Gestione dei rischi

Il modello di Enterprise Risk Management

Il modello di Enterprise Risk Management operativo nell’ambito del Gruppo Iren contiene l’approccio metodologico alla identificazione, valutazione e gestione integrata dei rischi del Gruppo, che si articola nelle seguenti fasi:

  • individuazione
  • valutazione
  • trattamento
  • controllo
  • reporting.


Il modello di Enterprise Risk Management costituisce, con specifico riferimento al tema dei rischi, uno dei principali elementi  del Sistema di Controllo Interno e Gestione dei Rischi (SCIGR). Il SCIGR, che fa capo, in ultima istanza, al Consiglio di Amministrazione (CdA) con ruolo di indirizzo e valutazione dell’adeguatezza, coinvolge, tra l’altro, i seguenti soggetti, ciascuno con le proprie competenze:

  • uno o più Amministratori incaricati al SCIGR, il cui compito è tra l’altro l’istituzione e il mantenimento di un efficace sistema di controllo interno e di gestione dei rischi;
  • il Comitato Controllo Rischi e Sostenibilità (CCRS), con il generale compito di supportare, con un’adeguata attività istruttoria, le valutazioni e le decisioni del Consiglio di Amministrazione relative al sistema di controllo interno e di gestione dei rischi, nonché quelle relative all’approvazione delle relazioni finanziarie periodiche.


Per ulteriori approfondimenti si rimanda alla sezione dedicata alla Corporate Governance.

Il SCIGR si esplica attraverso tre livelli di controllo:

  • il controllo di terzo livello esercitato da organismi interni alla società, vale a dire l’Internal Audit, oppure esterni,  ossia il Collegio Sindacale, la Società di Revisione e l’Organismo di Vigilanza ex D.Lgs. 231/2001;
  • il controllo di secondo livello, affidato a sistemi specialistici quali, la funzione di Risk Management, la Compliance, il Dirigente Preposto alla redazione dei documenti contabili societari, il Data Protection Officer, il Controllo di gestione;
  • il controllo primario di linea, affidato alle singole unità organizzative o Società del Gruppo, svolto sui processi di competenza; la responsabilità di tale controllo è demandata al Management operativo/Risk owner ed è parte integrante di ogni processo aziendale.


Nello specifico, la Direzione Risk Management si occupa della gestione integrata e monitoraggio del Sistema ERM, attraverso l'elaborazione  della  Risk Map, il controllo della corretta applicazione delle Risk Policy, l’elaborazione della Risk Analysis del Piano Industriale ed iniziative / progetti a rilevanza  strategica, la predisposizione del Risk Reporting e la gestione dei programmi assicurativi e dei sinistri attivi e passivi.

Il SCIGR del Gruppo Iren si rifà ai principi del Codice di Autodisciplina di Borsa Italiana.

Il sistema di Gestione dei rischi prevede specifiche Commissioni per la gestione di ciascuna tipologia di rischio per la quale è stata definita una specifica “Risk Policy“, con l’obiettivo primario di esplicitare le linee guida strategiche, i principi organizzativo/gestionali, i macro processi e le tecniche necessarie alla gestione attiva dei relativi rischi.

Le Policy in vigore nel Gruppo Iren sono:

  • Enterprise Risk Management Policy: norma il processo di approvazione delle Risk Policy e della Risk Map, il monitoraggio e la valutazione del sistema di gestione dei rischi, definisce il modello di gestione;
  • Financial Risk Policy: norma il processo di gestione dei rischi finanziari legati ai tassi di interesse, tassi di cambio, spread;
  • Credit Risk Policy: norma il processo di gestione dei rischi di credito, legati a eventi che possono influire negativamente sul conseguimento degli obiettivi di credit management;
  • Energy Risk Policy: norma il processo di gestione dei rischi energetici, riconducibili a mercati energetici e/o finanziari quali variabili di mercato o scelte di pricing;
  • Operational Risk Policy: norma il processo di gestione dei rischi operativi e reputazionali, ovvero i fattori di rischio riconducibili alla proprietà degli asset, all’esercizio dell’attività industriale, ai processi, alle procedure ed ai flussi informativi, all’immagine aziendale;
  • Cyber Risk Policy: norma il processo di gestione dei rischi informatici, riconducibili a minacce che minano la sicurezza informatica, in particolare l’integrità, riservatezza e disponibilità dei dati;
  • Climate Change Risk Policy: norma il processo di gestione dei rischi da cambiamenti climatici, riconducibili a rischi fisici acuti e cronici e a rischi di transizione;

