Il Risk Management nel modello gestionale di un’azienda

Sebbene questo articolo si concentrerà sul Risk Management come parte integrante del Modello di gestione aziendale, il concetto di rischio è, in realtà, molto ampio: se focalizziamo l’attenzione per qualche istante sulla definizione di rischio, inteso come eventualità di subire una perdita, ci accorgiamo di quanto siano rari gli aspetti della nostra vita che possiamo dichiarare privi di imprevisti. Ciò non deve sorprenderci, perché è insita nella natura dell’uomo la componente di incertezza che caratterizza la nostra mancata capacità di prevedere il futuro.

Oltre all’incertezza, sono tante le parole-chiave associate all’intricato mondo del rischio: la probabilità, la scelta, la prevenzione, la previsione, la responsabilità e persino il presentimento, spesso scaturito dall’esperienza.

Una cosa, invece, è certa: che sin dai primordi dell’umanità, ogni individuo abbia cercato con tutte le sue forze e con i mezzi a disposizione, di controllare il più possibile il rischio nelle sue più svariate manifestazioni. Non è facile evitare o ridurre il rischio quando si tratta di situazioni astratte come quelle legate al coinvolgimento sentimentale o al gusto puramente personale. Se invece vogliamo considerare la componente rischiosa correlata ai fenomeni fisici e agli eventi scientifici, possiamo contare su metodologie e simulazioni. Esse comportano un certo grado di controllo del rischio.

Il modello di gestione aziendale

Il Risk Management risulta essere una delle colonne portanti sulle quali si basano tutti i modelli gestionali:

Un’azienda che ha come obiettivo quello di essere competitiva nel mercato moderno, non può trascurare i rischi all’interno della pianificazione dei prodotti e dei processi: per questo motivo è necessario definire sia un Piano dei rischi di Commessa che un Piano dei rischi di Azienda. Due rispettivi esempi di rischio sono:

– esiste il rischio che il cliente non paghi o che i fornitori dei materiali necessari alla realizzazione del prodotto non rispettino le scadenze

– l’azienda rischia di non trovare i finanziamenti necessari e i service disponibili per la commessa

Questi due Piani devono includere i possibili rischi, i loro effetti e gli eventuali rimedi, esaminando tutte le attività costituenti le 5 macro-fasi del life-cycle di commessa:

1. fase di offerta al cliente (esempi di rischio: valuta utilizzata, solidità finanziaria del cliente)
2. sviluppo progettuale (esempi di rischio: carenza di risorse competenti, dipendenza delle scelte tecniche da fattori esterni all’azienda)
3. fase di acquisto (esempi di rischio: affidabilità non adeguata dei fornitori consolidati, soluzioni di approvvigionamento con tempi di consegna critici)
4. costruzione (esempi di rischio: processi e tecnologie innovative necessarie, ricorso ad appalti esterni)
5. fase di gestione (esempi di rischio: carenza di figure di interfaccia e di coordinamento, scarsa chiarezza nell’assegnazione degli obiettivi)

In sintesi, l’obiettivo della Gestione del rischio è: gestire le potenziali criticità in modo da prevenirle e valutare l’entità dell’impatto che ogni possibile rischio comporta (soprattutto a livello economico).

E’ importante che la pianificazione dei processi aziendali includa anche dei piani e degli strumenti utili a contenere, in modo circoscritto, le eventualità negative inevitabili. E a rimediare ai danni conseguenti.

Revisione norma ISO 31000 “Risk management – Principles and guidelines“

Nel 2009 tutti i concetti inerenti al Risk Management sono stati formalizzati nello standard ISO 31000 per poi evolversi con l’ultima versione pubblicata a maggio 2018.

