Che cos’è il Risk Management?

Il Risk Management, o “gestione del rischio”, è un processo che mira a identificare, valutare e prevenire i rischi che potrebbero minare il raggiungimento degli obiettivi di un'azienda.

La gestione del rischio è sempre stata di prioritaria importanza per le imprese, ma in passato se ne aveva minore consapevolezza e vi si poneva minore attenzione. Gli ultimi anni, però, sono stati forieri di un periodo particolarmente dirompente nella storia dell’umanità. L’impatto del riscaldamento globale sempre più rilevante, le ripercussioni della pandemia da Covid-19, l’instabilità geopolitica, sono tutti fenomeni che hanno avuto, mai come prima, conseguenze dirette sul business. Queste sfide sono ampiamente descritte nel Global Risks Report 2024 stilato dal World Economic Forum. Lo studio, basato sulle opinioni di quasi 1.500 esperti di rischi globali, responsabili politici e leader del settore, evidenzia che i 5 principali rischi percepiti come globalmente rilevanti nel 2024 sono: eventi climatici estremi, disinformazione generata dall’AI, polarizzazione sociale, crisi del costo della vita e attacchi informatici. Senza contare la sempre maggiore importanza che sta rivestendo la gestione dei rischi in ambito ambientale, e più in generale rispetto alle tematiche ESG.

Di fronte alla prospettiva di un futuro incerto e poco ottimistico, quindi, è diventato ancor più cruciale per le imprese adottare principi di Risk Management allo scopo di gestire proattivamente i rischi, cercando di prevenirli e mitigarli, fino a trasformarli in opportunità.

Quali sono i principali rischi per le imprese?

Esistono diversi tipi di rischi a cui le imprese possono essere esposte, ma tra i più comuni solitamente si identificano:

• rischi finanziari: come il rischio di credito, il rischio di mercato e il rischio di liquidità, legati a fluttuazioni del mercato, insolvenze dei clienti, errori di investimento, etc.;
• rischi operativi: legati a inefficienze nei processi produttivi, come il rischio di guasti ai sistemi informatici, guasti ai macchinari, errori umani, etc.;
• rischi strategici: legati a cambiamenti del contesto competitivo, nuove tecnologie, obsolescenza dei prodotti, etc.;
• rischi di compliance: legati al mancato rispetto di normative e leggi;
• rischi reputazionali: legati a danni all'immagine dell'azienda, eventi negativi che coinvolgono il brand, etc.

Come funziona il processo di Risk Management?

Il processo di gestione del rischio si basa su cinque fasi principali:

1. identificazione dei rischi: in questa fase, vengono individuati i possibili rischi a cui l’impresa è esposta. A tal fine, vengono considerati tutti i fattori interni ed esterni che potrebbero influenzare negativamente il raggiungimento degli obiettivi aziendali o che potrebbero ostacolare il successo di un progetto o dell’impresa stessa;
2. valutazione dei rischi: in questo stadio, i rischi vengono valutati in base alla maggiore o minore probabilità che possano verificarsi, e all’entità dei danni che potrebbero causare. Grazie a questa valutazione, è possibile classificare i rischi in base alla loro importanza e priorità. La definizione delle priorità garantisce che i rischi che possono avere un impatto significativo sull’azienda vengano affrontati in modo appropriato e con maggiore urgenza;
3. sviluppo di una risposta adeguata: a questo punto vengono elaborate le strategie per gestire efficacemente i rischi e minimizzarne gli effetti negativi. Ad esempio, se durante l’identificazione e l’analisi ci si rende conto che l’azienda è a rischio di attacchi di phishing o ransomware perché i suoi dipendenti non sono sufficientemente preparati, si può decidere di sviluppare un programma di formazione per sensibilizzare sul tema e fornire le competenze necessarie per difendersi da questo tipo di minacce;
4. mitigazione del rischio: una volta che la risposta è stata elaborata, si passa all’implementazione delle azioni necessarie per mitigare il rischio. Ad esempio, se l’azienda ha scelto di sviluppare un programma di formazione sulla sicurezza informatica, in questa fase verrà effettivamente realizzato e reso disponibile ai dipendenti;
5. monitoraggio e revisione: in questa fase, vengono monitorati i rischi per verificare se le strategie di gestione adottate sono efficaci. In caso contrario, vengono apportate le necessarie modifiche al piano di gestione del rischio.

