11. Sistema di Controllo Interno e Gestione dei Rischi

Le linee di indirizzo del sistema di controllo interno sono state definite dal Consiglio di Amministrazione in data 21 marzo 2000 e successivamente aggiornate ed approvate in data 25 marzo 2009 e 12 novembre 2014.

In coerenza con i principi dettati dal Codice, il sistema di controllo interno e di gestione dei rischi dell’Emittente è infatti costituito dall’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell’impresa coerente con gli obiettivi aziendali definiti dal Consiglio di Amministrazione. Esso concorre ad assicurare la salvaguardia del patrimonio sociale, l’efficienza e l’efficacia dei processi aziendali, l’affidabilità dell’informazione finanziaria, il rispetto di leggi e regolamenti nonché dello statuto sociale e delle procedure interne.

Il Sistema di Controllo Interno e di Gestione dei Rischi si fonda su principi che prescrivono che l’attività sociale sia rispondente alle regole interne ed esterne applicabili, che sia tracciabile e documentabile, che l’assegnazione e l’esercizio dei poteri nell’ambito di un processo decisionale debbano essere congiunti con le posizioni di responsabilità e con la rilevanza e/o la criticità delle sottostanti operazioni economiche, che non vi debba essere identità soggettiva fra coloro che assumono o attuano le decisioni, coloro che devono dare evidenza contabile delle operazioni decise e coloro che sono tenuti a svolgere sulle stesse i controlli previsti dalla legge e dalle procedure contemplate dal sistema di controllo interno e di gestione dei rischi, che sia garantita la riservatezza ed il rispetto della normativa a tutela della privacy.

I principali attori del Sistema di Controllo Interno e di Gestione dei Rischi sono il Consiglio di Amministrazione, l’Amministratore Delegato quale amministratore incaricato del Sistema di Controllo Interno e di Gestione dei Rischi, il Comitato Controllo e Rischi, il Responsabile della Funzione di Internal Audit, il Dirigente preposto alla redazione dei documenti contabili societari, il Collegio Sindacale, la Società di revisione e l’Organismo di Vigilanza, ciascuno attraverso l’espletamento del proprio ruolo e dei propri compiti in tema di controllo.

A seguito della fusione tra Impregilo e Salini è stato modificato il disegno organizzativo del Sistema che oggi prevede funzioni di controllo di “secondo livello”, poste in staff all’Amministratore Delegato, e rappresentate dal Dirigente Preposto alla redazione dei documenti contabili societari, dalla Funzione di Compliance, dalla Funzione di Risk Management e dalla Funzione Quality, Environment, Health and Safety

Gli elementi costitutivi del Sistema di Controllo Interno e di Gestione dei Rischi della Società sono la struttura organizzativa, il sistema dei poteri, il Modello di Organizzazione, Gestione e Controllo ex D.Lgs. 231/01, il Codice Etico del Gruppo, i documenti organizzativi quali gli Organigrammi, le Linee Guida, le Procedure quadro (o Interfunzionali), le Disposizioni organizzative, i Comunicati organizzativi, le Procedure operative, i Manuali e le Istruzioni esecutive.

Principali caratteristiche del Sistema di Controllo Interno e Gestione dei Rischi esistenti in relazione al processo di informativa finanziaria, ai sensi dell’art. 123-bis, comma 2, lett. b),TUF

I Premessa

Il sistema di gestione dei rischi e di controllo interno in relazione al processo di informativa finanziaria (nel seguito “il Sistema”) ha l’obiettivo di garantire l’attendibilità, l’accuratezza, l’affidabilità e la tempestività di detta informativa.

La progettazione, l’implementazione, il monitoraggio e l’aggiornamento nel tempo del Sistema sono stati posti in essere da Salini Impregilo secondo linee guida ispirate a framework e best practice internazionali.

Tali linee guida, inoltre, sono state declinate in modo specifico per adattarsi alle caratteristiche dell’Emittente e delle proprie unità operative che contribuiscono alla formazione dell’informativa finanziaria (sia quella separata della capogruppo sia quella consolidata). In tale processo di integrazione del modello generale nel modello specifico della Società, si è infatti tenuto conto del fatto che la struttura del Gruppo è formata da entità che presentano, limitatamente agli aspetti relativi all’informativa finanziaria che rilevano in questa sede, profili di autonomia giuridica rispetto alla capogruppo fra loro differenziati. Il Gruppo è composto sia da entità giuridicamente autonome (es: società di capitali italiane o estere), sia da entità che, pur senza rappresentare una personalità giuridicamente distinta dalla capogruppo ai sensi della normativa italiana (es: stabili organizzazioni estere), per le caratteristiche dell’attività svolta sono dotate di strutture amministrative proprie e sono organizzativamente autonome nella produzione dell’informativa finanziaria.

Nell’ambito di tale declinazione, ed in conformità alle logiche poste a base del modello di riferimento, sono stati inoltre definiti i principi per garantire l’effettiva applicazione del Sistema.

Tali principi prevedono la diffusione delle procedure applicative, la formazione del personale coinvolto nelle varie fasi dei processi regolamentati, e un piano di monitoraggio mediante il quale da un lato è riscontrata l’effettiva applicazione delle stesse e dall’altro sono identificati eventuali sviluppi e integrazioni che potrebbero rendersi necessari in un contesto operativo ampio come quello in cui opera il Gruppo.

