GUIDE E HOW-TO

Risk Management aziendale: strategie e strumenti per il cammino verso la resilienza

Le minacce che possono impattare il business sono sempre più numerose e imprevedibili. I passi necessari e i software che aiutano le organizzazioni a identificare, valutare e dare priorità. Una guida essenziale a una gestione del rischio sistematica e integrata

Pubblicato il 13 Mar 2023

Federica Maria Rita Livelli

BC & Risk Management Consultant, Business Continuity & Risk Management Consultant, BCI Italy Chapter Leader/BCI SIG Cyber Resilience Committee Member, Training Center Director – BeDisruptive

Risk Management aziendale

I recenti report pubblicati confermano che gli scenari che ci attendono non sono assolutamente incoraggianti. Pertanto, risulta sempre più importante e strategico per le organizzazioni implementare i principi di Risk Management aziendale per gestire i vari rischi. Viviamo in un contesto di elevato livello di incertezza derivante da conflitti, crisi economiche, geopolitiche e sanitarie, attacchi cyber ed eventi metereologici estremi in aumento. Tutto ciò è destinato a impattare in modo dirompente sull’equilibrio sociale, sulle nostre economie e, conseguentemente, sulle organizzazioni. Le minacce che possono influenzare un business sono sempre più numerose.

Che cos’è il Risk Management aziendale 

Il Risk Management – in italiano Gestione del Rischio – consiste in un processo che mira a una gestione completa e integrata dei rischi, attraverso una serie di attività sistematiche quali identificazione, misurazione, valutazione e trattamento del rischio.

Quando si parla di Risk Management, di tecniche per la valutazione del rischio e di modelli di gestione dei rischi per prevenire le perdite, oggi si fa riferimento alla ISO 31000 – Risk Management – Guidelines. La prima versione della ISO è stata pubblicata nel 2009, diventando subito il termine di riferimento per coloro che intendevano creare e proteggere il valore dell’organizzazione. Lo standard poneva estrema attenzione alla gestione dei rischi in un’ottica di massimizzazione delle opportunità e riduzione al minimo dell’influenza delle minacce.

Diagramma di flusso processo di RM.jpg
Fasi di Implementazione della ISO 31000:2009

Il proliferare di nuovi rischi e della volatilità del mercato, ormai altamente globalizzato, ha reso necessario estendere ulteriormente l’attività di Risk Management a tutti i rischi aziendali e nel 2018 ha comportato un aggiornamento della ISO 31000 che :

  • si allinea alle altre norme ISO riferite ai sistemi di gestione – che seguono la struttura di Harmonized Approach (HA);
  • incoraggia l’adozione di un processo continuo, graduale e proattivo coinvolgendo la corporate strategy e implicandone – con il supporto del top management – l’integrazione nella cultura dell’organizzazione.

Si rende dunque necessario un approccio globale al Risk Management, con una serie di adempimenti che consentono a un’azienda – indipendentemente dal settore di appartenenza e dalla dimensione – di considerare il potenziale impatto delle diverse tipologie di rischio sui processi aziendali, sulle attività, sugli operatori, sui prodotti e sui servizi.

Ivan Lanin Twitterissä: "ISO 31000:2018 Risk management ...
Fasi di Implementazione della ISO 31000:2018

I vantaggi di gestire i rischi aziendali in modo efficace

Di fatto, il Risk Management si prefigge di proteggere e di incrementare il valore di una organizzazione a vantaggio dei suoi stakeholder, in modo tale da garantire il conseguimento degli obiettivi prefissati attraverso la predisposizione di un quadro metodologico che consente:

  • lo svolgimento coerente e controllato di ogni futura attività;
  • il miglioramento del processo decisionale;
  • la pianificazione e la creazione di priorità attraverso una comprensione esauriente e strutturata dell’attività stessa.

Inoltre, il risk management contribuisce a:

  • utilizzare e allocare in modo più efficace il capitale e le risorse all’interno dell’organizzazione:
  • proteggere il patrimonio, l’immagine aziendale, il know-how dell’organizzazione e delle persone chiave;
  • ottimizzare l’efficienza operativa.

