Il Sistema di Controllo Interno e di Gestione dei Rischi

[GRI - 102-12], [GRI - 102-16], [GRI - 102-23], [GRI - 102-24], [GRI - 102-25], [GRI - 102-26], [GRI - 102-27], [GRI - 102-29], [GRI - 103-1], [GRI - 103-3], [GRI - 201-1], [GRI - 201-2], [GRI - 205-1], [GRI - 301-1], [GRI - 302-1], [GRI - 303-1], [GRI - 304-1], [GRI - 305-1], [GRI - 306-1], [GRI - 308-1], [GRI - 403-1], [GRI - 406-1], [GRI - 418-1],

Il Sistema di Controllo Interno e di Gestione dei Rischi di Acea (SCIGR) riveste un ruolo centrale nella corporate governance del Gruppo ed è costituito dall’insieme di persone, strumenti, strutture organizzative preposte a:

  • identificare i rischi che possono incidere sul perseguimento degli obiettivi definiti dal Consiglio di Amministrazione;
  • favorire l’assunzione di decisioni consapevoli e coerenti con gli obiettivi aziendali, nell’ambito di una conoscenza diffusa dei rischi e del livello di tolleranza agli stessi, della legalità e dei valori aziendali;
  • salvaguardare il patrimonio aziendale, l’efficienza e l’efficacia dei processi, l’affidabilità dell’informazione fornita agli organi sociali e al mercato e il rispetto delle norme interne ed esterne.

Le Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi promuovono una conduzione del Gruppo corretta e coerente con gli obiettivi aziendali, tramite un processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi e l’attivazione di flussi informativi per la condivisione ed il coordinamento tra i suoi vari attori. Le Linee di indirizzo tengono conto delle raccomandazioni del Codice di Corporate Governance di Borsa Italiana e si ispirano alle best practice esistenti, in particolare al COSO - Internal Control - Integrated Framework (Committee of Sponsoring Organizations of the Treadway Commission), ed hanno lo scopo di:

  • fornire gli indirizzi agli attori del SCIGR, affinché i principali rischi afferenti al Gruppo Acea, inclusi quelli di sostenibilità nel medio-lungo periodo, risultino correttamente identificati e adeguatamente misurati, gestiti e monitorati;
  • identificare i principi e le responsabilità di governo, gestione e monitoraggio dei rischi connessi alle attività aziendali;
  • prevedere attività di controllo ad ogni livello operativo e individuare compiti e responsabilità, per assicurare il coordinamento tra i principali soggetti coinvolti nel Sistema.

La gestione dei rischi è un processo trasversale, con responsabilità diffuse tra tutti i soggetti dell’impresa: il Consiglio di Amministrazione e i Comitati endoconsiliari, l’Amministratore incaricato del SCIGR (coincidente con l’Amministratore Delegato), il Collegio Sindacale, i manager e i dipendenti tutti, il Dirigente Preposto, i Presidi di secondo livello, l’Organismo di Vigilanza, il Data Protection Officer, la Funzione Internal Audit, la Funzione Risk & Compliance.

Grafico n. 14 – L’architettura del SCIGR

L'architettura

Grafico n. 15 – I principali attori del SCIGR

I principali attori del SCIGR

 

Strutture aziendali dedicate, nella Holding, presidiano specifici modelli funzionali al monitoraggio dei rischi, tra cui i rischi di potenziale commissione di reati.

I presidi di controllo interni effettuano costanti attività di monitoraggio e adeguamento dei propri modelli di funzionamento, al fine di sovrintendere nella maniera migliore ai rischi di pertinenza.

Tabella n. 11 – Modelli e presidi di controllo

modelli e presidi ambiti di presidio
Linee Guida del Modello di Gestione e Controllo ex L. 262/05 rischi sull'Informativa Finanziaria di Gruppo
Modello di Governance della Privacy rispetto del Regolamento UE 2016/679 (GDPR) e delle altre disposizioni nazionali ed europee in materia di protezione dei dati personali
Programma di Compliance Antitrust rispetto della normativa antitrust e della normativa consumeristica e sviluppo di una cultura d'impresa volta a garantire la tutela della concorrenza e del consumatore
Presidio Cyber Security presidio dei rischi cyber, anche in conformità alla Direttiva UE 1148/2016 sulle reti e sistemi informativi europei (NIS)
Presidio ambiti ISO45001 e ISO14001 presidio dei rischi sulla salute e sicurezza nei luoghi di lavoro e dei rischi ambientali improntato agli standard internazionali
Modello di Organizzazione, Gestione e Controllo ex D. Lgs. 231/01 rischio di commissione di reati e illeciti amministrativi nell'ambito dell'attività della Società

IL MODELLO DI GOVERNANCE PRIVACY ACEA

In Acea è presente un Modello di Governance Privacy di Gruppo conforme alle indicazioni del Regolamento UE 2016/679 sulla protezione dei dati (GDPR), che costituisce il framework organizzativo e di controllo nel quale si identificano sia ruoli e responsabilità sia modalità di attuazione dei principi basilari della disciplina sulla tutela della privacy, con un approccio preventive risk based sorretto da un monitoraggio continuo e periodiche revisioni.

modello governance

Tale Modello – implementato anche nelle Società controllate – viene revisionato annualmente sulla base delle risultanze applicative emerse nei periodi precedenti e adeguato per rafforzarne l’efficacia applicativa (Control Framework).

Acea presidia i diversi ambiti con impatto sulla privacy, che via via si configurano, ad esempio, con l’adozione dello smart working, la gestione dei dati in sicurezza e compliance.

Nel 2022 è stato concluso il programma di analisi dei rischi dei “trattamenti” inclusi nel registro della Capogruppo, per consentire l’aggiornamento costante e puntuale dei rischi associati. Sui trattamenti a potenziale rischio elevato vengono svolte, a seconda delle casistiche, analisi specifiche quali DPIA (Data Protection Impact Assessment), LIA (Legitimate Interest Assessment) e TIA (Transfer Impact Assessment). Per le attività esternalizzate sono adottati strumenti contrattuali specifici per regolare il trattamento dei dati personali e viene assicurato un monitoraggio continuo delle attività di procurement.

