Il Sistema di Controllo Interno e di Gestione dei Rischi
[GRI - 102-12],
[GRI - 102-16],
[GRI - 102-23],
[GRI - 102-24],
[GRI - 102-25],
[GRI - 102-26],
[GRI - 102-27],
[GRI - 102-29],
[GRI - 103-1],
[GRI - 103-3],
[GRI - 201-1],
[GRI - 201-2],
[GRI - 205-1],
[GRI - 301-1],
[GRI - 302-1],
[GRI - 303-1],
[GRI - 304-1],
[GRI - 305-1],
[GRI - 306-1],
[GRI - 308-1],
[GRI - 403-1],
[GRI - 406-1],
[GRI - 418-1],
Il Sistema di Controllo Interno e di Gestione dei Rischi di Acea (SCIGR) riveste un ruolo centrale nella governance del Gruppo ed è costituito dall’insieme di persone, strumenti, strutture organizzative preposte a:
- identificare i rischi che possono incidere sul perseguimento degli obiettivi stabiliti dal Consiglio di Amministrazione;
- favorire l’assunzione di decisioni consapevoli e coerenti con gli obiettivi aziendali, nell’ambito di una conoscenza dei rischi e del livello di tolleranza agli stessi, della legalità e dei valori aziendali;
- salvaguardare il patrimonio aziendale, l’efficienza e l’efficacia dei processi, l’affidabilità dell’informazione fornita agli organi sociali e al mercato e il rispetto delle norme interne ed esterne.
Le Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi promuovono una conduzione del Gruppo corretta e coerente con gli obiettivi aziendali, tramite un processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi e l’attivazione di flussi informativi per la condivisione ed il coordinamento tra i suoi vari attori. Le Linee di indirizzo tengono conto delle raccomandazioni del Codice di Corporate Governance di Borsa Italiana e si ispirano alle best practice esistenti, in particolare al COSO - Internal Control - Integrated Framework (Committee of Sponsoring Organizations of the Treadway Commission), ed hanno lo scopo di:
- fornire gli indirizzi affinché i principali rischi afferenti al Gruppo Acea, inclusi quelli di sostenibilità nel medio-lungo periodo, risultino correttamente identificati, misurati, gestiti e monitorati;
- identificare i principi e le responsabilità di governo, gestione e monitoraggio dei rischi connessi alle attività aziendali;
- prevedere attività di controllo ad ogni livello operativo e individuare compiti e responsabilità, per assicurare il coordinamento tra i principali soggetti coinvolti nel Sistema.
La gestione dei rischi è un processo trasversale, con responsabilità diffuse tra tutti i soggetti dell’impresa: il Consiglio di Amministrazione e i Comitati endoconsiliari, l’Amministratore incaricato del SCIGR (coincidente con l’Amministratore Delegato), il Collegio Sindacale, i manager e i dipendenti tutti, il Dirigente Preposto, i Presidi di secondo livello all’interno della Funzione Risk Management, Compliance & Sustainability, l’Organismo di Vigilanza e la Funzione Internal Audit.
Grafico n. 14 – L’architettura del SCIGR
Grafico n. 15 – I principali attori del SCIGR
I presidi di controllo interni alla Capogruppo effettuano costanti attività di monitoraggio e adeguamento dei propri modelli di funzionamento, al fine di sovrintendere nella maniera migliore ai rischi di pertinenza.
Tabella n. 14 – Modelli e presidi di controllo
| modelli e presidi | ambiti di presidio |
|---|---|
|
Linee guida del Modello di Gestione e Controllo ex L. 262/2005 |
rischi sull’Informativa finanziaria di Gruppo |
|
Linea guida di Governance della Privacy |
rischi riguardanti la protezione dei dati personali in ottemperanza |
|
Programma di Compliance Antitrust |
rischi derivanti dalla violazione della normativa antitrust e consumeristica e sviluppo di una cultura d’impresa volta a garantire la tutela della concorrenza e del consumatore |
|
Presidio Cyber Security |
rischi cyber, anche in conformità alla Direttiva UE 2016/1148 sulle reti |
|
Presidio ambiti ISO45001 e ISO14001 |
rischi sulla salute e sicurezza nei luoghi di lavoro e rischi ambientali |
|
Modello di Organizzazione, Gestione e Controllo ex D. Lgs. n. 231/2001 |
rischio di commissione di reati e illeciti amministrativi negli ambiti ricompresi dal Decreto legislativo n. 231/2001 |
|
Programma di Compliance Anticorruzione |
rischio di commissione di reati di corruzione (attivi o passivi) |
IL “MODELLO DI GOVERNANCE PRIVACY” ACEA
In Acea è operativo un Modello di Governance Privacy di Gruppo conforme al Regolamento UE 2016/679 sulla protezione dei dati (GDPR) nel quale sono identificati ruoli, responsabilità e modalità di attuazione dei principi basilari della disciplina sulla tutela della privacy, con un approccio preventive risk based sorretto da un monitoraggio continuo e periodiche revisioni.
Tale Modello è implementato anche nelle Società controllate ed è revisionato annualmente e adeguato per rafforzarne l’efficacia applicativa (Control Framework).
Acea presidia i diversi ambiti emergenti con impatto sulla privacy, come la gestione dei dati in sicurezza e compliance in regime di smart working.