  • Tax Risk Policy/ Tax Control Model: norma il processo di gestione dei rischi fiscali, riconducibili al rischio di operare in violazione rispetto alle norme fiscali ovvero in contrasto con i principi e le finalità dell’ordinamento tributario.


Il ruolo della Direzione Risk Management

La Direzione Risk Management coordina le Commissioni rischi (di norma trimestrali):

  • Financial Risk: analizza e monitora la posizione di rischio finanziario del Gruppo e i relativi limiti di rischio (proponendone l’aggiornamento);
  • Credit Risk: esamina lo stato del rischio credito, assume le decisioni sulle modalità di gestione avanzate dai Risk Owner e propone piani di intervento mirati;
  • Energy Risk: esamina lo stato dei rischi Energy e assume decisioni di gestione avanzate dai Risk Owner, propone aggiornamenti della Policy;
  • Cyber Risk: analizza e monitora la posizione di rischio Cyber di Gruppo, con le opportune azioni tecniche ed organizzative da mettere in atto;
  • Climate Risk: esamina lo stato della situazione dei rischi da Climate Change del Gruppo e assume le decisioni sulle modalità di gestione degli stessi;
    Tax Risk: analizza e monitora i rischi fiscali di Gruppo e i relativi controlli posti in essere a mitigazione, fornendo eventuali proposte di integrazione del piano di monitoraggio dei rischi.


La Direzione supporta il CCRS nella valutazione semestrale sull’adeguatezza del Sistema di Controllo Interno e Gestione dei Rischi (SCIGR) per quanto di competenza, nonché svolge specifici risk assessment relativi a progetti strategici (di M&A, industriali, altri) e al Piano Industriale.

Per saperne di più sul Piano Industriale del Gruppo Iren, si rimanda alla specifica sezione Profilo di rischio

Inoltre, Il Chief Risk Officer fa parte della Commissione di valutazione Operazioni con Parti Correlate, a supporto del Comitato Operazioni con Parti Correlate (COPC).

Di seguito si riporta il Risk Model del Gruppo Iren in vigore:

Per saperne di più sui rischi e le incertezze ai quali è esposto il Gruppo Iren, si rimanda al Bilancio consolidato.

Per saperne di più sui presidi accentrati di monitoraggio di particolari categorie di rischi e sul funzionamento del Sistema di Controllo Interno e Gestione dei rischi, si rimanda alla Relazione sul governo societario e assetti proprietari.

Di  seguito  si  riporta,  per  le  diverse  tipologie  di  rischio,  un  dettaglio  delle  modalità  di  gestione  attive  nell’ambito del Gruppo. 

RISCHI FINANZIARI

L’attività del Gruppo Iren è esposta a diverse tipologie di rischi finanziari tra le quali: rischi di liquidità, rischio  cambio e rischi di variazione nei tassi di interesse. Nell’ambito dell’attività di Risk Management, al fine di  limitare  i  rischi  di  cambio  e  di  variazione  dei  tassi  di  interesse,  il  Gruppo  utilizza  contratti  di  copertura  seguendo un’ottica non speculativa. 

a) Rischio di liquidità 

Il rischio di liquidità rappresenta il rischio che le risorse finanziarie disponibili all’azienda non siano sufficienti  per far fronte alle obbligazioni finanziarie e commerciali nei termini e nelle scadenze prestabilite. 

L’attività di approvvigionamento delle risorse finanziarie è centralizzata allo scopo di ottimizzarne l’utilizzo.  In particolare, la gestione centralizzata dei flussi finanziari in Iren consente di allocare i fondi disponibili a  livello di Gruppo secondo le necessità che di volta in volta si manifestano tra le singole Società.

