Il SCIGR si ispira ai principi seguenti:
Il Sistema di Controllo Interno e di Gestione dei Rischi (SCIGR) è costituito dall’insieme di persone, strumenti, strutture organizzative e norme aziendali volte a consentire la corretta gestione dei rischi aziendali.
Elemento essenziale della Corporate Governance di Acea, il Sistema di Controllo Interno e Gestione dei Rischi (SCIGR) permette l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi inerenti all’attività di business.
Il SCIGR tiene conto delle raccomandazioni del Codice di Corporate Governance ed è ispirato alle best practice nazionali e internazionali, in particolare ai modelli CoSO - Internal Controls e CoSO - ERM Framework emessi dal Committee of Sponsoring Organizations of the Treadway Commission.
Per Acea, il corretto funzionamento dello SCIGR svolge un ruolo essenziale non solo per garantire il pieno adempimento a quanto previsto dalle norme e practice in materia, ma anche come strumento per un efficace conseguimento degli obiettivi di business.
Per questo l'azienda promuove:
Un approccio al business risk-based, volto a garantire il conseguimento degli obiettivi di piano nel rispetto della propensione al rischio
Una gestione in linea con le strategie e policy di sostenibilità, nella consapevolezza della rilevanza delle attività e della natura dei servizi erogati
Un approccio integrato ed efficace alle tematiche della compliance
“La gestione dei rischi in Acea è un processo strutturato e continuo, realizzato al fine di valutare e trattare in logica integrata i rischi dell’intera organizzazione coerentemente con la propensione al rischio espressa e di garantire al management le informazioni necessarie per il raggiungimento degli obiettivi strategici e di business.”
La definizione di un adeguato SCIGR permette di:
Identificare i rischi che possono incidere sul perseguimento degli obiettivi definiti dal Consiglio di Amministrazione
Favorire l’assunzione di decisioni consapevoli e coerenti con gli obiettivi aziendali, nell’ambito di una conoscenza diffusa dei rischi e del livello di tolleranza agli stessi, della legalità e dei valori aziendali
Salvaguardare il patrimonio aziendale, l’efficienza e l’efficacia dei processi, l’affidabilità dell’informazione fornita agli organi sociali e al mercato e il rispetto delle norme interne ed esterne
Il SCIGR si ispira ai principi seguenti:
Modello integrato: le componenti del SCIGR sono tra loro coordinate e interdipendenti e il sistema, nel suo complesso, è integrato nel generale assetto organizzativo, di governo societario, amministrativo e contabile
Direzione e coordinamento: Acea SpA, nell’ambito della propria attività di direzione e coordinamento nei confronti delle società controllate, emana e diffonde le Linee di Indirizzo e il relativo modello di attuazione, a cui le controllate devono attenersi
Rispetto delle disposizioni di legge e coerenza con le best practice
Responsabilizzazione del management
Coerenza con gli obiettivi aziendali
Approccio Risk-Based
Importanza dei flussi informativi
Massimizzazione dell’efficienza e dell’efficacia
Miglioramento continuo e pratica dell’eccellenza
Tracciabilità
Segregazione delle attività
Trasparenza
Le “Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi”, che descrivono il sistema, sono state oggetto di un processo di aggiornamento nel 2019 e sono state approvate dal Consiglio di Amministrazione nel gennaio 2020.
Si applicano a tutte le società di Acea e hanno lo scopo di:
fornire gli elementi d’indirizzo ai diversi attori del SCIGR, in modo da assicurare che i principali rischi, compresi quelli di sostenibilità nel medio-lungo periodo, risultino correttamente identificati e adeguatamente misurati, gestiti e monitorati;
identificare i principi e le responsabilità di governo, gestione e monitoraggio dei rischi connessi alle attività aziendali;
prevedere attività di controllo a ogni livello operativo e individuare con chiarezza compiti e responsabilità, in modo da evitare eventuali duplicazioni di attività e assicurare il coordinamento tra i principali soggetti coinvolti nel SCIGR.