Come pianificare una strategia di Risk Management aziendale 

Ogni organizzazione, per rispondere alle sfide contingenti e monitorarne l’andamento, deve avere il massimo grado di conoscenza e consapevolezza di sé (come organizzazione e come persone) e del contesto sia interno sia esterno in cui opera.

Pertanto, la massima dell’Oracolo di Delfi, gnothi seauton – conosci te stesso – è quanto mai attuale ed applicabile a qualsiasi organizzazione e contesto. Si tratta di identificare le priorità ed i requisiti organizzativi e, conseguentemente, inquadrare l’ambito di applicazione del Risk Management.

Inoltre, è doveroso evidenziare che una gestione dei rischi presuppone una resilienza declinata in tre modalità e, precisamente:

  • resilienza strutturale: conoscenza delle dinamiche sistemiche all’interno dell’organizzazione;
  • resilienza integrativa: conoscenza delle complesse interconnessioni con il contesto esterno;
  • resilienza trasformativa: consapevolezza del fatto che la mitigazione di alcuni rischi implica una trasformazione dell’organizzazione.

Pertanto, dopo l’analisi, la comprensione del contesto interno ed esterno e la definizione del campo di applicazione, si tratterà di definire i criteri di rischio che ricoprono un ruolo fondamentale e strategico nel processo di Risk Management.

Risk Management aziendale, i criteri di rischio

I criteri di rischio sono definiti dall’organizzazione e costituiscono elementi fondamentali per svolgere la valutazione dei rischi e per supportare l’intero processo decisionale in termini di conseguimento degli obiettivi strategici prefissati.

Definizione e la strutturazione dei criteri di rischio

La definizione e la strutturazione dei criteri di rischio contempla i seguenti aspetti:

  • la natura e la tipologia delle minacce;
  • gli effetti scaturiti da un evento dirompente (ad esempio, perdite finanziarie o materiali, costo di ricostruzione di un impianto distrutto, interventi poco soddisfacenti o non in linea con le aspettative);
  • la natura o la genesi dell’evento (i.e. eventi causati dall’uomo o dalla natura, prodotti che non soddisfano le aspettative dei clienti; il posizionamento di immobili in una zona non idonea o condizioni di stoccaggio inadatte che possono impattare sui prodotti, ecc.);
  • gli impatti di natura economica – sia in positivo sia in negativo – sul bilancio aziendale a seguito di un evento (i.e. perdita o guadagno);
  • gli impatti marco-economici e geopolitici sulla sicurezza della comunità e del personale aziendale;
  • l’efficacia dei controlli in essere;
  • le variabili temporali.

Successivamente si tratta di:

  • valutare i rischi in termini di gravità come entità o frequenza;
  • monitorare i rischi al fine di prevenirli o ridurli;
  • decidere quali rischi siano finanziariamente sostenibili e possono essere “assunti” in toto o in parte;
  • trasferire i rischi a terzi o all’assicuratore;
  • monitorare, nel tempo, l’evoluzione dei rischi e il programma di risk management messo in atto.

Pertanto, il Risk Manager dovrà, come un “camaleonte saggio”, evolvere per dimostrarsi in grado di gestire il contesto estremamente erratico in cui si trova ad operare. Inoltre, la figura del Risk Manager è destinata a ricoprire un ruolo sempre più strategico, all’interno di un framework olistico, coadiuvato dal Business Continuity Manager e dalle altre funzioni di Security. In questo modo sarà possibile garantire la resilienza organizzativa e, al contempo, essere in grado di individuare tempestivamente i rischi e di gestirli efficacemente.

Principali procedure di Risk Management 

Un recente sondaggio svolto da FERMA (Federation of European Risk Management Associations), in collaborazione con la società di consulenza McKinsey, rivela che le aziende che si mostrano più avanzate nella gestione sistematica e olistica dei rischi tendono ad adottare un approccio strutturato e considerano la resilienza come un fattore critico di successo e di vantaggio competitivo che vanno quindi misurati con indicatori quantitativi e qualitativi.