Anche nell’anno in esame sono state attuate le indicazioni pronunciate dell’Autorità Garante Privacy, ad esempio quelle inerenti i Google analytics, e sono state avviate altre iniziative:

  • una campagna di awareness interna, con la diffusione sulla intranet aziendale di “pillole formative”, sui concetti fondamentali in ambito data protection;
  • lo sviluppo, in collaborazione con le strutture di security (fisica e cyber) della Capogruppo, di uno strumento (tool PSRC) di governo e monitoraggio di secondo livello, composto da una libreria di 62 misure/domini di controllo adeguati al rischio, allo scopo di supervisionare i rischi privacy security e data protection;
  • un “pilota” di conformità ex GDPR sui fornitori, nominati «responsabili» del trattamento, al fine di ottemperare agli obblighi di sorveglianza e controllo sul trattamento dei dati personali per il Gruppo Acea.

PROGRAMMA COMPLIANCE ANTITRUST

Il diritto antitrust e la normativa a tutela del consumatore sono ambiti essenziali di attenzione e conformità per il Gruppo Acea, che ha svolto un progetto di revisione ed aggiornamento del vigente Programma di Compliance Antitrust, con l’obiettivo di definire e formalizzare un Modello di governance della compliance antitrust strutturato e di alto profilo. Valorizzando l’esperienza già maturata e gli spunti offerti dalla prassi applicativa dell’Autorità Garante della Concorrenza e del Mercato, è infatti possibile rafforzare il sistema di controllo interno in materia ed affinare le strategie di compliance, secondo gli orientamenti espressi dalla giurisprudenza e dalle Autorità Antitrust nazionali e comunitarie. Nel 2022 il Consiglio di Amministrazione di Acea ha approvato la “Linea Guida Compliance Antitrust e Tutela del Consumatore” con la quale ha inteso fornire alle Società controllate, all’interno di un framework comune, gli indirizzi per la realizzazione del proprio Modello di Compliance Antitrust, ciascuna secondo le proprie specificità. Le Società controllate garantiscono la presenza di un presidio con un Referente Antitrust responsabile delle attività di implementazione del Modello.

CYBER RISK, PATRIMONIO INFORMATIVO E SISTEMI ICT

Lo sviluppo della digitalizzazione applicata alla gestione delle infrastrutture e dei servizi essenziali impone la contestuale evoluzione della capacità di far fronte a possibili minacce cyber.

Secondo dati di scenario è stato rilevato che nel primo semestre del 2022 si è verificato un numero di attacchi cyber, nel settore energy, superiore del 42% al totale attacchi subìti nel 2021; nello stesso periodo, i costi sostenuti dalle aziende per danni cyber sono triplicati e se ne stima un ulteriore raddoppio entro il 2025. Contestualmente, l’Unione Europea è intervenuta sull’evoluzione della normativa di settore e, nel nostro Paese, l’Autorità regolatoria nazionale (ACN – Agenzia per la Cybersicurezza Nazionale) ha raggiunto piena operatività.

La cyber security e lo sviluppo di competenze in tutti i domini dell’Information Security (tecnologie, legali, gestione del rischio, gestione incidenti, formazione, etc.) assumono, pertanto, sempre più valore strategico.

Anche nel 2022, l’Unità Cyber Security della Holding ha continuato il progressivo potenziamento di capacità, innovazione tecnologica, processi ed organizzazione, svolgendo un ruolo di riferimento per la sicurezza delle Società operative del Gruppo. In particolare, sono stati definiti una nuova strategia, obiettivi, tecnologie e processi negli ambiti IT, OT ed IoT, secondo un approccio olistico ed unitario al tema sicurezza, prospetticamente più sfidante. È stata condotta, nell’anno, la seconda fase del Programma di analisi del rischio cyber, incrementando il numero di asset in perimetro e cercando di sviluppare una visione integrata del rischio negli ambiti di riferimento. Sono stati rafforzati il Programma di Vulnerability Management, volto alla ricerca e mitigazione delle vulnerabilità, in termini di perimetro monitorato e di tecnologie a supporto, ed il processo di Security by design che, vertendo sulla definizione dei requisiti di sicurezza informatica, è fondamentale per sviluppare progetti tecnologici business-oriented.

Grazie allo sviluppo della Cyber Threat Intelligence, è stato possibile aumentare in maniera significativa il volume di informazioni gestite, sia esterne che interne all’azienda, ponendo le basi per un monitoraggio integrato del “clima cyber” a 360 gradi. Inoltre, la creazione di un “catalogo” di security services, da erogare in modalità “flat” e “on demand”, ne ha reso più efficace ed economica la gestione, facilitando la percezione della sicurezza cibernetica come un vantaggio competitivo per le business line.

Altri interventi messi in campo hanno inteso incidere sulla cyber resilience del Gruppo, in particolare per l’ambito Cyber Legal è stato attivato un servizio di monitoraggio normativo, al fine di individuare le iniziative legislative in materia di cyber security con impatto diretto sul contesto Acea ed anticipare, con atteggiamento proattivo, le esigenze di compliance.

Per sviluppare gli accreditamenti istituzionali, sono stati svolti incontri con le principali Istituzioni, che mirano a consolidare Acea come partner strategico in ambito cyber security e come parte attiva nella definizione e revisione di direttive e decreti attuativi in materia, riconoscendo all’azienda un ruolo di rilievo sia nella tutela delle infrastrutture critiche sia nella sicurezza delle aree Energia e Idrico.

Le capacità di Real Time Security Monitoring ed Incident Management sono state decuplicate, anche in risposta all’attuale scenario geopolitico, che ha fortemente impattato lo spazio cibernetico nel corso del 2022. Ad esempio, già nel gennaio 2022 è stato rilevato un considerevole incremento delle minacce cibernetiche provenienti da Paesi dell’Europa dell’Est, che hanno registrato un picco in febbraio, mese in cui i tentativi di attacco sono passati da 2 milioni/mese ad oltre 9 milioni/mese.

