Gestione del rischio: come prendere delle decisioni sicure
Il concetto di "gestione del rischio" (in inglese risk management) comprende tutte le azioni finalizzate a individuare e influenzare i rischi e le opportunità derivanti dalle attività di un’impresa e che potrebbero avere effetti positivi o negativi sul successo dell’impresa.
Il compito della gestione del rischio non è quello di eliminare tutti i rischi, che sarebbe del resto praticamente impossibile. Al contrario, l’intento è quello di raggiungere un rapporto ottimale tra rischi e opportunità. Una corretta gestione del rischio contribuisce quindi a decidere e pianificare in modo sicuro, migliorando la solvibilità dell’impresa e stabilizzando la sua situazione reddituale.
Norme di legge e standard internazionali di gestione del rischio
La gestione del rischio rappresenta per un’impresa non solo una pratica intelligente dal punto di vista economico, ma anche un obbligo di legge nella gestione aziendale. In Italia non esiste una singola legge né un unico codice di leggi che regoli la gestione del rischio: vi sono però numerose norme che influenzano la gestione del rischio nei diversi campi.
Tra gli standard internazionali più rilevanti vi sono la norma ISO 31000:2009 sulla gestione del rischio, la norma ISO 9001:2015 sulla gestione della qualità e il COSO Enterprise Risk Management Framework (COSO ERM 2017). Questo quadro normativo classifica la gestione del rischio a seconda dei componenti, delle categorie target e delle unità organizzative.
Le linee guida presentate in questi standard sono pensate per aiutare le imprese a mettere in campo la propria gestione del rischio e continuare a svilupparla. Sia gli standard ISO sia il Framework COSO sono costantemente oggetto di revisione ed eventualmente di adeguamenti in modo da essere sempre al passo con gli sviluppi del mondo dell’impresa.
Importanza della gestione del rischio nell’impresa ed interdipendenze
Spesso in azienda il risk management viene messo in correlazione con la Compliance e la Corporate governance, in quanto le tre discipline sono collegate tra loro. Tutte e tre contribuiscono a una corretta ed efficiente gestione aziendale.
La gestione del rischio nell’impresa può essere una gestione del rischio strategica o operativa. L’aspetto strategico comprende la definizione degli obiettivi della gestione del rischio, la formulazione di una strategia generale e la definizione dei processi operativi. Mettere in pratica questi processi è invece il compito del risk management operativo.
Le quattro fasi della gestione del rischio aziendale
Il risk management operativo non si limita a iniziative estemporanee, al contrario si tratta di un processo continuativo: occorre infatti vigilare costantemente sui rischi e sulle opportunità in grado di influenzare il successo dell’impresa.
Per poter intercettare sistematicamente tutti i fattori pertinenti, le imprese sono chiamate a mettere in campo dei processi di gestione del rischio. Questi processi possono essere pensati come un circuito di controllo all’interno del quale scorrono incessantemente le diverse fasi.
Il circuito di controllo della gestione del rischio operativa si articola in quattro fasi:
- Individuazione del rischio (analisi del rischio I)
- Quantificazione del rischio (analisi del rischio II)
- Valutazione del rischio
- Controllo del rischio
Individuazione del rischio
Il primo passaggio è quello dell’individuazione del rischio, in cui vengono classificati tutti i rischi individualmente e per area di rischio, dandone anche una descrizione qualitativa. Questa fase può essere eseguita a livello aziendale oppure di singolo progetto. I decisori possono usare diversi metodi per organizzare il processo di individuazione dei rischi e assicurare che vengano riconosciuti tutti i pericoli e tutte le possibili fonti di danno:
- Sondaggio tra esperti e collaboratori
- Valutazione dei dati e documenti disponibili
- Workshop interni sui rischi
- Visite agli stabilimenti e in sede
Al termine di questa fase dovrebbe essere disponibile un inventario dei rischi completo.
Quantificazione dei rischi
Il passo successivo è quello di valutare i singoli rischi quantitativamente per quanto riguarda la probabilità che si concretizzino e i relativi effetti. Nella valutazione non bisogna limitarsi a osservare i rischi isolatamente, al contrario occorre valutare quali conseguenze possono avere nel corso del tempo più rischi correlati tra loro oppure che si sovrappongono. Questo aspetto è detto anche aggregazione del rischio.
