Vai al contenuto principale Vai in fondo alla pagina

Archivio

10/06/2026 Paola Tagliavini

L’impatto dei rischi non finanziari: processi per rafforzare la resilienza organizzativa

L’emergere di rischi non finanziari sempre più interconnessi e scarsamente storicizzati sta ridefinendo le principali fonti di vulnerabilità organizzativa. L’articolo esamina l’evoluzione del risk assessment in relazione a rischi geopolitici, cyber, reputazionali e tecnologici, mettendo in luce i limiti dei tradizionali modelli quantitativi. Attraverso un’analisi critica della letteratura e dei principali framework internazionali, il contributo propone una concezione del risk assessment come processo cognitivo e strategico, integrato nei sistemi di Enterprise Risk Management e orientato al rafforzamento della resilienza e alla creazione di valore sostenibile.

Negli ultimi anni le priorità aziendali hanno visto emergere con forza i rischi non finanziari quali principali fattori di vulnerabilità organizzativa. Rientrano in questa categoria i rischi geopolitici, cyber, di business continuity, reputazionali, tecnologici e legati alla gestione dei dati. Pur variando nel dettaglio a seconda del settore o del contesto geografico, le classifiche internazionali mostrano una convergenza netta: la maggior parte di questi rischi ha origine esterna e sfugge al controllo diretto delle imprese.

Come segnalano i più recenti report globali, l’amplificarsi delle tensioni geopolitiche alimenta vettori di minaccia cyber, spesso interconnessi, mentre la reputazione aziendale è ormai parte integrante del perimetro di rischio da gestire attivamente. Questa configurazione impone al management una duplice sfida. Da un lato, l’esternalità dei rischi limita la possibilità di mitigazione diretta; dall’altro, la gestione dei rischi endogeni – dalla compliance alla data governance – diventa più complessa poiché si manifesta in forme nuove e scarsamente storicizzate, rendendo fragile l’applicazione dei modelli quantitativi classici e difficile la previsione degli impatti.

L’evoluzione recente del risk assessment richiede quindi una revisione culturale e operativa. L’Enterprise Risk Management (ERM) deve essere interpretato non come un insieme di procedure formali, ma come un’infrastruttura cognitiva diffusa, capace di alimentare un pensiero del rischio trasversale e continuo. L’esperienza dei settori regolati – in particolare del settore bancario e finanziario – mostra che la resilienza organizzativa dipende meno dall’esaustività dei controlli ex ante e più dalla capacità di rilevare tempestivamente segnali deboli e aggiornare costantemente i modelli di analisi. Gli studi più recenti (Jabbour, 2024) confermano che la capacità di anticipare, identificare e integrare i rischi emergenti nei processi strategici rappresenta uno dei principali driver di competitività e sostenibilità.

Oggi il processo di risk assessment – concepito nelle best practice come un continuum tra identificazione e misurazione – fronteggia due ordini di sfide: la difficoltà di censire in modo efficace i nuovi rischi e la crescente incertezza nella loro misurazione quantitativa. Un rischio non riconosciuto non entra nella catena gestionale e la sua emersione improvvisa coglie di sorpresa il management; allo stesso modo, un rischio scarsamente documentato rimane fuori dagli strumenti previsionali, impedendo un adeguato processo di mitigazione. In questa prospettiva l’evoluzione del risk assessment richiede un approccio integrato e cognitivo, capace di coniugare analisi, cultura e strategia per affrontare un ecosistema di rischi sempre più interconnessi.

Le nuove categorie di rischio rilevante

La crescente complessità dei mercati, la globalizzazione delle filiere e la velocità della trasformazione tecnologica hanno spostato il baricentro del rischio verso categorie intangibili, interconnesse e ad alta volatilità. I perimetri tradizionali di valutazione, incentrati su dimensioni finanziarie e operative, appaiono oggi insufficienti a cogliere la natura sistemica e multidimensionale delle nuove minacce.

