Il Sistema di Controllo Interno e di Gestione dei Rischi

[GRI - 102-11], [GRI - 102-15], [GRI - 102-29], [GRI - 102-30], [GRI - 103-1], [GRI - 103-3], [GRI - 103-2], [GRI - 102-44], [GRI - 102-16], [GRI - 102-17], [GRI - 102-33], [GRI - 102-34], [GRI - 205-1], [GRI - 307-1], [GRI - 406-1],

Le Linee di Indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi (SCIGR) promuovono una conduzione del Gruppo corretta e coerente con gli obiettivi aziendali, tramite un processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi e l’attivazione di flussi informativi per la condivisione ed il coordinamento tra i vari attori del SCIGR. Le Linee di indirizzo tengono conto delle raccomandazioni del Codice di Autodisciplina di Borsa Italiana e si ispirano alle best practice esistenti, in particolare al COSO - Internal Control - Integrated Framework (Committee of Sponsoring Organizations of the Treadway Commission) ed hanno lo scopo di:

  • fornire gli indirizzi agli attori del SCIGR, affinché i principali rischi afferenti al Gruppo Acea, inclusi quelli di sostenibilità nel medio-lungo periodo, risultino correttamente identificati e adeguatamente misurati, gestiti e monitorati;
  • identificare i principi e le responsabilità di governo, gestione e monitoraggio dei rischi connessi alle attività aziendali;
  • prevedere attività di controllo ad ogni livello operativo e individuare compiti e responsabilità, per assicurare il coordinamento tra i principali soggetti coinvolti nel SCIGR.

La gestione dei rischi è un processo trasversale, con responsabilità diffuse tra tutti i soggetti dell’impresa: il Consiglio di Amministrazione e i Comitati endoconsiliari, l’Amministratore incaricato del SCIGR (coincidente con l’Amministratore Delegato), il Collegio Sindacale, i manager e i dipendenti tutti, il Dirigente Preposto, i Presidi di secondo livello, l’Organismo di Vigilanza, il Data Protection Officer, la Funzione Internal Audit, la Funzione Risk & Compliance.

Grafico n. 15 – L’architettura del SCIGR

L'architettura

Grafico n. 16 – I principali attori del SCIGR

I principali attori del SCIGR

 

Strutture aziendali dedicate nella Holding presidiano specifici modelli funzionali al monitoraggio dei rischi, tra cui i rischi di potenziale commissione di reati.

Tabella n. 9 – Modelli e presidi di controllo

modelli e presidi ambiti di presidio
Linee Guida del Modello di Gestione e Controllo ex L. 262/05 rischi sull'Informativa Finanziaria di Gruppo
Modello di Governance della Privacy rispetto del Regolamento UE 2016/679 (GDPR) e delle altre disposizioni nazionali ed europee in materia di protezione dei dati personali
Programma di Compliance Antitrust rispetto della normativa antitrust e della normativa consumeristica e sviluppo di una cultura d'impresa volta a garantire la tutela della concorrenza e del consumatore
Presidio Cyber Security presidio dei rischi cyber, anche in conformità alla Direttiva UE 1148/2016 sulle reti e sistemi informativi europei (NIS)
Presidio ambiti ISO45001 e ISO14001 presidio dei rischi sulla salute e sicurezza nei luoghi di lavoro e dei rischi ambientali improntato agli standard internazionali
Modello di Organizzazione, Gestione e Controllo ex D. Lgs. 231/01 rischio di commissione di reati e illeciti amministrativi nell'ambito dell'attività della Società

I presidi di controllo interni effettuano costanti attività di monitoraggio e adeguamento dei propri modelli di funzionamento e svolgono attività implementative (ad esempio formative) al fine di sovrintendere nella maniera migliore i rischi di pertinenza.

IL MODELLO DI GOVERNANCE PRIVACY ACEA

In Acea è presente un consolidato Modello di Governance Privacy di Gruppo, conforme alle indicazioni del Regolamento UE 2016/679 sulla protezione dei dati (GDPR), che costituisce il framework organizzativo e di controllo nel quale si identificano sia ruoli e responsabilità sia modalità di attuazione dei principi basilari della disciplina Privacy, con un approccio preventive risk based sorretto da un monitoraggio continuo e review periodiche.

Tale Modello – conclusa la fase di implementazione nelle Società controllate – nel corso dell’anno è stato revisionato sulla base delle risultanze applicative emerse nel biennio precedente e arricchito di adeguati strumenti metodologici per rafforzarne l’efficacia applicativa (Control Framework).

Il 2021, caratterizzato ancora da un elevato impegno nella gestione della pandemia da Covid-19, ha visto Acea impegnata in iniziative ad elevato impatto privacy, tra le quali l’attivazione dell’HUB vaccinale aziendale, che ha comportato l’introduzione di specifiche procedure atte a garantire la gestione in sicurezza e compliance dei dati (Status vaccinale, gestione delle assenze/sostituzioni, ecc.).

