Stabilire correttamente le metriche del risk management framework è il primo passo che i CRO devono compiere per ridurre ai minimi termini i rischi imprevisti per la propria azienda. Nell'ottica di una gestione dinamica del rischio, le strategie di valutazione e mitigazione delle minacce che possono alterare i risultati attesi di business non si limitano a ipotizzare le eventuali perdite per accantonare risorse e strumenti in caso si avveri lo scenario peggiore possibile: servono primariamente a individuare possibili anomalie nello svolgimento dei processi e a calcolare la probabilità con cui possono concretizzarsi fenomeni interni ed esterni all'organizzazione per prendere le dovute contromisure prima che la situazione diventi critica. Saper prevenire gli effetti di un evento potenzialmente dannoso, quindi, non vuol dire riuscire a “prevederlo”, quasi come se si trattasse di un'intuizione personale. Significa mettere insieme una metodologia rigorosa, studiare attentamente tutte le attività in corso, correlarne i KPI con i dati storici degli incidenti passati e sfruttare le serie statistiche relative a disfunzioni di processo per mappare le azioni da intraprendere in modo proattivo e ridurre al minimo i rischi. Per fare ciò è fondamentale impostare le metriche giuste.
Ma quali sono le metriche da prendere in considerazione per costruire un risk management framework funzionale alla fisionomia di un'impresa? La risposta è, almeno parzialmente, contenuta nella domanda. Le metriche e i Key Risk Indicators devono essere infatti aderenti alle caratteristiche del settore di appartenenza del business, allo scenario in cui opera e, non ultimo, agli elementi che definiscono obiettivi e operatività dell'organizzazione. In altre parole, non c'è una ricetta univoca: esiste tutt'al più un metodo, volto a mettere in luce gli ambiti di rischio in cui versa, in modo peculiare, la propria azienda. Un'attività conoscitiva di questo tipo implica il coinvolgimento più ampio possibile dei decisori che disegnano i processi, degli amministratori che li gestiscono e degli utenti che ne fruiscono. Tutti gli input derivanti da questa fase di assessment devono poi confluire su un unico strumento di analisi, che elabori i dati acquisti omogeneizzando le fonti e le modalità di raccolta. Ai già citati contributi di serie statistiche e di record storici bisogna infatti aggiungere le informazioni – strutturate e non – ottenute attraverso interviste e indagini qualitative, oltre che ricorrendo all'acquisizione di dataset aggiornati forniti da terze parti. È grazie a questo studio integrato che il Chief Risk Officer, di concerto con gli altri responsabili coinvolti a vario titolo nelle varie fasi del piano di gestione del rischio, può scegliere le metriche giuste da adottare sul risk management framework di riferimento.
Perfezionare (o avviare, a seconda dei casi) una procedura del genere non è affatto semplice. Ecco perché ricorrere all'aiuto di un partner specializzato può rivelarsi estremamente utile, soprattutto per capire se le metriche adottate sono davvero coerenti con l'ambito di business e il contesto in cui opera l'azienda. Il valore di un consulente non si riduce solo agli strumenti – informatici e metodologici – che può mettere a disposizione del cliente, ma si sostanzia anche e soprattutto nel patrimonio di esperienza che può condividere con ciascuna tipologia di interlocutore, in base alle funzioni e ai ruoli che ricopre nelle delicate fasi del progetto di risk assessment. Senza contare che valutare processi, eventi e scenari assumendo un punto di vista nuovo, esterno, si rivela determinante nel riuscire a non dare nulla per scontato a a evidenziare in modo oggettivo criticità e potenzialità del proprio ambito operativo. Solo così ci si può avvicinare all'ambizioso obiettivo di ridurre ai minimi termini l'imprevedibilità dei rischi che possono alterarne l'equilibrio.