Detto modello, con i dovuti adattamenti, è in corso di aggiornamento ed implementazione a seguito dei mutamenti organizzativi intervenuti in ragione della intercorsa fusione societaria.

II Descrizione delle principali caratteristiche del sistema di gestione dei rischi e di controllo interno esistenti in relazione al processo di informativa finanziaria

II.1 Le principali fasi del Sistema

Il Sistema adottato prevede le principali fasi di seguito descritte:

  1. Identificazione dei rischi sull’informativa finanziaria: tale fase comporta in prima istanza lo svolgimento di un’analisi dei processi aziendali più rilevanti in termini di potenziale impatto sull’informativa finanziaria della Società capogruppo, e in seconda istanza l’identificazione di processi specifici che, pur potenzialmente non operativi nell’ambito della Capogruppo, sono tuttavia significativi nell’ambito delle entità comprese nel perimetro di consolidamento, per specificità dei vari settori di business in cui operano.
    Nell’analisi complessiva sono stati considerati i criteri per l’identificazione dei rischi riferiti al mancato raggiungimento degli obiettivi di controllo (“asserzioni di bilancio”: esistenza e accadimento, completezza, valutazione e registrazione, presentazione e informativa, diritti e obbligazioni) per le singole voci di bilancio (sia separato sia consolidato). In detto ambito si è tenuto conto di possibili rischi sia di errore che di frode che possano potenzialmente incidere sull’informativa finanziaria.
  2. Valutazione dei rischi sull’informativa finanziaria: la valutazione del rischio intrinseco (rischio inerente valutato a prescindere dei relativi controlli) per ogni voce di bilancio viene effettuata analizzando: (i) la significatività degli obiettivi di controllo sopra identificati per singola voce, (ii) il peso di ogni singola voce sulla relativa classe di bilancio di appartenenza (es. attività o passività a livello patrimoniale, ricavi, costi di produzione, risultato della gestione finanziaria, imposte a livello economico), per individuarne la significatività, e (iii) la materialità della voce in relazione al risultato ante imposte ed al patrimonio netto.
  3. Identificazione dei controlli a fronte dei rischi individuati: il rischio intrinseco (inerente), associato a ciascuna voce di bilancio come sopra specificato, è successivamente analizzato in funzione del sistema di controllo esistente nelle singole entità del Gruppo. Nello specifico, sulla base dell’analisi del processo di formazione delle voci di bilancio, sono individuati i controlli (massivi o individuali) previsti dal processo stesso per garantire il rispetto dei relativi obiettivi (“asserzioni di bilancio”). Tali controlli, che mitigano il rischio intrinseco (inerente), determinano il cd. rischio residuo per ciascuna voce di bilancio.
  4. Valutazione dei controlli a fronte dei rischi individuati: con cadenza periodica è stato infine implementato uno specifico processo di monitoraggio finalizzato alla valutazione dell’efficacia di mitigazione dei controlli e dell’effettiva operatività degli stessi nell’ambito del periodo e del processo analizzato.

Le attività di verifica ex lege 262/05 sono svolte su base semestrale e sono pianificate in modo da coinvolgere le unità operative più rilevanti. La valutazione di rilevanza di

un’unità operativa, ai fini dell’esecuzione dei controlli, è effettuata tenendo in considerazione sia il volume di attività realizzata dall’unità stessa in relazione al volume di attività svolta dalla capogruppo e a livello consolidato, sia tenendo in considerazione eventuali fattori specifici che, pur non rilevando da un punto di vista quantitativo, presentano caratteristiche di ordine valutativo che sono comunque ritenute meritevoli di analisi di processo.

Qualora dall’attività di monitoraggio descritta dovessero emergere rilievi o elementi di processo suscettibili di miglioramento, per tali indicazioni viene fornita documentazione di supporto, viene predisposto un piano di adeguamento di cui viene fornita opportuna informativa nelle relazioni di sintesi predisposte, e tale piano viene monitorato fino alla realizzazione degli obiettivi individuati.

II.2 Ruoli e funzioni coinvolte

A partire dalla chiusura contabile dell’Esercizio il coordinamento delle attività di verifica ex lege 262/05 è stato affidato alla funzione Internal Audit a seguito di uno specifico mandato del Dirigente Preposto alla redazione dei documenti contabili e societari. L’Internal Audit effettua le verifiche in merito all’applicazione dei controlli chiave in accordo con il “Modello delle procedure amministrative, contabili ed operative per la formazione dei bilanci di Gruppo” e, nello svolgimento di tali attività, può utilizzare anche risorse esterne specializzate. Con frequenza semestrale l’Internal Audit, in esito alle attività svolte, predispone la documentazione di supporto e predispone una relazione di sintesi ad uso del Dirigente Preposto alla redazione dei documenti contabili e societari che, dopo averne valutato il contenuto e le conclusioni raggiunte, a sua volta riferisce in merito all’attività svolta agli organi sociali competenti in materia.

***

Il Consiglio di Amministrazione, dopo aver approvato in data 19 marzo 2014 il Piano Industriale e Strategico che contiene gli obiettivi strategici che il nuovo management ha fissato, ha avviato il processo di definizione della natura e del livello del rischio compatibile con i predetti obiettivi strategici. Detto processo si avvale anche del supporto istruttorio del Comitato Controllo e Rischi.

