A cura di Serena Cioffi – Internal Control System, Risk Management and Compliance Director, Cogne Acciai Speciali S.p.A.

Nel mondo contemporaneo, la funzione del risk management ha subito una trasformazione profonda: da attività prevalentemente operativa e, a volte, difensiva è diventata pilastro strategico per la creazione di valore e per la resilienza organizzativa nonché per la sua crescita sostenibile, come previsto nella sua definizione. Invero, i contesti di permacrisi – pandemie, crisi geopolitiche, cambiamento climatico, attacchi cyber – impongono un’evoluzione del paradigma classico del rischio, verso un approccio non solo integrato, ma, altresì, sistemico e prospettico.

  1. Il contesto: da funzione tattica a strumento strategico
    In passato, il risk management era spesso percepito unicamente come una funzione di compliance o di controllo interno ossia mappare i rischi, quali eventi futuri e incerti che potrebbero influire sul raggiungimento degli obiettivi da parte dell’organizzazione, stimare probabilità e impatti, valutare i controlli e applicare misure di mitigazione del rischio. Tutto considerato, in molteplici realtà, si riduceva a un mero esercizio di stile, il cui valore aggiunti non sempre era percepito dall’organizzazione stessa.Oggi, tuttavia, la natura dei rischi appare radicalmente cambiata. Il rapporto Global Risks Report 2025 del WEF evidenzia che tra i rischi più gravi per il 2025 figurano il conflitto armato tra Stati, la disinformazione, gli eventi meteorologici estremi e la perdita di fiducia sociale. Inoltre, l’OECD richiama la necessità di una governance dei rischi che riconosca la dimensione “critica” dei rischi – pandemie, attacchi cyber, infrastrutture – richiedendo un coordinamento pubblico-privato e favorendo l’uso di strumenti predittivi. Questo nuovo contesto impone che il consiglio di amministrazione tenga in maggiore considerazione la funzione di risk management e che quest’ultima sia in grado di assurgere ad attore proattivo e necessario nella definizione del piano strategico dell’organizzazione.
  2. Le frontiere emergenti del risk management
    Alla luce di queste trasformazioni, possiamo individuare alcune caratteristiche che il risk management deve acquisire:a) Approccio sistemico e interconnesso
    I rischi non si manifestano più in compartimenti stagni: il cambiamento climatico si intreccia con instabilità geopolitica, la digitalizzazione con la disinformazione, la supply-chain internazionale con la cyber-vulnerabilità. Il Global Risks Report 2025 mostra come, ad esempio, la “polarizzazione sociale” e la “disinformazione” non siano solo rischi isolati, ma aggravanti per altri rischi. La funzione di risk management deve dunque passare da una logica di silos a una visione olistica: identificazione, interdipendenze, scenari multi-evento, catene di contagio e feedback loop.
    b) Evoluzione del ruolo del Board e della governance
    Nella visione aggiornata dei framework – ad esempio il COSO ERM – la governance e la cultura aziendale sono componenti fondamentali: il consiglio deve svolgere un ruolo di vigilanza attiva e informata sull’intero sistema di gestione del rischio. In particolare deve sovrintendere sulla cultura, sulla strategia e sulla definizione del rischio accettabile, sulle strutture della funzione, sull’integrazione dei rischi nella strategia.
    D’altra parte, la funzione di risk management deve essere dotata di autonomia, risorse adeguate e accesso diretto al Consiglio di Amministrazione poiché solo così potrà rappresentare un partner attivo nella strategia anziché un mero soggetto con funzioni di controllo.
    c) Digitalizzazione, analytics e AI predittiva
    La frontiera tecnologica del risk management passa dall’identificazione ex post al forecasting dei rischi: data analytics avanzato, intelligenza artificiale (IA), modelli predittivi, simulazioni finalizzate alla quantificazione di scenario e stress-test dinamici. Le organizzazioni che vogliono essere resilienti non possono più affidarsi soltanto a matrici di rischio statiche: è necessario un ecosistema tecnologico-organizzativo che generi insight, identifichi, attraverso comportamenti ripetitivi, dei modelli e consenta reazioni agili.