Sono proseguite, infine, la campagna di awareness & training rivolta a tutta la popolazione aziendale, per accrescere sensibilità e competenze individuali sui temi cyber security, e le partecipazioni di Acea al Programma europeo ECHO (European network of Cybersecurity centres and competence Hub for innovation and Operations), per la costituzione di una rete europea dei centri di competenza in materia, ed al progetto H2020 ATENA che si occupa di sicurezza e resilienza delle infrastrutture digitali.

TUTELA DEL PATRIMONIO FISICO E GESTIONE DEI RISCHI INTERNI

L’Unità Security, all’interno della Funzione Risorse Umane, definisce le Linee guida e le politiche in materia di tutela e protezione del patrimonio fisico aziendale e cura le attività correlate, funzionali alla prevenzione di fenomeni fraudolenti ed al rispetto delle normative vigenti in materia di security. Essa, inoltre, presidia la progettazione, l’installazione e la manutenzione dei Sistemi di Sicurezza per i siti aziendali delle Società controllate dal Gruppo e coordina l’attuazione dei piani di continuità operativa e di gestione delle emergenze.

L’Unità Security gestisce le strutture e il personale della vigilanza e dell’accoglienza e controlla la Sala Operativa Sicurezza (SOS), i sistemi di videosorveglianza, antintrusione e allarme; coordina, infine, in collaborazione con le competenti strutture e le Società del Gruppo, il corretto svolgimento delle attività richieste dall’Autorità Giudiziaria, dalle Istituzioni di Sicurezza e dalle Forze dell’Ordine.

Nel 2022 è proseguita la sostituzione di apparecchiature informatiche presenti nella Sala Operativa Sicurezza; all’interno di questa sono stati predisposti e installati sistemi PAM per la salvaguardia delle password privilegiate e software con una tecnologia basata sull’Intelligenza Artificiale (AI) per la mitigazione dei rischi e dei possibili effetti di attacchi hacker. È proseguita, nell’anno, l’attenzione mirata al rischio pandemico nelle sedi di lavoro.

Le Società del Gruppo, nel contesto del Sistema di Controllo Interno e di Gestione dei Rischi, adottano propri Modelli di Organizzazione, Gestione e Controllo (MOG) ai sensi del D. Lgs. n. 231/2001 per prevenire il rischio di determinati reati o illeciti amministrativi commessi, nel loro interesse o vantaggio, da parte di soggetti apicali o sottoposti alla direzione o vigilanza di questi ultimi. L’elaborazione dei Modelli è preceduta da una mappatura delle aree aziendali interessate (c.d. “aree a rischio”) e dall’identificazione delle attività sensibili e dei potenziali illeciti. I Modelli vengono aggiornati tempestivamente a fronte di modifiche dell’organizzazione o delle attività svolte, oppure a seguito dell’introduzione di nuove fattispecie nel catalogo dei reati presupposto del citato Decreto legislativo. Nel 2022 gli aggiornamenti normativi del D. Lgs. n. 231/2001 hanno riguardato l’entrata in vigore della Legge 9/2022 recante “Disposizioni in materia di reati contro il patrimonio culturale”, che ha introdotto tra i nuovi reati i “Delitti contro il patrimonio culturale” (art. 25-septiesdecies) ed il “Riciclaggio di beni culturali e devastazione e saccheggio di beni culturali e paesaggistici” (art. 25-duodevicies).

Per Acea, l’adozione di principi e l’osservanza delle regole previste dal Codice Etico aziendale – parte integrante del Modello 231 e del Sistema di controllo interno – sono rilevanti anche per prevenire i reati ex D. Lgs. n. 231/2001, oltre che essere pronto riferimento per tutti coloro cui il Codice si rivolge. L’Organismo di Vigilanza (OdV), previsto quale attore essenziale dal medesimo Decreto, ha pieni e autonomi poteri d’iniziativa, intervento e controllo in ordine al funzionamento, all’efficacia e all’osservanza degli specifici Modelli. È costituito un presidio organizzativo nella Funzione Internal Audit che assicura interventi di verifica e monitoraggio su alcuni processi strumentali ai sensi del D. Lgs. n. 231/2001, ovvero nel cui ambito potrebbero crearsi i presupposti o i mezzi per la realizzazione di una molteplicità di reati, per conto dell’Organismo di Vigilanza delle Società controllate dotate del Modello.

La Funzione Internal Audit effettua i controlli previsti dal Piano degli interventi di auditapprovato dal Consiglio di Amministrazione, previo parere del Comitato Controllo e Rischi. Il Piano viene elaborato in base all’analisi e prioritizzazione dei principali rischi di Acea e delle Società controllate, eseguite in sede di Risk Assessment, anche grazie al monitoraggio svolto dalle Funzioni aziendali incaricate dei controlli di secondo livello.

Nel 2022, circa il 91% delle attività del Piano ha riguardato processi aziendali ritenuti esposti ai rischi ex D. Lgs. n. 231/2001, tra cui i reati di corruzione, quelli ambientali, e in violazione delle norme antinfortunistiche e a tutela della salute sul lavoro.

Con riferimento ad audit su processi correlati ai rischi di corruzione, si segnalano, in particolare, periodiche attività di verifica su “sponsorizzazioni”, “consulenze”, “selezione del personale”, “acquisti e pagamenti”, “transazioni stragiudiziali” su tutte le Società controllate che hanno adottato il Modello ex D. Lgs. n. 231/2001.

Come previsto dagli standard professionali dell’Institute of Internal Auditors (IIA), gli interventi di audit valutano anche gli specifici rischi di frode del processo analizzato e testano l’operatività dei relativi controlli. Con riferimento alle attività di detection audit sono stati adottati 23 Key Risk Indicator inerenti al ciclo passivo, che vengono analizzati periodicamente.

