Il sistema di controllo interno e di gestione dei rischi (“SCIGR”) è costituito dall’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi aziendali nell’ambito del Gruppo.

Il SCIGR è integrato nei più generali assetti organizzativi e di governo societario adottati dalla Società e dal Gruppo ed è ispirato alle best practice esistenti in ambito nazionale e internazionale. In particolare, tale sistema tiene conto delle raccomandazioni del Codice di Autodisciplina ed è definito coerentemente al modello “Internal Controls – Integrated Framework” emesso dal Committee of Sponsoring Organizations of the Treadway Commission (cosiddetto COSO Report), che rappresenta il modello di riferimento, internazionalmente riconosciuto, per l’analisi e la valutazione integrata dell’efficacia del SCIGR.

Il SCIGR prevede attività di controllo a ogni livello operativo e individua con chiarezza compiti e responsabilità, in modo da evitare eventuali duplicazioni di attività e assicurare il coordinamento tra i principali soggetti coinvolti nel medesimo SCIGR; assicura la necessaria segregazione delle attività operative e di controllo in modo da prevenire o, ove ciò non sia possibile, attenuare i conflitti di interesse; garantisce la tracciabilità delle attività di individuazione, valutazione, gestione e monitoraggio dei rischi, assicurando nel tempo la ricostruzione delle fonti e degli elementi informativi che supportano tali attività.

Il SCIGR si articola in tre distinte tipologie di attività:

  • il “controllo di linea” o di “primo livello”, costituito dall’insieme delle attività di controllo che le singole unità operative o società del Gruppo svolgono sui propri processi al fine di assicurare il corretto svolgimento delle operazioni;
  • i controlli di “secondo livello”, affidati a specifiche Funzioni aziendali e volti a gestire e monitorare categorie tipiche di rischi;
  • l’attività di internal audit (controlli di “terzo livello”), avente a oggetto la verifica della struttura e della funzionalità del SCIGR nel suo complesso, anche mediante un’azione di monitoraggio dei controlli di linea, nonché delle attività di controllo di secondo livello.

Il SCIGR è soggetto a esame e verifica periodici, tenendo conto dell’evoluzione dell’operatività aziendale e del contesto di riferimento, nonché delle best practice esistenti.

Una descrizione dettagliata dei compiti e delle responsabilità dei principali soggetti coinvolti nel SCIGR, nonché delle modalità di coordinamento tra tali soggetti, è riportata nelle Linee di indirizzo del sistema di controllo interno e di gestione dei rischi, disponibili sul sito della Società (www.enel.com, sezione “Investitori”).

Principali tipologie di rischio

Per la natura del proprio business il Gruppo è esposto a diverse tipologie di rischio, indicate nella tabella di seguito riportata, unitamente alle attività intese a mitigarne gli effetti e ad assicurarne una corretta gestione.

Nell’identificazione dei rischi sono stati anche considerati i risultati dell’analisi delle priorità (si veda il capitolo “Definire le priorità”), nonché quanto riportato nel Global Risks Report 2018 realizzato dal World Economic Forum (WEF) e che ha coinvolto circa 1.000 esperti e leader di tutto il mondo. Il report del WEF mostra come i rischi legati all’ambiente si confermino i principali in termini sia di probabilità sia di impatto potenziale: gli eventi meteorologici estremi, i disastri naturali, così come il possibile fallimento nel tentativo di contenere le conseguenze dei cambiamenti climatici. La velocità dello sviluppo tecnologico genera sempre più sfide e gli attacchi cibernetici (cyber) diventano più frequenti e intensi così come cresce la tendenza a colpire infrastrutture critiche e settori industriali strategici, evidenziando un possibile rischio, in casi estremi, di possibili blocchi nel funzionamento normale delle società e delle organizzazioni. Dal punto di vista sociale sono rilevanti i rischi legati alle crisi nell’approvvigionamento d’acqua.

In fase di identificazione e valutazione dei rischi è stato inoltre applicato il “Precautionary Principle”3, in particolare in relazione ai rischi in materia di ambiente, salute e sicurezza, e per ciascuna tipologia di rischio sono state individuate specifiche azioni atte a mitigarne gli effetti e ad assicurarne una corretta gestione.

Tale principio è inoltre applicato da Enel in relazione alla gestione dei rischi, con particolare riguardo allo sviluppo e all’introduzione di nuovi prodotti/tecnologie, alla pianificazione delle attività operative e alla realizzazione e costruzione di nuovi impianti/asset.

PRINCIPALI RISCHISCENARIO DI RIFERIMENTO E DESCRIZIONE DEL RISCHIOAZIONI DI MITIGAZIONE E OBIETTIVI STRATEGICI ASSOCIATI
Rischi strategici legati all’evoluzione del contesto di mercato, competitivo e regolatorio I mercati e i business nei quali il Gruppo è presente sono interessati da processi di progressiva e crescente competizione ed evoluzione, da un punto di vista sia competitivo a livello tecnologico sia di regolamentazione, con tempistiche differenti da Paese a Paese.

