Gestione del rischio: cos'è e come prevenire i rischi in azienda

La gestione del rischio è un ambito da cui oggi non si può prescindere, e che inevitabilmente impatta sulle attività produttive, indipendentemente dalla dimensione e dalle tipologie delle organizzazioni.

Cos'è la gestione del rischio

Con gestione del rischio si indica l’insieme delle procedure e degli strumenti che individua, studia, contrasta e previene in modo strategico i rischi che minacciano l’operatività di istituti di credito, imprese, professionisti ed enti pubblici. Nessun settore è esente dal rischio, che per definizione indica un potenziale danno che in determinate circostanze potrebbe verificarsi.

Ecco perché gestire il rischio vuol dire in prima battuta individuare quali siano queste potenziali situazioni, se esistono già condizioni idonee per il loro manifestarsi e come porre rimedio, oppure delineare scenari ipotetici per capire l’impatto dei rischi e individuare le strategie di contrasto. A occuparsi di questi aspetti è generalmente il risk manager.

Gestione del rischio, a cosa serve

Viene spontaneo chiedersi perché sia necessario verificare quali sono i rischi reali e potenziali a tutti i livelli dell’azienda. Non si può garantire la sicurezza e il controllo delle attività senza prendere in considerazione anche i possibili rischi aziendali cui si può incorrere. Sarebbe espressione di una visione limitata, per cui nel caso le cose andassero bene si ignorerebbe l’influenza di fattori esterni nel mutare le circostanze, ritrovandosi impreparati in caso di problemi.

La gestione del rischio è, quindi, una disciplina strategica che aiuta a comprendere in che modo il rischio può influenzare il business di un’attività. Le procedure di gestione del rischio puntano a modificare quantità e caratteristiche di queste minacce, per garantire che i processi economici si sviluppino e si concludano senza intoppi. Indispensabile, dunque, che questo ambito sia incluso nella governance aziendale, vale sia per i grandi gruppi che per le PMI. Per quanto riguarda le realtà di dimensioni medio-grandi è necessario aggiungere un nuovo tassello: per queste organizzazioni è opportuno, infatti, che la gestione del rischio sia integrata.

Questo significa contemplare l’azienda o l’istituto di credito o l’ente pubblico nella sua totalità, dando grande importanza alla comunicazione tra le parti.

Perché la gestione del rischio deve essere integrata?

Il risk management integrato permette di gestire i rischi e le attività delle funzioni di controllo o di audit in modo unificato, attraverso una metodologia consolidata e di rilevazione e valutazione coerente, nonché gestire le azioni di rimedio in modo condiviso.

Si tratta in estrema sintesi di abbracciare un metodo che comprenda anche l’analisi del contesto, l’individuazione dei rischi, la strategia e la previsione.

Il sistema migliore per avere sotto controllo queste situazioni è quello di “legare” i diversi livelli aziendali: è poco efficace, e strategicamente sbagliato, pensare solo ai propri rischi, al contrario serve una visione ampia. Soprattutto, è necessario che funzioni in modo efficace la comunicazione tra i diversi livelli. Serve dunque una mentalità globale, lo sviluppo di un linguaggio comune che coinvolga tutti gli ambiti aziendali e che tenga presente l’intero panorama delle minacce, nonché è utile approntare una metodologia condivisa per l’individuazione, l’analisi e il trattamento del rischio.

Come funziona la gestione del rischio

Ma più nello specifico, come funziona la gestione del rischio e attraverso quali fasi un'organizzazione può predisporre strumenti e processi adeguati? Salvaguardare la continuità operativa significa riuscire a sviluppare una visione d'insieme su tutti i fattori che concorrono a determinate la robustezza della catena del valore, a prescindere dal fatto che si parli di componenti interne o di elementi esogeni. Bisogna dunque mettere in campo metodologie e soluzioni che aiutino non solo i risk manager ma anche tutti gli attori che li affiancano nell'assolvere la loro funzione, a concentrare su un unico punto d'attenzione questi input, per poi governarne gli output.

Tutto passa naturalmente dalla raccolta, dall'analisi e dalla condivisione dei dati, soprattutto se ci si trova in presenza di procedure caratterizzate da un alto tasso di digitalizzazione. Solo attraverso la definizione di uno scenario di rischio coerente con le attività aziendali e con l'identificazione di una roadmap da intraprendere in modo strutturato si potranno infatti mitigare le minacce riscontrate.

Ecco, in estrema sintesi, i passaggi da seguire per imbastire in modo corretto una strategia di risk management:

• Far convergere su un'unica piattaforma tutti gli input che descrivono i fattori da cui dipendono i processi e i ruoli attivi sulla catena del valore.
• Omogeneizzare i dati ottenuti, stabilendo un linguaggio comune e univoco per le informazioni raccolte, elaborate e redistribuite ai vari livelli aziendali.
• Tracciare una mappa accurata degli scenari di rischio lungo cui si evolve l'intera filiera a cui appartiene l'organizzazione.
• Simulare e misurare il possibile impatto dell'avverarsi delle minacce identificate.
• Predisporre un piano di mitigazione dei rischi e di ripristino delle operazioni in caso di incidenti, dando priorità alle attività di prevenzione.
• Testare il modello costruito e tenerlo aggiornato nel tempo favorendo l'introduzione di elementi di automazione nella raccolta dei dati.
  

Quali sono i rischi da tenere sotto controllo

La gestione del rischio può essere divisa in tre discipline principali:

• Gestione dei rischi di compliance: il rischio di non essere correttamente allineati alle normative vigenti relative agli ambiti operativi del proprio business (come, l’osservanza ai dettami del regolamento europeo GDPR). In banca, ad esempio, è importante verificare che “le procedure interne siano coerenti con l'obiettivo di prevenire la violazione di norme di etero regolamentazione (leggi e regolamenti) e autoregolamentazione (codici di condotta, codici etici), per evitare di incorrere in sanzioni, perdite finanziarie o danni di reputazione in conseguenza di violazioni di norme legislative, regolamentari o di autoregolamentazione”, secondo quanto riporta la Banca d’Italia.

• Gestione dei rischi IT: i rischi informatici, che possono essere causati da guasti o attacchi del cyber crime, con conseguenze pericolose per la business continuity, la protezione dei dati, la qualità dei servizi offerti, la riservatezza delle informazioni, l’integrità dei sistemi.

• Gestione dei rischi operativi: in questa categoria rientrano i rischi di subire perdite che derivano dall’inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni. Nel rischio operativo è compreso il rischio legale, cioè il rischio di perdite che nascono da violazioni di leggi o regolamenti, da responsabilità contrattuale o extra-contrattuale, quindi da altre controversie; non sono invece inclusi i rischi strategici e di reputazione. Questo rischio interessa in particolare il settore bancario, ed è possibile ricondurlo a diverse tipologie di eventi di perdita: frode interna; frode esterna; rapporto di impiego e sicurezza sul lavoro; clientela, prodotti e prassi professionali; inadempienze rispetto a obblighi professionali; danni da eventi esterni; perdite derivanti da eventi esterni (catastrofi naturali, terrorismo, atti vandalici); interruzioni dell’operatività e disfunzioni dei sistemi; esecuzione, consegna e gestione dei processi.

Infine, bisogna ricordare che per verificare la conformità alle normative vigenti e alle regole prudenziali, banche e imprese possono essere sottoposte ad audit, controlli indipendenti svolti da esterni in base a regolamenti prefissati, con problemi in caso di esiti negativi.