Gestione del rischio: come prendere delle decisioni sicure

Il concetto di "gestione del rischio" (in inglese risk management) comprende tutte le azioni finalizzate a individuare e influenzare i rischi e le opportunità derivanti dalle attività di un’impresa e che potrebbero avere effetti positivi o negativi sul successo dell’impresa.

Il compito della gestione del rischio non è quello di eliminare tutti i rischi, che sarebbe del resto praticamente impossibile. Al contrario, l’intento è quello di raggiungere un rapporto ottimale tra rischi e opportunità. Una corretta gestione del rischio contribuisce quindi a decidere e pianificare in modo sicuro, migliorando la solvibilità dell’impresa e stabilizzando la sua situazione reddituale.

La gestione del rischio rappresenta per un’impresa non solo una pratica intelligente dal punto di vista economico, ma anche un obbligo di legge nella gestione aziendale. In Italia non esiste una singola legge né un unico codice di leggi che regoli la gestione del rischio: vi sono però numerose norme che influenzano la gestione del rischio nei diversi campi.

Tra gli standard internazionali più rilevanti vi sono la norma ISO 31000:2009 sulla gestione del rischio, la norma ISO 9001:2015 sulla gestione della qualità e il COSO Enterprise Risk Management Framework (COSO ERM 2017). Questo quadro normativo classifica la gestione del rischio a seconda dei componenti, delle categorie target e delle unità organizzative.

Le linee guida presentate in questi standard sono pensate per aiutare le imprese a mettere in campo la propria gestione del rischio e continuare a svilupparla. Sia gli standard ISO sia il Framework COSO sono costantemente oggetto di revisione ed eventualmente di adeguamenti in modo da essere sempre al passo con gli sviluppi del mondo dell’impresa.

Spesso in azienda il risk management viene messo in correlazione con la Compliance e la Corporate governance, in quanto le tre discipline sono collegate tra loro. Tutte e tre contribuiscono a una corretta ed efficiente gestione aziendale.

La gestione del rischio nell’impresa può essere una gestione del rischio strategica o operativa. L’aspetto strategico comprende la definizione degli obiettivi della gestione del rischio, la formulazione di una strategia generale e la definizione dei processi operativi. Mettere in pratica questi processi è invece il compito del risk management operativo.

Il primo passaggio è quello dell’individuazione del rischio, in cui vengono classificati tutti i rischi individualmente e per area di rischio, dandone anche una descrizione qualitativa. Questa fase può essere eseguita a livello aziendale oppure di singolo progetto. I decisori possono usare diversi metodi per organizzare il processo di individuazione dei rischi e assicurare che vengano riconosciuti tutti i pericoli e tutte le possibili fonti di danno:

• Sondaggio tra esperti e collaboratori
• Valutazione dei dati e documenti disponibili
• Workshop interni sui rischi
• Visite agli stabilimenti e in sede

Al termine di questa fase dovrebbe essere disponibile un inventario dei rischi completo.

Il passo successivo è quello di valutare i singoli rischi quantitativamente per quanto riguarda la probabilità che si concretizzino e i relativi effetti. Nella valutazione non bisogna limitarsi a osservare i rischi isolatamente, al contrario occorre valutare quali conseguenze possono avere nel corso del tempo più rischi correlati tra loro oppure che si sovrappongono. Questo aspetto è detto anche aggregazione del rischio.

Per la quantificazione del rischio si utilizzano distribuzioni di probabilità o di frequenza. Il valore concretamente misurato con la valutazione di un rischio è detto value at risk.

I passaggi 1 e 2 costituiscono insieme la cosiddetta analisi del rischio. Questa analisi rappresenta il passaggio più difficile nel processo di gestione del rischio in quanto è necessario comprendere e giudicare non solo i rischi attuali ma anche quelli futuri. Dopo aver valutato i risultati dell’analisi del rischio, è possibile procedere a contenere i rischi dando priorità a quelli che presentano una probabilità particolarmente alta di insorgenza oppure effetti particolarmente dannosi.

Nell’ambito del controllo del rischio, si verificano l'efficienza, l'adeguatezza e l’efficacia dei metodi applicati. Il controllo può avvenire in due modi, che idealmente si completano a vicenda: sotto forma di monitoraggio costante in tempo reale e sotto forma di verifica periodica approfondita dei rischi. I risultati vengono trasmessi in tempo reale alle persone competenti.

La gestione del rischio non è un compito di una singola persona, interessa invece tutti i lavoratori all’interno di un’impresa. Se da un lato la strategia e l’indirizzo generale della gestione del rischio sono fissati dall’impresa, l’operatività coinvolge invece diversi altri soggetti.

Per illustrare le responsabilità nel risk management spesso si ricorre al modello delle tre linee di difesa (Three Lines of Defense):

• Prima linea: il manager e i suoi collaboratori reagiscono nella propria attività operativa ai rischi secondo le strategie fissate, con il supporto di un sistema di controllo interno.
• Seconda linea: i lavoratori a cui sono affidati direttamente i compiti di gestione del rischio supportano e vigilano sulla prima linea, ad esempio stabilendo i metodi oppure facendo da coach.
• Terza linea: un soggetto indipendente vigila sulla gestione del rischio.

Riconoscere e controllare i rischi è un elemento fondamentale della struttura di un’azienda. Per questo la gestione del rischio non sta solo ai piani alti della dirigenza aziendale, al contrario coinvolge ogni singolo lavoratore nella sua attività quotidiana.

Ignorare i possibili effetti negativi delle proprie decisioni può mettere a rischio in definitiva la stabilità economica dell’impresa. La gestione del rischio offre gli strumenti necessari per individuare chiaramente i rischi anziché affidarsi a sensazioni “di pancia”. In questo modo l’impresa potrà prendersi dei rischi calcolati, necessari per la sua crescita e il suo successo.