Gestione dei rischi

Il modello di Enterprise Risk Management

Il modello di Enterprise Risk Management operativo nell’ambito del Gruppo Iren contiene l’approccio metodologico alla identificazione, valutazione e gestione integrata dei rischi del Gruppo, che si articola nelle seguenti fasi:

  • individuazione
  • valutazione
  • trattamento
  • controllo
  • reporting.


Il modello di Enterprise Risk Management costituisce, con specifico riferimento al tema dei rischi, uno dei principali elementi  del Sistema di Controllo Interno e Gestione dei Rischi (SCIGR). Il SCIGR, che fa capo, in ultima istanza, al Consiglio di Amministrazione (CdA) con ruolo di indirizzo e valutazione dell’adeguatezza, coinvolge, tra l’altro, i seguenti soggetti, ciascuno con le proprie competenze:

  • uno o più Amministratori incaricati al SCIGR, il cui compito è tra l’altro l’istituzione e il mantenimento di un efficace sistema di controllo interno e di gestione dei rischi;
  • il Comitato Controllo Rischi e Sostenibilità (CCRS), con il generale compito di supportare, con un’adeguata attività istruttoria, le valutazioni e le decisioni del Consiglio di Amministrazione relative al sistema di controllo interno e di gestione dei rischi, nonché quelle relative all’approvazione delle relazioni finanziarie periodiche.


Per ulteriori approfondimenti si rimanda alla sezione dedicata alla Corporate Governance.

Il SCIGR si esplica attraverso tre livelli di controllo:

  • il controllo di terzo livello esercitato da organismi interni alla società, vale a dire l’Internal Audit, oppure esterni,  ossia il Collegio Sindacale, la Società di Revisione e l’Organismo di Vigilanza ex D.Lgs. 231/2001;
  • il controllo di secondo livello, affidato a sistemi specialistici quali, la funzione di Risk Management, la Compliance, il Dirigente Preposto alla redazione dei documenti contabili societari, il Data Protection Officer, il Controllo di gestione;
  • il controllo primario di linea, affidato alle singole unità organizzative o Società del Gruppo, svolto sui processi di competenza; la responsabilità di tale controllo è demandata al Management operativo/Risk owner ed è parte integrante di ogni processo aziendale.


Nello specifico, la Direzione Risk Management si occupa della gestione integrata e monitoraggio del Sistema ERM, attraverso l'elaborazione  della  Risk Map, il controllo della corretta applicazione delle Risk Policy, l’elaborazione della Risk Analysis del Piano Industriale ed iniziative / progetti a rilevanza  strategica, la predisposizione del Risk Reporting e la gestione dei programmi assicurativi e dei sinistri attivi e passivi.

Il SCIGR del Gruppo Iren si rifà ai principi del Codice di Autodisciplina di Borsa Italiana.

Il sistema di Gestione dei rischi prevede specifiche Commissioni per la gestione di ciascuna tipologia di rischio per la quale è stata definita una specifica “Risk Policy“, con l’obiettivo primario di esplicitare le linee guida strategiche, i principi organizzativo/gestionali, i macro processi e le tecniche necessarie alla gestione attiva dei relativi rischi.

Le Policy in vigore nel Gruppo Iren sono:

  • Enterprise Risk Management Policy: norma il processo di approvazione delle Risk Policy e della Risk Map, il monitoraggio e la valutazione del sistema di gestione dei rischi, definisce il modello di gestione;
  • Energy Risk Policy: norma il processo di gestione dei rischi energetici, riconducibili a mercati energetici e/o finanziari quali variabili di mercato o scelte di pricing;
  • Operational Risk Policy: norma il processo di gestione dei rischi operativi e reputazionali, ovvero i fattori di rischio riconducibili alla proprietà degli asset, all’esercizio dell’attività industriale, ai processi, alle procedure ed ai flussi informativi, all’immagine aziendale;
  • Financial Risk Policy: norma il processo di gestione dei rischi finanziari legati ai tassi di interesse, tassi di cambio, spread;
  • Credit Risk Policy: norma il processo di gestione dei rischi di credito, legati a eventi che possono influire negativamente sul conseguimento degli obiettivi di credit management;
  • Cyber Risk Policy: norma il processo di gestione dei rischi informatici, riconducibili a minacce che minano la sicurezza informatica, in particolare l’integrità, riservatezza e disponibilità dei dati;
  • Climate Change Risk Policy: norma il processo di gestione dei rischi da cambiamenti climatici, riconducibili a rischi fisici acuti e cronici e a rischi di transizione;
    Tax Risk Policy/ Tax Control Model: norma il processo di gestione dei rischi fiscali, riconducibili al rischio di operare in violazione rispetto alle norme fiscali ovvero in contrasto con i principi e le finalità dell’ordinamento tributario.


Il ruolo della Direzione Risk Management

La Direzione Risk Management coordina le Commissioni rischi (di norma trimestrali):

  • Financial Risk: analizza e monitora la posizione di rischio finanziario del Gruppo e i relativi limiti di rischio (proponendone l’aggiornamento);
  • Energy Risk: esamina lo stato dei rischi Energy e assume decisioni di gestione avanzate dai Risk Owner, propone aggiornamenti della Policy;
  • Credit Risk: esamina lo stato del rischio credito, assume le decisioni sulle modalità di gestione avanzate dai Risk Owner e propone piani di intervento mirati;
  • Cyber Risk: analizza e monitora la posizione di rischio Cyber di Gruppo, con le opportune azioni tecniche ed organizzative da mettere in atto;
  • Climate Risk: esamina lo stato della situazione dei rischi da Climate Change del Gruppo e assume le decisioni sulle modalità di gestione degli stessi;
    Tax Risk: analizza e monitora i rischi fiscali di Gruppo e i relativi controlli posti in essere a mitigazione, fornendo eventuali proposte di integrazione del piano di monitoraggio dei rischi.


La Direzione supporta il CCRS nella valutazione semestrale sull’adeguatezza del Sistema di Controllo Interno e Gestione dei Rischi (SCIGR) per quanto di competenza, nonché svolge specifici risk assessment relativi a progetti strategici (di M&A, industriali, altri) e al Piano Industriale.

Per saperne di più sul Piano Industriale del Gruppo Iren, si rimanda alla specifica sezione Profilo di rischio

Inoltre, Il Chief Risk Officer fa parte della Commissione di valutazione Operazioni con Parti Correlate, a supporto del Comitato Operazioni con Parti Correlate (COPC).

Di seguito si riporta il Risk Model del Gruppo Iren in vigore:

Per saperne di più sui rischi e le incertezze ai quali è esposto il Gruppo Iren, si rimanda al Bilancio consolidato.

Per saperne di più sui presidi accentrati di monitoraggio di particolari categorie di rischi e sul funzionamento del Sistema di Controllo Interno e Gestione dei rischi, si rimanda alla Relazione sul governo societario e assetti proprietari.