Nel 2023 è stato completato il programma di analisi dei rischi delle attività di trattamento dei dati, inclusi quelli in ambito IT, presenti nel registro della Capogruppo. Sui trattamenti a potenziale rischio elevato vengono svolte, a seconda delle casistiche, analisi specifiche, quali DPIA (Data Protection Impact Assessment), LIA (Legitimate Interest Assessment) e TIA (Transfer Impact Assessment), tese a valutare i molteplici interessi ed impatti che riguardano sia il titolare del trattamento sia i diritti degli interessati, anche nei rapporti con terze parti. Per le attività esternalizzate sono adottati strumenti contrattuali specifici per regolare il trattamento dei dati personali e viene assicurato un monitoraggio continuo delle attività di procurement.
Nel 2023, inoltre, sono stati realizzati:
- una campagna di awareness interna sui concetti fondamentali in ambito data protection, “pillole formative” diffuse sulla intranet aziendale;
- una campagna formativa on line per privacy specialist per fornire le competenze sul GDPR e sul Modello di Governance Privacy di Gruppo;
- un secondo “pilota” di conformità ex GDPR sui fornitori, nominati «responsabili» del trattamento, al fine di ottemperare agli obblighi di sorveglianza e controllo sul trattamento dei dati personali per il Gruppo Acea;
- un’attività di supporto privacy in attuazione della normativa
Whistleblowing.
PROGRAMMA DI COMPLIANCE ANTITRUST
La conformità al diritto antitrust e il rispetto della normativa a tutela del consumatore sono valori di riferimento per il Gruppo Acea, che da anni è dotata di un Programma di Compliance Antitrust volto a prevenire condotte in violazione della normativa. Il Programma, implementato anche nelle Società controllate, consente di valorizzare, oltre alle evoluzioni normative, gli spunti offerti dalle prassi applicative delle Autorità per la concorrenza, nazionale ed europea, e dagli orientamenti della giurisprudenza, contribuendo a rafforzare il sistema di controllo interno e ad affinare le strategie di compliance in un’ottica di prevenzione del rischio e di miglioramento continuo.
Acea, oltre a fornire alle Società controllate, attraverso la “Linea Guida Compliance Antitrust e Tutela del Consumatore”, gli indirizzi per la realizzazione, all’interno di un framework comune, dei propri specifici Modelli di Compliance Antitrust, nel dicembre 2023 ha approvato, con delibera del Consiglio di Amministrazione, l’aggiornamento del “Manuale di conformità alla normativa Antitrust e di Tutela del Consumatore”, il principale strumento normativo del Programma di Compliance Antitrust. Il Manuale, oltre a contenere i principali elementi della normativa dettata a tutela della Concorrenza e del Consumatore, declina le fattispecie e le condotte rilevanti nonché le principali regole di comportamento che tutti i destinatari devono osservare e richiama ed applica i principi del Codice Etico del Gruppo Acea ai sensi dei quali la tutela della concorrenza e del consumatore costituiscono valori fondanti dell’attività di Acea e delle Società del Gruppo.
CYBER RISK, PATRIMONIO INFORMATIVO E SISTEMI ICT
Lo sviluppo della digitalizzazione applicata alla gestione delle infrastrutture e dei servizi essenziali continua a guidare l’evoluzione del contesto aziendale, imponendo la necessità di affrontare in modo efficace le crescenti minacce cyber.
Secondo i dati di scenario più recenti, negli ultimi 5 anni, l’Italia ha registrato un costante aumento degli attacchi informatici, con una crescita dell’86% nel primo semestre del 2023 rispetto al 2018. La frequenza e la gravità degli attacchi sono aumentate, influenzate anche dal conflitto tra Russia e Ucraina e nell’anno in esame l’Italia ha subito un significativo incremento degli episodi di crimini cyber (+40%) rispetto al 2022, superando la media globale. L’Unione Europea ha continuato a intervenire sull’evoluzione della normativa di settore ed a livello nazionale è operativa l’Autorità regolatoria nazionale per la Cybersicurezza (ACN).
La cybersecurity e lo sviluppo delle competenze in tutti gli ambiti dell’Information Security sono fondamentali, pertanto viene svolto un processo di miglioramento continuo alimentato dall’analisi del contesto esterno e dal ciclo di lessons learned relativo agli incidenti occorsi.
Nel corso del 2023, l’Unità Cyber Security di Acea ha continuato a consolidare il suo ruolo di riferimento per la sicurezza delle Società operative del Gruppo. Sono state definite nuove strategie, obiettivi, tecnologie e processi nei settori IT, OT ed IoT, seguendo un approccio olistico e unitario alla sicurezza. Le capacità di Real Time Security Monitoring ed Incident Management sono state decuplicate, rispondendo alle sfide del contesto geopolitico attuale che continua a influenzare il panorama cibernetico. Il Programma di Vulnerability Management è stato ulteriormente rafforzato, focalizzandosi sulla ricerca e mitigazione delle vulnerabilità, insieme al processo di Security by Design cruciale per definire i requisiti di sicurezza informatica nei progetti tecnologici orientati al business. Grazie allo sviluppo della Cyber Threat Intelligence, il volume di informazioni gestite è aumentato in modo significativo, consentendo un monitoraggio integrato del “clima cyber”. Altri interventi mirano a migliorare la cyber resilience del Gruppo, ad esempio l’ambito Cyber Legal, con un servizio di monitoraggio normativo per individuare le iniziative legislative in materia di cybersecurity con impatto diretto sul contesto Acea.
Nel 2023 sono proseguite la campagna di awareness & training, volta ad accrescere la sensibilità e le competenze individuali sulla cybersecurity, e la partecipazione di Acea al programma europeo ECHO (European network of Cybersecurity centres and competence Hub for innovation and Operations) che contribuisce alla sicurezza delle infrastrutture digitali a livello europeo.
