Gestione dei rischi

Il modello di Enterprise Risk Management

Il modello di Enterprise Risk Management operativo nell’ambito del Gruppo Iren contiene l’approccio metodologico alla identificazione, valutazione e gestione integrata dei rischi del Gruppo, che si articola nelle seguenti fasi:

  • individuazione
  • valutazione
  • trattamento
  • controllo
  • reporting.


Il modello di Enterprise Risk Management costituisce, con specifico riferimento al tema dei rischi, uno dei principali elementi  del Sistema di Controllo Interno e Gestione dei Rischi (SCIGR). Il SCIGR, che fa capo, in ultima istanza, al Consiglio di Amministrazione (CdA) con ruolo di indirizzo e valutazione dell’adeguatezza, coinvolge, tra l’altro, i seguenti soggetti, ciascuno con le proprie competenze:

  • uno o più Amministratori incaricati al SCIGR, il cui compito è tra l’altro l’istituzione e il mantenimento di un efficace sistema di controllo interno e di gestione dei rischi;
  • il Comitato Controllo Rischi e Sostenibilità (CCRS), con il generale compito di supportare, con un’adeguata attività istruttoria, le valutazioni e le decisioni del Consiglio di Amministrazione relative al sistema di controllo interno e di gestione dei rischi, nonché quelle relative all’approvazione delle relazioni finanziarie periodiche.


Per ulteriori approfondimenti si rimanda alla sezione dedicata alla Corporate Governance.

Il SCIGR si esplica attraverso tre livelli di controllo:

  • il controllo di terzo livello esercitato da organismi interni alla società, vale a dire l’Internal Audit, oppure esterni,  ossia il Collegio Sindacale, la Società di Revisione e l’Organismo di Vigilanza ex D.Lgs. 231/2001;
  • il controllo di secondo livello, affidato a sistemi specialistici quali, la funzione di Risk Management, la Compliance, il Dirigente Preposto alla redazione dei documenti contabili societari, il Data Protection Officer, il Controllo di gestione;
  • il controllo primario di linea, affidato alle singole unità organizzative o Società del Gruppo, svolto sui processi di competenza; la responsabilità di tale controllo è demandata al Management operativo/Risk owner ed è parte integrante di ogni processo aziendale.


Nello specifico, la Direzione Risk Management si occupa della gestione integrata e monitoraggio del Sistema ERM, attraverso l'elaborazione  della  Risk Map, il controllo della corretta applicazione delle Risk Policy, l’elaborazione della Risk Analysis del Piano Industriale ed iniziative / progetti a rilevanza  strategica, la predisposizione del Risk Reporting e la gestione dei programmi assicurativi e dei sinistri attivi e passivi.

Il SCIGR del Gruppo Iren si rifà ai principi del Codice di Autodisciplina di Borsa Italiana.

Il sistema di Gestione dei rischi prevede specifiche Commissioni per la gestione di ciascuna tipologia di rischio per la quale è stata definita una specifica “Risk Policy“, con l’obiettivo primario di esplicitare le linee guida strategiche, i principi organizzativo/gestionali, i macro processi e le tecniche necessarie alla gestione attiva dei relativi rischi.

Le Policy in vigore nel Gruppo Iren sono:

  • Policy Enterprise Risk Management: norma il processo di approvazione delle Risk Policy e della Risk Map, il monitoraggio e la valutazione del sistema di gestione dei rischi, definisce il modello di gestione;
  • Policy Energy Risk: norma il processo di gestione dei rischi energetici, riconducibili a mercati energetici e/o finanziari quali variabili di mercato o scelte di pricing;
  • Policy Operational Risk: norma il processo di gestione dei rischi operativi e reputazionali, ovvero i fattori di rischio riconducibili alla proprietà degli asset, all’esercizio dell’attività industriale, ai processi, alle procedure ed ai flussi informativi, all’immagine aziendale;
  • Policy Financial Risk: norma il processo di gestione dei rischi finanziari legati ai tassi di interesse, tassi di cambio, spread;
  • Policy Credit Risk: norma il processo di gestione dei rischi di credito, legati a eventi che possono influire negativamente sul conseguimento degli obiettivi di credit management;
  • Policy Cyber Risk: norma il processo di gestione dei rischi informatici, riconducibili a minacce che minano la sicurezza informatica, in particolare l’integrità, riservatezza e disponibilità dei dati;


Il ruolo della Direzione Risk Management

La Direzione Risk Management coordina le Commissioni rischi (almeno trimestrali):

  • Financial Risk: analizza e monitora la posizione di rischio finanziario del Gruppo e i relativi limiti di rischio (proponendone l’aggiornamento);
  • Energy Risk: esamina lo stato dei rischi Energy e assume decisioni di gestione avanzate dai Risk Owner, propone aggiornamenti della Policy;
  • Credit Risk: esamina lo stato del rischio credito, assume le decisioni sulle modalità di gestione avanzate dai Risk Owner e propone piani di intervento mirati;
  • Cyber Risk: analizza e monitora la posizione di rischio Cyber di Gruppo, con le opportune azioni tecniche ed organizzative da mettere in atto.


La Direzione supporta il CCRS nella valutazione semestrale sull’adeguatezza del Sistema di Controllo Interno e Gestione dei Rischi (SCIGR) per quanto di competenza, nonché svolge specifici risk assessment relativi a progetti strategici (di M&A, industriali, altri) e al Piano Industriale.

Inoltre, Il Chief Risk Officer fa parte della Commissione di valutazione Operazioni con Parti Correlate, a supporto del Comitato Operazioni con Parti Correlate (COPC).

Di seguito si riporta il Risk Model del Gruppo Iren in vigore:

Per saperne di più sui rischi e le incertezze ai quali è esposto il Gruppo Iren, si rimanda al Bilancio consolidato 2019.

Per saperne di più sui presidi accentrati di monitoraggio di particolari categorie di rischi e sul funzionamento del Sistema di Controllo Interno e Gestione dei rischi, si rimanda alla Relazione sul governo societario e assetti proprietari.