Risk Management: Cos’è E Come Fare La Strategia Di Gestione Del Rischio

Il Risk Management mitiga un ipotetico rischio aziendale. Ecco cos’è, come fare Risk Analysis e quali sono le fasi principali per la gestione del rischio.

Che cos’è il risk management?

Tutte quelle azioni coordinate volte a preservare un’organizzazione da eventuali rischi rientrano nel cosiddetto risk management. 

Tale concetto si applica in qualunque ambito aziendale, da quello economico e finanziario a quello della reputazione online e identità digitale.

Come si legge sul testo dell’Associazione Nazionale dei Risk Manager e Responsabili Assicurazioni Aziendali (ANRA):

“Si tratta di un processo aziendale volto alla gestione completa ed integrata dei rischi, mediante attività sistematiche che passano attraverso le seguenti fasi:

• Eliminazione;
• Riduzione;
• Trasferimento; 
• Ritenzione.”

L’obiettivo del risk management è di massimizzare il valore della tua azienda con il conseguente scopo di aumentare il fatturato.

Per effettuare risk management sarà necessario che si identifichi, valuti e agisca in relazione ai rischi rendendo ognuno di questi accettabili per l’impresa: il cosiddetto rischio calcolato. 

A dimostrazione dell’importanza di questa pratica, si può prendere in considerazione il dato riportato da Deloitte nel suo dodicesimo report Global risk management survey.

La percentuale di aziende che fanno uso di un programma di risk management aziendale è cresciuta dal 35% del 2006 all’84% del 2020.

Come fare risk analysis?

La risk analysis è il primo passo del risk management, preliminare a tutti gli altri.

Conoscere le possibili situazioni di rischio per l’azienda, infatti, è fondamentale per procedere alla loro successiva gestione.

Ma vediamo passo dopo passo le varie fasi da seguire:

• Effettua uno studio preliminare delimitando il raggio d’azione dell’analisi e cercando di individuare tutte le possibili variabili da considerare;
• Identifica i fattori che potrebbero rappresentare un rischio per la buona riuscita di un progetto.

I rischi possono essere individuati sia all’interno che all’esterno dell’azienda, riferibili alla concorrenza, al cambio di leggi o simili;

• Effettua una valutazione qualitativa e quantitativa dei rischi prevedendo la percentuale di probabilità che questi possano ripresentarsi.

Spesso tale fase viene effettuata da specifici software per avere la massima precisione e il minore margine di errore; 

• Redige un piano di gestione del rischio: quando un rischio ha un’alta probabilità di verificarsi, diventa un rischio calcolato.

In tal caso devi avere un piano di contromisure necessarie a limitare o spostare le perdite in altri campi; oppure, meglio ancora, evitare del tutto gli effetti negativi quando il rischio si concretizza.

Anche se lo scopo ultimo dell’analisi del rischio può essere diverso in base al tipo di azienda, il processo è simile.

Questo, infatti, è sempre funzionale a valutare possibili scenari futuri sulla base di ciò che è stato raccolto proprio durante l’analisi. 

Dopo l’analisi preliminare si passa alla pianificazione delle strategie da adottare nel momento in cui il rischio calcolato si presenti durante l’attuazione del tuo progetto. 

Che cos’è la misurazione dei rischi all’interno del processo risk management assicurativo?

Il calcolo o misurazione dei rischi è una fase indispensabile all’interno del processo di risk management assicurativo. 

Il risk manager, dopo aver individuato e studiato i potenziali rischi li valuta in base al danno che potrebbero provocare e alla frequenza con cui si possono verificare.

In un secondo momento, deve ottimizzarne la gestione in base alla brand identity e alle risorse economiche dell’azienda stessa. 

In questo contesto vanno definite le coperture assicurative necessarie o i rischi che si può assumere l’azienda in completa autonomia. 

Nei processi gestionali delle crisi, infatti, dovrai istituire protocolli o regolamenti che salvaguardino dai danni ma anche stipulare coperture assicurative.

D’altronde, bisogna assumere che qualcosa possa andare storto e, di conseguenza, avere un piano d’azione efficace.

Che cos’è il risk management in sanità?

Bisogna specificare che la risk analysis si può applicare non solo in ambiti economici e finanziari.

Ogni tipo di azienda deve essere cosciente dei rischi che corre, tanto sul piano economico che su quello della reputazione aziendale.

Nel campo sanitario, l’analisi del rischio si lega al rischio clinico, così come si legge nell’articolo pubblicato dal National Center for Biotechnology Information (NCBI):

“Il “Risk Management” è definito come l’insieme delle attività coordinate, utili a guidare e tenere sotto controllo un’organizzazione con riferimento al rischio.”

