Relazione Annuale Integrata 2020
ENG

RELAZIONE SULLA GESTIONE

BILANCIO CONSOLIDATO

BILANCIO DI ESERCIZIO

Download Center

Seleziona i capitoli che desideri scaricare

0.00kb
6,13 MB


0.00kb

0.00kb

RELAZIONE SULLA GESTIONE

BILANCIO CONSOLIDATO

BILANCIO DI ESERCIZIO

Etica e compliance

dnf_icon
globo

Il gruppo Italgas opera sulla base di un Sistema di Gestione Aziendale, composto da un Sistema Organizzativo e un Sistema Normativo, che definisce ruoli, responsabilità, poteri e norme di comportamento da tenere nella conduzione delle attività aziendali. 

Il Sistema di Gestione Aziendale è aggiornato continuamente con l’obiettivo di garantire l’efficacia e l’efficienza dei processi, la salvaguardia del patrimonio aziendale e la conformità alle normative che consentono a Italgas di indirizzare anche la gestione e il coordinamento delle società controllate.

La correttezza e la trasparenza nella gestione del business sono finalizzate, oltre alla realizzazione di un corretto modello di gestione e dialogo con gli stakeholder, alla prevenzione dei fenomeni di corruzione.

Il Codice Etico

Il Consiglio di Amministrazione il 18 ottobre 2016 ha approvato il proprio Codice Etico1, che rappresenta un principio generale non derogabile del Modello 231 e raccoglie l’insieme dei valori che la Società riconosce, accetta e condivide e le responsabilità che essa si assume verso l’interno e l’esterno della propria organizzazione. Esso contiene inoltre i principi generali di sostenibilità e responsabilità d’impresa, oltre al richiamo dei principi che devono essere rispettati in materia di luogo di lavoro, di rapporti con gli stakeholder e con i fornitori e in materia di tutela dei dati personali.

Il Codice Etico trova applicazione nei confronti delle “persone di Italgas”, ossia degli amministratori, dei sindaci, del management e dei dipendenti di Italgas nonché di tutti coloro che operano per il conseguimento degli obiettivi di Italgas, ciascuno nell’ambito delle proprie funzioni e responsabilità. I rappresentanti indicati da Italgas negli organi sociali delle partecipate, nei consorzi e nelle joint venture promuovono i principi e contenuti del Codice Etico negli ambiti di rispettiva competenza. Garante del rispetto dei principi enunciati nel Codice Etico è l’Organismo di Vigilanza che relaziona semestralmente al Comitato Controllo e Rischi e al Collegio Sindacale.

Modello di organizzazione e gestione ai sensi del D.Lgs 231/01

Il Modello 231 costituisce uno strumento di supporto volto a prevenire la responsabilità amministrava dell’ente ed è destinato ai componenti degli organi sociali, al management e ai dipendenti di Italgas, nonché a tutti coloro che operano per il conseguimento degli obiettivi di Italgas.

Il Consiglio di Amministrazione di Italgas in data 18 ottobre 2016 ha approvato il proprio modello di organizzazione, gestione e controllo ai sensi del decreto legislativo 8 giugno 2001, n. 231 (il “Modello 231”), destinato ai componenti degli organi sociali, al management e ai dipendenti di Italgas, nonché a tutti coloro che operano per il conseguimento degli obiettivi di Italgas.

Il Modello 231 di Italgas viene costantemente aggiornato alla luce delle riforme normative che modificano il novero dei reati presupposto rilevanti ai sensi del D.Lgs. 231/2001.

Italgas, in applicazione del proprio Modello 231, nomina l’Organismo di Vigilanza, composto da tre membri esterni, uno dei quali in qualità di Presidente, individuati tra accademici e professionisti di comprovata competenza ed esperienza nelle tematiche giuridiche e societarie e di economia e organizzazione aziendale. La durata in carica dei membri dell’Organismo di Vigilanza coincide con quella del Consiglio di Amministrazione che li ha nominati. I membri decadono alla data dell’Assemblea dei soci convocata per l’approvazione del bilancio relativo all’ultimo esercizio della loro carica, pur continuando a svolgere ad interim le proprie funzioni fino a nuova nomina dei componenti dell’Organismo di Vigilanza.