Come risultato di questi processi, il Gruppo è esposto a una crescente pressione competitiva. Inoltre, il Gruppo si trova a operare in mercati regolamentati o regimi regolati e il cambiamento delle regole di funzionamento di tali mercati e regimi, nonché le prescrizioni e gli obblighi che li caratterizzano, possono influire sull’andamento della gestione e dei risultati del Gruppo stesso.
I rischi di business che derivano dalla naturale partecipazione del Gruppo a mercati che presentano caratteristiche competitive sono stati fronteggiati con una strategia di integrazione lungo la catena del valore, con una sempre maggiore spinta all’innovazione tecnologica, alla diversificazione e all’espansione geografica. In particolare, le azioni poste in essere hanno prodotto lo sviluppo di un portafoglio clienti sul mercato libero in una logica di integrazione a valle sui mercati finali, l’ottimizzazione del mix produttivo migliorando la competitività degli impianti sulla base di una leadership di costo, la ricerca di nuovi mercati con forti potenzialità di crescita e lo sviluppo delle fonti rinnovabili con adeguati piani di investimento in diversi Paesi.

A fronte dei rischi che possono derivare da fattori regolatori, si è operato per intensificare i rapporti con gli organismi di governo e regolazione locali adottando un approccio di trasparenza, collaborazione e proattività nell’affrontare e rimuovere le fonti di instabilità dell’assetto regolatorio.
Rischio Paese La forte presenza internazionale del Gruppo – i cui ricavi sono ormai per oltre il 50% di fonte estera – espone il Gruppo stesso a possibili impatti negativi sui flussi reddituali e sulla protezione degli asset aziendali derivanti da rischi di natura macroeconomica, finanziaria, geopolitica e sociale connessi all’operatività in un determinato Paese. Definizione e attuazione di una strategia di diversificazione geografica, anche supportata da modelli econometrici per il calcolo del rischio Paese.
Rischi industriali e ambientali Nell’ambito dell’attuale scenario climatico, eventi meteorologici estremi e disastri naturali espongono il Gruppo al rischio di danni ad asset e infrastrutture, con la conseguente possibilità di prolungata indisponibilità degli asset coinvolti. Al fine di mitigare tali rischi, il Gruppo fa ricorso alle migliori strategie di prevenzione e protezione, anche con l’obiettivo di ridurre i possibili impatti sulle comunità e le aree circostanti. Vengono svolte costanti attività di monitoraggio e previsione meteorologica, nonché di incremento della resilienza per gli asset più esposti.

Tutte le aree del Gruppo sono sottoposte a certificazione ISO 14001 e sono in essere specifici Sistemi di Gestione Ambientale (SGA), riconosciuti a livello internazionale.
Fallimento della mitigazione e dell’adattamento al cambiamento climatico. Rischi legati a:
  • impatti sul funzionamento degli asset correlati a cambiamenti climatici graduali (per esempio, temperatura dell’aria e dell’acqua);
  • modifiche normative/regolatorie associate alla lotta al cambiamento climatico;
  • trasformazioni socio-economiche collegate al cambiamento climatico.
Il Gruppo si impegna per un miglioramento continuo delle attività esistenti in termini di impatto ambientale, attraverso i propri obiettivi di riduzione delle emissioni, in primis quello di “generazione a zero emissioni” al 2050, e adotta una strategia mirata alla crescita attraverso lo sviluppo di tecnologie e servizi “low carbon”, in linea con gli obiettivi del COP21.
Al fine di mitigare i rischi derivanti dagli aspetti normativi e regolatori legati al cambiamento climatico, il Gruppo mantiene con le autorità e gli organismi regolatori locali e internazionali rapporti caratterizzati da un approccio trasparente e collaborativo.
Il Gruppo ha inoltre firmato la lettera di supporto all’adozione delle linee guida volontarie della Task Force on Climate-related Financial Disclosures (TCFD) che ha sviluppato raccomandazioni sulla disclosure degli impatti finanziari relativi a grandezze “non-finanziarie” attinenti al cambiamento climatico. Enel ha quindi avviato un gruppo di lavoro che sta conducendo un’analisi su tre filoni principali:

  • modelli di clima e definizione di scenari climatici chiave;
  • mappatura dei rischi e delle opportunità correlate al cambiamento climatico;
  • reporting finanziario associato al cambiamento climatico.
Rischi legati ad attacchi cibernetici (“cyber”) Rapida evoluzione tecnologica, con crescente esposizione agli attacchi cibernetici.
Maggiore diffusione di attacchi cibernetici e crescente grado di sofisticazione anche in relazione ai cambiamenti del contesto di riferimento.
Complessità organizzativa del Gruppo e numerosità degli ambienti (i dati, le persone e il mondo industriale).
Definizione di un “Cyber Security Framework”, per indirizzare e gestire le attività di cyber security con un approccio “risk-based” e secondo il principio di “cyber security by design”. Il framework prevede il coinvolgimento delle aree di business, il recepimento delle indicazioni normative, regolatorie e legali, l’utilizzo delle migliori tecnologie disponibili, la predisposizione di processi aziendali ad hoc e l’accrescimento della consapevolezza delle persone.

