Cultura del rischio in crescita ma non basta

Luci ma anche diverse ombre. Lo spaccato della cultura dei rischi che ci restituisce i primi risultati della survey realizzata da PwC con Nedcommunity dal titolo “Risk Management & Governance: lo stato dell’arte delle imprese italiane” potrebbe essere riassunto in questo modo. Due dati su tutti: solo il 58% delle imprese è dotato di una funzione di risk management e in oltre un terzo delle aziende il responsabile non è un C-level. Ancora grande il divario fra le diverse aziende: le quotate che possono contare su questa funzione sono il 78%, nelle non quotate invece la percentuale scende al 41%.

Il risultato della ricerca che ha coinvolto gli iscritti Nedcommunity è stato al centro di un convegno organizzato il 14 marzo scorso nella sede milanese di PwC, corporate partner dell’associazione dei consiglieri non esecutivi e indipendenti. Una collaborazione che viene da lontano e che è destinata a rafforzarsi ulteriormente come hanno ricordato Monica Fanecco, direttore generale Nedcommunity, e Matteo Colombo, OTS leader e amministratore delegato PwC Business Services S.r.l.

Tornando alla ricerca realizzata da PwC con il supporto del Reflection Group di Nedcommunity La Governance in materia di rischi e controlli guidato da Giampiero Bambagioni, e presentata nel corso del convegno da Riccardo Bua Odetti, partner Risk Consulting, ERM Leader di PwC un focus importante è stato quello relativo al risk appetite framework, la guida per comprendere e definire i livelli di rischio che un’organizzazione è disposta ad accettare nel perseguimento dei suoi obiettivi strategici ed elemento chiave per il successo e la sostenibilità delle organizzazioni. “Il 50% del campione, più o meno, vanta un risk appetite framework ma nell’altro 50% non è definito. Chi non ne è dotato – si è chiesto Odetti – ha intenzione di ragionare su questo tema? Il 76% ha risposto di no: un feedback che mi ha colpito. D’altro canto, chi usa questo approccio lo fa nel migliore dei modi adottando variabili quali-quantitative di varia natura e utilizzandole per la profilazione del rischio aziendale”.

Altro aspetto centrale riguarda il ruolo e coinvolgimento del cda: nel 74% dei casi il board concorre alla definizione del risk appetite, però un quarto dichiara di non ricevere nessun tipo di informativa periodica. “Nel momento in cui in cda sono portate decisioni di natura strategica – continua Odetti – la documentazione dovrebbe contenere una valutazione del rischio per abilitare scelte pienamente consapevoli: ciò accade soltanto nel 43% dei casi e come se non bastasse nel 34% il business plan non annovera fattori di rischio e non integra valutazioni e stime inerenti ai pericoli principali. Inoltre, è emerso che soltanto nel 33% dei casi il cda è consapevole di come siano integrati i rischi ESG nell’analisi complessiva del rischio aziendale. È una percentuale ancora molto bassa che mi auguro aumenti con l’avvento della nuova direttiva CSRD”.

Passando alla valutazione performance risk based il 55% delle aziende ci dice che la valutazione del management non è collegata minimamente alla profilazione del rischio che il manager assume nel gestire la propria business unit. Chi, invece, realizza questo collegamento fa in modo che tali fattori siano ben pesati e contino molto nella valutazione. Infine, l’adozione di nuove tecnologie sembra molto presente ma in modo differenziato con l’81,5% delle imprese del campione che le usa nel processo di gestione del rischio. “La sfida che abbiamo davanti – conclude Odetti – è l’applicazione dell’AI e del machine learning nell’ambito del risk management. Sono tecniche che daranno certamente molto valore aggiunto per la grande capacità di elaborazione dati e per l’efficientamento del processo di analisi”.

Ma come agiscono le grandi aziende nella gestione del rischio? A rispondere a questa domanda è stato Andrea Rocco, Head of Risk Management del Gruppo Brembo, leader mondiale nella produzione di sistemi frenanti. Il manager ha sottolineato che il risk management rivestirà sempre più un valore strategico per le aziende non soltanto perché se adottato correttamente consente di migliorare progressivamente la difesa dai rischi ma anche per il fatto che rappresenta un processo che dà valore aiutando anche nell’identificazione di possibili nuove opportunità di business.

