Risk Management, per le aziende italiane c’è ancora molto da fare

Una società su due non ha una funzione di risk management indipendente, una su tre tra le quotate, due su tre tra quelle non quotate. Nel contesto attuale, caratterizzato da profondi e continui rischi geopolitici, è questo dato, che emerge dalla survey 2026 “Risk management e governance, lo stato dell’arte nel panorama italiano”, realizzata da PwC insieme a Nedcommunity, a colpire particolarmente l’attenzione. E ancora, nel 39% dei casi il responsabile del risk management non è un C-Level e la diffusione della cultura del rischio risulta ancora medio bassa, con il 64% delle società che non adotta pratiche di valutazione delle performance risk based. La ricerca ha coinvolto un campione rappresentativo composto da un centinaio di società non finanziarie quasi equamente distribuite tra quotate e non quotate.

Presentazione della ricerca

I risultati della survey sono stati presentati durante l’assemblea annuale di Nedcommunity, la prima e principale associazione italiana dedicata agli amministratori non esecutivi e indipendenti, che si è svolta martedì 27 maggio negli uffici milanesi di PwC. “Personalmente trovo difficile capire come si fa a ragionare di risk management e governance separatamente. Le due cose sono intrinseche. Si trasformano i rischi in opportunità e valore”. Così Giovanni Andrea Toselli, presidente e ad di PwC Italia, facendo gli onori di casa.

“Il fatto che il 49% di queste società non sia dotato di una funzione di risk management è un segnale preoccupante – ha commentato Riccardo Bua Odetti, Partner PwC Italia, Lead of Enterprise Risk Management presentando i risultati della ricerca –. E ancora più preoccupante è il fatto che una società quotata su tre non abbia una funzione di risk management”.

Comunicazione

Buone notizie invece arrivano sul fronte della catena di comunicazione. Nel 79% dei casi il responsabile risk management riporta direttamente ai vertici aziendali. Dato in crescita rispetto al 73% del 2024. Tuttavia, nel 39% dei casi, non è un C-Level. “Un elemento molto critico – spiega ancora Riccardo Bua Odetti –. La funzione dovrebbe avere l’obiettivo di fare oversight su tutti i rischi dell’azienda. E quindi deve parlare con le altre funzioni a pari livello”.

Monitoraggio continuo

Scorrendo i risultati della ricerca si scopre che il 40% delle società partecipanti non adotta un framework ERM per la gestione integrata dei rischi aziendali, il 14% prevede di adottarla nei prossimi 12 mesi. Quando presenti, questi framework si stanno evolvendo verso il monitoraggio continuo, nel 45% dei casi a livello mensile o trimestrale, approcci quantitativi e tecnologie avanzate. Tra le società che lo adottano, il 56% non ha ancora formalmente definito la propria propensione al rischio. La diffusione della cultura del rischio risulta ancora medio bassa: più di due terzi delle aziende del campione non adotta pratiche di valutazione della performance risk based.

Ma quali sono i rischi considerati più pericolosi per la propria azienda? Ai primi posti, sia a breve che lungo termine, troviamo l’instabilità macroeconomica e geopolitica, i rischi legati alla Cybersecurity, e la volatilità dei prezzi delle commodity. Il cambiamento climatico e i rischi ambientali, al primo posto nel Global Risk Report 2026 del WEF (World Economic Forum), qui si trovano solo al nono posto della classifica. In generale, l’analisi dei principali rischi lascia trasparire un panorama ancora lontano da una gestione matura dei rischi.

La tavola rotonda

Dopo la presentazione della ricerca, Giampiero Bambagioni, coordinatore Reflection Group “Risk, Governance e Sostenibilità” Nedcommunity, ha moderatouna tavola rotonda in cui si è discusso dei principali risultati emersi. Luisa Torchia, presidente comitato rischi di Generali, ha sottolineato come i nuovi rischi legati al climate change, alla cybersecurity e all’AI “richiedono all’azienda di riorganizzarsi, ridefinendo i processi produttivi”. Per Micaela Le Divelec Lemmi, presidente comitato controllo e rischi, corporate governance e sostenibilità DeLonghi Group, “il monitoraggio del rischio dovrebbe essere considerato un’opportunità dal punto di vista strategico e non una penalizzazione per l’azienda”.

Patrizia Giangualano, vicepresidente Nedcommunity, ha sottolineato la differenza tra aziende quotate e non. “Nelle grosse aziende il risk manager è un C level. Se ci sono commesse importanti, l’analisi del rischio è assolutamente presente. La difficoltà è portare invece questa cultura all’interno delle aziende non quotate – ha spiegato Giangualano –. Il vero tema è come introdurre questa cultura della gestione del rischio nelle aziende di medie dimensioni non quotate. Introducendo una mappatura dei rischi, ma anche delle opportunità”. Nadia Fontana, presidente del collegio sindacale di Diasorin, ha riconosciuto come siano stati fatti passi avanti, ma sia necessario continuare sulla strada iniziata. “Bisogna sbloccare la resistenza al cambiamento, accompagnandolo”. Per Giuseppe d’Agostino, partner Cybersecurity e resilience PwC Italia, quello cyber è un rischio che deve essere presidiato. Tenere alta l’attenzione, su questo fronte, passa dalla creazione di competenze all’interno del board o dall’accettazione di fare entrare competenze esterne”.