Il sistema di controllo interno sull'informativa finanziaria

Il Sistema di controllo interno sull'informativa finanziaria ha l'obiettivo di fornire la ragionevole certezza sull'attendibilit๠dell'informativa finanziaria medesima e sulla capacità del processo di redazione del bilancio di produrre l'informativa finanziaria in accordo con i principi contabili internazionali di  generale accettazione.

La Management System Guideline (MSG) "Sistema di controllo Eni sull'Informativa Societaria" approvata dal Consiglio di Amministrazione in data 15 dicembre 2010 e che recepisce integralmente il contenuto della Linea Guida di riferimento  emessa nel 2007, definisce le norme e le metodologie per la progettazione, l'istituzione e il mantenimento nel tempo del Sistema di controllo interno sull'informativa finanziaria Eni a rilevanza esterna nonché per la  valutazione della sua efficacia. I contenuti della MSG sono stati definiti coerentemente alle previsioni del predetto art. 154-bis del Testo Unico della Finanza nonché delle prescrizioni della legge statunitense Sarbanes-Oxley Act of 2002 (SOA), cui Eni è sottoposta in qualità di emittente quotato al New York Stock Exchange (NYSE) ed articolati sulla base del modello adottato nel COSO Report ("Internal Control - Integrated Framework" pubblicato dal Committee of Sponsoring Organizations of the Treadway Commission"). La MSG è applicabile a Eni SpA e alle imprese da essa controllate direttamente e indirettamente a norma dei principi contabili internazionali in considerazione della loro significatività ai fini della predisposizione dell'informativa finanziaria. Tutte le imprese controllate, indipendentemente dalla loro rilevanza ai fini del Sistema di controllo sull'informativa finanziaria Eni, adottano la MSG stessa quale riferimento per la progettazione e l'istituzione del proprio Sistema di controllo sull'informativa finanziaria, in modo da renderlo adeguato rispetto alle loro dimensioni e alla complessità delle attività svolte.

La progettazione, l'istituzione e il mantenimento del Sistema di controllo sull'informativa finanziaria sono garantiti attraverso:
- il risk assessment,
- l'individuazione dei controlli,
- la valutazione dei controlli,
- i flussi informativi (reporting).

Il processo di risk assessment condotto secondo un approccio "top-down" è mirato ad individuare le entità organizzative, i processi e le specifiche attività in grado di generare rischi di errore, non intenzionale, o di frode che potrebbero avere effetti rilevanti sul bilancio. In particolare, l'individuazione delle entità organizzative che rientrano nell'ambito del Sistema di controllo sull'informativa finanziaria è effettuata sia sulla base della contribuzione delle diverse entità a determinati valori del Bilancio consolidato (totale attività, totale indebitamento finanziario, ricavi netti, risultato prima delle imposte) sia in relazione a considerazioni circa l'esistenza di processi che presentano rischi specifici il cui verificarsi potrebbe compromettere l'affidabilità e l'accuratezza dell'informativa finanziaria (quali i rischi di frode)².

Nell'ambito delle imprese rilevanti per il Sistema di controllo sull'informativa finanziaria vengono successivamente identificati i processi significativi in base ad un'analisi di fattori quantitativi (processi che concorrono alla formazione di voci di bilancio per importi superiori ad una determinata percentuale dell'utile ante imposte) e fattori qualitativi (ad esempio: complessità del trattamento contabile del conto; processi di valutazione e stima; novità o cambiamenti significativi nelle condizioni di business). A fronte dei processi e delle attività rilevanti vengono identificati i rischi ossia gli eventi potenziali il cui verificarsi può compromettere il raggiungimento degli obiettivi di controllo inerenti l'informativa finanziaria (ad esempio le asserzioni di bilancio). I rischi così identificati sono valutati in termini di potenziale impatto e di probabilità di accadimento, sulla base di parametri quantitativi e qualitativi e assumendo l'assenza di controlli (valutazione a livello inerente). In particolare, con riferimento ai rischi di frode³ in Eni è condotto un risk assessment dedicato sulla base di una specifica metodologia relativa ai "Programmi e controlli antifrode" richiamata dalla predetta MSG. A fronte di società, processi e relativi rischi considerati rilevanti è stato definito un sistema di controlli seguendo due principi fondamentali ovvero la diffusione dei controlli a tutti i livelli della struttura organizzativa, coerentemente con le responsabilità operative affidate e la sostenibilità dei controlli nel tempo, in modo tale che il loro svolgimento risulti integrato e compatibile con le esigenze operative.

La struttura del Sistema di controllo sull'informativa finanziaria prevede controlli a livello di entità che operano in maniera trasversale rispetto all'entità di riferimento (Gruppo/Divisione/singola società) e controlli a livello di processo. I controlli a livello di entità sono organizzati in una (checklist) definita, sulla base del modello adottato nel COSO Report, secondo cinque componenti (ambiente di controllo, risk assessment, attività di controllo, sistemi informativi e flussi di comunicazione, attività di monitoraggio).

