Ci siamo dotati di processi e sistemi di Enterprise Risk Management (ERM) ai fini della rilevazione, valutazione e monitoraggio dei principali rischi aziendali (c.d. Risk Universe), in ottemperanza a quanto richiesto alle società quotate dal Codice di Corporate Governance. Nel 2023 il modello di gestione dei rischi del Gruppo è stato rivisto sviluppando un modello di Risk Management integrato Enterprise Risk Management (ERM) – Project Risk Management (PRM).
Nel processo di identificazione dei rischi vengono considerati tutti i fattori che possono avere un impatto sui temi ESG (ambientali, sociali e di governance). Complessivamente sono stati individuati più di 200 eventi di rischio (di cui il 68% con valenza ESG). Inoltre, l’analisi dei rischi è stata integrata con la Climate Change Scenario Analysis, condotta nel rispetto dei principi definiti dalla Task Force on Climate-Related Financial Disclosures (TCFD), ponendo l’attenzione ai rischi fisici e di transizione relativi ai cambiamenti climatici.
I rischi sono stati valutati a livello inerente e a livello residuo attuale dal middle e top management della Società. In seguito a tale valutazione sono stati individuati e approfonditi i rischi più rilevanti o emergenti in relazione agli obiettivi strategici e al contesto esterno di riferimento.
I rischi ESG sono stati raggruppati in 19 principali sottocategorie di cui 9 sottocategorie considerate come rilevanti (identificati nelle sezioni sottostanti con la lettera R).
RISCHI DI SOSTENIBILITÀ:
GOVERNANCE
Product development (R)
Rischio che il Gruppo non monitori e/o non investa nelle evoluzioni tecnologiche di prodotto/servizio con conseguente pregiudizio sulla competitività, sul presidio dei mercati complessi ad alto potenziale e sullo sviluppo di soluzioni più efficienti e sostenibili che contemplino sistemi a basse emissioni di gas a effetto serra o altri inquinanti ed energicamente efficienti. In tale ambito rientra anche il rischio connesso alla transizione tecnologica, che, se studiata ed eseguita in modo inadeguato, può comportare lunghi tempi di realizzazione, costi elevati, inefficienze operative e bassa qualità dei prodotti/processi.
Cyber security (R)
Rischio che il Gruppo subisca un attacco informatico finalizzato al furto d'identità, di dati e di informazioni (informazioni riservate/privilegiate, dati sensibili, credenziali bancarie, ecc.), alla sospensione temporanea dei servizi aziendali o al sabotaggio dei sistemi informatici, allo sfruttamento del potere di calcolo dei computer aziendali a scopo criminale, con conseguente danno reputazionale, perdita di fatturato, perdita di clienti e fornitori, sanzioni e richieste di risarcimento, fino all'interruzione del business.
Supply chain (R)
Rischio di non condurre adeguate due diligence sui potenziali fornitori, di non monitorarne le prestazioni nel tempo e/o di non sviluppare relazioni solide e durature per uno sviluppo del business a medio-lungo termine in linea con la regolamentazione vigente ed emergente e con i principi di sostenibilità del Gruppo con conseguenti impatti di natura economica, legale e reputazionale. In tale rischio rientrano aspetti di solidità economico-finanziaria, di capacity e concentrazione dei fornitori in ambiti core, di controllo sulle attività esternalizzate.
Personnel/Third-Party Integrity (R)
Rischio di intrattenere rapporti con terze parti (clienti, fornitori, partner strategici) di dubbia integrità, in termini di etica e legalità nella conduzione del business e che i leader/dirigenti o più in generale i dipendenti del Gruppo possano essere coinvolti in comportamenti scorretti, non etici o fraudolenti, compromettendo la fiducia degli stakeholder, minacciando la reputazione aziendale e potenzialmente influenzando negativamente la stabilità finanziaria e operativa dell'azienda.
Brand reputation (R)
Rischio che un danno all’immagine (brand) esponga il Gruppo a perdite di clienti, di profitti e del vantaggio competitivo. Tale rischio può, ad esempio, insorgere a causa di attività/ comportamenti che non tutelano gli interessi degli stakeholder (ad esempio, clienti, collettività), da parte di membri interni all'organizzazione o da soggetti esterni con i quali l'Azienda ha rapporti d'affari. Include il rischio derivante dalla diffusione di informazioni falsi e ingannevoli sui media digitali (ad esempio, AI e deep fakes).
