Le discipline che ruotano intorno alla gestione del rischio aziendale hanno giocato per molti anni un
ruolo secondario nelle strategie di molte organizzazioni. Escluso infatti il settore finanziario, dove
l'operational risk management è da sempre una costola importante del core business di istituti di
credito e gestori di fondi, tendenzialmente l'approccio al rischio è stato connotato dall'assenza di
rigore metodologico e da un elevato grado di improvvisazione. Questo deriva da un problema
squisitamente culturale: nel momento in cui si dà la precedenza all'abilità dell'azienda di reagire
all'avverarsi di una minaccia anziché alla sua capacità di prevenire eventi indesiderati o di costruire
metodologie e soluzioni in grado di mitigarne gli effetti, la gestione del rischio non potrà che
basarsi sull'empirismo della contingenza.
Come è cambiata la percezione della gestione del rischio
Le cose negli ultimi tempi sono però cambiate. O almeno hanno cominciato a farlo. Per molte
aziende, il primo elemento di discontinuità rispetto alla percezione della gestione rischio è stata la
sempre maggiore sovrapposizione tra processi operativi e tecnologie digitali, con la frequente
necessità di esporre informazioni, applicazioni e operations online per metterle a disposizione di
clienti e partner: l'apertura dei network aziendali, la moltiplicazione dei touch point e la crescita
esponenziale dell'appetibilità dei dati per i cyber-criminali hanno attirato su tutti i verticali una serie
di minacce che fino a poco tempo fa riguardano solo pochi, specifici settori. E questo ha portata alla
ribalta il tema della gestione del rischio anche in aziende che non hanno mai dovuto prendere in
seria considerazione attacchi o incidenti informatici.
In secondo luogo, è impossibile non citare l'impatto che l'emergenza sanitaria ha avuto
sull'economia mondiale: la necessità di garantire il distanziamento sociale ha indotto moltissime
imprese ad attivare repentinamente programmi di telelavoro che hanno sconvolto assetti
organizzativi consolidati e che hanno richiesto un totale ripensamento dei tradizionali modelli
operativi.
La concomitanza dei due fenomeni ha, in altre parole, messo in chiaro una volta per tutte che anche
le situazioni considerate meno probabili possono avverarsi. E che per questo nessuno può dirsi
esente dal predisporre dei piani che garantiscano la continuità operativa minimizzando i danni in
caso di eventi avversi.
L'approccio corretto alla gestione del rischio
Per qualcuno certamente suonerà scontato, ma è bene ricordarlo: la gestione del rischio non ha tanto
a che fare con la capacità di prevedere l'insorgere di criticità o incidenti che derivano dall'ambiente
esterno. Saper prevenire le ripercussioni che eventuali fenomeni avversi possono avere sui processi
e sugli strumenti aziendali vuol dire piuttosto censire, catalogare e analizzare studiare i processi e
gli strumenti stessi per coglierne punti di debolezza. Ma significa pure individuare margini di
miglioramento ai fini della business continuity e della salvaguardia dell'impresa, dei suoi
collaboratori e dei suoi asset, tangibili e non.
L'operational risk management, inoltre, si rivela davvero efficace nel momento in cui i piani di
mitigazione dei rischi non vengono calati dall'alto in maniera prescrittiva, ma piuttosto coinvolgono
tutti gli attori che partecipano all'esecuzione dei task potenzialmente interessati da una o più
minacce. È infatti l'approccio proattivo che consente di far convergere gli sforzi verso un obiettivo
comune, che non è quello di abbattere le probabilità che una minaccia esterna si avveri. E nemmeno
quello di ipotizzare exit strategy adeguate. L'obiettivo è rendere l'organizzazione nel suo complesso
il più agile e resiliente possibile, eliminando i vizi procedurali che, ripetendosi e stratificandosi,
possono tradursi in incidenti interni o in vere e proprie falle.
In questo senso, sviluppare la capacità di agire tempestivamente in situazioni avverse diventa una
logica conseguenza di una adeguata preparazione al tema della gestione del rischio, la cui premessa
fondamentale è un'accurata attività di assessment. Prima si attivano le funzioni di censimento e
controllo di processi e strumenti, coinvolgendone amministratori e utenti, prima sarà possibile
cominciare a costruire strategie di risk management nell'ottica corretta.
Topic: Risk Management
Post Correlati