Il Global Risks Report 2025 del World Economic Forum individua tra i principali rischi globali a medio termine cyber‑attacchi, conflitti geopolitici, disinformazione, disruption tecnologiche e gli impatti avversi dell’intelligenza artificiale – tutti fenomeni contraddistinti da forte imprevedibilità e dinamiche di contagio tra settori e Paesi. A conferma, l’Allianz Risk Barometer 2025 colloca il rischio cyber al primo posto tra le preoccupazioni delle imprese, seguito da interruzioni operative, tensioni geopolitiche e cambiamento climatico.

Tra le categorie di rischio oggi più rilevanti si evidenziano:

  • rischi reputazionali, amplificati dall’immediatezza dei social media e dalla crescente domanda di trasparenza, capaci di influenzare la fiducia degli stakeholder in tempi rapidissimi;
  • rischi cyber, al vertice delle classifiche internazionali, connessi a violazioni informatiche, attacchi ransomware e manipolazioni generate da contenuti digitali falsificati;
  • rischi geopolitici, legati all’instabilità dei contesti globali, alle guerre commerciali e alle vulnerabilità delle catene del valore;
  • rischi di data governance, riguardanti privacy, integrità e qualità dei dati in un quadro regolatorio in continua evoluzione;
  • rischi tecnologici emergenti, derivanti dall’uso estensivo di AI, IoT e cloud, che introducono nuove complessità etiche, operative e legali.

Accanto alle dimensioni di rischio tradizionalmente considerate, si affermano con forza i rischi non finanziari, inclusi i rischi ESG e quelli connessi alla resilienza digitale operativa, all’identità digitale e alla dipendenza da terze parti. Come evidenziato dall’OECD (2024), molti di questi rischi appartengono alla sfera degli unknown unknowns, ossia eventi senza precedenti codificati, la cui individuazione e gestione in chiave preventiva richiede il ricorso a strumenti di horizon scanning e scenario foresight. Episodi quali violazioni dei dati, campagne di disinformazione, pratiche di social engineering o l’uso improprio di contenuti generati dall’intelligenza artificiale rivelano una realtà di rischio sempre più ibrida, in cui fattori geopolitici, tecnologici e sociali interagiscono producendo effetti sistemici difficili da isolare.

Risk assessment e limiti dei modelli classici

Il rischio assume quindi una dimensione strutturale e integrata, imponendo una revisione profonda dei tradizionali processi di valutazione. Il risk assessment rappresenta il fulcro di ogni sistema di gestione del rischio, poiché consente di identificare, analizzare e comprendere le minacce che possono compromettere la continuità e la resilienza aziendale. La letteratura distingue due fasi centrali: l’identificazione e la misurazione del rischio.

La fase di identificazione è la più critica: un rischio non riconosciuto all’inizio resta escluso da ogni successiva attività di analisi e mitigazione. È una fase di natura prevalentemente qualitativa, che richiede profonda conoscenza del contesto strategico, delle interdipendenze interne ed esterne e della capacità organizzativa di cogliere segnali deboli. Segue la fase di valutazione, in cui il rischio individuato viene analizzato in termini di probabilità d’occorrenza e impatto. Tuttavia, quanto più un rischio è nuovo o emergente, tanto minore è la disponibilità di dati affidabili e di storicità utile alla costruzione di modelli predittivi. L’incertezza impone perciò di bilanciare analisi quantitativa e giudizio esperto, favorendo approcci interdisciplinari e interpretativi.

Oggi il risk assessment non può più essere inteso come un mero esercizio tecnico di modellizzazione. Le imprese operano in ecosistemi caratterizzati da rischi interconnessi, sistemici e pervasivi, che richiedono strumenti flessibili e una cultura del rischio diffusa. Metodi consolidati, quali matrici e checklist, se impiegati in maniera isolata, risultano inadeguati a cogliere la rapidità e la complessità dei fenomeni. Affidare il processo a pochi specialisti porta spesso a una visione parziale, mentre un approccio partecipativo, che coinvolge leader, manager e funzioni operative, consente una lettura collettiva dei rischi e una risposta più tempestiva.