È stato avviato, inoltre, un programma di analisi dei rischi di tutti i trattamenti inclusi nel registro della Capogruppo, per consentire l’aggiornamento costante e puntuale del rischio associato. Sui trattamenti ritenuti potenzialmente ad elevato rischio vengono svolte, a seconda delle casistiche, analisi specifiche quali DPIA (Data Protection Impact Assessment), LIA (Legitimate Interest Assessment) e TIA (Transfer Impact Assessment). Per le attività esternalizzate sono adottati strumenti contrattuali specifici per regolare il trattamento dei dati personali e viene assicurato un monitoraggio continuo alle attività di procurement.

Nel 2021 si sono svolte le attività necessarie a dare attuazione alle “Linee guida cookie e altri strumenti di tracciamentodell’Autorità Garante Privacy, mediante l’adozione di un tool dedicato alla gestione dei cookies sui vari siti web del Gruppo. Si sono svolte, infine, iniziative di comunicazione e sessioni formative sugli impatti privacy dei singoli processi ed un Workshop on-line dedicato ai temi del Digital Marketing e Telemarketing, con la partecipazione di esperti del settore, membri dell’Autorità Garante e di Associazioni di Imprese.

modello governance

PROGRAMMA COMPLIANCE ANTITRUST

La conformità al diritto antitrust e alla normativa a tutela del consumatore è un aspetto prioritario per il Gruppo Acea. A tal fine, Acea ha avviato un progetto di revisione ed aggiornamento del vigente Programma di Compliance, volto all’ulteriore rafforzamento del sistema di controllo interno in ambito Antitrust & Consumer Protection e al miglioramento delle strategie di compliance secondo gli standard applicati a livello europeo ed in linea con le “Linee Guida sulla Compliance Antitrust” emanate dall’AGCM, dalle best practice nazionali ed europee e dalla giurisprudenza. Le Società controllate hanno approvato, secondo le linee guida dettate dalla Capogruppo, un proprio Programma Antitrust, in funzione delle specifiche caratteristiche, del contesto di mercato e delle disposizioni normative e regolatorie applicabili, e garantiscono la presenza di un presidio con un Referente Antitrust responsabile delle attività di implementazione del Programma.

LA GESTIONE DEL CYBER RISK E LA TUTELA DEL PATRIMONIO INFORMATIVO E SISTEMI ICT

La minaccia cyber, potenzialmente in grado di causare il malfunzionamento o l’interruzione dell’erogazione di prestazioni essenziali, come l’energia e l’acqua, è uno dei aspetti della sicurezza nazionale presidiati da Acea.

L’Unità Cyber Security, all’interno della Funzione Technology & Solution, ha adottato un modello in linea con quanto richiesto dalle pubbliche istituzioni, attivando la struttura operativa dello CSIRT (Computer Security Incident Response Team) con successivo accreditamento presso lo CSIRT Nazionale della Presidenza del Consiglio dei Ministri. In risposta al mutato contesto normativo nazionale, è stato quindi conseguito l’accreditamento presso l’Agenzia per la Cybersicurezza Nazionale, il Ministero dell’Interno e della Difesa.

In coerenza con le indicazioni delle Autorità competenti, Acea ha investito nel potenziamento delle misure di protezione delle reti e dei sistemi IT, IoT ed OT, ed ha avviato un progetto di ricognizione dello stato dei sistemi centrali e di campo, in particolare quelli strategici, per procedere alla realizzazione di interventi per la protezione dei sistemi.

Nel 2021 è stato avviato il Programma di analisi del rischio cyber su tutti i servizi di Acea, per l’identificazione, la misurazione e la gestione del rischio dovuto alle minacce cibernetiche. Contestualmente, con la creazione della struttura di Security Engineering è stato avviato il Programma di Vulnerability Management, volto alla ricerca e mitigazione delle vulnerabilità, per l’individuazione e il contrasto di azioni illecite, con strumenti di machine learning, advanced analytics e big data; è stato altresì attivato un processo di Security by design, per l’implementazione di requisiti di sicurezza durante gli sviluppi di tutti i progetti tecnologici.

Attraverso la struttura dello CSIRT, le capacità di Real Time Security Monitoring ed Incident Management sono state potenziate di oltre il 50% rispetto al 2020 ed è stata avviata l’integrazione tra processi, procedure e tecnologie di protezione IT, IoT ed OT, come da best practice di settore, per garantire una visione olistica ed il governo unitario della sicurezza.

Per adattare il contesto normativo aziendale alle esigenze operative, sono in continuo aggiornamento linee guida e procedure che definiscono i comportamenti richiesti al personale, le modalità di utilizzo delle risorse informatiche e i controlli.

È stato inoltre reso operativo un nuovo modello di erogazione dei servizi, basato sulla flessibilità in funzione delle esigenze delle Società operative, per efficientare la gestione della cyber security del Gruppo, a livello economico e operativo. È proseguita anche la campagna di awareness & training rivolta a tutta la popolazione aziendale, per accrescere sensibilità e competenze individuali sui temi cyber security.

Infine, è continuato l’impegno di Acea nel Programma europeo ECHO (European network of Cybersecurity centres and competence Hub for innovation and Operations) per la costituzione di una rete europea dei centri di competenza sulla cyber security e nel progetto H2020 ATENA che si occupa di sicurezza e resilienza delle infrastrutture digitali.