TUTELA DEL PATRIMONIO FISICO E GESTIONE DEI RISCHI INTERNI
La Funzione Security & Cyber Defence ha la missione di proteggere il patrimonio aziendale tangibile ed intangibile, di garantire la definizione, l’implementazione ed il controllo dell’attuazione delle politiche in materia di protezione fisica del patrimonio immobiliare del Gruppo. Presidia altresì la Sala Operativa Sicurezza (Control Room), il personale preposto alla vigilanza e all’accoglienza e gli impianti di videosorveglianza/antintrusione, e coordina l’attuazione dei piani di continuità operativa e di gestione delle emergenze.
La Funzione, infine, in collaborazione con le competenti strutture e le Società del Gruppo, coordina il corretto svolgimento delle attività richieste dall’Autorità Giudiziaria, dalle Istituzioni di Sicurezza e dalle Forze dell’Ordine.
Le Società del Gruppo, nel contesto del Sistema di Controllo Interno e di Gestione dei Rischi, adottano propri Modelli di Organizzazione, Gestione e Controllo (MOG) ai sensi del D. Lgs. n. 231/2001 per prevenire il rischio di determinati reati o illeciti amministrativi commessi, nel loro interesse o vantaggio, da parte di soggetti apicali o sottoposti alla direzione o vigilanza di questi ultimi. L’elaborazione dei Modelli è preceduta da una mappatura delle aree aziendali interessate (c.d. “aree a rischio”) e dall’identificazione delle attività sensibili e dei potenziali illeciti. I Modelli vengono aggiornati tempestivamente a fronte di modifiche dell’organizzazione o delle attività svolte, oppure a seguito dell’introduzione di nuove fattispecie nel catalogo dei reati presupposto.
Nel 2023 Acea SpA ha svolto una revisione integrale del Modello per quanto riguarda la metodologia di valutazione del rischio, al fine di renderlo coerente con le ulteriori metodologie utilizzate in azienda (ad esempio ERM, antitrust, anticorruzione), e ha rielaborato la Parte Speciale secondo un approccio “process driven” per rendere più fruibile il documento e facilitarne l’applicazione. Il nuovo Modello di Acea SpA costituirà il framework di riferimento per i Modelli delle Società del Gruppo.
L’Organismo di Vigilanza (OdV), previsto quale attore essenziale dal D. Lgs. n. 231/2001, ha pieni e autonomi poteri d’iniziativa, intervento e controllo in ordine al funzionamento, all’efficacia e all’osservanza degli specifici Modelli. È costituito un presidio organizzativo nella Funzione Internal Audit che assicura, per le Società che le abbiano conferito mandato, interventi di verifica e monitoraggio su alcuni processi strumentali ai sensi del Decreto, ovvero nel cui ambito potrebbero crearsi i presupposti o i mezzi per la realizzazione di una molteplicità di reati, per conto dell’Organismo di Vigilanza delle Società controllate.
L’adozione di principi e l’osservanza delle regole previste dal Codice Etico aziendale – parte integrante del Modello 231 e del Sistema di controllo interno – sono rilevanti anche per prevenire i reati previsti dal Decreto.
PROGRAMMA DI COMPLIANCE ANTICORRUZIONE
Il Gruppo sta portando avanti l’implementazione di un programma di Compliance Anticorruzione, avviato mediante la definizione di un framework di Gruppo. Nell’ambito del primo pilastro del framework (Valori e Sistema Normativo) si innesta la Linea Guida Anticorruzione del Gruppo Acea, adottata dal Consiglio di Amministrazione di Acea SpA, che uniforma ed integra i presidi di compliance anticorruzione già diffusi all’interno del Sistema Normativo interno (Codice Etico, Modello 231, sistema normativo, ecc.) in un quadro organico di regole e principi volti a contrastare i rischi di pratiche illecite. La Linea Guida Anticorruzione disciplina ruoli, responsabilità e attività di controllo relative all’anticorruzione, ad esempio i principi di comportamento da rispettare nelle aree sensibili potenzialmente più esposte al rischio corruzione, i controlli applicabili ed i flussi informativi e di reporting relativi all’attuazione e al monitoraggio del framework. La Linea Guida si applica alle Società del Gruppo e ai fornitori, partner, soci in affari e più in generale tutti coloro che agiscono in nome e per conto di Acea o delle Società del Gruppo o con i quali le stesse entrano in contatto nel corso della propria attività. In ogni Società viene nominato un “Responsabile Anticorruzione” (RAC), il quale garantisce il presidio di compliance per la prevenzione della corruzione, informando anche gli organi di controllo societari. La Capogruppo, inoltre, ha implementato un Sistema di Gestione per la prevenzione della corruzione, conseguendo nel 2023 la certificazione UNI ISO 37001:2016 e adottando una specifica Politica Anticorruzione, approvata dal Consiglio di Amministrazione a marzo.
La Funzione Internal Audit effettua i controlli previsti dal Piano degli interventi di audit, approvato dal Consiglio di Amministrazione, previo parere del Comitato Controllo e Rischi. Il Piano viene elaborato in base all’analisi e prioritizzazione dei principali rischi di Acea e delle Società controllate, eseguite in sede di Risk Assessment, anche grazie al monitoraggio svolto dalle Funzioni aziendali incaricate dei controlli di secondo livello.
Nel 2023, circa il 99% delle attività del Piano ha riguardato processi aziendali ritenuti esposti ai rischi ex D. Lgs. n. 231/2001, tra cui i reati di corruzione, quelli ambientali, e in violazione delle norme antinfortunistiche e a tutela della salute sul lavoro.