Dalla logica predittiva a quella cognitiva

I modelli classici di valutazione del rischio, fondati su metriche quantitative e tassonomie rigide, presupponevano la stabilità dei contesti e l’estendibilità del passato al futuro. Le grandi crisi sistemiche – prima fra tutte quella finanziaria del 2007-2008 – ne hanno però mostrato i limiti: l’assenza di una visione sistemica, l’eccessiva fiducia nei dati storici e la lentezza dei flussi informativi hanno spesso prodotto decisioni tardive e reattive.

Come sottolineato dall’OECD (2024), lo scenario attuale richiede metodologie fondate non su proiezioni retrospettive, ma su logiche di previsione anticipatoria (foresight approach). Questo paradigma integra l’analisi quantitativa con la lettura sistemica dei trend, l’impiego di simulazioni e strumenti predittivi, favorendo pratiche di apprendimento continuo e collaborazione interfunzionale.

Negli ultimi anni il risk assessment ha quindi compiuto una svolta di natura cognitiva, spostando il focus dalla misurazione alla comprensione dei fenomeni. Accanto alla precisione dei modelli, diventa essenziale la capacità di elaborare relazioni, individuare segnali deboli e interpretare correlazioni inedite. Il rischio non è più soltanto un valore da stimare, ma un processo da interpretare e condividere.

In questa prospettiva, il risk assessment evolve da funzione analitica a processo di sensemaking strategico, connesso alle decisioni di business e alla costruzione della resilienza organizzativa. Si afferma così una nuova generazione di sistemi di Enterprise Risk Management (ERM), in grado di superare la frammentazione, integrare cultura e tecnologia, e tradurre la conoscenza del rischio in azione strategica e apprendimento continuo.

Dal nuovo risk assessment all’ERM strategico

L’Enterprise Risk Management (ERM) rappresenta oggi la risposta strutturale all’evoluzione del risk assessment e ai limiti dei modelli tradizionali. Da esercizio tecnico e frammentato, la gestione del rischio si è trasformata in una piattaforma di governo strategico, capace di superare le barriere organizzative e di coinvolgere l’insieme delle linee di business. La vera innovazione, come evidenzia la letteratura internazionale, non risiede tanto nella costruzione di nuovi modelli top down, quanto nella diffusione di una cultura aziendale del rischio, intesa come processo condiviso e continuo di apprendimento, in cui il rischio stesso diventa leva di sviluppo.

L’evoluzione metodologica del risk assessment – da strumento analitico a processo cognitivo e strategico – ha consentito la sua piena integrazione nei framework di ERM, oggi la principale infrastruttura attraverso cui le imprese connettono la gestione del rischio alla pianificazione strategica. Nei modelli più avanzati, come il COSO ERM (2017) e le più recenti linee guida OECD (2024), il risk assessment costituisce il cuore operativo del sistema, integrando analisi dei rischi, definizione del risk appetite e monitoraggio delle performance. Come sintetizzato in Tabella 1, questa impostazione abbandona la logica “a silos” a favore di una visione integrata di portafoglio, capace di aggregare rischi strategici, operativi, finanziari, di compliance ed ESG in un quadro coordinato e trasparente.

L’ERM non è più quindi un insieme di regole e procedure, ma una logica di governance evoluta che permea l’intera organizzazione e lega la gestione del rischio alla creazione di valore sostenibile. In questo scenario il risk manager assume un ruolo trasformativo: da tecnico specializzato a facilitatore strategico, in grado di fornire alla governance una lettura unificata di rischi e opportunità. Le imprese più mature hanno già istituzionalizzato questa visione attraverso cicli integrati di pianificazione, nei quali l’analisi dei rischi è sistematicamente incorporata nella definizione degli obiettivi industriali.

I processi di identificazione, valutazione e reporting diventano così strumenti di apprendimento organizzativo, utili a garantire che il rischio non sia trattato come variabile residuale, ma come componente intrinseca alla creazione di valore. La struttura informativa dell’ERM, basata su flussi top-down e bottom-up tra board, risk owner e funzioni operative, rafforza trasparenza e coordinamento interfunzionale, estendendo la gestione del rischio alla dimensione culturale dell’impresa.

