Ministero Economia e FinanzeSISTEMI DI AUDIT A CONFRONTO

Modello di audit interno adottato dal Gruppo Ferrovie dello Stato Italiane

14 giugno 2018

2

Il gruppo FS è principalmente attivo nei settori del trasporto e delle infrastrutture attraverso le sue società controllate

Ricavi per segmento

201770% 24% 3% 3%

I numeri chiave del Gruppo Ferrovie dello Stato Italiane

Il Gruppo FS sta portando avanti un processo di cambiamento che mira a trasformarla da un’azienda ferroviaria ad una di mobilità integrata

Il Gruppo FS sta portando avanti un processo di cambiamento che mira a trasformarla da un’azienda ferroviaria ad una di mobilità integrata

3

2

1

4

5

6

Assetto e Control Governance del Gruppo

Assetto dell’IA

Il processo di Audit

Modello Relazionale

Altre attività

Evoluzione del ruolo

3

Agenda

4

Assetto di Governance

Modelli di Governance

Tipologie di Holding

Decisione e controllo degli investimenti 

finanziari 

Indirizzo e monitoraggio andamenti gestionali e processi trasversali

Diretto coinvolgimento nel 

core business

HOLDING OPERATIVAMANAGEMENT HOLDING/

HOLDING MISTA HOLDING STRATEGICA HOLDING FINANZIARIA ASPETTI CARATTERIZZANTI L’ASSETTO

Gestione delle decisioni strategiche

Separazione gestoreinfrastruttura e societàtrasporto ferroviario (D.Lgs.112/2015)

Assetto societarizzato multibusiness con società operativee di supporto al Gruppo, conautonomia gestionale

Società con business correlati

•Definisce le strategie di Gruppo

•Definisce le politiche finanziariedi Gruppo

•Fornisce indirizzi/attivitàspecialistiche comuni a tutti iBusiness

5

Control Governance…SCIGR coerente con l’assetto di Governance

Autonomia societariaIndirizzo e Coordinamento

Piano industriale di Gruppo (obiettivi strategici, economici finanziari e produttivi)Gestione accentrata di alcune risorse strategiche  (es. finanza, relazione istituzionali, comunicazione esterna)Innovazione, sviluppo e changemanagement

SCIGR societari:autonomi e coerenti con gli indirizzi della Holdingadeguati a dimensioni, complessità e profilo di rischioin linea con il contesto regolamentare rispondenti alle specificità organizzative e di business

DEFINIZIONE PERIMETRO E GRADO D’INTENSITÀ DELL’INDIRIZZO E COORDINAMENTO RISPETTO 

ALL’AUTONOMIA E LA RESPONSABILITÀ  GESTIONALE DELLE SOCIETÀ 

Assetto calibrato

DdG, Policy, Regole di Corporate Governance, Modelli di Control Governance

Monitoraggio performance per Strategic Business Unit

Modello per processi e Process Owner di Gruppo

Definizione e perimetrazione dei flussi informativi

Aspetti regolatori e normativiSeparazione tra gestore infrastruttura e imprese 

trasporto

Strumenti

6

AD

ASSETTO 

Holding

DirezioneCentrale Audit

PresidenteAD

Riporto gerarchicoRiporto funzionale

Società Controllate  Dirette 

RAZIONALI

Coerenza con l’ ASSETTO DI GRUPPO e con il RUOLO della HOLDING

Sviluppo SCIGR coerente con le specificità societarie

Assetto funzionale alle prerogative del Vertice e Organi di controllo/vigilanza societari

Veicolare dall’»interno» la cultura SCIGR

Vicinanza al business

FATTORI ABILITANTI

METODOLOGIE e strumenti operativi comuni

Controlli SPOT sulle società

QUALITY ASSURANCE Review

FAMIGLIA PROFESSIONALE

Indirizzo e Coordinamento

Assetto dell’IA nel Gruppo FS

PRESIDIO NELLE SOCIETA’, per:

Balance tra livello di accentramento e rispetto delle autonomie societarie

…un modello «misto»

Flussi Informativi con le funzioni IA societarie

7

Ambito e struttura della DCA di FS

OBIETTIVI DI CONTROLLO

1

4

2

3

添加标题

Audit su processi di FS SpA

Audit su attività di indirizzo e coordinamento della Holding

Entity Level audit 

Audit sui temi connessi al Piano Industriale

Gestione delle segnalazioni / whistleblowingAnticorruzione: ABC SystemSupporto consulenziale (trusted advisor)Supporto all’OdVGestione della Famiglia professionaleMonitoraggio 262*

