Con il termine Risk Management (Gestione del Rischio) si intende “l’insieme delle attività coordinate per dirigere e controllare una organizzazione per quanto riguarda i rischi a cui è esposta”.

Si tratta di un processo che si occupa di identificare, misurare e valutare il profilo di rischio che caratterizza una organizzazione e di sviluppare le strategie più opportune per governarlo efficacemente.

La corretta definizione viene data dalla norma ISO 31000 “Risk management – Principles and guidelines” (in italiano UNI ISO 31000 Gestione del rischio – Principi e linee guida). È una norma che fornisce principi e linee guida generali per la gestione del rischio: può essere utilizzata da qualsiasi organizzazione privata, pubblica, sociale, associazione, gruppo e non è specifica per alcuna industria o settore.

La ISO 31000 definisce come sistematiche le attività di identificazione, misurazione, valutazione e trattamento del rischio, dove per rischio si intende l’effetto dell’incertezza sul raggiungimento degli obiettivi, ovvero l’effetto di fattori interni ed esterni e di altre influenze che rendono incerto il raggiungimento degli obiettivi fissati dalla organizzazione aziendale.  La corretta gestione del rischio è  fondamentale per ogni Impresa, poiché consente  di prevenire un evento critico indesiderato e, nel caso comunque questo si verifichi, di  essere preparati a gestirlo al meglio, limitandone gli effetti ad una dimensione tollerabile e calcolata dall’organizzazione, invece di reagire in maniera non coordinata e non efficiente.

Quest’ultimo caso  può verificarsi quando nelle scelte aziendali l’attenzione è focalizzata al raggiungimento degli obiettivi di risultato a breve, oppure quando viene trascurata o sottovalutata la presenza di importanti vulnerabilità dell’organizzazione ad eventi critici straordinari, oltre che ordinari.

La valutazione della probabilità che un evento si verifichi e della stima degli impatti attesi è quindi una riflessione strategica imprescindibile in tutti i processi decisionali che coinvolgono un’organizzazione, ed è una delle fasi fondamentali  del processo di gestione del rischio. A questa fa  seguito la riflessione su come controllare i rischi, evitando che questi  abbiano un impatto non sostenibile dall’impresa (ad esempio minimizzando le conseguenze, trasferendo quando possibile i rischi a terzi oppure trattenendoli  (parzialmente o completamente) in maniera consapevole (ritenzione).

Le categorie del rischio

Il rischio di impresa è legato a fenomeni che riguardano i rapporti tra questa e l’ambiente esterno e interno. L’azienda deve quindi fronteggiare:

• Rischi strategici: riguardano il raggiungimento degli obiettivi, i prodotti, il posizionamento e le partnership;
• Rischi operativi: derivano dalla inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni;
• Rischi finanziari: ne fanno parte il rischio di credito, quello di mercato e qualunque altro rischio che possa danneggiare le finanze dell’impresa;
• Rischio reputazionale: la percezione negativa dell’immagine da parte di clienti e investitori;
• Rischi da normative: comprendono eventuali inadempienze aziendali;
• Rischi informatici: riguardanti la sicurezza dei sistemi informatici.

Il processo di Risk Management si articola in diverse fasi (rif. ISO 31000 “Risk management – Principles and guidelines”): la prima è definire il contesto, cioè fare una analisi degli elementi con cui l’impresa si rapporta all’esterno (ad esempio il mercato, la concorrenza e le normative) e all’interno (gli obiettivi, la gestione manageriale e l’organizzazione dell’impresa).

Gli step successivi sono altrettanto importanti e riguardano il Risk Assessment, processo con il quale i rischi vengono identificati e analizzati. Si tratta di un momento fondamentale nella gestione del rischio in quanto permette di capire in quale misura potranno verificarsi gli eventi, qual è la loro portata, quanto è possibile rischiare e come modificare il processo per prevenire o ridurre l’evento.

Il fatto che tale processo permetta di identificare e di quantificare il rischio, porta con sè una straordinaria valenza strategica, poiché consente di ottenere una mappatura dei principali rischi a cui è esposta l’organizzazione (Mappa dei rischi o Risk Map).

In relazione alla Mappa dei rischi,  l’Impresa può decidere il proprio “Livello di accettabilità del rischio”, (ovvero, a fronte degli obiettivi strategici prefissati, stabilire  i confini entro i quali il rischio è ritenuto accettabile perseguimento degli obiettivi strategici prefissati e oltre i quali il rischio non lo è, rendendo così necessaria la implementazione di azioni correttive/migliorative).

Dopo aver lavorato alla definizione del contesto, all’identificazione e all’analisi dei rischi ed essere giunti alla mappatura dei rischi evidenziati, il processo di gestione prevede  l’ identificazione  delle strategie necessarie per il loro trattamento, indicando cosa fare per governare il rischio.

Il processo prevede poi la redazione di un report strutturato e la presentazione  ai vertici aziendali degli esiti delle attività di Risk Management, nel rispetto della Governance aziendale: tali risultati serviranno come base per valutare e poi assumere le decisioni più opportune

Come indicato dalla norma ISO 31000 è necessario infine prevedere un monitoraggio costante della situazione, con l’obiettivo  di mantenere sempre aggiornata ogni fase del processo.

Il rischio è una variabile sempre presente nella vita di ogni impresa e può riguardare vari aspetti.

Mettere in atto una buona governance significa mantenere in salute l’organizzazione, proteggere il know-how, proteggere l’immagine del brand, ottimizzare l’efficienza operativa e l’uso del  capitale e di tutte le risorse.

L’impresa che non adotta le adeguate strategie di Risk Management (oppure  le considera solo parzialmente, ad esempio perché focalizza la sua attenzione unicamente sull’aspetto finanziario), non è in grado di gestire efficacemente il rischio e le conseguenti situazioni di crisi nel momento in cui si verificano, andando incontro a esiti potenzialmente incerti, tali da mettere a rischio la propria sopravvivenza.

Le competenze di Per Consulting consentono alle imprese di avvalersi di una consulenza tecnica e strategica qualificata per sviluppare l’intero Processo di Risk Management nella  propria organizzazione (dall’analisi e valutazione dei rischi, alla identificazione delle azioni di mitigazione, alle modalità di controllo dei rischi, alla definizione di strumenti di pianificazione e di gestione delle potenziali crisi, quali Disaster Recovery Plan, Business Continuity Plan, Business Continuity Management System),  indispensabile per mantenere la continuità del business in ogni circostanza ,  per proteggere nel tempo il valore aziendale esistente e soprattutto per crearne di nuovo.