TUTELA DEL PATRIMONIO FISICO E GESTIONE DEI RISCHI INTERNI

L’Unità Security, all’interno della Funzione Risorse Umane, cura le attività a protezione del patrimonio fisico aziendale, funzionali alla prevenzione di fenomeni fraudolenti ed al rispetto delle normative vigenti in materia di security.

Definisce, inoltre, le Linee guida e le politiche in materia di tutela e protezione del patrimonio; presidia la progettazione, l’installazione e la manutenzione dei Sistemi di Sicurezza per i siti aziendali delle Società controllate dal Gruppo e coordina l’attuazione dei piani di continuità operativa e gestione delle emergenze.

L’Unità Security gestisce le strutture e il personale della vigilanza e dell’accoglienza e controlla la Sala Operativa Sicurezza (SOS), i sistemi di videosorveglianza, antintrusione e allarme; coordina, infine, in collaborazione con le competenti strutture e le Società del Gruppo, il corretto svolgimento delle attività richieste dall’Autorità Giudiziaria, dalle Istituzioni di Sicurezza e dalle Forze dell’Ordine.

È proseguita nell’anno l’attenzione mirata al rischio pandemico nelle sedi di lavoro, mediante la predisposizione di “filtri accessi” per limitare il contagio da Covid-19, realizzati con l’attivazione di 39 termocamere presso le principali Sedi aziendali, soluzioni di App su dispositivi mobili per la firma digitale e per il controllo del Green Pass agli accessi, che hanno consentito la piena applicazione della normativa per la gestione del flusso dei dipendenti e degli esterni nei luoghi di lavoro.

Nel 2021 è stata avviata la sostituzione di apparecchiature informatiche presenti nella Sala Operativa Sicurezza al fine di migliorare le prestazioni e raggiungere la compliance ai migliori standard di sicurezza e sono state adottate nuove tecnologie (cilindri digitali) per gli accessi presso i luoghi sensibili.

Le Società del Gruppo, nell’ambito del Sistema di controllo interno e di gestione dei rischi, adottano propri Modelli di organizzazione, gestione e controllo ai sensi del D. Lgs. n. 231/2001 per prevenire il rischio di determinati reati o illeciti amministrativi commessi, nel loro interesse o vantaggio, da parte di soggetti apicali o sottoposti alla direzione o vigilanza di questi ultimi. L’elaborazione dei Modelli è preceduta da una mappatura delle aree aziendali interessate (c.d. “aree a rischio”) e dall’identificazione delle attività sensibili e dei potenziali illeciti. I Modelli vengono aggiornati tempestivamente a fronte di modifiche dell’organizzazione o delle attività svolte, oppure a seguito dell’introduzione di nuove fattispecie nel catalogo dei reati presupposto del citato decreto legislativo.

L’Organismo di Vigilanza (OdV) ha pieni e autonomi poteri d’iniziativa, intervento e controllo in ordine a funzionamento, efficacia e osservanza degli specifici Modelli. È costituito un presidio organizzativo nella Funzione Internal Audit che assicura gli interventi di verifica e i flussi informativi nei confronti dell’Organismo di Vigilanza. Per Acea, l’adozione di principi e l’osservanza delle regole previste dal Codice Etico aziendale – parte integrante del Modello 231 e del Sistema di controllo interno – sono rilevanti anche per prevenire i reati ex D. Lgs. n. 231/2001, oltre che essere pronto riferimento per tutti coloro cui il Codice si rivolge.

La Funzione Internal Audit effettua i controlli previsti dal Piano degli interventi di audit, approvato dal Consiglio di Amministrazione, previo parere del Comitato Controllo e Rischi. Il Piano viene elaborato in base all’analisi e prioritizzazione dei principali rischi di Acea e delle Società controllate, eseguite in sede di Risk Assessment, anche grazie al monitoraggio svolto dalle Funzioni aziendali incaricate dei controlli di secondo livello.
Nel 2021, circa l’86% delle attività del Piano ha riguardato processi aziendali ritenuti esposti ai rischi ex D. Lgs. n. 231/01, tra cui i reati di corruzione, quelli ambientali, e in violazione delle norme antinfortunistiche e delle norme a tutela della salute sul lavoro.
Con riferimento ad audit su processi correlati ai rischi di corruzione, si segnalano, in particolare, periodiche attività di verifica su “Sponsorizzazioni”, “Consulenze”, “Selezione del personale”, “Acquisti e pagamenti” su tutte le Società che hanno adottato il Modello ex D. Lgs. n. 231/01.
Come previsto dagli standard professionali dell’Institute of Internal Auditors (IIA), gli interventi di audit valutano anche gli specifici rischi di frode del processo analizzato e testano l’operatività dei relativi controlli. Con riferimento alle attività di detection audit sono stati adottati 23 Key Risk Indicator inerenti al ciclo passivo, che vengono analizzati periodicamente.

SEGNALAZIONI PERVENUTE SUL CODICE ETICO

Nel corso del 2021 sono state avviate le attività progettuali di aggiornamento del Codice Etico alla luce delle modifiche organizzative e normative intervenute dalla sua ultima approvazione. I principi e i valori propri del Gruppo Acea, già parte del patrimonio individuale e aziendale, saranno quindi riletti per verificarne l’aderenza al contesto di riferimento odierno.

