Il sistema di Controllo Interno
Il sistema di controllo interno è un processo, costituito da regole, procedure e strutture organizzative, finalizzato a perseguire i valori di fairness sostanziale e procedurale, di trasparenza e di accountability, ritenuti fondamenti dell'agire d'impresa di Telecom Italia Media S.p.A., come statuito dal Codice etico e di condotta del Gruppo. Tale processo è finalizzato ad assicurare l'efficienza della gestione, la sua conoscibilità e verificabilità, l'affidabilità dei dati contabili e gestionali, il rispetto delle leggi applicabili e dei regolamenti e la salvaguardia degli asset dell'impresa, prevenendo frodi a danno della Società e dei mercati finanziari. Regole cardine alla base del sistema sono:
- la separazione dei ruoli nello svolgimento delle principali attività inerenti ai singoli processi operativi;
- la tracciabilità e la costante visibilità delle scelte;
- la gestione dei processi decisionali in base a criteri oggettivi.
Il Consiglio di Amministrazione, in quanto responsabile del sistema di controllo interno, ne fissa le linee di indirizzo, verificandone l'adeguatezza, l'efficacia e il corretto funzionamento, così che i principali rischi aziendali (operativi, di compliance, economici, di natura finanziaria) siano correttamente identificati e gestiti.
Il Consiglio di Amministrazione nella riunione del 23 febbraio 2010 ha espresso un giudizio positivo sull'adeguatezza, sull'efficacia e l'effettivo funzionamento del sistema di controllo interno, prendendo atto a tal riguardo delle risultanze evidenziate dal Comitato per il Controllo Interno sulla base delle attività svolte da quest'ultimo nel corso dell'esercizio.
Per le principali caratteristiche dei sistemi di gestione dei rischi e di controllo interno in relazione al processo di informativa finanziaria, si rinvia all'allegato 1.
10.1 Amministratore esecutivo incaricato del sistema di controllo interno
Il Consiglio di Amministrazione ha individuato nel Vice Presidente ed Amministratore Delegato l'Amministratore incaricato di sovrintendere alla funzionalità del sistema di controllo interno; a lui è dunque demandato il compito di definire strumenti e modalità di conformazione del sistema, curandone l'adeguamento alle modificazioni delle condizioni operative e del panorama legislativo e regolamentare.
Il Vice Presidente ed Amministratore Delegato, in collaborazione con il dirigente preposto alla redazione dei documenti contabili societari e con il preposto al controllo interno per gli aspetti di specifica competenza, avvalendosi degli strumenti e nel rispetto delle modalità stabilite come sopra, assicura l'adeguatezza complessiva del sistema e la sua concreta funzionalità, in una prospettiva di tipo risk based, che viene considerato anche nella definizione dell'agenda dei lavori consiliari.
10.2 Preposto al controllo interno
Il Consiglio si avvale, oltre che del Comitato per il controllo interno e per la corporate governance, di un preposto dotato di un adeguato livello di indipendenza e di mezzi idonei allo svolgimento della funzione (come già riferito nelle precedenti Relazioni di governance: la società consortile Telecom Italia Audit & Compliance Services). Al preposto al controllo interno sono attribuite funzioni di supporto degli organi di amministrazione nella verifica dell'adeguatezza e dell'effettivo funzionamento del sistema e conseguentemente di proporre misure correttive, in caso di sue anomalie o disfunzioni.
Il preposto al controllo interno:
- riferisce del suo operato all'Amministratore all'uopo delegato, al Comitato per il controllo interno e per la corporate governance e, per il suo tramite, al Consiglio di Amministrazione, nonché al Collegio Sindacale. In particolare, riferisce circa le modalità con cui viene condotta la gestione dei rischi, nonché sul rispetto dei piani definiti per il loro contenimento ed esprime la sua valutazione sull'idoneità del sistema di controllo interno a conseguire un accettabile profilo di rischio complessivo;
- svolge attività di verifica su richiesta del dirigente preposto alla redazione dei documenti contabili della Società;
- ha un ruolo di garanzia del rispetto dei principi e dei valori espressi nel Codice etico e di condotta, istruendo le segnalazioni da dipendenti e terzi di violazioni e irregolarità (anche contabili) e promuovendo le conseguenti iniziative più opportune, ivi inclusa la proposta di irrogazione di misure sanzionatorie.
