L’Enterprise Risk Management è evoluto da un tradizionale registro dei rischi a uno strumento di gestione strategica. Oggi i rischi non vengono più registrati in isolamento, ma valutati nel contesto del modello di business, della reputazione, dei mercati dei capitali e della responsabilità dei dirigenti e degli amministratori. L’ERM è quindi una componente centrale della moderna corporate governance, ed è esattamente da qui che inizia la resilienza aziendale.
Che cos’è l’Enterprise Risk Management (ERM)?
L’Enterprise Risk Management (ERM) si riferisce a un approccio olistico per identificare, valutare, gestire e monitorare tutti i rischi rilevanti per l’azienda di natura strategica, operativa, finanziaria e normativa.
In contrasto con la gestione del rischio isolato delle singole funzioni, l’ERM persegue un approccio a livello aziendale. Il framework del Committee of Sponsoring Organizations of the Treadway Commission (COSO), che definisce l’ERM come parte integrante della gestione aziendale, è riconosciuto a livello internazionale.
Dimensione legale
Per il dipartimento legale, l’ERM significa la registrazione sistematica e il controllo di:
L’ERM è quindi una componente centrale dei doveri dei corpi esecutivi.
Come funziona il processo ERM
L’Enterprise Risk Management è evoluto da un tradizionale registro dei rischi a uno strumento di gestione strategica. I dipartimenti legali e i counsel aziendali assumono un ruolo centrale perché molti rischi aziendali chiave sono di natura normativa e di responsabilità. I consigli di amministrazione si aspettano analisi dei rischi trasparenti e robuste per adempiere ai loro obblighi di monitoraggio e fiduciari.
I principali fattori trainanti includono:
Framework e componenti
Numerosi framework riconosciuti a livello internazionale strutturano l’Enterprise Risk Management e definiscono standard riconosciuti per la governance, il controllo e il reporting. Una panoramica dei framework ERM più importanti e dei loro componenti centrali:
| FRAMEWORK | EDITORE | FOCUS | RILEVANZA LEGALE |
|---|---|---|---|
| Committee of Sponsoring Organizations of the Treadway Commission (COSO ERM) | Commissione di esperti USA | Integrazione del rischio nella strategia, performance e controllo interno | Forte orientamento alla governance e al controllo; importante per la responsabilità del consiglio e il reporting |
| International Organization for Standardization (ISO 31000) | Organizzazione internazionale per la standardizzazione | Standard globale di gestione del rischio basato su principi | Connettività internazionale; rilevante per le strutture di conformità globale |
| Institute of Internal Auditors (IIA) | Associazione professionale dei revisori interni | Assurance, sistemi di controllo e valutazione del rischio | Focus su sistemi di controllo interno (ICS) e processi di monitoraggio |
Componenti chiave dei framework ERM
Le componenti di governance e controllo sono particolarmente cruciali per i dipartimenti legali, poiché direttamente collegate a questioni di responsabilità, obblighi di documentazione e salvaguardia delle decisioni del consiglio.
Il ruolo strategico di Legal nell’Enterprise Risk Management
Il ruolo di Legal sta passando dalla consulenza reattiva alla gestione strategica del rischio.
Secondo un’indagine globale tra gestori del rischio, gli attacchi informatici, i guasti IT e la perdita di dati sono di gran lunga i maggiori rischi per le aziende. I crescenti requisiti normativi, i requisiti ESG, la normativa sull’IA e le incertezze geopolitiche stanno aumentando la pressione legale ad agire. L’ERM sta diventando l’interfaccia tra la strategia e il diritto, mentre i dipartimenti legali si evolvono da consulenti reattivi a architetti strategici del rischio.
Crescenti requisiti normativi
Le normative dell’UE, le leggi sulla catena di approvvigionamento, la protezione dei dati e la vigilanza sui mercati finanziari aumentano significativamente i rischi di sanzioni e responsabilità.
Secondo il Global Compliance Survey 2025 di PwC, l’85% delle aziende percepisce i requisiti di conformità come sempre più complessi. Inoltre, circa 1.500 nuovi atti legali vengono emanati nell’UE ogni anno. Le aziende devono monitorare proattivamente questi sviluppi e integrarli nei processi interni.
I requisiti ESG non sono più solo una questione di marketing. Le divulgazioni inesatte o incomplete possono avere conseguenze legali, finanziarie e reputazionali significative:
Legal deve garantire la trasparenza del rischio e implementare processi robusti.
Rischi di responsabilità (Gestione e Consiglio)
La responsabilità dei dirigenti e degli organi di sorveglianza aumenta. Una mancanza di monitoraggio del rischio può essere considerata una violazione del dovere. L’ERM fornisce protezione registrando sistematicamente, valutando e documentando in modo comprensibile i rischi.
Conformità internazionale
Le aziende globali affrontano diversi sistemi legali, dalla protezione dei dati alle sanzioni. Legal garantisce che gli standard di conformità siano osservati a livello mondiale e che i rischi siano gestiti in fase iniziale.