I movimenti  di liquidità sono registrati su conti infragruppo sui quali vengono contabilizzati anche le spese e gli interessi  attivi e passivi infragruppo.

Alcune società partecipate hanno una gestione finanziaria autonoma, nel rispetto delle linee guida fornite  dalla Capogruppo. 

b) Rischio di cambio

Fatta  eccezione  per  quanto  riportato  nell’ambito  del  rischio  energetico,  il  Gruppo  Iren  non  è  particolarmente esposto al rischio di cambio. 

c) Rischio tassi di interesse 

Il Gruppo Iren è esposto alle fluttuazioni dei tassi d’interesse soprattutto per quanto concerne la misura  degli oneri finanziari relativi all’indebitamento. La strategia del Gruppo Iren è quella di limitare l’esposizione  al rischio di volatilità del tasso di interesse, mantenendo al contempo un costo della provvista contenuto.  Nel corso delle Commissioni Financial Risk, si verifica il rispetto dei limiti imposti dalla Policy per quanto  riguarda le principali metriche e si analizzano la situazione di mercato, l’andamento dei tassi di interesse, il  valore delle coperture stipulate e la rispondenza alle condizioni imposte dai covenant. 

RISCHIO DI CREDITO

Il  rischio  di credito  del Gruppo è legato essenzialmente all’ammontare  dei  crediti  commerciali  derivanti  dalla  vendita  di  energia  elettrica,  teleriscaldamento,  gas e  all’erogazione  dei  servizi  energetici,  idrici  ed ambientali.

I crediti sono suddivisi su un ampio numero di controparti, appartenenti a categorie di clienti  eterogenee (clientela retail, business, enti pubblici); alcune esposizioni risultano di ammontare elevato e  sono  costantemente  monitorate  e,  se  del  caso,  fatte  oggetto  di  piani  di  rientro. 

Le  unità  di  Credit  Management del Gruppo Iren dedicate al recupero crediti sono responsabili di questa attività.  Il Gruppo,  nello  svolgimento  della  propria attività, è esposto al  rischio  che  i  crediti  possano  non essere  onorati alla scadenza con conseguente aumento dell’anzianità e dell’insolvibilità sino all’aumento dei crediti  sottoposti a procedure concorsuali o inesigibili.

Tale rischio risente, tra gli altri fattori, anche della situazione  economico‐finanziaria congiunturale.  Per limitare l’esposizione al rischio di credito, sono stati attivati strumenti tra i quali l’analisi di solvibilità dei  Clienti  in  fase  di acquisizione attraverso un’accurata valutazione del merito creditizio, l’affidamento dei  crediti di Clienti cessati e/o attivi a società di recupero crediti esterne e l’introduzione di nuove modalità di  recupero  per  la  gestione  del  contenzioso  legale. 

Inoltre, sono offerti ai Clienti metodi di pagamento attraversocanali digitali.  La politica di gestione dei crediti e gli strumenti di valutazione del merito creditizio, nonché le attività di  monitoraggio  e  recupero,  sono  differenziate  in  relazione  alle  diverse  tipologie  di  clientela  e  di  servizio  erogato. 

Il  rischio  di credito è coperto,  per alcune  tipologie di  Clienti  business, con opportune  forme  di garanzie  bancarie  o  assicurative a prima richiesta emesse da soggetti di primario standing creditizio e con  l’assicurazione crediti per il segmento di clientela reseller. 

Per alcune tipologie di servizio (settore  idrico,  gas  naturale,  energia  elettrica  maggior  tutela), in  ottemperanza alle disposizioni normative che ne regolano l’attività, è previsto il versamento di un deposito  cauzionale  fruttifero,  che viene rimborsato qualora il Cliente utilizzi, come modalità di pagamento, la  domiciliazione bancaria/postale con addebito sul conto corrente.  Le  condizioni  di  pagamento  generalmente  applicate  alla  clientela sono riconducibili alla normativa o ai  regolamenti vigenti o in linea con gli standard del mercato libero; in caso di mancato pagamento, è prevista  l’applicazione di interessi di mora nella misura indicata nei contratti o dalla normativa.