Nel corso del 2011 la Società consortile a r.l. TI Audit & Compliance Services ha proseguito l'azione di presidio del sistema di controllo interno del Gruppo Telecom Italia, nel rispetto dei suoi obiettivi di Control Governance, attraverso le distinte componenti organizzative di Audit, Compliance, IT Risk & Security Governance che -nel soddisfare le rispettive mission aziendali- ne hanno assicurato, nel complesso, un presidio esaustivo.
Le risultanze di tale presidio consentono, in particolare, di esprimere una valutazione del sistema di controllo interno volta ad accertare - sotto i profili di adeguatezza, funzionalità e ragionevole certezza - la capacità del sistema stesso di incidere sull'effettivo conseguimento degli obiettivi assegnati alle singole strutture aziendali (profilo dell'efficacia), tenuto conto dell'impiego delle risorse per la loro realizzazione (profilo dell'efficienza), alla luce dei fattori (quali/quantitativi) di rischio presenti e della probabilità degli stessi di influenzare il raggiungimento di detti obiettivi.
La valorizzazione in sede evolutiva del sistema di controllo interno è perseguita da TI Audit & Compliance Services in coerenza con le indicazioni dei Codici di Autodisciplina di Telecom Italia Media e di Borsa Italiana sui seguenti principali aspetti che qualificano e caratterizzano la Corporate Governance delle società quotate: etica d'impresa, quadro normativo di riferimento, quadro procedurale, cultura aziendale, aspetti organizzativi, informazione e comunicazione aziendale, processi aziendali a garanzia dell'efficacia e dell'efficienza operativa.
Ai fini di una valutazione complessiva del sistema di controllo interno, TI Audit & Compliance Services ha considerato, quale riferimento metodologico per i propri interventi, le seguenti componenti del CoSo Report (Modello di controllo elaborato dal Committee of Sponsoring Organisations (CoSO) of the Treadway Commission): (i) Ambiente di controllo e (ii) Informazione e Comunicazione, che riservano un peso significativo, tra l'altro, al presidio delle metodologie di audit e compliance, alla diffusione della cultura del controllo, nonché al consolidamento dei valori etici di impresa; (iii) Valutazione dei rischi e (iv) Attività di controllo, che impongono un processo di individuazione e gestione dei progetti di audit, nonché di presidio della conformità dei processi e dell'operatività aziendale alle vigenti disposizioni di legge ed alle procedure interne di riferimento; (v) Monitoraggio, che richiede la realizzazione di attività di presidio per gli ambiti aziendali a maggior rischio, di competenza audit e compliance, volte a riscontrare l'effettivo superamento delle debolezze segnalate.
Nel 2010 sono stati realizzati articolatiinterventi che hanno consentito la copertura degli ambiti organizzativi del Gruppo in linea con quanto definito in sede di pianificazione, con attività incrementali realizzate per far fronte a situazioni emerse in corso d'anno.
Sono state intraprese azioni correttive, stimate congrue per l'eliminazione delle debolezze, realizzati specifici follow-up, secondo criteri predefiniti e oggettivi, e introdotte attività di monitoraggio sulle singole azioni progressivamente realizzate su una serie di argomenti ritenuti particolarmente delicati.
Pertanto, con riferimento agli specifici contesti operativi analizzati e alle conseguenti azioni correttive attuate e pianificate, il sistema di controllo interno, nel suo complesso, è stato giudicato idoneo a ridurre i profili di rischio ad un livello fisiologico accettabile per consentire la corretta operatività dei processi.