In Acea è in vigore una procedura attivabile sia dai dipendenti che da soggetti esterni, per la ricezione, analisi e trattamento di segnalazioni – c.d. “whistleblowing” – relative ad eventuali inosservanze della legge, delle regole interne e del Codice Etico, nonché a temi riconducibili al Sistema di controllo interno, all’informativa societaria, alla responsabilità amministrativa della Società (D. Lgs. n. 231/01), a frodi e conflitti di interesse, assicurando il massimo grado di confidenzialità e riservatezza nel trattamento delle comunicazioni ricevute a tutela del segnalante e del segnalato. La piattaforma informatica aziendale “Comunica Whistleblowing, tramite un sistema avanzato di criptazione delle comunicazioni e del database, garantisce il rispetto degli standard normativi richiesti (L. n. 179/2017), la riservatezza dell’identità del segnalante, l’archiviazione sicura dei documenti trasmessi e caricati a sistema, la gestione riservata dei processi di analisi e gestione.

Le segnalazioni relative a presunte violazioni del Codice Etico e dello SCIGR delle Società del Gruppo sono trasmesse all’Ethic Officer, Organo collegiale di Gruppo che gestisce il sistema di segnalazioni di presunte violazioni per inosservanza della legge, della normativa interna e del Codice Etico e vigila sul rispetto dei valori di trasparenza, legalità, equità ed integrità etica nei rapporti con i dipendenti, fornitori, clienti e tutti gli stakeholder. L’Ethic Officer, inoltre, predispone relazioni periodiche sulle principali evidenze emerse ai Vertici aziendali e agli Organi di Controllo.

Nel 2021 sono pervenute all’Ethic Officer 14 segnalazioni, di cui 12 relative a presunte violazioni al Codice Etico e 2 per presunte violazioni dello SCIGR; 8 di queste segnalazioni sono state trasmesse all’indirizzo e-mail dell’Ethic Officer, 1 tramite posta ordinaria e 5 tramite la Piattaforma whistleblowing. Classificando per argomento le segnalazioni, 7 attengono il tema degli approvvigionamenti/rapporti con i fornitori; 4 l’ambito delle risorse umane; 2 le prescrizioni in tema di salute, sicurezza e ambiente ed 1 la tutela del patrimonio aziendale.

Successivamente alle fasi di verifica preliminare o di accertamento, in fase di chiusura, le segnalazioni sono state classificate con i seguenti esiti: 1 segnalazione è stata ritenuta fondata e, pertanto, la Società interessata ha messo in atto le iniziative volte all’implementazione e rafforzamento dei controlli in essere, 6 segnalazioni sono state ritenute "non fondate", 7 sono state "archiviate" in quanto “non circostanziate” e “non verificabili”.

ETHIC OFFICER ACEA ED IL CODICE ETICO: PROSEGUE LA CAMPAGNA PROTEGGO L’AZIENDA CHE MI PROTEGGE

L’Ethic Officer ha anche il compito di supportare le strutture aziendali deputate alla formazione sul Codice Etico, promuovendo programmi di comunicazione e attività finalizzate a darne massima diffusione, ed il Comitato Etica e Sostenibilità nel monitoraggio dell’adeguatezza e dell’attuazione del Codice Etico (per le materie di competenze). A tal fine, può proporre al Comitato per l’Etica e la Sostenibilità l’emanazione o la modifica di eventuali linee guida e di procedure operative per ridurre il rischio di violazione del Codice Etico ed indicarne l’opportunità di aggiornamento.

Nel 2021, l’Ethic Officer ha continuato a sostenere la campagna di comunicazione interna “Proteggo l’azienda che mi protegge” volta a diffondere la conoscenza dello strumento del whistleblowing nonché a stimolare maggiore consapevolezza sui valori e sui principi contenuti nel Codice Etico del Gruppo Acea e sull'importanza di tutelarli, tramite la pubblicazione, sulla intranet aziendale, di “news” inerenti la Campagna e di video pillole, prodotte con il contributo dei colleghi e colleghe e dei Vertici aziendali.

ANALISI INTEGRATA E MODALITÀ DI GESTIONE DEI RISCHI

Acea continua a sviluppare il Programma ERM, basato sul COSO frameworkEnterprise Risk Management (ERM) - Integrating with Strategy and Performance” 2017, per migliorare la visione integrata dei rischi e la loro gestione proattiva. Il Programma ERM ha lo scopo di:

  • rappresentare tipologia e significatività (probabilità e impatto economico-finanziario e/o reputazionale) dei principali rischi, inclusi quelli di sostenibilità, che possono pregiudicare il raggiungimento degli obiettivi strategici e di business del Gruppo;
  • indirizzare le strategie e le conseguenti ulteriori azioni di mitigazione.

La metodologia e gli strumenti utilizzati per identificare i rischi e valutarne la severità, in modo coerente a livello di Gruppo – definizione del Risk Model – hanno ulteriormente focalizzato l’analisi sugli aspetti ESG e sugli scenari di rischio associati ai temi emersi dall’Analisi di materialità. Durante il risk assessment, effettuato annualmente a livello di Gruppo, i Risk Owner identificano gli scenari di rischio collegati ai temi materiali Acea, evidenziando i possibili impatti e le attività tipiche di controllo poste in essere al fine di gestirli e mitigarli. I risultati del Programma ERM vengono tenuti in considerazione anche per la pianificazione di azioni volte a mitigare rischi e cogliere opportunità da parte delle Società del Gruppo dotate di Sistemi di gestione certificati.

