Il risk management, in italiano “gestione del rischio”, è il processo con il quale si misura il rischio aziendale e che porta all’individuazione di strategie apposite per governarlo.

Sebbene sia antico quanto il business, d’altronde in ogni piano strategico degno di questo nome deve essere considerata una variabile di rischio, il concetto oggi assume un’importanza maggiore. Questo perché i rischi nella gestione di un’impresa sono decisamente aumentati. E sottovalutarli comporta dei danni maggiori rispetto al passato. Danni riconducibili essenzialmente alla perdita di fatturato.

All’interno del termine risk management, poi, oggi rientra una marea di fattori, di rischio appunto, semplicemente impensabili anni fa. La mancanza di componenti, un cyberattacco, l’impatto ambientale, sono tutti rischi “nuovi” rispetto al passato, che vanno ad aggiungersi ai rischi operativi classici, di cui il fermo macchina o un incidente sono gli esempi più banali.

[BeeCyber è la Business Units di Infor specializzata in servizi di cyber security. Al centro della mission di BeeCyber c’è sempre business del cliente: ne comprende e identifica il valore, e lo mette in sicurezza con le migliori soluzione di servizi Cyber. Per saperne di più e scoprire le soluzioni BeeCyber per la protezione dei dati e del tuo business, clicca qui.]

Cosa è il risk management

Estendiamo, allora, la definizione di cosa è il risk management: processo di identificazione, valutazione e controllo delle minacce al capitale e ai guadagni di un’azienda. Dunque, la gestione di fenomeni, generalmente esterni, che possono minare il business aziendale. Il rischio può derivare da una varietà di fonti: incertezze finanziarie, responsabilità legali, problemi tecnologici, errori di gestione strategica, incidenti e disastri naturali.

Identificare, valutare e controllare sono i tre paradigmi del risk management. È evidente che il risk management richiede la realizzazione di un progetto specifico che si basa su modelli universali. Ed è altrettanto evidente che un progetto di risk management sarà completo solo quando, qualunque cosa succeda, l’azienda saprà superare un certo evento previsto minimizzando le conseguenze.

Un progetto vincente di gestione del rischio, dunque, deve avere come primo obiettivo l’identificazione di ogni possibile rischio. E ciò è soggettivo rispetto all’azienda. Successivamente, c’è da valutarlo, ovvero misurare l’impatto dell’evento rischioso sul business aziendale. E, infine, migliorare strategie e operatività aziendale affinché l’impatto dell’evento sia minimo.

Ci sono, poi, rischi negativi e rischi positivi. Questi ultimi potrebbero essere definiti anche come opportunità mancate. Non partecipare a una gara pubblica, per esempio, può essere un rischio positivo. Non partecipare è una precisa scelta che può rientrare all’interno della gestione del rischio.

L’approccio del risk management

Attenzione: non è possibile eliminare i rischi ma solo immaginarli e fronteggiarli. Perché i fattori di rischio crescono e mutuano, e non si possono prevedere. La questione è essenzialmente: quali rischi vale la pena di correre, ovvero che abbiano un impatto minimo sul business?

Un buon approccio di risk management, dunque, prevede il calcolo di propensione al rischio. Ovvero, posto il fatto che i rischi si devono correre, il parametro dovrebbe basarsi su una scala inversa dei rischi che vada da quello a minor impatto a quello a maggior impatto su business. Alcuni rischi potranno essere accettati senza che siano necessarie azioni mitigatorie. Altri saranno gestibili o evitabili del tutto.

E poi si deve progettare un piano preventivo che abbia l’obiettivo di ridurre questo impatto, raggiungendo l’ideale (impossibile) di un impatto nullo o quasi per tutti i rischi immaginabili in un certo momento. Ma per quelli impensabili (il Covid, le conseguenze della guerra per esempio) è molto difficile trovare approcci garantiti.

Ciò che si fa, generalmente, è immaginare conseguenze esagerate su un possibile fattore di rischio di cui non si ha letteratura, e lavorare sull’assorbimento delle conseguenze.

Che impatto avrebbe una pandemia sull’economia? Gli studi probabilistici e i protocolli da adottare per mitigare l’impatto erano pronti prima del 2020. Ma poi le tesi basate su ipotesi teoriche spesso falliscono, perché la realtà è diversa dall’immaginazione. E, allora, è necessario costruire un’esperienza, per poi replicare una reazione migliore la prossima volta che lo stesso evento si presenta. Allo stesso modo, chi si occupa di gestione del rischio ha tutto l’interesse ad applicare esperienze già vissute. È dunque fondamentale mettere a fattor comune le conoscenze che ogni azienda che si occupa di risk management può acquisire nel tempo.