Organizzazione e processi
Rischio che il modello organizzativo del Gruppo non sia in grado di supportare la business transformation e la crescita del Gruppo e/o che il sistema dei poteri e delle deleghe non sia coerente con il sistema organizzativo della Società, con le strategie di gestione dei rischi, con le competenze e le effettive possibilità di presidio e vigilanza, o non sia chiaramente e formalmente pubblicizzato sia all'esterno che all'interno dell'Azienda, con conseguente svolgimento di attività che ledono gli interessi dei terzi e dell'Azienda stessa. Tale rischio può ad esempio insorgere a seguito di assenza o non adeguata riorganizzazione delle funzioni, dei ruoli e delle responsabilità, dei processi e procedure aziendali, di assenza delle competenze necessarie per la gestione del cambiamento, o di una non chiara esplicitazione dei poteri assegnati e dei relativi limiti.
Direttive e norme
Rischio di non conformità a norme di legge, regolamentari e statutarie, alle normative primarie o secondarie dei Paesi emergenti, ai regolamenti specifici di settore, per effetto dell'evoluzione e inasprimento del contesto normativo e regolatorio nazionale e internazionale. Sono ricomprese le direttive e norme riguardanti l'adattamento e la mitigazione dei cambiamenti climatici, la business e trade compliance, la legislazione nazionale e internazionale relativa alla sicurezza cibernetica e all'anticorruzione, la normativa comunitaria, nazionale e internazionale in materia di protezione e trattamento dei dati personali, norme e regolamenti applicabili alle società quotate.
AMBIENTALE
Climate change (R)
Rischio che il cambiamento climatico ed i fenomeni meteorologici ad essi associati (acuti, quali tempeste, inondazioni, terremoti, incendi o ondate di calore, e cronici, quali cambiamenti di temperatura, innalzamento dei livelli del mare, minore disponibilità di acqua, perdita di biodiversità, ecc.), possano danneggiare gli asset (impianti, edifici, ecc.), causare un rallentamento o blocco produttivo per l'Azienda e/o per i fornitori, richiedere interventi non previsti di messa in sicurezza o di adeguamento alla transizione ecologica.
Commodity (R)
Rischio che variazioni nel prezzo delle materie prime (ad esempio, acciaio, rame) e delle commodity (ad esempio, gas, energia), incluse quelle da fonti rinnovabili, impattino i costi di produzione della Società. Tale rischio può insorgere ad esempio a seguito di eventi catastrofici che incidano sulla catena di fornitura o a seguito di variazioni delle politiche doganali / accordi internazionali in termini di import/export.
Environmental (R)
Rischio che il Gruppo, nello svolgimento delle attività produttive, possa arrecare danno alle matrici ambientali (acqua, terra, aria) con conseguente pregiudizio per il territorio e la collettività sia a breve che a medio-lungo termine. Tale rischio può insorgere a causa di un non tempestivo o adeguato recepimento nei processi interni delle disposizioni della regolamentazione vigente ed emergente, di un carente sistema di gestione, controllo e mitigazione dei potenziali impatti ambientali derivanti dalle proprie attività (ad esempio, inquinamento, consumi energetici, disastro ambientale, danni alla biodiversità) o di una scarsa formazione, informazione e sensibilizzazione dei singoli.
Carbon Management
Il rischio si riferisce alla possibilità che il Gruppo incontri sfide legate alla gestione delle emissioni di gas ad effetto serra (GHG) e alle questioni ambientali correlate. Questo rischio comprende la potenziale esposizione a cambiamenti normativi e impatti finanziari derivanti da tariffe sul carbonio o da tasse ambientali, e rischi di reputazione legati alle pratiche sostenibili e all'impatto ambientale del Gruppo.
SOCIALE
Health & Safety (R)
Rischio che il Gruppo non investa in modo adeguato, anche mediante attività di informazione e sensibilizzazione, nella tutela della salute e sicurezza nei luoghi di lavoro con conseguente pregiudizio per i propri dipendenti e i terzi coinvolti nelle attività aziendali.