La nuova versione semplifica, chiarisce ed evidenzia i princìpi fondamentali che stanno alla base della gestione del rischio:

• Revisione ed aggiornamento dei principi di gestione del rischio come fattore critico di successo, di qualità e di miglioramento continuo
• Maggiore enfasi alla leadership del top management ed all’integrazione del risk management nella gestione organizzativa
• Maggiore importanza all’iteratività nella gestione del rischio
• Semplificazione dei contenuti per rendere il modello di gestione dei rischi adatto a qualsiasi realtà e reattivo al cambiamento
• La gestione del rischio crea e protegge il valore sia dell’azienda che del prodotto
• L’approccio del risk management dev’essere efficiente ed efficace: strutturato, tempestivo, dinamico, inclusivo, sistematico
• Definire il Piano dei Rischi è parte integrante del processo decisionale
• Rendere disponibili ai gestori aziendali tutte le informazioni necessarie a prevedere i possibili rischi.

Gli step del Risk Management secondo lo standard ISO 31000 :

1. definizione del contesto
2. analisi del rischio (identificare i rischi, analizzarli per calcolarne la probabilità, ed infine, ponderare l’entità dei loro effetti. Ciò comporta l’assegnazione delle responsabilità)
3. trattamento del rischio e contenimento (definire il Piano dei Rischi e le azioni correttive)
4. monitoraggio e revisione del rischio (continuo aggiornamento del Piano tramite riunioni)
5. feed-back dei risultati (imparare dall’esperienza dei successi e dei fallimenti)

E’ fondamentale che i responsabili della gestione del Risk Management eseguano queste 5 fasi tramite un continuo monitoraggio delle attività e dell’evoluzione delle informazioni. Quindi, bisogna pianificare i riesami delle situazioni a rischio attraverso la consultazione integrata degli specialisti. Le situazioni a rischio, infatti, non sono mai isolate dal contesto, ma soggette ai continui cambiamenti legati alle modifiche che l’azienda deve apportare per centrare l’obiettivo finale. Esso è la qualità, intesa come soddisfazione delle aspettative del cliente (non solo riguardo il prodotto richiesto ma anche l’ambiente in cui egli viene accolto).

Casi particolari che non rientrano nei piani del Risk Management:

• tutto ciò che viene coperto dall’Assicurazione, non è considerato un rischio (ad es. incidenti in cantiere)
• non raggiungere il miglioramento atteso non è un rischio (è gestito dai Piani di Miglioramento)
• eventi legati a cause di forza maggiore (ad es. sciopero del personale)

Si deduce, quindi, che la gestione del rischio deve concentrarsi sulle probabilità di eventi prevedibili, non di qualsiasi tipo di rischio.

Criteri di valutazione del rischio in azienda:

A questo punto, è chiaro che il Risk Management deve gestire tutti quei processi caratterizzati da una quota di incertezza, intesa anche come imprecisione. Per questo motivo è impossibile effettuare un calcolo preciso e totalmente affidabile del livello di rischio in cui si può incorrere e del grado del suo impatto. Bisogna invece ragionare in termini di calcolo delle probabilità (attenzione, non delle possibilità).

Il metodo analitico matriciale è uno dei più utilizzati per la valutazione del rischio. Questa valutazione è parte integrante della redazione del Documento di Valutazione del Rischio (DVR).

Il calcolo del rischio si basa sulla relazione:

R = P x D

dove P è il fattore di probabilità che il rischio R si realizzi. D è il fattore di impatto cioè l’entità delle conseguenze che il rischio comporta. Questi fattori sono ponderati tramite una scala numerica prescelta (ad es. si scelgano 4 valori sia per la probabilità del rischio che per l’impatto del danno):

Compilando la matrice PxD si ricavano i Livelli di Rischio, cioè intervalli di valori che stabiliscono se il grado di rischio in esame è molto basso/irrilevante, medio-basso, medio-alto o altissimo:

dove il fattore di rischio/di attenzione R esprime quantitativamente la valutazione globale e sintetica del rischio associato ad un determinato evento. Grazie a questi livelli, è possibile passare alla definizione del Piano d’Azione per il trattamento del rischio. In base alla classificazione del rischio occorre programmare ed attuare le misure di contenimento, di recupero, di accantonamento, di prevenzione (misure per ridurre la probabilità di un evento) e protezione (misure per ridurre la gravità dei danni).

La Scala delle Priorità è molto importante perché agevola i manager a stabilire l’ordine gerarchico e i tempi di esecuzione delle misure da intraprendere.