Gestione del rischio: come prendere delle decisioni sicure

Il concetto di "gestione del rischio" (in inglese risk ma­na­ge­ment) comprende tutte le azioni fi­na­liz­za­te a in­di­vi­dua­re e in­fluen­za­re i rischi e le op­por­tu­ni­tà derivanti dalle attività di un’impresa e che po­treb­be­ro avere effetti positivi o negativi sul successo dell’impresa.

Il compito della gestione del rischio non è quello di eliminare tutti i rischi, che sarebbe del resto pra­ti­ca­men­te im­pos­si­bi­le. Al contrario, l’intento è quello di rag­giun­ge­re un rapporto ottimale tra rischi e op­por­tu­ni­tà. Una corretta gestione del rischio con­tri­bui­sce quindi a decidere e pia­ni­fi­ca­re in modo sicuro, mi­glio­ran­do la sol­vi­bi­li­tà dell’impresa e sta­bi­liz­zan­do la sua si­tua­zio­ne red­di­tua­le.

La gestione del rischio rap­pre­sen­ta per un’impresa non solo una pratica in­tel­li­gen­te dal punto di vista economico, ma anche un obbligo di legge nella gestione aziendale. In Italia non esiste una singola legge né un unico codice di leggi che regoli la gestione del rischio: vi sono però numerose norme che in­fluen­za­no la gestione del rischio nei diversi campi.

Tra gli standard in­ter­na­zio­na­li più rilevanti vi sono la norma ISO 31000:2009 sulla gestione del rischio, la norma ISO 9001:2015 sulla gestione della qualità e il COSO En­ter­pri­se Risk Ma­na­ge­ment Framework (COSO ERM 2017). Questo quadro normativo clas­si­fi­ca la gestione del rischio a seconda dei com­po­nen­ti, delle categorie target e delle unità or­ga­niz­za­ti­ve.

Le linee guida pre­sen­ta­te in questi standard sono pensate per aiutare le imprese a mettere in campo la propria gestione del rischio e con­ti­nua­re a svi­lup­par­la. Sia gli standard ISO sia il Framework COSO sono co­stan­te­men­te oggetto di revisione ed even­tual­men­te di ade­gua­men­ti in modo da essere sempre al passo con gli sviluppi del mondo dell’impresa.

Spesso in azienda il risk ma­na­ge­ment viene messo in cor­re­la­zio­ne con la Com­plian­ce e la Corporate go­ver­nan­ce, in quanto le tre di­sci­pli­ne sono collegate tra loro. Tutte e tre con­tri­bui­sco­no a una corretta ed ef­fi­cien­te gestione aziendale.

La gestione del rischio nell’impresa può essere una gestione del rischio stra­te­gi­ca o operativa. L’aspetto stra­te­gi­co comprende la de­fi­ni­zio­ne degli obiettivi della gestione del rischio, la for­mu­la­zio­ne di una strategia generale e la de­fi­ni­zio­ne dei processi operativi. Mettere in pratica questi processi è invece il compito del risk ma­na­ge­ment operativo.

Il primo passaggio è quello dell’in­di­vi­dua­zio­ne del rischio, in cui vengono clas­si­fi­ca­ti tutti i rischi in­di­vi­dual­men­te e per area di rischio, dandone anche una de­scri­zio­ne qua­li­ta­ti­va. Questa fase può essere eseguita a livello aziendale oppure di singolo progetto. I decisori possono usare diversi metodi per or­ga­niz­za­re il processo di in­di­vi­dua­zio­ne dei rischi e as­si­cu­ra­re che vengano ri­co­no­sciu­ti tutti i pericoli e tutte le possibili fonti di danno:

• Sondaggio tra esperti e col­la­bo­ra­to­ri
• Va­lu­ta­zio­ne dei dati e documenti di­spo­ni­bi­li
• Workshop interni sui rischi
• Visite agli sta­bi­li­men­ti e in sede

Al termine di questa fase dovrebbe essere di­spo­ni­bi­le un in­ven­ta­rio dei rischi completo.

