Il sistema di controllo interno e di gestione dei rischi è parte integrante del generale assetto organizzativo di una società e contempla una pluralità di attori che agiscono in modo coordinato in funzione delle responsabilità rispettivamente di indirizzo e supervisione strategica del Consiglio di Amministrazione, di presidio e gestione della Direzione Generale e del management, di monitoraggio e supporto al Consiglio di Amministrazione, di vigilanza del Collegio Sindacale. In particolare il Sistema di controllo interno e di gestione dei rischi è costituito dall’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire – attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi – una conduzione dell’impresa sana, corretta e coerente con gli obiettivi prefissati. Come tale è un processo finalizzato a perseguire i valori di fairness sostanziale e procedurale, di trasparenza e di accountability, ritenuti fondamenti dell’agire d’impresa, nel rispetto di quanto statuito dal Codice etico e di condotta aziendale. Detto processo, oggetto di continua verifica in ottica di progressivo miglioramento, è volto ad assicurare, in particolare, l’efficienza della gestione societaria ed imprenditoriale, la sua conoscibilità e verificabilità, l’affidabilità delle informazioni e dei dati contabili e gestionali, il rispetto delle leggi e dei regolamenti applicabili nonché la salvaguardia dell’integrità aziendale e degli asset dell’impresa, anche al fine di prevenire frodi a danno della Società e dei mercati finanziari.
Il Consiglio di Amministrazione, in quanto responsabile del sistema di controllo interno e di gestione dei rischi, definisce le linee di indirizzo del sistema, verificandone l’adeguatezza, l’efficacia e il corretto funzionamento, così che i principali rischi aziendali (tra l’altro, quelli operativi, di compliance, economici, di natura finanziaria) siano correttamente identificati e gestiti nel tempo.
Il processo si basa sul self-assessment del profilo di rischio da parte del management ed è inteso a definire:
- la mappatura dei rischi, valutati per livello di impatto e probabilità di accadimento, focalizzando l’attenzione sui rischi più significativi (c.d. Top Risk).
- il grado di maturità del processo di gestione dei Top Risks tramite un’analisi basata sulla valutazione delle componenti di Governance, Assessment, Quantification & Aggregation, Monitoring e Risk & Control Optimization. Per ciascun Top Risk viene identificato un indice di maturità (Risk Maturity Index – RMI);
- il trattamento del rischio, realizzato dalle strutture aziendali risk owner mediante la definizione ed implementazione di appositi action plan, volti a ridurre il livello del rischio residuo e a incrementare l’indice di maturità RMI.