dei Rischi;
V.faciliti l’individuazione e tempestiva esecuzione di azioni correttive.
3.3 Valutazione dell’efficacia del Sistema di Controllo Interno e di Gestione dei Rischi
La periodica verifica dell’adeguatezza e dell’effettivo funzionamento e la sua eventuale revisione, costituiscono parte essenziale della struttura
del Sistema di Controllo Interno e di Gestione dei Rischi, al fine di consentire una sua piena e corretta efficacia.
Tale verifica periodica spetta al Consiglio di Amministrazione assistito dal Comitato Controllo e Rischi. Lo stesso avrà cura non solo di
verificare l’esistenza e l’attuazione nell’ambito del Gruppo di un Sistema di Controllo Interno e di Gestione dei Rischi, ma anche di procedere
periodicamente ad un esame dettagliato della struttura del Sistema stesso, della sua idoneità e del suo effettivo e concreto funzionamento.
A tal fine il Consiglio di Amministrazione riceve ed esamina almeno semestralmente le relazioni predisposte dal Responsabile della funzione di
internal audit, dal Comitato Controllo e Rischi e dall’Amministratore incaricato del Sistema di Controllo Interno e di Gestione dei Rischi, al fine
di verificare (i) se la struttura del Sistema di Controllo Interno e di Gestione dei Rischi in essere nel Gruppo risulti concretamente efficace nel
perseguimento degli obiettivi e (ii) se le eventuali debolezze segnalate implichino la necessità di un miglioramento del Sistema.
Il Consiglio di Amministrazione, inoltre, annualmente, in occasione dell’approvazione del bilancio:
a)esamina quali siano i rischi aziendali significativi sottoposti alla sua attenzione dall’Amministratore incaricato del Sistema di Controllo
Interno e di Gestione dei Rischi e valuta come gli stessi siano stati identificati, valutati e gestiti. A tal fine particolare attenzione viene
posta nell’esame dei cambiamenti intervenuti, nel corso dell’ultimo esercizio di riferimento, nella natura ed estensione dei rischi e nella
valutazione della risposta del Gruppo a tali cambiamenti;
b)valuta l’efficacia e l’adeguatezza del Sistema di Controllo Interno e Gestione dei Rischi della Società nonché quello delle controllate aventi
rilevanza strategica nel fronteggiare tali rischi, ponendo particolare attenzione alle eventuali inefficienze che siano state segnalate;
c)considera quali azioni siano state poste in essere ovvero debbano essere tempestivamente intraprese per sanare tali carenze;
d)predispone eventuali ulteriori politiche, processi e regole comportamentali che consentano al Gruppo di reagire in modo adeguato a
situazioni di rischio nuove o non adeguatamente gestite.
Approvazione:
Consiglio di Amministrazione del 10 dicembre 2002 (in vigore dal 1° gennaio 2003)
Revisione:
Consiglio di Amministrazione del 22 febbraio 2012