Risk management per la governance significa avere una lucidità manageriale autentica. La gestione del rischio, infatti, comprende tutti i processi di identificazione, valutazione e controllo delle minacce al capitale e ai guadagni di un’organizzazione. I rischi reali e i rischi potenziali, infatti, possono derivare da un’ampia varietà di fonti. Di seguito qualche esempio:
- incertezza finanziaria
- responsabilità legali
- errori a livello di gestione strategica
- incidenti
- catastrofi naturali
- minacce alla sicurezza IT, violazioni e/o perdita di dati
Cos’è il risk management (gestione del rischio): una definizione
La letteratura definisce il risk management come “un insieme di attività, metodologie e risorse coordinate per guidare e tenere sotto controllo un’organizzazione con riferimento ai rischi”.
Un approccio globale al risk management consente ad un’azienda di considerare il potenziale impatto delle diverse tipologie di rischio sui processi aziendali, sulle attività, sugli operatori, sui prodotti e sui servizi.
RM: a cosa serve è perché è fondamentale per tutte le aziende
La funzione del risk management (RM), dunque, è quella di presidiare e proteggere il valore di un’organizzazione. Predisponendo un quadro metodologico che permette la piena operatività di ogni area aziendale, attraverso uno svolgimento coerente e controllato di ogni attività, il risk management garantisce:
- una comprensione esauriente e strutturata dell’impresa
- la pianificazione e la creazione di tutte le reali priorità
- l’allocazione più efficace del capitale e delle risorse all’interno dell’organizzazione
- la protezione del patrimonio, del know-how e dell’immagine aziendale (brand reputation)
- il miglioramento di tutti i processi decisionali
- l’ottimizzazione dell’efficienza operativa
Il presidio del rischio parte integrante di una buona corporate strategy
La consapevolezza e il realismo sono due fondamentali della cultura manageriale. Una buona corporate strategy non può prescindere dalla capacità di dare una definizione dei rischi e delle priorità. Questo perché risk management significa anche accettare una quantità di rischio in una parte dell’organizzazione per proteggere al meglio un’altra. Stabilendo un livello accettabile di rischio per diverse aree, infatti, un’organizzazione può preparare meglio le risorse necessarie per garantire la business continuity, mettendo al contempo le funzioni aziendali meno critiche in priorità secondaria. Indipendentemente dalle dimensioni e dal settore di riferimento, sempre e comunque il risk management deve essere parte integrante di un’organizzazione. Si tratta di un processo continuo che deve includere anche l’identificazione di una serie di persone chiave a cui assegnare responsabilità specifiche e ruoli appropriati.
Chief Risk Officer (CRO): chi è e cosa fa il risk manager in azienda
Il Chief Risk Officer (CRO) o il risk manager è il dirigente incaricato di valutare e mitigare qualsiasi tipo di minaccia al capitale e agli utili di un’impresa a livello competitivo, normativo e tecnologico. La posizione talvolta viene definita anche come responsabile della gestione dei rischi. Le responsabilità del risk manager variano a seconda delle dimensioni dell’organizzazione e del settore.
Oltre alle questioni legate alla compliance, i CRO si occupano di un ventaglio molto ampio di problematiche: assicurazioni, sicurezza IT, audit finanziari, audit interni, variabili aziendali globali, prevenzione delle frodi così come altre indagini aziendali interne. Il risk manager è anche la figura responsabile dell’implementazione di tutti i processi operativi legati alla gestione e mitigazione del rischio per evitare perdite derivanti da procedure, sistemi o politiche inadeguati o non andati a buon fine.
In dettaglio, la gestione del rischio operativo comprende:
- la pianificazione della business continuity e del disaster recovery
- lo sviluppo di processi di messa in sicurezza delle informazioni
- il presidio della governance e della conformità normativa
Ruoli e responsabilità di un CRO
In generale, il CRO è responsabile delle operazioni di gestione del rischio dell’azienda, compresa la supervisione delle attività di identificazione e mitigazione del rischio dell’azienda.
