ESG: che cos'è? Agrifood EnergyUP Risk Management Sostenibilità: perché è importante? Ambiente sostenibile Economia sostenibile Sustainability management Energy Management Normative e Compliance Corporate governance Digital for ESG ESG Smart Data

risk management

Board e rischi emergenti: governance da rafforzare

Home Risk Management
Partecipa al dibattito
Indirizzo copiato

Geopolitica, cybersecurity, volatilità delle commodity e interruzioni della supply chain tra le preoccupazioni dei CdA italiani, ma un’impresa su due non dispone ancora di una funzione di Risk Management indipendente. La ricerca “Risk Management & Governance: lo stato dell’arte nel panorama italiano” di PwC Italia e Nedcommunity

Pubblicato il 27 mag 2026
Marco Giorgino_presidente Nedcommunity
Marco Giorgino, presidente Nedcommunity
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

L’instabilità geopolitica, l’aumento degli attacchi informatici, la volatilità dei prezzi delle materie prime e le fragilità delle catene di fornitura rappresentano ad oggi le principali minacce per le imprese italiane. Tante preoccupazioni, spesso tra loro fortemente interconnesse, che sebbene possano essere considerate e comprese grazie a una crescente consapevolezza dei rischi da parte delle imprese, si misurano poi con la realtà di molte organizzazioni che non dispongono di strutture adeguate per governarli in modo efficace.

Lo scenario in chiaro scuro di una maggiore considerazione dei tanti rischi che “circondano” le imprese e di una mancanza di una adeguata preparazione è la sintesi della survey “Risk Management & Governance: lo stato dell’arte nel panorama italiano”, realizzata da PwC Italia e Nedcommunity, l’associazione degli amministratori non esecutivi e indipendenti. Grazie a questo studio arriva anche una fotografia aggiornata del livello di maturità dei modelli di gestione del rischio nelle società non finanziarie e del ruolo svolto dai Consigli di amministrazione nella supervisione delle principali criticità aziendali.

Geopolitica e cyber security guidano la classifica dei rischi

La ricerca evidenzia come i Board aziendali individuino nell’instabilità internazionale il principale fattore di rischio per il futuro delle imprese.

Fonte: “Risk Management & Governance: lo stato dell’arte nel panorama italiano”, realizzata da PwC Italia e Nedcommunity

Le tensioni geopolitiche in cima alle preoccupazioni

Il 92% delle aziende considera l’instabilità macroeconomica e geopolitica una delle principali minacce sia nel breve sia nel lungo periodo. Guerre, tensioni commerciali, instabilità politica e frammentazione degli equilibri internazionali stanno infatti modificando profondamente i mercati e le strategie aziendali.

Le imprese si trovano sempre più spesso a confrontarsi con scenari imprevedibili che influenzano approvvigionamenti, investimenti e pianificazione industriale.

Cyber attacchi e sicurezza digitale restano una priorità

Subito dopo il rischio geopolitico si collocano gli attacchi informatici, indicati dall’87% delle aziende come una delle principali fonti di preoccupazione. La crescente digitalizzazione dei processi aziendali, la diffusione dell’intelligenza artificiale e l’aumento delle minacce informatiche rendono la cyber security una componente sempre più strategica della governance aziendale.

Secondo lo studio, tuttavia, molte organizzazioni non si considerano ancora pienamente preparate sul fronte delle responsabilità normative e della supervisione dei rischi digitali.

Commodity e supply chain tra le criticità più rilevanti

Tra i rischi maggiormente monitorati figurano anche la volatilità dei prezzi delle materie prime, citata dall’82% delle aziende, e le interruzioni delle catene di fornitura, indicate dal 76% del campione. Le recenti crisi energetiche e geopolitiche hanno dimostrato quanto la stabilità delle filiere globali rappresenti oggi un elemento determinante per la competitività e la continuità operativa delle imprese.

Quasi una società su due non ha una funzione di Risk Management indipendente

Nonostante la crescente attenzione verso il tema del rischio, molte imprese italiane non hanno ancora sviluppato strutture organizzative adeguate.

Il divario tra aziende quotate e non quotate

La survey evidenzia che il 49% delle società intervistate non dispone di una funzione di Risk Management indipendente.