Ciascuna Controllata adotta autonomamente il proprio Modello 231 e ne cura l’aggiornamento costante in base alle peculiarità della rispettiva realtà aziendale, avendo, tuttavia, come punto di riferimento i principi del Modello 231 di Italgas e tenendo conto delle indicazioni e modalità attuative previste da Italgas in funzione dell’assetto organizzativo e operativo del Gruppo Italgas. Inoltre, ciascuna Controllata istituisce un autonomo e indipendente Organismo di Vigilanza.

Il Modello 231 è consultabile sul sito internet della Società (https://www.italgas.it/export/sites/italgas/italgas-gallery/Documenti_it/07-governance/03-controllo-interno-e-compiance/02-responsabilita-amministrativa-231/ItalGas_modello231.pdf).

Anticorruzione

Italgas è attiva nel contrastare e prevenire qualsiasi forma di corruzione, sia in ambito nazionale che internazionale. La rilevanza del rischio corruzione in relazione alle attività aziendali è analizzata e gestita in modo specifico nel Modello 231.

Le misure Anticorruzione sono contenute nell’apposita Procedura che fornisce un quadro sistemico di riferimento degli strumenti normativi in materia presenti in Italgas, ispirati ai principi di comportamento previsti dal Codice Etico. La Procedura raccoglie gli strumenti normativi di cui Italgas si è dotata per prevenire qualsiasi forma di corruzione nelle relazioni con terzi, Pubblici Ufficiali e privati, sia in ambito nazionale sia internazionale, a tutela dell’integrità del business e della reputazione del Gruppo.

La Procedura si applica a Italgas S.p.A. e alle società controllate nell’ambito dell’attività di direzione e coordinamento esercitata dalla corporate del Gruppo. L’adesione alle misure anticorruzione è inoltre richiesta anche ai fornitori, agli intermediari e a qualsiasi soggetto che possa far ricadere la responsabilità in materia in capo a Italgas.

  • In evidenza

ISO 3711

Al termine del 2020, Italgas S.p.A. e la controllata Italgas Reti S.p.A. hanno conseguito, per il terzo anno consecutivo, la certificazione ai sensi della norma UNI:ISO 37001:2016 che attesta la conformità dei sistemi di gestione per la prevenzione e il contrasto della corruzione.

Inoltre, nel corso dell’anno sono state svolte le attività prodromiche all’ottenimento della certificazione dei sistemi di gestione per la prevenzione e il contrasto della corruzione adottati da Italgas Acqua S.p.A., Seaside S.r.l., Medea S.p.A., Toscana Energia S.p.A. e Gaxa S.p.A. Gli audit svolti presso le predette società, si sono conclusi positivamente ed è stato così raggiunto il conseguimento della certificazione ai sensi della norma UNI ISO 37001:2016 anche di tutti i sistemi di gestione per la prevenzione e il contrasto della corruzione adottati dalle altre società del Gruppo Italgas nelle date di seguito riportate: (i) Italgas Acqua S.p.A. (15 luglio 2020); (ii) Seaside S.r.l. (28 settembre 2020); (iii) Medea S.p.A. (2 ottobre 2020); (iv) Toscana Energia S.p.A. (4 novembre 2020); (v) Gaxa S.p.A. (18 novembre 2020).

I sistemi di gestione per la prevenzione e il contrasto della corruzione sono stati certificati all’esito di approfonditi audit nei quali è stato riscontrato l’impegno e la collaborazione degli esponenti e delle funzioni aziendali, supervisionate dalla funzione di conformità per la prevenzione e il contrasto della corruzione, nell’implementazione e osservanza delle misure adottate al fine di assicurare l’adeguatezza e l’idoneità di ciascun sistema di gestione per la prevenzione e il contrasto della corruzione ai requisiti della norma UNI ISO 37001:2016.

Antitrust

Il Consiglio di Amministrazione in data 18 ottobre 2016 ha approvato il proprio Codice di Condotta Antitrust (il “Codice Antitrust”) che definisce le linee guida di comportamento cui tutti i dipendenti di Italgas e delle Società Controllate devono conformarsi per garantire la compliance di Italgas e delle Società Controllate con i principi dettati dalla normativa applicabile in materia antitrust.

Il Codice Antitrust si applica a tutto il Gruppo Italgas nell’ambito dell’attività di direzione e coordinamento esercitata da Italgas e si colloca nell’ambito delle iniziative dedicate a favorire lo sviluppo della cultura d’impresa in materia di tutela della concorrenza e a porre in essere procedure e sistemi idonei a ridurre al minimo il rischio di violazioni della normativa antitrust, nel più ampio ambito delle iniziative di compliance promosse dal Gruppo Italgas.

