L’ultima moda nell’ambito della gestione d’impresa riguarda la valutazione e la gestione dei rischi. Anche le normative, siano cogenti, esimenti, standard internazionali di adozione facoltativa, oppure emanate da autorità garanti, puntano sempre nella stessa direzione.
Come un tormentone tutti ne parlano – intendiamoci, non è che sia sbagliato, tutt’altro – ma quando si fa sul serio e si parte dall’inizio del processo la questione sembra spesso poco chiara. Cerchiamo di far luce sulla questione in sei semplici step. L’obiettivo ultimo per le organizzazioni è capire come limitare i danni in caso di incidente ed individuare le aree di investimento più opportune.
Fase 1 – Definire il contesto
La prima operazione che un’azienda deve compiere – tanto per spiegarlo in modo semplice – è una ricognizione per individuare tutte le persone e le organizzazioni con le quali interagisce, sia direttamente, condividendo obiettivi comuni, oppure indirettamente interessandole con lo svolgimento della propria attività. Con una seconda ricognizione deve anche individuare le condizioni che è tenuta a rispettare nelle sue interazioni, ovvero i requisiti. Questi possono essere di carattere normativo, quindi definiti per legge, di carattere contrattuale, definiti con committenti, clienti e fornitori, ed infine genericamente applicabili attraverso l’adozione volontaria di standard o sistemi di gestione.
Fase 2 – Valutare i rischi
Arrivati a questo punto, si tratta di cominciare a riflettere su quali eventi possono rappresentare per l’organizzazione un problema, scendendo ulteriormente nel dettaglio su quelli che non sono solamente una seccatura ma che rischiano di metterla addirittura in ginocchio. E’ sufficiente procedere nel ragionamento con tre domande. Nel caso in cui si verifichi un dato evento, quale danno economico produce (per penali contrattuali, per mancata fatturazione o altro)? Implica sanzioni o cause legali? Cosa penseranno i clienti dell’organizzazione oppure gli investitori; l’abbandoneranno? Tutte le risposte devono essere espresse in euro.
Superata quindi la fase di identificazione dei rischi e condotta l’analisi degli impatti sul business, è ora necessario capire quali siano le probabilità che effettivamente un rischio si concretizzi in danno, prendendo in considerazione scenari nei quali interagiscono differenti cause che provocano determinati effetti. In questa valutazione deve anche essere presa in considerazione l’influenza esercitata dai fornitori, valutandone l’affidabilità e le competenze, anche in base a ciò che è stato definito nel contratto.
Sarà infine la direzione a ponderare i rischi, stabilendo se debbano essere integralmente accettati, se esista una porzione residua del rischio che debba essere trattata oppure se possa essere ceduto attraverso la stipula di apposite polizze assicurative.
Fase 3 – Piano del trattamento
A fronte dei rischi individuati, si individuano anche le modalità per mitigarli, scegliendo tra soluzioni organizzative, tecniche oppure fisiche. Deve quindi essere quantificato l’investimento necessario, proporzionato alle effettive possibilità dell’organizzazione e commisurato con il valore economico del rischio. Si nominano quindi i relativi responsabili, a fronte di un’adeguata formazione. Vengono poi identificati i controlli periodici da compiere per verificare che le contromisure scelte, una volta applicate, stiano funzionando come previsto. Infine vengono scelti gli indicatori per misurare l’efficacia dei processi attivati e definiti i risultati attesi.
Fase 4 – Applicazione delle contromisure
In questa fase si mette in pratica quanto definito in quella precedente.
Fase 5 – Valutazione dell’efficacia
E’ arrivato il momento di controllare che tutto funzioni esattamente come previsto. Devono quindi essere analizzati gli indicatori, confrontandoli con i risultati attesi, e valutato l’esito delle esercitazioni e dei test condotti. Inoltre è opportuno pianificare e condurre con cadenza regolare gli audit sull’intero processo di analisi e valutazione del rischio, assicurando che non vi sia conflitto di interessi: chi controlla non può aver partecipato alle attività di progettazione e realizzazione del processo.
Fase 6 – Miglioramento
Tutte le informazioni raccolte nella fase di controllo vengono passate al vaglio. Nel caso siano state identificate delle criticità, debbono essere immediatamente risolte. Nel caso in cui, invece, si siano riscontrate situazioni difformi rispetto alle condizioni attese, devono essere identificate le cause e stabilite le opportune correzioni.
Sulla base di quanto individuato deve essere aggiornata la valutazione dei rischi, ed in funzione dei risultati ottenuti, identificato nuovamente l’opportuno piano del trattamento.
Un’ultima nota, per concludere. Ad ogni variazione significativa del contesto oppure degli elementi considerati in fase di valutazione del rischio, il processo ricomincia dal principio.