Sentiamo spesso parlare di risk management, ma sappiamo esattamente di cosa si tratta e quali sono le sue fasi?
Risk management significa letteralmente “Gestione del Rischio”.
Per rischio si intende la probabilità di accadimento di tutti quegli eventi che possono comportare perdite o danni per l’azienda e/o per le persone coinvolte.
Ad esempio, danni alle strutture, danni alle persone fisiche, danni economici o di immagine.
Table of Contents
ToggleIl risk management e le sue fasi
Il concetto di rischio
Al fine di illustrare il processo di gestione del rischio (risk management), è necessario, in prima battuta, fornire dei chiarimenti terminologici sul concetto di “rischio”.
Nell’uso comune, il termine rischio è associato alla possibilità che da un determinato fatto o da una particolare situazione scaturisca un danno.
Tuttavia, nelle scienze economiche, il rischio può assumemere un’accezione sia negativa che positiva.
In particolare, l’approccio manageriale interpreta il rischio come possibile scostamento rispetto agli obiettivi.
È possibile attribuire al rischio sia una valenza di minaccia – scostamento negativo – sia una valenza di opportunità – scostamento positivo.
Tra gli standard di risk management, riconducibili all’approccio manageriale, lo standard internazionale ISO 31000:2009 definisce il rischio come “effect of uncertainty on objectives”.
Di un decennio prima è la definizione che interpreta i rischi come “eventi futuri e incerti che possono influenzare il raggiungimento degli obiettivi strategici, operativi e finanziari di un’istituzione”.
L’approccio pessimistico-manageriale vede anch’esso il rischio come scostamento dagli obiettivi, ma vi attribuisce soltanto una valenza di minaccia.
Eventi con impatti negativi costituiscono rischi che possono ostacolare la creazione di valore o erodere quello esistente.
Definizione di rischio
Nonostante la mancanza di una visione univoca sul concetto di rischio, è possibile identificare tre elementi che lo caratterizzano:
- il verificarsi di un evento;
- l’incertezza sul se e sul quando l’evento si realizzerà;
- la presenza di un effetto che potrebbe scaturire dal suddetto evento.
Da ciò è possibile definire il rischio come la combinazione tra la probabilità che un determinato evento si verifichi e le conseguenze (impatto/danno) che questo evento provocherebbe al suo realizzarsi.
Rispetto alle conseguenze, si è visto, dunque, che è possibile identificare due diverse dimensioni del rischio:
- il rischio nelle sue manifestazioni negative, noto anche come downside risk;
- il rischio nelle sue manifestazioni positive, noto anche come upside risk.
Gestire il rischio, quindi, significa agire sulla probabilità di accadimento e sulle conseguenze negative o positive che ne deriverebbero.
I principali standard di risk management
La gestione del rischio ha impegnato diverse istituzioni e molti operatori nella definizione di sistemi in grado di guidare le organizzazioni nella identificazione, valutazione e gestione dei rischi.
In particolar modo nell’integrazione del risk management nei processi strategici, di programmazione e di controllo.
Tra i principali standard riconosciuti e applicati a livello internazionale si annoverano: l’Enterprise Risk Management Framework – ERM prodotto e pubblicato nel 2004 dal Committee of Sponsoring Organizations of the Treadway Commission.
l’ISO 31000:2009, emanato dall’International Organization for Standardization. Quest’ultimo, nella sua versione italiana, UNI ISO 31000:2010, è stato scelto come standard di riferimento, anche se non vincolante, per la predisposizione dei piani di prevenzione della corruzione nelle pubbliche amministrazioni, introdotti con la legge 190/2012.
Infine, come già ricordato, la Commissione europea ha elaborato delle linee guida specifiche per la gestione dei rischi di frode.
Precisamente nell’ambito dei Fondi strutturali e di investimento europei, note come “Linee guida EGESIF sulla valutazione dei rischi di frode e misure antifrode efficaci e proporzionate.
I principi di attuazione del risk management
I principi di sviluppo e attuazione del risk management vengono definiti dai principali standard.
Questi riassumono l’approccio, le finalità e le caratteristiche che un’organizzazione deve adottare, in un sistema di gestione del rischio, affinché questo risulti efficace.
