di Francesco Domenico ATTISANO
Considerazioni sulla governance dei rischi
Il 24 settembre l’ECIIA(1) (la Confederazione Europea degli Istituti di Internal Auditing) ha pubblicato il Risk in Focus 2025(2). L’obiettivo del «Risk in Focus 2025» non è solo mappare i rischi prioritari percepiti da CAE – RIA (Chief Audit Executive, Responsabile Internal Auditing) e da considerare nei Piani di Audit del prossimo futuro.
Il documento, difatti, è ricco di approfondimenti e spunti pratici basati sui dati e informazioni sui rischi per gli internal auditor e i loro stakeholder, offrendo una panoramica completa dei principali temi e molteplici eventi rischiosi a cui vanno incontro le organizzazioni e di come l’Internal Audit possa svolgere un ruolo fondamentale, come partner strategico del board, a beneficio dell’intera organizzazione.
È importante evidenziare che, oltre al rapporto completo, l’ECIIA ha elaborato una presentazione informativa quale strumento utile da condividere con il proprio Board (CdA) e i team di leadership aziendali, per considerare i rischi e per sensibilizzare gli stessi sul tema, affinché la singola organizzazione possa domandarsi e valutare se li ha identificati adeguatamente e se li sta affrontando. Il documento fornisce anche informazioni preziose sul “perché” questi rischi sono una preoccupazione, aiutando le organizzazioni ad agire per mitigare tali rischi o almeno a indagare e approfondire ulteriormente il tema.
Si ritiene che nel RIF 2025 ci siano molteplici spunti di riflessione utili per tutti gli attori della governance aziendale, quindi sia per i CAE e funzioni di audit, sia per i responsabili delle altre funzioni di controllo e gestione dei rischi di prima e seconda linea, comprendendo quindi i responsabili delle funzioni/ strutture di HR, IT, ESG, Finance.
Alcuni dati e riflessioni sul progetto di ricerca
La survey ha coinvolto 19 paesi europei raccogliendo un totale di 985 risposte da CAE di tutta Europa. Inoltre, sono state condotte:
- 11 interviste individuali con Responsabili Internal Audit, Presidenti di Comitati per il Controllo e i Rischi, Amministratori non esecutivi, accademici ed esperti internazionali.
- 5 tavole rotonde con 48 partecipanti, che hanno permesso di discutere approfonditamente i risultati ottenuti, fornendo informazioni su quelli che le organizzazioni di tutta Europa considerano i rischi più significativi che si trovano ad affrontare.
Considerando il tema rischi, per avere una visione a 360 gradi dei rischi, sarebbe interessante una survey integrata che coinvolga in maniera struttarata anche i Chief Risk Officer (CRO). Il risk management va integrato nella vita quotidiana dell’entity per diventare parte integrante del DNA dell’organizzazione(3).
Dei 19 paesi coinvolti 5 non sono UE: Albania, Armenia, Norvegia, Regno Unito, Svizzera.
Dal punto di vista delle normative (direttive e regolamenti europei) vengono prese in considerazione:
- l’AI ACT (the European Union’s Artificial Intelligence Act),
- la CSRD (Corporate Sustainability Reporting Directive),
- la CSDDD(Corporate Sustainability Due Diligence Directive),
- il DORA (Digital Operational Resilience Act) e
- la NIS 2 (Network and Information Security Directive).
Nel RIF 2025, peraltro, non si fa alcuna menzione al PNRR (National Recovery and Resilience Plan (PNRR) e al Next Generation EU (NGEU), rammentando a tutti che quest’ultimo è il piano europeo d’investimento(4) da oltre 800 miliardi di euro.
Risultati chiave del RIF 2025
Dalla survey(5) emerge che la cybersecurity continua a occupare la posizione di vertice nel sondaggio europeo, con l’83% dei CAE che la cita come uno dei rischi principali.