Gli  accantonamenti  ai  fondi  svalutazione  crediti  riflettono,  in  maniera  accurata  e  nel  rispetto  della  normativa vigente (applicata la metodologia IFRS 9), i rischi di credito effettivi e sono determinati basandosi  sull’estrazione dalle banche dati degli importi componenti il credito e, in generale, valutando le eventuali  variazioni  del  predetto  rischio  rispetto  alla  rilevazione  iniziale  nonché,  in  particolare  per  i  crediti  commerciali,  stimando  le  relative  perdite  attese  determinate su base prospettica, tenendo in debita  considerazione la serie storica.

Come anticipato, in merito al contesto emergenziale legato al Covid‐19, e  con  specifico  riferimento  alle  possibili  difficoltà  di  liquidità  del  portafoglio  clienti  legate  alle  misure  di  contrasto  alla  pandemia  e  agli  interventi normativi e aziendali di mitigazione dell’impatto economico e  sociale della crisi, il Gruppo ha incrementato il fondo svalutazione crediti in ragione della valutazione delle  perdite  attese,  in  particolare  per  i  settori  della  vendita  di  energia  elettrica  e  gas  e  del  servizio  idrico  integrato, per 25 milioni di euro.  Il controllo sui rischi di credito è inoltre rafforzato dalle procedure di monitoraggio e reportistica, al fine di  individuare in modo tempestivo possibili contromisure. 

Inoltre, su base trimestrale, la Direzione Risk Management si occupa di raccogliere ed integrare i principali  dati in merito all’evoluzione dei crediti commerciali delle società del Gruppo, in termini di tipologia della  clientela,  stato  del  contratto,  filiera  di  business  e  fascia  di ageing.  La  valutazione  del  rischio  credito  è  effettuata sia a livello consolidato sia a livello di Business Unit e società.  

Alcune delle suddette valutazioni sono effettuate a intervalli inferiori al trimestre o su specifica esigenza. 

RISCHIO ENERGETICO

Il Gruppo Iren è esposto al rischio prezzo, sulle commodity energetiche trattate, ossia energia elettrica, gas  naturale, titoli di emissione ambientale, ecc., dal momento che sia gli acquisti sia le vendite risentono delle  oscillazioni  dei  prezzi  di  dette  commodity  direttamente,  ovvero  attraverso  formule  di  indicizzazione. 

È  presente  l’esposizione  rischio  cambio,  tipica  delle  commodity  di  derivazione  petrolifera,  ma  in  modo  attenuato grazie allo sviluppo dei mercati organizzati europei che trattano la commodity gas in valuta Euro  e non più indicizzata ai prodotti petroliferi.  La  politica  del  Gruppo  è  orientata  ad  una  strategia  di  gestione  attiva  delle  posizioni  per  stabilizzare  il  margine  cogliendo  le  opportunità  offerte  dai  mercati;  essa si realizza sia mediante l’allineamento delle indicizzazioni delle commodity in acquisto e in vendita, sia attraverso lo sfruttamento verticale e orizzontale  delle varie filiere di business, sia operando sui mercati finanziari.  A  tal  fine  viene eseguita  un’attività  di  pianificazione  della  produzione per gli  impianti  del Gruppo,  degli  acquisti e delle vendite di energia e di gas naturale, sia in relazione ai volumi che alle formule di prezzo.  L’obiettivo è ottenere una sufficiente stabilità dei margini attraverso:  

  • per  la  filiera  elettrica,  l’opportuno  bilanciamento  dell’autoproduzione  e  dell’energia  dal  mercato  a  termine  rispetto  alla  domanda  proveniente  dai  clienti  del  Gruppo,  con  un  ricorso  al  mercato  spot  adeguato; 
  • per la filiera del gas naturale la priorità di allineamento delle indicizzazioni della commodity in acquisto  e in vendita. 