Il dato mostra una forte differenza tra società quotate e non quotate. Tra le aziende presenti sui mercati finanziari il fenomeno riguarda il 33% delle organizzazioni, mentre nelle non quotate la percentuale sale fino al 69%. Questo significa che una parte significativa del tessuto imprenditoriale italiano continua ad affrontare rischi sempre più complessi senza un presidio dedicato e strutturato.

Un limite per la governance aziendale

L’assenza di una funzione indipendente limita la possibilità di fornire al CEO e al Consiglio di amministrazione una visione integrata dei principali rischi aziendali. In uno scenario caratterizzato da crescente interconnessione tra fattori geopolitici, tecnologici, climatici e normativi, la capacità di analizzare i rischi in modo coordinato diventa un elemento sempre più rilevante per la definizione delle strategie aziendali.

Riccardo Bua Odetti, Partner PwC Italia, Lead of Enterprise Risk Management ha osservato che“In uno scenario in cui la complessità è diventata strutturale e il cambiamento è continuo, il Risk Management rappresenta una funzione chiave che deve evolvere dal presidio dei controlli di processo alla valutazione dei rischi legati alle scelte strategiche e al Business Plan. Il focus diventa quindi la selezione e valutazione dei rischi più rilevanti per l’impresa. La survey evidenzia come le aziende non finanziarie abbiano avviato un percorso di evoluzione, ma mostra anche quanto resti ancora da fare per rafforzare governance, integrazione e qualità delle informazioni destinate al CdA, soprattutto in un contesto come quello analizzato, caratterizzato dall’assenza di una normativa dedicata”.

Giampiero Bambagioni, coordinatore del RG Risk, Governance e Sostenibilità di Nedcommunity

Giampiero Bambagioni, coordinatore del RG Risk, Governance e Sostenibilità di Nedcommunity e la Vicepresidente Patrizia Giangualano hanno a loro volta sottolineato come “La ricerca confermi che il Risk Management sta diventando una leva sempre più centrale anche per la governance e la sostenibilità delle imprese non finanziarie italiane, ma spesso il percorso di maturazione è ancora incompleto . In uno scenario dominato da AI e cyber risk, rischi climatici e ambientali, instabilità geopolitica, AML e nuove complessità regolatorie, identificare e gestire efficacemente i rischi significa rafforzare la capacità strategica dei Board e la resilienza dell’impresa”.

Patrizia Giangualano, Vicepresidente Nedcommunity

I Risk manager sono più presenti, ma non sempre al centro delle decisioni

Nelle organizzazioni che dispongono di una funzione dedicata emerge comunque un progressivo rafforzamento del ruolo del Risk Manager.

Nel 79% dei casi il responsabile riporta a CEO o CdA

La ricerca mostra che nel 79% delle aziende il responsabile del Risk Management risponde direttamente all’amministratore delegato o al Consiglio di amministrazione. Un segnale che conferma una crescente attenzione verso la gestione strutturata dei rischi e il suo inserimento nei processi decisionali aziendali.

Permangono però alcune criticità. Nel 39% dei casi il responsabile del Risk Management non ricopre una posizione di livello C-Level. Questo aspetto evidenzia come, in molte organizzazioni, il percorso di valorizzazione della funzione non sia ancora completo e come il ruolo non disponga sempre dell’autorevolezza necessaria per incidere pienamente sulle scelte strategiche.

La partecipazione del risk management alle strategie è ancora poco formalizzata

Il coinvolgimento dei responsabili del rischio nei processi decisionali è ampiamente diffuso ma non sempre strutturato. L’89% delle aziende dichiara infatti che il Risk Manager partecipa alle decisioni strategiche, ma solo nel 50% dei casi questo coinvolgimento avviene in modo regolare e formalizzato. Ancora più significativo il dato relativo alla valutazione preventiva dei rischi associati alle iniziative strategiche: nel 59% delle imprese tale attività è assente oppure gestita in modo informale.

Maturità dei modelli di gestione del rischio ancora intermedia

Lo studio evidenzia come molte aziende siano ancora nelle prime fasi di sviluppo dei propri sistemi di Enterprise Risk Management. Il 61% delle organizzazioni colloca il proprio modello di gestione dei rischi in una fase iniziale o intermedia di maturità. Questo significa che numerose imprese stanno ancora costruendo processi, competenze e strumenti necessari per una gestione sistematica del rischio.

