Dalla ricerca “Risk Management & Governance: lo stato dell’arte delle imprese italiane”, condotta da PwC Italia in collaborazione con Nedcommunity su 100 aziende non operanti nel settore finanziario, emerge un quadro in chiaroscuro: infatti, appena un’azienda su due, pari al 58%, ha una funzione di risk management al proprio interno, che resta una figura ancora poco presente e spesso non strategica, con una maggiore diffusione tra le aziende quotate (78%) e quelle operanti in un settore regolamentato (83%) e una minore diffusione tra le non-quotate (41%).
Report PwC Italia e Nedcommunity, solo il 58% delle imprese italiane ha una funzione di Risk Management
“In un periodo storico di forti incertezze geo-politiche ed economiche un’azienda non può più permettersi di non presidiare i rischi ai quali è esposta e di non conoscere la propria propensione al rischio. Un processo che necessita nuovi figure professionali e adeguati flussi informativi per la governance” rileva Patrizia Giangualano, Independent Director, Advisor in Governance and Sustainability, Consigliere Direttivo Nedcommunity.
Suddividendo le imprese in classi di fatturato, appare evidente come l’adozione di un sistema integrato di Gestione del Rischio sia più frequente nelle imprese di grandi dimensioni: sotto i 100 milioni è presente in circa un terzo delle aziende (37%), che diventa il 79% per quelle sopra i 750 milioni e la totalità per i grandi gruppi multinazionali (con più di 3 miliardi).
Nonostante la rilevanza strategica, meno di un responsabile Risk Manager su due, ovvero il 43%, riporta direttamente al Ceo, una funzione fondamentale per garantire l’autonomia e indipendenza di giudizio, abilitando il ruolo di supervisione sulla coerenza tra strategia e rischi connessi. Manca ancora un vero e proprio approccio risk-based thinking, tanto che la figura del risk manager in oltre un terzo dei casi (36%) non è un C-Level.
Oltre la metà delle imprese (53,1%) non ha definito espressamente la propria propensione al rischio e, soprattutto, tra quante non hanno un Risk Appetite Framework (RAF) oltre il 76% non ha nemmeno in programma di definirlo. Non c’è una significativa differenza tra quotate e non, così come non c’è in base alle dimensioni aziendali, tra le aziende che si sono dotate di un sistema di valutazione della propria propensione al rischio: “Ci ha sorpreso analizzando i dati che nel 50% dei casi l’azienda non formalizzi i rischi collegati ai propri obiettivi di business avendo presente la propensione al rischio e le conseguenti soglie di tolleranza - spiega Riccardo Bua Odetti, Partner PwC Italia e Risk Consulting ERM Leader -. Eppure il risk appetite e la risk tolerance sono due pilastri fondamentali del framework ERM che garantiscono una gestione del rischio aziendale coerente con la strategia. In assenza di questi aspetti, l’azienda potrebbe avere un business plan non duraturo nel tempo e assumere una rischiosità non in linea con le aspettative degli stakeholder”.
Nella maggioranza delle imprese (74%) il CdA è direttamente coinvolto nella definizione del RAF, attraverso le definizioni di obiettivi declinati in risk appetite, tolerance e capacity. Tuttavia, sono numerosi i casi di aziende in cui l'informativa sul risk profile corrente non è frequente, un dato preoccupante considerando il contesto di forte incertezza e volatilità dell’effetto dei rischi sull’azienda.
“Una percentuale che deve necessariamente crescere considerando la rilevanza strategica e la pervasività delle tematiche ESG nel contesto attuale - aggiunge Riccardo Bua Odetti -. L’introduzione della CSRD infatti richiede di rivedere il ventaglio di rischi aziendali, e in particolare: di sensibilizzare i risk owner alla gestione di nuove tematiche, di includere sempre più tematiche ESG nelle metriche ERM e, non meno importante, di ottenere una visione sintetica di metriche interne ed esterne, anche alla luce di analisi di doppia materialità”.
La ricerca rivela anche che in meno della metà dei casi (43%) il CdA verifica che le decisioni strategiche siano in linea con il Risk Appetite Framework e a volte riceve un business plan senza indicazione dei rischi associati. Una situazione da attenzionare, se è vero che solo in un caso su tre (33%) il Consiglio di Amministrazione è davvero consapevole di come vengano integrati i temi ESG nelle analisi di gestione del rischio: inoltre, il report sottolinea che sono ancora numerose le imprese che nella valutazione della performance dei manager non considerano parametri legati al rischio assunto, che ha però un peso rilevante per coloro che lo hanno assunto, a sottolineare come la gestione dei rischi e l’ottica risk-based delle performance, se implementate, necessitino di essere comunicate ai vari livelli organizzativi anche mediante la valutazione della performance per poter essere efficaci.