Consiglio di amministrazione
Definisce le linee di indirizzo dello SCIGR in modo che i principali rischi per Acea e le sue controllate siano identificati, misurati e gestiti
Comitati endoconsiliari
Assicurano un’adeguata attività consultiva, propositiva e istruttoria a supporto delle valutazioni e decisioni del Consiglio di Amministrazione relative al SCIGR.
Personale aziendale
Interviene con diverse responsabilità, dal management ai dipendenti, nel mantenimento di un processo efficace di individuazione e gestione rischi, operando nel rispetto delle procedure ed eseguendo attività di controllo di linea
Risk management, compliance & sustainability - ERM
Definisce la metodologia di valutazione e prioritizzazione dei rischi e coordina la gestione del periodico processo di Risk Assessment. Ha in particolare la responsabilità di identificare, descrivere e misurare i principali fattori di rischio che possono compromettere il raggiungimento degli obiettivi strategici e di business dell'azienda, di proporre le politiche di gestione dei rischi e di indirizzare l’implementazione e l’evoluzione del Framework Enterprise Risk Management (ERM).
Risk Management, Compliance & Sustainability - ERM
Strutture di presidio specifiche
Sono ad esempio il DPO (Data Protection Officer), preposto, tra le altre cose, al monitoraggio dell’osservanza del Reg. UE 679/2016 e della normativa di settore da parte del Titolare/Responsabile (la società) ; il Responsabile Anticorruzione, preposto al coordinamento, sviluppo, e mantenimento del Framework e del sistema di gestione per la prevenzione della corruzione; il Referente Antitrust, responsabile del disegno, dell’implementazione e del monitoraggio del Programma di Compliance Antitrust.
Strutture di presidio specifiche
Amministratore delegato
Attua le linee di indirizzo del SCIGR e cura, anche avvalendosi delle Funzioni Audit e Risk Management, Compliance & Sustainability l'identificazione dei principali rischi aziendali, sottoponendoli periodicamente al CdA
Collegio sindacale
Vigila sulla conformità legislativa e procedurale e sulla correttezza dell'amministrazione.
Dirigente preposto alla redazione dei documenti contabili societari
Ai sensi della legge 262/05, è responsabile di istituire e mantenere il Sistema di Controllo Interno sull'Informativa Finanziaria e di rilasciare un’apposita attestazione, unitariamente all’Amministratore Delegato.
Organismo di vigilanza
Vigila sull’efficace funzionamento e sull’osservanza del Modello Organizzativo 231, con pieni e autonomi poteri di iniziativa e intervento.
Internal audit
Svolge verifiche indipendenti sull'operatività e idoneità dello SCIGR, tramite un piano di audit (risk based) approvato dal CdA, e monitora l'esecuzione dei piani d'azione emessi a seguito delle verifiche svolte.
La gestione dei rischi è un processo trasversale, con responsabilità diffuse che coinvolgono tutti i livelli aziendali.
Primo livello | Secondo livello | Terzo livello |
|---|---|---|
Controlli svolti dai responsabili delle attività operative in cui risiede il rischio. | Controlli svolti da strutture aziendali diverse dalle precedenti, diretti a verificare che i controlli di primo livello siano adeguati e operativi. | Controlli indipendenti svolti dalla funzione Audit al fine di verificare adeguatezza e operatività dello SCIGR. |
Codice Etico
Rappresenta il nostro impegno a perseguire i massimi livelli di eticità nel nostro operato.
Whistleblowing
Le specifiche procedure e canali per la ricezione, l’analisi e il trattamento di segnalazioni di presunte violazioni.
Modelli di compliance
Modello 231/01, Framework Anticorruzione, Programma di Compliance Antitrust & Consumer protection e Framework Governance Privacy.
Sistemi di gestione
Il sistema integrato si esprime attraverso specifici presidi e certificazioni.
Enterprise Risk Management
Il framework ERM permette l’identificazione, l’analisi e la gestione dei principali rischi
Trattamento informazioni societarie
Il regolamento specifica le procedure per la gestione e la diffusione di documenti e informazioni privilegiati.