Dal momento che le tecnologie dell’informazione sono diventate parte integrante dei processi aziendali, i rischi legati al cybercrime e alle violazioni dei dati hanno aumentato l’ampiezza delle responsabilità di un CRO. Le strategie di protezione delle informazioni e gli sforzi per prevenire i margini di rischio sono diventati parte integrante del lavoro di un risk manager. Dalla sua capacità di identificare le vulnerabilità del sistema e le potenziali minacce alle reti di dati dell’azienda, infatti, può dipendere la salute aziendale.
Le responsabilità di un CRO
- Sviluppare una mappatura dei rischi e piani d’azione strategici per mitigare le minacce primarie dell’azienda, monitorando l’avanzamento degli sforzi di mitigazione
- Sviluppare e condividere analisi dei rischi e accurate relazioni sullo stato di avanzamento delle attività a dirigenti, consiglieri e dipendenti dell’azienda.
- Integrare le priorità di gestione dei rischi nella pianificazione strategica generale dell’azienda.
- Sviluppare e attuare strategie di informazione e assicurazione dei rischi per proteggere e gestire ile vulnerabilità e le potenziali criticità associate all’uso, alla conservazione e alla trasmissione di dati e sistemi di informazione.
- Valutare il potenziale rischio operativo derivante da errori dei dipendenti o guasti del sistema che potrebbero interrompere i processi aziendali, quindi sviluppare strategie per ridurre l’esposizione a tali rischi e rispondere adeguatamente quando si verificano questi problemi.
- Determinare la propensione al rischio dell’azienda e quantificare i livelli di rischio che l’azienda dovrebbe assumersi.
- Supervisionare il finanziamento e il budget dei progetti di gestione e mitigazione del rischio.
- Comunicare con le parti interessate dell’azienda e i membri del consiglio di amministrazione circa il profilo di rischio e le valutazioni dell’azienda.
Un CRO potrebbe anche essere tenuto a gestire diligence e assicurazione del rischio per conto della società in tutte quelle situazioni di business legate a fusioni, acquisizioni o particolari contratti. Ad esempio, un risk manager potrebbe essere la figura responsabile dello studio dei potenziali rischi che circondano una società destinataria dell’acquisizione e per determinare l’affidabilità dei processi di gestione del rischio delle società destinatarie.
Enterprise Risk Management (ERM) e gestione dei rischi nell’era digitale
Negli ultimi anni gli organismi di regolamentazione del settore e del governo, nonché gli investitori, hanno iniziato a controllare le politiche e le procedure di gestione del rischio delle società in un numero crescente di settori. Anche per questo, i consigli di amministrazione sono tenuti a riesaminare e riferire sull’adeguatezza dei processi di gestione del rischio nelle organizzazioni che amministrano.
L’Enterprise Risk Management (ERM) è il processo di pianificazione, organizzazione, conduzione e controllo delle attività di un’organizzazione al fine di ridurre al minimo gli effetti del rischio sul capitale e sugli utili di un’organizzazione. Come già scritto, la gestione dei rischi aziendali comprende rischi finanziari, strategici e operativi, oltre ai rischi associati a perdite accidentali. Il fatto è che, nell’era digitale, i rischi legati a data loss, data breach e le strategie di gestione conseguenti sono diventate una priorità assoluta per le aziende. Di conseguenza, un piano di gestione dei rischi include l’identificazione e i controlli di tutte le risorse digitali, inclusi i dati aziendali proprietari, la gestione degli accessi così come la tutela della proprietà intellettuale.
I vantaggi di una buona gestione del rischio
Secondo i consulenti esperti, i vantaggi di un buon risk management aiutano le aziende a prevenire o a risolvere i seguenti rischi.