L’adozione del Codice Antitrust si inserisce nell’ambito del più ampio programma di compliance antitrust promosso dal Gruppo Italgas che si sviluppa attraverso, tra l’altro, l’istituzione di un presidio antitrust nell’ambito della Funzione Legale, cui ogni persona del Gruppo può rivolgersi per comunicazioni concernenti l’interpretazione e l’applicazione del Codice Antitrust e ogni qualvolta si profili una situazione a potenziale rischio antitrust.

In ragione dell’evoluzione che ha interessato la struttura e l’organizzazione del Gruppo Italgas, il Consiglio di Amministrazione, in data 27 luglio 2020, ha approvato l’aggiornamento della Procedura “Antitrust” (“Codice di Condotta Antitrust e di Tutela del Consumatore”), che è pubblicata sul sito internet di Italgas. Tale aggiornamento è stato preceduto da un assessment volto a verificare il livello di aggiornamento, alla luce dei criteri stabiliti dalle Linee Guida dell’Autorità Garante della Concorrenza e del Mercato, dello Standard di Compliance “Antitrust” già in vigore per le Società del Gruppo.

Al Codice di Condotta Antitrust e di Tutela del Consumatore, opportunamente aggiornato, è stato allegato un Manuale Antitrust e di Tutela del Consumatore, fornendo altresì una panoramica della più importante prassi decisionale dell’Autorità Garante della Concorrenza e del Mercato. Tale Manuale costituisce uno strumento di approfondimento, a disposizione del Gruppo Italgas, per lo svolgimento di attività formative e per ogni eventuale analisi che il Presidio Antitrust dovesse essere chiamato a svolgere nell’esercizio delle sue funzioni.

Sicurezza delle informazioni e dei dati personali

Italgas S.p.A. nell’ambito della propria strategia di sviluppo ed aggiornamento continuo di un efficace sistema di governo della sicurezza afferente sia agli asset fisici, sia agli asset intangibili, ha definito un modello che coinvolge le differenti strutture aziendali, cui vengono assegnati ruoli e responsabilità con la finalità di garantire le attività di mantenimento della conformità alle normative ed il monitoraggio costante degli standard di riferimento e delle istruzioni emanate dalle Autorità competenti.

Per quanto riguarda la sicurezza e classificazione delle informazioni, il Modello Organizzativo attuato dalla Società prevede che la Funzione di Group Security, in collaborazione con la funzione ICT, abbia il compito di verificare l’efficacia delle misure di sicurezza applicate agli ambiti rilevanti, sia gestiti internamente che per mezzo del supporto di terze parti, identificando opportunità ed aree di miglioramento e promuovendo l’evoluzione delle misure di sicurezza sulle informazioni, piattaforme ed applicativi in ambito.

Nel corso dell’anno 2020, Italgas S.p.A. ha attuato un processo di revisione e rivalutazione delle informazioni a tutela dell’intero patrimonio informativo aziendale e a supporto della valutazione degli eventi di sicurezza impattanti i sistemi critici ed i processi rilevanti, attraverso l’introduzione di best practice e la realizzazione di iniziative di miglioramento della sicurezza.

Tutte le attività ed iniziative in corso sono in linea con le istruzioni ed i requisiti di riservatezza, integrità e disponibilità delle informazioni indicati dalla serie di standard ISO/IEC 27000.

Il rischio legato al furto, perdita od alterazione delle informazioni così come di asset aziendali, è monitorato ciclicamente dall’Unità Enterprise Risk Management all’interno del portafoglio globale dei rischi aziendali.

Inoltre, le Funzioni di Group Security ed ICT collaborano costantemente alla definizione, monitoraggio e reporting di indicatori in materia di Sicurezza delle Informazioni a supporto dell’implementazione del Sistema di Gestione della Sicurezza delle Informazioni (SGSI) con l’obiettivo di valutare l’efficienza delle misure tecnico/organizzative attuate da Italgas S.p.A e promuovere il processo di miglioramento continuo dei livelli di maturità della sicurezza.