I processi di ERM prevedono la costante interazione tra l’Unità ERM della Funzione Risk & Compliance della Capogruppo ed i focal point nelle Unità Risk & Compliance delle Società operative (si veda grafico n. 17).

Grafico n. 17 – L’unità ERM e i Focal point societari

L'unità ERM e i focal point Societari

Tabella n. 10 – Temi materiali Acea, rischi e modalità di gestione

tema materiale in alta rilevanza E rischio collegato impatto potenziale su Acea impatto potenziale su stakeholder e capitali modalità di gestione dei rischi
GESTIONE SOSTENIBILE DEL CICLO DELLA RISORSA IDRICA
eventi naturali sfavorevoli e/o cambiamenti climatici; ritardi autorizzativi che impattano sulle condizioni ottimali di gestione; monitoraggio e analisi

economico/ finanziario

reputazionale

ambiente e collettività

capitale naturale e sociale - relazionale

  • Policy, processi e procedure (rapporti con referenti istituzionali ed enti autorizzatori)
  • Strutture organizzative dedicate
  • Focalizzazione degli investimenti
  • Piani di Business Continuity e di manutenzione
  • Studi e analisi specialistiche (ISO 17025)
  • Sistemi di sicurezza informatica

SOSTENIBILITÀ NELLA PROGETTAZIONE, REALIZZAZIONE E GESTIONE DELLE INFRASTRUTTURE

impatti ambientali e sociali da inadeguata e mancata progettazione realizzazione e/o gestione di impianti/reti

economico/ finanziario

reputazionale

ambiente, collettività, istituzioni, fornitori

capitale naturale, produttivo e sociale -relazionale

  • Policy, processi e procedure (applicazione delle best practices di settore)
  • Monitoraggio e rendicontazione periodica
  • Persone e organizzazione (formazione e consolidamento competenze)
  • Implementazione di applicativi specifici
  • Piani di manutenzione

SALUTE E SICUREZZA SUL LAVORO

infortuni sul lavoro, rischio epidemiologico

economico/ finanziario

reputazionale

dipendenti
  • Policy, processi e procedure (ISO 45001, Biosafety Trust, ISO39001)
  • Persone e organizzazione (struttura dedicata, piani di formazione e comunicazione)
  • Verifiche sui fornitori
  • Manutenzione straordinaria su impianti a servizio delle sedi, sanificazioni sedi
  • Monitoraggio e reporting periodico

INNOVAZIONE DI PROCESSI, INFRASTRUTTURE E SERVIZI IN LOGICA SMART UTILITY

inefficienza operativa per inadeguatezza tecnologica e innovativa; cyber risk

economico/ finanziario reputazionale

collettività e business partner

capitale produttivo, intellettuale e sociale -relazionale

  • Policy, processi e procedure (interlocuzione con controparti istituzionali)
  • Monitoraggio e reporting periodico
  • Persone e organizzazione (formazione e consolidamento competenze)
  • Sistemi di sicurezza informatica

SOSTENIBILITÀ E CIRCOLARITÀ LUNGO LA CATENA DI FORNITURA

mancato controllo processo acquisto - mancato rispetto da parte dei fornitori dei requisiti richiesti (salute e sicurezza, ambientale, anticorruzione)

economico/ finanziario

reputazionale

ambiente e fornitori

capitale naturale, umano e sociale - relazionale

  • Policy, processi e procedure
  • Monitoraggio qualità dei beni/ servizi ricevuti
  • Albo fornitori qualificati
  • Studi e analisi specialistiche di benchmark

VALORIZZAZIONE DEI RIFIUTI IN OTTICA DI ECONOMIA CIRCOLARE

mancato rispetto della normativa; ostacoli sul mercato del trattamento e conferimento dei rifiuti

economico/ finanziario

ambiente

capitale naturale

  • Policy, processi e procedure (ISO 14001 ed EMAS)
  • Persone e organizzazione (strutture dedicate e formazione)
  • Reporting periodico
  • Verifiche su clienti/ fornitori/ partner
  • Consolidamento tramite acquisizioni societarie (M&A)
  • Piani di monitoraggio e controllo

APPROCCIO STRATEGICO ALLE RELAZIONI CON GLI STAKEHOLDER

tensioni con le rappresentanze degli stakeholder sul territorio con effetti negativi sullo sviluppo delle attività

economico/ finanziario

reputazionale

collettività

capitale sociale -relazionale

  • Policy, processi e procedure
  • Persone e organizzazione (attività di presidio stakeholder engagement, formazione e consolidamento competenze)
  • Processi di interlocuzione con le controparti
ETICA E INTEGRITÀ NELLA CONDUZIONE DEI BUSINESS comportamenti contrari a normative cogenti, a norme interne e standard di riferimento

economico/ finanziario

reputazionale

collettività, istituzioni e business partner

capitale produttivo, intellettuale e sociale -relazionale

  • Policy, processi e procedure (Codice etico - Modello organizzazione, gestione e controllo 231/01 - sistema whistleblowing)
  • Persone e organizzazione (piani di formazione e comunicazione)
  • Monitoraggio e reporting periodico