Con riferimento ad audit su processi correlati ai rischi di corruzione, si segnalano, in particolare, periodiche attività di verifica su “sponsorizzazioni”, “consulenze”, “selezione del personale”, “acquisti e pagamenti”, “transazioni stragiudiziali” su tutte le Società controllate che hanno adottato il Modello ex D. Lgs. n. 231/2001.
Come previsto dagli standard professionali dell’Institute of Internal Auditors (IIA), gli interventi di audit valutano anche gli specifici rischi di frode del processo analizzato e testano l’operatività dei relativi controlli. Con riferimento alle attività di detection audit sono stati adottati 23 Key Risk Indicator inerenti al ciclo passivo, che vengono analizzati periodicamente.
SEGNALAZIONI PERVENUTE SUL CODICE ETICO E RUOLO DELL’ETHIC OFFICER
Il Codice Etico, revisionato ed aggiornato nel 2022, è strutturato per consentire una ampia diffusione dei principi e dei valori di Acea verso tutte le Società e le persone del Gruppo. Il Codice integra riferimenti a principi e standard connessi ad iniziative strategiche per il Gruppo, soprattutto per quanto riguarda la sostenibilità e la valorizzazione di tematiche come la tutela dei diritti umani in ogni contesto operativo, inclusa la catena di fornitura; il coinvolgimento delle persone ed il benessere organizzativo; l’inclusione; la salvaguardia degli ecosistemi e della biodiversità; l’impegno per la mitigazione e l’adattamento ai cambiamenti climatici; il dialogo con gli stakeholder; la promozione della sostenibilità verso i fornitori.
Nel novembre 2023 il Consiglio di Amministrazione di Acea SpA ha adottato la nuova “Politica di gestione delle segnalazioni del Gruppo Acea – whistleblowing”, in aderenza al D. Lgs. n. 24 del 10 marzo 2023, di recepimento della Direttiva UE 2019/1937, nonché alle indicazioni delle “Linee Guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali” approvate con Delibera ANAC n. 311 del 12 luglio 2023.
In Acea è consolidato un sistema di ricevimento e gestione delle segnalazioni (cd. “Whistleblowing”), attivabile sia dai dipendenti che da soggetti esterni, relativo a eventuali commissioni di illeciti amministrativi, contabili, civili o penali, all’inosservanza di legge, delle regole interne e del Codice Etico, nonché a temi riconducibili al Sistema di Controllo Interno, all’Informativa Societaria, alla Responsabilità Amministrativa della società (D. Lgs. n. 231/2001), a frodi e conflitti di interesse, che assicura il massimo grado di confidenzialità e riservatezza nel trattamento delle comunicazioni ricevute, a tutela del segnalante, del segnalato e delle persone coinvolte.
La piattaforma informatica aziendale “Comunica Whistleblowing”, tramite un sistema avanzato di criptazione delle comunicazioni e del database, garantisce il rispetto degli standard normativi richiesti
(D. Lgs. n. 24/2023), la riservatezza dell’identità del segnalante, l’archiviazione sicura dei documenti trasmessi e caricati a sistema, la gestione riservata dei processi di analisi e gestione.
Le segnalazioni relative a presunte violazioni del Codice Etico e del SCIGR delle Società del Gruppo sono trasmesse all’Ethic Officer, Organo collegiale autonomo di Gruppo che gestisce il sistema di segnalazioni di presunte violazioni per inosservanza della legge, della normativa interna e del Codice Etico e vigila sul rispetto dei valori di trasparenza, legalità, equità ed integrità etica nei rapporti con tutti gli stakeholder. L’Ethic Officer, inoltre, predispone relazioni periodiche sulle principali evidenze emerse ai Vertici aziendali e agli Organi di controllo.
Nel 2023, con riferimento al perimetro in esame58, sono pervenute all’Ethic Officer 42 segnalazioni, di cui 15 relative a presunte violazioni al Codice Etico, 14 relative a presunte violazioni del SCIGR e 13 relative ad altre fattispecie (reclami commerciali, denunce di presunti allacci abusivi alle reti idrica ed elettrica, etc.) e pertanto, queste ultime, qualificate ai sensi della procedura come “non inerenti”. Considerando i canali di acquisizione, 20 segnalazioni sono pervenute tramite la Piattaforma Comunica Whistleblowing, 15 via posta ordinaria, 5 all’indirizzo e-mail dell’Ethic Officer e 2 tramite messaggi di posta elettronica indirizzati a soggetti diversi dall’Ethic Officer.
Le 24 segnalazioni valutate “inerenti” hanno riguardato: 11 l’ambito risorse umane, 4 il rapporto con i fornitori, 2 potenziali conflitti di interessi, 2 l’ambito privacy, 1 gli ambiti salute, sicurezza e ambiente (HSE), 1 gli approvvigionamenti, 1 l’ambito commerciale, 1 il patrimonio aziendale e 1 altri ambiti.
A conclusione delle attività di verifica, 15 sono state valutate “non fondate”, 1 è stata “archiviata” in quanto “non circostanziata e non verificabile”, 1 risulta “sospesa”, ai sensi della procedura Whistleblowing, in quanto la Società ha sporto denuncia alle autorità competenti con riferimento ai fatti segnalati.
Per le restanti 7 segnalazioni in corso sono state completate le attività di verifica preliminare e accertamento da parte della Segreteria Tecnica che proporrà all’Ethic Officer di valutarle, ai sensi della procedura vigente, 2 da “archiviare” in quanto generiche e non circostanziate, 1 “fondata” con azioni di miglioramento in parte già implementate dalla Società e 4 “non fondate”.