Il framework ERM non è ancora diffuso

Un altro dato significativo riguarda l’adozione dei framework di Enterprise Risk Management (ERM). Il 41% delle aziende non ha ancora implementato un modello strutturato di ERM, anche se una parte di queste prevede di introdurlo nei prossimi dodici mesi. La mancanza di un framework condiviso può rendere più difficile identificare, valutare e monitorare in modo coerente le diverse categorie di rischio.

Risk Appetite Framework ancora poco utilizzato

Anche il Risk Appetite Framework, strumento che definisce la propensione al rischio dell’organizzazione, rimane relativamente poco diffuso. Tra le imprese che adottano un framework ERM, soltanto il 44% ha formalizzato soglie, indicatori e meccanismi di escalation per la gestione del rischio.

Da governance e reporting alcuni segnali di miglioramento

Accanto alle criticità emergono anche elementi positivi che testimoniano una progressiva evoluzione della governance aziendale. Rispetto ai dati rilevati nel 2024 aumenta la regolarità del reporting verso i Consigli di amministrazione. Nel 38% delle aziende le informazioni sui rischi vengono condivise con cadenza trimestrale, mentre diminuisce il numero delle organizzazioni prive di reporting periodico.

Più policy e maggiore formalizzazione

Sale inoltre al 64% la quota di aziende che dispone di policy e documentazione formalizzata a supporto delle attività di supervisione del CdA. Questo trend evidenzia una crescente attenzione verso processi di governance più strutturati e trasparenti.

Il vero tema secondo la ricerca non riguarda soltanto la quantità delle informazioni fornite ai Board, ma soprattutto la loro qualità. Le informazioni sui rischi devono essere sempre più focalizzate sugli aspetti realmente strategici, comparabili nel tempo e capaci di supportare decisioni tempestive ed efficaci.

Risk management e pianificazione strategica: il vero nodo da sciogliere

Uno degli ambiti nei quali le aziende mostrano ancora ampi margini di miglioramento riguarda l’integrazione tra gestione del rischio e pianificazione strategica. Il 90% dei Consigli di amministrazione riceve informazioni sul profilo di rischio associato al Business Plan. Tuttavia, nel 24% dei casi il processo non è formalizzato e nel 38% avviene soltanto su richiesta. Questo atteggiamento significa che molte aziende non hanno ancora integrato stabilmente il rischio nei propri processi di pianificazione.

Il “rischio” di un monitoraggio ancora poco sistematico

Anche la frequenza delle attività di monitoraggio appare insufficiente. Nel 42% delle imprese gli aggiornamenti relativi all’andamento del Business Plan e dei rischi collegati risultano limitati oppure non sistematici. Un presidio più continuo consentirebbe invece di individuare tempestivamente eventuali criticità e supportare decisioni più informate.

AI, clima e geopolitica impongono una nuova cultura del rischio

L’indagine di PwC Italia e Nedcommunity restituisce in sostanza l’immagine di un contesto imprenditoriale molto più consapevole delle minacce che caratterizzano il nuovo scenario economico, ma per molti aspetti ancora impegnato a colmare il divario tra percezione del rischio e capacità organizzativa di gestione.

Geopolitica, cyber security, intelligenza artificiale, cambiamenti climatici, volatilità delle commodity e nuove regolamentazioni stanno ridefinendo il concetto stesso di governance aziendale. Ed è in questo scenario che il Risk Management non può più essere considerato una funzione di controllo limitata alla compliance, ma deve diventare una leva strategica capace di rafforzare la resilienza delle imprese e supportare il processo decisionale dei Board.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Redazione

Leggi anche:

guest
0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Aziende

Argomenti

Canali

ESG e business

Vedi tutti gli approfondimenti >

Articoli correlati

  • shutterstock_711672742
  • B
    T

    Normativa

    ISO 26000: linee guida responsabilità sociale aziende

    24 Gen 2026

    di Andrea Berni e Ugo Tutolo

    Condividi
  • transizione energetica PMI

  • TRANSIZIONE ENERGETICA

    Elettrificazione del calore, Pmi frenate da burocrazia e resistenze culturali

    23 Set 2025

    di Antonello Salerno

    Condividi
  • ets 2

  • NORMATIVE

    ETS 2: cosa cambia

    10 Feb 2026

    di Redazione

    Condividi
  • Facility management

  • Professioni

    Facility management: cos'è e quali sono le tendenze

    05 Gen 2026

    di Claudia Costa

    Condividi
0
Lascia un commento, la tua opinione conta.x