Le linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi
Il Consiglio di Amministrazione ha definito le Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi (SCIGR), un articolato insieme di regole, procedure e strutture organizzative per individuare e gestire i rischi.
Un adeguato Sistema Controllo e Rischi permette una conduzione dell’impresa sana, corretta e coerente con gli obiettivi prefissati; favorisce l’adozione di decisioni consapevoli nell’interesse di tutti gli stakeholder; contribuisce a garantire la salvaguardia del patrimonio sociale, l’efficienza e l’efficacia dei processi aziendali, l’affidabilità delle informazioni fornite agli organi sociali e al mercato, il rispetto di leggi e regolamenti, dello Statuto e delle procedure interne.
L’approccio ERM
Per la gestione dei rischi, il nostro gruppo si basa sull’approccio ERM (Enterprise Risk Management), sviluppato in linea con le best practice internazionali e ispirato al framework elaborato dal “Committee of Sponsoring Organizations of the Treadway Commission” (CoSO report).
L’obiettivo dell’approccio ERM è di analizzare e valutare consapevolmente gli elementi di rischio che potrebbero compromettere il raggiungimento degli obiettivi strategici, individuando al contempo gli strumenti idonei a prevenire, gestire e mitigare i rischi più rilevanti.
Almeno una volta all’anno, in fase di redazione del budget, eseguiamo una valutazione globale dei rischi, quantificandoli e valutando il loro possibile impatto sia sul raggiungimento dei risultati sia sulla gestione del nostro portafoglio di partecipazioni.
Gli attori del Sistema di Controllo Interno e di Gestione dei Rischi
Il Sistema di Controllo Interno e di Gestione dei Rischi coinvolge vari organi e funzioni aziendali:
- il Consiglio di Amministrazione ha la responsabilità finale del Sistema di Controllo e di Gestione dei Rischi. In particolare, definisce e modifica le linee di indirizzo, in coerenza con gli obiettivi strategici e il profilo di rischio della società; individua la natura e il livello di rischio compatibile con gli obiettivi strategici; valuta annualmente l’adeguatezza, l’efficacia e l’efficienza del Sistema rispetto all’attività d’impresa e il profilo di rischio assunto
- l’amministratore incaricato in materia di Sistema di Controllo Interno e di Gestione dei Rischi assicura la funzionalità e l’adeguatezza del Sistema. Di norma, coincide con l’Amministratore Delegato
- il Comitato Controllo, Rischi e Sostenibilità svolge funzioni consultive, propositive e di monitoraggio sul Sistema
- il Responsabile della funzione di internal audit predispone il piano di audit sottoponendolo al Comitato Controllo, Rischi e Sostenibilità affinché ne proponga l’adozione al Consiglio di Amministrazione; verifica l’operatività e l’idoneità del Sistema di Controllo Interno e di Gestione dei Rischi attraverso il piano di audit; predispone tempestivamente relazioni su eventi di particolare rilevanza
- il Risk Manager svolge una costante attività di analisi e monitoraggio dei principali rischi. In particolare, realizza una mappatura dei processi aziendali; documenta i principali e le misure di gestione dei rischi; agevola metodologicamente la misurazione dei rischi in termini di probabilità e di impatto, valutandone gli effetti; analizza i fattori di mitigazione del rischio, monitora i piani di azione per una migliore gestione dei rischi
- il Collegio Sindacale vigila sull’efficacia del Sistema di Controllo Interno e di Gestione dei Rischi, scambiandosi tempestivamente informazioni con il Comitato Controllo, Rischi e Sostenibilità
- l’Organismo di Vigilanza svolge i compiti previsti dal Modello Organizzativo e scambia informazioni con il Comitato Controllo, Rischi e Sostenibilità, il Collegio sindacale, e relaziona periodicamente al Consiglio di Amministrazione
- il dirigente preposto alla redazione dei documenti contabili societari, che sovraintende al sistema di controllo interno amministrativo-contabile
La gestione del rischio nelle società controllate
Per KOS la prevenzione e la gestione del rischio non rappresentano solo un obbligo normativo, ma anche un indice di qualità, a garanzia dei pazienti e dei collaboratori e nell’interesse dell’azienda.
Dal 2012, KOS si è dotato di un modello di Enterprise Risk Management, che comprende linee guida, audit annuali, formazione aziendale, monitoraggio costante dei processi, protocolli mirati di sicurezza e di risk assessment. Il gruppo ha previsto due funzioni aziendali di responsabilità, dedicate rispettivamente al risk management e alla sicurezza. Il modello ERM di KOS viene periodicamente aggiornato per riflettere la crescita del gruppo e i cambiamenti organizzativi interni.
Sogefi ha implementato, sin dal 2012, un proprio modello di Enterprise Risk Management. Dal gennaio 2019, in linea con le best practice, Sogefi si è dotata di una funzione separata di Group Chief Risk Officer, dedicata alla gestione del rischio e distinta rispetto alla funzione di Internal Audit.
L’identificazione dei rischi è indirizzata dai principali driver strategici ed economico-finanziari di medio-lungo termine, la cui valutazione consente al Consiglio di Amministrazione di comprendere meglio gli scenari che potrebbero compromettere il raggiungimento degli obiettivi, e di valutare quali azioni adottare, e con quale priorità, per prevenire, mitigare o gestire le principali esposizioni.