LEGGI ANCHE: COSA E’ IL CYBER RISK E COME SI AFFRONTA

I cinque step di un processo di risk management

Una delle fonti più accreditate in cui si basano i processi di risk management è lo standard ISO 31000, le linee guida del risk management. Il processo di gestione del rischio in cinque fasi ISO 31000 comprende:

  • Identificazione dei rischi
  • Analisi della probabilità e l’impatto di ciascuno
  • Assegnazione delle priorità ai rischi in base agli obiettivi aziendali
  • Gestione delle (o risposta alle) condizioni di rischio
  • Monitoraggio dei risultati e regolazione se necessaria.

Tutto semplice, no? No. Già dalla fase di acquisizione delle informazioni, il lavoro di progettazione si rivela complesso. È necessario costruire un identikit dell’azienda e individuare tutte le vulnerabilità possibili, standard e specifiche del mercato e della singola realtà.

Il lavoro preliminare, che poi porterà alla misurazione dei fattori di rischio e alla assegnazione delle priorità, deve essere approfondito. Superato questo passo, ci si affida a modelli di misurazione standard, che oggi sono anche in grado di fornire un approccio preliminare di gestione.

Analisi top down

Nel processo di valutazione si può scegliere una metodologia di tipo top-down, in cui si identificano i processi mission-critical dell’organizzazione e si determinano le condizioni che potrebbero ostacolarli. L’approccio bottom-up parte con l’individuazione delle fonti delle minacce (terremoti, recessioni economiche, attacchi informatici, ecc.) e considera il loro potenziale impatto sugli asset critici.

Rischi in categorie

Si può anche procedere per una categorizzazione dei rischi. Per esempio, considerando il rischio strategico (es. reputazione, relazioni con i clienti, innovazioni tecniche); il rischio finanziario e di reporting (es. mercato, fiscale, di credito); il rischio di compliance e governance (es. etica, normativa, commercio internazionale, privacy); e il rischio operativo (es. sicurezza informatica e privacy, catena di approvvigionamento, problemi di manodopera, disastri naturali).

Un altro modo in cui le aziende possono classificare i rischi è raggrupparli nei seguenti quattro tipi di rischio di base per le aziende: rischi per le persone, rischi per le strutture, rischi per i processi e rischi per la tecnologia.

Infine, nella fase di identificazione del rischio è utile costruire un registro dei rischi.

Vantaggi e svantaggi del risk management

Gestire efficacemente i rischi che potrebbero avere un impatto negativo o positivo sul capitale e sugli utili porta molti vantaggi. Ma presenta anche delle sfide, sintetizziamoli entrambi:

  • Maggiore consapevolezza del rischio in tutta l’organizzazione
  • Maggiore fiducia negli obiettivi dell’organizzazione perché il rischio è preso in considerazione nella strategia
  • Garanzia di una perfetta adesione alla compliance
  • Miglioramento dell’efficienza operativa attraverso un’applicazione più coerente dei processi e dei controlli sui rischi
  • Miglioramento della sicurezza e protezione sul lavoro per dipendenti e clienti
  • Differenziazione competitiva sul mercato.

Mentre, le sfide:

  • Aumento iniziale delle spese
  • Investimento di tempo e risorse interne
  • Difficoltà a raggiungere un completo consenso su cosa è rischio
  • Difficoltà a trasmettere il valore della gestione del rischio al management.

I servizi di BeeCyber per il risk management

Quelli relativi alla sicurezza delle infrastrutture IT sono balzati prepotentemente in testa alla lista dei rischi che un’azienda si trova a dover correre. Oggi la riduzione del rischio aziendale derivante da attacchi cyber è un fattore sempre più determinante per la continuità del business, il raggiungimento delle conformità e la salvaguardia della reputazione.

BeeCyber è la Business Unit specializzata in servizi di cybersecurity, che pone al centro il business del cliente, ne comprende e identifica il valore, e lo mette in sicurezza con le migliori soluzione di servizi Cyber. Infor si affianca alle aziende per supportarle nell’identificare e classificare il livello di rischio, e aiutarle nel processo di mitigazione continuativa.

In Infor sono fortemente convinti che il valore di una efficace strategia di cyber security sia nell’identificare il giusto punto di equilibrio tra un investimento tecnologico e un approccio consulenziale capace di rispondere alle reali necessità di business.

Risk management cos’è e perché è importante per le aziende ultima modifica: 2020-07-15T11:33:00+02:00 da Valerio Mariani

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui