Soggetti coinvolti

CONSIGLIO DI AMMINISTRAZIONE
Da diversi anni il Consiglio di Amministrazione, con l’assistenza del Comitato Controllo e Rischi, ha definito le linee guida del sistema di controllo interno che, nel corso del 2013, vennero formalmente integrate con le linee guida di Gestione dei Rischi, già adottate da tempo dalla società, conformando ad esse i propri comportamenti.
Sulla base delle richiamate linee guida, il Consiglio di Amministrazione definisce altresì annualmente la natura e il livello di rischio compatibile con gli obiettivi strategici della Società.
Come richiesto dal Codice, il Consiglio di Amministrazione esamina periodicamente i principali rischi aziendali e valuta, sulla base delle risultanze contenute nella relazione predisposta dal Comitato Controllo e Rischi, almeno con cadenza annuale, l’adeguatezza, l’efficacia e l’effettivo funzionamento del sistema di controllo interno e di gestione dei rischi.
Si è invece ritenuto preferibile mantenere, come nel passato, in capo al Comitato Controllo e Rischi la valutazione dei risultati esposti dal Revisore Legale nell'eventuale lettera di suggerimenti e nella relazione sulle questioni fondamentali emerse in sede di revisione legale, valutato sede più idonea per l’esame e l’approfondimento di tali problematiche.

AMMINISTRATORE INCARICATO DI SOVRAINTENDERE ALLA FUNZIONALITA' DEL SISTEMA DI CONTROLLO INTERNO E DI GESTIONE DEI RISCHI
All’Amministratore delegato il Consiglio di Amministrazione ha attribuito la responsabilità di sovrintendere alla funzionalità del sistema di controllo interno e di gestione dei rischi. In tale ambito l’Amministratore delegato, con il supporto del Chief Financial Officer e del Risk Officer, ha curato l’identificazione dei principali rischi aziendali, che sono stati sottoposti periodicamente all’esame del Consiglio; ha dato esecuzione alle linee di indirizzo del sistema di controllo interno e di gestione dei rischi, curandone la progettazione, realizzazione e gestione e verificandone costantemente l’adeguatezza e l’efficacia, nonché l’adattamento alla dinamica delle condizioni operative e del panorama legislativo e regolamentare.
Nel corso del 2016 l’Amministratore delegato non ha effettuato richieste specifiche alla Direzione Internal Audit in merito allo svolgimento di verifiche su specifiche aree operative o specifici processi, mentre ha riferito al Comitato Controllo e Rischi - anche per il tramite della stessa Direzione Internal Audit - in merito alle principali problematiche emerse nello svolgimento della propria attività, per le valutazioni di competenza di tale organismo.

COMITATO CONTROLLO RISCHI
Relativamente alle competenze e all’attività di tale Comitato si rinvia a quanto illustrato nella sezione apposita della Corporate Governance. 

DIREZIONE INTERNAL AUDIT
La Direzione Internal Audit, istituita nel maggio 2003, svolge l’attività di Internal Auditing, finalizzata ad assistere il Consiglio di Amministrazione e il Comitato Controllo e Rischi, nonché il management aziendale, nel perseguire il corretto funzionamento del sistema dei controlli interni e di gestione dei rischi, facilitando quindi il conseguimento degli obiettivi aziendali. Al Direttore Internal Audit, il Consiglio di Amministrazione ha assegnato, dal febbraio 2004, su proposta dell’Amministratore delegato, il compito di valutare l’adeguatezza e l’efficacia del complessivo sistema di controllo interno e di gestione dei rischi.

La Direzione, che non è responsabile di alcuna attività operativa, dal marzo 2013 riporta gerarchicamente al Consiglio di Amministrazione (e per esso al suo Presidente), che ha anche stabilito di incaricare il General Counsel del coordinamento operativo delle attività della Direzione e del suo responsabile, assicurando i rapporti tra la predetta Direzione e il medesimo Consiglio di Amministrazione, il Collegio Sindacale e l’Organismo di Vigilanza. Il Consiglio di Amministrazione ha poi demandato all’Amministratore delegato, nella sua qualità di amministratore incaricato del sistema di controllo interno e di gestione dei rischi, di assicurare che alla direzione siano assegnate risorse adeguate all’espletamento delle sue responsabilità, nonché di definire la retribuzione del Direttore, da stabilirsi in coerenza con le politiche retributive per il management del Gruppo, tenuto conto delle linee guida generali valutate dal Comitato per la Remunerazione. L’attuale Direttore Paolo Colapenna è stato nominato il 29 luglio 2013, su proposta dell’Amministratore delegato nel predetto ruolo di amministratore incaricato del sistema di controllo interno e di gestione dei rischi, con il parere favorevole del Comitato Controllo e Rischi, e sentito il Collegio Sindacale. 
La retribuzione che peraltro, come è in precedenza precisato, è stata definita dall'Amministratore delegato su mandato del Consiglio di Amministrazione, ed in particolare i meccanismi di incentivazione di questo soggetto risultano coerenti con i compiti ad esso assegnati.