- STRATEGICI, che includono tutti i rischi legati alla capacità dell’azienda di competere sul mercato
- FINANZIARI, che comprendono tutti quei rischi che vanno a incidere sulla liquidità aziendale
- RISCHI DELLA GLOBALIZZAZIONE, di cui fanno parte tutti quei rischi legati alle interdipendenze di carattere economico, sociale, culturale, politico e tecnologico tra le varie nazioni
- OPERATIVI, che annoverano tutti i rischi legati alla gestione operativa dell’azienda
- PURI, che fanno riferimento a tutti i rischi generati da danni materiali che possono portare un danno economico all’azienda
Come creare un piano di risk management in 5 punti
Le organizzazioni possono trarre vantaggio spostando il focus sulla riduzione complessiva di tutti i margini di rischio possibili. La visibilità della sicurezza generale dell’organizzazione diventa così parte integrante di una nuova cultura manageriale. La riduzione del rischio aziendale e lo sviluppo di un linguaggio comune di gestione del rischio richiedono a un’organizzazione la definizione di un piano che include 5 fasi:
- Definire l’ambito: identificare e dare priorità ai processi aziendali critici e ai relativi rischi.
- Mappare i rischi: determina quali minacce potrebbero compromettere gli obiettivi aziendali o le strategie più importanti, condividendo queste informazioni per impostare controlli tali da prevenire o mitigare ogni tipo di rischio.
- Sviluppare un piano d’azione: creare un piano di trattamento dei rischi per identificare i rischi inaccettabili e risolvere le eventuali debolezze o lacune.
- Automatizzare: utilizzare strumenti e tecnologie come l’Intelligenza Artificiale per automatizzare tutti quei processi manuali che risultano inefficienti e inefficaci.
- Monitorare e misurare: stabilire metriche che aiutano a identificare carenze e stabilire parametri di controllo utili. Il tutto continuando a monitorare in che modo procede il programma di gestione del rischio aziendale, se e come varia il numero di incidenti e come vengono risolti.
Strategie e processi di risk management
Più in dettaglio, un processo di risk management include:
- Identificazione del rischio – La società definisce i rischi potenziali che possono influenzare negativamente uno specifico processo o progetto aziendale.
- Analisi del rischio – Una volta identificati tipi specifici di rischio, l’azienda determina quindi le probabilità che si verifichino, nonché le sue conseguenze. L’obiettivo dell’analisi è comprendere ulteriormente ogni specifica istanza di rischio e come potrebbe influenzare i progetti e gli obiettivi dell’azienda.
- Valutazione del rischio – Il rischio viene quindi valutato ulteriormente dopo aver determinato il calcolo probabilistico unita alla valutazione delle possibili conseguenze. La società può quindi decidere se il rischio è accettabile e se la società è disposta a farsene carico sulla base della sua propensione al rischio.
- Mitigazione del rischio – È questo il momento in cui le aziende, una volta riconosciuti i rischi più pericolosi, sviluppano un piano per alleviarli, utilizzando specifici strumenti di controllo. Questi piani includono processi di mitigazione del rischio, tattiche di prevenzione del rischio e piani di emergenza nel caso in cui il rischio si concretizzi.
- Monitoraggio del rischio – Correlata al piano di mitigazione, il monitoraggio include il follow-up sia dei rischi che del piano generale per controllare e tracciare costantemente i rischi, nuovi ed esistenti. Anche il processo globale di gestione dei rischi dovrebbe essere rivisto e aggiornato di conseguenza.
Un framework per la valutazione del rischio
La valutazione del rischio merita una riflessione più approfondita. Per eseguire una corretta valutazione dei rischi è necessario analizzare, elencare e classificare tutti i potenziali rischi in modo da dare a un’organizzazione un piano più concreto per il recupero.
