Stai utilizzando una versione obsoleta di Internet Explorer.
Per una navigazione ottimale del sito ti consigliamo di aggiornare il browser ad una versione più recente: Aggiorna IExplorer

A partire dalla quotazione in Borsa Poste Italiane ha progressivamente consolidato, nell’ambito del Sistema di Controllo Interno e di Gestione dei Rischi (SCIGR), un modello di governo dei rischi di gruppo basato sul framework di Enterprise Risk Management (ERM), in linea con i requisiti previsti dal Codice di Corporate Governance delle società quotate e con le best practice internazionali di riferimento.

Nel percorso di sviluppo e miglioramento continuo, tuttora in essere, di tale modello, sono stati presi in considerazione i diversi ambiti, finanziario, assicurativo e industriale, con l’obiettivo di conseguire una visione organica e complessiva del Gruppo, l’armonizzazione delle metodologie e degli strumenti a supporto del risk management e un rafforzamento della consapevolezza che la conoscenza del rischio, la sua misurazione e l’identificazione delle azioni ”sostenibili” idonee a contenerlo, nelle svariate forme in cui esso può manifestarsi in una realtà variegata e complessa come quella di Poste Italiane, rientra tra le attività prioritarie e può incidere in modo significativo sul raggiungimento degli obiettivi strategici.

Il processo di Risk Management ha per scopo l'identificazione, la valutazione, il trattamento e il monitoraggio dei principali rischi che interessano l'attività del Gruppo attraverso un insieme coordinato di principi, regole, procedure, metodologie, strumenti e strutture organizzative che introducono nell'operatività aziendale presidi in grado di controllare in modo efficace ed efficiente i rischi, producendo al tempo stesso un continuo flusso d'informazioni a supporto dei processi decisionali. Un approccio di questo tipo consente di gestire efficacemente l'esposizione del Gruppo ai rischi specifici del proprio business, di realizzare una pianificazione strategica risk-based e, laddove possibile, di trasformare i rischi in opportunità e vantaggio competitivo.

Nell’ambito delle misure organizzative necessarie ai fini della vigilanza e dell’efficace trattamento dei rischi aziendali, il Gruppo Poste ha avviato un processo di integrazione delle strutture svolgenti le medesime funzioni ma allocate nelle differenti società/funzioni aziendali, con l’obiettivo di garantire una maggiore governance dei processi e renderli più efficienti.
In particolare, all’interno della funzione Corporate Affairs, la costituenda funzione Sviluppo Sostenibile, Risk e Compliance di Gruppo” (SSRCG) ha il compito di:
 
  • assicurare, attraverso un processo strutturato e integrato, l'individuazione, valutazione e monitoraggio dei rischi in coordinamento con tutti gli altri attori del SCIGR;
  • garantire l’armonizzazione e l’integrazione dei modelli e dei flussi informativi tra i presidi specialistici di secondo livello, le società del gruppo e gli organi di controllo anche attraverso l’implementazione di una piattaforma integrata e trasversale per la gestione e il monitoraggio dei rischi a livello di Gruppo;
  • presidiare i flussi verso gli Organi Aziendali, nell’ottica di rafforzamento del SCIGR;
  • promuovere la diffusione della cultura del risk management ad ogni livello aziendale al fine di gestire in modo sistematico i principali rischi dell’organizzazione e di identificare le potenziali opportunità.

Il processo di Risk Management si articola in sei fasi, di seguito descritte:

Fase I: Indirizzo nella gestione dei rischi
Il Consiglio di Amministrazione di Poste Italiane S.p.A., previo parere del Comitato Controllo e Rischi: i) definisce gli indirizzi nella gestione dei rischi di Gruppo, in modo che i principali rischi risultino correttamente identificati, nonché adeguatamente misurati, gestiti e monitorati; ii) determina il grado di compatibilità di tali rischi con una gestione dell'impresa coerente con gli obiettivi strategici. L'Amministratore Delegato dà esecuzione agli indirizzi sulla gestione dei rischi di gruppo definiti dal CdA di Poste Italiane curando la progettazione, la realizzazione e la gestione del processo di Risk Management e verificandone costantemente l'adeguatezza e l'efficacia.

Fase II: Definizione e aggiornamento framework di Risk Management
La competente funzione in ambito SSRCG ha il compito di definire e aggiornare il complessivo framework di Risk Management di Gruppo, sviluppato secondo una logica orientata ai processi, gestendo l'evoluzione degli strumenti e delle metodologie in coerenza con le dinamiche di business, le best practice e il contesto normativo di riferimento.

Fase III: Goal Analysis & Risk Briefing
La competente funzione in ambito SSRCG, con il supporto delle altre funzioni aziendali con compiti di secondo livello di controllo, svolge l’analisi degli obiettivi e dei correlati processi aziendali (Goal Analysis) e, successivamente, procede con l’identificazione preliminare dei rischi che possono minare il raggiungimento degli obiettivi aziendali (Risk Briefing).

