Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Ministero Economia e FinanzeSISTEMI DI AUDIT A CONFRONTO
Modello di audit interno adottato dal Gruppo Ferrovie dello Stato Italiane
14 giugno 2018
2
Il gruppo FS è principalmente attivo nei settori del trasporto e delle infrastrutture attraverso le sue società controllate
Ricavi per segmento
201770% 24% 3% 3%
I numeri chiave del Gruppo Ferrovie dello Stato Italiane
Il Gruppo FS sta portando avanti un processo di cambiamento che mira a trasformarla da un’azienda ferroviaria ad una di mobilità integrata
Il Gruppo FS sta portando avanti un processo di cambiamento che mira a trasformarla da un’azienda ferroviaria ad una di mobilità integrata
3
2
1
4
5
6
Assetto e Control Governance del Gruppo
Assetto dell’IA
Il processo di Audit
Modello Relazionale
Altre attività
Evoluzione del ruolo
3
Agenda
4
Assetto di Governance
Modelli di Governance
Tipologie di Holding
Decisione e controllo degli investimenti
finanziari
Indirizzo e monitoraggio andamenti gestionali e processi trasversali
Diretto coinvolgimento nel
core business
HOLDING OPERATIVAMANAGEMENT HOLDING/
HOLDING MISTA HOLDING STRATEGICA HOLDING FINANZIARIA ASPETTI CARATTERIZZANTI L’ASSETTO
Gestione delle decisioni strategiche
Separazione gestoreinfrastruttura e societàtrasporto ferroviario (D.Lgs.112/2015)
Assetto societarizzato multibusiness con società operativee di supporto al Gruppo, conautonomia gestionale
Società con business correlati
•Definisce le strategie di Gruppo
•Definisce le politiche finanziariedi Gruppo
•Fornisce indirizzi/attivitàspecialistiche comuni a tutti iBusiness
5
Control Governance…SCIGR coerente con l’assetto di Governance
Autonomia societariaIndirizzo e Coordinamento
Piano industriale di Gruppo (obiettivi strategici, economici finanziari e produttivi)Gestione accentrata di alcune risorse strategiche (es. finanza, relazione istituzionali, comunicazione esterna)Innovazione, sviluppo e changemanagement
SCIGR societari:autonomi e coerenti con gli indirizzi della Holdingadeguati a dimensioni, complessità e profilo di rischioin linea con il contesto regolamentare rispondenti alle specificità organizzative e di business
DEFINIZIONE PERIMETRO E GRADO D’INTENSITÀ DELL’INDIRIZZO E COORDINAMENTO RISPETTO
ALL’AUTONOMIA E LA RESPONSABILITÀ GESTIONALE DELLE SOCIETÀ
Assetto calibrato
DdG, Policy, Regole di Corporate Governance, Modelli di Control Governance
Monitoraggio performance per Strategic Business Unit
Modello per processi e Process Owner di Gruppo
Definizione e perimetrazione dei flussi informativi
Aspetti regolatori e normativiSeparazione tra gestore infrastruttura e imprese
trasporto
Strumenti
6
AD
ASSETTO
Holding
DirezioneCentrale Audit
PresidenteAD
Riporto gerarchicoRiporto funzionale
Società Controllate Dirette
RAZIONALI
Coerenza con l’ ASSETTO DI GRUPPO e con il RUOLO della HOLDING
Sviluppo SCIGR coerente con le specificità societarie
Assetto funzionale alle prerogative del Vertice e Organi di controllo/vigilanza societari
Veicolare dall’»interno» la cultura SCIGR
Vicinanza al business
FATTORI ABILITANTI
METODOLOGIE e strumenti operativi comuni
Controlli SPOT sulle società
QUALITY ASSURANCE Review
FAMIGLIA PROFESSIONALE
