Essere sostenibili
L’Enterprise Risk Management System
Il Gruppo ha adottato un Modello Enterprise Risk Management (di seguito ERM) che consente di individuare, valutare e gestire i rischi in modo omogeneo, evidenziando potenziali sinergie tra gli attori coinvolti nella valutazione del Sistema di Controllo Interno e di Gestione dei Rischi. Il processo ERM è progettato per individuare eventi potenziali che possono influire sull’attività d’impresa, al fine di gestire il rischio entro i limiti accettabili e di fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali.
Il processo è diretto dallo Steering Committee ERM che è presieduto e coordinato dal responsabile della funzione Administration, Finance and Control. Lo Steering si riunisce con cadenza trimestrale (o in relazione a specifiche esigenze) e ha lo scopo di garantire il governo del processo di gestione dei rischi di Gruppo, finalizzato a garantire la continuità operativa del business aziendale monitorando l’efficacia delle contromisure adottate.
Il processo adottato è ciclico e prevede le seguenti fasi:
- definizione del Risk Appetite e delle Risk Tolerance:
- Risk Appetite è l’ammontare e la tipologia di Rischio, a livello complessivo, che un’azienda è disposta ad accettare nella creazione di valore, ovvero nel perseguimento dei propri obiettivi strategici1. E’ discusso e definito annualmente dal CdA in occasione delle sessioni dedicate all’approvazione del piano Industriale. Il Risk Appetite è declinato sulle Risk Tolerance;
- e Risk Tolerance rappresentano il livello di rischio che l’Azienda è disposta ad assumere, con riferimento alle singole categorie di obiettivi (strategici, operativi, di compliance, reporting)2.
Il monitoraggio del rispetto delle Risk Tolerance e del Risk Appetite è trimestrale e destinato al CdA, previa informativa al CCR.
- Risk Assessment: la fase prevede l’individuazione, la definizione e la valutazione dei rischi. Tale fase prende avvio con il fine tuning del Risk Universe, ovvero il documento che contiene la descrizione delle principali caratteristiche di tutti i rischi individuati; i rischi vengono sottoposti, mediante intervista, ai process owner che valutano, congiuntamente a Risk Management, la gravità degli stessi, ne documentano i presidi di mitigazione al fine di posizionarli su un’apposita matrice 3X3 (Risk and Control Panel - R&CP). Le dimensioni di tale matrice sono:
- “livello di rischio inerente”, ovvero il livello di scostamento rispetto al Piano Industriale derivante dal verificarsi di un evento (rischio);
- “livello di presidio”, dato dalla valutazione dei presidi di mitigazione implementati.
Tale matrice permette di indirizzare le priorità di intervento sui rischi mappati. L’insieme dei rischi valutati Alti nella matrice R&CP costituisce il Corporate Risk Profile (CRP). I rischi del CRP che presentano un parziale o inesistente livello di presidio sono oggetto di una Root cause Analysis volta ad aggregare i rischi correlati in omogenei ambiti di miglioramento. Il posizionamento dei rischi nella matrice descritto sopra è frutto inoltre:
- della collaborazione con la Direzione Compliance, che considera il livello di presidio in merito agli aspetti di non conformità e
- dalle sinergie con la Direzione Audit in merito all’analisi di valutazione dell’adeguatezza ed operatività dei presidi di mitigazione individuati.
- Risk Response: la fase ha l’obiettivo di individuare ed attuare le opzioni strategiche di risposta al rischio e ricondurre o mantenere i rischi su livelli accettabili. La responsabilità della individuazione ed implementazione della risposta al rischio è del Process Owner, con il supporto di RM per il superamento dei gap di presidio individuati in fase di Risk Assessment. Per ogni rischio deve essere definita una adeguata risposta al rischio in coerenza alla priorità di intervento rappresentata dal suo posizionamento nel Risk & Control Panel. La Risk Response si articola nelle seguenti ”sotto-fasi”:
- pianificazione;
- esecuzione;
- consuntivazione e misurazione delle performance.
- elaborazione dei flussi di Reporting: a completamento di ogni ciclo di processo ERM, si rappresenta il profilo di rischio complessivo, con riferimento anche agli effetti delle azioni di mitigazione. L’insieme di tali informazioni costituisce input per la nuova pianificazione industriale e quindi per la definizione del Risk Appetite e delle correlate Risk Tolerance.
Un breve resoconto delle principali tipologie di rischio individuate dal sistema ERM è contenuto nella Relazione Annuale, capitolo Principali Rischi e Incertezze.
1 Definizione CoSO 2013
2 Secondo definizione CoSO43