Si segnala che, a valle della pubblicazione di articoli di stampa di febbraio 2023 relativi a presunti comportamenti non allineati alle previsioni del Codice Etico aziendale, il Consiglio di Amministrazione ha dato mandato all’Ethic Officer di effettuare i dovuti approfondimenti a seguito dei quali i fatti indagati non si configuravano come violazioni del Codice Etico e sono stati qualificati come non fondati.
Al mancato rispetto del Codice Etico da parte dei dipendenti possono conseguire provvedimenti disciplinari, richiamati dal Codice stesso e dai MOG 231 adottati dalle Società del Gruppo, come multe o sospensioni dal servizio che possono incidere sulla retribuzione.
L’Ethic Officer ha il compito di supportare le strutture aziendali deputate alla formazione sul Codice Etico, promuovendo programmi di comunicazione e attività finalizzate a darne massima diffusione, ed il Comitato per l’Etica e la Sostenibilità nel monitoraggio dell’adeguatezza e dell’attuazione del Codice Etico, per le materie di competenza. A tal fine, l’Ethic Officer può proporre al Comitato l’emanazione o la modifica di eventuali linee guida e di procedure operative per ridurre il rischio di violazione del Codice Etico ed indicarne l’opportunità di aggiornamento. Nel 2023 l’Ethic Officer ha periodicamente monitorato la fruizione della formazione sul Codice Etico e sul Whistleblowing.
LA POLICY SUI DIRITTI UMANI
La tutela dei diritti umani assume importanza centrale nella conduzione di un business responsabile, in particolar modo per le imprese che impattano con le proprie attività su una ampia platea di stakeholder. Le richieste che le istituzioni e la società civile manifestano verso le organizzazioni per una piena assunzione di responsabilità verso la tutela dei diritti umani sono crescenti, alimentate anche da evidenze che le cronache quotidiane rendono note e che non riguardano solo Paesi in via di sviluppo o a limitata struttura democratica. La gestione del tema è considerata con attenzione anche dai mercati e dagli analisti, in quanto elemento di gestione del rischio da parte delle organizzazioni. Forte di questa consapevolezza, che trova il suo fondamento sui valori e sistemi già consolidati nel Gruppo, dal Codice Etico alla Politica Equality, Diversity e Inclusion, dai principi e strumenti di stakeholder engagement ai sistemi di gestione della salute e sicurezza sul lavoro, nel mese di dicembre 2023 il CdA di Acea ha approvato la Policy sui Diritti Umani.
La Policy, che si richiama al quadro normativo internazionale e nazionale, declina 20 principi afferenti i diritti umani in due contesti fondamentali, quello interno del lavoro e quello esterno della collettività e ambiente, ed ha come destinatari le persone che compongono gli organi di amministrazione e controllo di Acea SpA e delle altre Società del Gruppo, anche presenti all’Estero, nonché dirigenti, dipendenti, collaboratori e collaboratrici, fornitori legati al Gruppo da rapporti contrattuali a qualsiasi titolo nell’ambito delle attività svolte e nei limiti delle relative responsabilità. Per la sua implementazione la Policy prevede un articolato processo di governance tramite cui Acea si impegna con azioni di formazione e diffusione, di monitoraggio dei rischi ed impatti, di segnalazione tramite la piattaforma “Comunica whistleblowing”.
Analisi integrata e modalità di gestione dei rischi
Il Gruppo Acea tramite il processo di Enterprise Risk Management (ERM), basato sul COSO framework “Enterprise Risk Management (ERM) - Integrating with Strategy and Performance” 2017, migliora la visione integrata dei rischi e la loro gestione proattiva. Il Processo ERM ha lo scopo di:
- rappresentare tipologia e significatività (probabilità e impatto economico-finanziario e/o reputazionale) dei principali rischi, con impatti anche su temi di sostenibilità, che possono pregiudicare il raggiungimento degli obiettivi strategici e di business del Gruppo;
- indirizzare le strategie di risposta e le conseguenti ulteriori azioni di mitigazione ove necessarie.
La metodologia e gli strumenti utilizzati per identificare i rischi e valutarne la severità, in modo coerente a livello di Gruppo, tramite la definizione del Risk Model, sono sviluppati con una crescente attenzione agli aspetti ESG. Durante il processo di risk assessment, svolto con cadenza almeno annuale, i “risk owner” identificano gli scenari di rischio collegati ai temi materiali Acea, evidenziando i possibili impatti e le attività di controllo per la loro gestione e mitigazione. I risultati del Processo ERM vengono tenuti in considerazione anche per la pianificazione di azioni volte a mitigare rischi e cogliere opportunità da parte delle Società del Gruppo dotate di Sistemi di gestione certificati.
Il Risk Assessment Report di Gruppo fornisce al Consiglio di Amministrazione di Acea SpA e ai Comitati una visione di sintesi del profilo di rischio complessivo del Gruppo, nonché della sua evoluzione temporale. La Funzione Risk Management, Compliance & Sustainability, su richiesta degli organi di controllo e/o di amministrazione, può essere chiamata a produrre specifica reportistica connessa al risk assessment su particolari ambiti, incluse tematiche ESG, in linea con la metodologia e il framework ERM.
Il processo ERM prevede la costante interazione tra l’Unità ERM della Risk Management, Compliance & Sustainability della Capogruppo ed i focal point delle corrispondenti Unità nelle Società operative (si veda grafico n. 16).
