Gestione dei rischi

Il Gruppo Iren è dotato di un Sistema di controllo interno e di gestione dei rischi, ai sensi del Codice di Corporate Governance delle società quotate e delle linee di indirizzo interne, che si configura come un processo trasversale che coinvolge, con diversi ruoli e nell’ambito delle rispettive competenze, gli organi amministrativi e di controllo delle società del Gruppo, il Comitato Controllo, Rischi e Sostenibilità, gli Amministratori della Capogruppo incaricati del sistema di controllo interno e di gestione dei rischi e della sostenibilità, il Responsabile della funzione di Internal Audit, il Direttore Risk Management e il Dirigente Preposto alla redazione dei documenti contabili societari, nonché tutto il personale delle società del Gruppo Iren. In particolare, il CdA valuta l’adeguatezza del Sistema di controllo interno e di gestione dei rischi rispetto alle caratteristiche dell’impresa ed alle indicazioni espresse nelle linee di indirizzo, e svolge, previo parere del Comitato Controllo, Rischi e Sostenibilità, i seguenti compiti:

  • definisce le linee di indirizzo del sistema di controllo interno e di gestione dei rischi in coerenza con le strategie, in modo che i principali rischi risultino correttamente identificati, nonché adeguatamente misurati, gestiti e monitorati, determinando inoltre il grado di compatibilità di tali rischi con una gestione dell’impresa coerente con gli obiettivi strategici individuati;
  • valuta, con cadenza almeno annuale, l’adeguatezza del sistema di controllo interno e di gestione dei rischi rispetto alle caratteristiche dell’impresa e al profilo di rischio assunto, nonché la sua efficacia;
  • approva, con cadenza almeno annuale, il piano di lavoro predisposto dalla funzione Internal Audit e presentato dal competente Organo Delegato, sentiti gli Amministratori incaricati del sistema di controllo interno e di gestione dei rischi e il Collegio Sindacale;
  • valuta l’opportunità di adottare misure per garantire l’efficacia e l’imparzialità di giudizio delle funzioni aziendali coinvolte nei controlli, verificando che siano dotate di adeguate professionalità e risorse;
  • attribuisce – nel caso del Gruppo Iren a un organismo composto da soggetti esterni – le funzioni di vigilanza previste dal D.Lgs. 231/2001;
  • descrive, nella relazione sul governo societario, le principali caratteristiche del sistema di controllo interno e di gestione dei rischi, le modalità di coordinamento tra i soggetti in esso coinvolti, indicando i modelli e le best practice nazionali e internazionali di riferimento ed esprimendo la propria valutazione sull’adeguatezza dello stesso;
  • valuta, sentito il Collegio Sindacale, i risultati esposti dal revisore legale nella eventuale lettera di suggerimenti e nella relazione aggiuntiva indirizzata all’organo di controllo;
  • definisce le politiche di sostenibilità ed i principi di comportamento al fine di assicurare la creazione di valore nel tempo per gli azionisti e per tutti gli altri stakeholder;
  • definisce un piano (priorità strategiche, impegni e obiettivi) per lo sviluppo sostenibile del Gruppo;
  • nomina e revoca, su proposta del Vice Presidente (organo delegato competente) d’intesa con il Presidente, previo parere favorevole del Comitato Controllo, Rischi e Sostenibilità e sentito il Collegio Sindacale, il responsabile della funzione di Internal Audit, assicurando sia dotato delle risorse adeguate ad espletare le proprie responsabilità e ne definisce la remunerazione in coerenza con le politiche

Il CdA, attraverso il Comitato Controllo Rischi e Sostenibilità (CCRS), convoca su base almeno semestrale il Direttore Risk Management e le altre funzioni di controllo per la relazione sui rischi di Gruppo in cui viene presentata la risk map con i principali rischi in termini di impatto e probabilità ed eventuali azioni di mitigazione, oltre a fornire i risultati di analisi specifiche, come ad esempio le risultanze delle Commissioni rischi e di risk assessment specifici.

La Direzione Risk Management si occupa periodicamente dell’aggiornamento della risk map di Gruppo mediante interviste a tutti i risk owner, la condivisione e il fine tuning dei risultati. La mappa dei rischi è molto dettagliata e contiene valutazioni quali-quantitative di ogni singolo rischio con la specificazione dei controlli e delle azioni di mitigazione in essere o prospettiche.