Nel testo si legge che si possono individuare tre possibili ambiti di azione: 

• La gestione finanziaria del rischio: con focus sui rischi finanziario-assicurativi; 
• A livello di specifiche Unità Operative si relaziona ai livelli di responsabilità per i processi e gli esiti; 
• A livello aziendale, in cui si procede all’allineamento di strategia, processi, risorse umane e tecnologie dell’intera Azienda.

Come chiarisce anche il documento redatto dal Ministero della Salute:

“Il Risk Management, perché sia efficace, deve interessare tutte le aree in cui l’errore si può manifestare durante il processo clinico assistenziale del paziente.”

Il che significa che le tre azioni sopra citate vanno condotte in maniera simultanea.

Per farlo, ci si serve fondamentalmente di due metodologie:

• Analisi reattiva: agisce dopo che l’incidente si è verificato e va ad identificarne le cause;
• Analisi proattiva: agisce prima del verificarsi dell’incidente, puntando ad eliminare le criticità del sistema e, quindi, le possibilità che l’incidente si verifichi.

Il risk management in ambito sanitario, quindi, fornisce agli operatori le informazioni per imparare dagli errori, trasformando gli eventi negativi in occasione di miglioramento e crescita. 

Quando è nato il risk management?

La nascita del risk management si fa risalire ai primi anni del 1900 e se ne attribuisce la paternità a Henry Fayol.

L’ingegnere francese, infatti, incluse la gestione dei rischi fra le sei caratteristiche primarie della gestione di un’impresa. 

Negli anni ‘50 questo modello gestionale inizia ad essere applicato, negli USA, per ridurre i costi assicurativi.

Lo scopo, all’epoca, era di evitare investimenti in cui poteva crearsi un rischio di qualsiasi natura. 

Bisogna aspettare gli anni ‘90 per avere un grande cambiamento, con l’elaborazione dottrinale dell’Enterprise Risk Management (ERM).

Da allora, al rischio finanziario si aggiunge una visione globale: il rischio non è solo qualcosa da evitare, ma va studiato per poterlo utilizzare come generatore di opportunità e crescita imprenditoriale. 

Nel 2009 viene pubblicato lo standard ISO 31000 – Risk Management e, dal 2015, il concetto di risk management è incluso in tutte le norme di sistema di gestione aziendale.

Oggi, oltre ad essere incluso come requisito legale, quindi, una buona strategia di risk management è fondamentale per qualsiasi azienda che voglia aumentare il suo fatturato.

L’82% degli intervistati da Deloitte ha riferito che i propri CEO stanno dedicando più tempo alla risk management.

Che cos’è l’evento sentinella?

Stando al sito dell’Agenzia Nazionale per i Servizi Sanitari Regionali (AGENAS), sono definiti eventi sentinella:

“Quegli eventi avversi di particolare gravità, che causano morte o gravi danni al paziente e che determinano una perdita di fiducia dei cittadini nei confronti del Servizio Sanitario.” 

Tale definizione nasce, quindi, riferita all’ambito sanitario, ma si può applicare anche ad altri settori.

Per la loro gravità e il loro significato, rappresentano un problema prioritario per il successo dell’azienda.

L’evento sentinella comporta gravi ripercussioni, tanto sull’azienda stessa, che sui dipendenti e i clienti.

Per questo, è sufficiente che si verifichi una sola volta affinché sia necessario procedere con una di queste opzioni: 

• Un’indagine immediata: per limitare e ridurre i danni futuri bisogna capire quali fattori lo abbiano causato o vi abbiano contribuito; 
• Implementare le adeguate misure correttive: al fine di evitare che l’evento si verifichi di nuovo. 

Cosa si intende per errore di omissione?

L’essenza stessa del risk management è dare per certo che gli errori non potranno mai essere del tutto eliminati.

Per tale ragione è fondamentale che le organizzazioni e le aziende agiscano sulle cosiddette criticità latenti; solo in questo modo si potrà aumentare la sicurezza del sistema.

Gli errori vengono classificati in maniera simile a seconda del tipo di azienda.

Un tipo molto comune, sempre presente, è l’errore di omissione, che si verifica quando si concretizza un rischio previsto per il quale non si sono messe in pratica le contromisure programmate. 

Si tratta di un errore che si sarebbe potuto evitare, per il quale esistono già dei protocolli di esecuzione.

A questo si associano errori come quello di attenzione o percezione, che spesso si verificano per negligenza. 

In un’azienda, la non attuazione di contromosse preventivamente predisposte può portare a perdite di denaro fino alla mancata crescita aziendale.