CENTRALITÀ DEL CLIENTE

mancato raggiungimento dei livelli di qualità dei servizi fino all'interruzione degli stessi; inadeguato focus sulle aspettative del cliente

economico/ finanziario

reputazionale

clienti

capitale sociale-relazionale

  • Policy, processi e procedure
  • Struttura organizzativa dedicata
  • Reporting periodico (analisi della clientela e dei servizi)
  • Monitoraggio quadro regolatorio e normativo di riferimento
  • Investimento in applicativi di Customer Care

QUALITÀ DELL'ARIA: CONTENIMENTO DELLE EMISSIONI INQUINANTI IN ATMOSFERA

superamento dei limiti emissivi previsti da leggi e decreti autorizzativi; mancato raggiungimento degli obiettivi di diffusione dei consumi da fonti rinnovabili

economico/ finanziario

reputazionale

ambiente e collettività

capitale naturale

  • Policy, processi e procedure (ISO 14001, ISO50001 ed EMAS)
  • Persone e organizzazione (piani di formazione)
  • Focalizzazione degli investimenti
  • Strumenti di monitoraggio e di supporto
  • Studi e analisi specialistiche
  • Reporting periodico

COINVOLGIMENTO DEL PERSONALE, SVILUPPO DEL CAPITALE UMANO E VALORIZZAZIONE DELLE COMPETENZE

mancata adeguatezza sia in termini di competenze che di piante organiche

economico/ finanziario

reputazionale

dipendenti

capitale umano

  • Policy, processi e procedure (Politiche di remunerazione e incentivazione)
  • Persone e organizzazione (strutture dedicate e formazione)
  • Sistema di valutazione delle performance
  • Monitoraggio e reporting periodico

TUTELA DEL TERRITORIO E DELLA BIODIVERSITÀ

impatti sulle condizioni di equilibrio ambientale causati da impianti in via eccezionale non conformi ai limiti di legge

economico/ finanziario

reputazionale

ambiente

capitale naturale

  • Policy, processi e procedure (ISO 14001 ed EMAS)
  • Persone e organizzazione (strutture dedicate e formazione)
  • Piani di manutenzione
  • Focalizzazione degli investimenti
  • Reporting periodico
  • Applicativi di telecontrollo e telegestione

DECARBONIZZAZIONE E ADATTAMENTO AL CAMBIAMENTO CLIMATICO

mancata realizzazione di impianti sostenibili e mancato adeguamento delle prassi operative con l'evoluzione dei cambiamenti climatici e mancato raggiungimento degli obiettivi di diffusione dei consumi da fonti rinnovabili (produzione di energia da fonti rinnovabili, resilienza rete elettrica, disponibilità della risorsa idrica)

economico/ finanziario

reputazionale

ambiente e collettività

capitale naturale e produttivo

  • Policy, processi e procedure (ISO 50001, ISO 14001, UNI 11352 ed EMAS)
  • Struttura organizzativa dedicata
  • Studi e analisi specialistiche
  • Focalizzazione degli investimenti
  • Reporting periodico

CONSOLIDAMENTO DEGLI ELEMENTI DI SOSTENIBILITÀ NELLA GOVERNANCE AZIENDALE

inadempienza al D. Lgs. 254/16; inadeguatezza del sistema normativo interno rispetto agli indirizzi del Codice di corporate governance

reputazionale

azionisti

capitale economico-finanziario e intellettuale

  • Policy, processi e procedure (aggiornamento e verifica dei sistemi informativi e dell'organizzazione)
  • Comitati endoconsiliari (Etica e Sostenibilità, Controllo e Rischi)
  • Attestazione dei responsabili dati e reporting assurance del revisore
  • Monitoraggio e reporting periodico

EVOLUZIONE DEI BUSINESS MEDIANTE L'OPEN INNOVATION E SVILUPPO DI SINERGIE CON PARTNER SCIENTIFICI E IMPRENDITORIALI

incapacità di cogliere opportunità da innovazioni tecnologiche e loro integrazione nei processi di business

economico/ finanziario

collettività, istituzioni e business partner

capitale produttivo, intellettuale e sociale-relazionale

  • Policy, processi e procedure
  • Struttura organizzativa dedicata al presidio dell'innovazione
  • Studi e analisi specialistiche
  • Persone e organizzazione (strutture dedicate e competenze specifiche)
BENESSERE AZIENDALE, DIVERSITÀ E INCLUSIONE incremento tasso assenteismo; compromissione del clima aziendale; possibili contenziosi legali da parte dei dipendenti reputazionale

dipendenti

capitale intellettuale e sociale-relazionale

  • Policy, processi e procedure
  • Persone e organizzazione
  • Piani di formazione e comunicazione
  • Iniziative di welfare aziendale (es: flexible benefit, check-up sanitari)

Il perdurare del fenomeno Covid-19 continua ad incidere anche sull’analisi dei rischi e sull’individuazione della modalità di gestione degli stessi; basti pensare, in relazione ai temi della salute e sicurezza sul lavoro e del benessere aziendale, agli aspetti connessi alla rilevazione e gestione del rischio sanitario e alle campagne di vaccinazione, al lavoro da remoto diffuso (smart working) o, in relazione alla garanzia della centralità del cliente, agli aspetti connessi al potenziamento dei canali digitali e all’innovazione degli stessi.