Una puntuale gestione dei rischi consente, inoltre, di essere anche più credibili nel momento in cui, per esempio, le imprese decidono di richiedere un finanziamento. Graziella Capellini, partner GC Advisors e associata di Nedcommunity che ha partecipato alla tavola rotonda centrale del convegno lo dice chiaramente: “Nel momento in cui si chiede l’erogazione di un finanziamento le banche valutano i rischi finanziari ma anche la modalità con cui vengono gestiti. Inoltre, l’utilizzo di sistemi di gestione del rischio permette di migliorare l’attrattività dell’azienda nei confronti degli investitori istituzionali”.

Patrizia Giangualano, independent director, advisor in Governance and Sustainability, e consigliere direttivo di Nedcommunity ha parlato dell’importanza di integrare l’analisi dei rischi nel piano strategico come avviene in Epta, società prossima alla quotazione: “L’impresa può contare su una grande cultura del rischio che è fortemente vissuta a iniziare dal suo ceo che ha voluto partecipare all’analisi dei rischi insieme alle varie funzioni. Lo sviluppo di questa attività è stato realizzato in collaborazione con le prime linee. Questo è un esempio di come l’orientamento a utilizzare l’analisi dei rischi in chiave strategica non dipenda dalle dimensioni aziendali”. Giangualano ha poi voluto sottolineare il forte legame fra CSRD e corretto risk management: “La nuova direttiva ci ha aiutato a fare meglio il lavoro di analisi dei rischi. La vera sfida è quella di essere capace di collegare i temi materiali con l’analisi dei rischi: è lì che bisogna trovare il trait d’union. Il passo successivo è mettere tutto nel piano di sostenibilità e infine all’interno del piano strategico”.

Anche Giampiero Bambagioni, coordinatore del Reflection Group La governance in materia di rischi e di controlli ha insistito sul tema della sostenibilità: “La funzione di risk management dovrebbe essere il presupposto fondamentale per raggiungere il successo sostenibile. Se pensiamo alla CSRD, l’articolo 19 bis parla testualmente di resilienza del modello e della strategia dell’impresa ai rischi connessi alle questioni di ESG. E di questo deve essere fatta disclosure. Poi bisogna considerare il grande impatto legato all’AI sulle imprese. Gli amministratori indipendenti saranno pienamente coinvolti in questo processo. L’AI avrà implicazioni sulla strategia, toccherà la responsabilità dei comitati, avrà conseguenze su board composition, directors education e management reporting”.

Elisabetta Magistretti, membro del Collegio dei Saggi di Nedcommunity ha insistito in particolare sul ruolo del comitato rischi che “dovrebbe vedere almeno una o due volte l’anno tutte le funzioni alla presenza del risk management, della compliance e dell’audit. L’obiettivo è quello di poter condividere, con le funzioni coinvolte, la cultura aziendale del rischio e supportare la collaborazione a tutti i livelli “.

Enrico Maria Bignami, associato Nedcommunity ha insistito su una corretta cultura del rischio la cui adozione, però, non è scontata e può anche richiedere molto tempo: “La chiave della trasformazione in questo caso è rappresentata dalle persone che siedono nei cda e negli organi di amministrazione e controllo: sono loro che devono avviare e consolidare tale evoluzione”.

Il compito di tirare le somme dell’evento è toccato al presidente di Nedcommunity, Alessandro Carretta: “Da questo incontro sono emersi due aspetti sui quali vorrei soffermarmi: la sfida del risk management e della governance forse non è vinta finché non riusciamo a far cogliere all’azienda che le funzioni di controllo di secondo livello e anche di terzo non sono dei portatori sani di costi, di difficoltà e di ostacoli ma al contrario rappresentano una garanzia di valore in azienda; la seconda sfida che ancora non abbiamo vinto riguarda il fatto che la cultura del controllo del rischio non arriva alla linea. Penso a una grande banca europea che qualche anno fa nel proprio piano strategico scrisse: dobbiamo essere tutti risk manager. Credo sia questa la strada da percorrere”.