Autogrill Group Making the traveller’s day better ANALISI DI UN SCI: IL CASO AUTOGRILL S.P.A. Silvio de Girolamo Università degli Studi di Verona -17-12-2009 Chief Audit & CSR Executive Autogrill Group SISTEMA DI CONTROLLO INTERNO E INTERNAL AUDIT IN AUTOGRILL INDICE IL GRUPPO AUTOGRILL IL SISTEMA DI CONTROLLO INTERNO L’INTERNAL AUDIT TRENDS 2 1 Il Gruppo Autogrill Visione, Valori e Missione Visione Valori “Making the travellers day better” “Legalità, Lealtà, Correttezza” Missione “Offrire alle persone in viaggio un servizio di qualità qualità nei settori della ristorazione e retail, retail, con l’l’intento di generare valore per tutti gli stakeholder, stakeholder, operando nel pieno rispetto delle diversità diversità culturali e dell’ dell’ambiente.” ambiente.” 3 Il Gruppo Autogrill Profilo Autogrill è il primo operatore al mondo nei servizi di ristorazione e retail per chi viaggia ed una delle società italiane con maggiore sviluppo internazionale. Autogrill opera principalmente in concessione, il che consente di pianificare il business a lungo termine e di ridurre l’impatto dei cicli economici. Il Gruppo opera principalmente negli aeroporti, lungo le autostrade e in stazioni ferroviarie ma detiene importanti operazioni anche in centri commerciali, fiere, musei e città. Il business intorno agli aeroporti è il maggiore nel Nord America mentre il segmento autostradale rappresenta il business più importante in Europa. Con il suo portfolio di oltre 350 marchi internazionali, nazionali e locali, gestiti direttamente o in concessione, Autogrill opera in due settori: il food & beverage, lo storico business del Gruppo, ed il retail, che sta acquisendo un’importanza strategica crescente a seguito delle acquisizioni di Aldeasa in Spagna, Alpha Group e World Duty Free Europe nel Regno Unito. 4 2 Il Gruppo Autogrill Numeri chiave Presente a livello mondiale in 43 paesi su 5 continenti: • vendite superiori a 5,8 milardi di Euro • 70.404 collaboratori • 5.500 ristoranti e negozi • oltre 1.200 locations 5 Il Gruppo Autogrill La Storia • 1928 Apre il Bar Motta in Galleria Vittorio Emanuele a Milano. • 1995 Autogrill è privatizzata: Edizione Holding, finanziaria della famiglia Benetton, diventa azionista di maggioranza (57,09%). • 1996 Finanziaria Autogrill, che diventerà poi Autogrill, viene quotata alla Borsa Italiana. • 1999 Il Gruppo acquisisce il 100% di HMSHost, già divisione catering del Gruppo Host Marriot. • 2005 L’alleanza con Altadis porta Autogrill all’acquisizione di Aldeasa, leader nel retail aeroportuale in Spagna, presente anche in Sud America, Nord Africa ed in altri Paesi Europei. • 2008 Il Gruppo acquisisce da Altadis S.A. il restante 49,95% di Aldeasa portando al 99,90% la sua partecipazione nel capitale della società .Il Gruppo rileva il 100% di «World Duty Free Europe Limited» da Baa Limited Autogrill, inoltre, rafforza la propria presenza nel mercato in forte espansione del retail aeroportuale, mantenendo lo stesso focus operativo e strategico. Aldeasa e Wdf, insieme ad Alpha Group, diventano il primo operatore mondiale di retail aeroportuale, assicurandosi la più grande piattaforma europea, con margini di ulteriore sviluppo negli altri mercati in crescita. 