Il sistema di controllo interno e di gestione dei rischi del Gruppo Mondadori è inteso come l’insieme delle procedure, strutture organizzative e delle relative attività dirette ad assicurare, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell’impresa corretta e coerente con gli obiettivi prefissati.

Le linee guida e di indirizzo del sistema di controllo interno e di gestione dei rischi fanno riferimento ai principi previsti dall’Enterprise Risk Management (ERM), standard internazionale elaborato dal Committee of Sponsoring Organizations of the Treadway Commission (COSO Report).

A partire dal 2008 il Gruppo Mondadori, nel quadro della definizione delle linee guida, ha implementato un processo volto a identificare, valutare e gestire i principali rischi e incertezze a cui risulta esposto nel raggiungimento degli obiettivi aziendali. È stata istituita una funzione di risk management, preposta a sviluppare un modello interno di gestione dei rischi e a sovrintendere allo svolgimento e al periodico aggiornamento e monitoraggio del processo.

La significatività dei rischi, classificati in categorie e sottocategorie, viene determinata sulla base dei parametri di probabilità di accadimento e di impatto, non solo economico, ma anche considerato in termini di quota di mercato, vantaggio competitivo e reputazione. Mediante un processo di autovalutazione il management aziendale individua i rischi riconducibili al proprio ambito di competenza e ne valuta gli effetti sugli obiettivi, in precedenza definiti dai direttori generali di business e staff. La valutazione viene effettuata sia a livello inerente, vale a dire in assenza di interventi di mitigazione, sia a livello residuo, tenendo invece conto delle azioni poste in essere per ridurre la probabilità di accadimento dell’evento rischioso e/o circoscriverne i possibili impatti dannosi.

I risultati, raccolti ed elaborati dalla funzione di risk management, sono oggetto di specifica informativa in sede di comitato Controllo e rischi, Collegio sindacale e Consiglio di amministrazione. Il processo di revisione e aggiornamento dello stato dei rischi avviene con cadenza almeno annuale. L’effettiva esistenza ed efficacia delle azioni di mitigazione, indicate dal management in fase di valutazione, viene sottoposta a verifica da parte della funzione di internal audit. In aggiunta, per allineare il rischio residuo entro una soglia di rischiosità ritenuta accettabile (risk appetite), la funzione di risk management, in collaborazione con i responsabili aziendali, pianifica e attua interventi di risk response, mappando le ulteriori azioni mitiganti predisposte.

Amministratore incaricato del sistema di controllo interno e di gestione dei rischi

Il Consiglio di amministrazione ha individuato l’Amministratore delegato quale amministratore incaricato del sistema di controllo interno e di gestione dei rischi. Il suo compito è quello di curare, anche attraverso il coordinamento della funzione Internal Audit, l’identificazione dei principali rischi aziendali e la gestione del sistema di controllo interno e di gestione dei rischi, tenendo conto delle caratteristiche delle attività svolte dal Gruppo, e riferendo al comitato Controllo e rischi o al Consiglio anche in merito a eventuali criticità rilevate.

Responsabile Internal Audit

La funzione di responsabile Internal Audit è stata attribuita a Paolo De Benedetti, con il compito di verificare, sia in via continuativa sia in relazione a specifiche necessità e nel rispetto degli standard internazionali, l’operatività e l’idoneità del sistema di controllo interno e di gestione dei rischi, attraverso un piano di audit, approvato dal Consiglio di amministrazione, basato su un processo strutturato di analisi e prioritizzazione dei principali rischi.

Il responsabile Internal Audit ha accesso diretto a tutte le informazioni utili per lo svolgimento dell’incarico, che prevede:

  • predisposizione di relazioni periodiche contenenti adeguate informazioni sulla propria attività, sulle modalità con cui viene condotto la gestione dei rischi nonché sul rispetto dei piani definiti per il loro contenimento; le relazioni periodiche contengono una valutazione sull’idoneità del sistema di controllo interno e di gestione dei rischi;
  • predisposizione tempestiva di relazioni su eventi di particolare rilevanza;
  • trasmissione delle relazioni di cui sopra ai presidenti del Collegio sindacale, del comitato Controllo e rischi e del Consiglio di amministrazione nonché all’amministratore incaricato del sistema di controllo interno e di gestione dei rischi;
  • verifica, nell’ambito del piano di audit, dell’affidabilità dei sistemi informativi inclusi i sistemi di rilevazione contabile.