Un framework di valutazione dei rischi (Risk Assessment Framework – RAF) fornisce a un’organizzazione una descrizione dei sistemi evidenziando se il rischio è elevato o basso, generando una serie di informazioni utili al personale tecnico così come a quello non tecnico. Un RAF può essere utilizzato come strumento di mitigazione del rischio presentando metodi coerenti di valutazione e rendicontazione del rischio. I RAF comuni includono:
- una Guida alla gestione dei rischi per i sistemi informatici dell’Istituto nazionale di standard e tecnologia (NIST)
- la valutazione operativa delle minacce, delle risorse e delle vulnerabilità (Operationally Critical Threat, Asset, and Vulnerability Evaluation – OCTAVE) stilata dalla Carnegie Mellon University
- obiettivi di controllo per le informazioni e la tecnologia correlata (Control Objectives for Information and Related Technology – COBIT) ad opera dell’Information Systems Audit and Control Association (ISACA)
Metodologia per calcolare la matrice di rischio
La buona salute del business è sempre legata all’accettazione di livelli di rischio ragionevoli. Il livello di rischio accettabile dipende da molti fattori, fra cui:
- il potenziale impatto di un evento
- il grado di tolleranza aziendale complessivo rispetto a quel tipo di evento
- l’impatto dell’evento sulla crescita del business
- le conseguenze dell’evento sull’azienda rispetto ai competitor
Esistono quattro approcci metodologici alla gestione dei rischi:
Evitare
Si va a modificare un processo, un servizio o un sistema in modo da eliminare qualsiasi margine di rischio
Trasferire
Il rischio viene terziarizzato in modo parziale o totale attraverso il suo affidamento ad altri soggetti (partner, fornitori, assicurazioni e via dicendo).
Mitigare
Si interviene predisponendo controlli e verifiche tali da ridurre la probabilità che il rischio si concretizzi, andando a ridurre la gravità di un eventuale perdita (es. duplicare i server gestionali, applicare politiche serie di backup dei dati critici e così via).
Accettare
Assumersi il rischio e i costi ad esso associati.
L’approccio più comune (sia per la minore complessità che per i minori costi) è la mitigazione del rischio che prevede la creazione di meccanismi di controllo (progettati in base alla gravità del rischio) che riducano le possibili perdite accoppiati a sistemi di monitoraggio e analisi dei rischi. Gli altri approcci hanno costi e impatti spesso insostenibili o proteggono solo parzialmente dal rischio di perdita.
Risk mitigation e business continuity
La risk mitigation merita un’attenzione più approfondita. L’attenuazione del rischio, infatti, prevede provvedimenti per ridurre gli effetti negativi di minacce e catastrofi sulla continuità aziendale (Business Continuity). Le minacce che potrebbero mettere a rischio un’azienda includono attacchi informatici, eventi meteorologici e altre cause di danni fisici o virtuali a un data center. Di conseguenza, l’attenuazione del rischio si concentra sull’inevitabilità di alcune catastrofi (alluvioni o allagamenti, incendi o terremoti, interruzione dell’energia elettrica e via dicendo). E viene utilizzata per quelle situazioni in cui una minaccia non può essere completamente evitata. Un piano di mitigazione del rischio, infatti, deve tener conto non solo delle priorità e dei dati mission-critical di ciascuna organizzazione. Deve gestire anche tutti i rischi che potrebbero sorgere a causa della particolare posizione geografica. Il tutto tenendo conto anche dei dipendenti di un’organizzazione e delle loro esigenze.
Risk mitigation significa occuparsi delle conseguenze di un disastro e delle misure che possono essere prese prima che si verifichi l’evento per ridurre gli effetti negativi e potenzialmente a lungo termine.
A questo proposito sono numerosi i fornitori di business continity e disaster recovery (DR) che si concentrano sulla mitigazione del rischio. Le organizzazioni più piccole possono trarre vantaggio dai fornitori di Disaster Recovery As a Service (DRaaS) per mantenere i costi relativamente bassi.
Strategie di gestione del rischio
Una volta che i rischi specifici per un’azienda sono stati identificati e il processo di gestione del rischio è stato implementato. Ci sono diverse strategie che le aziende possono adottare in relazione ai diversi tipi di rischio.
- Evitare il rischio. Mentre la completa eliminazione di tutti i rischi è praticamente impossibile, una strategia di prevenzione dei rischi è progettata per deviare il maggior numero possibile di minacce al fine di evitare le conseguenze costose e dirompenti di un evento dannoso.