Per le tematiche rilevanti il Consiglio di Amministrazione di Italgas S.p.A., in data 7 maggio 2018, ha approvato il proprio Modello Organizzativo Data Protection declinato nello Standard di Compliance Data Protection, identificando le figure chiave del sistema di gestione dei dati personali, definendone ruoli e responsabilità in relazione al trattamento dei dati, e designando il Responsabile della Protezione dei Dati (“DPO”) individuato nella Funzione Internal Audit, affidandogli compiti di informazione e consulenza, di sorveglianza dell’osservanza della direttiva 95/46/CE (di seguito, il “GDPR”), di cooperazione con l’Autorità di Controllo, il tutto promuovendo la cultura della protezione dei dati all’interno dell’azienda, supportando la valutazione degli aspetti di data protection di ogni nuovo progetto che possa aver impatto sulla protezione dei dati, coordinando le attività di formazione in materia di data protection, individuato all’interno della Funzione Internal Audit.

Nel 2020 Italgas e le sue controllate hanno continuato il loro percorso di adeguamento alle previsioni del Regolamento (UE) 2016/679 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva GDPR, divenuto applicabile in tutti gli Stati Membri dell’Unione Europea a partire dal 25 maggio 2018.

Tutte le società controllate, in occasione dei propri Consigli di Amministrazione, hanno definito e formalmente approvato un Modello Organizzativo Data Protection coerente con i principi che hanno ispirato il Modello Organizzativo Data Protection di Italgas, seppur disegnato sulle proprie esigenze specifiche e sulla propria struttura organizzativa, ed hanno individuato e nominato il DPO.

Nel 2020 si evidenzia l’impegno di Italgas e delle sue controllate nella definizione ed implementazione di misure di natura organizzativa e tecnologica, con riferimento alle previsioni del Regolamento (UE) 2016/679 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva GDPR.

Il modello Organizzativo Data Protection è reso operativo dallo standard di Data Breach Management che ha la finalità di identificare e valutare potenziali incidenti che possano ledere la privacy e la libertà dell’individuo.

Le misure attuate in tale ambito, hanno evitato nel corso dell’anno 2020 incidenti di natura fisico-logica classificabili come data breach o compromissione di sistemi aziendali.

Cyber security

Le Funzioni di Group Security e Cybersecurity lavorano congiuntamente implementando policy e procedure relative alla sicurezza dell’azienda. I rispettivi ruoli e responsabilità sono definiti attraverso una matrice RACI2 condivisa che consente l’armonizzazione degli sforzi a tutela del patrimonio informativo aziendale.

Le nostre procedure interne stabiliscono che, almeno una volta all’anno, il Group Security Officer (GSO), riferisca al Consiglio di Amministrazione e agli Organi di Controllo, in merito al livello di conformità alle normative nazionali e internazionali sulla cybersecurity ed alle politiche aziendali in materia di misure tecnico-organizzative adeguate alla gestione dei rischi e alla prevenzione degli incidenti informatici. In aggiunta, il GSO aggiorna direttamente e costantemente l’Amministratore Delegato in merito a temi di interesse.

I rischi connessi alla cybersecurity sono monitorati dalla Funzione Enterprise Risk Management all’interno del portafoglio rischi aziendale. I rischi vengono aggiornati con cadenza trimestrale, semestrale o annuale a seconda della loro rilevanza.

Inoltre, in merito a eventi o aggiornamenti relativi alla legislazione italiana ed internazionale, vengono organizzate sessioni informative ad hoc verso gli organi di governo aziendali.

A seguito degli impegni stabiliti nel piano strategico, della digital transformation e della crescente importanza della gestione delle informazioni e dei dati, oltre a definire adeguate politiche di sicurezza, è stata implementata la formazione al personale in merito ai rischi cyber, attraverso una serie di corsi interattivi e campagne di sensibilizzazione ad hoc; in concomitanza è stato anche rafforzato il sistema di alerting ai dipendenti, con l’invio massivo di mail di segnalazione, in caso di campagne malevole o di phishing. All’interno del pacchetto di sensibilizzazione sono stati anche erogati corsi relativi alla corretta gestione degli asset aziendali ed al loro utilizzo al di fuori del perimetro aziendale.

Le attività svolte hanno riguardato i seguenti aspetti:

  • Early Warning & Reporting verso gli organi di governo aziendali;
  • contromisure, preparazione in caso di evento e gestione di eventuali Data Breach o attacchi cyber, per gestire il rischio crescente di perdita di informazioni rilevanti per l’azienda;
  • processi di infosharing e reporting al top management per la tempestiva segnalazione di eventi di cybersicurezza e minacce informatiche che potrebbero avere un potenziale impatto sugli interessi e sulle attività del gruppo Italgas,
  • implementazione di processi e soluzioni di protezione, monitoraggio e correlazione di eventi da diverse fonti per rilevare potenziali minacce alla sicurezza informatica.