Obblighi di documentazione e verifica
I regolatori richiedono analisi dei rischi comprensibili. Se la documentazione manca, la misura è effettivamente considerata non effettuata. Legal garantisce che tutti i rischi siano registrati in modo audit-proof e gestiti in modo verificabile.
Requisiti di trasparenza del Consiglio
Gli organi di sorveglianza richiedono report sui rischi basati su dati. Legal deve rendere i rischi legali quantificabili.
I maggiori rischi aziendali nel 2025 e cosa significano per Legal
Nel 2025, le aziende affronteranno un panorama di rischi complesso che porta con sé non solo sfide operative ma anche legali. Per Legal, ciò significa che i rischi non devono solo essere identificati, ma anche legalmente valutati, documentati e resi gestibili.
Incidenti informatici
Gli attacchi informatici influiscono sulla protezione dei dati, sugli obblighi di reporting e sulla responsabilità verso i clienti. I dipartimenti legali devono garantire che i piani di risposta agli incidenti siano legalmente conformi e che i potenziali rischi di responsabilità siano ridotti al minimo.
Rischi legati all’IA
L’uso dell’intelligenza artificiale solleva nuove questioni legali: responsabilità per le decisioni, rischi di discriminazione e obblighi di trasparenza. Legal deve implementare strutture di governance e linee guida per salvaguardarsi dai rischi in fase iniziale.
Interruzione dell’attività e rischi geopolitici
Le interruzioni della catena di approvvigionamento, le sanzioni o le crisi politiche possono influenzare contratti, controlli all’esportazione e assicurazioni. Legal gestisce questi rischi attraverso la progettazione preventiva dei contratti e il rispetto dei requisiti normativi.
Cos’è la Gestione integrata del rischio (Integrated Risk Management – IRM)?
La Gestione integrata del rischio (IRM) è l’ulteriore sviluppo del classico Enterprise Risk Management. Combina i sistemi di rischio, conformità e audit in una piattaforma centrale in modo che i rischi possano essere registrati, valutati, gestiti e monitorati uniformemente in tutta l’azienda. L’IRM non solo consente un reporting più efficiente, ma anche una migliore tracciabilità e una base coerente per il processo decisionale del Consiglio di amministrazione, del Consiglio di sorveglianza e della gestione.
Perché i silos di rischio non funzionano più
I sistemi separati e i processi di gestione del rischio isolato spesso portano a una perdita di informazioni, documentazione incoerente e escalation ritardata dei rischi critici. Questo è particolarmente problematico per Legal, poiché le questioni di responsabilità, gli obblighi normativi e la trasparenza del consiglio possono essere affrontati in modo affidabile solo se tutte le fonti di rischio sono considerate in modo integrato. L’IRM crea questa visione integrata, consente l’azione coordinata oltre i confini dipartimentali e garantisce che i rischi siano gestiti e documentati in modo legalmente conforme.
Come il cloud e l’IA stanno trasformando la gestione del rischio
La tecnologia cloud e l’intelligenza artificiale (IA) stanno rivoluzionando la gestione del rischio rendendo i processi più efficienti, basati sui dati e trasparenti. Le piattaforme basate su cloud consentono la registrazione centrale, l’analisi e la visualizzazione dei rischi attraverso le divisioni aziendali, abbattendo i silos e abilitando il reporting in tempo reale.
L’IA supporta il rilevamento automatico del rischio, ad esempio attraverso l’analisi dei modelli in grandi quantità di dati, i sistemi di allarme precoce per i cambiamenti normativi o le previsioni di rischi informatici e di interruzione dell’attività.
I moderni strumenti di IA come Risk Detector di DiliTrust automatizzano l’analisi dei documenti legali: identificano automaticamente le clausole rischiose, applicano le regole di conformità interne e suggeriscono alternative conformi in minuti anziché in ore. Queste tecnologie non solo migliorano l’efficienza e la velocità di reazione nella gestione contrattuale e dei rischi, ma rafforzano anche la sicurezza legale e la verificabilità delle decisioni.
Il futuro dell’ERM: Dalla conformità alla gestione strategica
L’Enterprise Risk Management si sta sviluppando sempre più da una funzione puramente di conformità a uno strumento di gestione strategica. L’ERM non viene più utilizzato solo per il controllo dei rischi, ma fornisce anche una base decisionale preziosa per il Consiglio di amministrazione e la gestione, ad esempio per investimenti, strategie di crescita o espansioni internazionali. Per Legal, ciò significa che il dipartimento sta passando da essere un consulente reattivo a un architetto proattivo del rischio. Non solo valuta i rischi legali, ma li integra anche nelle decisioni strategiche, garantisce che i requisiti di governance e conformità siano soddisfatti e documenta tutte le misure in modo audit-proof.
In futuro, l’ERM diventerà quindi l’interfaccia tra la strategia, il diritto e il business operativo: le aziende che gestiscono i rischi in modo olistico aumentano la loro resilienza, proteggono i loro corpi esecutivi dalla responsabilità e creano la base per una crescita sostenibile e legalmente conforme.