Per una più dettagliata analisi dei rischi sinora trattati si rimanda a quanto riportato nel paragrafo “Gestione  dei rischi finanziari del Gruppo”, inserito nelle Note Illustrative al Bilancio Consolidato.  

RISCHI DA CAMBIAMENTI CLIMATICI

Nel corso dell’anno il Gruppo Iren ha inserito nell’ambito del sistema di Enterprise Risk Management una Policy dedicata ai  rischi da cambiamenti climatici, che assumono una  rilevanza  sempre  crescente per le  organizzazioni. Inoltre, essi incidono  sulla  salute  del  Pianeta,  con  stime  di effetti  rilevanti già nel medio termine. 

Tutte  le  aziende,  e  in  particolare  quelle  operanti  in settori significativamente  esposti  come  il  Gruppo Iren, devono necessariamente considerare l’analisi dei rischi da cambiamento climatico come un  fattore emergente e determinante nella definizione delle proprie strategie di medio e lungo periodo. 

L’adozione della Climate Change Risk Policy e le conseguenti analisi e gestione dei rischi costituiscono le fasi  preliminari  di  un  processo abilitante  un  presidio ancor  più  puntuale,  sia  con  riguardo all’esposizione ad  eventi di danno, sia alle opportunità che il contesto esterno e le sue variazioni possono offrire, nonché in  relazione al contributo al raggiungimento degli obiettivi di sviluppo sostenibile definiti a livello nazionale e  internazionale.

La  scrittura  del  documento  ha  avuto  un  ampio  coinvolgimento  delle  funzioni  aziendali  interessate  alla  gestione di tali rischi, con le quali è stato effettuato un Climate Change Risk Assessment, sulla base del quale  è stata successivamente redatta la Policy.  La Policy analizza e norma, con attenzione all’applicabilità per le singole Business Unit, i fattori di rischio da  cambiamento  climatico,  distinguendoli  in  rischi  fisici  e  rischi  di  transizione.  I  rischi  fisici  derivanti  dal  cambiamento delle condizioni climatiche si distinguono in rischi fisici acuti – se connessi ad eventi naturali  catastrofici locali (ad esempio alluvioni, ondate di calore, incendi, ecc.) – e rischi fisici cronici – se connessi  a cambiamenti climatici a lungo termine (ad esempio riscaldamento globale, innalzamento del livello dei  mari, carenza della risorsa idrica, ecc.).

La  transizione  verso  una  economia low‐carbon potrebbe comportare ampi ambiamenti  nelle  politiche governative, con conseguenti variazioni normative, tecnologiche, di mercato. A seconda della natura e della  velocità  di  questi  cambiamenti,  i  rischi  di  transizione  possono  comportare  un  livello  variabile  di  rischio  finanziario e di reputazione per il Gruppo.

La Policy prevede la presenza di una Commissione Rischi atta a esaminare su base periodica il profilo di  rischio del Gruppo, definendo e proponendo l’aggiornamento all’Amministratore Delegato delle strategie  di gestione delle classi di rischio e riportando agli Organi Delegati eventuali criticità emergenti. Sono inoltre  contemplate  nel  documento  le  linee guida  per  la  rendicontazione,  finalizzata  a garantire  la  trasparenza  informativa a tutti gli stakeholder.

RISCHI FISCALI

Il Gruppo Iren si è dotato di uno specifico sistema di controllo interno e di gestione del rischio fiscale, inteso  come il rischio di operare in violazione di norme di natura tributaria o in contrasto con i principi o con le  finalità dell’ordinamento. 

Il  sistema  di  controllo  e  gestione  del  rischio  fiscale,  “Tax  Control  Framework”  (di  seguito  anche  “TCF”),  consente  di  perseguire  l’obiettivo  di  minimizzare  l’esposizione  del  Gruppo  al  rischio  fiscale  attraverso l’identificazione, l’aggiornamento, la valutazione ed il monitoraggio della governance, dei processi, dei rischi  e dei controlli a rilevanza fiscale.  Il Gruppo si impegna a gestire i propri adempimenti  fiscali in conformità a  tutte le leggi e i  regolamenti applicabili. 

