Risk Management o Enterprise Risk Management
Quando parliamo di Risk Management o Enterprise Risk Management dobbiamo necessariamente porci una domanda: La Security aziendale è responsabile della gestione dei rischi? La risposta è che la Security deve garantire il conseguimento degli obiettivi di Business a fronte di situazioni di rischio per le risorse materiali, immateriali, per le risorse umane e per tutto il patrimonio aziendale. Per raggiungere questo risultato, bisogna identificare e prevenire i rischi a cui l’azienda si espone, individuando soluzioni che di fatto trasformino il rischio in scelta ed opportunità, perché non dimentichiamo che, dove c’è un rischio, c’è anche un’opportunità.
Cosa è il rischio?
Quando parliamo di rischio, intendiamo un evento futuro che potrebbe avere impatti negativi sugli obiettivi e i risultati di un’azienda, al contrario, quanto parliamo di opportunità intendiamo un evento futuro che potrebbe avere impatti positivi sugli obiettivi e sui risultati di un’azienda. Nel classificare i rischi (basso, medio, alto), vanno tenuti in considerazione alcuni fattori: fattore Politico, instabilità e tensioni politiche e geopolitiche; fattore Sociale, disordini sociali, conflitti, criminalità, povertà; fattore Economico, continui cambiamenti dell’economia globale, instabilità dei mercati finanziari; fattori Eventi naturali, terremoti, alluvioni.
Come trattare i rischi
Nel trattare i rischi, vanno tenuti in considerazioni i diversi modi di approccio e la formula matematica che li accomuna R=P*I dove P è la probabilità che si verifichi il rischio e I è l’impatto potenziale sul business. Il rischio lo si può Evitare, decidendo di eliminarlo semplicemente non esponendosi, in tal modo però si eliminano anche le opportunità correlate; lo si può Accettare, decidendo di mantenere il livello del rischio sui valori esistenti; lo si può Mitigare concependo e implementando un piano di sicurezza per ridurre il livello del rischio a valori accettabili (rischio residuo); o lo si può Trasferire, implementando una soluzione che preveda l’utilizzo di strumenti di natura assicurativa.
Mitigazione rischi
E’ chiaro che, in un contesto così complesso e dinamico, si rende necessario implementare un modello di controllo, che permetta la gestione in maniera efficace ed efficiente dei rischi a cui l’azienda si espone attraverso l’identificazione degli stessi, la valutazione dei potenziali impatti sul business, la mitigazione e il controllo. Il tutto nel rispetto delle leggi e normative vigenti sia in ambito nazionale che in ambito internazionale (p.e. D.lgs 196/03 codice in materia di protezione dei dati personali, D.lgs 81/08 tutela della salute e della sicurezza nei luoghi di lavoro, D.lgs 231/01 responsabilità amministrative delle persone giuridiche, delle società e delle associazioni anche prive di responsabilità giuridica). L’approccio metodologico che molte organizzazioni utilizzano è il P.D.C.A. (Paln, Do, Ceck, Act) o ciclo di Deming, una metodologia strutturata e costantemente aggiornata che garantisce l’ottimizzazione continua del sistema di gestione del rischio. Ciascuna realtà lo declina poi in linea con le politiche interne, gli aspetti strutturali e gli obiettivi di business dell’azienda.
Le fasi prevedono:
- Pianificazione e progettazione
- Implementazione
- Monitoraggio
- Mantenimento e miglioramento
IL PLAN…
Il PLAN è la fase che comprende la definizione del perimetro e degli obiettivi di sicurezza. In particolare, si analizzano gli scenari di riferimento i rischi ai quali è esposta l’azienda e i possibili impatti sul business. Il tutto ai fini della realizzazione di specifici piani per la mitigazione dei rischi.
IL DO…
Il DO è la fase che prevede l’implementazione delle azioni e dei piani di intervento derivanti dalla fase precedente. Tra queste azioni vanno messe in atto le misure progettuali, procedurali (p.e. responsabilità, tempi e modalità di attivazione degli ERP Emergency Response Plans) e di controllo (attraverso KPIs e KRIs) e i programmi di formazione delle persone coinvolte nei processi.
IL CHECK…
Il CHECK è la fase che prevede la valutazione dei livelli di sicurezza effettivi raggiunti rispetto a quelli definiti in fase di Plan. In questo stadio vengono considerati gli eventuali cambiamenti dei parametri di riferimento (macro o micro) e di conseguenza si valuta l’effettiva consistenza del sistema di gestione in atto.
L’ACT…
L’ACT è la fase che prevede la realizzazione e l’implementazione di un piano di miglioramento per rispondere allo scostamento rilevato nella fase di Check e ricondurre il livello di rischio nei termini definiti in fase di Plan. Nel modello organizzativo, due attributi devono sempre essere garantiti, e cioè la confrontabilità e la ripetibilità. Deve inoltre essere un modello interfunzionale e con un approccio olistico, cioè interagire necessariamente con tutte le funzioni aziendali, Finance, Legal, Sales, Operation, Procurement, HR, etc.., consentendo di costruire un processo logico che consenta, ai soggetti coinvolti, di avere una chiara visione d’insieme ed essere maggiormente supportati nel processo decisionale.