Si tratta, di fatto, di :

  • Avviare esercizi di valutazione specifici per misurare il proprio grado di resilienza su diverse dimensioni (operative, finanziarie, di mercato, reputazionali e così via) e attuare sforzi significativi di rafforzamento dei presidi e di mitigazione delle aree maggiormente vulnerabili (ad esempio per supply chain, digitale, dimensioni organizzative e di HR).
  • Implementare tool di monitoraggio dotati di veri e propri cruscotti di misurazione dell’andamento di parametri chiave che misurano la resilienza. Questi cruscotti si convertono in strumenti estremamente efficaci per fornire una visione chiara e immediata del posizionamento dell’azienda rispetto al passato e rispetto ai competitor oltre a fornire insight e scenari da presentare al Top management per identificare il livello massimo desiderato di esposizione ai rischi ritenuti rilevanti e progettare le necessarie strategie.

In questo modo si ottiene, da un lato, una visione completa del posizionamento dell’azienda rispetto al tema della resilienza (particolarmente utile per fronteggiare eventuali crisi) e, dall’altro, una maggiore trasparenza sulle aree di debolezza in modo da prioritizzare i processi e le attività più critiche, oltre a definire efficaci piani di business continuity, disaster recovery e crisis management. È doveroso evidenziare che, qualora le crisi e le discontinuità non dovessero materializzarsi secondo le attese, questi protocolli si rivelano molto utili e strategici nel “mobilizzare” l’azienda e chiarire la governance delle decisioni.

Oggi è sempre più una questione di Intelligence Risk Management

In un contesto caratterizzato da un processo accelerato di digitalizzazione e innovazione, anche la funzione di Risk Management si converte sempre di più in Intelligence Risk Management.

Dati e tool a disposizione del Risk Manager

Ne consegue che il Risk Manager, usufruendo dei dati e dei tool a disposizione sarà in grado di:

Riprogettare e semplificare i processi di gestione del rischio, automatizzandoli

L’Intelligenza Artificiale, il Machine Learning (ML) saranno sempre più utilizzati come prima linea di difesa per anticipare e mitigare i rischi emergenti. Parallelamente, i Risk Manager dovranno dimostrare una maggiore responsabilità e abilità nella valutazione del rischio ed allinearsi alla prima linea nell’identificazione, valutazione e previsione dei rischi. Ovvero i Risk Manager attueranno da seconda linea di difesa e si dovranno concentrare sull’impiego di una maggiore automazione per guidare il monitoraggio del rischio in tempo reale e garantire che dati di previsione del rischio siano affidabili, anziché che presentare dati retrospettivi per la gestione del rischio.

Migliorare il monitoraggio e visibilità dei rischi 

È necessario avere visibilità del rischio a livello aziendale ed istituire meccanismi per una gestione efficace dei rischi, sia a livello intermedio (dipartimento) sia a livello aziendale. Pertanto, i Risk Manager dovranno lavorare in modo efficace per accedere rapidamente ad informazioni, metriche o report istantanei.

Ottimizzare e automatizzare l’attività di reportin

Si tratta di garantire una rendicontazione del rischio (che fornisce altresì i risultati e le metriche del rischio) maggiormente allineata con la resilienza e gli obiettivi strategici dell’organizzazione in modo da essere più preparati a rispondere rapidamente a qualsiasi scenario di crisi. Ovvero, urge un processo maggiormente agile in grado di fornire al Top Management la visione in tempo reale dell’esposizione al rischio.

Apportare le modifiche necessarie al framework di gestione del rischio

Per garantire un approccio olistico all’organizzazione e alla governance. Si tratta di dare sempre più priorità alle aree strategiche dell’organizzazione e, al contempo, garantirne una maggiore resilienza oltre a considerare i rischi tecnologici, di terze parti e di processo. Pertanto, i Risk Manager dovranno adoperarsi maggiormente per: migliorare la comunicazione di crisi (la Risk Communication ha oggi un ruolo cruciale); condividere le informazioni tra le varie funzioni e il Top Management; garantire processi più agili affinché le revisioni del rischio e i rapporti di valutazione vengano consegnati più rapidamente, investendo in software in grado di ottimizzare i tempi di analisi e valutazione del rischio.

Oggigiorno, non si tratta di predire il futuro semplicemente rivedendo il passato, bensì è quanto mai necessario adottare modelli/software basati su scenari predittivi che tengano in considerazione sia gli effetti domino sia quelli collaterali, integrandoli nei processi di gestione del rischio e nelle pianificazioni aziendali.

