I principali compiti del risk manager sono:

• Gestire e coordinare le attività e i processi relativi all’Enterprise Risk Management;
• Supportare i Risk Owner nell’attività di Risk Management;
• Informare il Direttore Generale in caso di identificazione di rischio “unici”;
• Supportare il Direttore Generale nell’esecuzione di una revisione periodica del Modello dei Rischi ed eventuale proposta di aggiornamento delle scale ERM e della procedura aziendale;
• Elaborare il report ERM.

A partire dal 2018 MM ha avviato un processo di risk assessment finalizzato a individuare le aree aziendali caratterizzate da un maggior profilo di rischio e mappare i relativi rischi suddivisi in quattro tipologie – strategici, economici, di compliance e operativi – e le relative modalità di controllo.

Tale processo punta a ottenere una gestione integrata dei rischi e dei controlli sia in termini metodologici, sia di trasversalità dei processi, diffondendo una maggiore cultura sul tema e un linguaggio comune. La metodologia utilizzata è quella definita nelle Linee Guida ISO 31000 adottate dall’Associazione ANRA – Responsabili Assicurativi e Risk Manager – alla base dei risk assessment previsti dalle normative ISO. Dopo una prima fase dedicata alla rivalutazione delle metriche utilizzate per valutare i rischi, la mappatura dei rischi è stata integrata, analizzando i presidi in atto e le relative azioni di mitigazione in essere e da sviluppare.

La verifica e l’aggiornamento della risk map sono attività periodiche in ottica di miglioramento continuo e vengono realizzate per fasi

Nel 2020 si è proceduto con l’aggiornamento del risk assessment attraverso incontri con i risk owner individuati. In particolare, l’attività si è focalizzata sull’analisi dei rischi già mappati e relative modifiche, sulla valutazione degli effetti delle azioni di mitigazione realizzate, sull’identificazione di nuovi rischi e sulla revisione delle azioni di mitigazione secondo una logica di priorità che tenesse conto anche dell’analisi costi-benefici.

È in fase di ultimazione il processo di formalizzazione e validazione della nuova risk map, ed è stata definita la procedura di Risk management adottata nell’ambito del modello ERM – Enterprise Risk Management.

In relazione alla gestione degli impatti della pandemia da Covid-19 è stata introdotta la mappatura del rischio “pandemia” nella risk map, con successiva analisi delle principali azioni di mitigazione attuate dalle strutture aziendali impattate. La funzione Risk management ha collaborato alle attività dell’Unità di Crisi e della Cabina di Regia Covid-19, con particolare riferimento al disegno di un piano d’azione volto a mitigare gli impatti della pandemia sulla performance economico-finanziaria aziendale.

Per il 2021, si prevede di intraprendere iniziative relative al monitoraggio dei risultati delle azioni di mitigazione adottate, l’introduzione di indicatori di misurazione del profilo di rischio per specifici rischi rilevanti, l’individuazione di potenziali rischi emergenti attraverso attività di benchmark svolte a livello internazionale e la previsione di iniziative di formazione top-down finalizzate alla diffusione della “cultura del rischio”. Inoltre, a seguito di una riorganizzazione delle strutture di controllo aziendali – nei primi mesi del 2021 – è stata costituita una autonoma funzione di Risk Management dedicata in modo esclusivo a tale attività.

MM ha avviato il processo di integrazione del sistema di risk management rispetto ai rischi di sostenibilità: a partire dalla risk map vengono identificati i principali rischi afferenti alle aree del Decreto 254/2016 e le relative modalità di gestione in forma aggregata, poi associati ai temi materiali individuati dall’Azienda.

Tra le diverse tipologie di rischio considerate nella risk map figurano anche rischi di carattere economico-finanziario, quali rischi di cambio, di credito, rischi di tasso di interesse o rischi liquidità, che non rientrano tra quelli afferenti alle aree del Decreto 254/16 e per i quali si rimanda al Bilancio di Esercizio 2021.

Esiste poi una tipologia di rischio considerata di particolare importanza per il raggiungimento degli obiettivi strategici aziendali nel medio-lungo periodo, data la natura prevalente di società di servizi per la cittadinanza: si tratta del rischio reputazionale collegato al verificarsi di eventi o errori nella gestione che possono comportare un danno alla reputazione di MM, con effetti trasversali sulle aree di business.
Viene considerato un rischio di secondo livello in quanto deriva da eventi negativi riconducibili ad altre categorie di rischio, quali interruzione di attività e servizio, violazioni etiche o delle norme sulla privacy anche a seguito di attacchi cyber, crisi operative e incidenti che riguardano la sfera della salute e sicurezza.
Per presidiare questo rischio, MM si è dotata di sistemi di monitoraggio e reporting continui nonché di procedure per la gestione di eventuali contenziosi. Ha poi istituito un Comitato che valuta il livello di rischio a seguito del verificarsi di un evento critico e presiede il Crisis management team costituito ad hoc per fronteggiare operativamente la crisi, con particolare riferimento all’attività di comunicazione.
È stata inoltre adottata una procedura volta a definire le modalità operative che regolano il processo di crisis management in quanto alle attività di comunicazione da porre in atto prima, durante e dopo un evento critico, al fine di monitorare e prevenire potenziali problemi che potrebbero danneggiare l’Azienda e i suoi stakeholder.

Infine, considerata l’importanza che il tema della “lotta ai cambiamenti climatici” sta assumendo a livello globale, MM sta valutando la possibilità di integrare le proprie analisi in maniera più approfondita rispetto all’impatto generato e subito in questo ambito e la relativa rendicontazione, coinvolgendo anche quelle funzioni aziendali che si occupano specificatamente di temi ambientali ed energetici.