Il valore strategico del comitato controllo e rischi nella governance aziendale

Qual è il vero contributo che il Comitato Controllo e Rischi (CCR) può portare al consiglio di amministrazione? A questa domanda ha cercato di rispondere la tavola rotonda promossa da Nedcommunity e KPMG Italy, che ha coinvolto oltre venti presidenti di CCR. L’occasione è stata la presentazione del documento “Il Comitato Controllo e Rischi: ruolo, funzioni e agenda per un’efficace governance”, che ha acceso un confronto vivace sui temi più attuali: i nuovi e vecchi rischi – dall’intelligenza artificiale alle minacce cyber – e soprattutto il ruolo evolutivo del CCR nel rafforzare il sistema di controllo e supportare in modo proattivo il board.
A introdurre il dibattito, gli interventi di Marco Giorgino neo-eletto presidente di Nedcommunity, Rosalba Casiraghi,presidente di illimity Bank e del Collegio sindacale di Eni e past-president di Nedcommunity, Paola Tagliavini, Deputy Chair of the Board of Directors di Intesa Sanpaoloe Carolyn Dittmeier, member board of directors di Eni e HSBC Londra dove siede anche nell’Audit commette and risk commette e curatrice con la consigliera di Nedcommunity, Patrizia Giangualano, del paper. Uno dopo l’altro hanno offerto prospettive complementari, ma convergenti su un punto: il CCR (e i Ned che ne fanno parte) non può limitarsi a una funzione reattiva, bensì deve diventare forza propulsiva della governance, interpretando i segnali di rischio e supportando il Consiglio nelle decisioni strategiche.

Un CCR attivo, non attendista

Secondo Marco Giorgino, presidente neoeletto di Nedcommunity, oggi il contesto impone ai CCR un cambio di passo radicale. “Oggi siamo chiamati a leggere scenari estremamente complessi, in cui la natura dei rischi è mutevole e le relazioni tra i fattori di rischio sono sempre meno lineari. Il CCR – ha spiegato – ha senso solo se riesce a essere parte attiva della governance, lavorando in sinergia con le funzioni di business e con quelle di controllo, ognuna secondo il proprio ruolo, cercando di anticipare le discontinuità”.
Giorgino ha richiamato l’esperienza del settore bancario, che ha fatto scuola sul fronte della gestione del rischio anche grazie all’introduzione del Risk Appetite Framework già dal 2013. “Il mondo finanziario – ha detto – ha definito, spinto anche dalla normativa, approcci, strutture e indicatori per la gestione dinamica del rischio che il mondo industriale non ha ancora pienamente assimilato. Tuttavia, portare questo approccio anche nei settori non finanziari è possibile, a patto di non pensare a una trasposizione rigida, ma a una personalizzazione coerente con la struttura delle imprese e del suo business di riferimento”.
Un passaggio centrale è stato quello sul ruolo culturale del CCR: “Non possiamo più pensare al Comitato come un soggetto che controlla attraverso dati e rilevazioni statiche. Il suo compito è quello di stimolare, sollecitare, anche fare challenge, ove necessario, sulla direzione aziendale. Bisogna avere un dialogo aperto anche con i risk taker, non solo con il CRO o le altre funzioni di controllo. Comprendere l’impatto dei rischi sulla profittabilità attesa è fondamentale, anche in termini di ridefinizione delle strategie e dei modelli di business”.

