Consiglio di amministrazione
Da diversi anni il Consiglio di Amministrazione, con l’assistenza del Comitato Controllo e Rischi, ha definito le linee di indirizzo del sistema di controllo interno che, nel corso del 2013, vennero formalmente integrate con le linee guida di gestione dei rischi, già adottate da tempo dalla Società, conformando ad esse i propri comportamenti.
Relativamente alla gestione dei rischi, Edison ha sviluppato un modello aziendale integrato di gestione dei rischi che si ispira ai principi internazionali dell’Enterprise Risk Management (ERM), in particolare al framework COSO, come meglio precisato nel paragrafo “Sistema di Controllo Interno e di Gestione dei Rischi”, per la identificazione dei rischi prioritari dell’azienda, e per valutarne anticipatamente i potenziali effetti negativi nonché intraprendere le opportune azioni per mitigarli. In particolare, con riguardo alla valutazione dei rischi, si è tenuto conto anche di quelli che possono assumere rilievo nell’ottica dello sviluppo sostenibile nel medio-lungo periodo. L’aggiornamento della mappatura dei rischi viene poi esaminato annualmente dal Consiglio di Amministrazione, in occasione della riunione in cui esso approva il budget del successivo esercizio. Sulla base di tale analisi il Consiglio di Amministrazione definisce la natura ed il livello di rischio compatibile con gli obiettivi strategici della Società e del Gruppo, includendo nelle proprie valutazioni gli elementi che possono assumere rilievo nell’ottica della sostenibilità nel medio-lungo termine.
A partire dal 2016 il Consiglio di Amministrazione esamina in maniera più analitica, sulla base della medesima documentazione messa a disposizione del Comitato Controllo e Rischi, le analisi condotte, e i risultati conseguiti riguardanti il monitoraggio e la gestione dei rischi, utilizzando il modello integrato di gestione dei rischi adottato dal Gruppo. Ciò per assicurare, da un lato, un miglior recepimento del principio statuito in materia nel Codice e, dall’altro, l’osservanza delle indicazioni contenute nella comunicazione Consob n. 0009517 del 3 febbraio 2016 che ha richiesto un coinvolgimento attivo dell’organo amministrativo nei processi di gestione, monitoraggio e controllo dei rischi derivanti dall’operatività in derivati e una maggiore attenzione dell’organo di controllo sull’adeguatezza della struttura organizzativa della Società al rispetto delle regole EMIR. Come nel passato, il Comitato Controllo e Rischi continua comunque a effettuare una preventiva attività istruttoria, esprimendo al Consiglio le proprie valutazioni e raccomandazioni.
Nell’ambito del processo Enterprise Risk Management un’attenzione crescente è stata rivolta ai rischi ESG e alle relative azioni di mitigazione. Il processo di integrazione, iniziato nel 2018, è stato notevolmente rafforzato, avuto anche riguardo ai migliori standard internazionali di riferimento. Tali rischi stanno diventando sempre più parte integrante del processo di aggiornamento della mappatura dei rischi, il che ne consente una migliore identificazione e gestione.
Relativamente al 2021, il Consiglio di Amministrazione ha condiviso e approvato l’aggiornamento della cartografia dei rischi in occasione dell’approvazione del budget 2021 e in tale sede, e in occasione dell’approvazione dei risultati semestrali 2021, ha condiviso l’aggiornamento del profilo di rischio con specifico riguardo ai principali rischi del Gruppo, e cioè: i) rischi di mercato; ii) rischi di controparte e di paese; iii) rischi legati all’utilizzo di strumenti finanziari derivati; iv) rischi compliance EMIR, e le relative azioni di mitigazione. Relativamente al 2022, il Consiglio di Amministrazione ha condiviso e approvato la cartografia dei rischi e il profilo di rischio, nonché le azioni di mitigazione in occasione dell’approvazione del budget 2022.