10.3 Modello organizzativo ex d.lgs. 231/2001
Il sistema di controllo interno si completa con il c.d. "Modello Organizzativo 231" che si articola nel Codice etico e di condotta del Gruppo Telecom Italia, dove vengono indicati i principi generali (trasparenza, correttezza, lealtà) cui si ispira la Società nello svolgimento e nella conduzione degli affari; nei "principi generali del controllo interno", strumenti volti a fornire una garanzia relativamente al raggiungimento degli obiettivi di efficienza ed efficacia operativa, affidabilità delle informazioni finanziarie e gestionali, rispetto delle leggi e dei regolamenti, salvaguardia del patrimonio sociale anche contro possibili frodi; nei "principi di comportamento" che consistono in regole specifiche per i rapporti con i rappresentanti della Pubblica Amministrazione, nonché per gli adempimenti e per le attività di natura societaria e negli "schemi di controllo interno", nei quali vengono descritti i processi aziendali a rischio reato, gli eventuali reati perpetrabili in relazione ai medesimi, le attività preventive di controllo finalizzate ad evitare i correlativi rischi. Gli schemi di controllo interno sono stati elaborati nel rispetto dei seguenti principi di fondo in materia di sistemi di controllo: (i) la separazione dei ruoli nello svolgimento delle principali attività inerenti ai processi aziendali; (ii) la tracciabilità delle scelte, per consentire l'individuazione di precisi punti di responsabilità e la motivazione delle scelte stesse; (iii) l'oggettivazione dei processi decisionali, in modo che, in sede di assunzione delle decisioni, si prescinda da valutazioni meramente soggettive, facendosi invece riferimento a criteri precostituiti.
Il Modello Organizzativo è uno strumento dinamico, che incide sull'operatività aziendale e che a sua volta deve essere costantemente verificato e aggiornato alla luce dei riscontri applicativi, come anche dell'evoluzione del quadro normativo di riferimento. Nel corso del 2011 il documento è stato oggetto di aggiornamento e affinamento. In particolare è stato introdotto lo schema volto a prevenire il "rischio 231" conseguente all'inserimento nel novero dei reati-presupposto dell'associazione per delinquere e dell'associazione di tipo mafioso. L'adozione dello schema di controllo interno è stata ritenuta necessaria in quanto le fattispecie criminose riguardanti l'associazione a delinquere hanno una funzione strumentale rispetto ai "reati-fine" previsti dal codice penale e da leggi speciali: da ciò deriva un sensibile ampliamento del rischio-reato rilevante ai fini del d.lgs. n. 231/2001, dal momento che buona parte dei processi aziendali sono potenzialmente idonei a generare fattispecie criminose (reati-fine) commesse in forma associativa. Un apposito gruppo di lavoro (assistito anche da consulenti legali esterni) ha dunque identificato le principali tipologie di "reati-fine" rilevanti per la Società e associabili ai delitti di criminalità organizzata.
Al fine di garantire un grado di conoscenza sempre più diffuso della tematica 231 a livello aziendale è stata realizzata una costante attività formativa con il supporto della Direzione Compliance di Telecom Italia Audit & Compliance Services.
Sul funzionamento e sull'osservanza del Modello Organizzativo 231 vigila un apposito Organismo di Vigilanza, composto da un membro del Collegio Sindacale (Presidente dell'Organismo: un membro del Collegio Sindacale Michela Zeme), da un Amministratore indipendente membro del Comitato per il controllo interno e per la corporate governance (Consigliere Zanone Poma) e dal preposto al controllo interno, in persona del Presidente di Telecom Italia Audit & Compliance Services.
L'Organismo di Vigilanza è stato nominato dal Consiglio di Amministrazione dell'11 aprile 2008 a seguito della scadenza seguita alla cessazione del precedente Consiglio (assemblea del 10 aprile 2008). L'Organismo riferisce al Consiglio di Amministrazione, al Comitato per il controllo interno e per la corporate governance e al Collegio Sindacale in ordine alle attività di verifica compiute e al loro esito.
Il Consiglio di Amministrazione, nella riunione del 3 novembre 2009, acquisito il parere favorevole del Comitato per il controllo interno e la corporate governance e del Collegio Sindacale, ha deciso di integrare la composizione dell'Organismo di Vigilanza con un membro esterno, successivamente individuato, nella persona dell'Avv. Francesca Coppi.
Per fornire supporto operativo agli Organismi di Vigilanza delle Società appartenenti al Gruppo, all'interno di Telecom Italia Audit & Compliance Services è presente una struttura dedicata (Compliance 231) con il compito di gestire le segnalazioni di violazioni del Modello Organizzativo e di effettuare specifici interventi di compliance sulla base delle evidenze ricevute per il tramite dei flussi informativi istituiti all'interno del Gruppo.
