Il risk management o gestione del rischio è un aspetto aziendale che parte dalla cultura, dai comportamenti e dalle valutazioni teoriche per individuare i rischi, fino ad arrivare alla pratica per evitare o diminuire disastri. 

Dalla nostra esperienza, affermiamo con super sicurezza che la gestione dei rischi è un aspetto molto sottovalutato nelle organizzazioni – senza distinzioni tra aziende private, enti pubblici, non profit o che abbiano due o duemila dipendenti. 

Esiste l’idea comune che il risk management sia un optional, un aspetto da liquidare con un “sì, ma dai c’è tempo”, “poi ci pensiamo”, “sono una PMI, non mi accadrà nulla” o che possano funzionare tutti gli scongiuri del mondo perché qualche scenario catastrofico non accada mai. 

Come vedremo in questo articolo, gli eventi catastrofici prima o poi accadono, soprattutto se non si conoscono le situazioni che potrebbero minacciare la sicurezza dell’azienda. L’unica scelta per evitare minacce e gestire i rischi nel migliore dei modi, resta la consapevolezza e la creazione di una cultura del rischio


Per trasformare quest’ultimo in opportunità di successo

Prima del risk management: che cos’è il rischio? 

Lo viviamo tutti i giorni, anche senza accorgercene, in casa o quando camminiamo in strada.

Per evitare rischi in queste situazioni, prestiamo attenzione a piccoli accorgimenti, come guardare a destra e sinistra prima di attraversare, assicurarci di avere le mani asciutte prima di inserire la spina del phon nella presa. Bene, il rischio quotidiano è molto simile a quello in azienda. 

La norma internazionale che aiuta a migliorare l’efficienza gestionale e manageriale (ISO 31000:2018) definisce il rischio come l’effetto dell’incertezza sugli obiettivi. Ciò significa che il rischio nasce dall’incrocio di risorse, minacce e vulnerabilità, che può avere dei risvolti positivi o negativi sulla vita in azienda. E, come per la vita di tutti giorni, le conseguenze negative possono essere evitate o attenuate con azioni concrete.

Per rendere il concetto più chiaro, facciamo un esempio. Nella hall della tua azienda hai un punto accoglienza clienti con un pc. Avere un pc è positivo perché è d’aiuto per gestire le prenotazioni degli appuntamenti e cercare informazioni, ma può trasformarsi in pochissimo tempo in una minaccia, se lasciato incustodito, perché dà l’opportunità a malintenzionati di rubare i tuoi dati. Avere chiaro il rischio, permetterà di prendere una decisione concreta: portar via il pc quando incustodito o lasciare il personale in sorveglianza.

Ed ecco che entriamo nel vivo del risk management. 

Cosa si intende per risk management?

Il risk management – o gestione del rischio – potrebbe sembrare un concetto molto complesso, ma è molto pratico, come il rischio: è l’insieme dei processi in azienda che proteggono tutto ciò che si è costruito fino a quel momento, per difendere il patrimonio aziendale, distribuire meglio le risorse e limitare i danni in caso di imprevisti. E va applicato a qualsiasi tipo di organizzazione, piccola o grande che sia. 

Vediamo uno scenario possibile: pensa a un’azienda, dove poco lontano c’è un fiume. Il fiume è potenzialmente un rischio perché, a causa di particolari situazioni climatiche, può esondare e allagare gli archivi nello scantinato, intaccare i processi di produzione e mettere fuori uso macchinari o apparecchi tecnologici. Se qualcosa accadesse all’azienda, potrebbero volerci mesi, se non anni e anni, per ripristinare la vita dell’organizzazione prima dell’incidente.

Conoscere tutti gli scenari possibili e il contesto, consentirà anche di prendere le decisioni migliori per organizzare le attività e coinvolgere al meglio chi fa parte dell’organizzazione. Proprio in questo modo, il risk management aziendale parte dalla fase di osservazione dell’organizzazione e dei suoi processi, per individuare i rischi di un’azienda. Approfondiamo questo aspetto nel prossimo paragrafo. 

Le fasi di attività del risk management

Il fattore incertezza è alla base del rischio, ma l’incertezza porta con sé una sicurezza: uno schema delle attività ben preciso che è il centro del lavoro di un Risk Manager. 

