Il concetto di "gestione del rischio" (in inglese risk management) comprende tutte le azioni finalizzate a individuare e influenzare i rischi e le opportunità derivanti dalle attività di un’impresa e che potrebbero avere effetti positivi o negativi sul successo dell’impresa.
Il compito della gestione del rischio non è quello di eliminare tutti i rischi, che sarebbe del resto praticamente impossibile. Al contrario, l’intento è quello di raggiungere un rapporto ottimale tra rischi e opportunità. Una corretta gestione del rischio contribuisce quindi a decidere e pianificare in modo sicuro, migliorando la solvibilità dell’impresa e stabilizzando la sua situazione reddituale.
La gestione del rischio rappresenta per un’impresa non solo una pratica intelligente dal punto di vista economico, ma anche un obbligo di legge nella gestione aziendale. In Italia non esiste una singola legge né un unico codice di leggi che regoli la gestione del rischio: vi sono però numerose norme che influenzano la gestione del rischio nei diversi campi.
Tra gli standard internazionali più rilevanti vi sono la norma ISO 31000:2009 sulla gestione del rischio, la norma ISO 9001:2015 sulla gestione della qualità e il COSO Enterprise Risk Management Framework (COSO ERM 2017). Questo quadro normativo classifica la gestione del rischio a seconda dei componenti, delle categorie target e delle unità organizzative.
Le linee guida presentate in questi standard sono pensate per aiutare le imprese a mettere in campo la propria gestione del rischio e continuare a svilupparla. Sia gli standard ISO sia il Framework COSO sono costantemente oggetto di revisione ed eventualmente di adeguamenti in modo da essere sempre al passo con gli sviluppi del mondo dell’impresa.
Spesso in azienda il risk management viene messo in correlazione con la Compliance e la Corporate governance, in quanto le tre discipline sono collegate tra loro. Tutte e tre contribuiscono a una corretta ed efficiente gestione aziendale.
La gestione del rischio nell’impresa può essere una gestione del rischio strategica o operativa. L’aspetto strategico comprende la definizione degli obiettivi della gestione del rischio, la formulazione di una strategia generale e la definizione dei processi operativi. Mettere in pratica questi processi è invece il compito del risk management operativo.
Il risk management operativo non si limita a iniziative estemporanee, al contrario si tratta di un processo continuativo: occorre infatti vigilare costantemente sui rischi e sulle opportunità in grado di influenzare il successo dell’impresa.
Per poter intercettare sistematicamente tutti i fattori pertinenti, le imprese sono chiamate a mettere in campo dei processi di gestione del rischio. Questi processi possono essere pensati come un circuito di controllo all’interno del quale scorrono incessantemente le diverse fasi.
Il circuito di controllo della gestione del rischio operativa si articola in quattro fasi:
Il primo passaggio è quello dell’individuazione del rischio, in cui vengono classificati tutti i rischi individualmente e per area di rischio, dandone anche una descrizione qualitativa. Questa fase può essere eseguita a livello aziendale oppure di singolo progetto. I decisori possono usare diversi metodi per organizzare il processo di individuazione dei rischi e assicurare che vengano riconosciuti tutti i pericoli e tutte le possibili fonti di danno:
Al termine di questa fase dovrebbe essere disponibile un inventario dei rischi completo.
Il passo successivo è quello di valutare i singoli rischi quantitativamente per quanto riguarda la probabilità che si concretizzino e i relativi effetti. Nella valutazione non bisogna limitarsi a osservare i rischi isolatamente, al contrario occorre valutare quali conseguenze possono avere nel corso del tempo più rischi correlati tra loro oppure che si sovrappongono. Questo aspetto è detto anche aggregazione del rischio.
Per la quantificazione del rischio si utilizzano distribuzioni di probabilità o di frequenza. Il valore concretamente misurato con la valutazione di un rischio è detto value at risk.
I passaggi 1 e 2 costituiscono insieme la cosiddetta analisi del rischio. Questa analisi rappresenta il passaggio più difficile nel processo di gestione del rischio in quanto è necessario comprendere e giudicare non solo i rischi attuali ma anche quelli futuri. Dopo aver valutato i risultati dell’analisi del rischio, è possibile procedere a contenere i rischi dando priorità a quelli che presentano una probabilità particolarmente alta di insorgenza oppure effetti particolarmente dannosi.