Risk Management software market (GRC software)

L’automazione della modellazione del rischio e la digitalizzazione del Risk Management possono generare benefici tangibili proprio nell’integrazione e nella visione combinata tra gestione del rischio e pianificazione. Pertanto, la tecnologia si converte quasi in un “magister” – nell’accezione latina del termine, colui che indica il cammino – facilitando le organizzazioni nell’acquisire la conoscenza del proprio “status” e del contesto, avere una maggiore consapevolezza dei rischi tradizionali/emergenti e dei punti di cedimento che potrebbero impattare su di esse e, al tempo stesso proporre sia le azioni di gestione del rischio più efficaci sia l’individuazione della soluzione o del partner più adatto.

Esistono sul mercato numerosi Risk Management software (chiamati anche GRC, Governance, Risk e Compliance) che aiutano le organizzazioni a identificare, valutare e dare priorità ai rischi per la propria attività. Inoltre, alcuni strumenti software di gestione del rischio possono anche includere funzionalità per l’automazione delle valutazioni del rischio, la generazione di report e il monitoraggio delle informazioni relative al rischio. Di fatto, lo scopo principale del software di gestione del rischio è aiutare le organizzazioni a ridurre la loro esposizione ai rischi e migliorare i processi complessivi di gestione del rischio.

Tra i principali Top player del mercato nel 2023, secondo quanto si evince dalla piattaforma decisionale SelectHub, che fa riferimento al Gartner Magic Quadrant, risultano:

  • RSA Archer (Dell Technologies)
  • Metricstream
  • LogicManager
  • Diligent
  • Servicenow
  • OneTrust
  • Riskonnect

Come scegliere il software Risk management migliore

La scelta del giusto Risk Management software è una decisione importante per qualsiasi organizzazione. Ne consegue che la scelta deve tener conto di diversi fattori, quali:

  • Determinazione delle esigenze e degli obiettivi specifici della organizzazione per la gestione del rischio per identificare le caratteristiche e le capacità chiave che il software dovrebbe avere.
  • Confrontare le diverse opzioni di software sul mercato in termini di caratteristiche, prezzi e recensioni dei clienti in modo da trovare una soluzione adatta alle esigenze e al budget dell’organizzazione.
  • Optare per un software che offra supporto e risorse di formazione in modo da garantire che il personale possa rapidamente acquisire familiarità con l’utilizzo del software e sfruttare in toto le sue capacità. Pertanto, il fornitore del software dovrebbe offrire risorse di formazione, quali: tutorial online, guide per l’utente e forum di supporto.
  • Valutare le capacità di integrazione del software, ovvero verificare se il software si integra facilmente con i sistemi e processi esistenti in modo che esso si adatti perfettamente al flusso di lavoro esistente della organizzazione e fornisca una visione completa dei rischi.
  • Optare per un fornitore di software che abbia una comprovata esperienza e una solida reputazione sul mercato in modo tale da avere una garanzia di affidabilità, di sicurezza del software oltre che un servizio di supporto di qualità.
  • Richiedere sempre una demo o una prova del software prima di effettuare un acquisto in modo da verificarne la funzionalità nella pratica e assicurarsi che soddisfi le esigenze della organizzazione.

Enterprise Risk Management software

Software ERM: come sceglierli e utilità in azienda. Clicca sull’immagine per approfondire

Conclusioni

L’evoluzione del rischio aumenterà senza dubbio la domanda di Risk Management software a causa dell’incremento del valore e della complessità dei rischi tradizionali e della crescita dei rischi emergenti. Pertanto, si tratterà di acquisire, in modo automatico e in tempo reale, una gamma più ampia di dati riferiti ai rischi che verranno elaborati dalle software di risk management in grado di gestire anche la continuità operativa, la cybersecurity, la governance e la compliance.

In questo modo, da un lato si genereranno nuove opportunità e servizi di risk engineering per prevenire le perdite e, dall’altro lato, si conseguirà la resilienza operativa quanto mai strategica soprattutto in un mondo sempre più digitalizzato ed erratico.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4