Indirizzo e Coordinamento
Assetto dell’IA nel Gruppo FS
PRESIDIO NELLE SOCIETA’, per:
Balance tra livello di accentramento e rispetto delle autonomie societarie
…un modello «misto»
Flussi Informativi con le funzioni IA societarie
7
Ambito e struttura della DCA di FS
OBIETTIVI DI CONTROLLO
1
4
2
3
添加标题
Audit su processi di FS SpA
Audit su attività di indirizzo e coordinamento della Holding
Entity Level audit
Audit sui temi connessi al Piano Industriale
Gestione delle segnalazioni / whistleblowingAnticorruzione: ABC SystemSupporto consulenziale (trusted advisor)Supporto all’OdVGestione della Famiglia professionaleMonitoraggio 262*
5Altre attività
Operational
Compliance
IT
Financial*
Fraud
(*) Attività di monitoraggio 262 su richiesta del Dirigente Preposto e con approccio «agreed upon procedures»
AMBITO OPERATIVOSTRUTTURA
8
TODAY2018.06 ATTIVITA’DI�AUDIT
MONITORAGGIO�AZIONI�CORRETTIVE*
FAMIGLIA�PROFESSIONALE
Highlights
• 140 Persone
• Oltre 110 interventi di audit annui
• Circa 130 gg uomo per audit e 80‐90 per i follow‐up sul campo
• Team di norma con 2 risorse
• Audit Report: ca 30 pagine
• Executive summary: 3‐4 pagine, con «rootcause analisys»
• Circa 10 rilievi per audit
• Piano azioni nell’Audit Report
• Questionario di feedback alla struttura auditata
• F‐UP «documentale» (su tutti gli audit) e «sul campo» (per gli audit critici/carenti)
• Circa 12 azioni correttive per audit
• Tempo medio completamento azioni: ca3 mesi (carenze di disegno: ca. 3 mesi e carenze di operatività: ca. 2 mesi)
• Incidenza proroghe: 30% delle azioni e 15% del tempo di chiusura
• Ricorso ad azioni compensative
• Owner azioni di livello apicale
(*) Gestito dalla DCA
• Circa 45% delle risorse con esperienza in IA >10 anni
• 47% donne
• 77% laureati
• 5 workshop tematici annui
• Circa 30 incontri annuali con organi di controllo/ vigilanza e Comitati della Holding
• Circa 60 ore di formazione annue per risorsa DCA
9
PIANO DI AUDIT ESECUZIONE AUDIT
VALUTAZIONE SCIGR
MONITORAGGIO PIANI DI AZIONE
REPORTING VERSO VERTICE E ORGANI DI CONTROLLO E VIGILANZA
11 22 33 44
5
Approccio“Top downrisk based”
Risk coverage criteria*
Verifiche Integrate(Operational, Compliance)
Scala a 5 livelli per il Rating del SCIGR
Sistema informativo a supporto
Monitoraggio azionicorrettive e follow‐up
Rating SCIGR
R1 R2 R3 R4 R5
Metodologia di Gruppo (1/3)Il processo di internal auditing
(*) To be defined in funzione della Combined Assurance
10
Rating Audit
R1R1 R2R2 R3R3 R4R4 R5R5
R1R1 R2R2 R3R3 R4R4 R5R5
“Analisi Generale”
“Analisi di Processo”
Azionicorrettive
Rilievi
RilieviAzioni
correttive
Assessment sulla «governance»del processo, focalizzata su elementistrutturali (ad es. modello organizzativo,framework normative, sistemi informativia supporto, etc).
Focus sui rischi e controllispecifici del processo (ad es.pianificazione, decision making,controllo e monitoraggio, indirizzo ecoordinamento, reporting, etc).
Oggetto di Audit
11
22
Metodologia di Gruppo (2/3)
Rating a 2 livelli
Rating Audit
Ambiti e Rating dell’audit
11
Il rating è periodicamente aggiornatosulla base dello stato diimplementazione delle azionicorrettive, attraverso follow‐up“documentale” e “sul campo”.