Attrazione e fidelizzazione del personale (R)
Rischio che il Gruppo non sia in grado di attrarre e mantenere personale altamente qualificato e personale direttivo competente con un elevato livello di diversità in termini di età, nazionalità e genere, ovvero di integrare la struttura organizzativa con figure capaci di gestire la crescita del Gruppo e garantire la business transformation. L'interruzione dei rapporti professionali fra la Società e le figure chiave potrebbe compromettere il raggiungimento degli obiettivi strategici e operativi della società. In tale ambito rientra il rischio che la Società non sia in grado di offrire una retribuzione adeguata rispetto al mercato o benefit o strumenti adeguati di welfare secondo le aspettative dei dipendenti atti a garantire la loro fidelizzazione (ad esempio migliorare l’equilibrio tra vita lavorativa e necessità personali).
Performance management
Rischio che la Società non valuti e monitori le performance dei dipendenti rispetto ai target assegnati con pregiudizio dello sviluppo del personale e di una crescita sostenibile dell'Azienda stessa. Tale rischio può derivare da obiettivi di performance individuali non allineati agli obiettivi strategici o abbastanza specifici da guidare i comportamenti a sostegno della strategia aziendale, e/o dall'assenza di indici adeguati a misurare le performance del personale non solo in termini economici ma anche di sviluppo sostenibile.
Management System
Rischio che i sistemi di gestione adottati dal Gruppo, intesi come insieme di procedure, di flussi informativi e di sistemi informatici, non risultino adeguati e/o sufficientemente integrati e/o obsoleti rispetto alle mutate esigenze aziendali e a quanto offerto dal mercato pregiudicando il raggiungimento degli obiettivi aziendali, il mantenimento del vantaggio competitivo raggiunto o la massimizzazione del ritorno per gli stakeholder.
Clients
Rischio che la Società non rivolga la giusta attenzione alle esigenze dei propri clienti ed al miglioramento del prodotto e servizio offerto, con conseguente incapacità di soddisfare o eccedere le aspettative degli stessi.
Stakeholder engagement & Public Relation
Rischio che il Gruppo non adotti un'adeguata strategia di stakeholder engagement e di public relation volte a costruire e consolidare relazioni di lungo periodo con gli stakeholder. In tale rischio rientrano le comunicazioni aziendali in tema di sostenibilità per soddisfare gli obiettivi di rating da parte di agenzie ESG, la disclosure verso il mercato e gli investitori, il dialogo con le rappresentanze sindacali e i rapporti con istituzioni e governi volti alla creazione di consenso su tematiche rilevanti per la strategia aziendale. Rapporti inefficienti con le controparti locali, nazionali e internazionali (comunità e enti/associazioni locali, autorità, giudiziarie e di governo, associazioni di categoria, PMI, ecc.), possono danneggiare l'immagine e la reputazione aziendale, diminuirne la credibilità e il merito creditizio, e comprometterne la competitività e l'operatività.
Tutela delle pari opportunità
Rischio che il Gruppo non attui politiche per lo sviluppo del personale atte a tutelare le diversità, equità e inclusione e favorire le pari opportunità. Tale rischio può derivare dall’inesistenza o discontinuità di investimenti nella sensibilizzazione del personale e dall'assenza di strumenti idonei di tutela contro le discriminazioni.
Human rights
Rischio di arrecare, direttamente o indirettamente, impatti “avversi” alle persone lungo la propria catena del valore, con riferimento alle operazioni proprie (ad esempio dipendenti) e a quelle dei propri partner commerciali (ad esempio maestranze delle ditte in appalto).
Rischi emergenti
I rischi emergenti sono nuovi rischi o quelli che stanno cambiando e si stanno sviluppando in modo significativo e che possono avere un impatto rilevante sulle organizzazioni, le economie, le società o l'ambiente. Questi rischi possono derivare da varie fonti, come i cambiamenti tecnologici, sociali, ambientali, economici o geopolitici. I rischi emergenti sono spesso caratterizzati da un alto grado di incertezza e complessità, rendendo difficile la loro previsione e gestione.