In occasione del Consiglio di approvazione del bilancio di esercizio 2014, il Comitato Controllo e Rischi, in esito all’esame delle relazioni del Responsabile della Funzione di Internal Audit e dell’Organismo di Vigilanza, ed in esito alle interviste avute con gli stessi e del supporto del Dirigente preposto alla redazione dei documenti contabili societari e della società di revisione, ha riportato al Consiglio la propria positiva valutazione di attuale adeguatezza ed efficacia del sistema di controllo interno e gestione dei rischi rispetto alle caratteristiche dell’impresa e al profilo di rischio assunto.

Tale valutazione è stata condivisa e fatta propria dal Consiglio.

Il Collegio Sindacale si è associato a tali positive valutazioni.

Rischi Operativi – Gruppo Salini Impregilo

Il Gruppo Salini Impregilo ha avviato un progetto per lo sviluppo e l’implementazione di un modello di Risk Management che sarà progressivamente esteso a tutte le realtà operative e consentirà di affrontare e gestire i rischi in accordo con quanto previsto dalle best practice di settore.

Il progetto è articolato coinvolgendo tutte le unità operative al fine di considerare puntualmente le differenze esistenti tra i Paesi e i diversi contesti economici, normativi e socio-culturali in cui Salini Impregilo opera.

Il progetto prevede inoltre la nomina di un Chief Risk Officer che, con il supporto di un gruppo di lavoro che sta già operando, ha l’obiettivo di individuare i principali rischi aziendali e di valutare l’efficacia dei controlli posti in essere dalle Strutture delle Unità Operative attraverso una metodologia comune.

I Risk Assessment

In relazione all’esercizio 2014 è stata condotta un’attività di Risk Assessment finalizzata all’individuazione dei rischi che potrebbero influire sul raggiungimento degli obiettivi del Piano Industriale, focalizzando in modo particolare l’attenzione sulla valutazione dei rischi di natura operativa.

Il Senior e il Top Management del Gruppo coinvolto ha quindi valutato sia il livello di esposizione ad un evento potenzialmente negativo in termini di impatto e probabilità del rischio, sia l’adeguatezza del Sistema di Controllo Interno sulla base dell’efficacia dei controlli esistenti.

La metodologia adottata per l’attività di Risk Assessment ha previsto le seguenti fasi:

  1. Identificazione dei rischi
    Questa fase si è basata su una mappatura iniziale dei processi aziendali e sull’individuazione dei rischi più rilevanti ad essi correlati e potenzialmente ostativi al raggiungimento degli obiettivi di Gruppo.
    In esito a questa attività è stato sviluppato un Catalogo dei Rischi sulla base sia della condivisione e dall’integrazione delle esperienze maturate negli anni precedenti dal Gruppo Salini e dal Gruppo Impregilo nella gestione dei rischi del settore engineering and construction, sia del contributo ottenuto dalle interviste con il Management di riferimento.
    Il Catalogo dei Rischi attraverso le interviste si è tradotto in un elenco di rischi derivanti dalle esperienze maturate dai due Gruppi a cui si sono aggiunti nuovi rischi rilevati nel corso dell’attività anche attraverso un confronto con i rischi rilevabili da fonti esterne del medesimo settore.
  2. Valutazione dei rischi
    La valutazione del rischio inerente, ossia considerato a prescindere dai relativi controlli, è stata effettuata combinando la probabilità di accadimento dell’evento di rischio per l’impatto potenziale generato rispetto agli obiettivi prefissati.
  3. Identificazione e valutazione dei controlli a fronte dei rischi individuati
    Il rischio inerente è stato successivamente analizzato in funzione della valutazione dell’efficacia del sistema di controllo esistente nei differenti processi aziendali. Nello specifico, sulla base della mappatura iniziale dei processi, è stato valutato il livello di efficacia delle attività di controllo. L’applicazione di tali controlli a mitigazione del rischio ha quindi determinato il livello residuo di ciascun rischio analizzato.
  4. Verifica dell’efficacia dei controlli a fronte dei rischi individuati
    Nell’ambito dell’organizzazione della Società e delle previsioni del Sistema di Controllo Interno e di Gestione dei Rischi vi sono diversi Organi e Funzioni aziendali dedicate alla verifica dell’effettivo funzionamento del Sistema stesso. In particolare, la Funzione di Internal Audit, nell’ambito del Piano annuale delle verifiche approvato dal Comitato Controllo e Rischi (cd. Piano di Audit), svolge controlli sulla conformità dei processi aziendali rispetto alle procedure del Sistema di Controllo Interno e di Gestione dei Rischi, attingendo anche ai risultati dell’attività di Risk Assessment e monitorando lo sviluppo dei programmi di implementazione delle azioni di miglioramento individuate con riferimento al disegno dei controlli.

II Risultati

I risultati dell’attività di Risk Assessment sono di seguito descritti in base alla natura del rischio ed in ordine di rilevanza di rischio residuo in base alle valutazioni del management, riportando una descrizione sintetica degli elementi maggiormente significativi.