Fase IV: Risk Assessment Integrato
La competente funzione in ambito SSRCG, con il supporto delle altre funzioni con compiti di secondo livello di controllo, coordina i Risk Owner nella fase di Risk Assessment con l'obiettivo di individuare i principali rischi di Gruppo e pervenire a una valutazione del grado di rilevanza degli stessi.

Fase V: Risk Treatment
Per i rischi identificati e valutati nella fase di Risk Assessment vengono definite le strategie di trattamento più opportune, in coerenza con il livello di propensione al rischio, attraverso l’individuazione, da parte dei Risk Owner, delle azioni di trattamento da adottare e/o già adottate, degli strumenti e indicatori utilizzati per monitorare l'evoluzione del rischio (KRI e KPI) e l'implementazione delle azioni di trattamento (KCI) delle soglie di attenzione per gli indicatori da sottoporre a monitoraggio e delle tempistiche di implementazione delle azioni di trattamento e i relativi responsabili.

Fase VI: Risk Monitoring & Reporting
Il corretto e puntuale svolgimento delle attività di monitoraggio e reporting è un'attività essenziale per garantire l'efficacia del processo e l'attendibilità della reportistica indirizzata al Vertice Aziendale e agli Organi di Controllo. In particolare, l'attività di monitoraggio dell'evoluzione dei rischi e dell'implementazione dei relativi piani di trattamento viene svolta dalla competente funzione in ambito SSRCG, che aggrega e consolida le informazioni sui diversi rischi, ottenute dai Risk Owner e dalle altre funzioni con compiti di secondo livello di controllo.

Inoltre, la competente funzione in ambito SSRCG ha istituito un accurato e tempestivo sistema di reporting integrato tale da consentire una completa e consapevole gestione dei rischi di Gruppo articolato su due livelli informativi: i) il Reporting integrato verso il Vertice e gli Organi Aziendali; ii) il Reporting Gestionale che comprende i flussi informativi orizzontali tra le funzioni aziendali coinvolte nel processo di Risk Management.



La funzione Sviluppo Sostenibile, Risk e Compliance di Gruppo supporta il Vertice aziendale nell’efficace implementazione e gestione integrata del processo di Risk Management con riferimento a tutte le aree/tipologie di rischi presenti nel Gruppo, individuati, in via primaria, secondo una logica per processi.

I rischi presenti nel Gruppo sono riconducibili alle seguenti macro categorie principali:
 