È importante ricordare che i rischi non sono statici, ma cambiano nel tempo in base alle trasformazioni dell’ambiente esterno e interno all’azienda. Pertanto, il processo di gestione del rischio deve essere continuativo e sistematico per garantire che l’azienda possa far fronte alle sfide che incontra nel corso della sua attività.

Inoltre, deve essere integrato in tutti i livelli e in tutte le funzioni aziendali, come ad esempio la gestione della qualità, la salute e la sicurezza, le finanze, l’informatica, i processi operativi, il rispetto delle normative, ecc.

Perché è importante gestire il rischio?

Sulla base di quanto sinora premesso, appare evidente quanto sia importante dotarsi di uno specifico piano di risk management all’interno del quale siano programmati specifici interventi di monitoraggio delle misure di prevenzione adottate sulla base dei rischi opportunamente individuati e analizzati.  Ciò, infatti, rappresenta il primo passo verso la modifica del modus operandi aziendale secondo logiche di tipo preventivo, maggiormente efficaci ed efficienti rispetto alle “tradizionali” logiche di tipo reattivo, nelle quali, invece, si risponde in modo passivo ad un determinato evento imprevisto, con maggior dispendio di risorse economiche e di tempo. Si pensi, per esempio, al caso in cui si verifichi un problema nella catena operativa (malfunzionamento di un macchinario o dei sistemi IT): un approccio preventivo, con programmazione di interventi di manutenzione e previsione dei tempi e delle modalità di risposta all’evento, consentirà all’impresa di tornare operativa in un lasso di tempo minore, con minori conseguenze economiche. 

Una corretta gestione del rischio permette di:

• proteggere il patrimonio aziendale e gli stakeholder da perdite finanziarie e danni reputazionali causati da eventi negativi imprevisti;

• migliorare la performance aziendale attraverso la capacità di prendere decisioni basate su informazioni accurate e complete;

• aumentare l'efficienza e l'efficacia dei processi aziendali grazie all'identificazione e all'eliminazione dei punti di debolezza;

• cogliere nuove opportunità di business;

• ridurre l'incertezza pianificando il futuro con maggiore sicurezza;

• migliorare la reputazione aziendale grazie ad una maggiore affidabilità e sicurezza.

Quali sono le strategie di gestione del rischio?

Esistono quattro diversi approcci alla gestione del rischio:

1. Risk Avoidance: è impossibile eliminare i rischi, tuttavia un’impresa può adottare misure per ridurre i costi derivanti da tali rischi, elaborando strategie di mitigazione efficaci;

1. Risk Acceptance: in alcuni casi, l’adozione di una strategia di gestione del rischio può rivelarsi più costosa dell’eventuale perdita derivante dal verificarsi del rischio stesso. In questi casi, è possibile decidere di accettare il rischio e pianificare il futuro tenendo conto del suo possibile impatto. Ad esempio, un’azienda manifatturiera accetta sempre il rischio di produrre prodotti difettosi, ma sviluppa un piano di gestione dei reclami per ridurre al minimo l’impatto che questi potrebbero avere sulla reputazione dell’impresa;

1. Risk Reduction: sebbene i rischi siano una parte inevitabile di qualsiasi impresa, possono essere ridotti in una certa misura, modificando alcuni aspetti del progetto o riducendone la portata. Ad esempio, se un’azienda identifica un rischio legato alla sicurezza sul lavoro, può decidere di adottare delle procedure che riducano il numero di infortuni sul lavoro;

1. Risk Sharing: in alcuni casi, è possibile trasferire il rischio a un terzo soggetto, come ad esempio la compagnia assicurativa. Questa soluzione può rivelarsi particolarmente utile nel caso di rischi legati alla salute e alla sicurezza sul lavoro, come ad esempio gli infortuni o le malattie professionali.

