Riepilogo Contenuti
Risk Management: perchè e a cosa serve
Il risk management – tradotto letteralmente dall’inglese significa “gestione del rischio” – è un processo aziendale e strutturato che individua, valuta e gestisce i rischi associati a un’impresa così da garantirne buona salute e continuità operativa. Un buon risk management aiuta quindi l’azienda a raggiungere i propri obiettivi.
Negli ultimi anni, si è progressivamente abbandonata la visione ristretta e tradizionale di risk management che vedeva il rischio come un’entità esterna all’azienda, spesso senza responsabili e in accezione unicamente negativa. Il moderno significato di risk management è più ampio: connota le conseguenze dei rischi sia in accezione negativa di minaccia che in quella positiva di opportunità collegata a un evento inaspettato (ad esempio nel caso dell’assunzione di un rischio finanziario).
Il risk management è quindi sempre più strettamente legato alla strategia e alla cultura d’impresa.
Risk management: esempi di rischi aziendali
Ma quali sono le fonti da cui può derivare un rischio aziendale da gestire tramite il risk management? Ecco alcune tipologie di rischio ed esempi concreti:
- Incidenti, disastri naturali, errori umani o tecnici. Questo genere di rischi vengono chiamati rischi operativi e riguardano fattori interni o esterni che interrompono la continuità operativa di un’azienda.
- Incertezza finanziaria, micro e macro eventi economici come fluttuazioni del mercato, crisi o cicli economici. In questo caso si parla di rischi economici e finanziari che portano a una perdita di capitale.
- Responsabilità legali, non conformità alle normative: questi rischi legati alla cosiddetta compliance conducono l’azienda a dover pagare sanzioni e multe.
- Rischi informatici. La sicurezza informatica è sempre più importante e le falle in questo settore, come un furto di dati, possono portare a conseguenze economiche, interruzione dell’operatività e danni alla reputazione aziendale.
- Rischi legati alla reputazione del marchio – una copertura negativa nei media o recensioni pessime – sono rischi che sono sempre esistiti, ma che negli ultimi anni sono sempre più amplificati dai social media.
- Errori nella strategia aziendale mettono in pericolo l’azienda e la sua capacità di essere competitiva sul mercato: sono i cosiddetti rischi strategici.
- [….]
Le tipologie di rischio sono queste e altre: dipendono infatti molto dagli obiettivi dell’azienda e dal settore in cui opera.
Come funziona il risk management
Dunque cos’è il risk management? È un processo – attuato dai manager aziendali, da un esperto o da un team preposto – che considera l’impatto dei rischi sulla salute dell’azienda: sui servizi, sull’operatività, sul patrimonio e sul rendimento.
Per fare questo, il processo di risk management viene attuato in diverse fasi. Per semplificare, possiamo raggrupparle così:
- Identificazione e analisi dei rischi: si procede a identificare i rischi potenziali che possono influenzare negativamente (ma anche positivamente) la salute della propria azienda e il perseguimento degli obiettivi. Questi rischi vanno analizzati: ovvero si misura la probabilità che accadano e l’impatto sull’azienda.
- Valutazione dei rischi. Una volta realizzata la mappatura dei rischi, si passa alla valutazione. Il valore del rischio è dato dalla probabilità che si verifichi moltiplicato per il suo impatto: un rischio dall’impatto catastrofico ma dalla bassissima probabilità di verificarsi avrà un valore più basso di rischi più probabili ma dall’impatto meno distruttivo. La valutazione è lo strumento che permette all’azienda di riconoscere i rischi ed esserne consapevole.
- Gestione dei rischi. Una volta chiariti i rischi potenziali e il loro impatto vanno implementate delle strategie per gestirli. Alcuni rischi possono essere mitigati, prevenuti e ridotti: ovvero si può abbassare la probabilità che si verifichino o diminuire l’entità del loro impatto. Aggiornamenti software frequenti possono ad esempio rendere più difficili gli attacchi informatici, backup frequenti ne diminuiscono l’impatto. Altri rischi possono essere trasferiti – ad un’assicurazione, ad esempio, o a un partner –, altri ancora infine possono essere assunti consapevolmente, in toto o in parte.
- Monitoraggio dei rischi: ovviamente rischi e obiettivi aziendali mutano nel tempo. Va quindi attuato un continuo monitoraggio dell’evoluzione dei rischi e dello stesso processo di risk management.