SEGNALAZIONI PERVENUTE SUL CODICE ETICO E RUOLO DELL’ETHIC OFFICER

Nel novembre 2022 il Consiglio di Amministrazione di Acea SpA ha adottato il nuovo Codice Etico, in revisione ed aggiornamento dell’edizione del 2018. Oltre a riflettere l’evoluzione normativa e organizzativa, l’aggiornamento ha perseguito l’obiettivo di rendere il Codice Etico maggiormente fruibile e applicabile alle diverse realtà del Gruppo ed a consentire una più ampia diffusione dei principi e dei valori di Acea verso tutte le Società e le persone del Gruppo.

Si segnala, inoltre, l’integrazione di riferimenti a principi e standard connessi ad iniziative strategiche per il Gruppo, soprattutto per quanto riguarda la sostenibilità, e la valorizzazione di tematiche quali:

  • la tutela dei diritti umani in ogni contesto operativo, inclusa la catena di fornitura;
  • il richiamo esplicito all’inclusione, al coinvolgimento delle persone di Acea e al benessere organizzativo;
  • l’impegno per la salvaguardia degli ecosistemi e della biodiversità;
  • l’impegno a definire una strategia di mitigazione e adattamento ai cambiamenti climatici;
  • l’importanza del dialogo e del confronto con gli stakeholder;
  • l’istanza di interagire con fornitori attenti alle tematiche di sostenibilità.

In Acea è in vigore una procedura attivabile sia dai dipendenti che da soggetti esterni, per la ricezione, l’analisi e il trattamento di segnalazioni – c.d. “whistleblowing” – relative ad eventuali inosservanze della legge, delle regole interne e del Codice Etico, nonché a temi riconducibili al Sistema di controllo interno, all’informativa societaria, alla responsabilità amministrativa della Società (D. Lgs. n. 231/2001), a frodi e conflitti di interesse, assicurando il massimo grado di confidenzialità e riservatezza nel trattamento delle comunicazioni ricevute a tutela del segnalante e del segnalato. La piattaforma informatica aziendale “Comunica Whistleblowing, tramite un sistema avanzato di criptazione delle comunicazioni e del database, garantisce il rispetto degli standard normativi richiesti (L. n. 179/2017), la riservatezza dell’identità del segnalante, l’archiviazione sicura dei documenti trasmessi e caricati a sistema, la gestione riservata dei processi di analisi e gestione.

Le segnalazioni relative a presunte violazioni del Codice Etico e del SCIGR delle Società del Gruppo sono trasmesse all’Ethic OfficerOrgano collegiale di Gruppo che gestisce il sistema di segnalazioni di presunte violazioni per inosservanza della legge, della normativa interna e del Codice Etico e vigila sul rispetto dei valori di trasparenza, legalità, equità ed integrità etica nei rapporti con tutti gli stakeholder. L’Ethic Officer, inoltre, predispone relazioni periodiche sulle principali evidenze emerse ai Vertici aziendali e agli Organi di controllo.

Nel 2022 sono pervenute all’Ethic Officer 38 segnalazioni, di cui 24 relative a presunte violazioni al Codice Etico e 14 relative ad altre fattispecie (reclami commerciali, denunce di presunti allacci abusivi alle reti idrica ed elettrica) e pertanto qualificate come “non inerenti”; 16 di queste segnalazioni sono state trasmesse all’indirizzo e-mail dell’Ethic Officer, 12 tramite posta ordinaria e 10 tramite la Piattaforma whistleblowing.

Le 24 segnalazioni valutate “inerenti” hanno riguardato: 4 il rapporto con i clienti, 7 gli ambiti salute, sicurezza e ambiente, 6 gli approvvigionamenti e i rapporti con i fornitori, 2 l’ambito risorse umane, 2 la tutela del patrimonio aziendale, 1 trasparenza e correttezza e 2 il rispetto della normativa aziendale. A conclusione delle attività di verifica 7 segnalazioni sono state valutate fondate e, pertanto, sono state adottate le relative azioni correttive, 14 segnalazioni sono state ritenute “non fondate”, 2 sono state “archiviate” in quanto “non circostanziate” e “non verificabili” ed 1 è stata classificata come “sospesa”, ai sensi della procedura “Whistleblowing”, in quanto oggetto di contenzioso giuslavoristico con un dipendente.

Al mancato rispetto del Codice Etico da parte dei dipendenti possono conseguire provvedimenti disciplinari, richiamati dal Codice stesso e dai MOG 231 adottati dalle Società del Gruppo, come multe o sospensioni dal servizio che possono incidere sulla retribuzione.

L’Ethic Officer ha anche il compito di supportare le strutture aziendali deputate alla formazione sul Codice Etico, promuovendo programmi di comunicazione e attività finalizzate a darne massima diffusione, ed il Comitato per l’Etica e la Sostenibilità nel monitoraggio dell’adeguatezza e dell’attuazione del Codice Etico, per le materie di competenza. A tal fine, l’Ethic Officer può proporre al Comitato per l’Etica e la Sostenibilità l’emanazione o la modifica di eventuali linee guida e di procedure operative per ridurre il rischio di violazione del Codice Etico ed indicarne l’opportunità di aggiornamento. Nel 2022, l’Ethic Officer ha periodicamente monitorato la fruizione della formazione sul Codice Etico e sul Whistleblowing. Un componente dell’Ethic Officer ha altresì tenuto due sessioni formative in modalità “live”, indirizzate ai dirigenti e soggetti apicali, sul processo di whistleblowing.

 

ANALISI INTEGRATA E MODALITÀ DI GESTIONE DEI RISCHI

Il Gruppo Acea tramite il processo di Enterprise Risk Management (ERM), basato sul COSO framework “Enterprise Risk Management (ERM) - Integrating with Strategy and Performance” 2017, migliora la visione integrata dei rischi e la loro gestione proattiva.

Il Processo ERM ha lo scopo di:

  • rappresentare tipologia e significatività (probabilità e impatto economico-finanziario e/o reputazionale) dei principali rischi, con impatti anche su temi di sostenibilità, che possono pregiudicare il raggiungimento degli obiettivi strategici e di business del Gruppo;
  • indirizzare le strategie di risposta e le conseguenti ulteriori azioni di mitigazione ove necessarie.

