Il risk management è il processo attraverso cui gli istituti si occupano dei rischi associati alle attività svolte con l’obiettivo di ottenere dei benefici riguardanti le singole attività e/o l’insieme delle stesse.
Le 4 fasi del risk management
Il Risk Management per definizione si compone di 4 fasi:
1) Definizione degli obiettivi dell’istituto e di risk managment
2) risk assesment (articolato in identificazione, stima e valutazione dei rischi)
3) trattamento dei rischi (risk treatment)
4) Controllo (monitoring)
La definizione degli obiettivi e il trattamento dei rischi sono compiti di solito delegati alle decisioni dei manager e/o titolari di impresa.
Le altre fasi sono di norma di natura tecnica e delegati a consulenti e specialisti nella materia (es: tecnico-statistica per il risk assessment e tecnico-contabile per il risk reporting).
FASE 1 del risk management – DEFINIZIONE DEGLI OBIETTIVI
Gli obiettivi dell’azienda e il mercato in cui si muove sono estremamente rilevanti perché determinano:
1) L’atteggiamento dell’azienda verso le diverse tipologie di rischio
2) Le risorse da dedicare all’attività di risk management
3) i criteri da utilizzare per la valutazione dei rischi e per le decisioni sul trattamento degli stessi
Nella definizione degli obiettivi è ormai consolidato il cosiddetto “Stakeholders approach” che mira a massimizzare il valore aziendale creato dalla gestione a favore dei portatori del capitale di rischio
Quindi l’obiettivo del risk management è di contribuire a creare valore aziendale verso la proprietà.
Per questo lo scopo del risk management è solo ridurre i rischi aziendali se i benefici di questa operazione sono maggiori dei costi per da sostenere per ottenerli
FASE 2 del risk management – RISK ASSEMENT
Definiti gli obiettivi, stabilite le risorse e i criteri di valutazione, il processo di risk management prende il via nella sua parte più tecnica: il risk assessment con l’identificazione, la descrizione, la stima e la valutazione dei rischi
FASE 2.1 – Identificazione dei rischi
Identificare i rischi significa sostanzialmente individuare quegli eventi rischiosi che possono determinare effetti inattesi sugli obiettivi che l’azienda si pone.
Abbiamo visto come una mancata o errata identificazione dei rischi può compromettere del tutto l’azienda, il suo valore ed il suo patrimonio, perché è su questo aspetto che i rischi creano eventuali danni (minacce).
FASE 2.2 – Descrizione dei rischi
Essa consiste nel descrivere le principali caratteristiche dei singoli rischi identificati nella fase precedente. Questa descrizione dei rischi è finalizzata per lo più a rendere agevole le successive fasi di stima e valutazione, ma anche a far disporre al risk manager di un elenco dei rischi correttamente descritti per una più veloce e facile revisione del suo lavoro.
FASE 2.3 – Stima dei rischi
La parte “core” del risk assessment è la stima dei rischi: attraverso idonee tecniche di stima si procede a definire la probabilità e le conseguenze del rischio (che ricordiamo può concretizzarsi come una minaccia o un’opportunità).
Le tecniche possono essere di tipo quantitativo (es: scarto quadratico medio e perdita massima potenziale); qualitativo e semiquantitativo che si limitano a fornire una descrizione qualitativa o numerica delle possibili frequenze e conseguenze del rischio, senza determinare vere e proprie misure di rischio
Fase 2.4 – Integrazione dei rischi
Integrazione dei rischi significa aggregare tutti i rischi individuati e stimati e nella stima dell’impatto che ciascuno di questi ha sulla rischiosità complessiva dell’istituto (cosidetto rischio incrementale).
L’importanza di questa fase è evidente soltanto dopo aver apprezzato la stima quantitativa del rischio.
FASE 2.5 – Valutazione dei rischi
La fase di valutazione dei rischi conclude il risk assessment , il contenuto di questa fase è strettamente legato agli obiettivi attribuiti all’istituto e al risk management.
Si qui tratta di attribuire un valore numerico ad una variabile aleatoria.
Fase 2.6 – Risk Reporting
La fase di risk assessment genera un report sintetico ( risk reporting) volto ad evidenziare i principali risultati dell’analisi e permettere, a chi di dovere, di prendere adeguate decisioni
Il risk assessment è infatti di solito eseguito da tecnici mentre il risk treatment è di competenza di chi prende le decisioni in azienda
Di solito un rischio ritenuto adeguato non da luogo a decisioni, mentre un rischio inadeguato da luogo al risk treatment con successivo nuovo risk assessment
FASE 3 del risk management – RISK TREATMENT
La gestione del rischio consiste nel selezionare e implementare le più idonee misure atte a modificare il profilo di rischio, in linea con gli obiettivi operativi di risk management.
Dividiamo tra misure di gestione ex ante (misure di prevenzione, assicurazioni) e misure di gestione ex post (misure di contenimento, crisis management, riduzione del danno)
Le misure ex post vengono in ogni caso studiate e predisposte ex ante
In ogni caso una volta predisposte le misure è necessario fare una nuova stima del rischio e valutare il rischio residuo.
FASE 4 del risk management – MONITORING
Il monitoring o controllo è l’ultima fase del risk assessment e sovrintende a tutto il processo. Consiste in:
- Controllo di gestione del rischio assunto
- Reiterazione del risk assesment
- Validazione del processo di risk management e sua revisione (a seguito di danni)
- Svolgimento di audit interni
Quale modello di risk management adottare?
Abbiamo studiato a lungo il Risk based Thinking. Per chi, come noi, proviene dal mondo dei Sistemi di Gestione non è facile digerire questa “novità” che sulla Norma e nei documenti ISO appare fumosa e inafferrabile. Due sono stati gli elementi che hanno dato la svolta alla nostra ricerca di strumenti semplici e facilmente applicabili: la scoperta della ISO 31000:2010 (Gestione del rischio – Principi e Linee guida) e lo studio del Quaderno della Qualità dell’UNI del Gennaio 2016 (Fattori del contesto e parti interessate).
Prima di illustrare come questi due documenti possano effettivamente essere utili allo scopo di affrontare il concetto del “Risk Based Thinking” bisogna fare un’importante riflessione.
E’ un dato di fatto che la Norma ISO 9001:2015 non richieda l’utilizzo di nessuna metodologia formale per l’applicazione di questo concetto. E’ altrettanto consolidato il fatto che la suddetta Norma non richieda neppure alcun tipo di evidenza documentale relativamente alla sua applicazione.
La conseguenza più immediata di queste due considerazioni è che qualsiasi approccio al Risk Based Thinking è formalmente applicabile. Ma la vera domanda da porsi è: è vero che qualsiasi approccio può portare analoghi risultati relativamente alla gestione dei rischi? Lasciatemi esprimere qualche dubbio.
Consulenza per la tua azienda? Contattaci!
Seguici su Facebook.