6 3 Il Gruppo Autogrill I marchi Un portafoglio formato da più di 350 marchi di proprietà e in licenza è uno di punti di forza di Autogrill Principali concept e brand di proprietà Principali concept e brand in licenza 7 SISTEMA DI CONTROLLO INTERNO E INTERNAL AUDIT IN AUTOGRILL INDICE IL GRUPPO AUTOGRILL IL SISTEMA DI CONTROLLO INTERNO L’INTERNAL AUDIT TRENDS 8 4 SISTEMA DI CONTROLLO INTERNO Il sistema di controllo interno è l’insieme delle REGOLE, delle PROCEDURE e delle STRUTTURE ORGANIZZATIVE volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell’impresa sana, corretta e coerente con gli obiettivi prefissati. (8.P.1. Codice Autodisciplina) Fonte: Codice di Autodisciplina Borsa italiana 9 SISTEMA DI CONTROLLO INTERNO Autogrill intende, in ogni contesto dove opera, dare un assetto di controllo adeguato al proprio business*: dalle definizioni e dalle regolamentazioni “più alte” della Corporate Governance, arrivando ad implementare un presidio continuativo della gestione manageriale con moderni sistemi procedurali e di pianificazione e controllo. passando a definire la Struttura di Governo della Società in particolare attraverso il sistema di deleghe e poteri, la segregazione dei ruoli, A. REGOLE B. PROCEDURE C. STRUTTURE 10 5 SISTEMA DI CONTROLLO INTERNO A. REGOLE – CODICE ETICO 1. 2002 viene approvato il Codice Etico di Autogrill Italia 2. 2004 il Codice Etico è adottato dalle consociate europee 3. 2006 HMSHOST approva il suo nuovo Codice Etico – MODELLO ORGANIZZATIVO ex D.Lgs. 231/01 1. 2003 viene approvato il Modello Organizzativo Autogrill Italia 2. 2007 ultimo aggiornamento Modello Organizzativo 3. 2007 Avviato progetto Linee Guida “Modello Organizzativo europeo” 4. Compliance Program HMSHOST 11 SISTEMA DI CONTROLLO INTERNO CODICE ETICO Il Codice Etico definisce i valori di Autogrill e le responsabilità che si assume verso i suoi Stakeholder. OBIETTIVO Generare valore in modo stabile per i consumatori, per i collaboratori, per le organizzazioni che interfacciano con l’impresa (fornitori - mondo finanziario- sindacati- associazioni) e per gli azionisti. MONITORAGGIO Ogni anno vengono organizzate due survey, una per l’Italia e le Società Europee (gestita direttamente dalla direzione Internal Audit & CSR) e una per gli USA (gestita da HMSHost), allo scopo di monitorare il grado di conoscenza e diffusione del codice etico presso tutti i collaboratori di Autogrill. 12 6 SISTEMA DI CONTROLLO INTERNO Il Codice Etico definisce il sistema di controllo interno . CODICE ETICO è l’insieme degli strumenti necessari o utili a indirizzare, gestire e verificare le attività dell’azienda, con l’obiettivo di assicurare l’efficacia e l’ l’efficienza delle operazioni, il rispetto delle leggi e delle procedure aziendali, la salvaguardia dei beni aziendali e la minimizzazione dei rischi incombenti. incombenti “Autogrill intende sviluppare il principio della responsabilità in capo a ciascun Destinatario del controllo, nonché della conformità della propria attività ai principi del Codice e ad ogni norma o procedura aziendale […] si prefigge di diffondere a tutti i livelli aziendali il principio della necessità di un adeguato sistema di controllo interno; interno premessa indispensabile per orientare l’impresa al raggiungimento degli obiettivi aziendali.” aziendali 13 SISTEMA DI CONTROLLO INTERNO MODELLO ORGANIZZATIVO Il Modello Organizzativo è stato d’Amministrazione in data 9 Luglio 2003. approvato dal Consiglio MODELLO ORGANIZZATIVO OBIETTIVO Rispondere alle prescrizioni contenute nel Decreto Legislativo 8 Giugno 2001, n. 231 che introduce la responsabilità degli enti per gli illeciti amministrativi relativi a reati commessi da persone che rappresentano gli stessi e si propone, in particolare, di contrastare i reati di corruzione, concussione e frode ai danni dello Stato. MONITORAGGIO Ogni anno viene organizzata una survey allo scopo di monitorare il grado di conoscenza del Modello Organizzativo presso tutti i collaboratori di Autogrill Italia. Il Modello Organizzativo viene continuamente rivisto e aggiornato per