   Qualsiasi strategia di Risk Management si decida di adottare, è importante considerare i costi e i benefici derivanti dall’adozione di tale strategia, in modo da poter scegliere la soluzione più efficace per l’azienda.

   Tuttavia, la tendenza che si sta osservando negli ultimi anni è il passaggio da una visione estremamente “assicurativa” del rischio, che ha portato nel tempo ad una ricerca di trasferimento del rischio verso l’esterno (appunto verso le compagnie assicurative) a una visione più gestionale, che porta alla necessità di trattare il rischio in maniera proattiva, valutando cosa è opportuno trasferire e cosa invece è necessario, per cogliere i vantaggi di certe scelte, trattenere e finanziare internamente. Il moderno significato di Risk Management è quindi più ampio: connota le conseguenze dei rischi sia in accezione negativa di minaccia (downside risk) che in quella positiva di opportunità in grado di creare valore per l’impresa (upside risk), come ad esempio nel caso dell’assunzione di un rischio finanziario che potrebbe trasformarsi in un’occasione di crescita e sviluppo.

   I principali standard di risk management

   Il Risk Management è un processo che negli ultimi anni ha avuto una rapida evoluzione e che ha visto lo sviluppo, la definizione e la formalizzazione delle principali attività in esso contenute. La formalizzazione del processo, dei suoi contenuti e la definizione del ruolo degli attori che vi partecipano ha portato alla creazione di standard di riferimento.

   L’obiettivo finale di questi standard è stabilire quadri e processi comuni per attuare efficacemente le strategie di gestione dei rischi. Questi standard sono spesso riconosciuti da organismi di regolamentazione internazionali o da gruppi del settore target. Sono inoltre regolarmente integrati e aggiornati per riflettere le fonti in rapida evoluzione del rischio aziendale. Sebbene il rispetto di questi standard sia generalmente volontario, l’aderenza può essere richiesta dalle autorità di regolamentazione del settore o tramite contratti commerciali

   Ad oggi i più comunemente adottati sono:
2. la nuova ISO 31000:2018 che fa seguito alla ISO 31000:2009 ed è uno standard che oltre a stabilire i principi fondamentali del Risk Management semplifica e rende fruibili i concetti cardine di un impianto di gestione del rischio efficace ed efficiente, che coinvolga la governance aziendale e tutti gli eventuali soggetti interessati alla prevenzione dei rischi; 

• la ISO/IEC 31010:2009, invece, è uno standard relativo alla gestione del rischio e tecniche di valutazione del rischio codificato dallo IEC (The International Organization for Standardization e The International Electrotechnical Commission). Supporta lo standard ISO 31000 e contiene ben 41 tecniche di identificazione e valutazione dei rischi come brainstorming, interviste strutturate, analisi di scenario e di impatto sul business, etc.;

• la norma ISO 9001:2015 sulla gestione della qualità, mirante all’ottimizzazione della produzione, nonché all’aumento della qualità finale del prodotto e/o del servizio erogato. Ciò che la norma prevede è la pianificazione di un sistema di gestione e monitoraggio della produzione che ottimizzi la produzione e aumenti la soddisfazione del cliente; 
• il Co.So ERM 2017 - Enterprise Risk Management – Integrating with strategy and performance, pubblicato dal Committee of Sponsoring Organizations of the Treadway Commission (organismo privato USA che si occupa di controlli interni e corporate governance), che descrive i principi, le componenti ed i concetti più importanti della gestione del rischio aziendale, con particolare attenzione ai ruoli e ai compiti delle diverse funzioni in ottica Corporate Governance allo scopo di allinearle agli obiettivi strategici pianificati dal top management.

Il Risk Management è un processo complesso e in continua evoluzione, ma è fondamentale per le aziende che vogliono prosperare in un mondo sempre più incerto. L'adozione di una strategia di Risk Management efficace può aiutare le imprese a cogliere le opportunità e a minimizzare i rischi, creando un futuro più sicuro e sostenibile.