Inoltre, con riguardo al 2021 è stata svolta internamente un’attività trasversale per l’identificazione e analisi degli ambiti di rischio afferenti i temi ESG i cui risultati sono stati condivisi con il Consiglio di Amministrazione nella riunione del 7 dicembre 2021.
Per alcuni dei rischi identificati all’interno di tale modello integrato, nel corso degli anni la Società ha sviluppato dei presidi specifici, finalizzati a gestire e limitare l’impatto dei diversi rischi sull’equilibrio economico finanziario del Gruppo. In particolare, come pure meglio precisato nel paragrafo “Sistemi di controllo interno e di gestione dei rischi”, in relazione all’esposizione del Gruppo al rischio di oscillazione dei prezzi delle commodities energetiche trattate, nonché al rischio di cambio legato alle valute utilizzate dal Gruppo, la Società ha da tempo assunto una Energy Risk Policy. La policy definisce l’ambiente di governo, il monitoraggio e il controllo di tali rischi, e prevede l’adozione di specifici limiti di rischio in termini di Capitale Economico per quanto concerne il portafoglio industriale relativo agli asset e ai contratti di Gruppo.
Nello specifico, in concomitanza con l’approvazione del budget, il Consiglio di Amministrazione approva il documento, denominato “Edison Risk Management Framework for Energy Market Risk”, con il quale individua per i successivi esercizi, i principi e definisce le principali strategie di copertura dal rischio commodity e dal relativo rischio cambio e fissa i limiti di rischio da rispettare nell’anno successivo.
Con riferimento al 2021, la decisione in ordine al limite massimo del Capitale Economico per il portafoglio industriale è stata assunta nella riunione del Consiglio di Amministrazione del 7 dicembre 2020 e, relativamente al 2022, nella riunione del 7 dicembre 2021.
Come già riferito nelle precedenti Relazioni di Governance, relativamente alla gestione del rischio di credito, la Credit Risk Policy è stata da ultimo aggiornata nel corso del 2019.
Il Consiglio di Amministrazione approva poi annualmente il Piano di Audit e gli eventuali aggiornamenti in corso di esercizio, predisposti dal responsabile della Direzione Internal Audit, sentiti il Collegio Sindacale e l’Amministratore delegato e con il parere favorevole del Comitato Controllo e Rischi. Con riguardo al 2021 le approvazioni sono avvenute nelle riunioni del 7 dicembre 2020 e del 28 luglio 2021; con riguardo al 2022 nella riunione del 21 dicembre 2021.
Amministratore delegato e Amministratore incaricato di sovraintendere alla funzionalità del sistema di controllo interno e di gestione dei rischi
All’Amministratore delegato il Consiglio di Amministrazione ha attribuito la responsabilità di sovrintendere alla funzionalità del sistema di controllo interno e di gestione dei rischi. Nel corso del 2021 l’Amministratore delegato, con il supporto del Chief Financial Officer e del Risk Officer, ha aggiornato la mappa dei principali rischi aziendali, che sono stati sottoposti all’esame del Consiglio; ha dato esecuzione alle linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi, curandone la progettazione, realizzazione e gestione e verificandone costantemente l’adeguatezza e l’efficacia, nonché l’adattamento alla dinamica delle condizioni operative e del panorama legislativo e regolamentare.
Nel corso del 2020 l’Amministratore delegato ha effettuato una richiesta alla Direzione Internal Audit in merito allo svolgimento di verifiche su una specifica area operativa.
Comitato Controllo Rischi
Relativamente alle competenze e all’attività di tale Comitato si rinvia a quanto illustrato nella sezione apposita del sito "Competenze e funzionamento del Comitato Controllo e Rischi".
Direzione Internal Audit
La Direzione Internal Audit, istituita nel maggio 2003, svolge l’attività di Internal Auditing, finalizzata ad assistere il Consiglio di Amministrazione e il Comitato Controllo e Rischi, nonché il management aziendale, nel perseguire il corretto funzionamento del sistema dei controlli interni e di gestione dei rischi, facilitando quindi il conseguimento degli obiettivi aziendali. Al Direttore Internal Audit, il Consiglio di Amministrazione ha assegnato, dal febbraio 2004, su proposta dell’Amministratore delegato, il compito di valutare l’adeguatezza e l’efficacia del complessivo sistema di controllo interno e di gestione dei rischi.