Action Plan Monitoring
Metodologia di Gruppo (3/3)
Rating aggiornato al
completamento delle azioni
correttive
Audit Rating ad esito degli
interventi
Oggetto di Audit
Aggiornamento Rating dell’audit
12
Modello relazionale: IA e Vertice e Organi di controllo/vigilanza
Il Vertice delle società controllate comunica a FS Spa la violazione di una norma o di un regolamento da parte dei propri soggetti apicali (Amministratore
Delegato, Presidente, CdA, Collegio Sindacale)
Il Vertice delle società controllate comunica a FS Spa la violazione di una norma o di un regolamento da parte dei propri soggetti apicali (Amministratore
Delegato, Presidente, CdA, Collegio Sindacale)
RAPPORTI DI AUDIT/ FOLLOW‐UP
RELAZIONE SEMESTRALE e REPORTING AZIONI
CORRETTIVE
PIANO DI AUDIT
Vertice e Organi di controllo/vigilanza
Presidente Amm. Delegato
Collegio Sindacale CARG* OdVDCA
(*) Comitato Audit Controllo Rischi e Governance
[audit su processi/ aree di FS SpA]
[audit su processi/ aree di FS SpA]
[audit su processi/ aree di FS SpA]
Il Rapporto di audit/F‐UP è trasmesso dall’AD alle strutture
auditate
Inviato da DCA
13
RE‐ASSURANCEAttività di audit sui processi gestiti dagli Assurance provider
CONSULENZA SCIGRSupporto metodologico agli Assurance provider nella definizione dei Modelli di controllo
Supporto metodologico all’Organizzazione ed ai Process Owner su assetto di governance e modello organizzativo/normativo aziendale
Partecipazione ai comitati esecutivi, Progetti e GdL aziendali
FLUSSI INFORMATIVI
Modello relazionale: IA e Assurance Providers1
Inviato da DCA
Input per DCA
(1) Chief Risk Officer, Dirigente Preposto, Compliance Officer, Dirigente Preposto, Presidio Anti Bribery&Corruption, Organizzazione(2) Ad esempio: Data Protection Officer, Health Safety Environment.
…3 linee di intervento
14
PROCESSO
Adozione di una Procedura
MODELLO REPLICATO NELLE SOCIETÀ CONTROLLATE, SALVO SPECIFICITÀ
Costituzione Comitato Etico/SegnalazioniIl Responsabile IA è componente del Comitato
Il processo risponde agli adempimenti previsti dalla L.179/2017 sul c.d. whistleblowing Coinvolgimento operativo IA
Gestione delle segnalazioni/Whistleblowing
GOVERNANCE
*
* Dati aggiornati al 7 giugno 2018
15
1
32
Presidio Anticorruzione collocato nella Direzione Centrale Audit
Sistema VOLONTARISTICO
HOLDING
Da Compliance«pura» a modello
organizzativo e gestionale
Primo esercizio di CombinedAssurance
Reati 231 Corruzione in senso ampio (mala gestio)
Anticorruzione: ABC system
MODELLO REPLICATO NELLE SOCIETÀ CONTROLLATE, SALVO SPECIFICITÀ
16
Modello 231 e OdV
• Membro interno OdV • Segreteria tecnica OdV
HOLDING
OdV
Audit
Legale/Compliance
DP
HR/ Organizzazione
Team 231
DCA
MOG 231
Audit
OGNI SOCIETÀ DEL GRUPPO NOMINA IL PROPRIO OdV E ADOTTA IL PROPRIO MODELLO 231
TEAM 231• Fornisce supporto tecnico specialistico per l’aggiornamento del Modello 231
AD•Riceve le proposte di aggiornamento del Modello 231 dal Team 231 e le sottopone al CdA
CdA•Riceve dall’AD le proposte di aggiornamento del Modello 231 per approvazione
17
11 COMEX
22 PROGETTO MITO
33 ASSURANCE MEETING
44
55
66
77
88
PROGETTO RISK MANAGEMENT
TEAM 231
PROGETTO ACQUISTI FS SPA
NUOVO CODICE ETICO
WHISTLEBLOWING
99 …
INDIPENDENZA
IA come Trusted Advisor
Giusto balance tra attività di controllo e diconsulenza, attraverso il coinvolgimento inProgetti/GdL aziendali
18
Partnership
Efficacia / Efficienza
MiglioramentoContinuo
…una questione di cultura
Equilibrio tra obiettivi di controllo e di businessRelazione win‐winPromozione del travaso di competenze e risorseImmedesimazione organica con l’azienda e il business
Focus su aspetti più significativi e strutturali SCIGRVerifiche «integrate»Maggiore leva sui «controlli chiave»Metodologie di audit standardizzateCompetence CenterRoot cause analysis
Azioni correttiveCentralità del processoLeva organizzativaKnowledge sharing
SCIGR come opportunità gestionale: modello by design e by defaultPromotori del cambiamento
Il nostro approccio all’auditing
19
A C T UA L VA LU E C R E AT I O N
FORSEEABLE
VALU
E
High
High
Low
Low
• Risk based audits
• Integrated audits
• Whistleblowing
• Monitoraggio azioni correttive
• Approccio ispettivo
• Compliance audit
• Trusted advisor nei progetti aziendali
• Combined Assurance
• Audit strategici
• Talent management
• A.I.: machine learning
• SCIGR “Engineer”
Portfolio Analysis