I 5 step fondamentali del risk management

19 Giugno 2020 in GRC360

Risk Management

Il concetto di rischio e, di conseguenza, il concetto di risk management varia in relazione alla specificità dell’azienda e del settore in cui questa opera. Va anche premesso che ogni fattore di cambiamento o di incertezza può essere identificato come un fattore di rischio, che può essere interno o esterno all’organizzazione. Il rischio, inoltre, non ha solo una valenza negativa ma è ambivalente e può prevedere, in alcuni casi, un possibile pay-off positivo.
Elenchiamo di seguito i 5 step fondamentali del risk management, indispensabili per governare il rischio.

step 1 – Definizione del rischio. Vanno innanzi tutto identificati i rischi per la singola organizzazione e il loro allineamento con gli obiettivi strategici.

step 2- Mappatura del rischio. A livello accademico vengono definite 4 tipologie principali di rischio che andranno a guidare il successivo sottofase di risk assessment: rischi strategici, operativi, di compliance, rischi di natura economico-finanziaria. Il risk assessment prevede che, identificati i rischi che limitano o inficiano il raggiungimento degli obiettivi, per ciascuno si debba valutare la natura dell’impatto che, come anticipato, può essere positivo o negativo e la sua probabilità di accadimento. Il valore del rischio deriva dal prodotto fra probabilità e impatto: un evento ad alto impatto ma bassa probabilità potrebbe dunque produrre un rischio basso e viceversa. Di questa fase fa parte anche la definizione del risk appetite che, definito a livello di vertice, indica la propensione al rischio dell’organizzazione, in stretta connessione con la strategia aziendale. In pratica definisce la soglia massima di rischio alla quale l’azienda vuole esporsi senza compromettere il proprio business.
Se per qualche ragione il rischio (calcolato come probabilità per impatto) dovesse superare la soglia di risk appetite, si dovrà passare alla successiva fase di risk management.

Step 3- Risk management. È l’attività che permette di mitigare il rischio nel momento in cui il suo valore supera il risk appetite e serve a riportarlo sotto la soglia di tolleranza, eliminando il rischio in eccesso. Si possono adottare diverse strategie, come la cessione del rischio o il cambiamento di prassi e procedure aziendali, con varie modalità di trattamento del rischio per produrne l’abbassamento.

Step 4 – Reporting di comunicazione del rischio residuo. Il nuovo valore del rischio, ricalcolato dopo le misure di mitigazione, va comunicato al top management.
Si passa dal cosiddetto rischio inerente (calcolato al netto delle misure di sicurezza e mitigazione) al rischio residuo (che comunque permane, nonostante l’applicazione delle misure di mitigazione). Il vertice aziendale sarà responsabile della decisione finale soprattutto nel caso in cui non si sia riusciti, nelle fasi precedenti (di risk assessment e risk management), nel bilanciamento fra minacce e opportunità.

Step 5 – Monitoraggio. Rappresenta la fase finale anche se non conclusiva, visto che il rischio è mutevole nel tempo e, nel mondo del risk management, vale il concetto di continuos improvement, al variare delle condizioni aziendali o del settore.

Quale organizzazione per il risk management

Per mettere in atto il processo sopra indicato servirà una strutturazione, il cui livello crescerà al crescere dell’importanza del rischio per l’organizzazione. Ci si aspetta ad esempio che una banca o una società di servizi finanziari si doti di un risk manager, mentre una piccola impresa manifatturiera probabilmente non ne avrà bisogno.
L’azienda che decida di dotarsi di una struttura dovrà prevedere una funzione di risk management, che riporti direttamente ai vertici aziendali, e di unità satelliti, i risk owner, generalmente rappresentati dai referenti funzionali che, pur non facendo parte in senso stretto della funzione di risk management, avranno un ruolo di monitoraggio dei rischi all’interno della propria funzione, in connessione con il risk manager.
È infine utile ricordare che esistono normative che definiscono il sistema dei controlli, come ad esempio la circolare 285 di Banca d’Italia che disciplina gli istituti bancari e indica tre livelli di controlli interni: di primo livello, costituito direttamente dalla funzione aziendale; di secondo livello, costituito dal risk management; di terzo livello, costituito dall’internal audit.

Marco Contino – Manager P4I – Partners4Innovation

White Paper - GDPR e Data Breach: Come gestire le violazioni

Share