Per la quantificazione del rischio si utilizzano distribuzioni di probabilità o di frequenza. Il valore concretamente misurato con la valutazione di un rischio è detto value at risk.
I passaggi 1 e 2 costituiscono insieme la cosiddetta analisi del rischio. Questa analisi rappresenta il passaggio più difficile nel processo di gestione del rischio in quanto è necessario comprendere e giudicare non solo i rischi attuali ma anche quelli futuri. Dopo aver valutato i risultati dell’analisi del rischio, è possibile procedere a contenere i rischi dando priorità a quelli che presentano una probabilità particolarmente alta di insorgenza oppure effetti particolarmente dannosi.
Valutazione del rischio
Il concetto di "valutazione del rischio" racchiude in sé tutte le iniziative che l’impresa può mettere in campo per rispondere ai rischi. Sostanzialmente si distinguono due tipi di reazioni possibili: la reazione attiva preventiva e la reazione passiva correttiva.
Le iniziative attive puntano a ridurre la probabilità che si verifichi uno dei pericoli individuati con l’analisi del rischio oppure a contenerne gli effetti dannosi, intervenendo sulle cause: un’impresa potrebbe ad esempio apportare dei miglioramenti al proprio prodotto, riducendo così i rischi di responsabilità. Anche la prevenzione del rischio rappresenta un meccanismo di prevenzione attiva, ad esempio rinunciando del tutto a lanciare sul mercato un prodotto che presenta dei rischi per la salute.
Le reazioni passive sono pensate per trasferire a un altro soggetto le conseguenze dell’insorgenza del rischio (trasferimento del rischio), ad esempio sottoscrivendo un’assicurazione oppure trasferendo il rischio sul mercato dei capitali.
Spesso permane comunque un rischio residuale che l’impresa subisca comunque un danno, pur avendo adottato tutte le misure di controllo. Questo rischio non può essere eliminato del tutto. Rimane sempre una parte di rischi sconosciuti, anche dopo aver eseguito un’ottima analisi.
Controllo del rischio
Nell’ambito del controllo del rischio, si verificano l'efficienza, l'adeguatezza e l’efficacia dei metodi applicati. Il controllo può avvenire in due modi, che idealmente si completano a vicenda: sotto forma di monitoraggio costante in tempo reale e sotto forma di verifica periodica approfondita dei rischi. I risultati vengono trasmessi in tempo reale alle persone competenti.
Responsabilità nella gestione del rischio
La gestione del rischio non è un compito di una singola persona, interessa invece tutti i lavoratori all’interno di un’impresa. Se da un lato la strategia e l’indirizzo generale della gestione del rischio sono fissati dall’impresa, l’operatività coinvolge invece diversi altri soggetti.
Per illustrare le responsabilità nel risk management spesso si ricorre al modello delle tre linee di difesa (Three Lines of Defense):
- Prima linea: il manager e i suoi collaboratori reagiscono nella propria attività operativa ai rischi secondo le strategie fissate, con il supporto di un sistema di controllo interno.
- Seconda linea: i lavoratori a cui sono affidati direttamente i compiti di gestione del rischio supportano e vigilano sulla prima linea, ad esempio stabilendo i metodi oppure facendo da coach.
- Terza linea: un soggetto indipendente vigila sulla gestione del rischio.
Conclusione: la gestione del rischio come elemento imprescindibile del successo
Riconoscere e controllare i rischi è un elemento fondamentale della struttura di un’azienda. Per questo la gestione del rischio non sta solo ai piani alti della dirigenza aziendale, al contrario coinvolge ogni singolo lavoratore nella sua attività quotidiana.
Ignorare i possibili effetti negativi delle proprie decisioni può mettere a rischio in definitiva la stabilità economica dell’impresa. La gestione del rischio offre gli strumenti necessari per individuare chiaramente i rischi anziché affidarsi a sensazioni “di pancia”. In questo modo l’impresa potrà prendersi dei rischi calcolati, necessari per la sua crescita e il suo successo.