Nell’ambito di una corretta strategia di analisi e gestione del rischio, il risk assessment rappresenta un passaggio fondamentale. La procedura di valutazione include iter che prevedono l’analisi e la previsione, per individuare quali sono le minacce, in che misura potranno verificarsi e anche i limiti entro cui si potrà rischiare, nonché le correzioni sul piano metodologico e di processo che possono aiutare l'impresa a prevenirle.
Va precisato che assessment è un termine generico che non si applica solo al risk management. Di per sé indica semplicemente una valutazione da condurre su un dato aspetto a seconda del contesto in cui ci si trova. Per esempio, in ambito di gestione del personale, l’assessment può indicare la valutazione di candidati per un posto di lavoro, mentre in ambito scolastico indica la valutazione del rendimento degli studenti. Il termine viene usato ogni volta che si deve compiere una valutazione con rigore scientifico, basandosi sull’individuazione di fattori concreti e del contesto.
Rispetto alla gestione del rischio, il processo di risk assessment indica la valutazione dello stesso. Si tratta di uno step del più ampio processo di risk management. In particolare, il risk assessment è volto a individuare e analizzare i rischi per capire quali siano le priorità di intervento e produrre poi azioni strategiche per contenerli o attenuarli. È il punto fondamentale della strategia di gestione del rischio e al suo interno include altre fasi.
Servendosi di variabili e di probabilità, la metodologia alla base del risk assessment permette di fornire indicazioni chiare su quali siano i pericoli che le attività aziendali corrono e su quali sia necessario intervenire con urgenza, determinando anche la gravità dell’impatto delle conseguenze in caso l’evento dannoso si verifichi davvero.
La procedura può essere genericamente schematizzata in 3 fasi:
Tuttavia, bisogna tenere sempre presente che la valutazione del rischio non dispone di procedure univocamente codificate. Le fasi sono infatti variabili, ma è comunque sempre buona pratica partire dallo studio del contesto in cui si opera e cercare di individuare le principali fonti di minacce. Le due azioni sono strettamente correlate, perché l’esperto di risk assessment potrà capire quali sono i rischi che si corrono proprio analizzando l’ambito operativo. In questa fase, è quindi necessario condurre indagini e raccogliere dati e informazioni a seconda di quale sia l’obiettivo della valutazione. Per esempio, se si svolge l’assessment in relazione ai rischi connessi al personale sul posto di lavoro, si dovranno raccogliere dati sulle condizioni degli uffici, sui materiali o macchinari usati, sui prodotti per individuare eventuali fonti di rischio per la salute dei lavoratori. In ambito più generale invece, questo sarà solo un aspetto dei tanti che la procedura di risk assessment andrà a individuare come potenzialmente pericolosi per l’andamento aziendale. Naturalmente occorre studiare anche le relazioni che intercorrono tra risorse umane, asset ed elementi che risiedono all'esterno del perimetro aziendale: si tratta quindi di prendere in analisi i processi, individuando nei diversi workflow criticità e opportunità per mitigare l'avverarsi di potenziali minacce e attivare strumenti e procedure che aiutino l'organizzazione a prevenirle.
Il risk assessment ha anche una valenza strategica, perché consente di fare delle previsioni sul rischio. Si procede andando a studiare per ogni pericolo che si è identificato nel contesto aziendale quale sia la probabilità che questo si verifichi per davvero. Utile a questo pro avere statistiche che permettano una ricostruzione della storicità delle crisi subite dall’azienda, per capire quali pericoli si sono concretizzati e in che misura. L’assessment produrrà anche dati sugli eventuali impatti che la realizzazione dei rischi individuati possono provocare, in una scala che contempla diversi gradini dal meno grave al catastrofico, indicando anche le ripercussioni per l’azienda.
L’assessment in un’ottica strategica è utile anche per stabilire i limiti entro cui correre dei rischi in maniera controllata e raggiungere gli obiettivi che l’istituto di credito o l’impresa si è prefissato.
D'altra parte, sempre più aziende stanno ricorrendo a sistemi evoluti di risk management sia per tutelare il proprio business, sia per comprendere, in uno scenario competitivo sempre più dinamico, fino a dove è possibile spingerlo. Secondo il rapporto Allied Market Research intitolato "Risk Management Market by Component (Solution and Services), Deployment Model (On-Premise and Cloud), Organization Size (Large Enterprises and Small & Medium Enterprises), and Industry Vertical (BFSI, IT& Telecom, Retail, Healthcare, Energy & Utilities, Manufacturing, Government & Defense and Others): Global Opportunity Analysis and Industry Forecast, 2019-2026”, il valore del mercato globale dei sistemi dedicati alla gestione del rischio, stimato pari a 6,25 miliardi di dollari nel 2018, dovrebbe raggiungere i 18,50 miliardi entro il 2026, con una crescita media anno su anno del 14,6%.
Le ragioni di tale incremento sono del resto sotto gli occhi di tutti: l'aumento delle violazioni dei dati e della sicurezza nelle imprese, l'inasprirsi delle normative governative e dei regolamenti di settore, lo sviluppo del panorama dell'IoT e l'affermazione delle piattaforme di risk management nei principali istituti finanziari hanno permesso alle imprese di osservare la disciplina del rischio da una nuova prospettiva. Fino a qualche tempo fa, inoltre, i costi elevati e la complessità dell'installazione e della configurazione dei software ostacolavano in una certa misura l'avvicinamento dei CTO e dei CRO alle soluzioni. Oggi, sottolinea il report, l'integrazione dell'intelligenza artificiale nelle piattaforme di gestione dei rischi e l'aumento della domanda da parte delle economie in via di sviluppo dovrebbero creare le premesse per una larga diffusione della cultura del rischio e dei prodotti che permettono di tradurre la teoria in pratica.