Siamo tutti coscienti che stiamo vivendo un contesto di mercato sempre più complesso e rischioso che richiede sufficiente flessibilità operativa e la capacità di fare prevenzione. Tuttavia, la gestione dei rischi viene considerata una materia per specialisti e spesso delegata ai risk manager.
Vi è però una categoria di rischi che i vertici aziendali non possono delegare. Si tratta dei rischi “esistenziali”: quelli che minacciano la sopravvivenza dell’impresa, la sua reputazione e la sicurezza delle persone che vi lavorano. Al di là del gestire i rischi “esistenziali”, occorre governarli. È qui che entra in gioco il Consiglio di Amministrazione e il suo ruolo di Risk Governance.
L’identificazione dei Rischi esistenziali
Negli ultimi anni si sono manifestati eventi quali pandemie, guerre, attacchi informatici su larga scala. Eventi che diventano, purtroppo, sempre più frequenti, rendendo sempre meno realistico considerarli come “cigni neri”, ovvero “eventi imprevedibili rari”. Essi presentano alcune caratteristiche comuni: alta severità potenziale, spesso assenza di precedenti storici ed effetti di propagazione lungo filiere e sistemi.
Abbiamo vissuto shock geopolitici – conflitti, sanzioni, instabilità politica – che hanno interrotto i canali di approvvigionamento di materie prime critiche, fatto esplodere i prezzi o reso impossibile operare in intere aree geografiche. Le imprese dipendenti da nodi logistici o fornitori concentrati in regioni a rischio si sono trovate esposte a eventi lontani, ma capaci di generare effetti dirompenti sulla loro attività. Un esempio recente sono i centri cloud di Amazon Web Services colpiti dai bombardamenti negli Emirati Arabi Uniti.
La tecnologia e lo sviluppo dell’intelligenza artificiale comportano un’esposizione crescente ai rischi. Il caso di Cloudstrike, dovuto a un errore di aggiornamento, e le conseguenze su Microsoft, hanno evidenziato come un incidente di un fornitore di servizi possa tradursi in interruzioni prolungate per migliaia di imprese clienti. Un grave incidente cyber può causare perdita o cifratura dei dati, compromissione dei sistemi di controllo industriale, blocco dei canali di vendita e servizi ai clienti, con impatti diretti su fiducia, conformità normativa e responsabilità dell’impresa.
Inoltre, l’onere economico derivante dall’assenza di adeguate coperture assicurative può essere pesante. Le catastrofi naturali nel 2025 hanno causato circa 224 miliardi di dollari di perdite economiche, di cui solo 108 miliardi coperti da assicurazioni (fonte Munich Re). La differenza tra perdite subite e coperture assicurative definisce il “protection gap”.
Va sottolineato che i rischi esistenziali non sono gli stessi per ogni impresa: vanno identificati in relazione alla sua specifica attività.
Un ruolo attivo del CdA
I rischi esistenziali richiedono sistemi di prevenzione e mitigazione degli impatti economici e reputazionali creati prima che gli eventi si producano, in difesa della continuità d’impresa.
Le decisioni di investimento necessarie a garantire la flessibilità operativa e per dotare l’impresa dello scudo necessario sono materia di Governance dei Rischi: il Consiglio di Amministrazione si attiva per garantire la continuità aziendale, la sicurezza delle persone e l’integrità degli stakeholder, identificando quali decisioni prendere per tutelare l’azienda.
Governare i rischi significa individuare proattivamente vecchi e nuovi rischi gravi immaginando gli scenari possibili. I Consiglieri non si limitano a verificare le analisi dei risk manager, ma ne alimentano l’attività chiedendo di predisporre gli stress test e i programmi di prevenzione sui rischi da essi identificati.
Per le decisioni strategiche – investimento, diversificazione, M&A, digitalizzazione, delocalizzazioni – il Consiglio considera anche i rischi esistenziali, quando, ad esempio, decide di esternalizzare le funzioni IT critiche.
Consiglieri non esecutivi e Risk Governance
I Consiglieri non esecutivi apportano spesso all’impresa una sensibilità sul contesto esterno grazie alla loro esperienza e professionalità. Per questo, l’identificazione dei rischi esistenziali che originano dal mercato è una componente essenziale del loro contributo.
Le competenze utili per questo scopo comprendono conoscenze di base di risk management (concetti di probabilità, severità, correlazione, scenari, stress test, protection gap e interconnessione tra rischi diversi), una comprensione generale dei rischi cyber e digitali (ransomware, supply chain attacks, compromissione di credenziali, sabotaggio), una sensibilità ai rischi climatici e naturali, una consapevolezza dei rischi geopolitici e di infrastruttura critica.
Si tratta di saper disegnare scenari, analizzare stress test, identificare nella mappatura i rischi maggiori, valutare i piani di continuità e di ripristino, esaminare le proposte assicurative per trasferire i rischi, monitorare gli indicatori (es. incidenti cyber, near miss di sicurezza, tensioni geopolitiche in aree critiche, segnali sulla solidità dei principali fornitori). L’esame dei “near miss” è particolarmente efficace: si analizzano gli “scampati pericoli” che non hanno creato danni all’impresa, ma avrebbero potuto avere conseguenze gravi. Il settore chimico, adottando questa metodologia, è riuscito a ridurre di molto gli incidenti sul lavoro.
Se le competenze necessarie non sono tutte presenti, l’impresa può ricorrere ad Advisors per assistere il Consiglio di Amministrazione e il Comitato Rischi.
Non va, infine, sottovalutato il coinvolgimento degli stakeholder nei processi di valutazione del rischio: clienti, fornitori, comunità locali e autorità possono offrire visioni complementari sulle vulnerabilità e sulle aspettative rispetto al comportamento dell’impresa in caso di crisi.
Verso una governance attiva e responsabile
In conclusione, la governance del rischio è l’attività di presidio dei rischi esistenziali. Il Consiglio di Amministrazione non può limitarsi a una verifica formale di registri e procedure, ma deve assicurare una protezione attiva dell’impresa e dei suoi stakeholder. Ciò richiede che il CdA tratti l’identificazione dei rischi esistenziali, con dignità pari alle decisioni su strategia, investimenti e remunerazione, e che dia mandato chiaro al management di sviluppare misure preventive concrete, verificandone periodicamente l’efficacia.
Un Consiglio che si assume la responsabilità di interrogarsi attivamente su “che cosa può mettere in pericolo la sopravvivenza dell’impresa e la sicurezza delle persone” e agisce di conseguenza, contribuisce non solo a proteggere l’azienda, ma anche a rafforzare la solidità dell’intero sistema economico e sociale in cui l’impresa opera.
Infine, una Governance dei Rischi efficace si fonda sulla promozione di una cultura d’impresa orientata alla segnalazione precoce di vulnerabilità e sull’incentivazione alla trasparenza, invece che alla minimizzazione dei problemi. Una cultura che eviti di colpevolizzare chi porta notizie non gradite è fondamentale per promovere la collaborazione tra gli specialisti dei rischi e i vertici aziendali.
Massimo Michaud,
Membro del comitato direttivo e co-fondatore del Board Forum Svizzera Italiana
www.bfsi.ch
