Enterprise risk management Nexi

Enterprise risk management

Il framework di  Enterprise Risk Management (ERM) del Gruppo Nexi , in linea con la nuova visione del Top Management e coerente con le raccomandazioni del Codice di Governo societario delle società quotate, si focalizza sulla gestione dei principali  rischi per la creazione e protezione del valore, integrando la cultura e le pratiche del risk management nei processi che definiscono le strategie di performance e gestione.” 

Scopri di più sui principali rischi a cui è esposto il Gruppo Nexi e su come vengono gestiti.

Missione e principi di riferimento

Identificare un rischio non significa necessariamente dichiarare la sua certa esistenza, but being awarma essere consapevoli che uno specifico rischio potrebbe verificarsi. La mission del modello ERM è quindi promuovere l'assunzione di decisioni informate, basate non solo su risultati attesi ma anche sul profilo di rischio sottostante con la garanzia di una opportuna gestione in linea con la propensione al rischio aziendale.


I principi a sostegno del modello ERM di Nexi sono i seguenti:

  • Visione globale: analizzando tutti i tipi di rischio a cui il Gruppo è o potrebbe essere esposto durante situazioni ordinarie o di stress;
  • Approccio basato sul valore: focus sui più significativi eventi di rischio che potrebbero impattare sui driver di valore del Gruppo, il raggiungimento di obiettivi strategici e/o la sostenibilità del business nel medio lungo periodo;
  • Approccio top-down: il Top Management, con il support della Funzione di Risk Management, identifica, stabilisce priorità e gestisce i principali rischi aziendali;
  • Fattibilità: focalizzare risorse sulla gestione e la mitigazione dei rischi per i quali Nexi ha leve di intervento;
  • Collaborazione: tutte le unità organizzative del Gruppo sono chiamate a contribuire attivamente, compatibilmente con le loro aree di competenza e attività, all’identificazione, valutazione e gestione dei rischi, in base alla propensione al rischio definita dal Consiglio di Amministrazione della Holding;
  • Trasparenza: in relazione al profile di rischio del Gruppo e alle strategie di gestione del rischio verso il Consiglio di Amministrazione   and adeguata divulgazione agli azionisti e a tutte le altre parti interessate.

Appetito al rischio

In coerenza con la missione e i valori del Gruppo definiti dal Codice Etico e in linea con la propensione al rischio aziendale, Nexi è avversa al rischio nei confronti di eventi che potrebbero:

  • comportare il mancato rispetto di regolamenti, disposizioni dell'Autorità di Vigilanza e/o altre norme applicabili al Gruppo;
  • provocare un'interruzione nell'erogazione dei servizi ai clienti;
  • compromettere la protezione dei dati trattati nelle operazioni del Gruppo.

 

Overview

In linea con le raccomandazioni del Codice di Corporate Governance delle società quotate italiane, il modello di Governance ERM di Nexi richiede un ampio coinvolgimento a tutti i livelli organizzativi. Più concretamente e basandosi sulle direzioni strategiche definite dagli organi societari competenti, il modello di Governance ERM di Nexi consente l'identificazione e la supervisione corrette e complete del profilo di rischio del Gruppo sfruttando il ruolo assunto dalle tre linee di difesa:

  • Primo livello di controllo  – identificazione, valutazione e gestione dei rischi  (Risk Owners) 
    Le strutture aziendali sono le principali responsabili del sistema di controllo interno e di gestione dei rischi. Nelle loro operazioni quotidiane, queste strutture sono chiamate a identificare, misurare o valutare, monitorare, mitigare e segnalare i rischi derivanti dalle attività ordinarie in conformità con il processo di gestione dei rischi e le procedure interne applicabili.
  • Secondo livello di controllo – Supervisione, controllo e conformità (Risk Management e Compliance)
    Funzioni di controllo responsabili di fornire supervisione e monitoraggio dei rischi e della conformità con le regole e i regolamenti attraverso framework, strumenti, processi e attività di controllo, consentendo un sistema di gestione dei rischi in tutto il Gruppo
  • Terzo livello di controllo – Garanzia indipendente (Audit Interno)
    Controlli volti a identificare violazioni delle procedure e dei regolamenti. L'Audit Interno del Gruppo fornisce anche una valutazione periodica della completezza, funzionalità e adeguatezza del sistema di controllo interno e di gestione dei rischi.
Consiglio di Amministrazione

In coerenza con il suo ruolo di direzione e coordinamento, il consiglio di amministrazione è responsabile dell'indirizzo strategico e della supervisione del sistema di gestione del rischio. In dettaglio:

· Definisce la natura e il livello di rischio in base agli obiettivi strategici, includendo nelle sue valutazioni tutti i rischi che potrebbero essere rilevanti rispetto alla sostenibilità aziendale nel medio-lungo termine; 

· Definisce le linee guida per la governance e il sistema di gestione del rischio, al fine di assicurare che i rischi rilevanti siano correttamente identificati e adeguatamente misurati, gestiti e monitorati; 

· Valuta periodicamente l'adeguatezza e l'efficacia del sistema di gestione del rischio in relazione al profilo di rischio assunto.