Significato del risk management: i vantaggi della gestione del rischio per le aziende
Tutte le aziende, a loro modo, praticano una sorta di risk management. Imprese più grandi e strutturate hanno team e personale appositamente dedicati. Aziende più piccole, spesso inconsapevolmente, gestiscono i rischi in maniera informale e poco integrata con il resto delle dinamiche aziendali.
Perché le aziende dovrebbero utilizzare il risk management e farlo in maniera consapevole e strutturata? Perché in definitiva il risk management aziendale protegge e migliora il valore dell’impresa. In particolare:
- aiuta l’azienda a raggiungere i propri obiettivi
- migliora le performance riducendo la variabilità
- aumenta la fiducia da parte degli investitori nei confronti dell’azienda
- rende l’azienda più competitiva nel mercato perché capace di rispondere meglio e più in fretta ai cambiamenti.
Per questo il risk management dovrebbe entrare a far parte della cultura dell’azienda, essere integrato nella strategia e, all’occorrenza, modificare struttura e processi aziendali.
Chief Risk Officer: mansioni e ruolo in azienda
Il Risk Management è un processo deciso dal consiglio di amministrazione e dal management ed è attuato da loro e da altre figure nell’azienda. La figura principale è il Chief Risk Officer.
In breve, il Chief Risk Officer (CRO), è il dirigente incaricato di valutare e mitigare i rischi – operativi, economici, normativi, tecnologici e di reputazione – giudicati come significativi per la salute dell’impresa, il capitale e il rendimento.
Le responsabilità del Chief Risk Officer possono cambiare a seconda della tipologia dell’azienda, del settore e della dimensione. In ogni caso il Chief Risk Officer dovrà:
- sviluppare un piano di risk management e implementarlo
- fare in modo che siano attuate le diverse fasi del risk management: identificazione, valutazione, gestione e monitoraggio del rischio.
- allocare le giuste risorse finanziarie alle diverse attività del risk management
- comunicare le valutazioni del rischio al consiglio di amministrazione e a tutte le parti interessate dell’azienda.
Come creare il profilo per il risk management aziendale
Il risk management è uno strumento prezioso per le aziende per iniziare a gestire i rischi in maniera strutturata, garantendo maggiore stabilità e continuità. La creazione di un Chief Risk Officer da sola non basta per garantire efficacia al processo di risk management aziendale, c’è anche bisogno di:
- impegno da parte dei dirigenti dell’azienda nella gestione del rischio
- assegnazione di risorse adeguate al risk management
- integrazione del risk management nella cultura aziendale tramite eventi formativi
Infine, i dirigenti devono assegnare le responsabilità che riguardano il risk management all’interno dell’organizzazione. Come si sceglie una risorsa che dovrà diventare il Chief Risk Officer?
Il profilo di Chief Risk Officer ha sicuramente competenze trasversali: deve ovviamente conoscere i principi del risk management e gli strumenti di analisi e valutazione del rischio. Ma questo non basta. È necessaria anche una approfondita conoscenza del settore in cui opera l’azienda, dell’organizzazione aziendale e dei processi ormai consolidati all’interno dell’impresa. In ultimo, il Chief Risk Officer deve avere ottime capacità relazionali e saper dialogare con i diversi attori coinvolti e avere conoscenza dell’ambito assicurativo e della gestione aziendale.
Risorse utili per il risk management
FERMA (Federation of European Risk Management Associations) è la federazione delle associazioni europee di gestione del rischio e offre strumenti utili sia per le aziende che per i professionisti di Risk Management. In particolare offre eventi di formazione – anche online -, report e aggiornamenti sul quadro regolatorio in Europa e percorsi di certificazione per professionisti del settore.
L’italiana ANRA è invece l’Associazione Nazionale dei Risk Manager e Responsabili Assicurazioni Aziendali. Sul loro portale si trova materiale utile per la formazione continua, corsi e workshop, metodologie e casi studio.
Le norme ISO 31000 e ISO 31010 forniscono principi e linee guida per la gestione del rischio e la valutazione del rischio. Non sono specifiche per alcun settore e possono dunque essere utilizzate da qualsiasi azienda o organizzazione pubblica. Le norme possono essere applicate a qualsiasi tipo di rischio (con conseguenze positive o negative) in diversi tipi di attività aziendali e organizzative. La norma ISO 31000 è consultabile gratuitamente qui, lo standard ISO 31010 qui.