La metodologia e gli strumenti utilizzati per identificare i rischi e valutarne la severità, in modo coerente a livello di Gruppo, tramite la definizione del Risk Model, hanno ulteriormente focalizzato l’attenzione verso gli aspetti ESG e gli scenari di rischio associati ai temi emersi dall’analisi di materialità (si veda, per approfondimenti, Comunicare la sostenibilità: nota metodologica). Durante il risk assessment, effettuato almeno annualmente a livello di Gruppo, i “risk owner” identificano gli scenari di rischio collegati ai temi materiali Acea, evidenziando i possibili impatti e le attività tipiche di controllo poste in essere al fine di gestirli e mitigarli. I risultati del Processo ERM vengono tenuti in considerazione anche per la pianificazione di azioni volte a mitigare rischi e cogliere opportunità da parte delle Società del Gruppo dotate di Sistemi di gestione certificati.

Il Risk Assessment Report di Gruppo, redatto a valle delle attività e con le tempistiche sopra menzionate, fornisce al Consiglio di Amministrazione di Acea SpA e ai Comitati una visione di sintesi del profilo di rischio complessivo del Gruppo, nonché della sua evoluzione temporale. La Funzione Risk & Compliance, inoltre, su richiesta degli organi di controllo e/o di amministrazione, può essere chiamata a produrre specifica reportistica connessa al risk assessment su particolari ambiti, incluse tematiche ESG, in linea con la metodologia e il framework ERM.

Il processo ERM prevede la costante interazione tra l’Unità ERM della Funzione Risk & Compliance della Capogruppo ed i focal point nelle Unità Risk & Compliance delle Società operative (si veda grafico n. 16).

Grafico n. 16 – L’unità ERM e i Focal point societari

L'unità ERM e i focal point Societari

Tabella n. 12 – Temi materiali Acea, rischi e modalità di gestione

tema materiale in alta rilevanza e rischio collegato impatto potenziale su Acea impatto potenziale sugli stakeholder (*) modalità di gestione dei rischi e degli impatti correlati

GESTIONE SOSTENIBILE DEL CICLO DELLA RISORSA IDRICA
eventi naturali sfavorevoli e/o cambiamenti climatici (*);
ritardi autorizzativi che impattano sulle condizioni ottimali di gestione

economico/ finanziario

reputazionale

ambiente naturale,
collettività/cittadini,
abitanti serviti idrico, ecosistema innovazione e ricerca/business partner/comunità scientifica/realtà associative,
istituzioni

  • Policy, processi e procedure (rapporti con referenti istituzionali ed enti autorizzatori)
  • Strutture organizzative dedicate
  • Focalizzazione degli investimenti
  • Piani di Business Continuity e di manutenzione
  • Studi e analisi specialistiche (ISO 17025)
  • Sistemi di sicurezza informatica

ETICA E INTEGRITÀ NELLA CONDUZIONE DEI BUSINESS

comportamenti contrari a normative cogenti, a norme interne e standard di riferimento

economico/ finanziario

reputazionale

collettività/cittadini,
abitanti serviti idrico,
popolazione servita Areti, clienti Acea Energia, azionisti e investitori,
dipendenti,
fornitori/catena produttiva,
ecosistema
innovazione e ricerca/ business
partner/comunità scientifica/realtà associative,
istituzioni

  • Policy, processi e procedure (Codice Etico - Modello Organizzazione, Gestione e Controllo 231/2001 - sistema whistleblowing)
  • Persone e organizzazione (piani di formazione e comunicazione)
  • Monitoraggio e rendicontazione periodica

TUTELA DEGLI ECOSISTEMI E DELLA BIODIVERSITÀ

superamento dei limiti emissivi previsti da leggi e decreti autorizzativi; mancato raggiungimento degli obiettivi di diffusione dei consumi da fonti rinnovabili;
impatti sulle condizioni di equilibrio ambientale causati da impianti in via eccezionale non conformi ai limiti di legge

economico/ finanziario

reputazionale

tutti gli stakeholder
  • Policy, processi e procedure (ISO 14001 ed EMAS)
  • Persone e organizzazione (strutture dedicate e formazione)
  • Focalizzazione degli investimenti
  • Strumenti monitoraggio e supporto
  • Studi e analisi specialistiche
  • Reporting periodico
  • Piani di manutenzione
  • Applicativi di telecontrollo e telegestione

CAMBIAMENTO CLIMATICO E TRANSIZIONE ENERGETICA

mancata realizzazione di impianti sostenibili, mancato adeguamento delle prassi operative con l'evoluzione dei cambiamenti climatici e mancato raggiungimento degli obiettivi di diffusione dei consumi da fonti rinnovabili (produzione di energia da fonti rinnovabili, resilienza rete elettrica, disponibilità della risorsa idrica)

economico/ finanziario reputazionale

tutti gli stakeholder

  • Policy, processi e procedure (ISO 50001, ISO 14001, UNI 11352 ed EMAS)
  • Struttura organizzativa dedicata
  • Studi e analisi specialistiche
  • Focalizzazione degli investimenti
  • Reporting periodico

INNOVAZIONE TECNOLOGICA E TRASFORMAZIONE DIGITALE

inefficienza operativa per inadeguatezza tecnologica e innovativa; cyber risk OT (*)

economico/ finanziario

reputazionale

tutti gli stakeholder

  • Policy, processi e procedure (interlocuzione con controparti istituzionali)
  • Monitoraggio e rendicontazione periodica
  • Persone e organizzazione (formazione e consolidamento competenze)
  • Sistemi di sicurezza informatica

GESTIONE E TRATTAMENTO DEI RIFIUTI IN OTTICA DI ECONOMIA CIRCOLARE

mancato rispetto della normativa; ostacoli sul mercato del trattamento e conferimento dei rifiuti (*)

economico/ finanziario

ambiente naturale, collettività/cittadini, nuove generazioni, fornitori/catena produttiva, ecosistema innovazione e ricerca/business partner/comunità scientifica/realtà associative