Quali sono le attività di risk management?

Una buona strategia di brand protection non può prescindere da un efficace piano di risk management.

Tenendo il controllo del potenziale impatto delle diverse tipologie di rischio, l’azienda può rapidamente agire su tutti i processi, servizi e persone che ne fanno parte.

Come spiegato dall’ANRA, il risk manager si serve di uno schema codificato in sette fasi:

• Individuazione delle risorse finanziarie a disposizione dell’azienda;
• Individuazione dei potenziali rischi nei vari settori di attività e produzione;
• Valutazione dei rischi in termini di gravità come entità o frequenza;
• Controllo dei rischi al fine di prevenirli o ridurli;
• Assunzione in proprio dei rischi finanziariamente sostenibili;
• Trasferimento dei rischi a terzi o all’assicuratore;
• Monitoraggio nel tempo dell’evoluzione dei rischi e del programma di risk management messo in atto.

All’interno di questo processo si possono considerare ulteriori fasi che comprendono:

• Studio dell’ambiente;
• Intercettazione dei rischi;
• Studio del rischio;
• Valutazione dei rischi;
• Controllo dei rischi.

Quest’ultima fase include la redazione del Risk Action Plan e la sua integrazione in corso d’opera ed esecuzione.

Quali sono i livelli di risk assessment?

Quando parliamo di risk assessment, parliamo di analisi del rischio.

Si tratta di una fase fondamentale del risk management perché consiste nell’individuare e misurare i rischi ai quali è esposta l’organizzazione.

Il risk assessment consiste nella redazione di una metodologia di azione che permette all’azienda di concentrarsi sui rischi più significativi, compresi quelli reputazionali.

Andrea Baggio, CEO di ReputationUP e Help Ransomware, è esperto nella gestione della reputazione online.

La sua ventennale esperienza nel settore, gli permette di aiutare le aziende ed i privati ad affrontare e superare crisi reputazionali.

Come riportato nella ricerca promossa da ISACA, una buona analisi del rischio deve rispettare le seguenti caratteristiche essendo:

• Probabilistico: i rischi contengono una certa percentuale di incertezza; tenere in considerazione questa incertezza è fondamentale per avere un risk assessment valido;
• Preciso e accurato: questi due termini vanno intesi come mezzo per misurare l’affidabilità e la coerenza del sistema scelto per la misurazione;
• Coerente: i risultati dell’analisi, se coerenti tra loro, confermano il grado di rigore e logica della metodologia scelta;
• Difendibile e logico: una valida misurazione del rischio non può servirsi di operazioni matematiche prive di senso;
• Incentrato sul rischio: le variabili da considerare sono la probabile frequenza dell’evento negativo e la probabile entità della perdita;
• Conciso e significativo: che il documento prodotto sia chiaro e fruibile a tutti i livelli dell’organizzazione, consente di attuare con maggiore efficacia;
• Economicamente giustificato: l’investimento nell’analisi del rischio deve essere proporzionato al ritorno che questa garantisce;
• Redatto in base alle priorità: la scelta delle priorità va effettuata rispetto a criteri impostati in precedenza.

Le organizzazioni di tutti i tipi devono poter avere un’idea chiara su quali siano i rischi a cui vanno incontro.

Chi fa il risk assessment?

Un corretto piano di risk assessment permette all’azienda di puntare ad una buona reputazione finanziaria indirizzando i suoi investimenti in termini di sicurezza.

Data la natura del risk assessment, questo deve essere compilato da un professionista: il risk manager.

Come evidenzia l’analisi già citata di Deloitte, nel 2020 il 100% delle organizzazioni studiate si serve di un chief risk officer.

Si tratta di colui che gestisce il rischio aziendale e aggiorna di volta in volta il piano di gestione del rischio e redige, quindi, il risk assessment. 

Altro aspetto di cui si occupa questa figura professionale è la valutazione di responsabilità connesse ai rischi nei contratti aziendali e con terzi. 

Il risk manager, infatti, fa anche da ponte con il management aziendale, cui presta consulenza sulle tematiche della gestione del rischio. 

Ecco alcuni dei suoi compiti all’interno dell’azienda:

• Individua variabili interne ed esterne che possono ostacolare il raggiungimento di certi obiettivi;
• Qualifica e quantifica i rischi;
• Monitora il contesto esterno;
• Fornisce la cosiddetta Analisi Strengths & Weaknesses, Opportunities & Threats (SWOT); 
• Studia la concorrenza;
• Evidenzia sistemi di programmazione e controllo strategico.