Controparte

I principali rischi riguardano l’evoluzione dei rapporti con il Cliente in fase di gara e durante la gestione operativa del contratto una volta aggiudicato. Tali aspetti sono contraddistinti da una componente di rischio esterna legata principalmente alla struttura, alle competenze e alle caratteristiche dei Committenti.

La gestione del progetto necessita quindi, in tutte le sue fasi, di un forte coordinamento tra le strutture operative e di sede al fine di individuare e risolvere eventuali problematiche con la controparte in modo tempestivo e nel rispetto del contratto.

Operativa (*)

Si tratta dei rischi legati ai processi operativi del Gruppo, dall’organizzazione delle strutture di project management, alla pianificazione delle attività di produzione fino alla realizzazione vera e propria dei lavori. Tali rischi riguardano sia le iniziative di costruzione che di concessione. La fase di avvio, in particolare, rappresenta una fase cruciale della gestione della commessa che necessita di una tempestiva definizione della struttura organizzativa di

progetto e di una approfondita conoscenza delle caratteristiche del paese e del tessuto produttivo locale.

Strategica

In questa categoria sono compresi i rischi legati alla gestione commerciale, alla valutazione del contesto competitivo e delle condizioni dei Paesi target del Gruppo dal punto di vista sociale, politico ed economico. Inoltre, sono inclusi i rischi connessi alla definizione di accordi con eventuali partner e alla costituzione di Joint Venture, in considerazione anche dell’effetto che alcune scelte di natura organizzativa possono avere a livello di Gruppo.

Salini Impregilo è presente in alcuni Paesi caratterizzati da un livello di instabilità economica, politica e sociale che rappresenta un aspetto oggetto di valutazione in fase di sviluppo del Piano Strategico e di studio di ogni iniziativa.

Particolare attenzione viene dedicata in fase di studio delle iniziative al contesto socio-culturale del Paese di riferimento, alla tipologia di Committente e di contratto in oggetto e alle fonti di finanziamento a supporto delle iniziative.

Compliance

Si tratta dei rischi connessi agli adempimenti normativi, siano essi di matrice esterna, quali gli adempimenti legislativi, fiscali o contrattuali in senso lato, siano essi di natura interna, quali il rispetto del Codice Etico di Gruppo e del sistema procedurale aziendale.

In considerazione della dimensione e della complessità della Società, assumono una significativa rilevanza gli aspetti legati al completamento del processo di integrazione tra le due realtà esistenti ante fusione, con particolare attenzione sia alla diffusione e all’applicazione di un sistema procedurale condiviso, sia al coordinamento e al monitoraggio delle operazioni infragruppo.

Reporting

I rischi connessi alle attività di reporting riguardano specificatamente le attività di redazione e monitoraggio dell’informativa economica e finanziaria comunicata al mercato.

Alcuni recenti aggiornamenti normativi in tema di IFRS hanno condotto il management coinvolto a valutare, in tema di reporting, gli aspetti legati ad una corretta applicazione dei principi contabili.

Liquidità (*)

All’interno della categoria sono compresi i rischi connessi alla capacità di accedere ai mercati finanziari, alla gestione della tesoreria sia a livello centrale che periferico, alla gestione delle assicurazioni e alla gestione fiscale con particolare attenzione alle differenti normative locali dei Paesi dove opera il Gruppo.

La gestione del rischio finanziario è fortemente presidiata in coerenza con le strategie aziendali con orizzonte temporale più lungo, e nel rispetto dei fabbisogni a breve termine

delle realtà operative. Nell’ambito della gestione contrattuale verso i committenti sono definiti indici revisionali a protezione dai rischi di variazione dei prezzi. In generale, inoltre risulta fondamentale il monitoraggio della cosiddetta bilancia valutaria, ossia l’allineamento tra la quota di lavori contrattuali remunerata dal Committente in valuta locale e gli acquisti nel Paese di riferimento. Si segnala come centralmente la Sede adotti un significativo coordinamento dei presidi periferici al fine di garantire un controllo delle disponibilità finanziarie.

Legale

I rischi di natura legale si riferiscono agli adempimenti di natura legislativa, ma soprattutto riguardano gli aspetti legati alla gestione contrattuale attiva, verso i Committenti, e passiva verso i subappaltatori e fornitori.

Il management ha evidenziato l’importanza di un presidio di gestione contrattuale sin dalle fasi iniziali di avvio dei progetti, oltre alla definizione di standard contrattuali per forniture e subappalti, che riducano il rischio di inadempimenti da parte delle controparti.

Reputazionale

In questa categoria sono compresi i rischi connessi ad eventi che potrebbero determinare un danno d’immagine del Gruppo, sia a livello nazionale che internazionale.

All’interno della valutazione di questi rischi, il management ha evidenziato l’importanza di aver raggiunto un esito positivo nel processo di integrazione tra le due realtà preesistenti alla fusione, in fase di ultimazione.

Frode

Il Gruppo ha adottato un sistema di policy, di procedure e di controlli, a partire dal Codice Etico fino al Modello Anticorruzione, finalizzato a garantire un adeguato sistema di controllo interno a prevenzione delle frodi, sia interne che esterne.