Il concetto di "valutazione del rischio" racchiude in sé tutte le iniziative che l’impresa può mettere in campo per rispondere ai rischi. Sostanzialmente si distinguono due tipi di reazioni possibili: la reazione attiva preventiva ela reazione passiva correttiva.
Le iniziative attive puntano a ridurre la probabilità che si verifichi uno dei pericoli individuati con l’analisi del rischio oppure a contenerne gli effetti dannosi, intervenendo sulle cause: un’impresa potrebbe ad esempio apportare dei miglioramenti al proprio prodotto, riducendo così i rischi di responsabilità. Anche la prevenzione del rischio rappresenta un meccanismo di prevenzione attiva, ad esempio rinunciando del tutto a lanciare sul mercato un prodotto che presenta dei rischi per la salute.
Le reazioni passive sono pensate per trasferire a un altro soggetto le conseguenze dell’insorgenza del rischio (trasferimento del rischio), ad esempio sottoscrivendo un’assicurazione oppure trasferendo il rischio sul mercato dei capitali.
Spesso permane comunque un rischio residuale che l’impresa subisca comunque un danno, pur avendo adottato tutte le misure di controllo. Questo rischio non può essere eliminato del tutto. Rimane sempre una parte di rischi sconosciuti, anche dopo aver eseguito un’ottima analisi.
Nell’ambito del controllo del rischio, si verificano l'efficienza, l'adeguatezza e l’efficacia dei metodi applicati. Il controllo può avvenire in due modi, che idealmente si completano a vicenda: sotto forma di monitoraggio costante in tempo reale e sotto forma di verifica periodica approfondita dei rischi. I risultati vengono trasmessi in tempo reale alle persone competenti.
La gestione del rischio non è un compito di una singola persona, interessa invece tutti i lavoratori all’interno di un’impresa. Se da un lato la strategia e l’indirizzo generale della gestione del rischio sono fissati dall’impresa, l’operatività coinvolge invece diversi altri soggetti.
Per illustrare le responsabilità nel risk management spesso si ricorre al modello delle tre linee di difesa (Three Lines of Defense):
Riconoscere e controllare i rischi è un elemento fondamentale della struttura di un’azienda. Per questo la gestione del rischio non sta solo ai piani alti della dirigenza aziendale, al contrario coinvolge ogni singolo lavoratore nella sua attività quotidiana.
Ignorare i possibili effetti negativi delle proprie decisioni può mettere a rischio in definitiva la stabilità economica dell’impresa. La gestione del rischio offre gli strumenti necessari per individuare chiaramente i rischi anziché affidarsi a sensazioni “di pancia”. In questo modo l’impresa potrà prendersi dei rischi calcolati, necessari per la sua crescita e il suo successo.
Un grafico a barre colorato o una rete estesa che mette in relazione le diverse attività del progetto: ci sono numerosi grafici che rappresentano diverse tecniche di project management. Con le tecniche appropriate di project management potete suddividere rapidamente progetti di grandi dimensioni in fasi pianificabili e aree di attività.
Se si vuole sviluppare un software, occorre innanzitutto un concetto adatto per il processo di sviluppo. Per i progetti più grandi, in cui la valutazione dei rischi e dei costi potenziali svolge un ruolo decisivo, ad esempio, l'ideale è il cosiddetto modello a spirale. In questo articolo scoprirete cosa si nasconde esattamente dietro questo modello di procedura e come funziona.
Chi vuole minimizzare i rischi associati ad errori organizzativi, azioni dannose da parte dei dirigenti aziendali o semplicemente alla criminalità economica nella propria azienda non deve lasciare nulla al caso. Un SCI, abbreviazione di “sistema di controllo interno”, fissa le linee guida che consentono di monitorare i processi aziendali. Come si presenta dunque un SCI?
La gestione del rischio secondo lo standard ISO 31000 può assicurare la sopravvivenza di un’impresa: ogni organizzazione affronta sempre nuovi pericoli, che non costituiscono tuttavia un problema se si sa come fronteggiarli. Molte imprese creano pertanto un sistema di gestione del rischio. La norma ISO 31000 fornisce al riguardo un’assistenza adeguata. Ma cosa sancisce questo standard...
Offri ai tuoi clienti servizi professionali e affidabili con l'hosting di IONOS.
Dominio gratis Certificato SSL Wildcard incluso Assistenza clienti 24/7