  • Policy, processi e procedure (ISO 14001 ed EMAS)
  • Persone e organizzazione (strutture dedicate e formazione)
  • Rendicontazione periodica
  • Verifiche su clienti/ fornitori/ partner
  • Consolidamento tramite acquisizioni societarie (M&A)
  • Piani di monitoraggio e controllo

SALUTE E SICUREZZA SUL LAVORO

infortuni sul lavoro e rischio epidemiologico

economico/ finanziario

reputazionale

dipendenti

  • Policy, processi e procedure (ISO 45001, Biosafety Trust, ISO39001)
  • Persone e organizzazione (struttura dedicata, piani di formazione e comunicazione)
  • Verifiche sui fornitori
  • Manutenzione straordinaria su impianti a servizio delle sedi, sanificazioni sedi
  • Monitoraggio e rendicontazione periodica
ASCOLTO E COINVOLGIMENTO DI STAKEHOLDER E TERRITORIO
tensioni con le rappresentanze degli stakeholder sul territorio con effetti negativi sullo sviluppo delle attività (*)

economico/ finanziario

reputazionale

tutti gli stakeholder

  • Policy, processi e procedure
  • Persone e organizzazione (attività di presidio stakeholder engagement, formazione e consolidamento competenze)
  • Processi di interlocuzione con le controparti

VALORIZZAZIONE DELLE COMPETENZE ED EVOLUZIONE DELL’AMBIENTE DI LAVORO

mancata adeguatezza sia in termini di competenze che di composizione degli organici aziendali

economico/ finanziario

reputazionale

dipendenti

  • Policy, processi e procedure (Politiche di remunerazione e incentivazione)
  • Persone e organizzazione (strutture dedicate e formazione)
  • Sistema di valutazione delle performance
  • Monitoraggio e rendicontazione periodica

SOSTENIBILITÀ NELLA PROGETTAZIONE, REALIZZAZIONE E GESTIONE DELLE INFRASTRUTTURE

impatti ambientali e sociali da inadeguata e mancata progettazione realizzazione e/o gestione di impianti/reti (*)

economico/ finanziario

reputazionale

ambiente naturale, collettività/ cittadini, nuove generazioni, abitanti serviti idrico, popolazione servita Areti, clienti Acea Energia, azionisti e investitori, fornitori/ catena produttiva, ecosistema innovazione e ricerca/ business partner/ Comunità scientifica/ realtà associative, istituzioni

  • Policy, processi e procedure (applicazione delle best practices di settore)
  • Monitoraggio e rendicontazione periodica
  • Persone e organizzazione (formazione e consolidamento competenze)
  • Implementazione di applicativi specifici
  • Piani di manutenzione

CENTRALITÀ DEL CLIENTE

mancato raggiungimento dei livelli di qualità dei servizi;

economico/ finanziario

reputazionale

collettività/ cittadini, abitanti serviti, idrico, popolazione servita Arieti, clienti Acea Energia

  • Policy, processi e procedure
  • Struttura organizzativa dedicata
  • Reporting periodico (analisi della clientela e dei servizi)
  • Monitoraggio quadro regolatorio e normativo di riferimento
  • Investimento in applicativi di customer care

SOSTENIBILITÀ E CIRCOLARITÀ LUNGO LA CATENA DI FORNITURA

mancato controllo del processo acquisto;
mancato rispetto da parte dei fornitori dei requisiti richiesti (salute e sicurezza, ambientale, anticorruzione)

economico/ finanziario

reputazionale

fornitori/ catena produttiva, ecosistema innovazione e ricerca/ business partner/ comunità scientifica/ realtà associative

  • Policy, processi e procedure
  • Monitoraggio qualità dei beni/ servizi ricevuti
  • Albo fornitori qualificati
  • Studi e analisi specialistiche di benchmark

BENESSERE AZIENDALE, DIVERSITÀ E INCLUSIONE

incremento tasso assenteismo; compromissione del clima aziendale; possibili contenziosi legali da parte dei dipendenti

economico/ finanziario

reputazionale

dipendenti

  • Policy, processi e procedure
  • Persone e organizzazione
  • Piani di formazione e comunicazione
  • Iniziative di welfare aziendale (ad esempio: flexible benefit, check-up sanitari)

GOVERNANCE ORIENTATA AL SUCCESSO SOSTENIBILE

inadempienza al D. Lgs. n. 254/2016; inadeguatezza del sistema normativo interno rispetto agli indirizzi del Codice di corporate governance

reputazionale

Azionisti e investitori, dipendenti, istituzioni

  • Policy, processi e procedure (aggiornamento e verifica dei sistemi informativi e dell’organizzazione)
  • Comitati endoconsiliari (Etica e Sostenibilità, Controllo e Rischi)
  • Attestazione dei responsabili dati e reporting assurance del revisore
  • Monitoraggio e rendicontazione periodica

- TEMI ECONOMICI E DI GOVERNANCE - TEMI SOCIALI - TEMI AMBIENTALI

NB: l’elenco completo degli stakeholder include: ambiente naturale, collettività/cittadini, nuove generazioni, abitanti serviti dalle Società dell’area Idrico in perimetro DNF, popolazione servita da Areti (distribuzione di energia), clienti di Acea Energia (maggior tutela, libero, gas), azionisti e investitori, dipendenti (Società in perimetro DNF), fornitori/catena produttiva, ecosistema innovazione e ricerca/business partner/comunità scientifica/realtà associative, istituzioni.

(*) I rischi contrassegnati con un asterisco corrispondono ai principali rischi emergenti che possono avere un impatto significativo sul Gruppo Acea.

Nel 2022 è stato condotto un nuovo ciclo di analisi di materialità che ha previsto il coinvolgimento diretto dei manager del Gruppo nell’identificazione e nella valutazione dei principali temi materiali con impatti sull’azienda, sulle sue performance e sul suo andamento. Sviluppando una maggiore sinergia con il mondo del risk assessment, i manager sono stati guidati da facilitatori qualificati in una riflessione che si è concentrata anche sulle principali opportunità associate ai temi materiali. Dal confronto collettivo sono emerse alcune suggestioni, tra cui: il ruolo centrale riconosciuto alle nuove tecnologie e alla capacità di sviluppare sinergie con soggetti qualificati dell’ecosistema innovazione, non solo per il miglioramento dei processi industriali ma anche per lo sviluppo di servizi e prodotti innovativi per la transizione ecologica; l’importanza della qualità delle relazioni con gli stakeholder, da ricercare mediante un dialogo attento e partecipato, finalizzato a rispondere ad esigenze centrali; la necessità di sviluppare nuove competenze e professionalità chiave per i business gestiti.

