Sistemi di controllo: il vero rischio è frammentazione

Le aziende italiane non soffrono certo di carenza di organi di controllo. Collegio sindacale, Organismo di Vigilanza 231, Internal audit, Compliance, Risk management e Revisore legale costituiscono un ecosistema articolato che, almeno sulla carta, dovrebbe garantire una solida supervisione dei rischi aziendali. Eppure, la crescente complessità normativa, le sfide poste dall’intelligenza artificiale, dalla cybersecurity e dalla sostenibilità continuano a mettere sotto pressione i sistemi di governance.

La survey I sistemi di controllo nelle società italiane: dall’architettura alla governance integrata realizzata da Governance Advisors offre uno spaccato interessante sullo stato di salute dei controlli interni e sulle priorità percepite da chi opera quotidianamente in questo ambito.

Cultura del controllo: il vero fattore critico

Uno dei risultati più significativi riguarda gli ostacoli all’efficacia del sistema di controllo. Sebbene la complessità normativa venga indicata dal 40% dei partecipanti come principale criticità, il dato che emerge con maggiore forza dall’intera rilevazione è il ruolo della cultura organizzativa. Quando viene chiesto quale sia la priorità assoluta per rafforzare il sistema dei controlli, quasi la metà degli intervistati indica infatti lo sviluppo di una cultura del controllo diffusa a tutti i livelli dell’organizzazione. Un risultato che suggerisce come procedure, regolamenti e modelli organizzativi siano condizioni necessarie ma non sufficienti. Senza comportamenti coerenti, responsabilizzazione diffusa e consapevolezza dei rischi, nessun presidio può risultare realmente efficace. In questo senso assume particolare rilevanza il tema del “tone at the top”. Oltre il 40% dei partecipanti ritiene che il vertice aziendale favorisca in modo visibile e concreto la cultura del controllo attraverso decisioni e comportamenti coerenti. Un dato incoraggiante, ma che lascia ancora ampi margini di miglioramento.

Coordinamento: la sfida dell’integrazione

Se esiste una parola chiave che attraversa l’intera survey è “integrazione”. Il 72% degli intervistati dichiara che nella propria organizzazione gli organi di controllo si riuniscono almeno trimestralmente in modo strutturato. Si tratta di un segnale positivo, che evidenzia una crescente attenzione al coordinamento. Tuttavia, i dati mostrano anche come la frammentazione continui a rappresentare una criticità significativa. Solo il 48% delle organizzazioni dispone di una risk map realmente integrata e condivisa tra i diversi attori del sistema di controllo. Nelle altre realtà persistono mappature separate, metodologie differenti o addirittura rappresentazioni autonome dei rischi. Analoga situazione emerge sul fronte del reporting al consiglio di amministrazione. Soltanto una minoranza delle organizzazioni presenta una visione consolidata dello stato del sistema dei controlli, mentre prevalgono ancora report distinti prodotti dai singoli organi. Il rischio è che il consiglio riceva una molteplicità di informazioni senza disporre di una lettura unitaria e coerente del profilo di rischio aziendale.

L’Organismo di Vigilanza verso modelli più evoluti

Interessante anche il dato relativo al posizionamento dell’organismo di vigilanza 231. Quasi la metà dei rispondenti lo percepisce come pienamente indipendente ma al tempo stesso coordinato con le funzioni di Risk Management e Compliance. Si tratta di un’indicazione che sembra confermare l’evoluzione verso modelli più maturi, capaci di conciliare l’autonomia richiesta dal D.Lgs. 231/2001 con la necessità di evitare duplicazioni e sovrapposizioni operative. Il tema rimane particolarmente rilevante alla luce del dibattito, sempre più frequente, sul ruolo dell’OdV all’interno dei moderni sistemi integrati di governance e controllo.

Intelligenza artificiale e cybersecurity: i nuovi punti ciechi

Le sfide emergenti sembrano avere un denominatore comune: la velocità del cambiamento tecnologico. Secondo gli intervistati, i rischi meno adeguatamente presidiati dai sistemi di controllo attuali sono quelli legati all’intelligenza artificiale e ai modelli algoritmici, seguiti da cybersecurity e protezione dei dati personali. Il dato non sorprende, le tradizionali architetture di controllo sono nate per presidiare processi relativamente stabili e prevedibili. Oggi, invece, le organizzazioni devono confrontarsi con tecnologie capaci di evolvere rapidamente, generare nuovi rischi e modificare i processi decisionali in tempi molto più rapidi rispetto ai tradizionali meccanismi di supervisione.

Il ruolo degli amministratori indipendenti

Per gli amministratori indipendenti emerge una responsabilità sempre più centrale. Non basta verificare che i singoli presidi esistano e funzionino; occorre comprendere se il sistema nel suo complesso sia realmente integrato. La survey suggerisce che il vero discrimine tra sistemi maturi e sistemi inefficaci non sia il numero degli organi di controllo presenti, ma la loro capacità di collaborare, condividere informazioni e costruire una rappresentazione comune dei rischi.

In un contesto caratterizzato da nuove responsabilità ESG, trasformazione digitale e crescente complessità normativa, la qualità della governance dipenderà sempre meno dall’aggiunta di ulteriori livelli di controllo e sempre più dalla capacità di rendere interoperabili quelli già esistenti. È questa la sfida che i consigli di amministrazione e gli amministratori indipendenti sono chiamati ad affrontare nei prossimi anni.