Per specifici progetti di natura strategica – quali ad esempio, il piano industriale, operazioni di acquisizione o investimenti di natura industriale – il CCRS richiede alla Direzione Risk Management una valutazione specifica dei rischi.

Gli esiti delle verifiche di Internal Audit svolte, le eventuali criticità emerse e l'avanzamento delle azioni avviate a fronte delle raccomandazioni espresse negli audit degli anni precedenti (follow up) vengono rendicontati nella Relazione semestrale del Direttore Internal Audit al Comitato Controllo Rischi e Sostenibilità, ai sensi del Codice di Corporate Governance delle Società quotate. Il Comitato, sulla base dell’informativa ricevuta, relaziona semestralmente al CdA evidenziando le criticità riscontrate ed esprimendosi sull’adeguatezza del Sistema di Controllo Interno e di gestione dei rischi. In merito alle criticità eventualmente rilevate, il Responsabile Internal Audit predispone relazioni su eventi di particolare rilevanza per i Presidenti del Collegio Sindacale, del Comitato Controllo, Rischi e Sostenibilità e del Consiglio di Amministrazione.

La gestione dei rischi aziendali rappresenta una componente essenziale del Sistema di controllo interno e il Codice di Corporate Governance delle Società quotate attribuisce specifiche responsabilità relativamente a tale aspetto. Il modello di Enterprise Risk Management (ERM) del Gruppo Iren definisce l’approccio metodologico per la gestione integrata dei rischi del Gruppo, che si articola nelle seguenti fasi:

24

La governance dei rischi è uno strumento cardine nella governance della sostenibilità

Lo svolgimento di ciascuna delle fasi del processo avviene sulla base di standard e riferimenti definiti a livello di Gruppo.

Il modello di Enterprise Risk Management del Gruppo disciplina il ruolo dei vari soggetti coinvolti nel processo di gestione dei rischi, che fa capo al Consiglio di Amministrazione, prevede specifiche Commissioni per la gestione di ciascuna tipologia di rischio e si focalizza in particolare sulla gestione di:

  • rischi finanziari legati a liquidità, tassi di interesse, di cambio e spread;
  • rischi di credito, legati a eventi che possono influire negativamente sul conseguimento degli obiettivi di credit management;
  • rischi informatici, riconducibili a minacce alla sicurezza informatica, in particolare l’integrità, riservatezza e disponibilità dei dati;
  • rischi energetici, riconducibili all’approvvigionamento del gas per la generazione termoelettrica e alla commercializzazione di energia elettrica e gas, nonché ai mercati dei derivati di hedging;
  • rischi da cambiamento climatico, che ricomprendono i rischi dovuti alla transizione verso un’economia low carbon (rischi da transizione) e i rischi di natura fisica (rischi fisici) che possono derivare da eventi ambientali catastrofali (rischi acuti) o da cambiamenti a medio lungo termine dei modelli ambientali (rischi cronici) (si veda 80);
  • rischi fiscali, riconducibili al rischio di operare in violazione rispetto alle norme fiscali ovvero in contrasto con i principi e le finalità dell’ordinamento tributario;
  • rischi operativi, riconducibili alla proprietà degli asset, all'esercizio dell’attività industriale, ai processi, alle procedure. Sono ricompresi anche i rischi di natura normativa e regolatoria, il cui impatto sul business aziendale è monitorato su base continuativa;
  • rischi reputazionali, che afferiscono agli impatti di eventuali malpractices sugli stakeholder.

Per ciascuna tipologia di rischio sono state definite specifiche risk policy – approvate dal Consiglio di Amministrazione su proposta dell’Amministratore Incaricato del Sistema di Controllo Interno e di Gestione dei Rischi con deleghe in materia di Risk Management (Vice Presidente) d’intesa con il Presidente e l’Amministratore Delegato (anch’essi individuati quali Amministratori Incaricati del Sistema di Controllo Interno e di Gestione dei Rischi), per quanto di rispettiva competenza, previo parere favorevole del CCRS e informativa al Collegio Sindacale – con l’obiettivo primario di esplicitare le linee guida strategiche, i principi organizzativo/gestionali, i macro-processi e le tecniche necessarie alla gestione attiva dei relativi rischi.

È previsto che su base annua le risk policy di Gruppo siano soggette ad aggiornamento annuale. L'organo preposto all'approvazione delle modifiche sostanziali è il CdA.