Più nel dettaglio, lo schema da seguire per il risk management si suddivide in sette fasi di attività: 

  1. Conoscenza delle risorse finanziarie dell’azienda 
  2. Identificazione dei rischi durante le sue attività 
  3. Valutazione dei rischi: quale frequenza e quali danni possono causare le azioni?
  4. Controllo dei rischi per ridurli o prevenirli 
  5. Assunzione dei rischi nei processi aziendali 
  6. Possibilità di trasferire rischi all’assicurazione o altri enti 
  7. Monitoraggio del piano

Riflettiamo specialmente sull’ultimo punto. Il monitoraggio del piano per la gestione del rischio in azienda non è solo un controllo periodico sulle procedure a livello periodico, ma è anche – e soprattutto – una pratica continua e giornaliera. 

Perché sono le azioni all’interno di un’organizzazione che rendono possibile un buon risk management.

Come si stima un rischio in azienda? 

Esistono diversi tipi di rischi in azienda: 

  • finanziari, legati alle perdite di denaro 
  • esterni, come processi, strategie ed eventi naturali che potrebbero danneggiare l’organizzazione 
  • interni, legati alle attività in azienda 

Cosa considerare per evitare questi rischi? Il primo passo da fare è fare una stima

Tra i fattori nella valutazione dei rischi arrivano in soccorso le tecniche di analisi: qualitativa e quantitativa. Vediamo le differenze. 

L’analisi qualitativa del rischio definisce e cataloga i rischi in degli schemi che si creano in base alla frequenza che può verificarsi un danno e alla gravità della perdita. Si assegna un punteggio da 1 a 5 o si indica con alta, media, bassa la frequenza del rischio. La valutazione è a discrezione del Risk Manager, in base alla sua esperienza e agli scenari che potrebbero accadere nella specifica organizzazione. L’analisi qualitativa è pressoché soggettiva e, per questo, il metodo è molto criticato nella materia del risk management.

L’analisi quantitativa del rischio si basa su dati quantificabili e oggettivi. Il calcolo quantitativo è dato dalla gravità del rischio (o magnitudo) e la probabilità che il danno si verifichi.

Come prevenire i rischi

Quando si parla di rischi, bisogna avere la consapevolezza che il rischio può essere mitigato e non eliminato del tutto. In questo scenario rimane la certezza che rafforzare la pianificazione e il monitoraggio dei rischi aiuta a limitare e contenere le conseguenze. 

Tornando all’intento iniziale del paragrafo, cioè come prevenire i rischi, i concetti principali da seguire sono conoscenza e consapevolezza, perché migliore è la conoscenza delle minacce e dei rischi, migliore sarà l’opportunità di successo. Non ci stancheremo mai di ripeterlo: prima di tutto viene la cultura aziendale del rischio, che è alla base di ogni azione.

Dopo queste precisazioni doverose, passiamo ai 5 step per prevenire i rischi e pianificare le emergenze: 

  1. Attenersi ai quadri di riferimento ISO/IEC 27001/27002, che aiutano le aziende a migliorare la sicurezza informatica 
  2. Fare un’accurata valutazione dei rischi, in cui si individuano e si valutano le conseguenze dei rischi 
  3. Stabilire quali rischi hanno la proprietà 
  4. Mitigazione dei rischi: si crea un piano d’azione per prevenire il rischio e piani di emergenza per gestire i rischi al meglio se dovessero verificarsi
  5. Monitoraggio dei rischi: controllare il piano e modificarlo di volta in volta se necessario 

Conclusione

Il risk management è un processo pratico e in continua evoluzione che coinvolge le persone in azienda, a ogni livello si trovino e qualsiasi ruolo abbiano.  

Il tempo e le energie dedicate all’analisi e alla gestione servono sicuramente per individuare le minacce, conoscere le conseguenze e farsi trovare pronti per affrontare le criticità con soluzioni appropriate, quando si verificano. Questo permetterà di agire nel modo più rapido possibile per continuare a offrire i propri prodotti o servizi, generando valore. 

Forse però, l’aspetto più importante di tutti rimane la crescita, perché il risk management garantisce una vita più serena e sicura del proprio business.