Strumenti e tecnologie emergenti

  1. Predictive analytics: analisi statistica e algoritmica che elabora serie storiche di dati per individuare correlazioni e tendenze anomale. Per esempio: identificare segnali precoci di instabilità nella supply chain attraverso variazioni nei tempi di consegna o nei prezzi delle materie prime.
  2. Machine learning e modelli di anomaly detection: algoritmi in grado di apprendere dai dati per segnalare deviazioni significative o pattern nascosti che possono avere quali tipiche applicazioni: rilevamento di frodi, vulnerabilità informatiche, anomalie operative nei processi industriali.
  3. Natural Language Processing (NLP): analisi automatica di testi, notizie, social media e documenti per individuare rischi reputazionali, politici o di compliance emergenti, molto utili in tutto il mondo degli strumenti sempre più avanzati di due diligence su soggetti interni/esterni all’organizzazione.
  4. Digital twins e simulazioni dinamiche: modelli digitali che replicano sistemi fisici o organizzativi per simulare scenari di rischio (“what if analysis”) e testare le risposte dell’azienda a shock multipli.
  5. Generative AI: applicata ai processi decisionali, consente di sintetizzare informazioni, generare scenari ipotetici, costruire mappe di rischio visive e reportistica per i Consigli di Amministrazione.
  6. Cognitive Risk Intelligence Platforms: sistemi integrati che combinano fonti dati interne ed esterne, modelli predittivi e strumenti di visualizzazione per un monitoraggio in tempo reale che consentono l’indirizzo e l’assunzione di decisioni in modo più rapido.

Queste tecnologie, se adeguatamente implementate, possono ridurre la reattività e aumentare la proattività, passando da un risk management “retrospettivo” a uno anticipatorio. Tutto ciò posto, la loro efficacia dipende fortemente dalla qualità dei dati, dall’interpretabilità dei modelli e dalla capacità, ancora del tutto umana, di leggere correttamente i segnali che essi producono e di collegarli all’esperienza fattuale.

Accanto, tuttavia, all’entusiasmo per l’AI predittiva, diverse teorie economiche e filosofiche mettono in guardia dal rischio di eccessiva fiducia nei modelli previsionali. Il pensiero di studiosi come Nassim Nicholas Taleb (The Black Swan, 2007) o Edgar Morin nella sua teoria della complessità, sottolinea che in sistemi complessi — caratterizzati da interdipendenze non lineari, feedback circolari e variabili non osservabili — il futuro non è prevedibile, ma solo esplorabile in termini di scenari probabilistici.

Come scriveva Taleb, citando Alfred Korzybski, il fondatore della Semantica Generale “l’illusione della predizione nasce quando si scambia la mappa per il territorio”

Nel risk management strategico, ciò implica che:

  • nessun modello può catturare completamente la realtà;
  • gli algoritmi di machine learning rischiano di riprodurre bias storici o di essere ciechi a eventi “cigno nero”;
  • la dipendenza dai dati passati può limitare la capacità di riconoscere discontinuità radicali o shock sistemici.

Oltre a ciò, l’uso massiccio di AI nei processi decisionali introduce nuovi rischi etici e di governance: opacità dei modelli (“black box”), accountability delle decisioni automatizzate, della protezione e della sicurezza dei dati. In questo senso, diversi framework internazionali — come gli OECD AI Principles (2019) — raccomandano un equilibrio tra intelligenza artificiale e intelligenza umana, valorizzando il ruolo del giudizio manageriale e del pensiero critico nella valutazione dei rischi.

La vera frontiera non è tanto la predizione del rischio, quanto la costruzione di risk intelligence: la capacità dell’organizzazione di interpretare segnali deboli, adattarsi rapidamente, apprendere dagli eventi e mantenere la coerenza strategica anche in scenari inattesi. Il compito del risk manager moderno, quindi, non è “prevedere il futuro”, ma preparare l’organizzazione a diversi futuri possibili, combinando algoritmi predittivi, visione strategica e discernimento umano.