Nel modello di Enterprise Risk Management (ERM) del Gruppo, poniamo particolare enfasi all'identificazione dei cambiamenti nel contesto di riferimento per rilevare eventi o macro-trend esterni all'organizzazione che potrebbero influenzare significativamente il business di Fincantieri o dell'intero settore nel medio-lungo termine (3-5 anni e oltre). Pertanto, è essenziale sviluppare capacità di resilienza e strategie di mitigazione per gestire questi rischi in maniera proattiva.
I due principali rischi emergenti che abbiamo individuato sono:
INTELLIGENZA ARTIFICIALE
Descrizione impatti
Seguiamo attentamente l’evoluzione dell’intelligenza artificiale (AI). Tuttavia, esiste il rischio che i concorrenti, adottando l'AI in anticipo, possano sviluppare tecnologie e processi più avanzati, migliorando l'efficienza operativa e la qualità dei loro prodotti. Questo potrebbe attirare clienti in cerca di soluzioni all'avanguardia, comportando per il nostro Gruppo una potenziale perdita di clientela e una conseguente riduzione della quota di mercato.
Azioni di mitigazione
Abbiamo integrato il rischio legato all'intelligenza artificiale (AI) nel nostro modello di valutazione e gestione dei rischi aziendali (Enterprise Risk Management). Questa inclusione garantisce un approccio sistematico e proattivo nella gestione dei rischi associati all'AI, il quale è così sviluppato:
- Valutazione dell'impatto sul business: durante le attività di assessment, non solo valuteremo l'impatto potenziale dell'AI sulle operazioni aziendali attuali, ma analizzeremo anche come l'adozione dell'AI da parte dei concorrenti potrebbe influenzare la posizione competitiva dell'azienda, conducendo anche alla possibilità, fra le altre, di perdere quote di mercato a favore di concorrenti che utilizzano l'AI per migliorare l'efficienza operativa e l'innovazione.
- Monitoraggio continuo: monitoreremo il rischio AI costantemente nel breve, medio e lungo periodo. Questo monitoraggio prolungato ci permette di identificare tempestivamente eventuali cambiamenti o emergenti minacce legate all'AI, adattando le strategie aziendali di conseguenza.
- Verifica delle azioni di mitigazione: l'inclusione del rischio AI nel modello di gestione dei rischi implica anche una continua verifica delle misure di mitigazione implementate. Esamineremo l'efficacia delle azioni intraprese per ridurre i potenziali impatti negativi dell'AI, assicurando che tali misure siano adeguate e aggiornate in base all'evoluzione della tecnologia e del mercato.
- Trasparenza e comunicazione: la gestione del rischio AI attraverso il modello Enterprise Risk Management promuove la trasparenza interna ed esterna, facilitando la comunicazione tra i vari livelli aziendali e con gli stakeholder. Questo approccio integrato ci consente di rispondere più prontamente alle sfide legate all'AI.
BIODIVERSITÀ
Descrizione impatti
La costruzione di navi richiede l'utilizzo di risorse naturali come metalli, legno e altri materiali, spesso provenienti da habitat naturali. Un uso eccessivo o non sostenibile di queste risorse può compromettere gli habitat stessi e ridurre la biodiversità. La mancata valutazione del rischio per la biodiversità può danneggiare la reputazione aziendale, portare a critiche pubbliche e azioni legali, comportare sanzioni e multe, e causare perdite finanziarie a breve termine, oltre a potenziali perdite economiche a lungo termine dovute alla diminuzione dei servizi ecosistemici.
Azioni di mitigazione
Abbiamo integrato il rischio legato alla biodiversità nel nostro modello di valutazione e gestione dei rischi aziendali, avviando un percorso mirato a monitorare l'evoluzione di questo rischio, sempre più rilevante a livello internazionale per il suo impatto sull'ecosistema globale. Concentriamo le azioni di mitigazione principalmente sull'uso consapevole dei materiali durante le fasi di progettazione, ricerca e sviluppo e costruzione, promuovendo tecnologie e pratiche di produzione sostenibili volte a ridurre al minimo l'impatto ambientale delle operazioni aziendali.