Il nuovo profilo del risk manager rappresenta una figura strategica e trasversale, dedicata alla gestione integrata dei rischi e alla promozione di una cultura organizzativa orientata alla prevenzione, alla resilienza e alla creazione di valore. La norma italiana UNI 12012:2026 che ne definisce competenze e responsabilità segna un passaggio importante per aziende, RSPP, HSE Manager e HR: non più una gestione frammentata, ma un approccio digitale, sistemico e partecipato, capace di integrare persone, processi e decisioni.

Cosa tratta :

In un contesto produttivo che cambia con la rapidità di un metronomo digitale, la gestione del rischio non è più solo un’attività tecnica: è un vero e proprio linguaggio organizzativo, un modo di pensare, una lente attraverso cui guardare la complessità. E se ogni organizzazione, pubblica o privata, vive ormai immersa in un flusso continuo di decisioni, informazioni e incertezze, la figura del risk manager diventa la bussola che orienta questo viaggio.La nuova norma italiana che definisce la professionalità del risk manager segna un salto culturale: non si limita a descrivere un ruolo, ma ne delinea il profilo umano, tecnico, relazionale e strategico. Soprattutto, chiarisce che la gestione dei rischi non è più un’attività frammentata tra reparti, ma un sistema integrato, dinamico, partecipato.È una rivoluzione che interessa da vicino RSPP, HSE Manager, responsabili HR, direzioni aziendali, professionisti della prevenzione e della governance. Perché oggi la sicurezza, in tutte le sue forme – dalla safety alla cybersecurity, dalla continuità operativa alla protezione del valore aziendale – è finalmente riconosciuta come cultura, non come adempimento.

Dalla prevenzione al valore: una nuova idea di gestione del rischio

La gestione del rischio non è solo individuare minacce. È, prima di tutto, un metodo per leggere meglio l'organizzazione. Permette di vedere connessioni, anticipare scenari, riconoscere opportunità. L’approccio richiesto oggi non è reattivo, ma proattivo: non si interviene solo quando qualcosa accade, ma si costruisce un contesto capace di prevenire, adattarsi, evolvere.Il risk manager opera trasversalmente, coordinando attività che coinvolgono ogni funzione interna. Aiuta il vertice a definire la propensione al rischio, sostiene i responsabili di processo nelle valutazioni operative, integra i dati, traccia trend, individua segnali deboli, facilita la comunicazione con tutte le parti interessate. Soprattutto, contribuisce a far crescere una cultura organizzativa basata sulla consapevolezza e sulla responsabilità diffusa.Questa figura, inoltre, lavora per abbattere i silos: la gestione del rischio diventa un linguaggio comune, che accomuna la produzione e la direzione, il commerciale e l’ICT, l’HSE e le risorse umane.

Un ruolo strategico e indipendente

La norma italiana UNI 12012:2026 colloca il risk manager in una posizione di autonomia e indipendenza, con riporto diretto al vertice. Questo è fondamentale per evitare conflitti di interesse e per mantenere un presidio efficace e inequivocabile sui processi di governance.Il modello di riferimento è quello delle “tre linee”:

  1. Management operativo, che gestisce i rischi nella quotidianità.
  2. Funzioni di controllo, tra cui il risk manager, che supportano e supervisano.
  3. Internal auditing, che fornisce valutazioni indipendenti.

In questo quadro, il risk manager diventa una sorta di architetto della resilienza aziendale: progetta, integra e monitora il Risk Management Framework, assicurandosi che ogni passaggio – dalla raccolta dei dati alla reportistica – sia coerente, verificabile e migliorabile.Competenze nuove per rischi nuoviIl profilo richiesto è articolato e completo. A fianco delle competenze tecniche sulla gestione dei rischi, emergono aspetti che parlano di leadership, comunicazione, capacità analitica, pensiero laterale. Perché il rischio non si governa solo con numeri e matrici: si governa attraverso relazioni, dialogo, ascolto.Tra le abilità emergono:

  • capacità di leggere il contesto interno ed esterno;
  • analisi dei dati e uso evoluto di strumenti digitali;
  • gestione di team e facilitazione;
  • reporting chiaro e orientato alla decisione;
  • individuazione dei rischi emergenti;
  • promozione della cultura del rischio in tutti i livelli aziendali.