d) Valore, sostenibilità e fiducia degli stakeholder

Il risk management moderno non è più solo difesa, è anche creazione di valore. Le organizzazioni resilienti riescono non solo a sopravvivere agli shock, ma a cogliere opportunità — in termini di sostenibilità, reputazione, fiducia degli stakeholder. Anche l’OECD sottolinea che la gestione dei rischi critici richiede attenzione alla resilienza sociale, infrastrutturale e ambientale. In questo senso, la funzione di risk management diventa un fattore abilitante di fiducia: gli stakeholder si attendono che le organizzazioni non solo reagiscano ai rischi di business ma che siano esse stesse portatrici di valori e che l’attenzione ai rischi tenga in considerazione anche quelli afferenti ad aspetti sociali e di governance ossia a tutte le componenti della Sostenibilità.

3. Implicazioni operative e organizzative

Per concretizzare queste frontiere, alcune implicazioni operative sono evidenti:

  • Indipendenza funzionale: la funzione di risk management deve avere una relazione concreta e diretta con il Consiglio di Amministrazione che la affranchi da conflitti interni, dotarsi di budget e risorse dedicate.
  • Integrazione strategica: i rischi devono essere incorporati nella definizione della strategia (setting degli obiettivi, modellizzazione dei trade-off, misurazione delle opportunità e delle minacce) secondo i principi del framework COSO ERM.
  • Innovazione negli strumenti: adottare piattaforme che consentano la raccolta e l’analisi di dati in tempo reale, l’applicazione di modelli predittivi, l’uso di scenari complessi (“what if”), simulazioni multi-shock.
  • Cultura del rischio: promuovere consapevolezza, accountability, apprendimento continuo. La governance come cultura – il tone at the top – è un fattore distintivo (vedi il componente “Governance & Culture” del COSO).
  • Comunicazione efficace: reporting al board e agli stakeholder deve essere tempestivo, chiaro, focalizzato non solo su rischi quantificati ma su dinamiche emergenti, interconnessioni, resilienza.
  • Monitoraggio e revisione continua: in ambienti altamente volatili, è indispensabile un processo che non si fermi al risk register ma preveda revisione dinamica, stress-testing, scenari di rottura, lezioni apprese.

4. Il ruolo del consiglio di amministrazione nella “permane crisi”

In uno scenario caratterizzato da “permacrisi” – in cui l’incertezza diventa la norma e i tempi di reazione si comprimono – il consiglio di amministrazione ha un ruolo chiave. Deve assicurare che la funzione di risk management sia indipendente, dotata di risorse, supportata da tecnologie innovative e integrata nella definizione strategica. Questo significa:

  • definire il risk appetite in modo chiaro e coerente con la strategia e i valori aziendali;
  • supervisionare la capacità dell’organizzazione di anticipare, monitorare e reagire ai rischi sistemici e concatenati;
  • promuovere una funzione che lavori non solo su minacce, ma anche su opportunità: resilienza significa saper invertire o contenere gli shock e generare vantaggio competitivo;
  • instillare fiducia negli stakeholder: se l’organizzazione dimostra di avere una governance robusta e lungimirante migliora la propria reputazione e capacità di attrarre investimenti e talenti.

5. Verso un futuro 2030 e considerazioni finali

Guardando oltre, fino al 2035 come suggerito dal WEF nel Global Risk Report dedicando un capitolo al punto di non ritorno, appare chiaro che i rischi ambientali (eventi meteorologici estremi, perdita di biodiversità, cambiamenti nei sistemi terrestri) resteranno al centro dell’attenzione, mentre quelli tecnologici (AI, disinformazione) guadagneranno importanza. Ciò implica che la funzione di risk management debba essere progettata fin da oggi in modo da essere flessibile, adattiva e pronta a trasformarsi. Non sono più sufficienti delle policy immutabili e rigide ma, anzi, è necessario dinamismo e una struttura organizzativa che impari in modo continuo. L’evoluzione del risk management verso queste nuove frontiere non è più opzionale: è una necessità per ogni organizzazione che vuole non solo sopravvivere, ma prosperare in un contesto globale sempre più complesso e interconnesso. Il passaggio da “funzione operativa” a “strumento strategico” è la chiave per creare valore, garantire resilienza e rafforzare la fiducia degli stakeholder.