Come si fa risk management: fasi, esempi, e trucchi del mestiere
19 Giugno 2020 in Governance Risk & Compliance As a Service - GRC360
Il concetto di rischio e, di conseguenza, il concetto di risk management varia in relazione alla specificità dell’azienda e del settore in cui questa opera. Va anche premesso che ogni fattore di cambiamento o di incertezza può essere identificato come un fattore di rischio, che può essere interno o esterno all’organizzazione. Il rischio, inoltre, non ha solo una valenza negativa ma è ambivalente e può prevedere, in alcuni casi, un possibile pay-off positivo.
Le fasi e gli step del risk management
Elenchiamo di seguito i 5 step fondamentali del risk management, indispensabili per governare il rischio.
• step 1 – Definizione del rischio. Vanno innanzi tutto identificati i rischi per la singola organizzazione e il loro allineamento con gli obiettivi strategici.
• step 2- Mappatura del rischio. A livello accademico vengono definite 4 tipologie principali di rischio che andranno a guidare il successivo sottofase di risk assessment: rischi strategici, operativi, di compliance, rischi di natura economico-finanziaria. Il risk assessment prevede che, identificati i rischi che limitano o inficiano il raggiungimento degli obiettivi, per ciascuno si debba valutare la natura dell’impatto che, come anticipato, può essere positivo o negativo e la sua probabilità di accadimento. Il valore del rischio deriva dal prodotto fra probabilità e impatto: un evento ad alto impatto ma bassa probabilità potrebbe dunque produrre un rischio basso e viceversa. Di questa fase fa parte anche la definizione del risk appetite che, definito a livello di vertice, indica la propensione al rischio dell’organizzazione, in stretta connessione con la strategia aziendale. In pratica definisce la soglia massima di rischio alla quale l’azienda vuole esporsi senza compromettere il proprio business.
Se per qualche ragione il rischio (calcolato come probabilità per impatto) dovesse superare la soglia di risk appetite, si dovrà passare alla successiva fase di risk management.
• Step 3- Risk management. È l’attività che permette di mitigare il rischio nel momento in cui il suo valore supera il risk appetite e serve a riportarlo sotto la soglia di tolleranza, eliminando il rischio in eccesso. Si possono adottare diverse strategie, come la cessione del rischio o il cambiamento di prassi e procedure aziendali, con varie modalità di trattamento del rischio per produrne l’abbassamento.
• Step 4 – Reporting di comunicazione del rischio residuo. Il nuovo valore del rischio, ricalcolato dopo le misure di mitigazione, va comunicato al top management.
Si passa dal cosiddetto rischio inerente (calcolato al netto delle misure di sicurezza e mitigazione) al rischio residuo (che comunque permane, nonostante l’applicazione delle misure di mitigazione). Il vertice aziendale sarà responsabile della decisione finale soprattutto nel caso in cui non si sia riusciti, nelle fasi precedenti (di risk assessment e risk management), nel bilanciamento fra minacce e opportunità.
• Step 5 – Monitoraggio. Rappresenta la fase finale anche se non conclusiva, visto che il rischio è mutevole nel tempo e, nel mondo del risk management, vale il concetto di continuos improvement, al variare delle condizioni aziendali o del settore.
Quale organizzazione per il risk management
Per mettere in atto il processo sopra indicato servirà una strutturazione, il cui livello crescerà al crescere dell’importanza del rischio per l’organizzazione. Ci si aspetta ad esempio che una banca o una società di servizi finanziari si doti di un risk manager, mentre una piccola impresa manifatturiera probabilmente non ne avrà bisogno.
L’azienda che decida di dotarsi di una struttura dovrà prevedere una funzione di risk management, che riporti direttamente ai vertici aziendali, e di unità satelliti, i risk owner, generalmente rappresentati dai referenti funzionali che, pur non facendo parte in senso stretto della funzione di risk management, avranno un ruolo di monitoraggio dei rischi all’interno della propria funzione, in connessione con il risk manager.
È infine utile ricordare che esistono normative che definiscono il sistema dei controlli, come ad esempio la circolare 285 di Banca d’Italia che disciplina gli istituti bancari e indica tre livelli di controlli interni: di primo livello, costituito direttamente dalla funzione aziendale; di secondo livello, costituito dal risk management; di terzo livello, costituito dall’internal audit.