La Direzione, che non è responsabile di alcuna attività operativa, dal marzo 2013 riporta gerarchicamente al Consiglio di Amministrazione (e per esso al suo Presidente), che ha anche stabilito di incaricare il General Counsel del coordinamento operativo delle attività della Direzione e del suo responsabile, assicurandone i rapporti tra la predetta Direzione e il medesimo Consiglio di Amministrazione, il Collegio Sindacale e l’Organismo di Vigilanza 231. Il Consiglio di Amministrazione ha poi demandato all’Amministratore delegato, nella sua qualità di amministratore incaricato del Sistema di Controllo Interno e di Gestione dei Rischi, di assicurare che alla Direzione siano assegnate risorse adeguate all’espletamento delle sue responsabilità, nonché di definire la retribuzione del Direttore, da stabilirsi in coerenza con le politiche retributive per il management del Gruppo, tenuto conto delle linee guida generali valutate dal Comitato per la Remunerazione. L’attuale Direttore Paolo Colapenna è stato nominato il 29 luglio 2013, su proposta dell’Amministratore delegato nel predetto ruolo di amministratore incaricato del sistema di controllo interno e di gestione dei rischi, con il parere favorevole del Comitato Controllo e Rischi, e sentito il Collegio Sindacale.
La retribuzione è stata definita dall'Amministratore delegato su mandato del Consiglio di Amministrazione, ed in particolare i meccanismi di incentivazione di questo soggetto risultano coerenti con i compiti ad esso assegnati.
La Direzione opera sulla base di un Mandato approvato dal Consiglio di Amministrazione. Il mandato è stato da ultimo aggiornato a fine 2019. Nell’ambito di tale mandato anche nel 2021 è stato predisposto un piano di lavoro della Direzione, determinato con metodologie di natura risk based, per individuare gli interventi da effettuare e identifichi il necessario fabbisogno di risorse sulla base delle informazioni provenienti da: piano strategico/budget di Gruppo; Risk Assessment Enterprise Risk Management (ERM); mappatura dei rischi operativi delle Divisioni di Business; compliance 262 e 231; Tax Control Framework; segnalazioni del management; segnalazioni dell’Amministratore delegato e del Presidente del Comitato Controllo e Rischi; attività di Control Self Assessment; valutazioni della Direzione Internal Audit; risultati degli audit precedenti; revisori esterni. Il Piano, con i relativi aggiornamenti in corso d'anno, viene poi sottoposto al Comitato Controllo e Rischi, e approvato dal Consiglio di Amministrazione. L’attività include il processo di monitoraggio della effettiva esecuzione delle raccomandazioni emesse negli interventi di verifica (follow-up).
Nel corso del 2021 la Direzione riferisce con cadenza trimestrale al Comitato Controllo e Rischi ed al Collegio Sindacale in merito ai risultati delle attività di audit, e supporta il Comitato nelle verifiche e valutazioni relative al Sistema di Controllo Interno e di Gestione dei Rischi.
Sempre con cadenza trimestrale la Direzione riferisce al Collegio Sindacale in merito alle attività svolte ed alle valutazioni effettuate sul Sistema del Controllo Interno e di Gestione dei Rischi. In questa sede il Collegio Sindacale viene sistematicamente informato dei risultati degli audit eseguiti, con particolare riguardo ai principali rilievi emersi e alle relative azioni di miglioramento concordate con il management.
La Direzione Internal Auditing opera in conformità agli standard internazionali per la professione di internal audit (IPPF); tale certificazione di qualità (Quality Assesment Review), conseguita nel 2009, è stata rinnovata nel corso del 2018 per ulteriori cinque anni a seguito di una review realizzata da un certificatore esterno e indipendente.
