Geopolitica, cyber attacchi e volatilità delle materie prime guidano le preoccupazioni dei board, mentre molte aziende restano senza una governance strutturata dei rischi. Secondo la Survey 2026 “Risk Management & Governance: lo stato dell’arte nel panorama italiano” condotta da PwC Italia e Nedcommunity, il 49% delle società non ha una funzione di Risk Management indipendente e nel 39% dei casi il responsabile non è un C-Level.
L’instabilità geopolitica, gli attacchi cyber e le tensioni sulle supply chain sono ormai rischi strutturali per le imprese italiane, ma molte aziende continuano ad affrontarli senza una funzione di Risk Management realmente indipendente e integrata nei processi decisionali. È quanto emerge dalla survey 2026 Risk Management & Governance: lo stato dell’arte nel panorama italiano condotta da PwC Italia e da Nedcommunity, l’associazione degli amministratori non esecutivi e indipendenti presieduta da Marco Giorgino, con l’obiettivo di offrire una fotografia aggiornata delle pratiche di risk management nelle società non finanziarie e del ruolo del consiglio di amministrazione nella supervisione dei rischi.
Nel dettaglio, le principali sfide per i board aziendali, sia nel breve sia nel lungo periodo (2 e 10 anni) sono l’instabilità macroeconomica e geopolitica per il 92%, gli attacchi informatici per (87%), la volatilità dei prezzi delle materie prime per (82%) e le interruzioni della supply chain (76%). In uno scenario caratterizzato da crescente complessità e interconnessione tra i rischi, disporre di competenze dedicate e di un presidio strutturato diventa sempre più rilevante per supportare i processi decisionali e strategici. Tuttavia, quasi una società su due (il 33% tra le aziende quotate e il 69% tra quelle non quotate) non si è ancora dotata di una funzione di Risk Management indipendente, limitando la possibilità di affrontare queste sfide con un approccio integrato e di fornire al CEO e al board una visione organica dei principali rischi aziendali.
Lo studio, condotto su un campione composto da imprese eterogenee per settore e dimensione e quasi equamente distribuite tra quotate e non quotate, è presentato oggi all’assemblea annuale degli associati di Nedcommunity. La diffusione di buone pratiche cresce all’aumentare della complessità e della dimensione: sopra gli 1,5 miliardi di euro di fatturato, l’adozione raggiunge l’84%. Nel lungo periodo, aumentano le preoccupazioni legate alle tensioni socio-politiche, che entrano nella top 10, mentre il rischio climatico rimane in nona posizione.
I dati evidenziano il divario ancora esistente tra la percezione del rischio e la capacità delle organizzazioni di adottare adeguati strumenti di governance e di gestione. A fronte di un’elevata consapevolezza, infatti, gli approcci restano eterogenei: sul rischio geopolitico, circa il 70% delle aziende adotta misure reattive e non predittive, mentre sul cyber risk, AI e privacy, dove si osserva una maggiore sensibilità, la maggior parte dei CdA non si considera sufficientemente edotta rispetto alle responsabilità normative e il 49% dichiara un’informativa parziale o assente sulle attività svolte dalle figure aziendali responsabili.
Quanto al ruolo di responsabile risk management, nelle realtà in cui la funzione è presente emerge un progressivo rafforzamento del posizionamento nella governance: nel 79% dei casi, infatti, questi riporta direttamente a CEO o al CdA. È altrettanto vero, però, che nel 39% dei casi non si tratta di un C-Level, a dimostrazione di un empowerment ancora parziale. A conferma di ciò, la ricerca evidenzia come il coinvolgimento del Risk Manager/CRO nelle scelte strategiche sia diffuso, ma non sempre strutturato: nell’89% dei casi partecipa ai processi di decision making strategico, ma solo nel 50% delle aziende ciò avviene in modo regolare e formalizzato. Inoltre, nel 59% dei casi la valutazione di rischi e opportunità sulle iniziative strategiche è ancora assente o gestita in modo informale.
Venendo alla maturità dei modelli di Risk Management, si può considerare prevalentemente intermedia: il 61% delle aziende interpellate colloca il proprio modello di gestione dei rischi agli stadi “iniziali” e il 41% non ha ancora adottato un framework ERM, benché il 14% ne preveda l’introduzione entro i prossimi 12 mesi. Il Risk Appetite Framework risulta ancor meno comune: tra le società che adottano un framework ERM, solo il 44% ha formalmente definito la propria propensione al rischio attraverso indicatori, soglie e meccanismi di escalation.
Sul piano della governance emerge un’evoluzione positiva della reportistica: rispetto ai dati 2024, nel 2026 cresce la regolarità dell’informativa al board (reporting trimestrale nel 38% dei casi) e si riduce il numero di aziende prive di reporting periodico (17%); aumenta inoltre la formalizzazione di policy e documenti di supporto al CdA (64%). Il tema centrale resta però la qualità dell’informazione, che deve essere sempre più focalizzata sui rischi primari, comparabile nel tempo e orientata alle decisioni.
Infine, una delle principali aree in cui sono attesi miglioramenti significativi è rappresentata dall’integrazione tra rischio e pianificazione strategica: il 90% dei CdA infatti riceve un’informativa sul profilo di rischio associato al business plan, ma nel 24% dei casi il processo non è strutturato, oppure (38%) è su richiesta. Anche la frequenza di monitoraggio risulta ancora relativamente bassa: nel 42% delle aziende gli aggiornamenti sull’andamento del business plan e dei rischi ad esso associati risultano limitati o non sistematici. Un coinvolgimento regolare e organizzato nelle decisioni strategiche rafforzerebbe la capacità di anticipare le criticità e di supportare il CdA nell’assunzione di decisioni più informate.
“In uno scenario in cui la complessità è diventata strutturale e il cambiamento è continuo, il Risk Management rappresenta una funzione chiave che deve evolvere dal presidio dei controlli di processo alla valutazione dei rischi legati alle scelte strategiche e al business plan”, ha commentato Riccardo Bua Odetti, Partner PwC Italia, Lead of Enterprise Risk Management, “Il focus diventa quindi la selezione e valutazione dei rischi più rilevanti per l’impresa. La survey evidenzia come le aziende non finanziarie abbiano avviato un percorso di evoluzione, ma mostra anche quanto resti ancora da fare per rafforzare governance, integrazione e qualità delle informazioni destinate al CdA, soprattutto in un contesto come quello analizzato, caratterizzato dall’assenza di una normativa dedicata”.
“La ricerca conferma che il Risk Management sta diventando una leva sempre più centrale anche per la governance e la sostenibilità delle imprese non finanziarie italiane, ma spesso il percorso di maturazione è ancora incompleto”, aggiungono Giampiero Bambagioni, coordinatore del RG Risk, Governance e Sostenibilità di Nedcommunity e la Vicepresidente Patrizia Giangualano, “In uno scenario dominato da AI e cyber risk, rischi climatici e ambientali, instabilità geopolitica, AML e nuove complessità regolatorie, identificare e gestire efficacemente i rischi significa rafforzare la capacità strategica dei Board e la resilienza dell’impresa”.
TOP10 RISK BREVE PERIODO
TOP10 RISK LUNGO PERIODO
Scopri come ESGnews e i suoi partner possono aiutarti.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Maria Giovanna Lahoz
Source link