- Riduzione del rischio. Le aziende sono talvolta in grado di ridurre la quantità di effetti che determinati rischi possono avere sui processi aziendali. Ciò si ottiene modificando alcuni aspetti di un piano di progetto generale o di un processo aziendale o riducendo il suo ambito di applicazione.
- Condivisione del rischio. Le conseguenze di un rischio possono essere condivise o distribuite tra diversi partecipanti al progetto o dipartimenti aziendali. Il rischio potrebbe anche essere condiviso con una terza parte, ad esempio un fornitore o un partner commerciale.
- Mantenimento del rischio. A volte, le organizzazioni possono decidere che sia più conveniente dal punto di vista aziendale affrontare il margine di rischio. E questo decidendo di affrontare impatto e ricadute. In questo caso si manterrà un certo livello di rischio in vista del fatto che il profitto atteso da un progetto sarà superiore ai costi di gestione del suo rischio potenziale.
Standard di gestione del rischio
Dall’inizio degli anni 2000, numerosi enti del settore e del governo hanno ampliato le regole di conformità normativa che esaminano i piani, le politiche e le procedure di gestione dei rischi delle società. In un numero crescente di settori, i consigli di amministrazione sono tenuti a riesaminare e riferire sull’adeguatezza dei processi di gestione dei rischi aziendali. Di conseguenza, l’analisi del rischio, gli audit interni e altri mezzi di valutazione dei rischi sono diventati componenti fondamentali di una buona strategia aziendale.
Gli standard di gestione del rischio sono stati sviluppati da diverse organizzazioni, tra cui il National Institute of Standards and Technology (NIST) e l’ISO. Questi standard sono progettati per aiutare le organizzazioni a identificare minacce specifiche. Permettono di valutare vulnerabilità uniche per determinarne il rischio e identificare i modi per ridurre tali rischi. Grazie agli standard è possibile implementare gli sforzi di riduzione del rischio secondo la strategia organizzativa.
ISO 31000
I principi ISO 31000, ad esempio, forniscono delle linee guida relative ai possibili miglioramenti di un processo di gestione dei rischi. Le best practice possono essere utilizzate da qualsiasi azienda, indipendentemente dalle dimensioni dell’organizzazione o dal settore di riferimento. La norma ISO 31000 è progettata per aumentare la probabilità di centrare gli obiettivi, migliorare l’identificazione di opportunità e minacce, allocare e utilizzare efficacemente le risorse per il trattamento del rischio. Sebbene la ISO 31000 non possa essere utilizzata ai fini della certificazione, può aiutare a fornire indicazioni per l’audit interno o esterno del rischio. Essa consente alle organizzazioni di confrontare le loro pratiche di gestione del rischio con benchmark riconosciuti a livello internazionale.
L’ISO ha raccomandato che le seguenti aree o principi target dovrebbero far parte del processo complessivo di gestione del rischio finalizzato a:
- creare valore per l’organizzazione
- essere parte integrante del processo organizzativo generale in modo sistemico e strutturato
- affrontare esplicitamente qualsiasi incertezza, basandosi sulle migliori informazioni disponibili
- tenere conto dei fattori umani, compresi i potenziali errori per essere trasparente e inclusivo.
- essere continuamente monitorato e migliorato in un’ottica evolutiva
Il ruolo degli standard
ISO e standard analoghi sono stati sviluppati in tutto il mondo per aiutare le organizzazioni a implementare sistematicamente le migliori pratiche di gestione dei rischi. L’obiettivo finale di questi standard è stabilire quadri e processi comuni per attuare efficacemente le strategie di gestione dei rischi. Questi standard sono spesso riconosciuti da organismi di regolamentazione internazionali o da gruppi del settore target. Sono inoltre regolarmente integrati e aggiornati per riflettere le fonti in rapida evoluzione del rischio aziendale. Sebbene il rispetto di questi standard sia generalmente volontario, l’aderenza può essere richiesta dalle autorità di regolamentazione del settore o tramite contratti commerciali.