Le Unità di Security e Cybersecurity hanno inoltre, attraverso un processo di miglioramento continuo e con il fine di fare sistema, predisposto procedure organizzative ed operative per far fronte ad eventi che possano portare alla gestione di eventuali emergenze di tipo cyber con impatto sull’erogazione del servizio, operando al fine del mantenimento della continuità operativa aziendale e della tutela della popolazione.

Sono stati inoltre rafforzate le collaborazioni nazionali ed internazionali con gli enti preposti, ovvero la Polizia Postale (CNAIPIC) e il CSIRT nazionale e, inoltre Italgas aderirà nel 2021 alla European Cyber Security Organisation (ECSO), al fine di implementare e rafforzare la collaborazione con la Commissione UE, la European Union Agency for Cybersecurity (ENISA) e le Autorità nazionali di competenza.

Nell’ultimo triennio (2018 – 2020) non ci sono stati, secondo le evidenze a disposizione, incidenti legati alla cybersecurity che hanno generato eventi di data breach o compromissione di sistemi aziendali.

Principali indicatori di performance

dnf_icon

Sistema di controllo interno

Nel corso del 2020 sono stati completati 34 audit, di cui 8 audit programmati, 2 audit operativi speciali e 22 controlli di monitoraggio indipendente. Nei primi mesi del 2020, sono stati inoltre completati 2 interventi previsti nel piano di audit 2019.

Segnalazioni

Nel corso del 2020 sono pervenute 13 segnalazioni di cui 12 riguardano il sistema di controllo interno e 1 inerente alla responsabilità amministrativa ex D.Lgs 231/2001. Al 31 dicembre 2020 tutte le segnalazioni ricevute nell’anno sono state regolarmente processate, e di queste 12 sono state chiuse.

 UNITÀ DI MISURA201820192020
Totali segnalazioni ricevuten.8713
di cui inerenti al sistema di controllo interno n.6212
di cui inerenti altre materie (Codice Etico, mobbing, furti, security, etc.)n.250
di cui inerenti alla responsabilità amministrativa ex D.lgs 231/2001n.001
Segnalazioni chiusen.6612
Segnalazioni in corso di esamen.211*

* Segnalazione inerente al sistema di controllo interno che verrà chiusa nell’anno 2021

 

Standard GRI 205-2 Comunicazione e formazione in materia di politiche e procedure anticorruzione

Comunicazione e formazione in materia di politiche e procedure anticorruzioneU.m.2018201920203
Formazione in materia di anticorruzione*ore2093673.849
Partecipazionin.783022.914

* La formazione considerata riguarda i seguenti argomenti: Codice etico, Modello 231, Anticorruzione, Anti-Trust e Data Protection.

 

Standard GRI 205-3 Episodi di corruzione accertati e azioni intraprese

Nel corso del 2020 così come già evidenziato nel 2019, non si sono verificati episodi di corruzione (si rimanda alla tabella sotto riportata).

Episodi di corruzione accertati e azioni intraprese

U.m.2018*2019*2020

Totale degli episodi di corruzione accertati

n.000

Episodi di corruzione accertati con licenziamento/provvedimento disciplinare dei dipendenti

n.000

Episodi di corruzione accertati con risoluzione /non-rinnovo di contratti con partner commerciali

n.000

* I dati rendicontati per gli esercizi 2018 e 2019 fanno riferimento alle sole società Italgas Reti e Italgas S.p.A..

1 Il Codice Etico Italgas è consultabile sul sito internet della Società https://www.italgas.it/export/sites/italgas/italgas-gallery/Documenti_it/07-governance/02-etica-dimpresa/01-il-codice-etico/ItalGas_CodiceEtico.pdf.
2 La matrice RACI (matrice di assegnazione responsabilità) specifica il tipo di relazione fra la risorsa e l’attività: Responsible, Accountable, Consulted, Informed. Con tale strumento viene indicato “chi fa che cosa”, all’interno di un’organizzazione.
3 Nel corso del 2020 le ore di formazione in materia di anticorruzione sono state incrementate a seguito dell’avvio di un corso di formazione eLearning destinato a tutta la popolazione aziendale del Gruppo Italgas.