20 Ott Governance, Risk & Compliance nelle PMI. Perché le piccole e medie imprese non possono più ignorare i processi GRC (e come implementarli in modo pragmatico)
Condividiamo qui l’articolo firmato dai nostri Cosimo Orecchia (Risk & Compliance Consulting Director) e da Lorenzio Faccio (Senior Risk Consultant) e pubblicato sul nuovo numero di RM News n. 101, 13/10/2025 “vivere il futuro senza subirlo”. Ringraziamo la Redazione per l’opportunità offerta.
Ecco il testo integrale dell’articolo:
GRC NELLE PMI: TRA CONSAPEVOLEZZA E REALTÀ OPERATIVA
Da anni si parla dell’importanza dei processi di Governance, Risk & Compliance (GRC) anche per le piccole e medie imprese. Ma qual è la reale diffusione di questi strumenti? Se ci concentriamo sul solo Risk Management, i dati disponibili sono scarsi e frammentati. Alcuni studi condotti tra il 2016 e il 2025 indicano che la percentuale di PMI che hanno adottato un sistema integrato di gestione dei rischi oscilla tra il32% e il 37%. Un trend in crescita ma che riguarda principalmente aziende già consapevoli dell’importanza di questi processi. E le altre? Cosa accade nelle imprese che non hanno ancora maturato questa consapevolezza?
IL GAP NELLE PMI: PROCESSI FRAMMENTATIE POCA INTEGRAZIONE
L’esperienza maturata dalla società di consulenza in Risk & Compliance Management, Augustas Spa RiskS ervices negli ultimi cinque anni evidenzia un quadro chiaro: la maggior parte delle PMI (meno di 250dipendenti e/o fatturato inferiore a50 milioni) non dispone di processi GRC strutturati. Infatti, sebbene molte aziende abbiano effettuato attività di risk assessment– spesso nell’ambito di certificazioni o per l’adozione del Modello231 – quasi mai questi diventano parte di un processo continuativo, come previsto dallo standard ISO 31000 (Definizione del contesto, Valutazione, Trattamento, Comunicazione, Monitoraggio, Reporting).Un altro elemento critico è la mancanza di integrazione: anche quando sono stati condotti più risk assessment su ambiti diversi, raramente esiste un’analisi integrata complessiva che consenta al management di definire piani d’azione coerenti con chiara identificazione delle priorità. Sempre sulla base delle aziende da noi analizzate, raramente è stata rilevatala presenza di sistemi di governance e controllo strutturati, caratterizzati ad esempio dall’esistenza di comitati e/o di un processo di Internal Audit. L’assenza di una visione integrata dei rischi ha avuto delle ripercussioni anche sui processi di compliance, pianificazione e controllo di gestione (che sono comunque risultati quelli maggiormente strutturati nella macroarea GRC), a causa dell’assenza di una definizione puntuale dei collegamenti tra obiettivi -rischi – attività e controlli da effettuare per raggiungere gli obiettivi.
PERCHÉ I PROCESSI GRCSONO OGGI INDISPENSABILI
Viviamo in un contesto economico, tecnologico e sociale in costante evoluzione. Il cambiamento è la regola, e con esso cresce l’incertezza. Le PMI italiane hanno storicamente dimostrato capacità di adattamento, ma negli ultimi dieci anni la pressione competitiva e normativa è aumentata. Le imprese devono affrontare nuove regolamentazioni, rischi cyber, sfide ESG e volatilità dei mercati, con risorse limitate rispetto ai grandi gruppi. Per questo motivo, implementare processi GRC non è più un’opzione, ma una necessità. La chiave è farlo in modo proporzionato, evitando modelli complessi e costosi, e puntando su soluzioni pragmatiche, che consentano di ottenere benefici significativi con un impiego limitato di risorse.
UN APPROCCIO PRATICOE SOSTENIBILE
Le PMI non possono replicare le strutture delle multinazionali. Serve un approccio pratico che preveda:
- Mappatura dei presidi esistenti, per capire cosa funziona e cosa no;
- Individuazione di aree di miglioramento concrete, evitando ridondanze o duplicazioni;
- Piano d’azione realistico, basato sulle priorità effettive dell’azienda.
Questo consente di introdurre gradualmente i processi di Governance, Risk and Compliance senza gravare l’organizzazione di oneri sproporzionati. Per rispondere a questa esigenza, Augustas Spa ha sviluppato il servizio GRC Check-up 360, che prevede una valutazione integrata delle attività e dei presidi implementati dalle aziende nei seguenti ambiti:
- Risk Management;
- Controlli effettuati per garantire la conformità a norme e regolamenti;
- Adempimenti aziendali in materia di Sostenibilità e D.Lgs. 231/01;
- Attività di Governance, Pianificazione e Controllo di gestione;
- Presidi in ambito Cyber Security, Business Continuity, Ambiente, Salute e Sicurezza.
Ogni ambito viene analizzato e valutato secondo due dimensioni:
- Rilevanza rispetto agli obiettivi aziendali;
- Livello di attuazione delle attività e dei controlli.
Il risultato è un Action Plan prioritizzato, grazie alla combinazione delle valutazioni per le due dimensioni prima indicate che consente di definire la rilevanza di ciascun intervento. Una volta condiviso l’Action Plan, la Società potrà decidere se implementarlo in autonomia o con il supporto di professionisti esterni.
CONCLUSIONI: TRASFORMARE UN OBBLIGO IN UN VANTAGGIO COMPETITIVO
Le PMI devono affrontare la sfida di integrare i processi di governance, risk management e compliance in modo coerente e sostenibile. Non serve copiare i modelli delle multinazionali: serve un percorso calibrato sulle reali esigenze dell’azienda. Un’analisi preliminare delle attività e dei presidi in ambito GRC rappresenta certamente il primo passo da compiere, perché consente di valutare il livello di maturità dei processi adottati dall’azienda e di definire un piano di miglioramento graduale e commisurato alle risorse disponibili. Il ruolo di consulenti multidisciplinari è cruciale per accompagnare le imprese in questo percorso, trasformando un apparente onere in un fattore di resilienza e competitività.