Secondo il più recente rapporto sui rischi globali percepiti - Global Risk Report 2023 -pubblicato dal Word Economic Forum in gennaio 2023, gli esiti della Global Risks Perception Survey 2022-2023, mettono nuovamente in cima alla classifica dei “top ten global risks, quali maggiori minacce sul lungo periodo (dieci anni), il fallimento tanto della mitigazione quanto dell’adattamento al cambiamento climatico, seguiti dal rischio del verificarsi di disastri naturali ed eventi estremi e da perdita di biodiversità e collasso dell’ecosistema.

Acea è attenta al presidio di tale tematica e le iniziative intraprese le hanno consentito di mantenere un buon posizionamento nella valutazione CDP (già Carbon Disclosure Project); inoltre, per ampliare l’analisi dei fattori di rischio generati dal cambiamento climatico e dei loro impatti sui business gestiti, il Gruppo ha portato avanti il percorso di allineamento alle raccomandazioni definite dalla Task Force on Climate-related Financial Disclosures, tramite l’analisi di ulteriori rischi potenziali sul lungo periodo (per approfondimenti si veda in Le relazioni con l’ambiente, il paragrafo Rischi ambientali e climatici: approfondimenti e disclosure).

Il riscontro al Questionario CDP include la valutazione di rischi ed opportunità, collegati alle attività, su un orizzonte sia di breve e medio-periodo sia di lungo periodo e la tabella n. 13 propone una rappresentazione delle principali evidenze emerse: l’orizzonte temporale dello scenario e le implicazioni più significative per l’azienda, in termini economico-finanziari, reputazionali, di impatto ambientale e sui clienti.

Tabella n. 13 – Rischi e opportunità collegati al cambiamento climatico: evidenze CDP

RISCHI      
tipologia di rischio Dettaglio tipologia e descrizione del rischio Ambiti industriali più impattati Orizzonte temporale

TRANSIZIONE

Rischi derivanti dal processo di transizione in atto verso un sistema economico decarbonizzato (ad esempio, ambiti normativi, tecnologici, di mercato)

Normativo-Regolatorio

Questi rischi possono manifestarsi nei seguenti modi: politiche di carbon tax crescenti e certificati bianchi; modifiche nei regimi incentivanti; inasprimento dei valori collegati all'Emission Trading Scheme (sia in termini di quote ammesse - onerose o no - che di costi delle quote delle emissioni effettive); evoluzioni normative che impongono la riduzione degli impatti nello svolgimento delle attività operative

Produzione energetica (termoelettrica e Waste to energy)

Gestione reti elettriche

Gestione idrica

breve-medio-lungo

Tecnologico

L'evoluzione tecnologica può imporre la riconversione del disegno dei processi al fine di renderli meno inquinanti (ad esempio sostituire gli impianti esistenti o parti di essi con altre tecnologie a basse emissioni)

Produzione energetica (termoelettrica e Waste to energy)

Gestione reti elettriche

Gestione idrica

medio

Legale

Tra questi rientrano i rischi legati all'inasprimento delle sanzioni legali ed economiche per il mancato rispetto di standard di performance - qualità tecnica nel servizio elettrico e in quello idrico (multe e costi incrementali di conformità)

Gestione reti elettriche

Gestione idrica

medio-lungo

Mercato

I rischi commerciali sono riconducibili al mancato adeguamento dei prodotti/servizi delle Società del Gruppo alle nuove esigenze dei clienti, sempre più attenti alle tematiche di sostenibilità, oppure all'aumento della povertà, causata anche dai cambiamenti climatici, che modifica le abitudini dei consumatori/clienti

Tutti i business ed in particolare Commerciale medio-lungo

Reputazionale

Si considera il rischio derivante da una percezione negativa dell'immagine dell'azienda da parte degli stakeholder come effetto di eventi/condizione negativi collegati al cambiamento climatico (ad esempio interruzione dei servizi provocati dalla scarsità della risorsa idrica o da eventi climatici estremi)

Il Gruppo Acea breve-medio

FISICI

Rischi derivanti dagli effetti fisici conseguenti agli eventi climatici (acuti se collegati a fenomeni episodici o cronici se riferiti a mutamenti sul lungo periodo)

Acuti

I fenomeni metereologici estremi come le forti piogge e le bombe d'acqua causano stress sulla capacità di resilienza della rete elettrica (interruzione dell'alimentazione elettrica) ma anche difficoltà nella normale gestione della sovrabbondanza di acqua nel servizio idrico: le bombe d'acqua possono anche causare un temporaneo disservizio degli impianti di trattamento delle acque reflue e dell'intero servizio della rete fognaria. I fenomeni di ondata di calore causano picchi di richiesta di energia/acqua sulla rete di distribuzione elettrica/rete idrica.

Gestione reti elettriche

Gestione idrica

Produzione energetica

breve-medio-lungo

Cronici

La riduzione delle precipitazioni può avere un impatto negativo sul servizio di distribuzione dell'energia elettrica, sulla produzione di energia elettrica dagli impianti idroelettrici ma anche sulla disponibilità della risorsa idrica per consumo umano, provocando conseguentemente nel settore idrico un aumento dei consumi energetici per il prelievo di acqua.

Il rischio di fulminazioni sempre più frequenti può determinare interruzioni nella distribuzione di energia elettrica e quindi un danno economico.

