La gestione del rischio è un ambito oggi da cui non si può prescindere e che inevitabilmente impatta sulle attività produttive, indipendentemente dalla dimensione e dalle tipologie delle organizzazioni.
Con gestione del rischio si indica l’insieme delle procedure e degli strumenti che individua, studia, contrasta e previene in modo strategico i rischi che minacciano l’operatività di istituti di credito, imprese, professionisti ed enti pubblici. Nessun settore è esente dal rischio, che per definizione indica un potenziale danno che in determinate circostanze potrebbe verificarsi.
Ecco perché gestire il rischio vuol dire in prima battuta individuare quali siano queste potenziali situazioni, se esistono già condizioni idonee per il loro manifestarsi e come porre rimedio, oppure delineare scenari ipotetici per capire l’impatto dei rischi e individuare le strategie di contrasto. A occuparsi di questi aspetti è generalmente il risk manager.
Gestione del rischio, a cosa serve
Viene spontaneo chiedersi perché sia necessario verificare quali sono i rischi reali e potenziali a tutti i livelli dell’azienda. Non si può garantire la sicurezza e il controllo delle attività senza prendere in considerazione anche i possibili rischi aziendali cui si può incorrere. Sarebbe espressione di una visione limitata, per cui nel caso le cose andassero bene si ignorerebbe l’influenza di fattori esterni nel mutare le circostanze, ritrovandosi impreparati in caso di problemi.
La gestione del rischio è, quindi, una disciplina strategica che aiuta a comprendere in che modo il rischio può influenzare il business di un’attività. Le procedure di gestione del rischio puntano a modificare quantità e caratteristiche di queste minacce, per garantire che i processi economici si sviluppino e si concludano senza intoppi. Indispensabile dunque che questo ambito sia incluso nella governance aziendale, vale sia per i grandi gruppi che per le PMI. Per quanto riguarda le realtà di dimensioni medio-grandi è necessario aggiungere un nuovo tassello: per queste organizzazioni è opportuno, infatti, che la gestione del rischio sia integrata.
Questo significa contemplare l’azienda o l’istituto di credito o l’ente pubblico nella sua totalità, dando grande importanza alla comunicazione tra le parti.
Perché la gestione del rischio deve essere integrata?
Il risk management integrato permette di gestire i rischi e le attività delle funzioni di controllo o di audit in modo unificato, attraverso una metodologia consolidata e di rilevazione e valutazione coerente, nonché gestire le azioni di rimedio in modo condiviso.
Si tratta in estrema sintesi di abbracciare un metodo che comprenda anche l’analisi del contesto, l’individuazione dei rischi, la strategia e la previsione.
Il sistema migliore per avere sotto controllo queste situazioni è quello di “legare” i diversi livelli aziendali: è poco efficace, e strategicamente sbagliato, pensare solo ai propri rischi, al contrario serve una visione ampia. Soprattutto, è necessario che funzioni in modo efficace la comunicazione tra i diversi livelli. Serve dunque una mentalità globale, lo sviluppo di un linguaggio comune che coinvolga tutti gli ambiti aziendali e che tenga presente l’intero panorama delle minacce, nonché è utile approntare una metodologia condivisa per l’individuazione, l’analisi e il trattamento del rischio.
Quali sono i rischi da tenere sotto controllo
La gestione del rischio può essere divisa in tre parti:
- Gestione dei rischi di compliance: il rischio di non essere correttamente allineati alle normative vigenti relative agli ambiti operativi del proprio business (come, l’osservanza ai dettami del regolamento europeo GDPR). In banca, ad esempio, è importante verificare che “le procedure interne siano coerenti con l'obiettivo di prevenire la violazione di norme di etero regolamentazione (leggi e regolamenti) e autoregolamentazione (codici di condotta, codici etici), per evitare di incorrere in sanzioni, perdite finanziarie o danni di reputazione in conseguenza di violazioni di norme legislative, regolamentari o di autoregolamentazione”, secondo quanto riporta la Banca D’Italia.
- Gestione dei rischi IT: i rischi informatici, che possono essere causati da guasti o attacchi del cyber crime, con conseguenze pericolose per la business continuity, la protezione dei dati, la qualità dei servizi offerti, la riservatezza delle informazioni, l’integrità dei sistemi.
- Gestione dei rischi operativi: in questa categoria rientrano i rischi di subire perdite che derivano dall’inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni. Nel rischio operativo è compreso il rischio legale, cioè il rischio di perdite che nascono da violazioni di leggi o regolamenti, da responsabilità contrattuale o extra-contrattuale, quindi da altre controversie; non sono invece inclusi i rischi strategici e di reputazione. Questo rischio interessa in particolare il settore bancario, ed è possibile ricondurlo a diverse tipologie di eventi di perdita: frode interna; frode esterna; rapporto di impiego e sicurezza sul lavoro; clientela, prodotti e prassi professionali; inadempienze rispetto a obblighi professionali; danni da eventi esterni; perdite derivanti da eventi esterni (catastrofi naturali, terrorismo, atti vandalici); interruzioni dell’operatività e disfunzioni dei sistemi; esecuzione, consegna e gestione dei processi.
Infine, bisogna ricordare che per verificare la conformità alle normative vigenti e alle regole prudenziali, banche e imprese possono essere sottoposte ad audit, controlli indipendenti svolti da esterni in base a regolamenti prefissati, con problemi in caso di esiti negativi.
Topic: Risk Management
Post Correlati