rispondere alle modifiche della normativa: Ultimo aggiornamento Novembre 2009 – Reati informatici 14 7 SISTEMA DI CONTROLLO INTERNO RISK & CONTROL MANAGEMENT SYSTEM AUTOGRILL GROUP POLICY Per tutti i segmenti di business il sistema di “Risk & Control management” deve essere strutturato al fine di garantire una ragionevole assicurazione che gli obiettivi di controllo siano raggiunti e che l’esposizione al rischio sia gestita e mantenuta ad un livello accettabile. Definiscono le linee guida da seguire e la principale reportistica richiesta: – Risk Analysis: individua le possibili criticità – Audit Plan: descrive gli scopi e le risorse necessarie per la conduzione degli audit – Audit Program: definisce le linee guida con cui devone essere condotti gli audit – Audit Memo: contengono le evidenze riscontrare durante gli audit – Audit Report: riassume le criticità riscontrate, le azioni correttive suggerite e la tempistica prevista per la risoluzione dei GAP riscontrati – Audit Summary: presenta un giudizio complessivo sul sistema di controllo interno – Follow Up Report: analizza il successo delle azioni correttive intraprese 15 SISTEMA DI CONTROLLO INTERNO POLICY & PROCEDURE B. PROCEDURE – PROCEDURA OPERAZIONI CON PARTI CORRELATE – PROCEDURA INFORMAZIONI PRIVILEGIATE – CAPITAL EXPENDITURE POLICY AND PROCEDURE – POLICY FINANZIARIA DI GRUPPO – SISTEMA DI REPORTING CIVILISTICO/GESTIONALE – INTERNAL DEALING – PROCEDURA DI NOMINA DELLA SOCIETÁ DI REVISIONE 16 8 SISTEMA DI CONTROLLO INTERNO Autogrill intende, in ogni contesto dove opera, dare un assetto di controllo adeguato al proprio business*: dalle definizioni e dalle regolamentazioni “più alte” A. REGOLE della Corporate Governance, arrivando ad implementare un presidio continuativo della gestione manageriale con moderni sistemi procedurali e di pianificazione e controllo. passando a definire la Struttura di Governo della Società in particolare attraverso il sistema di deleghe e poteri, la segregazione dei ruoli, B. PROCEDURE C. STRUTTURE *Fonte: Codice Etico 17 SISTEMA DI CONTROLLO INTERNO TRE LIVELLI GESTIONE CONTROLLI E RISCHI STRUTTURE Risk Categories Risk Control “2nd Level Responsibility” “3rd Level Responsibilit y” Risk Assurance Business Environment Risks Information Risks Process Risks Independent Functions External Audit Internal Audit Compliance Compliance 262 Operational Operational Controlling Controlling HSE, HSE, Insurance Insurance Support Functions Risk Management IT IT Security Security Risk Assurance: Designed to help an organization accomplish this objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, controls and governance processes and to give assurance on Risk & Control Management System. Risk Control: Designed to support (partially or fully dedicated) risk and opportunity owners in the achievement of objectives by providing approaches, methods, tools, information in order to increase risk awareness and risk management transparency. Risk Ownership “Primary Responsibility” Accounting Accounting && Financial Financial Reporting Reporting Line Management Functions Management Risk Owner: Defines direction and is fully responsible for the achievement of an organizations’ objectives. Identifies, takes, manages and monitors threats and opportunities either with or without help from Support Functions (Risk Control Functions) or from Internal Auditing. 