Per questo motivo, Iren ha adottato il TCF come sistema di controllo interno che definisce la governance  per  la  gestione  della  fiscalità e del relativo rischio  in  linea con i principi  della  strategia  aziendale e, in  particolare, della Strategia Fiscale.

Il Tax Control Framework adottato è costituito da un insieme di regole, linee guida, strumenti e modelli volti a supportare i dipendenti del  Gruppo  nell'esecuzione  delle  attività  quotidiane, garantendo coerenza su attività fiscali rilevanti. 

La  struttura  del  TCF prevede dunque la presenza di due pilastri  che  ne  delineano  lo  schema di funzionamento: la Strategia Fiscale ed il Tax Compliance Model.

La Strategia Fiscale definisce gli obiettivi e l’approccio adottati dal Gruppo nella gestione della variabile  fiscale. Tale documento ha lo scopo di statuire i Principi di condotta in materia fiscale al fine di i) contenere il  rischio  fiscale  sia  per  fattori esogeni  sia per  fattori endogeni e ii) continuare a garantire  nel  tempo la  corretta e tempestiva determinazione e liquidazione  delle  imposte  dovute  per  legge ed esecuzione dei connessi adempimenti. La Strategia Fiscale è approvata ed emanata dal Consiglio di Amministrazione di Iren  S.p.A..

Il Tax Compliance Model è un elemento del Sistema di Controllo Interno e di Gestione del Rischio. Si tratta  del documento che  raccoglie la descrizione di dettaglio delle fasi di cui si compongono i processi di risk  assessment, controllo e monitoraggio periodico  svolti da Iren e del  successivo reporting sulle tematiche fiscali all’Amministratore  Delegato  e  agli  altri organi e funzioni competenti. Ha inoltre l’obiettivo di riepilogare le principali responsabilità attribuite alle varie funzioni coinvolte nei processi di rilevanza fiscale. Il Tax Compliance Model è predisposto  dalla Funzione Fiscale e Compliance e, in ultima istanza, viene approvato dal Consiglio di Amministrazione di Iren S.p.A..

Il progetto di realizzazione di un TCF allineato alle best practice in materia si è concluso nel corso del 2020 con la presentazione della domanda di accesso all’istituto dell’Adempimento Collaborativo, un regime fra  l'Agenzia delle Entrate e le grandi imprese introdotto dal D.lgs. 5 agosto 2015, n. 128 al fine di promuovere l'adozione di forme di comunicazione e di cooperazione rafforzate basate sul reciproco affidamento tra Amministrazione Finanziaria e contribuenti e favorire, nel comune interesse, la prevenzione e la risoluzione delle controversie in materia fiscale.

RISCHI OPERATIVI

Rientrano in questa categoria tutti i rischi che, in aggiunta a quelli già evidenziati nei paragrafi precedenti,  possono impattare  sul conseguimento degli obiettivi,  relativi all’efficacia e all’efficienza delle operazioni  aziendali, ai livelli di performance, di redditività e di protezione delle risorse da eventuali perdite.

Il modello di Enterprise Risk Management del Gruppo ha come obiettivo la gestione integrata e sinergica dei rischi. Il processo di gestione dei rischi di Gruppo prevede che, per ciascuna filiera di business e ambito operativo, si analizzino le attività svolte e si identifichino i principali fattori di rischio connessi al raggiungimento degli  obiettivi. In seguito all’attività di individuazione, i rischi sono valutati quali‐quantitativamente (in termini di  magnitudo e probabilità di accadimento), consentendo così l’identificazione dei rischi più rilevanti.

L’analisi  prevede  altresì  una  valutazione  del  livello  di  controllo  attuale  e  prospettico  del  rischio, monitorato mediante specifici key risk indicators.  Le fasi di cui sopra consentono di strutturare piani di trattamento specifici per ciascun fattore di rischio.