Il passo suc­ces­si­vo è quello di valutare i singoli rischi quan­ti­ta­ti­va­men­te per quanto riguarda la pro­ba­bi­li­tà che si con­cre­tiz­zi­no e i relativi effetti. Nella va­lu­ta­zio­ne non bisogna limitarsi a osservare i rischi iso­la­ta­men­te, al contrario occorre valutare quali con­se­guen­ze possono avere nel corso del tempo più rischi correlati tra loro oppure che si so­vrap­pon­go­no. Questo aspetto è detto anche ag­gre­ga­zio­ne del rischio.

Per la quan­ti­fi­ca­zio­ne del rischio si uti­liz­za­no di­stri­bu­zio­ni di pro­ba­bi­li­tà o di frequenza. Il valore con­cre­ta­men­te misurato con la va­lu­ta­zio­ne di un rischio è detto value at risk.

I passaggi 1 e 2 co­sti­tui­sco­no insieme la co­sid­det­ta analisi del rischio. Questa analisi rap­pre­sen­ta il passaggio più difficile nel processo di gestione del rischio in quanto è ne­ces­sa­rio com­pren­de­re e giudicare non solo i rischi attuali ma anche quelli futuri. Dopo aver valutato i risultati dell’analisi del rischio, è possibile procedere a contenere i rischi dando priorità a quelli che pre­sen­ta­no una pro­ba­bi­li­tà par­ti­co­lar­men­te alta di in­sor­gen­za oppure effetti par­ti­co­lar­men­te dannosi.

Nell’ambito del controllo del rischio, si ve­ri­fi­ca­no l'ef­fi­cien­za, l'a­de­gua­tez­za e l’efficacia dei metodi applicati. Il controllo può avvenire in due modi, che ideal­men­te si com­ple­ta­no a vicenda: sotto forma di mo­ni­to­rag­gio costante in tempo reale e sotto forma di verifica periodica ap­pro­fon­di­ta dei rischi. I risultati vengono trasmessi in tempo reale alle persone com­pe­ten­ti.

La gestione del rischio non è un compito di una singola persona, interessa invece tutti i la­vo­ra­to­ri all’interno di un’impresa. Se da un lato la strategia e l’indirizzo generale della gestione del rischio sono fissati dall’impresa, l’ope­ra­ti­vi­tà coinvolge invece diversi altri soggetti.

Per il­lu­stra­re le re­spon­sa­bi­li­tà nel risk ma­na­ge­ment spesso si ricorre al modello delle tre linee di difesa (Three Lines of Defense):

• Prima linea: il manager e i suoi col­la­bo­ra­to­ri rea­gi­sco­no nella propria attività operativa ai rischi secondo le strategie fissate, con il supporto di un sistema di controllo interno.
• Seconda linea: i la­vo­ra­to­ri a cui sono affidati di­ret­ta­men­te i compiti di gestione del rischio sup­por­ta­no e vigilano sulla prima linea, ad esempio sta­bi­len­do i metodi oppure facendo da coach.
• Terza linea: un soggetto in­di­pen­den­te vigila sulla gestione del rischio.

Ri­co­no­sce­re e con­trol­la­re i rischi è un elemento fon­da­men­ta­le della struttura di un’azienda. Per questo la gestione del rischio non sta solo ai piani alti della dirigenza aziendale, al contrario coinvolge ogni singolo la­vo­ra­to­re nella sua attività quo­ti­dia­na.

Ignorare i possibili effetti negativi delle proprie decisioni può mettere a rischio in de­fi­ni­ti­va la stabilità economica dell’impresa. La gestione del rischio offre gli strumenti necessari per in­di­vi­dua­re chia­ra­men­te i rischi anziché affidarsi a sen­sa­zio­ni “di pancia”. In questo modo l’impresa potrà prendersi dei rischi calcolati, necessari per la sua crescita e il suo successo.