Dalla reazione alla prevenzione

Per Rosalba Casiraghi, il vero salto culturale sta nel passare da un controllo reattivo a un controllo proattivo. “Servono comitati che abbiano il coraggio di proporre, non solo di analizzare. Oggi si fa ancora poca istruttoria e poco monitoraggio attivo soprattutto in funzione di una visione evolutiva dei rischi”. Ha sottolineato l’importanza della combined assurance, ovvero di una visione coordinata e olistica delle attività di controllo, con le diverse funzioni di controllo, che devono comunicare, collaborare e coordinarsi in tempi e modi coerenti. E ha evidenziato come “le cose succedono se le persone le fanno succedere. E in questo i Ned possono essere fondamentali. Bisogna far capire che il costo di un investimento in questa direzione diventa un valore”. Casiraghi ha anche evidenziato la criticità del rapporto tra CCR e collegio sindacale: “Le riunioni congiunte possono aiutare, ma non devono diventare prassi. Occorre evitare sovrapposizioni e mantenere la distinzione dei ruoli, affinché ciascun organo possa esercitare la propria funzione in modo indipendente ed efficace”.

Il rischio come leva evolutiva

Paola Tagliavini ha incentrato il proprio intervento sui rischi emergenti, come l’intelligenza artificiale e le minacce informatiche, che impongono un cambio di paradigma nella loro gestione. Ha inoltre richiamato l’attenzione sui cosiddetti “cigni neri”, eventi imprevedibili capaci di destabilizzare profondamente un sistema: “Questi rischi richiedono una capacità di riconoscimento tempestiva e, talvolta, hanno origine dall’interno. Per questo motivo, le funzioni di controllo devono operare al fianco del business per intercettare per tempo i segnali deboli di rischio”.
Tagliavini ha sottolineato il ruolo cruciale dell’etica e della regolamentazione — come nel caso dell’AI Act — ma ha posto particolare enfasi sulla necessità di sviluppare una solida consapevolezza interna: “La cultura del rischio va costruita, ed è compito del CCR promuoverla con convinzione”.Come modello di riferimento, ha indicato il settore bancario, dove la vigilanza ha imposto da anni un sistema di controllo rigoroso e ben strutturato, ulteriormente rafforzato in risposta alle grandi crisi finanziarie. Tali eventi hanno infatti contribuito a consolidare principi fondamentali per l’operatività delle funzioni di controllo.
Secondo Tagliavini, il mondo industriale dovrebbe ispirarsi a questo approccio per rafforzare l’autorevolezza dei propri sistemi di gestione del rischio. Tuttavia, ha precisato, l’autorevolezza non può poggiare soltanto su una leadership efficace: deve essere sostenuta da un mandato chiaro e da una solida struttura di governance, capace di garantire l’indipendenza e un adeguato posizionamento delle funzioni di secondo livello.

L’allineamento tra Governance e incentivi

Carolyn Dittmeier ha riportato l’attenzione sull’impatto dei sistemi di remunerazione. “La cultura in ambito dell’ambiente interno è preponderante – ha affermato – e non possiamo ignorare quanto il sistema incentivante incida su di essa.” Ha richiamato i dati KPMG, secondo cui solo il 14% delle aziende prevede incontri tra CCR e Comitato Remunerazioni: “Serve maggiore coordinamento per valutare l’impatto delle leve retributive sui comportamenti e sul rischio. Va messo nell’agenda”.
Dittmeier ha anche rilanciato l’opportunità di distinguere comitato controllo da comitato rischi separandone le funzioni – come avviene nel sistema bancario – per aumentare efficacia e chiarezza nella governance. Un tema, quest’ultimo che ha richiamato un forte dibattito tra i presenti divisi tra favorevoli e contrari.

Il futuro del CCR: competenza, proattività e visione

I lavori della tavola rotonda hanno confermato come il CCR abbia il potenziale per diventare uno snodo fondamentale della governance, a patto di superare l’approccio difensivo e assumere un ruolo più incisivo e strategico. Come ha ricordato Giorgino, “il CCR deve aiutare il Consiglio a prendere decisioni migliori, anche e soprattutto nei momenti di incertezza. Non può aspettare input dall’amministratore delegato, ma deve essere in grado di portare stimoli, idee, analisi, e soprattutto visione”.
È una sfida culturale, prima ancora che tecnica. E sono i NED – come ha concluso Giorgino – a doverne essere interpreti e promotori. “Non è facile fare le cose giuste, ma è nostro dovere farle accadere