Come mostrano gli studi di Huber (2025), l’integrazione tra Balanced Scorecard (BSC) ed ERM rappresenta un passaggio decisivo in questa traiettoria evolutiva. Collegare metriche di performance e fattori di rischio consente di tradurre la conoscenza del rischio in decisioni strategiche, ridefinendo il controllo direzionale come sistema di apprendimento continuo. Nel caso analizzato, l’ERM – inizialmente complementare alla BSC – assume progressivamente un ruolo centrale, trasformando la scorecard in un vero strumento di governance integrata.

In questa prospettiva, il risk assessment inserito in un contesto ERM maturo non è più un semplice strumento di controllo, ma un meccanismo dinamico di sensemaking organizzativo: apprende dai dati, genera feedback strategici e contribuisce alla resilienza dell’impresa nel lungo periodo. La gestione del rischio evolve così da funzione reattiva, basata sulla misurazione ex post, a visione proattiva e predittiva, orientata alla performance e alla sostenibilità. L’ERM strategico diventa quindi il ponte ideale verso la gestione dei rischi emergenti e degli unknown unknowns, integrando conoscenza, tecnologia e cultura in una governance capace di apprendere e adattarsi alla complessità.


Il Risk assessment nella letteratura: le nuove direttrici

La più recente letteratura accademica conferma l’evoluzione del risk assessment verso un approccio cognitivo e strategico, sempre più integrato nei meccanismi di governo dell’impresa.

Huber (2025) mostra come l’integrazione tra Enterprise Risk Management (ERM) e Balanced Scorecard (BSC) rafforzi la coerenza strategica dei processi di valutazione del rischio. Nel caso studio su una grande azienda energetica, l’autore evidenzia che la mappatura dei rischi strategici all’interno delle prospettive della BSC favorisce la traduzione del rischio in obiettivi misurabili e la responsabilizzazione dei manager. L’ERM, inizialmente funzione di supporto, diventa progressivamente un motore di trasformazione della scorecard, raccordando controllo e direzione strategica.

Jabbour (2024) offre una chiave di lettura istituzionale: la diffusione delle pratiche di ERM deriva da un processo di institutional work che coinvolge diversi professionisti oltre ai risk manager. Il rischio non è più un oggetto tecnico da quantificare, ma un fenomeno collettivo da interpretare e costruire, attraverso collaborazione e fiducia organizzativa.

Infine, Adhillah (2025), in una review sistematica della letteratura internazionale, sottolinea l’urgenza di superare i modelli compliance driven in favore di approcci value driven e technology enabled, capaci di integrare sostenibilità, digitalizzazione e resilienza d’impresa.

Nel loro insieme, questi contributi delineano un’evoluzione chiara: il risk assessment non è più un esercizio tecnico di misurazione, ma uno strumento manageriale e strategico, ponte tra analisi del rischio e creazione di valore. La gestione del rischio diventa parte integrante del disegno strategico dell’impresa, sostenendo l’apprendimento organizzativo, la visione prospettica e una più ampia consapevolezza collettiva.

Modelli forward looking: la nuova centralità del risk management

La crescente presenza di rischi difficilmente prevedibili nelle tassonomie aziendali impone una revisione radicale dei modelli di gestione. Le imprese più evolute si stanno orientando verso un approccio forward looking, che integra analisi di scenario, simulazioni whatif, piani di crisi ed efficaci sistemi di early warning. In questa prospettiva, la capacità di anticipare crisi non mappabili e di leggere segnali deboli provenienti da dati eterogenei diventa una delle basi della resilienza organizzativa.

Il passaggio è netto: dall’analisi retrospettiva a una logica predittiva che unisce dati quantitativi e intelligenza contestuale. L’approccio tradizionale, statico e basato su dati storici, lascia spazio a modelli data‑driven e algoritmi predittivi capaci di connettere probabilità, impatti e scenari futuri. La gestione del rischio non è più un esercizio di risposta, ma un processo di apprendimento continuo.