Le leggi che regolano il risk management
Il risk management è, ad oggi, elemento caratteristico e principe di molte delle principali leggi disciplinanti settori “risk-based”, come la sanità e i mercati finanziari.
Tra queste, si citano, a titolo esemplificativo:
- La c.d. Legge Gelli, recante “Disposizioni in materia di sicurezza delle cure e della persona assistita, nonché in materia di responsabilità professionale degli esercenti le professioni sanitarie”, che prevede l’obbligo, per le strutture sanitarie, di adottare strategie atte a ristabilire condizioni di assicurabilità delle strutture sanitarie;
- La L. 265/05, in materia di disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari, che applica i principi del risk management al sistema di controllo interno dell’adeguatezza di procedure amministrative e contabili;
- Il D. Lgs. 231/2001 in materia di responsabilità amministrativa delle società e degli enti, il quale, al fine di prevenire una serie di reati presupposto, chiede all’impresa di dotarsi di sistemi di valutazione e gestione del rischio, parametrati sulle specifiche attività svolte dalla stessa.
La figura del Risk Manager
Al fianco dell’imprenditore, al fine di strutturare correttamente i piani di risk management e di monitorarne, nel tempo, il rispetto, si è affiancata, negli anni, la figura del c.d. Risk Manager.
Si tratta di un soggetto, dotato di competenze specialistiche, i cui compiti principali sono: individuare i rischi finanziati, operativi, strategici o di compliance nei quali l’impresa può incorrere, valutarne la gravità e la probabilità e monitorare il rispetto delle misure di prevenzione adottate al fine di prevenire che gli eventi di rischio si verifichino.
L’ausilio di tale figura specialistica, che si occupi di strutturare correttamente le procedure e le modalità operative aziendali, nonché la costituzione di un team di supporto allo stesso, risulta, infatti, indispensabile all’interno di strutture particolarmente complesse, operanti in determinati settori, come quello sanitario.
Il Risk Manager, può essere sia appartenente all’azienda, alla luce di un contratto di lavoro subordinato, o agire in qualità di consulente esterno.
La gestione del rischio aziendale
La corretta gestione del rischio aziendale è oggetto anche di numerose linee guida e standard internazionali, quali:
- La norma ISO 31000:2009 sulla gestione del rischio (cui ha fatto seguito la ISO 31000:2018), che detta i principi cardine del processo di risk management, al fine di consentire la definizione di un impianto di gestione del rischio efficace ed efficiente, che coinvolga la governance aziendale e tutti gli eventuali soggetti interessati alla prevenzione dei rischi;
- La norma ISO 9001:2015 sulla gestione della qualità, mirante all’ottimizzazione della produzione, nonché all’aumento della qualità finale del prodotto e/o del servizio erogato. Ciò che la norma prevede è la pianificazione di un sistema di gestione e monitoraggio della produzione che ottimizzi la produzione e aumenti la soddisfazione del cliente;
- Il COSO Enterprise Risk Management Framework (COSO ERM 2017), che si concentra sull’organizzazione aziendale e sulle performance, al fine di allineare questi ultimi agli obiettivi strategici pianificati dal top management.
L’importanza di un piano di risk management
Sulla base di quanto sinora premesso, appare evidente quanto sia importante, per ogni organizzazione, dotarsi di uno specifico piano di risk management all’interno del quale siano programmati specifici interventi di monitoraggio delle misure di prevenzione adottate sulla base dei rischi opportunamente individuati e analizzati.
Ciò, infatti, rappresenta il primo passo verso la modifica del modus operandi aziendale secondo logiche di tipo preventivo, maggiormente efficaci ed efficienti rispetto alle “tradizionali” logiche di tipo reattivo, nelle quali, invece, si risponde in modo passivo ad un determinato evento imprevisto, con maggior dispendio di risorse economiche e di tempo.
Si pensi, infatti, al caso in cui si verifichi un problema nella catena operativa (malfunzionamento di un macchinario o dei sistemi IT): un approccio preventivo, con programmazione di interventi di manutenzione e previsione dei tempi e delle modalità di risposta all’evento, consentirà all’impresa di tornare operativa in un lasso di tempo minore, con minori conseguenze economiche.
Marco Contino – Manager P4I – Partners4Innovation