10.4 Società di revisione
L'incarico di revisione affidato da Telecom Italia Media S.p.A. a Reconta Ernst & Young dall'Assemblea del 12 aprile 2007 (terzo mandato triennale), sarebbe dovuto scadere con il rilascio della relazione di revisione sul bilancio al 31 dicembre 2010, risultando pertanto disallineato rispetto a quanto previsto per la capogruppo Telecom Italia che ha visto scadere il terzo ed ultimo mandato con l'esercizio 2009.
L'incarico a Reconta Ernst & Young per la revisione del bilancio delle controllate di Telecom Italia Media S.p.A. era invece allineato a quello di Telecom Italia e quindi scadeva anch'esso con la revisione del bilancio 2009, con la conseguenza che in sede di revisione dei bilanci relativi all'esercizio 2010 Reconta Ernst & Young sarebbe venuta a perdere lo status di revisore principale di Telecom Italia Media e del Gruppo.
Poiché la normativa vigente non consentiva la risoluzione consensuale dell'incarico di revisione ma solo la sua revoca per una "giusta causa", da assumere con espressa deliberazione dall'Assemblea degli Azionisti su proposta motivata del Collegio Sindacale, si è ritenuto sussistere nella situazione rappresentata tale elemento e quindi l'Assemblea dell'8 aprile 2010 ha approvato la revoca dell'incarico a suo tempo conferito alla Reconta Ernst & Young S.p.A. per la sua durata residua.
Per quanto concerne il conferimento dell'incarico di revisione l'Assemblea ha quindi approvato il conferimento dell'incarico di revisione contabile a PricewaterhouseCoopers per il periodo 2010 – 2018, sulla base di proposta motivata del Collegio Sindacale.
La selezione della società di revisione candidata al conferimento dell'incarico è avvenuta a seguito di un'analisi comparativa svolta sotto la supervisione del Collegio Sindacale, che all'uopo si è avvalso del supporto delle funzioni aziendali, in raccordo con il Collegio Sindacale della Capogruppo Telecom Italia. Le offerte pervenute dai diversi revisori all'uopo contattati sono state esaminate con particolare riferimento (i) alle competenze ed alle specifiche esperienze di revisione nel settore delle telecomunicazioni; (ii) all'adeguatezza della struttura tecnica rispetto alle esigenze connesse alla dimensione ed alla complessità della Società e del Gruppo ad essa facente capo; (iii) all'indipendenza ed autonomia di giudizio rispetto alla Società e al Gruppo; (iv) alla coerenza dei corrispettivi richiesti in relazione ai tempi ed ai livelli di professionalità considerati.
L'istruttoria preliminare al conferimento (o alle successive modifiche) dell'incarico di revisione dei bilanci di Telecom Italia è coordinata dal dirigente preposto alla redazione dei documenti contabili della Società, sotto la supervisione del Collegio Sindacale, che si avvale del preposto al controllo interno per verificare i profili di indipendenza (anche a fini di monitoraggio in corso di mandato).
A tutela dell'indipendenza del revisore incaricato, le Linee Guida di Gruppo statuiscono il principio per cui il conferimento di ulteriori incarichi (quando consentiti dalla normativa di riferimento) è limitato ai servizi e alle attività di stretta attinenza alla revisione dei bilanci.
10.5 Dirigente preposto alla redazione dei documenti contabili societari
Il Consiglio di Amministrazione, a seguito dell'introduzione in Statuto della carica di "dirigente preposto alla redazione dei documenti contabili societari" (con individuazione dei relativi requisiti di professionalità: esperienza in materia di amministrazione, finanza e controllo), nella riunione del 7 novembre 2007 ha nominato il dirigente preposto alla redazione dei documenti contabili societari di Telecom Italia Media S.p.A..
Tale figura è stata individuata nella persona di Paolo Serra, Responsabile della Funzione Administration and Control della Società. Il Consiglio di Amministrazione in data 7 maggio 2008 ha confermato, ai sensi dell'art. 18.5 dello Statuto Sociale, Paolo Serra Dirigente preposto alla redazione dei documenti contabili societari.