Infine, la Funzione di Internal Audit, nell’ambito del Piano annuale delle verifiche approvato dal Consiglio di Amministrazione, svolge controlli sui processi aziendali rispetto alle regole (procedure) del Sistema di Controllo Interno e di Gestione dei Rischi, attingendo anche ai risultati dell’attività di Risk Assessment svolta annualmente e monitorando lo sviluppo dei programmi di implementazione delle azioni di miglioramento individuate (e condivise) con riferimento al disegno dei controlli.

11.1. AMMINISTRATORE INCARICATO DEL SISTEMA DI CONTROLLO INTERNO E DI GESTIONE DEI RISCHI

Come riferito alla Sezione 3 della presente Relazione, il Consiglio del 12 marzo 2007, con l’assistenza del Comitato per il Controllo Interno, ha individuato nell’Amministratore Delegato della Società l’”Amministratore Esecutivo incaricato di sovraintendere alla funzionalità del sistema di Controllo Interno”.

Il Consiglio nominato dall’Assemblea del 17 luglio 2012 ha confermato l’individuazione nell’Amministratore Delegato dell’“amministratore incaricato del sistema di controllo interno e di gestione dei rischi”, con tutti i poteri e compiti previsti al riguardo dall’art. 7 del Codice.

***

L’Amministratore incaricato del sistema di controllo interno e di gestione dei rischi:

  • cura l’identificazione dei principali rischi aziendali (strategici, operativi, finanziari e di compliance), tenendo conto delle caratteristiche delle attività svolte dall’Emittente e dalle sue controllate, e li sottopone periodicamente all’esame del Consiglio;
  • dà esecuzione alle linee di indirizzo definite dal Consiglio, curando la gestione del sistema di controllo interno e di gestione dei rischi in precedenza progettato e realizzato, verificandone costantemente, con il supporto del Responsabile della funzione di Internal Audit, l’adeguatezza e l’efficacia;
  • si occupa, con il supporto del Responsabile della funzione di Internal Audit, dell’adattamento di tale sistema alla dinamica delle condizioni operative e del panorama legislativo e regolamentare;
  • ha il potere di chiedere alla funzione di Internal Audit lo svolgimento di verifiche su specifiche aree operative e sul rispetto delle regole e procedure interne nell’esecuzione di operazioni aziendali, dandone contestuale comunicazione al Presidente, al Presidente del Comitato Controllo e Rischi e al presidente del Collegio Sindacale;
  • riferisce tempestivamente al Consiglio in merito alle verifiche richieste alla funzione di Internal Audit.

11.2. RESPONSABILE DELLA FUNZIONE DI INTERNAL AUDIT

Il ruolo di Responsabile dell’Internal Audit è stato assolto, sino al 14 maggio 2014, da Giacomo Galli, nominato dal Consiglio di Amministrazione del 14 gennaio 2014 e, successivamente, da Francesco Albieri, nominato Responsabile Internal Audit della Società con delibera del Consiglio di Amministrazione del 14 maggio 2014.

Giacomo Galli era soggetto esterno all’Emittente, dotato di adeguati requisiti di professionalità, indipendenza e organizzazione verificati dal Consiglio all’atto della nomina, ed ha assolto il ruolo di Responsabile della funzione di Internal Audit per il periodo necessario alla individuazione di un soggetto qualificato per il ruolo da assumere alle dipendenze dell’Emittente, soggetto poi individuato nella persona di Francesco Albieri.

Il Consiglio di Amministrazione ha altresì deliberato la remunerazione dovuta per lo svolgimento della summenzionata funzione.

Le suddette nomine e relative remunerazioni, sono state deliberate, su proposta dell’Amministratore Incaricato del Sistema di Controllo Interno e di Gestione dei Rischi, con il parere favorevole del Comitato Controllo e Rischi e sentito il Collegio Sindacale.

Il Responsabile della funzione Internal Audit dipende gerarchicamente dal Consiglio di Amministrazione e non è responsabile di alcuna area operativa; opera in piena autonomia dai responsabili di tali aree operative ed è dotato di autonomi poteri di iniziativa e di controllo.

Per quanto alla struttura della funzione Internal Audit, essa si compone di risorse in possesso di diversificate esperienze professionali ed adeguate all’espletamento delle proprie responsabilità. La suddetta funzione si avvale inoltre, per esigenze specifiche di adempimento del Piano di Audit, di risorse esterne, nell’ambito del budget assegnato e approvato dal Consiglio di Amministrazione.

La funzione Internal Audit ha operato nel corso del 2014 nell’ambito del proprio mandato approvato in data 26 agosto 2011 dal Consiglio di Amministrazione, sentito il parere favorevole del Collegio Sindacale, ed ulteriormente aggiornato in data 12 novembre 2014.

***

Il Responsabile della funzione Internal Audit verifica il funzionamento e l’adeguatezza del Sistema di Controllo Interno e di Gestione dei Rischi eseguendo gli interventi previsti dal piano di audit, approvato dal Consiglio, basato su di un processo strutturato di analisi e prioritizzazione dei principali rischi, eventualmente integrato di interventi specifici richiesti degli organi di gestione e controllo.