18 9 SISTEMA DI CONTROLLO INTERNO STRUTTURE COLLEGIO SINDACALE ASSEMBLEA COMITATO RISORSE UMANE ORGANISMO DI VIGILANZA COMITATO CONTROLLO INTERNO E CORPORATE GOVERNANCE CONSIGLIO DI AMMINISTRAZIONE EXTERNAL AUDIT Dirigente Preposto INTERNAL AUDIT PREPOSTO C.I. A.D. COMPLIANCE FUNCTION MANAGEMENT CONTROLLING FUNCTION RISK MANAGEMENT GESTIONE ATTIVITA’ OPERATIVA 19 SISTEMA DI CONTROLLO INTERNO Nomina CDA Rapporto periodico COMIT CONTR INT FLUSSI INFORMATIVI Piano d’Audit e Rapporto periodico ORG DI VIGILANZA Attribuzione compiti Rapporto periodico DIR PREPOSTO Richiesta info AD COLL SINDACALE PREPOSTO C.I. Scambio di informazioni Piano d’Audit e Rapporto periodico Scambio di informazioni SOC DI REVISIONE Segnalazione tempestiva di carenze e anomalie CONSOB FUNZIONI AZIENDALI 20 10 SISTEMA DI CONTROLLO INTERNO RUOLI E RESPONSABILITÀ COMIT DI CONTR INT CDA A. DEFINISCE LINEE DI INDIRIZZO SISTEMA DI CONTROLLO INTERNO B. VALUTA L’ADEGUATEZZA, L’EFFICACIA E L’EFFETTIVO FUNZIONAMENTO DEL SISTEMA DI CONTROLLO INTERNO. AD A. IDENTIFICA PRINCIPALI RISCHI AZIENDALI B. PROGETTA, REALIZZA E GESTISCE IL S.C.I. C. VERIFICA ADEGUATEZZA, EFFICACIA, EFFICIENZA DEL S.C.I. Fonte: Codice di Autodisciplina Borsa italiana 21 SISTEMA DI CONTROLLO INTERNO RUOLI E RESPONSABILITÀ PREPOSTO C.I. A. VERIFICA DEL S.C.I.: ADEGUATO, PIENAMENTE OPERATIVO E FUNZIONANTE B. IDENTIFICA MODALITÀ CON CUI È CONDOTTA LA GESTIONE RISCHI C. VALUTA RISPETTO PIANI PER IL LORO CONTENIMENTO D. VALUTA L’IDONEITÀ S.C.I. A CONSEGUIRE UN ACCETTABILE PROFILO DI RISCHIO COMPLESSIVO Fonte: Codice di Autodisciplina Borsa italiana 22 11 SISTEMA DI CONTROLLO INTERNO E INTERNAL AUDIT IN AUTOGRILL INDICE IL GRUPPO AUTOGRILL IL SISTEMA DI CONTROLLO INTERNO L’INTERNAL AUDIT TRENDS 23 CONTROLLO PRIMARIO DI LINEA La responsabilità del buon funzionamento del sistema di controllo interno è riferita a tutti i dipendenti Autogrill, nell’ambito delle funzioni svolte. MANAGEMENT INTERNAL AUDIT • • Gestione del Sistema di Controllo Interno, attraverso il costante Interno aggiornamento del sistema di policy e procedure ed il rispetto delle medesime. Gestione integrata dei rischi operativi inerenti l’ordinaria attività manageriale. INTERNAL AUDITING Verifica della effettività ed efficacia del Sistema di Controllo Interno e della gestione dei rischi operativi (CRSA) del management, attraverso il Piano annuale di Audit e la propedeutica attività di RISK ANALYSIS. ANALYSIS. CONTINUOUS AUDITING 24 12 INTERNAL AUDIT Organization Chart Group Internal Audit & CSR Director Silvio De Girolamo Group Internal Audit & CSR Administrative Assistant Nicoletta Molinari Europe & South America Internal Audit Antonino Staiti EU North, Iberia &South America ad interim: A.Staiti North America & Australasia Internal Audit Dan Koch Group CSR Cristina Clapiz EU Central W. & EU South East ad interim: O. Pisoni USA & Canada R. Kumar European local Team Compliance Audit Oriana Pisoni Australasia ad interim: R. Kumar Corporate Team 25 INTERNAL AUDIT Concetti generali La funzione Internal Auditing, identificata come Preposto al Controllo Interno (gerarchicamente indipendente dai responsabili di aree operative, riporta direttamente all'Amministratore Delegato e si rapporta al Comitato per il Controllo interno e al Collegio Sindacale). Le attività affidate a tale funzione di staff sono le seguenti: svolgere un’attività indipendente e obiettiva di assurance e consulenza, finalizzata al miglioramento dell’efficacia e dell’efficienza dell’organizzazione; assistere l’organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei rischi e di corporate governance. 