Il Consiglio di Amministrazione ha altresì adottato un apposito Regolamento, che integra il sistema di corporate governance di TI Media sotto il profilo dei controlli interni funzionali al reporting economico-finanziario. La nuova figura viene disciplinata inserendola nel contesto degli assetti di governance di Telecom Italia Media S.p.A.: l'adeguatezza dei poteri e dei mezzi del dirigente (di cui il Consiglio di Amministrazione è responsabile) risulta assicurata in termini di attribuzioni organizzative interne rispetto alla Società e al Gruppo. Nel regolamento (dove sono elencate le sue responsabilità, funzionali e gerarchiche, del Dirigente) vengono altresì elencate le attribuzioni e i mezzi di cui il dirigente preposto è stato dotato per l'espletamento dell'incarico.
Il regolamento del dirigente preposto alla redazione dei documenti contabili societari è reperibile sul sito www.telecomitaliamedia.it canale Governance.
10.6 Sistema di gestione dei rischi e di controllo interno in relazione al processo di informativa finanziaria
Telecom Italia Media è consapevole che l'informativa finanziaria riveste un ruolo centrale nell'istituzione e nel mantenimento di relazioni positive tra l'impresa e la platea di interlocutori e contribuisce insieme alle performance aziendali alla creazione di valore per gli azionisti. Telecom Italia Media è altresì consapevole che gli investitori fanno affidamento sulla piena osservanza da parte del management e dei dipendenti tutti del sistema di regole costituenti il sistema di controllo interno aziendale.
Il sistema di controllo è l'insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell'impresa sana, corretta e coerente con gli obiettivi prefissati. Tale sistema di controllo interno contribuisce a garantire la salvaguardia del patrimonio sociale, l'efficienza e l'efficacia delle operazioni aziendali, l'affidabilità dell'informazione finanziaria, il rispetto di leggi e regolamenti.
In particolare il sistema di controllo interno sul Financial Reporting è finalizzato a garantire l'attendibilità(1), accuratezza(2), affidabilità(3) e tempestività(4) dell'informativa finanziaria. Telecom Italia Media, anche al fine di garantire la Compliance rispetto alla normativa italiana (Legge 262/2005) e statunitense (Sezione 404 del Sarbanes Oxley Act) – poiché fornisce i dati e le informazioni finanziarie alla Capogruppo Telecom Italia quotata al NYSE –, gestisce un modello di rilevazione e monitoraggio dei rischi connessi all'informativa finanziaria strutturato e documentato, basato sul framework COSO.
Il sistema di gestione dei rischi e di controllo interno sul Financial Reporting di Telecom Italia Media è strutturato nelle seguenti fasi:
- identificazione dei rischi(5) sull'informativa finanziaria: nell'ambito delle procedure di Gruppo Telecom Italia Media opera sulla base di criteri di identificazione sia del perimetro delle entità e dei processi "rilevanti" in termini di potenziale impatto sull'informativa finanziaria, sia dei rischi conseguenti all'eventuale mancato raggiungimento degli obiettivi di controllo(6). Tali rischi fanno riferimento sia ai possibili rischi di errore(7) non intenzionale sia di frode(8), in quanto suscettibili di incidere in misura rilevante sull'informativa finanziaria. I rischi conseguenti all'eventuale mancato raggiungimento degli obiettivi di controllo sono definiti coerentemente con il framework COSO e sono previsti sia a livello di società/gruppo(9) (c.d. "entity level") sia a livello di processo(10) (c.d. "process level"); identificazione dei controlli a fronte dei rischi individuati: in tale fase Telecom Italia Media provvede, attraverso l'ausilio di un'applicazione informatica che fa riferimento alla intranet aziendale della Capogruppo(11), ad identificare e documentare i controlli svolti in azienda in grado di mitigare i rischi sull'informativa finanziaria;
- valutazione dei controlli a fronte dei rischi individuati: periodicamente in corso d'anno, secondo un calendario definito in coerenza con le attestazioni richieste dalla normativa italiana (Legge 262/05) e come precisato in precedenza da quella statunitense (Sezione 404 del Sarbanes Oxley Act), i controlli precedentemente identificati sono valutati, sia in termini di "disegno"(12) sia in termini di "operatività"(13). La valutazione dei controlli è responsabilità primaria del management competente, a cui si affianca la valutazione indipendente della Direzione Compliance.