Il compito ultimo del risk manager è stabilire quale sia il rischio che l’azienda è in grado di gestire e in quale misura accettarlo per rendere un’operazione o un contratto fattibile.

Cosa si intende per risk?

Con il termine risk si intende ogni possibile contrattempo che possa influenzare o rallentare la gestione di un’azienda. 

In ambito finanziario ci si focalizza sui rischi gestibili tramite trade finanziario. 

In sostanza il rischio è tutto ciò che può provocare perdite di fiducia, immagine, denaro, finanziatori o qualsiasi altro effetto negativo su una azienda.

I rischi possono essere intrinsechi ed estrinsechi, a seconda che si tratti di fattori interni o esterni all’azienda.

Inoltre, soprattutto tra quelli esterni, ce ne sono alcuni difficilmente prevedibili, come può essere un attacco di diffamazione online.

Oggi più che mai, il risk management, quindi, deve tenere in considerazione molti fattori di rischio offline e online che possono influire non solo sui profitti ma, prima ancora, sull’immagine di un brand personale o aziendale.

A cosa mira l’analisi del rischio?

Il fine ultimo del risk analysis è quello di studiare la probabilità che accada un evento avverso in modo da programmare delle contromosse. 

L’analisi parte dallo studio delle varie tipologie di rischio e si muove alla ricerca di soluzioni pratiche ed efficaci alla loro risoluzione.

Così facendo, si mettono in evidenza le criticità dell’azienda e le minacce che potrebbero ostacolarne il percorso di crescita. 

L’assunto di partenza è che la conoscenza è potere.

Conoscere quali sono i possibili rischi, infatti, significa programmare ed effettuare operazioni proporzionate e mirate.

Il rischio, in questo modo, non arrecherà danno all’azienda e, di conseguenza, neanche agli investitori né ai clienti.

Quali sono le tre modalità di gestione dei rischi?

Le modalità di gestione dei rischi possono essere sostanzialmente tre, ma queste devono coesistere per garantire un migliore funzionamento della strategia. 

• Gestione dei rischi compliance

Considera il rischio per l’azienda di non essere allineata in modo corretto alle normative di compliance finanziaria concernenti gli ambiti operativi del proprio settore di business. 

In questo caso, la risk analysis include una verifica delle procedure interne perché si associno coerentemente all’obiettivo di prevenire violazioni di norme e regolamenti.

Ciò vale sia rispetto alle leggi esterne all’azienda, sia ai codici etici o codici di condotta interni; l’obiettivo è sempre quello di evitare sanzioni e, quindi, perdite finanziarie.

Lo studio legale Ropes & Gray ha svolto un’interessante indagine dal titolo Risk Management Data and Behavioral Sciences.

Il 90% delle organizzazioni utilizza software di monitoraggio di terze parti per pianificare le valutazioni relative alla compliance.

• Gestione dei rischi IT 

Le aziende fanno sempre più affidamento sulle tecnologie online per fornire i loro servizi e prodotti.

Per questo, la gestione dei rischi IT ha un valore sempre maggiore.

I rischi collegati a questa tipologia sono rischi informatici, causati da guasti di sistema, attacchi hacker o malware.

Agire su tali rischi significa impedire che abbiano conseguenze per la continuità del business, non soltanto in termini di perdite economiche ma anche di protezione, riservatezza o qualità dei dati.

• Gestione dei rischi operativi

In questa modalità rientrano tutti quei rischi che potrebbero comportare perdite derivanti dall’inadeguatezza o dal non funzionamento di alcune procedure.

Si includono i rischi causati da eventi esogeni, risorse umane o sistemi interni, compreso il rischio legale. 

Al contrario, sono esclusi i rischi di strategia o di reputazione.

Quante sono le fasi principali di risk management?

Abbiamo già ribadito l’importanza del risk management come processo attraverso cui le aziende si occupano dei rischi associati alle attività svolte.

Tra i consigli per proteggere la reputazione di un brand aziendale o personale, bisogna includere l’elaborazione di un piano di risk management.

Si possono identificare quattro fasi del processo che si suddividono in:

Contatta Andrea Baggio per avere una consulenza con un esperto in risk analysis e gestione della reputazione online.

Quanti metodi esistono per approcciare la gestione dei rischi?

Per approcciare la ponderazione dei rischi possono essere utilizzate tre tipologie di tecniche: 

• Qualitative: usano un metodo descrittivo che serve a stimare gli effetti e le probabilità del verificarsi del rischio;
• Semi-quantitative: consentono di dare dei valori di tipo numerico alle categorie descrittive;
• Quantitative: permettono di ordinare secondo un criterio di importanza le diverse tipologie di rischi.