Al contempo, la trasformazione digitale, le nuove tecnologie e l’intelligenza artificiale hanno mostrato una rapida crescita, passando dal sesto al quarto posto rispetto al 2024. Si prevede che entro il 2028 l’AI e la rivoluzione digitale raggiungeranno il secondo posto.
Il capitale umano, la diversità e la gestione dei talenti occupano il secondo posto, con il 52% degli intervistati che li classifica tra i primi 5 rischi.
L’incertezza macroeconomica e geopolitica è scesa al quinto posto, individuata solo dal 39% dei CAE, è previsto che salirà al quarto posto entro il 2028.
Il cambiamento climatico, la biodiversità e la sostenibilità ambientale si trovano attualmente al sesto posto nella classifica dei rischi, con un terzo degli intervistati che li considera nella top 5. Considerate le nuove regolamentazioni, come la Direttiva europea sulla Responsabilità Sociale d’Impresa, tali temi saliranno al quarto posto entro il 2028. Entro tale data, il 40% dei Chief Audit Executives (CAE) prevede che sarà una delle cinque aree principali di intervento, rispetto al solo 20% attuale.
In una prossima pubblicazione saranno rappresentati due approfondimenti specifici su due aree a rischio:
- trasformazione digitale, le nuove tecnologie e l’intelligenza artificiale;
- il capitale umano, la diversità, gestione dei talenti, retention.
Considerazioni sulla governance dei rischi con un approccio IOS
La velocità e l’interconnessione dei rischi correlati sia dal contesto esterno (l’Europa e il Mondo) che dal contesto interno, per la singola organizzazione è il tema cruciale. Visto il contesto VUCAS (Velocity, Unusualness, Clarity, Adaptability, and Stability), il governo e controllo dei rischi(6) è prioritario. Alcuni CAE partecipanti alla survey hanno confermato che avere la giusta leadership e un tone at the top chiaro sono elementi considerati critici per la governance dei rischi. Inoltre, come rappresentato, anche da alcuni CAE europei nel RIF 2025, è determinante per l’internal Audit supportare la propria organizzazione a livello strategico. Sebbene ci sia ancora disconnessione tra la gestione del rischio e il processo decisionale ai vertici – board di molte organizzazioni, la ricerca qualitativa ha trovato che i CAE stanno supportando il proprio Board per aiutare a colmare tale gap. Non bisogna essere miopi(7).
“Per far ciò, sulla base del Modello delle Tre Linee (il 3LM) e dei Global Internal Audit Standards (i GIAS) il CAE – Responsabile Internal Audit dovrebbe garantire che il Board sia adeguatamente informato su come i rischi impattano sulla strategia e supportare – aiutare – facilitare l’organo di governo a nel prendere le migliori decisioni strategiche”.
Dall’analisi del documento risulta che per alcune delle aree di rischio vi è la mancanza di competenze e risorse per operare efficacemente nella gestione dei rischi, pertanto non si è in grado di fornire adeguata assurance (figuriamoci servizi di consulenza – advisory). Ancora emerge che andrebbe compreso, inoltre, se altri fornitori di assurance dell’organizzazione siano coinvolti su determinate tematiche. Questo disallineamento tra l’attenzione all’Assurance e i rischi dovrebbe fungere da warning.
In considerazione di ciò, “il proverbio «l’unione fa la forza» assume una connotazione cruciale nella governance strategica dei rischi; dovrebbe fungere da principio guida per stimolare la collaborazione e l’allineamento tra tutte le funzioni aziendali. Andrebbe costruita una cultura organizzativa basata sull’integrazione e sull’interconnessione, spingendo diversi team e competenze a mettersi in insieme per garantire che i rischi, i controlli e le opportunità vengano identificati in maniera integrata, olistica e sinergica (di seguito IOS), per il ragionevole raggiungimento degli obietti strategici e delle performance correlate.
