Il Risk Manager al centro del processo decisionale

Il risk manager è figura in evoluzione e con un livello di riconoscimento in costante crescita presso le aziende italiane grandi e medie, ma il suo apporto deve essere riconosciuto nei consigli di amministrazione per una più efficace gestione del rischio. 

Questo il tema al centro dell’edizione 2023 del seminario organizzato da Anra e patrocinato da Assolombarda, “L’Enterprise Risk Management: processo e ruolo. Il raccordo con la gestione operativa del cyber risk” che si è svolto il 4 maggio scorso a Milano. 

Dopo i saluti del presidente dell'associazione Carlo Cosimi e l'introduzione di Salvatore Lampone, presidente del Comitato tecnico scientifico, l’evento si è articolato in due tavole rotonde, che hanno avuto il compito di esporre una fotografia precisa del ruolo attuale del risk manager all’interno delle aziende e dell’approccio della funzione verso uno dei rischi maggiormente percepiti nel panorama imprenditoriale attuale come il cyber risk. 

Partendo da un’indagine realizzata da Anra in collaborazione con Protiviti, i partecipanti hanno avuto l’occasione di confrontarsi sul ruolo degli specialisti della gestione del rischio, che appare diffuso nelle organizzazioni di grandi dimensioni, in particolar modo attive nel settore finanziario, ma che risulta ancora assente invece nelle imprese di medie e piccole dimensioni, con meno di 49 dipendenti. 

Questo sebbene il coinvolgimento in processi decisionali chiave sia considerato «significativo», con particolare riferimento all’ambito della pianificazione strategica, dalla maggior parte dei rispondenti alla survey. Ne hanno discusso nella prima tavola rotonda Roberto Rentocchini, Head of integrated industrial risk, Eni, Pietro Guzzi, Quality and supply chain manager, Kolektor Microtel, e Silvia Stefini, Chair audit and risk committee, Renantis. Tra i settori maggiormente maturi troviamo il settore Energy & Utilities, seguito a stretto giro dal settore Industrial & Construction. 

Dai risultati del questionario si evidenzia in primo luogo la necessità di attuare un processo di risk management “proattivo” a supporto delle decisioni aziendali. 

Tra gli output emersi, anche l’impatto che il risk management può avere a qualsiasi livello aziendale, quando riesce ad affrontare la sfida di uscire dalla semplice compliance e diventare sintesi di collaborazione e di dialogo tra i singoli settori e il vertice aziendale. Fondamentale e in costante maturazione l’affiancamento operato dalla funzione verso il top management e il board nelle scelte operative e strategiche. 

Secondo tema oggetto del seminario è stata la gestione del rischio cyber in rapporto al processo di Enterprise Risk Management e le conseguenze che una eventuale violazione della sicurezza informatica di un’azienda può avere sulla business continuity. 

Di questo hanno discusso nella seconda tavola rotonda Luca Bechelli, Partner information & cyber security, P4I, Giulio Coraggio, Head of intellectual property & technology, DLA Piper Partner, Sonia Peron, Presidente del collegio sindacale, Garofalo Health Care e Revisore Anra e Carlo Zaganelli, Responsabile enterprise risk management, Leonardo. 

Il rischio cyber rappresenta una delle principali sfide da affrontare per il risk manager, in quanto si tratta di un rischio in continua evoluzione che richiede allo specialista della gestione del rischio «uno sforzo enorme per comprendere gli aspetti tecnici presidiati dagli esperti cyber e collegarli con le responsabilità dell’azienda» come dichiarato dalla Vicepresidente Anra Paola Radaelli, Senior Risk Management Consultant, Strategica Group e moderatrice della sessione. 

Una difficoltà resa più complessa dalla differenza sostanziale delle tempistiche: laddove il risk manager tratta i rischi su una proiezione temporale di 3-5 fino a 10 anni, il rischio cyber richiede valutazioni costanti e agilità di risposta data l’estrema velocità con cui cambia questo tipo di minacce. 

La minaccia cyber non è nuova all’attenzione delle aziende ma riveste una sempre maggior importanza. Basti pensare ai risultati del rapporto Clusit 2023 secondo cui il 2022 si è caratterizzato come l’anno peggiore per la cyber security, con un aumento di cyber attacchi del 21% a livello mondiale e del 169% soltanto in Italia. 

Dati che sottolineano l’esigenza delle aziende di pianificare una strategia di risposta che abbia come obiettivo limitare i potenziali danni, anche attraverso la stipula di una polizza assicurativa ad hoc.