Comitato Controllo, Rischi e Sostenibilità

Il comitato supporta il consiglio di amministrazione nelle valutazioni e decisioni relative al sistema di gestione del rischio. In dettaglio:

· Supporta, attraverso l'esecuzione di adeguate attività preliminari, il consiglio di amministrazione nella revisione e approvazione delle attività di gestione del rischio (incluse le attività relative ai rapporti finanziari semestrali e annuali riguardanti il test di impairment e i criteri di valutazione);

· Riferisce all'intero consiglio di amministrazione sulle attività svolte e sull'adeguatezza del sistema di gestione del rischio.

Comitato strategico

Il comitato supporta, attraverso l'esecuzione di adeguate attività preliminari, il consiglio di amministrazione nelle valutazioni e decisioni relative ai rischi strategici legati, ad esempio, al piano strategico, ai piani delle linee di business, ai progetti strategici rilevanti e alle strategie di finanziamento.

Comitato Remunerazione e Nomine

Il comitato valuta periodicamente l'adeguatezza, l'applicazione e la coerenza della politica di remunerazione degli amministratori e dei dirigenti rispetto alle responsabilità strategiche dell'azienda.

Amministratore delegato

L' amministratore delegato e è responsabile della progettazione e dell'implementazione del sistema di gestione del rischio, basato sulle linee guida definite dal consiglio di amministrazione. In dettaglio:

· È responsabile nei confronti del consiglio di amministrazione per la corretta identificazione e rappresentazione dei principali rischi a cui l'azienda è esposta e propone al consiglio il profilo di rischio complessivo per l'approvazione;

· Implementa le strategie di gestione del rischio definite dal consiglio di amministrazione; 

· Gestisce la progettazione e l'implementazione del modello di governance del rischio e ne verifica l'adeguatezza e l'efficacia;

· Assicura una struttura organizzativa adeguata per la gestione del rischio.

L'amministratore delegato può essere supportato da specifici comitati manageriali per:

· Esaminare i risultati dell'analisi dei rischi

· Discutere dei principali rischi a cui l'azienda è esposta;

· Identificare e monitorare l'implementazione delle strategie di gestione del rischio;

· Monitorare periodicamente l'esposizione complessiva al rischio a livello locale; e

· Diffondere la cultura del rischio all'interno dell'azienda.

Funzione di Risk management

In qualità di funzione di risk management, il suo ruolo è facilitare, coordinare e monitorare l'implementazione del modello ERM, assicurando la conformità con le normative e i requisiti di gestione del rischio in vigore. In particolare: 

· Assicura la definizione, l'evoluzione e l'aggiornamento della metodologia a supporto dei processi di gestione del rischio, stabilendo standard e procedure per l'analisi, la valutazione, la gestione e il monitoraggio del rischio, fornendo inoltre supporto metodologico alle funzioni coinvolte;

· Coordina l'analisi e la gestione di tutti i rischi rilevanti, aggregando e consolidando i risultati a fini di reporting sul rischio;

· Monitora l'esposizione ai principali rischi;

· Sovrintende / monitora periodicamente l'implementazione e l'efficacia delle strategie e dei piani di mitigazione;

· Riceve flussi informativi / report adeguati relativi agli eventi di rischio.

Funzione audit interna

Nell'ambito della sua responsabilità di assicurazione, supporta il consiglio di amministrazione nella definizione delle linee guida del sistema di controllo interno e di gestione del rischio, in conformità con le strategie aziendali, e ne valuta l'adeguatezza e l'efficacia su base annuale.

Risk owners

I proprietari del rischio sono i principali responsabili dell'identificazione, valutazione e gestione dei rischi all'interno della loro area di responsabilità. Essi:

· Identificano gli eventi di rischio e ne valutano l'importanza;

· Suggeriscono, implementano e monitorano l'attuazione dei piani di azione per la mitigazione del rischio;

· Segnalano prontamente alla funzione di risk management evoluzioni rilevanti nelle esposizioni al rischio.

Principali fasi e attività

Il processo ERM di Nexi viene condotto due volte all'anno e include quattro fasi differenti: identificazione, valutazione, risposta e monitoraggio.

  1. Identificazione dei rischi 
    Svolto per tutte le categorie di rischio: strategici, operativi, di compliance, finanziari ed ESG.
  2. Valutazione dei rischi
    I rischi sono valutati in base al loro impatto e a probabilità, nonché alla maturità del sistema di gestione del rischio, il che porta a una prioritizzazione di livello 1 e livello 2.
  3. Risposta ai rischi
    Definizione di una strategia per la gestione del rischio e un piano d'azione, se necessario, per mitigare il rischio.
  4. Monitoraggio dei rischi
    Aggiornamenti periodici sui piani d'azione, che vengono riportati al Comitato Controllo, Rischi e Sostenibilità

 

Come riferimento / guida, la metodologia e i processi di ERM sono ispirati all'approccio di risk management dello standard ISO 31000:2018. 

Il processo ERM subisce regolari audit interni, l'ultimo dei quali è stato condotto nel 2022.