5Altre attività

Operational

Compliance

IT

Financial*

Fraud

(*) Attività di monitoraggio 262 su richiesta del Dirigente Preposto e con approccio «agreed upon procedures»

AMBITO OPERATIVOSTRUTTURA

8

TODAY2018.06 ATTIVITA’DI�AUDIT

MONITORAGGIO�AZIONI�CORRETTIVE*

FAMIGLIA�PROFESSIONALE

Highlights

• 140 Persone

• Oltre 110 interventi di audit annui

• Circa 130 gg uomo per audit e 80‐90 per i follow‐up sul campo

• Team di norma con 2 risorse

• Audit Report: ca 30 pagine

• Executive summary: 3‐4 pagine, con «rootcause analisys»

• Circa 10 rilievi per audit

• Piano azioni nell’Audit Report

• Questionario di feedback alla struttura auditata

• F‐UP «documentale» (su tutti gli audit) e «sul campo» (per gli audit critici/carenti)

• Circa 12 azioni correttive per audit

• Tempo medio completamento azioni: ca3 mesi (carenze di disegno: ca. 3 mesi e carenze di operatività: ca. 2 mesi)

• Incidenza proroghe: 30% delle azioni e 15% del tempo di chiusura

• Ricorso ad azioni compensative

• Owner azioni di livello apicale

(*) Gestito dalla DCA

• Circa 45% delle risorse con esperienza in IA >10 anni

• 47% donne

• 77% laureati

• 5 workshop tematici annui

• Circa 30 incontri annuali con organi di controllo/ vigilanza e Comitati della Holding

• Circa 60 ore di formazione annue per risorsa DCA

9

PIANO DI AUDIT  ESECUZIONE AUDIT

VALUTAZIONE SCIGR

MONITORAGGIO PIANI DI AZIONE 

REPORTING VERSO VERTICE E ORGANI DI CONTROLLO E VIGILANZA 

11 22 33 44

5

Approccio“Top downrisk based”

Risk coverage criteria*

Verifiche Integrate(Operational, Compliance)

Scala a 5 livelli per il Rating del SCIGR

Sistema informativo a supporto

Monitoraggio azionicorrettive e follow‐up 

Rating SCIGR

R1 R2 R3 R4 R5

Metodologia di Gruppo (1/3)Il processo di internal auditing

(*) To be defined in funzione della Combined Assurance

10

Rating Audit

R1R1 R2R2 R3R3 R4R4 R5R5

R1R1 R2R2 R3R3 R4R4 R5R5

“Analisi Generale”

“Analisi di Processo”

Azionicorrettive

Rilievi

RilieviAzioni

correttive

Assessment sulla «governance»del processo, focalizzata su elementistrutturali (ad es. modello organizzativo,framework normative, sistemi informativia supporto, etc).

Focus sui rischi e controllispecifici del processo (ad es.pianificazione, decision making,controllo e monitoraggio, indirizzo ecoordinamento, reporting, etc).

Oggetto di Audit

11

22

Metodologia di Gruppo (2/3) 

Rating a 2 livelli

Rating Audit

Ambiti e Rating dell’audit

11

Il rating è periodicamente aggiornatosulla base dello stato diimplementazione delle azionicorrettive, attraverso follow‐up“documentale” e “sul campo”.

Action Plan Monitoring

Metodologia di Gruppo (3/3) 

Rating aggiornato al 

completamento delle azioni 

correttive

Audit Rating ad esito degli 

interventi

Oggetto di Audit

Aggiornamento Rating dell’audit

12

Modello relazionale: IA e Vertice e Organi di controllo/vigilanza

Il Vertice delle società controllate comunica a FS Spa la violazione di una norma o di un regolamento da parte dei propri soggetti apicali (Amministratore 

Delegato, Presidente, CdA, Collegio Sindacale)

Il Vertice delle società controllate comunica a FS Spa la violazione di una norma o di un regolamento da parte dei propri soggetti apicali (Amministratore 

Delegato, Presidente, CdA, Collegio Sindacale)

RAPPORTI DI AUDIT/ FOLLOW‐UP

RELAZIONE SEMESTRALE e REPORTING AZIONI 

CORRETTIVE

PIANO DI AUDIT

Vertice e Organi di controllo/vigilanza

Presidente Amm. Delegato

Collegio Sindacale CARG* OdVDCA

(*)  Comitato Audit Controllo Rischi e Governance

[audit su processi/ aree di FS SpA]