Secondo AIFIRM (2025), le banche italiane rappresentano un laboratorio avanzato di questo cambiamento. Stanno infatti combinando analisi di scenario con prospettive geopolitiche, reputazionali ed energetiche, usando anche strumenti AIbased per costruire veri ecosistemi di governance adattiva. Questi modelli di ERM agile non sostituiscono la regolazione esistente: la integrano. La supervisione resta un presidio di stabilità, ma viene affiancata da una capacità di reazione rapida che permette di mantenere continuità anche in un contesto incerto.

Il report PwC Risk Management 2025 and Beyond individua in questa evoluzione la nascita di una vera gestione del rischio predittiva. Non solo algoritmi o big data, ma un dialogo tra intelligenza artificiale e intelligenza umana. Le macchine forniscono segnali, i manager li interpretano con la loro esperienza, integrando variabili qualitative – geopolitiche, reputazionali e comportamentali – difficilmente modellizzabili. Questa logica “anticipativa” poggia su tre leve decisive:

  1. L’integrazione tra dati storici e prospettici, per trasformare la misurazione in intelligenza predittiva.
  2. Metriche dinamiche, in grado di adattarsi alla velocità dei fenomeni.
  3. Una cultura del rischio diffusa, che assegna responsabilità e capacità di segnalazione a ogni livello organizzativo.

Il risultato è un risk management che assume una nuova centralità nella governance d’impresa. Da funzione di difesa diventa motore strategico, capace di orientare decisioni, innovare modelli di business e trasformare l’incertezza in opportunità di crescita sostenibile.

Capacità organizzative e nuovi paradigmi di governance

La capacità di essere forward looking non dipende solo dalla tecnologia, ma dalla cultura organizzativa. Come evidenzia KPMG (2025), le organizzazioni realmente resilienti condividono tre tratti distintivi: agilità informativa, collaborazione interfunzionale e capacità di apprendere dai segnali deboli.

Un risk assessment dinamico nasce da processi permeabili e da comunicazioni trasversali fra funzioni. La rapidità con cui un’organizzazione intercetta deviazioni dai trend attesi o anomalie operative diventa cruciale per anticipare i rischi emergenti. In questo contesto, strumenti come whistleblowing e incident reporting non rappresentano più semplici meccanismi di controllo, ma canali di apprendimento collettivo, nei quali le informazioni si combinano e si diffondono per rafforzare la risposta organizzativa.

L’evoluzione culturale del risk management si articola lungo tre direttrici di sviluppo:

  1. inclusione del risk thinking nei processi decisionali, affinché la valutazione del rischio diventi parte integrante delle scelte strategiche e di innovazione.
  1. responsabilità diffusa (distributed accountability), che assegna a ogni livello organizzativo un ruolo attivo nella rilevazione e nella comunicazione dei rischi.
  2. metrica del rischio come leva di performance, anche in ottica ESG e reputazionale, dove la resilienza diventa indicatore di sostenibilità nel tempo.

Come richiama EY (2025), queste pratiche segnano il passaggio da una gestione formale a una cultura trasformativa del rischio, nella quale la consapevolezza e la collaborazione diventano parte del DNA aziendale. Ne deriva un paradigma nuovo: la funzione di rischio non appartiene più a specialisti isolati, ma si estende a tutta l’organizzazione, alimentata da formazione continua, agilità nei processi decisionali e una visione condivisa del valore creato attraverso la gestione dell’incertezza.

Conclusioni

La traiettoria delineata – dallo scenario dei rischi globali al risk assessment cognitivo‑strategico, dall’ERM integrato ai modelli predittivi e agili – mostra come il risk management stia evolvendo verso una funzione di governance intelligente, capace di unire rigore analitico e valore strategico.