Grafico n. 16 – L’unità ERM e i Focal point societari
Tabella n. 15 – Temi materiali Acea, rischi e modalità di gestione
| tema materiale in alta rilevanza e rischio collegato | impatto potenziale su Acea | impatto potenziale sugli stakeholder (*) | modalità di gestione dei rischi e degli impatti correlati |
|---|---|---|---|
|
GESTIONE SOSTENIBILE DEL CICLO DELLA RISORSA IDRICA |
economico/ finanziario reputazionale |
ambiente naturale, |
|
|
ETICA E INTEGRITÀ NELLA CONDUZIONE DEI BUSINESS comportamenti contrari a normative cogenti, a norme interne e standard di riferimento |
economico/ finanziario reputazionale |
collettività/cittadini, |
|
|
TUTELA DEGLI ECOSISTEMI E DELLA BIODIVERSITÀ superamento dei limiti emissivi previsti da leggi e decreti autorizzativi; mancato raggiungimento degli obiettivi di diffusione dei consumi da fonti rinnovabili; |
economico/ finanziario reputazionale |
tutti gli stakeholder |
|
|
CAMBIAMENTO CLIMATICO E TRANSIZIONE ENERGETICA mancata realizzazione di impianti sostenibili, mancato adeguamento delle prassi operative con l'evoluzione dei cambiamenti climatici e mancato raggiungimento degli obiettivi di diffusione dei consumi da fonti rinnovabili (produzione di energia da fonti rinnovabili, resilienza rete elettrica, disponibilità della risorsa idrica) |
economico/ finanziario reputazionale |
tutti gli stakeholder |
|
|
INNOVAZIONE TECNOLOGICA E TRASFORMAZIONE DIGITALE inefficienza operativa per inadeguatezza tecnologica e innovativa; cyber risk OT (*) |
economico/ finanziario reputazionale |
tutti gli stakeholder |
|
|
GESTIONE E TRATTAMENTO DEI RIFIUTI IN OTTICA DI ECONOMIA CIRCOLARE mancato rispetto della normativa; ostacoli sul mercato del trattamento e conferimento dei rifiuti (*) |
economico/ finanziario |
ambiente naturale, collettività/cittadini, nuove generazioni, fornitori/catena produttiva, ecosistema innovazione e ricerca/business partner/comunità scientifica/realtà associative |
|
|
SALUTE E SICUREZZA SUL LAVORO infortuni sul lavoro e rischio epidemiologico |
economico/ finanziario reputazionale |
dipendenti |
|
| ASCOLTO E COINVOLGIMENTO DI STAKEHOLDER E TERRITORIO tensioni con le rappresentanze degli stakeholder sul territorio con effetti negativi sullo sviluppo delle attività (*) |
economico/ finanziario reputazionale |
tutti gli stakeholder |
|
|
VALORIZZAZIONE DELLE COMPETENZE ED EVOLUZIONE DELL’AMBIENTE DI LAVORO mancata adeguatezza sia in termini di competenze che di composizione degli organici aziendali |
economico/ finanziario reputazionale |
dipendenti |
|
|
SOSTENIBILITÀ NELLA PROGETTAZIONE, REALIZZAZIONE E GESTIONE DELLE INFRASTRUTTURE impatti ambientali e sociali da inadeguata e mancata progettazione realizzazione e/o gestione di impianti/reti (*) |
economico/ finanziario reputazionale |
ambiente naturale, collettività/ cittadini, nuove generazioni, abitanti serviti idrico, popolazione servita Areti, clienti Acea Energia, azionisti e investitori, fornitori/ catena produttiva, ecosistema innovazione e ricerca/ business partner/ Comunità scientifica/ realtà associative, istituzioni |
|
|
CENTRALITÀ DEL CLIENTE mancato raggiungimento dei livelli di qualità dei servizi; |
economico/ finanziario reputazionale |
collettività/ cittadini, abitanti serviti, idrico, popolazione servita Arieti, clienti Acea Energia |
|
|
SOSTENIBILITÀ E CIRCOLARITÀ LUNGO LA CATENA DI FORNITURA mancato controllo del processo acquisto; |
economico/ finanziario reputazionale |
fornitori/ catena produttiva, ecosistema innovazione e ricerca/ business partner/ comunità scientifica/ realtà associative |
|
|
BENESSERE AZIENDALE, DIVERSITÀ E INCLUSIONE incremento tasso assenteismo; compromissione del clima aziendale; possibili contenziosi legali da parte dei dipendenti |
economico/ finanziario reputazionale |
dipendenti |
|
|
GOVERNANCE ORIENTATA AL SUCCESSO SOSTENIBILE inadempienza al D. Lgs. n. 254/2016; inadeguatezza del sistema normativo interno rispetto agli indirizzi del Codice di corporate governance |
reputazionale |
Azionisti e investitori, dipendenti, istituzioni |
|
- TEMI ECONOMICI E DI GOVERNANCE - TEMI SOCIALI - TEMI AMBIENTALI
NB: l’elenco completo degli stakeholder include: ambiente naturale, collettività/cittadini, nuove generazioni, abitanti serviti dalle Società dell’area Idrico in perimetro DNF, popolazione servita da Areti (distribuzione di energia), clienti di Acea Energia (maggior tutela, libero, gas), azionisti e investitori, dipendenti (Società in perimetro DNF), fornitori/catena produttiva, ecosistema innovazione e ricerca/business partner/comunità scientifica/realtà associative, istituzioni.
(*) I rischi contrassegnati con un asterisco corrispondono ai principali rischi emergenti che possono avere un impatto significativo sul Gruppo Acea.
Il Global Risk Report 2024, documento del World Economic Forum pubblicato nel gennaio 2024, conferma che nel panorama dei prossimi dieci anni permane l’attenzione sui rischi legati al clima, declinati in specifici scenari d’impatto: eventi metereologici estremi, cambiamenti critici nei sistemi terrestri, perdita di biodiversità e collassi ecosistemici, carenza di risorse naturali sono nelle prime quattro posizioni.
