Enterprise Risk Management: Perché l’ERM Diventerà l’Attività Principale di Legal nel 2026

L’Enterprise Risk Management è evoluto da un tradizionale registro dei rischi a uno strumento di gestione strategica. Oggi i rischi non vengono più registrati in isolamento, ma valutati nel contesto del modello di business, della reputazione, dei mercati dei capitali e della responsabilità dei dirigenti e degli amministratori. L’ERM è quindi una componente centrale della moderna corporate governance, ed è esattamente da qui che inizia la resilienza aziendale.

Che cos’è l’Enterprise Risk Management (ERM)?

L’Enterprise Risk Management (ERM) si riferisce a un approccio olistico per identificare, valutare, gestire e monitorare tutti i rischi rilevanti per l’azienda di natura strategica, operativa, finanziaria e normativa.

In contrasto con la gestione del rischio isolato delle singole funzioni, l’ERM persegue un approccio a livello aziendale. Il framework del Committee of Sponsoring Organizations of the Treadway Commission (COSO), che definisce l’ERM come parte integrante della gestione aziendale, è riconosciuto a livello internazionale.

Dimensione legale

Per il dipartimento legale, l’ERM significa la registrazione sistematica e il controllo di:

  • Rischi di responsabilità dei dirigenti e della gestione
  • Violazioni della conformità
  • Sanzioni normative
  • Obblighi di documentazione e conservazione dei registri
  • Rischi legali internazionali
  • Violazioni della conformità

L’ERM è quindi una componente centrale dei doveri dei corpi esecutivi.

Come funziona il processo ERM

L’Enterprise Risk Management è evoluto da un tradizionale registro dei rischi a uno strumento di gestione strategica. I dipartimenti legali e i counsel aziendali assumono un ruolo centrale perché molti rischi aziendali chiave sono di natura normativa e di responsabilità. I consigli di amministrazione si aspettano analisi dei rischi trasparenti e robuste per adempiere ai loro obblighi di monitoraggio e fiduciari.

I principali fattori trainanti includono:

  • Crescenti requisiti normativi che aumentano significativamente il rischio di sanzioni, multe e responsabilità.
  • Requisiti ESG e sostenibilità che richiedono processi legalmente conformi e reporting pronto per il controllo al fine di evitare greenwashing e rischi dei mercati dei capitali.
  • Nuove normative sull’IA, che comportano obblighi di trasparenza, controllo e documentazione completa.
  • Incertezze geopolitiche che influenzano direttamente sanzioni, catene di approvvigionamento, controlli all’esportazione e progettazione di contratti.

Framework e componenti

Numerosi framework riconosciuti a livello internazionale strutturano l’Enterprise Risk Management e definiscono standard riconosciuti per la governance, il controllo e il reporting. Una panoramica dei framework ERM più importanti e dei loro componenti centrali:

FRAMEWORKEDITOREFOCUSRILEVANZA LEGALE
Committee of Sponsoring Organizations of the Treadway Commission (COSO ERM)Commissione di esperti USAIntegrazione del rischio nella strategia, performance e controllo internoForte orientamento alla governance e al controllo; importante per la responsabilità del consiglio e il reporting
International Organization for Standardization (ISO 31000)Organizzazione internazionale per la standardizzazioneStandard globale di gestione del rischio basato su principiConnettività internazionale; rilevante per le strutture di conformità globale
Institute of Internal Auditors (IIA)Associazione professionale dei revisori interniAssurance, sistemi di controllo e valutazione del rischioFocus su sistemi di controllo interno (ICS) e processi di monitoraggio

Componenti chiave dei framework ERM

  • Strutture di governance
  • Sistemi di controllo interno (ICS)
  • Cultura del rischio e tono dall’alto
  • Chiari canali di reporting verso il Consiglio di amministrazione e il Consiglio di sorveglianza
  • Chiarezza di responsabilità e meccanismi di escalation

Le componenti di governance e controllo sono particolarmente cruciali per i dipartimenti legali, poiché direttamente collegate a questioni di responsabilità, obblighi di documentazione e salvaguardia delle decisioni del consiglio.

Il ruolo di Legal sta passando dalla consulenza reattiva alla gestione strategica del rischio.

Secondo un’indagine globale tra gestori del rischio, gli attacchi informatici, i guasti IT e la perdita di dati sono di gran lunga i maggiori rischi per le aziende. I crescenti requisiti normativi, i requisiti ESG, la normativa sull’IA e le incertezze geopolitiche stanno aumentando la pressione legale ad agire. L’ERM sta diventando l’interfaccia tra la strategia e il diritto, mentre i dipartimenti legali si evolvono da consulenti reattivi a architetti strategici del rischio.

Crescenti requisiti normativi

Le normative dell’UE, le leggi sulla catena di approvvigionamento, la protezione dei dati e la vigilanza sui mercati finanziari aumentano significativamente i rischi di sanzioni e responsabilità.

Secondo il Global Compliance Survey 2025 di PwC, l’85% delle aziende percepisce i requisiti di conformità come sempre più complessi. Inoltre, circa 1.500 nuovi atti legali vengono emanati nell’UE ogni anno. Le aziende devono monitorare proattivamente questi sviluppi e integrarli nei processi interni.

I requisiti ESG non sono più solo una questione di marketing. Le divulgazioni inesatte o incomplete possono avere conseguenze legali, finanziarie e reputazionali significative:

  • Accuse di greenwashing
  • Responsabilità dei mercati dei capitali
  • Sanzioni
  • Danno reputazionale

Legal deve garantire la trasparenza del rischio e implementare processi robusti.