Non è più una disciplina della cautela, ma un’infrastruttura di conoscenza e decisione, in cui dati, persone e cultura convergono per sostenere la creazione di valore sostenibile. Il rischio non rappresenta più solo una minaccia da mitigare, ma una frontiera di interpretazione e crescita: l’impresa resiliente non si limita a reagire, ma riconfigura sé stessa attraverso l’incertezza.

In questa prospettiva, il risk assessment assume il ruolo di strumento di governance strategica e piattaforma di dialogo tra modelli quantitativi, cultura organizzativa e visione manageriale. Il risk management diventa così un sistema dinamico di apprendimento continuo, dove metodologia, analisi e intelligenza collettiva si combinano per un obiettivo comune: trasformare l’incertezza in valore e la complessità in conoscenza.

 

Riferimenti bibliografici

  • Adhillah, M.N. (2025). “Systematic literature review: The development of enterprise risk management.” Journal of Accounting, Management and Business Environment.
  • Agarwal, R., Ansell, J. (2024). Strategic change in enterprise risk management: Cognitive and learning perspectives. University of Edinburgh Research Series.
  • AIFIRM (2025). Le banche governano tutte le sfumature del rischio: Modelli forward looking e framework adattivi.
  • Allianz Group (2025). Allianz Risk Barometer 2025: Cyber incidents top global business risks. Munich: Allianz Group.
  • Aon (2024). Managing non-financial risks to build organizational resilience.
  • Crawford, J., Stein, V. (2024). “The relationship between ERM and distributed sensemaking.” International Journal of Management Reviews.
  • EY (2025). Risk management’s strategic opportunity in a time of change: EY Global Risk Outlook 2025.
  • Huber, C. (2025). “Integrating the balanced scorecard and enterprise risk management.” Journal of Accounting and Organizational Change.
  • Huber, C. (2025). “Integrating the balanced scorecard and enterprise risk management: A case study of a large energy company.” Computers & Industrial Engineering, 186.
  • Jabbour, M. (2024). “Enterprise risk management: An institutional work perspective.” Accounting, Auditing & Accountability Journal.
  • Jabbour, M., Crawford, J. (2024). Enterprise risk management: Technical, cognitive, and social perspectives. London: Routledge.
  • Jidda, D.J. (2025). “Value of enterprise risk management integration and firm resilience: Evidence from global supply chains.” SAGE Open, 15(1).
  • KPMG (2025). Top geopolitical risks 2025.
  • OECD (2024). Managing emerging critical risks: Implementing the framework on management of emerging critical risks. Paris: OECD Publishing.
  • ORX (2025). Geopolitical uncertainty is accelerating cybercrime as top risk.
  • PwC (2025). Risk management 2025 and beyond: PwC Global Risk Study 2025. PwC Deutschland & PwC Global Financial Services.
  • The IIA Research Foundation (2025). Enhanced enterprise risk management and strategic decision-making.
  • The Institute of Internal Auditors (IIA) (2024). Risk in focus 2025: Internal audit priorities for the year ahead. ECIIA – IIA Europe.
  • World Economic Forum (2025). The global risks report 2025 (20th ed.). Geneva: World Economic Forum.
  • WTW (2025). Global reputational risk readiness survey 2024/25.

 

Photo iStock / Tanatpon Chaweewat

Highlights_iStock_Tanatpon Chaweewat
Vai all'archivio

Contenuti collegati

Per abbonati

Articolo

IL D.LGS. 231/01: finalità, modelli ...

IL D.LGS. 231/01: finalità, modelli ...

di Livatino Massimo

La spinta all’introduzione di sistemi di autovalutazione dei rischi, indotta dal D.lgs. 231/01, può persuadere le aziende a presidiare non solo la conformità alle normative, ma anche l’attendibilità ...

Accedi

Highlights

Ripensare il risk assessment: un approccio ...

Ripensare il risk assessment: un approccio ...

di Gianluca Meloni, Daniele Astrella

La consultazione dei libri è riservata esclusivamente agli abbonati Premium

  • Legenda:
  • Accedi
  • Per registrati
  • Per abbonati