Acea è attenta al presidio della tematica climatica e le iniziative intraprese, come l’implementazione progressiva delle analisi dei fattori di rischio generati dal cambiamento climatico in allineamento alle raccomandazioni definite dalla Task Force on Climate-related Financial Disclosures, hanno consentito di migliorare il proprio posizionamento nella valutazione CDP (già Carbon Disclosure Project) passando da B ad A-. Per approfondimenti si veda in Le relazioni con l’ambiente, il paragrafo Rischi ambientali e climatici: approfondimenti e disclosure.
Il riscontro al Questionario CDP include la valutazione di rischi ed opportunità collegati alle attività, su un orizzonte di breve, medio e lungo periodo e la tabella n. 16 propone una rappresentazione delle principali evidenze emerse.
Tabella n. 16 – Rischi e opportunità collegati al cambiamento climatico: evidenze CDP
| RISCHI | |||||
| tipologia di rischio | Dettaglio tipologia e descrizione del rischio | Ambiti industriali più impattati | Orizzonte temporale | Potenziali impatti di tipo finanziario | |
|
TRANSIZIONE Rischi derivanti dal processo di transizione in atto verso un sistema economico decarbonizzato (ad esempio, ambiti normativi, tecnologici, di mercato) |
Normativo-Regolatorio Questi rischi possono manifestarsi nei seguenti modi: politiche di carbon tax crescenti e certificati bianchi; modifiche nei regimi incentivanti; inasprimento dei valori collegati all'Emission Trading Scheme (sia in termini di quote ammesse - onerose o no - che di costi delle quote delle emissioni effettive); evoluzioni normative che impongono la riduzione degli impatti nello svolgimento delle attività operative |
Produzione energetica (termoelettrica e Waste to energy) Gestione reti elettriche Gestione idrica |
breve-medio-lungo | Aumento dei costi diretti Aumento dei costi indiretti (operativi) Diminuzione del valore degli asset o della vita utile degli asset |
|
|
Tecnologico L'evoluzione tecnologica può imporre la riconversione del disegno dei processi al fine di renderli meno inquinanti (ad esempio sostituire gli impianti esistenti o parti di essi con altre tecnologie a basse emissioni) |
Produzione energetica (termoelettrica e Waste to energy) Gestione reti elettriche Gestione idrica |
medio | Aumento dei costi diretti Aumento dei costi indiretti (operativi) Diminuzione del valore degli asset o della vita utile degli asset |
||
|
Legale Tra questi rientrano i rischi legati all'inasprimento delle sanzioni legali ed economiche per il mancato rispetto di standard di performance - qualità tecnica nel servizio elettrico e in quello idrico (multe e costi incrementali di conformità) |
Gestione reti elettriche Gestione idrica |
medio-lungo | Cause legali Sanzioni |
||
|
Mercato I rischi commerciali sono riconducibili al mancato adeguamento dei prodotti/servizi delle Società del Gruppo alle nuove esigenze dei clienti, sempre più attenti alle tematiche di sostenibilità, oppure all'aumento della povertà, causata anche dai cambiamenti climatici, che modifica le abitudini dei consumatori/clienti |
Tutti i business ed in particolare Commerciale | medio-lungo | Riduzione fatturato | ||
|
Reputazionale Si considera il rischio derivante da una percezione negativa dell'immagine dell'azienda da parte degli stakeholder come effetto di eventi/condizione negativi collegati al cambiamento climatico (ad esempio interruzione dei servizi provocati dalla scarsità della risorsa idrica o da eventi climatici estremi) |
Il Gruppo Acea | breve-medio | Riduzione delle entrate a causa di interruzione servizi, perdita clienti | ||
|
FISICI Rischi derivanti dagli effetti fisici conseguenti agli eventi climatici (acuti se collegati a fenomeni episodici o cronici se riferiti a mutamenti sul lungo periodo) |
Acuti I fenomeni metereologici estremi come le forti piogge e le bombe d'acqua causano stress sulla capacità di resilienza della rete elettrica (interruzione dell'alimentazione elettrica) ma anche difficoltà nella normale gestione della sovrabbondanza di acqua nel servizio idrico: le bombe d'acqua possono anche causare un temporaneo disservizio degli impianti di trattamento delle acque reflue e dell'intero servizio della rete fognaria. I fenomeni di ondata di calore causano picchi di richiesta di energia/acqua sulla rete di distribuzione elettrica/rete idrica. |
Gestione reti elettriche Gestione idrica Produzione energetica |
breve-medio-lungo | Aumento delle spese in conto capitale Riduzione fatturato |
|
|
Cronici La riduzione delle precipitazioni può avere un impatto negativo sul servizio di distribuzione dell'energia elettrica, sulla produzione di energia elettrica dagli impianti idroelettrici ma anche sulla disponibilità della risorsa idrica per consumo umano, provocando conseguentemente nel settore idrico un aumento dei consumi energetici per il prelievo di acqua. Il rischio di fulminazioni sempre più frequenti può determinare interruzioni nella distribuzione di energia elettrica e quindi un danno economico. La variazione delle temperature può causare variazione nella composizione dei rifiuti in entrata agli impianti di termovalorizzazione cambiando le necessità tecnologico-operative anche connesse alla variazione delle emissioni e ai trattamenti necessari. Inoltre gli incentivi sono legati alla quantità biodegradabile del rifiuto |
Gestione reti elettriche Gestione idrica Produzione energetica |
breve-medio-lungo |
Aumento dei costi diretti Diminuzione dei ricavi dovuta alla ridotta capacità produttiva |
||
| OPPORTUNITÀ | |||||