I metodi qualitativi e semi-quantitativi sono più semplici e hanno un costo minore rispetto ai metodi quantitativi. 

Tuttavia, quest’ultimo è comunque importante per produrre una valutazione dei rischi quanto più precisa possibile. 

Di norma, quindi, le tecniche semi-quantitative vengono utilizzate insieme a quelle quantitative applicate alla stima dei rischi principali.

Quali sono nell’ordine le fasi principali del processo di gestione dei rischi?

Il processo di risk analysis è molto complesso e ampio, ma i suoi passi si possono racchiudere in tre fasi principali:

• Identificazione del rischio (risk identification)

La prima fase serve a mettere allo scoperto tutte le potenziali debolezze dell’azienda.

Riconoscere le problematicità fa sì che il rischio non si trasformi in evento negativo, dato che in quel caso la gestione sarebbe diversa e più problematica.

Una corretta pianificazione della valutazione dei rischi è importante per il buon funzionamento dell’intero programma. 

• Analisi del rischio (risk analysis)

Al termine di una scrupolosa pianificazione, la fase successiva vede la raccolta di informazioni che si riferiscono a rischi presso l’organizzazione. 

Tali dati sono successivamente utilizzati per dare fondamento e supporto alle decisioni. 

• Ponderazione del rischio (risk evaluation).

Una volta identificati ed analizzati i rischi, si procede ad una loro valutazione secondo la definizione di priorità.

Questa fase è la prima che richiede soggettività e non più oggettività. 

Sarai tu a stabilire quale rischio avrà la precedenza in un’eventuale concretizzazione futura dei problemi.

Quali sono i 4 punti per la gestione del rischio?

Come si legge nel testo redatto dall’ANRA, le quattro fasi del risk management si riferiscono a: 

• Prevenzione del rischio: arresta ed evita attività di ogni tipo che possono comportare un rischio;
• Riduzione del rischio: si concentra su tutte quelle azioni che possono in qualche modo ridurre la probabilità che un rischio si verifichi;
• Condivisione del rischio: questa fase si riferisce a quando un’organizzazione divide e condivide tutti o parte dei rischi con un’organizzazione terza;
• Ritenzione del rischio: ciò avviene quando i rischi sono stati valutati e l’organizzazione ne accetta il possibile verificarsi. 

Nella fase finale verrà predisposto un piano di emergenza, il cosiddetto Risk Management Plan (rmp).

Come mitigare il rischio?

Che si parli di mitigazione dei rischi e non di eliminazione, è emblematico dell’essenza stessa del risk management.

Il termine mitigare, infatti, implica che il rischio si verifichi ma senza dare conseguenze disastrose per l’azienda o privato che ne è vittima.

La mitigazione del rischio, quindi, è un tipo di strategia che puoi utilizzare quando non è possibile evitare la minaccia oppure quando la stessa non si può o non si vuole trasferire. 

Una delle pratiche più utilizzate per mitigare il rischio prevede l’utilizzo di stress test.

Lo studio di Deloitte mostra che un totale del 74% delle organizzazioni fa uso di questa strategia; di queste il 24% con grande frequenza.

Mitigare il rischio ci impone di intraprendere un’azione, di avere una risposta pronta e immediata all’evento che si è verificato. 

Il rischio viene accettato ma si riduce la sua forza a un livello di intensità che sia accettabile per l’organizzazione.

Conclusioni

Gestire i rischi è diventata un’azione fondamentale per ogni impresa e solo attuando ciò in modo corretto si può far crescere finanziariamente l’organizzazione.

Ecco quali sono le conclusioni che puoi trarre da questa guida:

• Il risk management è un processo aziendale volto alla gestione completa ed integrata dei rischi;
• L’84% delle aziende, oggi, ricorre a un piano risk management;
• La risk analysis si può applicare non solo in ambiti economici e finanziari; in sanità, l’analisi del rischio si lega al rischio clinico;
• La nascita del risk management si fa risalire ai primi anni del 1900 e se ne attribuisce la paternità a Henry Fayol.
• Il risk assessment consiste nella redazione di una metodologia di azione che permette all’azienda di concentrarsi sui rischi più significativi, compresi quelli reputazionali;
• Le quattro fasi del risk management si riferiscono a: prevenzione; riduzione del rischio; condivisione del rischio; ritenzione del rischio.

L’elaborazione di una strategia di risk management è complicata e richiede conoscenze specifiche.

Per tale ragione dovresti sempre rivolgerti ad uno specialista come Andrea Baggio, che con i suoi 28 anni nel settore dell’IT, può fornirti la giusta consulenza per evitare una crisi reputazionale.

FAQ