La digitalizzazione, in questo contesto, non è un accessorio: è uno strumento abilitante. Dati integrati, sistemi informativi, dashboard, indicatori predittivi, piattaforme collaborative: tutto concorre a rendere più efficace la gestione dei rischi e a far sì che le informazioni circolino, siano comprese e generino azioni concrete.

Risk manager e HSE: alleati naturali

Per RSPP e HSE Manager, questa figura è un punto di contatto fondamentale. Le logiche di valutazione del rischio, di miglioramento continuo, di monitoraggio e di reporting sono ormai condivise. Un dialogo più stretto tra sicurezza tradizionale e risk management strategico permette di:

  • valorizzare la prevenzione come leva organizzativa,
  • integrare dati e informazioni provenienti da fonti diverse,
  • anticipare scenari critici,
  • rendere più solida la continuità operativa,
  • sostenere la transizione digitale in modo sicuro e consapevole.

La salute e la sicurezza sul lavoro si arricchiscono così di una prospettiva più ampia, capace di connettere la protezione delle persone con la protezione del valore aziendale.

Verso una cultura del rischio, non solo un processo

Non esiste risk management senza cultura del rischio. E non esiste cultura del rischio senza formazione, comunicazione, coinvolgimento. Per questo la norma assegna grande importanza alla diffusione dei valori legati alla prevenzione, alla trasparenza, all’etica, alla sostenibilità.La cultura del rischio è, in fondo, una cultura della responsabilità collettiva. È un modo di vivere l’organizzazione che pone al centro le persone, la loro capacità di decidere, di collaborare, di imparare dall’esperienza.Ed è qui che la digitalizzazione gioca un ruolo decisivo: piattaforme, strumenti interattivi, repository condivisi, sistemi di knowledge sharing accelerano l’apprendimento e rendono più semplice e naturale partecipare.

COSA DICE LA LEGGE

La normativa italiana ed europea che regola la figura del risk manager definisce requisiti di conoscenza, abilità, autonomia e responsabilità della professione. I principali riferimenti includono:

  • criteri per la qualificazione delle professioni non regolamentate;
  • principi del Quadro Nazionale delle Qualificazioni, che collocano il ruolo su livelli elevati di autonomia decisionale;
  • requisiti per la certificazione delle competenze tramite organismi accreditati;
  • integrazione del risk management nei sistemi di governance e nei processi decisionali;
  • obblighi legati al monitoraggio, alla documentazione e alla comunicazione dei rischi verso le parti interessate.

Il quadro normativo riconosce al risk manager un ruolo indipendente e strategico, collegato alla tutela del valore aziendale, alla sostenibilità e alla sicurezza in tutte le sue dimensioni. 

 INDICAZIONI OPERATIVE (per RSPP e HSE Manager)

  1. Integrare i dati di rischio tradizionale con informazioni provenienti da processi, progetti e sistemi digitali aziendali.
  2. Collaborare stabilmente con il risk manager nella definizione degli obiettivi di prevenzione e nella lettura del contesto.
  3. Utilizzare indicatori predittivi e dashboard digitali per monitorare l’andamento dei rischi e la loro evoluzione nel tempo.
  4. Rafforzare la comunicazione verso i lavoratori, valorizzando near miss, lesson learned e segnalazioni.
  5. Condividere conoscenze, procedure e criteri di valutazione in modo trasversale, superando le barriere tra funzioni.
  6. Integrare la visione HSE nei processi di governance, pianificazione strategica e continuità operativa.
  7. Promuovere formazione e sensibilizzazione per diffondere una cultura del rischio partecipata e inclusiva.
  8. Favorire strumenti digitali per registrare informazioni, semplificare il reporting e rendere più trasparente il processo decisionale.

 IL 20% CHE CONTA (PER L’80% DEI RISULTATI)

  • La gestione del rischio è una lente strategica, non un adempimento.
  • Il risk manager opera trasversalmente e sostiene decisioni, processi e cultura organizzativa.
  • La digitalizzazione è essenziale per integrare dati, anticipare scenari e migliorare la prevenzione.
  • La collaborazione tra risk manager, RSPP, HSE e HR crea valore e rafforza la resilienza.
  • La cultura del rischio è una cultura della responsabilità e del miglioramento continuo.