| driver | Dettaglio tipologia e descrizione dell'opportunità | Ambiti industriali interessati | Orizzonte temporale | Potenziali impatti di orizzonte temporale | |
| Economia circolare | Promozione di modelli di economia circolare e progetti di recupero da rifiuti, ad esempio con processi di termovalorizzazione abbinati a recupero di materiale (esempio: recupero del sodio e delle ceneri) | Area Ambiente | medio | Diminuzione dei costi indiretti (operativi) | |
| Sviluppo impianti fotovoltaici | Diversificazione del parco produzione con acquisizione e/o costruzione di sistemi fotovoltaici che, oltre a ricevere incentivi per l'immissione in rete di energia elettrica prodotta, permettono di bilanciare eventuali riduzioni di produzione da idroelettrico. | Produzione energia elettrica; innovazione tecnologica | medio | Aumento dei ricavi conseguente all’aumento di clienti | |
| Aumento resilienza rete | Investimenti per migliorare la resilienza della rete elettrica incentivati dall'ARERA. | Distribuzione energia elettrica | medio | Aumento dei ricavi e riduzione dei costi operativi | |
| Mercato e servizi | Opportunità derivanti dalla variazione della domanda di energia correlata alle modifiche di picco nelle temperature ambientali e dall'innalzamento della temperatura media con impatti sulla crescita dei prezzi e volumi venduti | Vendita energia | breve-medio | Aumento dei ricavi derivante dall’incremento della domanda di prodotti e servizi | |
Nel 2023, inoltre, a valle della seconda annualità dell’iniziativa volta a identificare, selezionare ed approfondire i rischi climatici più rilevanti per le principali Società del Gruppo, è stata pubblicata l’Informativa climatica Gruppo Acea 202259 secondo le raccomandazioni della Task Force on Climate-related Financial Disclosures (TCFD). In tale ambito è proseguito il percorso di continuo miglioramento per lo sviluppo della consapevolezza in materia, ampliando il numero delle Società idriche coinvolte ed il ventaglio dei rischi indagati (fisici e/o di transizione), ed in merito alle prassi di rendicontazione. Per approfondimenti si veda il Box – L’informativa climatica secondo l’approccio TCFD in Le relazioni con l’Ambiente.
Infine, in rapporto alla gestione dei rischi operativi in caso di emergenze e alle iniziative preventive ed operative definite dalle Società del Gruppo, si rinvia al capitolo Istituzioni e impresa (paragrafo I Piani di gestione delle emergenze).
L’ANALISI DEI POTENZIALI RISCHI AMBIENTALI GENERATI
Le Società operative del comparto idrico, delle infrastrutture e della generazione energetica e dell’ambiente, dotate di Sistemi di gestione ambientale certificati ISO 14001:2015, identificano i potenziali impatti ambientali negativi generati dalle attività in relazione a specifici eventi o accadimenti.
Per il settore idrico, i principali rischi riguardano i fenomeni climatici acuti o cronici o eventi sismici, con conseguenti cedimenti strutturali o malfunzionamenti degli impianti e dei sistemi, causando carenze idriche o sversamenti accidentali di inquinanti; la gestione operativa inefficiente della risorsa idrica, con perdite e conseguenti consumi eccessivi; stress idrico; eventuali sforamenti dei parametri di controllo della risorsa con impatti ambientali; inadeguati interventi sulla rete fognario-depurativa con contaminazione del suolo e dei corpi idrici; rischi di incendi ed esplosioni presso impianti collegati alla produzione di biogas con emissioni in atmosfera.
Nell’ambito delle infrastrutture energetiche, i principali rischi concernono l’insistenza degli impianti aerei e interrati, impattanti sul territorio e sul sottosuolo; la generazione di rifiuti e le ricadute su ecosistemi; la generazione di campi elettromagnetici e relative esposizioni; la manutenzione degli impianti di trasformazione, con contaminazioni di suolo e sottosuolo con materiali pericolosi; la manutenzione e la realizzazione di impianti, con impatti in termini di produzione di rifiuti speciali.
Per le attività di generazione di energia, i rischi principali riguardano la gestione ordinaria degli impianti o in caso di eventi critici, come incendi o esplosioni, lo sversamento accidentale di sostanze inquinanti o il superamento dei valori soglia nelle emissioni (in atmosfera, nelle acque superficiali e in fognatura); cedimenti strutturali delle opere idrauliche, imputabili a fenomeni naturali critici (come terremoti di particolare intensità e/o piene millenarie), che potrebbero determinare effetti sul territorio a valle degli impianti (come inondazioni).
Per il settore ambientale, i potenziali rischi riguardano la gestione impianti con sversamenti di sostanze pericolose e conseguente contaminazione del suolo e delle falde acquifere o delle acque superficiali, oppure con emissioni in atmosfera o in acqua superiori agli specifici valori limite prescritti; il trattamento di rifiuti non conformi rispetto alla normativa di riferimento con ripercussioni sull’operatività degli impianti; incendi di natura non dolosa che possano determinare interruzioni dell’operatività e l’inquinamento delle aree circostanti; la mancata realizzazione di investimenti o di interventi sugli impianti, con impatto sulla gestione della società per ritardi nel rilascio di atti autorizzativi; rumori, odori e polveri prodotti durante attività manutentive straordinarie degli impianti con conseguenti esposizioni ambientali.
58 Escluse Gori e AdF dotate di propri sistemi di segnalazione; si rinvia, per approfondimenti, ai Bilanci di Sostenibilità, redatti dalle Società.
59 Il documento è disponibile on line nel sito web istituzionale www.gruppo.acea.it.