Le evidenze del processo valutativo sopra descritto (ed in particolare le eventuali carenze di controllo valutate significative in termini di potenziale impatto di errore/frode sul Financial Reporting) sono portate periodicamente all'attenzione del Comitato per il controllo interno e per la corporate governance e del Collegio Sindacale. La presenza di eventuali carenze attiva un processo di definizione, tempificazione e responsabilizzazione di piani di rimedio specifici.
1 - Attendibilità (dell'informativa): l'informativa che ha le caratteristiche di correttezza e conformità ai principi contabili generalmente accettati e ha i requisiti chiesti dalle leggi e dai regolamenti applicati.
2 - Accuratezza (dell'informativa): l'informativa che ha le caratteristiche di neutralità e precisione. L'informazione è considerata neutrale se è priva di distorsioni preconcette tese a influenzare il processo decisionale dei suoi utilizzatori al fine di ottenere un predeterminato risultato.
3 - Affidabilità (dell'informativa): l'informativa che ha le caratteristiche di chiarezza e di completezza tali da indurre decisioni di investimento consapevoli da parte degli investitori. L'informativa è considerata chiara se facilita la comprensione di aspetti complessi della realtà aziendale, senza tuttavia divenire eccessiva e superflua.
4 - Tempestività (dell'informativa): l'informativa che ha rispetta le scadenze previste per la sua emissione.
5 - Rischio: evento potenziale il cui verificarsi può compromettere il raggiungimento degli obiettivi connessi al Sistema, vale a dire quelli di accuratezza, affidabilità, attendibilità e tempestività dell'informativa finanziaria.
6 - Obiettivi di controllo: l'insieme degli obiettivi che il sistema di controllo interno sull'informativa finanziaria intende conseguire al fine di assicurare una rappresentazione veritiera e corretta del Financial Reporting . Tali obiettivi sono costituiti dalle "asserzioni di bilancio" (esistenza e accadimento, completezza, diritti e obbligazioni, valutazione e registrazione, presentazione e informativa) e da "altri obiettivi di controllo" quali ad esempio "rispetto dei limiti autorizzativi, segregazione dei compiti incompatibili, controlli sulla sicurezza fisica e sull'esistenza dei beni, documentazione e tracciabilità delle operazioni, etc.).
7 - Errore: nell'ambito del Sistema, qualunque atto od omissione non intenzionale che si risolve in una dichiarazione ingannevole nell'informativa.
8 - Frode: nell'ambito del Sistema, qualunque atto od omissione intenzionale che si risolve in una dichiarazione ingannevole nell'informativa.
9 - Analisi a livello di società/gruppo, c.d. "entity level": in tale contesto l'analisi (identificazione dei rischi, valutazione dei rischi, individuazione dei controlli, etc.) è effettuata a livello di società/gruppo, ed è articolata secondo le componenti del modello COSO. Costituiscono elementi da considerare per l'analisi ad esempio, la competenza del personale, il sistema di corporate governance, il sistema normativo aziendale, la comunicazione delle responsabilità relative al sistema di controllo interno, le modalità di conduzione del risk assessment.
10 - Analisi a livello di processo, c.d. "process level": in tale contesto l'analisi (identificazione dei rischi, valutazione dei rischi, individuazione dei controlli, etc.) è effettuata a livello di singolo processo, individuando i rischi specifici di processo e i relativi controlli specifici e di monitoraggio.
11 - C.d. SOX Accelerator: database strutturato ad albero secondo il modello COSO (articolato, per ciascuna Business Unit/società inserita nel perimetro, in processi, obiettivi di controllo, singoli controlli) che, per gli utenti profilati, prevede la gestione tramite workflow dei documenti previsti.
12 - Valutazione del "disegno": consiste nell'analisi dell'adeguatezza del disegno del controllo, ovvero che il controllo consenta di mitigare ad un livello accettabile il possibile rischio di mancato raggiungimento dell'obiettivo di controllo per il quale è stato disegnato.
13 - Valutazione dell' "operatività": è costituita dall'insieme delle attività volte a verificare che i controlli, disegnati al fine di ridurre ad un livello accettabile i rischi identificati, siano operativi nel periodo considerato, ovvero svolti effettivamente in conformità a quanto previsto dal "disegno".