La variazione delle temperature può causare variazione nella composizione dei rifiuti in entrata agli impianti di termovalorizzazione cambiando le necessità tecnologico-operative anche connesse alla variazione delle emissioni e ai trattamenti necessari. Inoltre gli incentivi sono legati alla quantità biodegradabile del rifiuto

Gestione reti elettriche

Gestione idrica

Produzione energetica

breve-medio-lungo

OPPORTUNITÀ
driver Dettaglio tipologia e descrizione dell'opportunità Ambiti industriali interessati Orizzonte temporale
Economia circolare Promozione di modelli di economia circolare e progetti di recupero da rifiuti, ad esempio con processi di termovalorizzazione abbinati a recupero di materiale (esempio: recupero del sodio e delle ceneri) Area Ambiente medio
Sviluppo impianti fotovoltaici Diversificazione del parco produzione con acquisizione e/o costruzione di sistemi fotovoltaici che, oltre a ricevere incentivi per l'immissione in rete di energia elettrica prodotta, permettono di bilanciare eventuali riduzioni di produzione da idroelettrico. Produzione energia elettrica; innovazione tecnologica medio
Aumento resilienza rete Investimenti per migliorare la resilienza della rete elettrica incentivati dall'ARERA. Distribuzione energia elettrica medio
Mercato e servizi Opportunità derivanti dalla variazione della domanda di energia correlata alle modifiche di picco nelle temperature ambientali e dall'innalzamento della temperatura media con impatti sulla crescita dei prezzi e volumi venduti Vendita energia breve-medio

Nel giugno 2022, inoltre, a valle di un progetto ultimato nel 2021 volto a identificare, selezionare ed approfondire i rischi climatici più rilevanti per le principali Società del Gruppo, è stata pubblicata l’Informativa climatica Gruppo Acea 202154 secondo le raccomandazioni della Task Force on Climate-related Financial Disclosures (TCFD), avviando un percorso verso il miglioramento di consapevolezza e prassi di rendicontazione finanziaria collegata agli aspetti del cambiamento climatico più significativi. Il progetto sulle analisi climatiche, come accennato, è proseguito nel corso del 2022, ampliando il numero delle Società dell’area Idrico coinvolte ed il ventaglio dei rischi indagati (fisici e/o di transizione). Per approfondimenti si veda il box Il progetto Acea 2022 sull’approccio TCFD in Le relazioni con l’Ambiente.

Infine, in rapporto alla gestione dei rischi operativi in caso di emergenze e alle iniziative preventive ed operative definite dalle Società del Gruppo, si rinvia al capitolo Istituzioni e impresa (paragrafo I Piani di gestione delle emergenze).

L’ANALISI DEI POTENZIALI RISCHI AMBIENTALI GENERATI

Le Società operative nelle aree industriali del comparto idrico, delle reti e della generazione energetica e dell’ambiente, dotate di Sistemi di gestione ambientale certificati ISO 14001:2015, identificano i potenziali impatti ambientali negativi generati dalle attività in relazione a specifici eventi o accadimenti.

Per il settore idrico, i principali rischi riguardano: gli episodi di fenomeni climatici acuti o cronici o eventi sismici, che potrebbero causare cedimenti strutturali o malfunzionamenti degli impianti e dei sistemi a rete, causando carenze idriche all’utenza o sversamenti accidentali di inquinanti; gestione operativa non efficiente della risorsa idrica, che potrebbe causare livelli elevati di perdite con conseguenti consumi eccessivi; stress idrico; possibili sforamenti dei parametri di controllo della risorsa con conseguenze ambientali; inadeguati interventi sul sistema fognario-depurativo con possibile contaminazione del suolo e dei corpi idrici; rischi di incendi ed esplosioni presso impianti di depurazione collegati alla produzione di biogas con possibili impatti in termini di emissioni in atmosfera.

Nell’ambito delle reti energetiche, i principali rischi sono riconducibili a: insistenza degli impianti aerei e interrati, con impatti in termini di uso del territorio e del sottosuolo; generazione di rifiuti e impatti su ecosistemi; generazione di campi elettromagnetici, con impatti in termini di esposizioni; manutenzione degli impianti di trasformazione, con potenziali contaminazioni di suolo e sottosuolo con materiali pericolosi; manutenzione e realizzazione di impianti, con impatti in termini di produzione di rifiuti speciali.

Per le attività di generazione di energia elettrica, realizzata con centrali a fonti rinnovabili e convenzionali, i potenziali rischi ambientali riconducibili alla gestione ordinaria degli impianti o in caso di eventi critici come incendi o esplosioni possono determinare lo sversamento accidentale di sostanze inquinanti o il superamento dei valori soglia nelle emissioni (in atmosfera, nelle acque superficiali e in fognatura). Un profilo di rischio ambientale deriva dalla potenziale pericolosità di cedimenti strutturali delle opere idrauliche, imputabili a fenomeni naturali critici (come terremoti di particolare intensità e/o piene millenarie), che potrebbero determinare effetti sul territorio a valle degli impianti (come inondazioni).

Il settore ambientale riguarda le attività di trattamento, recupero e smaltimento di rifiuti, recupero di materia e di energia (termovalorizzazione e compostaggio) e servizio di raccolta, trasporto e conferimento a recupero o a smaltimento dei rifiuti non pericolosi prodotti dagli impianti di depurazione e di trattamento dei rifiuti. In tale ambito, i potenziali rischi potrebbero manifestarsi in termini ambientali con sversamenti di sostanze pericolose e conseguente contaminazione del suolo e delle falde acquifere o delle acque superficiali, oppure con emissioni in atmosfera o in acqua oltre gli specifici valori limite prescritti; nel trattamento di rifiuti non conformi rispetto alla normativa di riferimento con ripercussioni sull’operatività degli impianti; in episodi di incendi di natura non dolosa che possano determinare interruzioni dell’operatività degli impianti e l’inquinamento delle aree circostanti, così come nella mancata realizzazione di investimenti o di interventi sugli impianti, con impatto sulla gestione della società per ritardi nel rilascio di atti autorizzativi; infine, esposizioni ambientali possono generarsi da rumori, odori e polveri prodotti durante attività manutentive straordinarie degli impianti.

54 Il documento è disponibile on line nel sito web istituzionale www.gruppo.acea.it.

Condividi