Il tema del cambiamento climatico è presidiato da Acea, che risponde al Questionario CDP (già Carbon Disclosure Project), includendo la valutazione di rischi ed opportunità, collegati alle attività, su un orizzonte sia di breve e medio-periodo sia di lungo periodo. La tabella n. 11 propone una rappresentazione delle principali evidenze: scenario di breve, medio e lungo termine e implicazioni più significative per l’azienda, in termini economico-finanziari, reputazionali, di impatto ambientale e sui clienti. Nel 2021, inoltre, Acea ha concluso un primo importante progetto per l’allineamento alle Raccomandazioni internazionali della Task Force on Climate-related Financial Disclosures-TCFD (si veda il box dedicato in Le relazioni con l’ambiente).

Tabella n. 11 – Rischi e opportunità collegati al cambiamento climatico: evidenze CDP

tipologia di rischio dettaglio tipologia e descrizione del rischio ambiti industriali più impattati orizzonte temporale

TRANSIZIONE

Rischi derivanti dal processo di transizione in atto verso un sistema economico decarbonizzato (ad esempio, ambiti normativi, tecnologici, di mercato)

Normativo-Regolatorio

Questi rischi possono manifestarsi nei seguenti modi: politiche di carbon tax crescenti e certificati bianchi; modifiche nei regimi incentivanti; inasprimento dei valori collegati all'Emission Trading Scheme (sia in termini di quote ammesse - onerose o no - che di costi delle quote delle emissioni effettive); evoluzioni normative che impongono la riduzione degli impatti nello svolgimento delle attività operative

Produzione energetica (termoelettrica e Waste to energy)

Gestione reti elettriche

Gestione idrica

breve-medio

Tecnologico

L'evoluzione tecnologica può imporre la riconversione del disegno dei processi al fine di renderli meno inquinanti (ad esempio sostituire gli impianti esistenti o parti di essi con altre tecnologie a basse emissioni)

Produzione energetica (termoelettrica e Waste to energy)

Gestione reti elettriche

Gestione idrica

medio

Legale

Tra questi rientrano i rischi legati all'inasprimento delle sanzioni legali ed economiche per il mancato rispetto di standard di performance - qualità tecnica nel servizio elettrico e in quello idrico (multe e costi incrementali di conformità)

Gestione reti elettriche

Gestione idrica

medio-lungo

Mercato

I rischi commerciali sono riconducibili al mancato adeguamento dei prodotti/servizi delle Società del Gruppo alle nuove esigenze dei clienti, sempre più attenti alle tematiche di sostenibilità, oppure all'aumento della povertà, causata anche dai cambiamenti climatici, che modifica le abitudini dei consumatori/clienti

Tutti i business ed in particolare Commerciale medio-lungo

Reputazionale

Si considera il rischio derivante da una percezione negativa dell'immagine dell'azienda da parte degli stakeholder come effetto di eventi/condizione negativi collegati al cambiamento climatico (ad esempio interruzione dei servizi provocati dalla scarsità della risorsa idrica o da eventi climatici estremi)

Il Gruppo Acea breve-medio

FISICI

Rischi derivanti dagli effetti fisici conseguenti agli eventi climatici (acuti se collegati a fenomeni episodici o cronici se riferiti a mutamenti sul lungo periodo)

Acuti

I fenomeni metereologici estremi come le forti piogge e le bombe d'acqua causano stress sulla capacità di resilienza della rete elettrica (interruzione dell'alimentazione elettrica) ma anche difficoltà nella normale gestione della sovrabbondanza di acqua nel servizio idrico: le bombe d'acqua possono anche causare un temporaneo disservizio degli impianti di trattamento delle acque reflue e dell'intero servizio della rete fognaria. I fenomeni di ondata di calore causano picchi di richiesta di energia/acqua sulla rete di distribuzione elettrica/rete idrica.

Gestione reti elettriche

Gestione idrica

Produzione energetica

breve-medio-lungo

Cronici

La riduzione delle precipitazioni può avere un impatto negativo sul servizio di distribuzione dell'energia elettrica, sulla produzione di energia elettrica dagli impianti idroelettrici ma anche sulla disponibilità della risorsa idrica per consumo umano, provocando conseguentemente nel settore idrico un aumento dei consumi energetici per il prelievo di acqua.

Il rischio di fulminazioni sempre più frequenti può determinare interruzioni nella distribuzione di energia elettrica e quindi un danno economico.

