Solo la metà delle imprese italiane (58%) ha una funzione di Risk Management

Lo studio "Risk Management & Governance" di PwC Italia mostra che solo il 58% delle aziende ha un reparto di gestione dei rischi, con maggiore presenza in aziende quotate e regolamentate e minore in quelle non quotate; l'adozione cresce con il fatturato aziendale.

Solo il 58% delle aziende possiede un reparto interno dedicato alla gestione dei rischi, che spesso non ricopre un ruolo strategico e risulta poco diffuso. La presenza di questa funzione è più comune tra le aziende quotate (78%) e quelle in settori regolamentati (83%), mentre è meno frequente tra le non quotate (41%). Questi dati emergono dallo studio "Risk Management & Governance: lo stato dell’arte delle imprese italiane", realizzato da PwC Italia in collaborazione con Nedcommunity, che ha analizzato 100 aziende italiane non finanziarie.

Analizzando le aziende per classi di fatturato, si nota che l’implementazione di un sistema integrato di gestione del rischio è più comune nelle grandi aziende: è presente nel 37% delle aziende con fatturato inferiore a 100 milioni, sale al 79% in quelle con fatturato superiore a 750 milioni e raggiunge il 100% nei grandi gruppi multinazionali con fatturato oltre i 3 miliardi.

Patrizia Giangualano, Independent Director, Advisor in Governance and Sustainability e Consigliere Direttivo di Nedcommunity, sottolinea l'importanza di gestire attivamente i rischi in un'era di incertezze geo-politiche ed economiche, evidenziando la necessità di nuovi profili professionali e flussi informativi adeguati per la governance.

Nonostante l'importanza strategica, meno della metà dei responsabili della gestione dei rischi (43%) riporta direttamente al CEO. Questo limite nella struttura organizzativa compromette l'autonomia e l'indipendenza di giudizio necessarie per un efficace controllo dei rischi aziendali. Oltre un terzo delle aziende (36%) non considera il ruolo del risk manager a livello esecutivo.

Più della metà delle aziende (53,1%) non ha definito esplicitamente la propria propensione al rischio e, di quelle che non dispongono di un Risk Appetite Framework (RAF), oltre il 76% non ha piani per svilupparlo. Non ci sono differenze significative tra aziende quotate e non, né in base alla dimensione.

"Ci ha sorpreso analizzando i dati che nel 50% dei casi l’azienda non formalizzi i rischi collegati ai propri obiettivi di business avendo presente la propensione al rischio e le conseguenti soglie di tolleranza" spiega Riccardo Bua Odetti, Partner PwC Italia e Risk Consulting ERM Leader. "Eppure il risk appetite e la risk tolerance sono due pilastri fondamentali del framework ERM che garantiscono una gestione del rischio aziendale coerente con la strategia. In assenza di questi aspetti, l’azienda potrebbe avere un business plan non duraturo nel tempo e assumere una rischiosità non in linea con le aspettative degli stakeholder".

Nella maggioranza delle imprese (74%) il CdA è direttamente coinvolto nella definizione del RAF, attraverso le definizioni di obiettivi declinati in risk appetite, tolerance e capacity. Tuttavia, sono numerosi i casi di aziende in cui l'informativa sul risk profile corrente non è frequente, un dato preoccupante considerando il contesto di forte incertezza e volatilità dell’effetto dei rischi sull’azienda. In aggiunta, la ricerca rivela che in meno della metà dei casi (43%) il CdA verifica che le decisioni strategiche siano in linea con il Risk Appetite Framework e a volte riceve un business plan senza indicazione dei rischi associati. Una situazione da attenzionare, se è vero che solo in un caso su tre (33%) il Consiglio di Amministrazione è davvero consapevole di come vengano integrati i temi ESG nelle analisi di gestione del rischio.

"Una percentuale che deve necessariamente crescere considerando la rilevanza strategica e la pervasività delle tematiche ESG nel contesto attuale" aggiunge Riccardo Bua Odetti. "L’introduzione della CSRD infatti richiede di rivedere il ventaglio di rischi aziendali, e in particolare: di sensibilizzare i risk owner alla gestione di nuove tematiche, di includere sempre più tematiche ESG nelle metriche ERM e, non meno importante, di ottenere una visione sintetica di metriche interne ed esterne, anche alla luce di analisi di doppia materialità".

Infine, sebbene molte aziende non considerino il rischio nei parametri di valutazione delle performance dei manager, quelle che lo fanno attribuiscono a questi parametri un'importanza significativa, evidenziando la necessità di comunicare la gestione dei rischi a tutti i livelli organizzativi attraverso valutazioni delle performance.