In particolare assumono rilevanza le attività di controllo relative alla definizione delle tempistiche per la redazione e diffusione dei risultati economico-finanziari ("circolare semestrale e di bilancio" e relativi calendari); l'esistenza di strutture organizzative e di un corpo normativo adeguati per il raggiungimento degli obiettivi in materia di informativa finanziaria (tali controlli prevedono ad esempio attività di revisione ed aggiornamento da parte di funzioni aziendali specializzate delle norme di Gruppo in materia di bilancio e del piano di contabilità di Gruppo); le attività di formazione in materia di principi contabili e Sistema di controllo interno sull'informativa finanziaria; ed, infine le attività relative al sistema informativo per la gestione del processo di consolidamento (Mastro).

I controlli a livello di processo si suddividono in: controlli specifici intesi come l'insieme delle attività, manuali o automatizzate, volte a prevenire, individuare e correggere errori o irregolarità che si verificano nel corso dello svolgimento delle attività operative; controlli pervasivi intesi come elementi strutturali del Sistema di controllo sull'informativa finanziaria volti a definire un contesto generale che promuova la corretta esecuzione e controllo delle attività operative (quali ad esempio la segregazione dei compiti incompatibili e i "General Computer Controls" che comprendono tutti i controlli a presidio del corretto funzionamento dei sistemi informatici). Le procedure aziendali, in particolare, individuano tra i controlli specifici i cosiddetti "controlli chiave" la cui assenza o la cui mancata operatività comporta il rischio di un errore/frode rilevante sul bilancio che non ha possibilità di essere intercettato da altri controlli. I controlli sia a livello di entità sia di processo sono oggetto di valutazione (monitoraggio) per verificarne nel tempo la bontà del disegno e l'effettiva operatività; a tal fine, sono state previste attività di monitoraggio di linea (ongoing monitoring activities), affidate al management responsabile dei processi/attività rilevanti, e attività di monitoraggio indipendente (separate evaluations), affidate all'Internal Audit, che opera secondo un piano prestabilito comunicato dal CFO/DP volto a definire l'ambito e gli obiettivi del proprio intervento attraverso procedure di audit concordate. Le attività di monitoraggio consentono l'individuazione di eventuali carenze del Sistema di controllo sull'informativa finanziaria che sono oggetto di valutazione in termini di probabilità e impatto sull'informativa finanziaria di Eni e in base alla loro rilevanza sono qualificate come "carenze", "significativi punti di debolezza" o "carenze rilevanti".

Gli esiti delle attività di monitoraggio sono oggetto di un flusso informativo periodico (reporting) sullo stato del Sistema di controllo sull'informativa finanziaria che viene garantito dall'utilizzo di strumenti informatici volti ad assicurare la tracciabilità delle informazioni circa l'adeguatezza del disegno e l'operatività dei controlli. Sulla base di tale reporting, il CFO/DP redige una relazione sull'adeguatezza ed effettiva applicazione del Sistema di controllo sull'informativa finanziaria che, condivisa con il CEO, è comunicata al Consiglio di Amministrazione, previo esame del Comitato per il controllo interno, in occasione dell'approvazione del progetto di Bilancio annuale e della Relazione finanziaria semestrale, al fine di consentire lo svolgimento delle richiamate funzioni di vigilanza, nonché le valutazioni di propria competenza sul Sistema di controllo interno sull'informativa finanziaria. La citata Relazione è inoltre comunicata al Collegio Sindacale, nella sua veste di Audit Commitee ai sensi della normativa statunitense. L'attività del CFO/ DP è supportata all'interno di Eni da diversi soggetti i cui compiti e responsabilità sono definiti dalla MSG precedentemente richiamata. In particolare, le attività di controllo coinvolgono tutti i livelli della struttura organizzativa di Eni quali i responsabili operativi di business e i responsabili di funzione fino ai responsabili amministrativi e CEO. In tale contesto organizzativo assume particolare rilievo ai fini del Sistema del controllo interno il soggetto (cd. risk owner) che esegue il monitoraggio di linea valutando il disegno e l'operatività dei controlli specifici e pervasivi e alimentando il flusso informativo di reporting sull'attività di monitoraggio e sulle eventuali carenze riscontrate ai fini di una tempestiva identificazione delle opportune azioni correttive.

¹Attendibilità (dell'informativa): l'informativa che ha le caratteristiche di correttezza e conformità ai principi contabili generalmente accettati e ha i requisiti chiesti dalle leggi e dai regolamenti applicati.

²Tra le entità organizzative considerate in ambito al Sistema di controllo interno sono comunque comprese le società costituite e regolate secondo leggi di Stati non appartenenti all'Unione Europea, cui si applicano le prescrizioni regolamentari dell'art. 36 del Regolamento Mercati Consob.

³Frode: nell'ambito del Sistema di controllo, qualunque atto od omissione intenzionale che si risolve in una dichiarazione ingannevole nell'informativa.