1 L’insieme delle regole, delle procedure, delle strutture organizzative volte a consentire - attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi - una conduzione dell’impresa sana, corretta e coerente con gli obiettivi prefissati

2 L’evoluzione normativa negli ultimi anni ha disciplinato diversi aspetti del sistema di controllo e il conseguente proliferare di modelli di controllo e di diversi organi chiamati a vario titolo a fornire una assurance su tali modelli rende necessario razionalizzare le relazioni tra gli stessi in modo da evitare, o almeno minimizzare, il rischio di ripercussioni sull’operatività delle aziende in termini di potenziali duplicazioni di richieste provenienti da questi stessi organi

3 ambitoorganismo sistema di controllo interno progettazionevalutazione governo Consiglio Amministrazione ✔✔ Collegio Sindacale ✔ Organismo Vigilanza 231 ✔✔ controllo 3° livello Internal Auditingconsulenzaassurance controllo 2° livello Dirigente Preposto ✔✔ Risk Manager ✔✔ Compliance ✔✔ Controllo di gestione ✔✔ controllo 1° livello Managemet Operativo ✔✔ Organizzazione ✔✔ Responsabili 626 ✔✔... ✔✔

4 sistema di controllo interno Organismo di vigilanza 231 Collegio Sindacale Società di Revisione CdA comitato controllo e rischi internal audit

5 modello di interrelazione tra organi e funzioni di controllo modalità di interrelazione flussi informativi comunicazione conoscitiva/partecipativa scambi finalizzati a attuazione di direttive La cultura del controllo costituisce l’elemento fondamentale per il successo del modello. L’Internal Audit è capace di promuovere approcci omogenei sui temi inerenti il disegno e il funzionamento del sistema di controllo interno, nonché sulla identificazione e valutazione dei rischi in modo trasversale.

6 disegno del sistema di controllo interno risk based e integrato 1.individuazione degli obiettivi di controllo (di business, di governo,...) rilevanti per ambito (attività, processo, funzione, entità aziendale complessa). 2.individuazione degli eventi (errori, frodi,...), interni ed esterni, che possono pregiudicare (rischi) il perseguimento degli obiettivi aziendali, siano essi strategici, operativi, di reporting, di conformità, identificazione dei controlli a presidio dei rischi e delle relative responsabilità organizzative.

7 valutazione del sistema di controllo interno risk based e integrato 1. adeguatezza del controllo: capacità di garantire il contenimento dei rischi nei limiti prefissati (di tollerabilità e di accettazione) attraverso una corretta allocazione delle risorse di controllo disponibili. 2. efficacia del controllo: dipende dall’architettura del sistema e dal suo funzionamento (parziale o non conforme esecuzione dei controlli). 3. economicità del controllo: dipende dal danno/penalità potenziali derivanti dal verificarsi di rischi non gestiti e dal costo del controllo.

8 relazioni tra organi di controllo e vigilanza flussi informativi CCR riceve da CS 1.fatti di rilievo almeno semestralmente (es. efficacia processo revisione contabile,...) 2.modifiche piano di audit richieste da CS CCR fornisce a CS 1.fatti di rilievo almeno semestralmente (es. valutazioni effettuate con Dirigente Preposto,...) 2.specifica su richiesta CCR e CS forniscono a OdV 1.fatti di rilievo almeno semestralmente (es. problematiche del sistema di controllo che hanno attinenza con possibili reati 231,...) OdV fornisce a CCR e CS 1.funzionamento modello prevenzione almeno annualmente 2.aggiornamento aree di rischio almeno annualmente 3.fatti rilevanti emersi dal modello almeno trimestralmente

9 relazioni tra organi di controllo e vigilanza comunicazione conoscitivo/partecipativa agli incontri del CCR partecipa un membro del CS in qualità di uditore agli incontri del OdV partecipano 1.un membro del CS in qualità di uditore 2.un amministratore indipendente componente del CCR agli incontri del CS partecipa un membro del OdV in qualità di uditore

10 relazioni tra organi di controllo e vigilanza e internal audit flussi informativi IA presenta almeno annualmente 1.al CCR e al CS il piano di audit per informazione/approvazione 2.al OdV per condivisione il piano di attività/verifica inerente le aree a rischio reati 231 IA riferisce 1.al CCR e al CS sull’attività svolta almeno semestralmente 2.al OdV su:  rapporti di audit eseguiti in ambito 231  sull’attività svolta almeno trimestralmente

11 relazioni tra organi di controllo e vigilanza e internal audit comunicazione conoscitivo/partecipativa agli incontri del CCR del CS e del OdV partecipa su invito o in modo continuativo la funzione di IA attuazione di direttive CCR CS OdV possono chiedere alla funzione di IA di eseguire specifiche attività di verifica