Nel 2021 il piano di attività della Direzione è stato portato a termine regolarmente; esso ha riguardato, tra l’altro, come negli esercizi precedenti, l’affidabilità dei sistemi informativi, inclusi i sistemi di rilevazione contabile.
Il responsabile della Direzione Internal Audit ha accesso diretto a tutte le informazioni utili per lo svolgimento del proprio incarico. Inoltre, anche attraverso la partecipazione ai lavori del Comitato Controllo e Rischi e dell’Organismo di Vigilanza 231, di cui è Segretario, riceve e valuta le ulteriori informazioni aggiuntive, nonché assiste il Comitato Controllo e Rischi nel processo di valutazione del Sistema di Controllo Interno e di Gestione dei Rischi.
Altri soggetti coinvolti
Il processo di gestione dei rischi è coordinato dal Risk Officer che riporta al Chief Financial Officer. Egli supporta il management nella definizione della strategia complessiva delle politiche di rischio e nell’analisi, identificazione, valutazione e gestione dei rischi stessi, nonché nella definizione e gestione del relativo sistema di controllo e reporting. Per la gestione dei più rilevanti rischi aziendali è stato istituito un comitato manageriale, denominato Comitato Rischi, per la cui descrizione si rinvia al paragrafo “Elementi caratterizzanti il Sistema di Controllo Interno e di Gestione dei Rischi” al quale partecipano oltre che i Direttori delle divisioni maggiormente interessati a tali tematiche, anche l’Amministratore delegato. Alla valutazione ed al monitoraggio dei rischi, con particolare riferimento ai rischi ESG, partecipa il Chief Sustainability Officer nel più ampio ambito delle attività per la mappatura dei rischi aziendali.
Nel corso del 2021 il Risk Officer ha riferito sistematicamente sulle relative attività afferenti la gestione dei rischi al Comitato Controllo e Rischi, al Collegio Sindacale e, per il tramite del Chief Financial Officer, al Consiglio di Amministrazione.
I responsabili di ciascuna Business Unit, Direzione e Divisione hanno la responsabilità di disegnare, gestire e monitorare l’efficace funzionamento del Sistema di Controllo Interno nell’ambito della propria sfera di responsabilità, secondo quanto definito dal Consiglio di Amministrazione con le linee di indirizzo e dalle direttive ricevute per dare esecuzione a tali linee guida. L’attività è integrata con i processi per la individuazione, monitoraggio e gestione dei rischi, come precisato successivamente. Tutti i dipendenti, ciascuno secondo i rispettivi ruoli, contribuiscono ad assicurare un efficace funzionamento del Sistema di Controllo Interno e di Gestione dei Rischi.
Collegio Sindacale
Come richiesto dalla legge, il Collegio Sindacale vigila sulla adeguatezza della struttura organizzativa della Società, del Sistema di Controllo Interno e del sistema amministrativo contabile, come viene riferito nella relazione dello stesso all’assemblea, alla quale si rinvia. Sui flussi informativi in materia tra Collegio Sindacale e gli altri organismi si rinvia alle parti “Funzionamento del Collegio Sindacale” e “Comitato Controllo e Rischi” di questo sito.
Società di revisione
Nell’ambito delle attività che la Società di revisione deve svolgere per acquisire, come base per il proprio giudizio, una ragionevole sicurezza che il bilancio di esercizio e consolidato nel loro complesso non contengano errori significativi, il revisore considera il controllo interno relativo alla redazione del bilancio di esercizio e consolidato al fine di identificare le tipologie di errori potenziali e i fattori che incidono sui rischi di errori significativi, e determina la natura, la tempistica e l’estensione delle procedure conseguenti. Pertanto, la comprensione del sistema di controllo interno da parte del revisore riguarda solo la parte relativa alla redazione del bilancio, e non viene acquisita al fine di esprimere un giudizio sull’efficacia del controllo interno né nelle sue componenti, né nella sua globalità.