Nell’ambito della governance e della gestione del rischio, questi concetti possono essere applicati operativamente per sviluppare un sistema che non solo fonde processi e funzioni/strutture (integrato), ma li considera anche nel loro complesso – multiforme (olistico), sfruttando le collaborazioni per ottenere un risultato combinato e ottimale (sinergico). In tal senso, si suggerisce vivamente l’implementazione di un Sistema di Combined Assurance, strettamente correlato all’adozione di un più ampio Modello integrato di risk management (IRM). Attraverso la collaborazione tra Internal Audit, Risk Management, strutture di Compliance e altre funzioni chiave, le organizzazioni possono garantire che tutti i rischi siano identificati, valutati e gestiti in modo IOS. Tale approccio può contribuire a rafforzare la capacità dell’organizzazione di affrontare le incertezze, migliorando la resilienza complessiva, per fornire un solido supporto al processo decisionale strategico e potenziando la governance aziendale(8)“.
Conclusioni
In sintesi, il RIF 2025 offre un’analisi dettagliata delle sfide attuali e future per gli Internal auditors, ma anche per tutti gli attori della Governance, in primis le altre funzioni di controllo e gestione dei rischi (quali: Compliance, Risk Management) delle organizzazioni.
In un ambiente esterno in cui tecnologia e sostenibilità sono parti integranti della vita di tutti gli stakeholders e delle persone in generale, l’ambiente, la cybersecurity e l’innovazione (comprensiva dell’intelligenza artificiale) devono necessariamente essere il pane quotidiano delle organizzazioni aziendali, per proteggere e creare valore interno ed esterno.
I prossimi tre anni sono fondamentali. Essere consapevoli dei rischi e magari anticipandoli , si può garantire che le funzioni di Audit e Risk Management rimangano agili, pertinenti e di impatto per l’organizzazione.
Per approfondimenti, consultare i seguenti link e/o riferimenti:
Cfr. F. ACCARDI (2024) “Governo e Controllo dei Rischi: temi di attenzione e sfide per le funzioni di Assurance” – Risk & Compliance Platform Europe (www.riskcompliance.it)
Cfr. (2023) “Come l’Ue verifica l’attuazione dei Pnrr negli stati membri” – Openpolis (www.openpolis.it)
(1) Il progetto di ricerca Risk in Focus è giunto alla nona edizione (www.eciia.eu)
(2) ECIIA, Risk in Focus 2025
(3) Cfr. F.D. ATTISANO (2024), “Il Risk Management spina dorsale della Strategia Aziendale” – Risk & Compliance Platform Europe (www.riskcompliance.it)
(4) Concentrandosi su sei aree chiave, i progetti di investimento Next Generation EU sono progettati per: 1) promuovere la transizione verde attraverso la promozione delle energie rinnovabili, della mobilità sostenibile e altro ancora; 2) accelerare la trasformazione digitale attraverso una maggiore digitalizzazione dei servizi pubblici e dell’economia in generale; 3) rafforzare le infrastrutture e i servizi sociali, riducendo al contempo le disparità territoriali; 4) migliorare l’accesso all’istruzione avanzata e alla formazione in competenze rilevanti per l’economia futura; 5) sostenere la crescita inclusiva, la ricerca e lo sviluppo e l’innovazione per tutti; 6) Garantire servizi sanitari moderni, efficienti e accessibili. Cfr. European Union, Next Generation EU
(5) ECIIA, Risk in Focus 2025 – Hot topics for internal auditors
(6) Cfr. F. ACCARDI (2024)”Governo e Controllo dei Rischi. Manuale per scelte consapevoli e sostenibili. Metodologia, casi, esemplificazioni“. Ed Franco Angeli
(7) Cfr. F. ACCARDI (2022) “Miopia Strategica e Governo e Controllo dei Rischi” – Risk & Compliance Platform Europe (www.riskcompliance.it)
(8) Cfr. F. D. ATTISANO (2025), “RISKOLOGY”; Editore XYZ. In fase di pubblicazione