Che cos’è un processo di gestione del rischio e perché è necessario?

Il rischio rappresenta qualsiasi tipo di incertezza che può migliorare o ridurre la capacità di raggiungere i tuoi obiettivi. Può assumere molte forme, compresi i rischi che riguardano i progetti, le finanze, la sicurezza e la privacy e l’ambiente. Sia per i rischi positivi (opportunità) che per quelli negativi, è necessario un approccio intenzionale per comprendere l’equilibrio tra rischio e ricompensa. Questo articolo si concentra sul processo per la gestione dei rischi che potrebbero avere un impatto negativo sulla vostra organizzazione; processi simili si applicano a determinare come sfruttare l’incertezza benefica, cioè, rischio positivo.

La storia recente ha evidenziato l’impatto che i fattori di rischio possono avere sul modo in cui le imprese e gli individui operano — e se possono continuare a farlo. La capacità di navigare il rischio meglio dei concorrenti contribuirà sicuramente al successo dell’impresa. In caso contrario potrebbe significare disastro, forse oltre il recupero.

Per questi motivi, è importante applicare un processo di gestione del rischio comprovato e coerente. Quando costruito su una solida base di comprensione degli obiettivi dell’organizzazione, obiettivi e contesto interno / esterno, un processo di gestione del rischio contribuirà a garantire il successo della vostra organizzazione.

Quali sono le 5 fasi del processo di gestione del rischio?

Molti corpi di conoscenza hanno documentato la gestione del rischio, ma forse il più noto è quello dell’Organizzazione Internazionale per la standardizzazione, o ISO. Lo standard ISO 31000, Risk management Guidelines Guidelines, include ampie informazioni su come comunicare, gestire e monitorare i vari rischi. Il processo è essenzialmente lo stesso per qualsiasi tipo di entità e comprende le seguenti cinque fasi:

1. Identificare i rischi.
2. Analizza la probabilità e l’impatto di ciascuno.
3. Dare priorità al rischio in base agli obiettivi aziendali.
4. Trattare (o rispondere a) le condizioni di rischio.
5. Monitorare i risultati e utilizzare quelli per regolare, se necessario.

Mentre questi passaggi sono semplici, ogni azienda ha fattori unici che influenzano il modo in cui dovrebbe gestire e monitorare il rischio. Per determinare e applicare tali fattori, è utile applicare un quadro di gestione del rischio come parte di un approccio globale alla pianificazione, esecuzione e monitoraggio della gestione complessiva dei vari rischi.

È anche importante tenere presente che l’obiettivo del processo di gestione del rischio, nel contesto di un quadro ampio, non è quello di eliminare completamente tutti i rischi, ma di determinare livelli accettabili di rischio, dati i tuoi obiettivi, e quindi lavorare per mantenere tali fattori di rischio entro i limiti concordati. I passaggi seguenti aiuteranno a determinare e applicare azioni specifiche per farlo.

Identificare i rischi

Il primo passo è determinare i potenziali rischi stessi. Ciò richiede un certo contesto: per considerare cosa potrebbe andare storto, è necessario iniziare con ciò che deve andare bene.

Inizia il processo con una revisione dei tuoi obiettivi e obiettivi e delle varie risorse o risorse che li abilitano. I professionisti del rischio spesso applicano un approccio dall’alto verso il basso e dal basso verso l’alto per pensare a ciò che potrebbe ostacolare tali obiettivi.

La parte top-down considera i programmi mission-critical che non dovrebbero essere compromessi (come le transazioni di vendita in un negozio al dettaglio o i processi di produzione in una fabbrica); elenca quindi le condizioni che potrebbero compromettere tali programmi.

Per la parte bottom-up, si possono considerare varie fonti di minaccia note (come terremoti, attacchi ransomware o crisi economiche) e riflettere sull’impatto che potrebbero avere sull’azienda.

Poiché il rischio è, per definizione, qualsiasi incertezza che influisce sugli obiettivi, un rischio è un rischio solo se ha un impatto. Maggiore è l’impatto di un rischio, maggiore è la priorità. L’analisi di tale priorità si verificherà nella fase successiva, ma prima è necessario considerare i vari fattori di rischio per creare uno scenario che può essere misurato.

NIST Interagency Report (NISTIR) 8286A – “Identificare e stimare il rischio di sicurezza informatica per Enterprise Risk Management (ERM)” – fornisce indicazioni sullo sviluppo di scenari di rischio. Secondo il rapporto, i seguenti quattro elementi sono necessari per essere presenti per descrivere un rischio negativo (vedi Figura 2):

1. un bene o risorsa di valore che potrebbe essere influenzato;
2. una fonte di un’azione minacciosa che agirebbe contro tale risorsa;
3. una condizione preesistente (o vulnerabilità) che consente all’origine della minaccia di agire; e
4. un impatto dannoso che si verifica dalla fonte della minaccia che sfrutta tale vulnerabilità.

