Nell’ambito di una corretta strategia di analisi e gestione del rischio, il risk assessment rappresenta un passaggio fondamentale. La procedura di valutazione include iter che prevedono l’analisi e la previsione, per individuare quali sono le minacce, in che misura potranno verificarsi e anche i limiti entro cui si potrà rischiare, nonché le correzioni sul piano metodologico e di processo che possono aiutare l'impresa a prevenirle.
Va precisato che assessment è un termine generico che non si applica solo al risk management. Di per sé indica semplicemente una valutazione da condurre su un dato aspetto a seconda del contesto in cui ci si trova. Per esempio, in ambito di gestione del personale, l’assessment può indicare la valutazione di candidati per un posto di lavoro, mentre in ambito scolastico indica la valutazione del rendimento degli studenti. Il termine viene usato ogni volta che si deve compiere una valutazione con rigore scientifico, basandosi sull’individuazione di fattori concreti e del contesto.
Rispetto alla gestione del rischio, il processo di risk assessment indica la valutazione dello stesso. Si tratta di uno step del più ampio processo di risk management. In particolare, il risk assessment è volto a individuare e analizzare i rischi per capire quali siano le priorità di intervento e produrre poi azioni strategiche per contenerli o attenuarli. È il punto fondamentale della strategia di gestione del rischio e al suo interno include altre fasi.
Servendosi di variabili e di probabilità, la metodologia alla base del risk assessment permette di fornire indicazioni chiare su quali siano i pericoli che le attività aziendali corrono e su quali sia necessario intervenire con urgenza, determinando anche la gravità dell’impatto delle conseguenze in caso l’evento dannoso si verifichi davvero.
La procedura può essere genericamente schematizzata in 3 fasi:
Tuttavia, bisogna tenere sempre presente che la valutazione del rischio non dispone di procedure univocamente codificate. Le fasi sono infatti variabili, ma è comunque sempre buona pratica partire dallo studio del contesto in cui si opera e cercare di individuare le principali fonti di minacce. Le due azioni sono strettamente correlate, perché l’esperto di risk assessment potrà capire quali sono i rischi che si corrono proprio analizzando l’ambito operativo. In questa fase, è quindi necessario condurre indagini e raccogliere dati e informazioni a seconda di quale sia l’obiettivo della valutazione.
Per esempio, se si svolge l’assessment in relazione ai rischi connessi al personale sul posto di lavoro, si dovranno raccogliere dati sulle condizioni degli uffici, sui materiali o macchinari usati, sui prodotti per individuare eventuali fonti di rischio per la salute dei lavoratori. In ambito più generale invece, questo sarà solo un aspetto dei tanti che la procedura di risk assessment andrà a individuare come potenzialmente pericolosi per l’andamento aziendale.
Naturalmente occorre studiare anche le relazioni che intercorrono tra risorse umane, asset ed elementi che risiedono all'esterno del perimetro aziendale: si tratta quindi di prendere in analisi i processi, individuando nei diversi workflow criticità e opportunità per mitigare l'avverarsi di potenziali minacce e attivare strumenti e procedure che aiutino l'organizzazione a prevenirle.
Il risk assessment ha anche una valenza strategica, perché consente di fare delle previsioni sul rischio. Si procede andando a studiare per ogni pericolo che si è identificato nel contesto aziendale quale sia la probabilità che questo si verifichi per davvero. Utile a questo pro avere statistiche aggiornate che permettano una ricostruzione della storicità delle crisi subite dall’azienda, per capire quali pericoli si sono concretizzati e in che misura. L’assessment produrrà anche dati sugli eventuali impatti che la realizzazione dei rischi individuati possono provocare, in una scala che contempla diversi gradini dal meno grave al catastrofico, indicando anche le ripercussioni per l’azienda.
L’assessment in un’ottica strategica è utile anche per stabilire i limiti entro cui correre dei rischi in maniera controllata e raggiungere gli obiettivi che l’istituto di credito o l’impresa si è prefissato.
Le metodologie per condurre un risk assessment possono variare a seconda del contesto operativo e degli obiettivi specifici. Le più diffuse includono:
Esempio applicativo: una banca può utilizzare un approccio quantitativo per misurare la probabilità di default di un cliente e un'analisi qualitativa per valutare l’effetto mediatico in caso di una crisi reputazionale legata a quel cliente.
Nonostante la diffusione del risk assessment, molti istituti continuano a commettere errori che compromettono la qualità dell’analisi. Tra i più frequenti:
Per evitare questi errori è fondamentale adottare un approccio dinamico e strutturato, mantenendo il processo di risk assessment aggiornato e integrato con gli altri strumenti di gestione del rischio.
Un risk assessment efficace richiede un approccio metodico, continuo e partecipativo. I principali step da seguire includono:
Un ulteriore passo fondamentale è la formazione continua delle risorse coinvolte, affinché il processo di valutazione non sia solo un esercizio formale, ma diventi parte integrante della cultura aziendale.
Con l’entrata in vigore del Regolamento DORA (Digital Operational Resilience Act), il risk assessment assume una nuova centralità nel contesto bancario europeo. Il regolamento, infatti, impone alle istituzioni finanziarie di rafforzare la propria resilienza operativa digitale, con un focus particolare sulla gestione dei rischi informatici.
Le principali novità introdotte da DORA in relazione al risk assessment includono:
Questo implica per le banche la revisione dei propri processi interni, anche attraverso strumenti di automazione, tecnologie di monitoraggio avanzato e piattaforme che favoriscano l'integrazione dei dati.
Topic: Risk Management