Nell’esecuzione delle attività di propria competenza, il Responsabile della funzione Internal Audit ha avuto accesso diretto a tutte le informazioni utili per lo svolgimento del proprio incarico, ha predisposto relazioni periodiche contenenti adeguate informazioni sulla propria attività sulle modalità con cui viene condotta la gestione dei rischi e sul rispetto dei piani definiti per il loro contenimento, oltre che una valutazione sulla idoneità del sistema di controllo interno e di gestione dei rischi, nonché tempestive relazioni su richiesta dell’Amministratore incaricato del sistema di controllo interno e di gestione dei rischi, e le ha trasmesse, così come previsto dal proprio Mandato, ai componenti del Comitato Controllo e Rischi e del Collegio Sindacale e al Presidente del Consiglio di Amministrazione, nonché all’Amministratore incaricato del sistema di controllo interno e di gestione dei rischi.

Con riferimento alle verifiche circa l’affidabilità dei sistemi informativi, ivi inclusi i sistemi di rilevazione contabile, la Funzione Internal Audit nel corso del 2014 ha monitorato il processo di integrazione delle piattaforme tecnologiche che da un’attività di assessment sono state giudicate le più idonee allo scopo. A seguito di ciò la Funzione potrà proseguire nello svolgimento di ricognizioni basate su framework di controllo internazionalmente riconosciuti.

Il Responsabile della funzione di Internal Audit opera in autonomia finanziaria nell’ambito del budget approvato annualmente dal Consiglio di Amministrazione, sentito il Comitato Controllo e Rischi.

Il Consiglio, su proposta dell’Amministratore Incaricato del Sistema di Controllo Interno e di Gestione dei Rischi, previo parere favorevole del Comitato Controllo e Rischi e sentito il

Collegio Sindacale, ha definito la remunerazione del Responsabile della funzione di Internal Audit coerentemente con le politiche aziendali ed ha assicurato che lo stesso sia dotato delle risorse adeguate all’espletamento delle proprie responsabilità, rispettivamente in data 14 gennaio 2014 per Giacomo Galli e in data 14 maggio 2014 per Francesco Albieri.

Inoltre, il Responsabile della funzione di Internal Audit si è interfacciato con gli altri organi di controllo, come esplicitato nel successivo paragrafo 11.6.

11.3. MODELLO ORGANIZZATIVO ex D. Lgs. 231/2001

La Società fin dal 29 gennaio 2003 si è dotata del “Modello di Organizzazione, Gestione e Controllo” previsto dall’art. 6 del D. Lgs. n. 231/01, ispirato alle linee guida di Confindustria, approvate il 7 marzo 2002.

In conseguenza delle modifiche normative intervenute successivamente alla prima adozione del Modello, il Consiglio, in data 30 marzo 2005, ha proceduto ad un aggiornamento del Modello stesso, coerentemente con l’aggiornamento del 18 maggio 2004 delle linee guida di Confindustria, nonché con il codice di comportamento e con il Modello redatto dall’Associazione Nazionale Costruttori Edili (ANCE), approvato in data 31 marzo 2003 e successivamente aggiornato il 1° settembre 2004.

Nelle riunioni del 12 settembre 2006, del 21 luglio 2008, del 25 marzo 2009, del 28 agosto 2009, del 25 marzo 2010, del 26 agosto 2011, del 26 marzo 2012, del 16 ottobre 2012 e del 5 agosto 2013 e del 14 maggio 2014, a seguito dell’ampliamento del novero dei reati considerati, nonché in conseguenza delle evoluzioni organizzative nel frattempo occorse nella Società, dell’aggiornamento delle “Aree di attività a rischio” e in accordo con l’evoluzione delle best practices, il Consiglio ha approvato il nuovo “Modello di Organizzazione, Gestione e Controllo” (la cui Parte Generale è disponibile sul sito www.salini-impregilo.com, nella sezione “Governance – Controllo interno e gestione dei rischi”) ed i relativi aggiornamenti.

Al fine di ottemperare alle specifiche previsioni del D. Lgs. n. 231/01, ed in considerazione dell’analisi del contesto aziendale e delle attività potenzialmente a rischio-reato, sono considerati rilevanti, e quindi specificamente esaminati nel Modello i reati commessi nei rapporti con la Pubblica Amministrazione, reati di falsità di monete, in carte di pubblico credito e in valori di bollo, reati societari, delitti aventi finalità di terrorismo o di eversione dell’ordine democratico, delitti contro la personalità individuale, abusi di mercato e reati transnazionali, ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita, reati in materia di sicurezza sul lavoro, delitti informatici e trattamento illecito di dati, delitti di criminalità organizzata, induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all’Autorità Giudiziaria, contraffazione, delitti contro l’industria e il commercio, delitti in materia di violazione del diritto d’autore, reati ambientali, impiego di cittadini di paesi terzi il cui soggiorno è irregolare, reati in tema di induzione indebita a dare o promettere utilità e corruzione tra privati.