La Direzione opera sulla base di un Mandato approvato dal Consiglio di Amministrazione. Il Mandato è stato da ultimo aggiornato a fine 2013 per tenere conto delle modifiche intervenute nell’evoluzione degli standard professionali di auditing e, con l’occasione, è stato adeguato sotto il profilo linguistico al Codice. Nell’ambito di tale mandato è previsto che la Direzione stabilisca un piano di lavoro, da determinare con metodologie di natura risk based, per individuare gli interventi da effettuare e identifichi il necessario fabbisogno di risorse sulla base delle informazioni provenienti da: piano strategico/budget di Gruppo; Risk Assessment Enterprise Risk Management (ERM); compliance 262 e 231; segnalazioni del management; segnalazioni dell’Amministratore delegato e del Presidente del Comitato Controllo e Rischi; attività di Control Self Assessment; valutazioni della Direzione Internal Audit; risultati degli audit precedenti; revisori esterni. Il Piano, che viene poi sottoposto al Comitato Controllo e Rischi e dal 2014 approvato dal Consiglio di Amministrazione, viene aggiornato su base almeno semestrale. L’attività include il processo di monitoraggio dell'effettiva esecuzione delle raccomandazioni emesse negli interventi di verifica (follow-up).

Al termine di ogni intervento di audit, è emesso un rapporto. In linea generale, il rapporto è destinato ai soggetti competenti e responsabili della gestione dei processi oggetto di audit e ad altri eventuali soggetti che sono in grado di dare seguito adeguato alle raccomandazioni in esso contenute e/o di fornire specifico supporto al riguardo. L’executive summary di ogni rapporto di audit è comunque destinato all’Amministratore delegato, nonché al Chief Financial Officer e al Direttore Human Resources & Organization nonché al General Counsel. L’Amministratore delegato e il Comitato Controllo e Rischi devono essere tempestivamente informati in merito a problematiche relative al sistema di controllo interno e di gestione dei rischi.

La Direzione riferisce con cadenza almeno semestrale al Comitato Controllo e Rischi in merito ai risultati delle attività di audit, e supporta il Comitato nelle verifiche e valutazioni relative al sistema di controllo interno e di gestione dei rischi.

Sempre con cadenza almeno semestrale la Direzione riferisce al Collegio Sindacale in merito alle attività svolte ed alle valutazioni effettuate sul sistema dei controlli e di gestione dei rischi.
In questa sede il Collegio Sindacale viene sistematicamente informato dei risultati degli audit eseguiti, con particolare riguardo ai principali rilievi emersi e alle relative azioni di miglioramento concordate con il management.

La Direzione Internal Auditing opera in conformità agli standard internazionali per la professione di internal audit (IPPF); tale certificazione di qualità (Quality Assesment Review), conseguita nel 2009, è stata rinnovata nel corso del 2014 per ulteriori cinque anni a seguito di una review realizzata da un certificatore esterno e indipendente. 

Nel 2015 il piano di attività della Direzione è stato portato a termine regolarmente; esso ha riguardato, tra l’altro, l’affidabilità dei sistemi informativi, inclusi i sistemi di rilevazione contabile.
Il responsabile della Direzione Internal Audit ha accesso diretto a tutte le informazioni utili per lo svolgimento del proprio incarico. Inoltre, anche attraverso la partecipazione ai lavori del Comitato Controllo e Rischi e dell’Organismo di Vigilanza, di cui è Segretario, riceve e valuta le ulteriori informazioni aggiuntive, nonché assiste il Comitato Controllo e Rischi nel processo di valutazione del sistema di controllo interno e di gestione dei rischi.

ALTRI SOGGETTI COINVOLTI
ll processo di Gestione dei Rischi è coordinato dal Risk Officer che riporta al Chief Financial Officer. Egli supporta il management nella definizione della strategia complessiva delle politiche di rischio e nell’analisi, identificazione, valutazione e gestione dei rischi stessi, nonché nella definizione e gestione del relativo sistema di controllo e reporting.

I responsabili di ciascuna Business Unit, Direzione e Divisione hanno la responsabilità di disegnare, gestire e monitorare l’efficace funzionamento del sistema di controllo interno nell’ambito della propria sfera di responsabilità, secondo quanto definito dal Consiglio di Amministrazione con le linee di indirizzo e dalle direttive ricevute per dare esecuzione a tali linee guida. L’attività è integrata con i processi per la individuazione, monitoraggio e gestione dei rischi. Tutti i dipendenti, ciascuno secondo i rispettivi ruoli, contribuiscono ad assicurare un efficace funzionamento del sistema di controllo interno e di gestione dei rischi.

COLLEGIO SINDACALE
Come richiesto dalla legge, il Collegio Sindacale vigila sulla adeguatezza della struttura organizzativa della Società, del sistema di controllo interno e del sistema amministrativo contabile, come viene riferito nella relazione dello stesso all’assemblea, alla quale si rinvia. Sui flussi informativi in materia tra Collegio Sindacale e gli altri organismi si rinvia ai paragrafi “Funzionamento del Collegio Sindacale” e “Comitato Controllo e Rischi” della Corporate Governance.