Con questi elementi costitutivi, si può comporre un ampio insieme di scenari di rischio da analizzare, ordinare e trattare. Descrivere il rischio come scenario aiuta a comunicare le condizioni di rischio e ad analizzare la probabilità e l’impatto del rischio. Rende anche più facile considerare come rispondere. Uno scenario di esempio potrebbe essere: “L’impianto di produzione è interessato da un’interruzione di corrente derivante da una tempesta tropicale, interrompendo le operazioni dell’impianto per diversi giorni.”

Mentre il senno di poi non è mai perfetto, fornisce informazioni utili su quali eventi di rischio potrebbero verificarsi in futuro. In particolare, può essere utile rivedere i titoli sui rischi che aziende simili hanno affrontato, le condizioni che li hanno abilitati e come i rischi hanno influito sulle organizzazioni.

Categorie di rischio

Nel considerare vari tipi di rischio, può essere utile organizzarli in categorie. Tale categorizzazione consente a ciascun tipo di rischio di essere considerato e monitorato da individui o team che hanno familiarità con argomenti particolari. Per esempio, il Committee of Sponsoring Organizations of the Treadway Commission, un’iniziativa congiunta delle organizzazioni professionali che fornisce la gestione del rischio di orientamento, ha suggerito che il rischio può essere organizzata nelle seguenti quattro aree:

• rischio strategico (ad esempio, reputazione, relazioni con i clienti, l’innovazione tecnica);
• finanziario e di reporting del rischio (ad esempio, di mercato, di tasso, credito);
• compliance e governance del rischio (ad esempio, l’etica, la regolamentazione, il commercio internazionale, privacy); e
• rischio operativo (ad es., sicurezza e segretezza di tecnologia e dell’informazione, catena di fornitura, problemi di lavoro, disastri naturali).

Le categorie di rischi aiutano anche a integrare le informazioni mentre i gestori comunicano, monitorano e regolano la risposta al rischio. Per ciascuna categoria di rischio, un processo intenzionale per lo sviluppo degli scenari garantirà che l’elenco sia sufficientemente completo. Sono disponibili molti strumenti per visualizzare e valutare gli scenari. Gli esempi includono quanto segue:

• strutture di disaggregazione dei rischi per i rischi di progetto (ad es., “Use a risk breakdown structure (RBS) to understand your risks”);
• threat trees for cybersecurity risk (e.g., Carnegie Mellon’s OCTAVE Allegro methodology); e
• Delphi exercises for considering investment risk.

La componente finale di questa prima fase, l’identificazione del rischio, consiste nel registrare i risultati in un registro dei rischi. Il registro dei rischi fornisce un mezzo per comunicare e monitorare i vari rischi durante le fasi successive. Il rapporto NISTIR 8286 sopra citato fornisce un esempio di tale registro, insieme a un modello di dettaglio del rischio di esempio in cui registrare molti dei risultati delle fasi del processo di gestione del rischio.

Analizza la probabilità e l’impatto del rischio

Come notato sopra, un rischio è solo un rischio se ha un impatto, quindi la seconda fase del processo di gestione del rischio è analizzare la probabilità che un rischio si verifichi e che abbia un impatto misurabile.

C’è un’intera scienza per l’analisi del rischio, ma essenzialmente questo passaggio è un calcolo della probabilità che si verifichi un evento di rischio e una stima dell’impatto delle conseguenze se ciò accadesse. Mentre c’è spesso un impatto immediato, ci possono essere anche altre conseguenze successive, quindi è importante considerare ciascuno di questi fattori nei calcoli. Si consideri la perdita di un computer portatile contenente cartelle cliniche dei pazienti-ci sarà una perdita di proprietà immediata, ma la perdita di tali informazioni paziente potrebbe comportare multe, cause legali e danni alla reputazione che superano di gran lunga il costo del dispositivo perso.

L’analisi del rischio dovrebbe includere fattori temporali come parte del calcolo. I sistemi di rendicontazione finanziaria sono spesso considerati critici, ma durante i tempi di preparazione fiscale le loro esigenze di integrità e disponibilità potrebbero essere particolarmente importanti. La frequenza degli eventi di rischio è un altro fattore basato sul tempo da considerare.