  • rischi strategici: rischi che possono influire sul raggiungimento degli obiettivi fissati nel Piano Strategico; tali rischi sono identificati, classificati e monitorati con il coinvolgimento del Management dalla funzione SSRCG, descrivendone le caratteristiche principali, le cause scatenanti e le possibili conseguenze o effetti, sia in termini economici (e.g. perdite, maggiori costi per ritardi/ mancata implementazione dei piani di razionalizzazione e efficienza, minori ricavi), sia di altra natura (e.g. soddisfazione della clientela);
  • rischi operativi: rischi di subire perdite derivanti dall’inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni a livello di Gruppo, oppure da eventi esogeni. La gestione dei rischi operativi avviene sia nell’ambito specialistico dei presidi esistenti nel Gruppo (Risk Management BancoPosta, Risk Office Gruppo Poste Vita e Risk Management e Compliance PostePay), in ottemperanza alle disposizioni delle rispettive Autorità di Vigilanza, sia a livello integrato, a cura della funzione SSRCG. Sono oggetto di attento monitoraggio, tra gli altri: i) il rischio informatico, ed in particolare il rischio di malfunzionamento e/o di carenze nella sicurezza dei sistemi informatici che potrebbero determinare perdita di integrità, violazione di dati personali, riservatezza e confidenzialità delle informazioni nonché disservizi alla clientela; ii) il rischio di sicurezza sul lavoro e, in particolare, di infortuni a dipendenti o contrattisti sui luoghi di lavoro derivanti dalle attività operative (es. accettazione, trasporto e smistamento di pacchi e corrispondenza, nonché recapito dei prodotti postali con l’utilizzo di motoveicoli e autoveicoli); iii) rischi di sicurezza fisica, in particolare di accesso nelle sedi centrali delle aziende del Gruppo, negli Uffici Postali o in aree riservate da parte di soggetti non adeguatamente autorizzati/identificati, nonché di limitata protezione dei beni/ patrimonio di Poste Italiane contro atti predatori (rapine, perdite derivanti da frodi, furti, attacchi agli ATM, atti vandalici, ecc.). Rientrano inoltre tra i rischi operativi i disagi e/o blocchi presso gli impianti produttivi del Gruppo (Centri di Smistamento della Corrispondenza e Centri di Recapito, ecc.) derivanti da agitazioni o scioperi sindacali;
  • rischi di non conformità alle norme: rischi di violazione di norme o regolamenti esistenti, come ad esempio i rischi ex D.Lgs. 231/01, ex L. 262/05, Privacy, Market Abuse, o connessi all’introduzione di nuove norme o regolamenti (ovvero alla diversa interpretazione di norme e regolamenti) che hanno rilevanza generale (e.g. di natura amministrativa, contabile, fiscale, ecc.) ovvero specifica nei settori di attività del Gruppo Poste Italiane. In particolare, rientrano in questa tipologia di rischi quelli legati all’introduzione di nuove norme per la gestione e sviluppo dei Servizi postali universali e delle relative tariffe a remunerazione dell’attività di Poste Italiane, nonché il rischio di mancato rispetto degli standard di qualità del servizio regolati dalla AGCom;
  • rischi reputazionali: rischi che possono derivare da una percezione negativa da parte degli stakeholder del Gruppo, per i quali il framework adottato prevede l’attivazione di un intervento di analisi e di gestione (stakeholder engagement) al fine di intercettare e valutare le fonti di rischio. Tra gli elementi di rischio reputazionale a cui l’attività del Gruppo è fisiologicamente esposta, si rileva l’andamento delle performance di mercato riconducibile prevalentemente al collocamento dei prodotti del risparmio postale e di strumenti di investimento emessi da soggetti terzi (obbligazioni, certificates e quote di fondi immobiliari) ovvero da parte di Società del Gruppo (polizze assicurative emesse dalle controllate Poste Vita e Poste Assicura e fondi comuni di investimento gestiti da BancoPosta Fondi SGR), nonché la qualità del servizio percepita ed erogata sui servizi legati all’attività di corrispondenza e recapito pacchi;
  • ESG: Rischi derivanti da fattori riconducibili a problematiche ambientali, sociali e di governance (in particolare, collegati ai diritti umani, ai cambiamenti climatici e alla finanza sostenibile);
  • rischi finanziari e assicurativi: rischi finanziari che sono regolamentati e vigilati dalle Autorità (Banca d’Italia e IVASS) e presidiati dalle strutture di Risk Management dei rispettivi settori, coordinati dal referente unico in ambito Sviluppo Sostenibile, Risk e Compliance di Gruppo. I rischi della gestione finanziaria attengono principalmente all’operatività del Patrimonio BancoPosta e del Patrimonio Separato IMEL di PostePay (gestione attiva della liquidità raccolta su conti correnti postali, gestione di incassi e pagamenti in nome e per conto di terzi), alle operazioni di finanziamento dell’attivo e impiego della liquidità propria nonché, per quanto riguarda il Gruppo assicurativo Poste Vita, agli investimenti effettuati a copertura delle obbligazioni contrattuali assunte nei confronti degli assicurati. I rischi della gestione assicurativa attengono alla stipula dei contratti assicurativi e delle condizioni previste nei contratti stessi (basi tecniche adottate, calcolo del premio, condizioni di riscatto, ecc.). Con riferimento alla Compagnia Poste Vita, sotto il profilo tecnico i principali fattori di rischio sono quelli relativi alla mortalità, ossia ogni rischio riconducibile all’aleatorietà della durata della vita degli assicurati, e ai riscatti.
I rischi della gestione finanziaria attengono principalmente, per quanto riguarda la Capogruppo Poste Italiane S.p.A., all’operatività del Patrimonio BancoPosta e alle operazioni di finanziamento dell’attivo e impiego della liquidità propria, e, per quanto riguarda la controllata Poste Vita, agli investimenti effettuati a copertura delle obbligazioni contrattuali assunte nei confronti degli assicurati, relativi a polizze di tipo tradizionale rivalutabili e a prodotti index e unit linked. Tra i rischi della gestione finanziaria rilevano, in particolare: i) il Rischio di tasso di interesse, ossia il rischio che il valore di uno strumento finanziario fluttui per effetto di modifiche dei tassi di interesse sul mercato e ii) il Rischio spread, ossia il rischio riconducibile a possibili flessioni dei prezzi dei titoli obbligazionari detenuti in portafoglio, dovute al deterioramento della valutazione di mercato della qualità creditizia dell’emittente.

ll processo di Risk Management di Gruppo consente di individuare i rischi di varia natura, di caratterizzarli ciascuno secondo un livello finale di probabilità/impatto e di posizionarli quindi all'interno di una matrice (Heat Map) che permette una visione immediata dei rischi da presidiare maggiormente e di prioritizzarli.
Il Gruppo si è inoltre dotato di una piattaforma integrata di Governance, Risk e Compliance (GRC) che permette il censimento e l’archiviazione di tutti i rischi e, a ciascun attore del processo, la visualizzazione delle informazioni coerente con il proprio livello di profilazione. Il sistema supporta inoltre la funzione SSRCG e gli altri attori nella predisposizione della reportistica integrata sui rischi.