Rischi di responsabilità (Gestione e Consiglio)

La responsabilità dei dirigenti e degli organi di sorveglianza aumenta. Una mancanza di monitoraggio del rischio può essere considerata una violazione del dovere. L’ERM fornisce protezione registrando sistematicamente, valutando e documentando in modo comprensibile i rischi.

Conformità internazionale

Le aziende globali affrontano diversi sistemi legali, dalla protezione dei dati alle sanzioni. Legal garantisce che gli standard di conformità siano osservati a livello mondiale e che i rischi siano gestiti in fase iniziale.

Obblighi di documentazione e verifica

I regolatori richiedono analisi dei rischi comprensibili. Se la documentazione manca, la misura è effettivamente considerata non effettuata. Legal garantisce che tutti i rischi siano registrati in modo audit-proof e gestiti in modo verificabile.

Requisiti di trasparenza del Consiglio

Gli organi di sorveglianza richiedono report sui rischi basati su dati. Legal deve rendere i rischi legali quantificabili.

Nel 2025, le aziende affronteranno un panorama di rischi complesso che porta con sé non solo sfide operative ma anche legali. Per Legal, ciò significa che i rischi non devono solo essere identificati, ma anche legalmente valutati, documentati e resi gestibili.

Incidenti informatici

Gli attacchi informatici influiscono sulla protezione dei dati, sugli obblighi di reporting e sulla responsabilità verso i clienti. I dipartimenti legali devono garantire che i piani di risposta agli incidenti siano legalmente conformi e che i potenziali rischi di responsabilità siano ridotti al minimo.

Rischi legati all’IA

L’uso dell’intelligenza artificiale solleva nuove questioni legali: responsabilità per le decisioni, rischi di discriminazione e obblighi di trasparenza. Legal deve implementare strutture di governance e linee guida per salvaguardarsi dai rischi in fase iniziale.

Interruzione dell’attività e rischi geopolitici

Le interruzioni della catena di approvvigionamento, le sanzioni o le crisi politiche possono influenzare contratti, controlli all’esportazione e assicurazioni. Legal gestisce questi rischi attraverso la progettazione preventiva dei contratti e il rispetto dei requisiti normativi.

Cos’è la Gestione integrata del rischio (Integrated Risk Management – IRM)?

La Gestione integrata del rischio (IRM) è l’ulteriore sviluppo del classico Enterprise Risk Management. Combina i sistemi di rischio, conformità e audit in una piattaforma centrale in modo che i rischi possano essere registrati, valutati, gestiti e monitorati uniformemente in tutta l’azienda. L’IRM non solo consente un reporting più efficiente, ma anche una migliore tracciabilità e una base coerente per il processo decisionale del Consiglio di amministrazione, del Consiglio di sorveglianza e della gestione.

Perché i silos di rischio non funzionano più

I sistemi separati e i processi di gestione del rischio isolato spesso portano a una perdita di informazioni, documentazione incoerente e escalation ritardata dei rischi critici. Questo è particolarmente problematico per Legal, poiché le questioni di responsabilità, gli obblighi normativi e la trasparenza del consiglio possono essere affrontati in modo affidabile solo se tutte le fonti di rischio sono considerate in modo integrato. L’IRM crea questa visione integrata, consente l’azione coordinata oltre i confini dipartimentali e garantisce che i rischi siano gestiti e documentati in modo legalmente conforme.

Come il cloud e l’IA stanno trasformando la gestione del rischio

La tecnologia cloud e l’intelligenza artificiale (IA) stanno rivoluzionando la gestione del rischio rendendo i processi più efficienti, basati sui dati e trasparenti. Le piattaforme basate su cloud consentono la registrazione centrale, l’analisi e la visualizzazione dei rischi attraverso le divisioni aziendali, abbattendo i silos e abilitando il reporting in tempo reale.

L’IA supporta il rilevamento automatico del rischio, ad esempio attraverso l’analisi dei modelli in grandi quantità di dati, i sistemi di allarme precoce per i cambiamenti normativi o le previsioni di rischi informatici e di interruzione dell’attività.

I moderni strumenti di IA come Risk Detector di DiliTrust automatizzano l’analisi dei documenti legali: identificano automaticamente le clausole rischiose, applicano le regole di conformità interne e suggeriscono alternative conformi in minuti anziché in ore. Queste tecnologie non solo migliorano l’efficienza e la velocità di reazione nella gestione contrattuale e dei rischi, ma rafforzano anche la sicurezza legale e la verificabilità delle decisioni.

Il futuro dell’ERM: Dalla conformità alla gestione strategica

L’Enterprise Risk Management si sta sviluppando sempre più da una funzione puramente di conformità a uno strumento di gestione strategica. L’ERM non viene più utilizzato solo per il controllo dei rischi, ma fornisce anche una base decisionale preziosa per il Consiglio di amministrazione e la gestione, ad esempio per investimenti, strategie di crescita o espansioni internazionali. Per Legal, ciò significa che il dipartimento sta passando da essere un consulente reattivo a un architetto proattivo del rischio. Non solo valuta i rischi legali, ma li integra anche nelle decisioni strategiche, garantisce che i requisiti di governance e conformità siano soddisfatti e documenta tutte le misure in modo audit-proof.

In futuro, l’ERM diventerà quindi l’interfaccia tra la strategia, il diritto e il business operativo: le aziende che gestiscono i rischi in modo olistico aumentano la loro resilienza, proteggono i loro corpi esecutivi dalla responsabilità e creano la base per una crescita sostenibile e legalmente conforme.

Avatar photo
Author

belma