Molte organizzazioni utilizzano termini generali o qualitativi per esprimere tali valori. Ad esempio, usiamo spesso termini come “alto rischio” o “bassa probabilità” per comunicare il rischio, o forse usiamo combinazioni di colori rosso-giallo-verde. Le organizzazioni possono beneficiare di un approccio quantitativo più scientifico e specifico all’analisi dei rischi. Ad esempio, l’approccio FAIR (Factor Analysis of Information Risk), istanziato nello standard OpenFAIR del gruppo aperto, può essere utilizzato per eseguire calcoli di rischio dettagliati che possono essere più utili dei colori per la stima.

Esistono dozzine di metodi per eseguire analisi di rischio sia qualitative che quantitative, molti dei quali sono descritti nello standard ISO/IEC (International Electrotechnical Commission) 31010, “Risk management techniques Tecniche di valutazione del rischio.”Tale pubblicazione sottolinea che le tecniche” sono utilizzate all’interno delle fasi di valutazione del rischio di identificare, analizzare e valutare il rischio come descritto nella ISO 31000, e più in generale ogni volta che è necessario comprendere l’incertezza e i suoi effetti.”

Priorità in base agli obiettivi aziendali

I risultati dell’analisi dei rischi consentono di ordinare e classificare i rischi in base alla loro importanza. Poiché è probabile che le risorse siano limitate, la definizione delle priorità aiuta a evidenziare i rischi che saranno più probabili e di maggior impatto. Riflettere questi risultati in una mappa dei rischi aiuta a visualizzare l’importanza relativa di ciascun rischio e può anche essere utile per condividere le osservazioni sui rischi con altre parti interessate, in particolare quelle che potrebbero fornire (o autorizzare) risorse per rispondere a tali rischi.

Mentre la priorità iniziale dei rischi può essere basata sulla combinazione di probabilità e impatto, la classifica finale potrebbe essere influenzata da fattori importanti per tali parti interessate. Ad esempio, se la leadership ha affermato che la fiducia dei clienti è un valore chiave per l’azienda, potrebbero essere evidenziati i rischi che potrebbero avere un impatto sui clienti.

Trattare i rischi in modo conveniente

Con una lista prioritaria dei rischi in atto, il passo successivo è quello di valutare le opzioni disponibili per trattare tali rischi e applicare vari metodi e controlli per raggiungere un livello accettabile di rischio. Ci sono diverse opzioni disponibili per farlo, tra cui le seguenti:

• Se il rischio, basato sulla propensione al rischio della leadership, è già a un livello accettabile, non è necessario alcun ulteriore trattamento.
• Se è possibile condividere parte dell’impatto con un’altra entità (ad es., un’impresa di assicurazione, un fornitore di servizi esterno), quindi parte del rischio può essere trasferito in quel modo.
• Dove possono essere applicati controlli pratici, vari di gestione, tecnici e amministrativi dei rischi che contribuiranno a ridurre la probabilità o l’impatto di ciascun rischio a un livello accettabile.
• Se nessuno di questi metodi di risposta al rischio può essere applicato, i gestori del rischio devono evitare il rischio eliminando le attività o le esposizioni che consentirebbero di considerare lo scenario.

È importante essere sicuri che i metodi applicati siano sia efficaci che convenienti. Questo approccio spiega perché una banca potrebbe utilizzare una catena da 20 centesimi per proteggere una penna a inchiostro e un caveau da un milione di dollari per proteggere le sue riserve di cassa. Le risorse necessarie per trattare il rischio dovrebbero essere commisurate alle attività protette.

Monitorare i risultati della gestione del rischio

Anche dopo ciascuno dei passaggi precedenti, è importante che i risultati siano monitorati e monitorati per garantire che i rischi rimangano entro i limiti stabiliti dai leader dell’organizzazione. Le condizioni di rischio possono cambiare rapidamente, i valori degli asset possono fluttuare e le preferenze degli stakeholder possono cambiare. Una parte fondamentale del monitoraggio è garantire che i manager e i dirigenti siano informati sui progressi verso gli obiettivi di rischio e sui cambiamenti che potrebbero avere un impatto organizzativo. Il ciclo è simile al ciclo PDSA (Plan-Do-Study-Act) reso popolare dal Dr. W. Edwards Deming, consentendo il miglioramento continuo del processo di gestione del rischio. Mentre vari team in tutta l’organizzazione intraprendono azioni per identificare, analizzare e rispondere ai rischi, i risultati informano e perfezionano l’iterazione successiva.

Conclusione

Attraverso l’applicazione di questi passaggi, nel contesto di un quadro più ampio di governance e gestione, le organizzazioni possono identificare costantemente quei rischi che potrebbero avere un impatto dannoso, quindi dare la priorità al trattamento economico e monitorare i risultati per mantenere il miglioramento continuo.