Creazione del CERT Enel (Cyber Emergency Readiness Team), attivo, riconosciuto e accreditato dalle comunità nazionali e internazionali, al fine di indirizzare una risposta industrializzata alle minacce e agli incidenti cyber.
Rischi legati alle crisi idriche I rischi legati alla crisi idrica sono principalmente dovuti ai cambiamenti climatici e ai livelli di utilizzo della risorsa idrica. Per quanto riguarda i cambiamenti climatici, la disponibilità di acqua è fortemente influenzata dal cambiamento delle precipitazioni, dai cicli stagionali dei ghiacciai e dall’evaporazione. Gli impatti differiscono a seconda delle aree, ma la tendenza generale è una minore prevedibilità della frequenza e una maggiore intensità delle piogge, con conseguente riduzione della disponibilità di acqua.

In merito ai livelli di utilizzo della risorsa idrica, il rischio è legato alla competizione tra produzione industriale, utilizzo agricolo e uso di acqua potabile. A causa dell’aumento della popolazione e delle esigenze agricole, in alcune aree la domanda di acqua può rafforzare tale competizione, con la conseguente imposizione di limiti di utilizzo dell’acqua nelle attività industriali e produttive.
Al fine di gestire tali rischi, Enel conduce analisi meteorologiche a 3-6 mesi e sta sviluppando le analisi di lungo periodo nelle aree in cui sono presenti impianti di produzione, in particolare idroelettrici, al fine di anticipare le possibili variazioni nella disponibilità di acqua. Vengono inoltre svolte importanti attività in collaborazione con le autorità locali gestione dei bacini con l’obiettivo continuo di adottare una strategia condivisa di gestione delle risorse idriche, che consideri anche le necessità delle comunità locali.

Il Gruppo Enel, nello svolgimento della propria attività industriale, è esposto anche a rischi di natura finanziaria quali il rischio di mercato (che include il rischio di tasso di interesse, di tasso di cambio e del prezzo delle commodity), il rischio di credito e il rischio di liquidità. La governance adottata dal Gruppo per i rischi finanziari prevede la presenza di comitati interni e l’impiego di apposite politiche e limiti operativi.

In relazione agli specifici ambiti previsti dal D.Lgs. 254/16 in materia di comunicazione delle informazioni non finanziarie sono stati inoltre identificati gli eventuali rischi legati alla gestione dei diritti umani, alla lotta alla corruzione, alla gestione e motivazione del personale, alla salute e sicurezza, e alle relazioni con le comunità. L’identificazione dei rischi è stata effettuata attraverso un’analisi dei principali eventi occorsi negli ultimi 3 anni e sono stati tenuti in considerazione gli obiettivi previsti dal Piano Strategico per il triennio 2018-2020. In merito ai diritti umani e alla lotta alla corruzione è stato tenuto in considerazione quanto previsto dalle normative vigenti (per esempio, D.Lgs. 231/01 in ambito italiano) e/o dalle linee guida internazionalmente riconosciute (United Nations Guiding Principles on Business and Human Rights) in materia.

Ulteriori dettagli sui rischi sopra riportati sono contenuti nella Relazione Finanziaria Annuale 2017 e nella Dichiarazione consolidata di carattere non finanziario ex D.Lgs. 254/16 e messi a disposizione sul sito internet della Società (www. enel.com).

Analisi delle controparti

La capacità di valutare adeguatamente le proprie controparti e di intercettare tempestivamente eventuali minacce ed elementi di rischio è sempre più un requisito essenziale non solo per la tutela della propria reputazione ma per la sopravvivenza stessa delle organizzazioni. Nel dicembre 2016 l’unita di Security ha finalizzato la prima edizione delle istruzioni operative dell’analisi delle controparti, promuovendo in tal modo criteri e modelli comuni per lo svolgimento delle attività da parte delle Linee di Business, delle Funzioni e dei servizi. Tali istruzioni sono poi state ulteriormente rafforzate nel corso del 2017.

La metodologia definita assicura l’applicazione di un criterio di valutazione standard, il monitoraggio e la rendicontazione.

 

3 Dichiarazione di Rio sull’Ambiente e lo Sviluppo (Rio de Janeiro, 3-14 giugno 1992), Principio 15.