La variazione delle temperature può causare variazione nella composizione dei rifiuti in entrata agli impianti di termovalorizzazione cambiando le necessità tecnologico-operative anche connesse alla variazione delle emissioni e ai trattamenti necessari. Inoltre gli incentivi sono legati alla quantità biodegradabile del rifiuto

Gestione reti elettriche

Gestione idrica

Produzione energetica

breve-medio-lungo

OPPORTUNITÀ
driver dettaglio tipologia e descrizione dell'opportunità ambiti industriali interessati orizzonte temporale
Economia circolare Promozione di modelli di economia circolare e progetti di recupero da rifiuti, ad esempio con processi di termovalorizzazione abbinati a recupero di materiale (esempio: recupero del sodio e delle ceneri) Area Ambiente medio
Sviluppo impianti fotovoltaici Diversificazione del parco produzione con acquisizione e/o costruzione di sistemi fotovoltaici che, oltre a ricevere incentivi per l'immissione in rete di energia elettrica prodotta, permettono di bilanciare eventuali riduzioni di produzione da idroelettrico. Produzione energia elettrica; innovazione tecnologica medio
Aumento resilienza rete Investimenti per migliorare la resilienza della rete elettrica incentivati dall'ARERA. Distribuzione energia elettrica medio
Mercato e servizi Opportunità derivanti dalla variazione della domanda di energia correlata alle modifiche di picco nelle temperature ambientali e dall'innalzamento della temperatura media con impatti sulla crescita dei prezzi e volumi venduti Vendita energia breve-medio

Entro il 2022 Acea pubblicherà un documento sull’informativa climatica, di allineamento alle Raccomandazioni della Task Force on Climate-related Financial Disclosures (TCFD), per sviluppare la migliore consapevolezza e prassi di rendicontazione finanziaria collegata agli aspetti del cambiamento climatico più significativi (si veda la sezione Le relazioni con l’ambiente).

Infine, in rapporto alla gestione dei rischi operativi in caso di emergenze e alle iniziative preventive ed operative definite dalle Società del Gruppo, si rinvia al capitolo Istituzioni e impresa (paragrafo I Piani di gestione delle emergenze).

L’ANALISI DEI POTENZIALI RISCHI AMBIENTALI GENERATI

Le Società operative nelle aree industriali dell’Idrico, Infrastrutture Energetiche, Generazione e Ambiente, dotate di Sistemi di gestione ambientale certificati ISO 14001:2015, hanno identificato i potenziali impatti ambientali negativi generati dalle attività in relazione a specifici eventi o accadimenti.
Per il settore Idrico, i principali rischi riguardano: gli episodi di fenomeni climatici acuti o cronici o eventi sismici, che potrebbero causare cedimenti strutturali o malfunzionamenti sugli impianti e sui sistemi a rete, causando carenze idriche all’utenza o sversamenti accidentali di inquinanti; gestione operativa non efficiente della risorsa idrica, che potrebbe causare livelli elevati di perdite con conseguenti consumi eccessivi; stress idrico; possibili sforamenti dei parametri di controllo della risorsa con conseguenze ambientali; inadeguati interventi sul sistema fognario-depurativo con possibile contaminazione del suolo e dei corpi idrici; rischi di incendi ed esplosioni presso impianti di depurazione collegati alla produzione di biogas con possibili impatti in termini di emissioni in atmosfera.
Nell’ambito Infrastrutture Energetiche, i principali rischi sono riconducibili a: insistenza degli impianti aerei e interrati, con impatti in termini di uso del territorio e del sottosuolo; generazione di rifiuti e impatti su ecosistemi; generazione di campi elettromagnetici, con impatti in termini di esposizioni; manutenzione degli impianti di trasformazione, con potenziali contaminazioni di suolo e sottosuolo con materiali pericolosi; manutenzione e realizzazione di impianti, con impatti in termini di produzione di rifiuti speciali.
Per le attività di Generazione di energia elettrica, realizzata con centrali a fonti rinnovabili e convenzionali, i potenziali rischi ambientali riconducibili alla gestione ordinaria degli impianti o in caso di eventi critici come incendi o esplosioni possono determinare lo sversamento accidentale di sostanze inquinanti o il superamento dei valori soglia nelle emissioni (in atmosfera, nelle acque superficiali e in fognatura). Un profilo di rischio ambientale deriva dalla potenziale pericolosità di cedimenti strutturali delle opere idrauliche, imputabili a fenomeni naturali critici (come terremoti di particolare intensità e/o piene millenarie), che potrebbero determinare effetti sul territorio a valle degli impianti (come inondazioni).
Il settore Ambiente riguarda le attività di trattamento, recupero e smaltimento di rifiuti, recupero di materia e di energia (termovalorizzazione e compostaggio) e servizio di raccolta, trasporto e conferimento a recupero o a smaltimento dei rifiuti non pericolosi prodotti dagli impianti di depurazione e di trattamento dei rifiuti. In tale ambito, i potenziali rischi potrebbero manifestarsi in termini ambientali con sversamenti di sostanze pericolose e conseguente contaminazione del suolo e delle falde acquifere o delle acque superficiali, oppure con emissioni in atmosfera o in acqua oltre gli specifici valori limite prescritti; nel trattamento di rifiuti non conformi rispetto alla normativa di riferimento con ripercussioni sull'operatività degli impianti; in episodi di incendi di natura non dolosa che possano determinare interruzioni dell'operatività degli impianti e l’inquinamento delle aree circostanti, così come nella mancata realizzazione di investimenti o di interventi sugli impianti, con impatto sulla gestione della società per ritardi nel rilascio di atti autorizzativi; infine, esposizioni ambientali possono generarsi da rumori, odori e polveri prodotti durante attività manutentive straordinarie degli impianti.

Condividi