[audit su processi/ aree di FS SpA]

[audit su processi/ aree di FS SpA]

Il Rapporto di audit/F‐UP è trasmesso dall’AD alle strutture 

auditate

Inviato da DCA

13

RE‐ASSURANCEAttività di audit sui processi gestiti dagli Assurance provider

CONSULENZA SCIGRSupporto metodologico agli Assurance provider nella definizione dei Modelli di controllo

Supporto metodologico all’Organizzazione ed ai Process Owner su assetto di governance e modello organizzativo/normativo aziendale

Partecipazione ai comitati esecutivi, Progetti e GdL aziendali

FLUSSI INFORMATIVI

Modello relazionale: IA e Assurance Providers1

Inviato da DCA

Input per DCA

(1) Chief Risk Officer, Dirigente Preposto, Compliance Officer, Dirigente Preposto, Presidio Anti Bribery&Corruption, Organizzazione(2) Ad esempio: Data Protection Officer, Health Safety Environment.

…3 linee di intervento

14

PROCESSO

Adozione di una Procedura

MODELLO REPLICATO NELLE SOCIETÀ CONTROLLATE, SALVO SPECIFICITÀ

Costituzione Comitato Etico/SegnalazioniIl Responsabile IA è componente del Comitato 

Il processo risponde agli adempimenti previsti dalla L.179/2017 sul c.d. whistleblowing Coinvolgimento operativo IA

Gestione delle segnalazioni/Whistleblowing

GOVERNANCE

*

* Dati aggiornati al 7 giugno 2018 

15

1

32

Presidio Anticorruzione collocato nella Direzione Centrale Audit

Sistema VOLONTARISTICO 

HOLDING

Da Compliance«pura» a modello 

organizzativo e gestionale

Primo esercizio di CombinedAssurance

Reati 231 Corruzione in senso ampio (mala gestio)

Anticorruzione: ABC system

MODELLO REPLICATO NELLE SOCIETÀ CONTROLLATE, SALVO SPECIFICITÀ

16

Modello 231 e OdV

• Membro interno OdV • Segreteria tecnica OdV

HOLDING

OdV

Audit

Legale/Compliance

DP

HR/ Organizzazione

Team 231

DCA

MOG 231

Audit

OGNI SOCIETÀ DEL GRUPPO NOMINA IL PROPRIO OdV E ADOTTA IL PROPRIO MODELLO 231

TEAM 231• Fornisce supporto tecnico specialistico per l’aggiornamento del Modello 231

AD•Riceve le proposte di aggiornamento del Modello 231 dal Team 231 e le sottopone al CdA 

CdA•Riceve dall’AD le proposte di aggiornamento del Modello 231 per approvazione 

17

11 COMEX

22 PROGETTO MITO

33 ASSURANCE MEETING

44

55

66

77

88

PROGETTO RISK MANAGEMENT

TEAM 231

PROGETTO ACQUISTI FS SPA

NUOVO CODICE ETICO

WHISTLEBLOWING

99 …

INDIPENDENZA

IA come Trusted Advisor

Giusto balance tra attività di controllo e diconsulenza, attraverso il coinvolgimento inProgetti/GdL aziendali

18

Partnership

Efficacia / Efficienza

MiglioramentoContinuo

…una questione di cultura

Equilibrio tra obiettivi di controllo e di businessRelazione win‐winPromozione del travaso di competenze e risorseImmedesimazione organica con l’azienda e il business

Focus su aspetti più significativi e strutturali SCIGRVerifiche «integrate»Maggiore leva sui «controlli chiave»Metodologie di audit standardizzateCompetence CenterRoot cause analysis

Azioni correttiveCentralità del processoLeva organizzativaKnowledge sharing

SCIGR come opportunità gestionale: modello by design e by defaultPromotori del cambiamento

Il nostro approccio all’auditing

19

A C T UA L   VA LU E   C R E AT I O N

FORSEEABLE

 VALU

E

High

High

Low

Low

• Risk based audits

• Integrated audits

• Whistleblowing

• Monitoraggio azioni correttive

• Approccio ispettivo

• Compliance audit

• Trusted advisor nei progetti aziendali

• Combined Assurance

• Audit strategici

• Talent management

• A.I.: machine learning

• SCIGR “Engineer”

Portfolio Analysis