In linea generale, i principi prevedono che il risk management deve:
- essere collegato agli obiettivi dell’organizzazione favorendone il perseguimento;
- essere parte integrante di tutti i processi dell’organizzazione e del processo decisionale, supportando i vertici e il management nelle scelte e nelle priorità delle azioni;
- trattare in maniera sistematica, strutturata e tempestiva l’incertezza e essere basato sulle migliori informazioni disponibili;
- essere costruito su misura per l’organizzazione;
- essere dinamico, iterativo e adattabile ad ogni cambiamento;
- facilitare il miglioramento continuo e il rafforzamento dell’organizzazione.
Il processo di risk management
Fasi e azioni ricorrenti e caratterizzanti di un processo di risk management.
- Analisi del contesto, finalizzata alla definizione della struttura del processo di risk management (ruoli e responsabilità) dell’ambito di applicazione, della cultura del rischio. Finalizzata alla rilevazione dei fattori di rischio interni ed esterni. Questo avviene attraverso l’osservazione dell’organizzazione, dei suoi processi, degli individui e delle dinamiche che li caratterizzano e del contesto socio-economico in cui opera.
- Identificazione degli eventi di rischio, finalizzata alla mappatura degli eventi potenziali che possono pregiudicare il conseguimento degli obiettivi dell’organizzazione. Finalizzata inoltre all’analisi delle modalità operative e delle cause determinanti gli eventi rischiosi.
- Analisi del rischio, finalizzata alla stima della probabilità di accadimento e dell’impatto generato sulla base di tecniche quantitative e/o qualitative.
- Valutazione del pressing dei controlli sui rischi. Tale valutazione è finalizzata a misurare l’adeguatezza e l’efficacia del sistema di controllo esistente in relazione ai rischi identificati, al fine di evidenziare il rischio residuo.
Altri punti importanti all’interno di questo processo sono i seguenti:
- ponderazione del rischio, finalizzata a supportare l’organizzazione nel decidere quali rischi trattare e con quali priorità. Come? Attraverso la comparazione tra livelli di rischio rilevati e criteri di rischio predefiniti.
- Trattamento del rischio, finalizzato ad individuare e scegliere le soluzioni per modificare il rischio e ad implementare le stesse.
- Monitoraggio e valutazione, finalizzati a verificare l’attuazione e a valutare l’efficacia delle soluzioni di trattamento del rischio. Il monitoraggio serve anche a verificare il funzionamento e a valutare l’efficacia del sistema di risk management e la sua tenuta nel tempo.
- Reporting e comunicazione, finalizzati alla rendicontazione agli organi di vertice e al management delle informazioni prodotte ed elaborate dal sistema di risk management per il supporto delle decisioni e delle azioni. Reporting e comunicazone sono inoltre finalizzati alla comunicazione interna ed esterna delle policy di risk management. Il loro obiettivo è quello di creare una cultura del rischio condivisa e un atteggiamento funzionale all’efficacia del sistema.
In sintesi il risk management può essere definito come il sistema, fondato su una metodologia logica e sistematica. Attraverso step successivi permette di identificare, analizzare, valutare, eliminare e monitorare i rischi associati a qualsiasi attività o processo.
Questo permette di rendere l’organizzazione capace di minimizzare le perdite e massimizzare le opportunità.
Il primo passo fondamentale per il risk management è quello di conoscere in modo preventivo i rischi.
In poche parole capire quali siano gli eventi potenzialmente dannosi, con quale frequenza si potrebbero manifestare e quale impatto potrebbero avere.
Senza la conoscenza del rischio non c’è possibilità di preparare o di adottare azioni correttive e preventive migliorative.
Questa fase di valutazione del rischio deve essere necessariamente un processo continuo finalizzato al miglioramento, visto che i fattori esterni o interni di rischio possono nel tempo cambiare.
Deve inoltre comprendere una previsione dei costi di gestione del rischio stesso, in termini di risorse economiche, di capacità e di mezzi, che non devono chiaramente superare i costi di eventuali danni.
Spero che questo articolo sia servito ad approfondire e a rendere più chiaro l’argomento trattato.
Se desideri saperne di più e avere un confronto diretto con uno dei nostri esperti in strategie aziendali, compila il form qui sotto per richiedere una consulenza gratuita.
Avrai la possibilità di conoscere i nostri prodotti e durante la consulenza effettuata una prima analisi per valutare insieme a te le migliori soluzioni per la tua azienda.