Il presidio dei rischi e il sistema dei controlli
Pur mantenendo un limitato profilo di rischio economico e finanziario, in quanto concentrata in business regolati, Snam applica un approccio strutturato e sistemico di governo di tutti i rischi che possono influire sulle condizioni alla base della creazione di valore. Con la scissione da Italgas il profilo di rischio Snam è cambiato per effetto del venire meno di quei rischi connessi alla natura specifica del business distribuzione non più consolidati nel perimetro societario ed in particolare relativi all’incertezza connessa alla tematica delle gare d’ambito e al valore di rimborso di fine concessione. Il sistema di individuazione, valutazione, gestione e controllo dei rischi, applicato in tutta l’azienda, è articolato su tre livelli, ciascuno con diversi obbiettivi e responsabilità associati. La strutturazione e il mantenimento dell’intero sistema è compito dell’Amministratore Delegato, a tal scopo incaricato dal Consiglio di Amministrazione.
(Maggiori informazioni sulla gestione e mitigazione dei principali rischi sono fornite nella sezione “Mitigazione degli impatti ambientali, di Salute e Sicurezza” della presente Relazione).
La modalità di valutazione dei rischi è integrata, trasversale e dinamica, e valorizza i sistemi di gestione già esistenti nei singoli processi aziendali, a partire da quelli relativi alla prevenzione delle frodi e della corruzione, e della salute, sicurezza ambiente e qualità. Le stesse attività di controllo costituiscono parte integrante dei processi gestionali. Compito del management è quindi favorire la creazione di un ambiente positivamente orientato al controllo e presidiare, in particolare, i “controlli di linea”, costituiti dall’insieme delle attività di controllo che le singole unità operative o le società svolgono sui propri processi. Il controllo indipendente è affidato alla funzione Internal Audit, incaricata di verificare che il sistema sia funzionante e adeguato.
Il processo di Enterprise Risk Management (ERM)
Il gruppo Snam in linea con le indicazioni del Codice di Autodisciplina e delle best practice internazionali ha istituito, alle dirette dipendenze del General Counsel, l’unità Enterprise Risk Management (ERM), che opera nell’ambito del più vasto Sistema di Controllo Interno e di Gestione dei Rischi, al fine di presidiare il processo di gestione integrata dei rischi aziendali per tutte le società del Gruppo.
I principali obiettivi dell’ERM riguardano la definizione di un modello di valutazione dei rischi che consenta di individuare gli stessi secondo logiche omogenee e trasversali, di identificare i rischi prioritari, nonché di garantire il consolidamento delle azioni di mitigazione e l’elaborazione di un sistema di reporting.
1. Identificazione e misurazione:
degli eventi rischiosi afferenti ai processi aziendali e dei fattori di rischio esterni che potrebbero influire sul conseguimento degli obiettivi aziendali, sia attraverso impatti diretti sui valori economici e finanziari aziendali (minori ricavi o maggiori costi), sia attraverso effetti negativi di tipo intangibile su altri capitali, prima fra tutti la “licence-to-operate”.
2. Valutazione enterprise e prioritizzazione:
a ciascun evento viene assegnata una “misurazione enterprise”, che sintetizza per ciascun rischio le diverse valutazioni effettuate dai Risk Owner e dalle unità centralizzate con competenze specialistiche. La prioritizzazione dei rischi è definita, invece, dalla combinazione delle misure di impatto e probabilità.
3. Definizione strategia di gestione:
per tutti i rischi vengono individuate le azioni di gestione ed eventuali interventi specifici con le relative tempistiche di attuazione ed associata una tipologia di gestione dei rischi tra quelle codificate. I piani di gestione relativi ai principali rischi sono presentati al Comitato Controllo e Rischi.
4. Monitoraggio e reporting:
la mappatura dei rischi è aggiornata periodicamente in funzione della valutazione “enterprise” ed è comunque almeno annuale, anche per i rischi a bassa prioritizzazione. L’attività periodica di reporting garantisce, ai diversi livelli aziendali, la disponibilità e la rappresentazione delle informazioni relative alle attività di gestione e di monitoraggio dei rischi di competenza.
La trasversalità
Una caratteristica di maggior valore del modello ERM adottato da Snam è la trasversalità della misura degli impatti.
Ogni evento rischioso può avere infatti dieci tipologie di impatto, alcuni determinati dagli owner dei rischi (impatti operativi) ed altri dalle funzioni specialistiche (es. l’impatto legale, finanziario). Ciò significa una valutazione del rischio da differenti angolature e una prioritizzazione dei rischi di squadra.
Tra gli impatti operativi numericamente prevale l’impatto industriale coerentemente con il fatto che l’individuazione dei rischi parte dall’analisi dei processi. Tra gli impatti specialistici emergono gli impatti reputazionale e legale a conferma di un contesto esterno sempre più globalizzato e normativamente più complesso.
Nel corso del 2016 sono stati completati i cicli di risk assessment, secondo il modello sopra descritto, che hanno coinvolto tutto il Gruppo Snam. A fine 2016 risultano mappati circa 310 rischi enterprise suddivisi tra tutti i processi aziendali.
Oltre all’attività ordinaria di verifica e controllo dei rischi mappati sono state condotte alcune attività finalizzate al miglioramento continuo del modello adottato e a supportare i gestori dei rischi. In dettaglio:
- analisi di alcuni dei rischi mappati volta ad individuare proposte di miglioramento nei meccanismi di gestione operativa degli stessi con lo scopo di rafforzare le strategie e gli interventi di gestione raccolta sistematica e consolidamento dei Key Risk Indicator associati ai rischi mappati;
- messa a punto e diffusione dell’ERM Risk Dashboard e relativa dematerializzazione del processo di reporting.
Nel mese di dicembre 2016 è stato avviato il “Progetto Simplify” che si pone, tra gli altri, l’obiettivo di definire e implementare un modello integrato di risk assurance che integri i diversi modelli di controllo presenti nel Gruppo, con un approccio sinergico mirato alla massima razionalizzazione ed efficienza complessiva, oltre a disegnare e implementare il nuovo sistema normativo Snam nell’ottica di semplificazione e maggiore fruibilità.
Il sistema di gestione dei rischi e di controllo interno in relazione al processo di informativa finanziaria del Gruppo Snam sono elementi del medesimo “Sistema” (Sistema di Controllo Interno sull’Informativa Societaria) e più specificatamente trattati nel capitolo ‘Fattori di incertezza e gestione dei rischi’ cui si rinvia.