Con il moltiplicarsi di touch point, linee di business e opportunità di esplorazione dei mercati offerte dalle tecnologie digitali, nelle organizzazioni la gestione dei rischi non può più prescindere da un approccio dinamico all'assessment e alla mitigazione delle potenziali criticità individuate. L'aggettivo dinamico, a seconda del contesto, ha diverse accezioni. Ma cosa si intende davvero per “dinamico” quando si parla di risk management?
Il riferimento è la norma ISO 31000, che a partire dal 2010, anno della sua pubblicazione, introduce un concetto di rischio che ben si attaglia alle sfide che devono affrontare oggi i risk manager. Secondo la norma, dedicata genericamente a qualsiasi azienda o libero professionista a prescindere dal settore attività e dalla natura del rischio, la gestione dei rischi deve essere integrata nella governance complessiva dell'organizzazione. Il rischio viene, infatti, definito come “l'effetto dell'incertezza sugli obiettivi”, ovvero una difformità rispetto a quanto ci si attende da determinati traguardi, uno scostamento che si verifica a causa della mancanza di informazioni relative a un particolare insieme di circostanze che combinandosi possono generare conseguenze non attese o, peggio, non desiderate.
Il concetto va declinato su ciascuno degli aspetti collegati alle attività necessarie a perseguire gli obiettivi preposti, oltre che sui vari versanti in cui si manifestano gli effetti. Ovvero sul fronte finanziario, su quello della sicurezza (fisica o cyber), su quello ambientale e via dicendo. In questo senso sono tre gli elementi che concorrono a plasmare il rischio: gli obiettivi da raggiungere, la minaccia che ne impedisce il perseguimento e la probabilità che quella minaccia si avveri. Gestire il rischio in maniera dinamica vuol dire quindi da una parte sviluppare un approccio che tenga conto di questo meccanismo per governare i processi orientandoli al raggiungimento effettivo degli obiettivi, dall'altra superare la logica che troppo spesso contraddistingue il risk management classico: quella che punta a minimizzare gli effetti negativi per l'organizzazione a danno avvenuto, proteggendo per esempio l'azienda dalle contestazioni che possono arrivare da autorità e stakeholder.
Dovrebbe ormai essere evidente perché conviene adottare un approccio dinamico nella gestione dei rischi. Rovesciando la prospettiva tradizionale, in primo luogo, sul piano dell'output di processo si prendono i classici ‘due piccioni con una fava’. Sembra scontato, ma non lo è affatto: studiare i task, le interazioni e le modalità operative per comprendere quali elementi portano effettivamente al raggiungimento degli obiettivi di business e quali invece generano difformità permette non solo di eliminare i fattori di rischio, ma anche di ottimizzare i risultati. In secondo luogo, creando mappe di rischio accurate (anche grazie all’IT Risk Mapping) – in grado cioè di evidenziare area per area quali sono i danni potenziali rispetto a determinate scelte e azioni – l'organizzazione può costruire appositi KRI (Key Risk Indicator) per predire gli effetti generati da ciascuna iniziativa, attribuendo nella misura corretta le co-responsabilità agli attori coinvolti nei processi decisionali e assegnando presidi di controllo coerenti con ciascun ruolo.
Sviluppare un approccio dinamico alla gestione dei rischi oggi significa prima di ogni altra cosa cambiare la cultura aziendale, facendola evolvere da una logica reattiva a una logica proattiva. Ma vuol dire anche cominciare a fare affidamento su soluzioni di mercato che, grazie all'analisi dei dati, aiutano l'impresa a mappare le priorità dell'organizzazione e a definire e orchestrare i piani d'azione necessari ad affrontare nel modo migliore ciascuna situazione nel momento stesso in cui si presenta.
Topic: Risk Management