Lungo tutte le fasi di gestione, ciascun rischio è sottoposto su base continuativa a un processo di controllo e monitoraggio durante il quale si verifica la corretta ed efficace messa in atto delle attività di trattamento  approvate e pianificate, nonché l’insorgenza di eventuali nuovi rischi operativi.

Al processo di gestione dei  rischi operativi è associato un  sistema organico e  strutturato di reportistica per la rappresentazione dei risultati dell’attività di misura e di gestione dei rischi. Lo svolgimento di ciascuna delle fasi del processo  avviene sulla base di standard e riferimenti definiti a livello di Gruppo.

Con periodicità almeno trimestrale, si aggiorna la situazione dei rischi del Gruppo, nella quale sono evidenziati la dimensione e il livello di controllo di tutti i rischi monitorati, compresi quelli finanziari, informatici, di credito ed energetici. La reportistica sul rischio è trasmessa al top management e ai risk owner, che sono coinvolti nelle attività di gestione.

L’analisi di rischio supporta altresì la redazione degli strumenti di pianificazione. Nel corso del 2020 è stato svolto un progetto per la revisione della Risk Map di Gruppo, che attraverso le interviste ai Risk Owner di Iren S.p.A. e delle società del Gruppo, e la successiva condivisione e fine tuning  dei risultati, ha condotto alla costruzione di una mappa dei rischi molto dettagliata e rispondente alla realtà  del Gruppo, con valutazioni quali‐quantitative di ogni singolo rischio e con dettaglio dei controlli e delle azioni di mitigazione in essere o  prospettiche. 

I rischi individuati sono stati associati alla categoria ESG (Environmental, Social  e  Governance) di  appartenenza. Si  segnala inoltre che per ciascun rischio si è  verificato se e come fosse stato impattato dal Covid‐19.

In particolare si evidenziano: 

a.  Rischi normativi e regolatori 

Il  quadro  normativo e  regolatorio è  soggetto a  possibili variazioni  nel  tempo, costituendo pertanto una potenziale fonte di rischio. In merito operano direzioni alla diretta dipendenza dell’Amministratore Delegato, dedicata al continuo monitoraggio della legislazione e della normativa di riferimento al  fine di  valutarne le implicazioni, garantendone la corretta applicazione nel Gruppo.

b.  Rischio impianti 

In relazione alla consistenza degli asset di produzione del Gruppo il rischio impianti è gestito con l’approccio metodologico sopra descritto, al fine di allocare correttamente le risorse in termini di azioni di controllo e prevenzione (manutenzione preventiva/predittiva, sistemi di controllo e supervisione, piani di emergenza  e continuità, ecc.).

Per gli impianti più rilevanti, la Direzione Risk Management svolge periodicamente delle survey, grazie alle quali può dettagliare accuratamente gli eventi  a cui  tali  impianti potrebbero essere esposti, nonché le conseguenti azioni di  prevenzione. Il  rischio  è  altresì  presidiato  mediante  coperture  assicurative progettate in considerazione delle singole realtà impiantistiche. 

c.  Rischi informatici 

I rischi informatici (Cyber  Risk) sono definiti come l’insieme di minacce interne ed esterne che possono compromettere la continuità aziendale o causare a terzi danni da responsabilità civile in caso di perdita o divulgazione di dati  sensibili.

Da un punto di vista  interno,  i  rischi  operativi  di  tipo  informatico  sono  strettamente  correlati all’attività  del Gruppo Iren, che gestisce infrastrutture di rete ed impianti, anche  tramite telecontrollo, sistemi di gestione operativa contabile e di fatturazione e le piattaforme di trading  delle commodity energetiche.

Il Gruppo Iren è infatti uno dei principali operatori italiani sulla borsa elettrica ed eventuali indisponibilità accidentali del sistema potrebbero portare conseguenze economiche rilevanti, legate alla mancata presentazione di offerte di vendita e di  acquisto dell’energia. 

Allo stesso tempo, problematiche relative alla supervisione e acquisizione dati di  sistemi fisici potrebbero causare fermi impianti e danni collaterali anche gravi.