Il Consiglio, in data 12 settembre 2006, coerentemente con quanto previsto dal Modello di Organizzazione, Gestione e Controllo, ha determinato in tre il numero dei componenti dell’Organismo di Vigilanza di cui all’art. 6 del D. Lgs. n. 231/2001 (mentre in precedenza

l’Organismo era monocratico, nella persona del Preposto al Controllo Interno), di cui uno interno alla Società, individuato nella persona del Responsabile della funzione di Internal Audit, e due esterni alla Società, ed ha provveduto alle relative nomine, da ultimo in data 14 maggio 2014, per un triennio e quindi fino all’approvazione da parte del Consiglio di Amministrazione della relazione finanziaria semestrale al 30 giugno 2015. In conformità alle previsioni del Modello, il Presidente dell’Organismo di Vigilanza è individuato tra i membri non appartenenti al personale dell’Emittente e l’Organismo di Vigilanza è composto da soggetti dotati di specifiche competenze nelle attività di natura ispettiva, nell’analisi dei sistemi di controllo e in ambito giuridico (in particolare penalistico), affinché sia garantita la presenza di professionalità adeguate allo svolgimento delle relative funzioni. Il Consiglio valuta opportuno non attribuire al Collegio Sindacale le funzioni di Organismo di Vigilanza.

La controllata avente rilevanza strategica, Impregilo International Infrastructure N.V. è società di diritto olandese e, pertanto, come tale non è soggetta alle disposizioni del D.Lgs. 231/2001.

Elemento integrante del Modello è il “Codice Etico del Gruppo Salini Impregilo” (disponibile sul sito www.salini-impregilo.com, nella sezione “Governance – sistema di Governance”), la cui versione attuale è stata approvata dal Consiglio di Salini Impregilo in data 14 maggio 2014.

11.4. SOCIETA’ DI REVISIONE 

Salini Impregilo e le sue principali controllate hanno conferito incarichi di revisione obbligatoria e di verifica della regolare tenuta della contabilità in conformità a quanto disposto dal D. Lgs. 24 febbraio 1998 n. 58 e dal D.Lgs. 27 gennaio 2010 n.39, nonché di verifica delle relazioni finanziarie semestrali.

La società di revisione incaricata esercita il controllo contabile su Salini Impregilo, ai sensi delle norme di legge applicabili in materia.

Nell’ambito di un piano generale di revisione contabile del Gruppo, agli incarichi di revisione contabile conferiti ex lege si sono aggiunti gli incarichi conferiti volontariamente dalle controllate che non rientrano nell’ambito delle soglie di “rilevanza” indicate dalla Consob.

Con delibera assembleare del 3 maggio 2006 Salini Impregilo S.p.A. ha incaricato PricewaterhouseCoopers S.p.A. per il periodo dal 2006 al 2011. L’assemblea tenutasi in data 3 maggio 2007 ha prorogato l’incarico di PricewaterhouseCoopers S.p.A. per il periodo dal 2012 al 2014, ai sensi dell’art. 8, 7° comma, del D. Lgs. 29 dicembre 2006, n. 303.

A seguito di quanto sopra, il Collegio Sindacale ha avviato un processo di richiesta offerte ad alcuni tra i principali player del settore della revisione legale dei conti, al termine del quale l’Organo di Controllo ha individuato una società di revisione avente i requisiti previsti dal D.Lgs. 39/10 da sottoporre, con un parere motivato, all’approvazione dell’Assemblea dei Soci.

L’Assemblea chiamata ad approvare il bilancio di esercizio al 31 dicembre 2014 dovrà, pertanto, provvedere anche al conferimento dell’incarico alla Società di Revisione per gli esercizi 2015-2023.

11.5. DIRIGENTE PREPOSTO ALLA REDAZIONE DEI DOCUMENTI CONTABILI SOCIETARI E ALTRI RUOLI E FUNZIONI AZIENDALI

L’assemblea del 27 giugno 2007 ha introdotto nello Statuto sociale di Salini Impregilo l’art. 26, che regola la nomina e revoca del dirigente preposto alla redazione dei documenti contabili e societari, la determinazione della durata dell’incarico e del compenso relativo, nonché i requisiti professionali richiesti.

Il predetto art. 26 dello Statuto sociale prevede che il Consiglio nomina, e revoca, previo parere del Collegio sindacale, un dirigente preposto alla redazione dei documenti contabili societari, determinandone la durata e il compenso e scegliendolo tra soggetti che abbiano maturato un’esperienza complessiva di almeno un triennio nell’esercizio di (a) attività di amministrazione e finanza o di amministrazione e controllo ovvero funzioni dirigenziali con competenze in materia finanziaria, contabile e di controllo, presso società di capitali che abbiano un capitale sociale non inferiore a due milioni di Euro o consorzi tra società di capitali che abbiano complessivamente un capitale sociale non inferiore a due milioni di Euro, ovvero (b) attività professionali in materie giuridiche, economiche, finanziarie, strettamente attinenti all’attività dell’impresa ovvero (c) funzioni dirigenziali presso enti pubblici o pubbliche amministrazioni operanti nei settori creditizio, finanziario e assicurativo o comunque in settori d’attività strettamente attinenti a quello della Società.

Per materie e settori di attività strettamente attinenti a quelli dell'impresa esercitata dalla Società si intendono le materie e i settori di cui all’art. 29, ultimo comma (che recita: “Ai fini di quanto previsto dall'art. 1 comma 2 lettere b) e c) e comma 3 del Decreto Ministeriale 30 marzo 2000 n. 162, per materie e settori di attività strettamente attinenti a quelli dell'impresa esercitata dalla Società si intendono le materie (giuridiche, economiche, finanziarie e tecnico-scientifiche) ed i settori di attività connessi o inerenti all'attività esercitata dalla Società e di cui all'oggetto sociale”).