26 13 INTERNAL AUDIT Risk Analisys La pianificazione delle attività di revisione prevede la definizione di un programma di audit con l’indicazione delle attività da sottoporre a verifica, il periodo ed il tempo richiesto. Per sviluppare in maniera efficace il programma di audit è opportuno effettuare una valutazione del rischio, in modo da dare una base strutturata al processo di scelta delle revisioni da inserire nel piano di audit. La valutazione del rischio è un processo sistematico, attivato al fine di esprimere un giudizio che tenga conto di parametri oggettivi e soggettivi, in merito agli eventi negativi che possono interessare l’organizzazione. 27 INTERNAL AUDIT Audit Plan Il piano d’audit, basato sulla risk analysis, è una descrizione del risultato atteso e della gestione dell’audit che contiene le attività che l’auditor dovrà effettuare, le risorse necessarie, il periodo da coprire e il tempo richiesto per l’effettuazione dell’attività. 28 14 INTERNAL AUDIT Scheduling Lo scheduling è lo strumento che indica a partire da quando e per quanto tempo gli auditor saranno impegnati su ogni progetto di audit. 29 INTERNAL AUDIT Audit Program Il Programma di Audit aiuta l’auditor ad effettuare l’audit in maniera più incisiva, fornendo linee guida concise utili ad effettuare un’adeguata valutazione del sistema di controllo interno. 30 15 INTERNAL AUDIT Audit Memo Descrizione attività Analisi, commento e valutazione di ciascuna attività revisionata oggetto di eventuale rilievo/criticità, con l’evidenza dei rilievi emersi, per attività; Raccomandazioni e azioni Descrizione delle raccomandazioni e suggerimenti di Internal Auditing, con il piano di azioni correttive e relative responsabilità/tempi di attuazione. 31 INTERNAL AUDIT Audit Report Valutazione di Audit: valutazione complessiva sul processo revisionato e sul relativo sistema di controllo interno. I risultati degli Audit effettuati sono portati tempestivamente a conoscenza dell’Amministratore Delegato, dell’Alta Direzione, e trimestralmente ai componenti del Comitato per il Controllo Interno e al Collegio Sindacale che vigila, ai sensi e per gli effetti dell’articolo 149 del Decreto Legislativo 24 Febbraio 1998, n. 58 (TUF), sull’adeguatezza del sistema di controllo interno. Risultati e raccomandazioni: Ø Principali rilievi emersi, per tipologia; Ø Raccomandazioni di Internal Auditing; Ø Piano di azioni correttive e relative responsabilità Ø Tempi di attuazione. 32 16 INTERNAL AUDIT Audit Summary Valutazione di Sintesi: valutazione di sintesi sul processo revisionato e sul relativo sistema di controllo interno. Sintesi delle principali Azioni da implementare: Ø Processo revisionato; Ø Obiettivi dell’Audit; Ø Principali azioni implementare correttive da 33 INTERNAL AUDIT Follow up 7 Il processo di follow up, grazie agli strumenti operativi predisposti, si articola trimestralmente nelle seguenti fasi: Feb 2008 identificazione delle azioni correttive con timing in scadenza nel trimestre di riferimento, mediante il report “Scadenziario Azioni” richiesta ai responsabili di aggiornamento sullo stato di implementazione delle suddette azioni, mediante invio dell’apposito “Follow Up Format”; ' valutazione dello stato di completamento dell’azione sulla base riscontri ottenuti dai Responsabili eventuali successive attività di approfondimento documentazione, follow up ad hoc o new audit) dei (richiesta 34 17 SISTEMA DI CONTROLLO INTERNO E INTERNAL AUDIT IN AUTOGRILL INDICE IL GRUPPO AUTOGRILL IL SISTEMA DI CONTROLLO INTERNO L’INTERNAL AUDIT TRENDS 35 TRENDS VALUE CREATION vs. VALUE MAINTENANCE Future State of Internal Audit, 2009 and Beyond RISK GOVERN l na er i t t In ud e on A l u ti Va rea C ASSURANCE CONTROL Current State of Internal Audit, 2008 GOVERN ASSURANCE it ud A l na ce er an t In lue ten n Va ai M COMPLIANCE Compliance CONTROL GOVERN Informal Risk Management Current Risk Manag Maturity RISK GOVERNANCE Risk Management Maturity 36 18