Un blocco dei sistemi di fatturazione potrebbe inoltre determinare  ritardi nell’emissione delle bollette e dei relativi incassi, nonché danni d’immagine.  A  mitigazione di tali rischi sono state predisposte specifiche misure, quali ridondanze, sistemi in alta affidabilità e debite procedure di emergenza, che periodicamente sono sottoposte a simulazioni, al fine di  garantirne  l’efficacia. 

Il Gruppo Iren è inoltre esposto al rischio di attacchi informatici volti sia all’acquisizione di dati sensibili sia a produrre il blocco dell’operatività, danni agli impianti e alle reti e a compromettere la continuità dei servizi.

Benchmark di mercato mostrano inoltre che sono sempre più frequenti attacchi volti all’acquisizione di dati propri e di terzi, con conseguenti azioni di responsabilità civile e sanzioni anche gravi, e all’acquisizione di segreti industriali. Le tecnologie di sicurezza perimetrale sono  state aggiornate.

La rete dati è stata ulteriormente segregata secondo l’utilizzo funzionale, inoltre è stato  introdotto il sistema di gestione delle vulnerabilità, esteso anche a fornitori che trattano a vario titolo dati  aziendali sensibili. È stato avviato il Security Operation Center (SOC) esterno per il presidio h24, con l’utilizzo  delle piattaforme di sicurezza Iren. Sono state adottate politiche di rafforzamento delle password di accesso ai sistemi, di incremento della sicurezza delle postazioni di lavoro con l’introduzione di sistemi con capacità  di analisi comportamentali e di esecuzione di risposte automatizzate e da remoto.

È stata inoltre introdotta una piattaforma di Cyber Threat Intelligence (CTI) al fine di acquisire evidenze relativa agli attaccanti e alle minacce potenzialmente  impattanti gli asset aziendali.

In  data  23  gennaio  2020,  il  Consiglio  di  Amministrazione di Iren S.p.A. ha approvato la Cyber Risk Policy, che – analogamente alle altre principali  risk  Policy  –  prevede  la  convocazione  di  specifiche  Commissioni rischi, il  monitoraggio di indicatori di performance e reportistica dedicata. Il processo di gestione dei rischi operativi è anche finalizzato all’ottimizzazione dei programmi assicurativi del Gruppo. 

RISCHI STRATEGICI

Il Gruppo Iren si è dotato di un Piano Industriale con un orizzonte temporale al 2025 che ne definisce gli  orientamenti strategici e i relativi obiettivi industriali da cui derivano le grandezze economiche, patrimoniali  e finanziarie di riferimento.

Detti obiettivi si riferiscono a:

a)  efficientamento dell’organizzazione e dei processi del Gruppo e relativi saving;

b)   sviluppo  (investimenti  in  settori  regolati  e  quasi  regolati,  incremento  della  base  clienti,  efficienza  energetica); 

c)  consolidamento dei settori regolati (rinnovo delle concessioni: distribuzione gas, ciclo idrico integrato e  settore ambiente);  d)  crescita esterna; 

e)  scenario energetico; 

f)  sostenibilità e target ESG (Environment, Social, Governance). 

Detto Piano è stato sottoposto, in applicazione delle Policy di Gruppo, a un risk assessment effettuato dalla  Direzione Risk Management e ai relativi stress test che ne hanno evidenziato la sostanziale tenuta anche a  fronte di eventi avversi caratterizzati da specifiche sensitivity.

Sulla base del succitato progetto di revisione della Risk Map, è stata costruita, parallelamente al risk assessment, una specifica Risk Map relativa ai rischi  del Piano Industriale, con lo stesso orizzonte temporale. Lo sviluppo di tale Risk Map, congiuntamente alla costruzione  di  stress quantitativi, costituisce un  importante punto di integrazione con la funzione di Pianificazione Strategica. 

Oltre  alle  analisi  di  rischio  legate  al  Piano,  la  Direzione  Risk  Management  contribuisce  con risk  assessment specifici alle  operazioni  di merger &  acquisition e ai  principali  progetti  strategici che stanno coinvolgendo il Gruppo Iren.