Sul punto si evidenzia che il Consiglio di Amministrazione del 19 marzo 2015 ha convocato, per la data del 30 aprile 2015, l’Assemblea Straordinaria dei Soci ai fini della modifica di tale ultimo capoverso dell’art. 29 dello Statuto, nei termini indicati al successivo paragrafo 13.

Il ruolo di Dirigente preposto alla redazione dei documenti contabili societari ai sensi dell’articolo 154-bis del Decreto Legislativo 24 febbraio 1998, n. 58 è attualmente ricoperto, a tempo indeterminato, dal Direttore Generale Group Finance & Corporate Massimo Ferrari, al quale è stato conferito ogni potere e mezzo per poter svolgere efficacemente le proprie funzioni e compiti, con potere di spesa entro il limite del budget di volta in volta approvato, e che è stato provvisoriamente determinato nell’importo di euro 50.000,00.

In particolare il Consiglio di Amministrazione ha attribuito al dirigente preposto Massimo Ferrari il potere di

  • accedere direttamente a tutte le informazioni necessarie per le produzione dei dati contabili;
  • fruire senza limitazioni dei canali di comunicazione interna che garantiscano una corretta informazione infra-aziendale;
  • organizzare autonomamente la propria struttura aziendale, sia con riferimento al personale che ai mezzi tecnici (risorse materiali, informatiche e di altro genere);
  • creare e adottare le procedure amministrative e contabili aziendali in modo autonomo, utilizzando anche la collaborazione delle altre strutture aziendali per le rispettive competenze;
  • valutare e modificare procedure aziendali per la parte attinente alle procedure amministrative e contabili;
  • partecipare alle riunioni consiliari e di Comitato Esecutivo ed in particolare a quelle che trattano temi pertinenti alle attività e alle responsabilità del dirigente preposto alla redazione dei documenti contabili societari;
  • disporre di consulenze esterne, laddove particolari esigenze aziendali lo rendano necessario;
  • avere rapporti e flussi informativi con i soggetti responsabili del controllo tali da garantire oltre alla costante mappatura dei rischi e dei processi, un adeguato monitoraggio del corretto funzionamento delle procedure amministrative e contabili.

***

Nel precedente paragrafo 11.2 sono descritti il ruolo, le modalità di nomina, poteri e mezzi del responsabile della funzione di Internal Audit, che ha specifici compiti in materia di controllo interno e di gestione dei rischi.

11.6. COORDINAMENTO TRA I SOGGETTI COINVOLTI NEL SISTEMA DI CONTROLLO INTERNO E DI GESTIONE DEI RISCHI

Al fine di massimizzare l’efficienza del sistema di controllo interno e di gestione dei rischi e di ridurre le duplicazioni di attività è previsto che:

  • il Consiglio svolga il proprio ruolo di indirizzo e di valutazione dell’adeguatezza del sistema avvalendosi delle informazioni che vengono fornite direttamente dall’Amministratore incaricato del sistema di controllo interno e di gestione dei rischi, dal Comitato Controllo e Rischi, dal Collegio Sindacale, in veste di comitato per il controllo interno e la revisione contabile, e dal Dirigente preposto alla redazione dei documenti contabili societari;
  • il Responsabile della funzione di Internal Audit, e l’Organismo di Vigilanza ex D. Lgs. 231/01 riferiscano circa la propria attività al Comitato Controllo e Rischi, in modo che quest’ultimo possa informare il Consiglio ai sensi dell’alinea che precede;
  • il Responsabile della funzione di Internal Audit, il Responsabile della funzione Compliance e il Collegio Sindacale partecipino alle riunioni del Comitato Controllo e Rischi;
  • il Responsabile della funzione di Internal Audit trasmetta le proprie relazioni, sia periodiche che su temi richiesti dall’Amministratore incaricato del sistema di controllo interno e di gestione dei rischi, oltre che a quest’ultimo, ai Presidenti del Collegio Sindacale, del Comitato Controllo e Rischi e del Consiglio di Amministrazione;
  • il Responsabile della funzione Compliance riferisca circa la propria attività, con riferimento al D.Lgs 231/01, all’Organismo di Vigilanza;
  • su base semestrale, il Responsabile della funzione Compliance relazioni l’Amministratore incaricato del sistema di controllo interno e di gestione dei rischi, il Comitato Controllo e Rischi e il Collegio Sindacale sulla propria attività e sullo stato di avanzamento del Compliance Plan;
  • ogni qual volta lo ritenga opportuno, il Responsabile della funzione Compliance informi l’Amministratore incaricato del sistema di controllo interno e di gestione dei rischi e il Comitato Controllo e Rischi in merito a circostanze e fatti significativi attinenti la propria attività;
  • il Responsabile della funzione Compliance trasmetta le proprie relazioni sugli interventi di controllo all’Amministratore incaricato del sistema di controllo interno e di gestione dei rischi, al Vertice Aziendale e agli Organismi di Controllo. Nel caso in cui emergano criticità e disfunzioni o si ravvisi la necessità di approfondire l’analisi, la Funzione Compliance informa la Funzione Internal Audit, al fine di valutare eventuali verifiche specifiche.