“Speriamo che non piove”

Il mio primo approccio al Risk Management è avvenuto dai miei zii nella loro casa di campagna a Bacoli, nel dicembre di quasi 50 anni fa.

“Speriamo che non piove, ho steso i panni” diceva mi zia Nannina (già allora il congiuntivo non era molto di moda) e il marito, mio zio Vanni, puntualmente usciva sul terrazzino e copriva i panni stesi con una cerata di plastica trasparente, perché la probabilità che piovesse a gennaio con un cielo plumbeo era certamente alta.

Ecco mia zia si affidava alla “buona sorte” sperando che l’evento negativo non si manifestasse, ma zio Vanni si affidava alla gestione del rischio neutralizzando le perdite (e pannenfuse). Un semplice esempio di cosa è, a mio avviso, il risk management:

un processo attraverso il quale i rischi vengono identificati e valutati i danni che si possono riverberare.

Essere imprenditori, si sa, significa assumersi dei rischi, ma l’importante è non assumersi rischi di entità tale da mettere in crisi l'azienda. Parliamo ovviamente di rischi che possono portare perdite o danni e, conseguentemente, incidere sui profitti, sulle quote di mercato dell'azienda,sull' immagine, in definitiva sul VALORE dell’azienda.

L’impresa corre moltissimi rischi nella sua vita: dall'incendio degli stabilimenti al furto delle merci, dagli infortuni del personale ai danni a terzi, dai costi a seguito di un inquinamento, all'interruzione di attività di uno o più stabilimenti, etc. etc..

Le aziende hanno la necessità di comprendere il livello complessivo di rischio dei loro processi e nelle loro attività. Ciò implica il riconoscere e dare priorità ai rischi più significativi, individuare le criticità, riconoscere le debolezze dei controlli, arrivando ad attuare un efficace processo di risk management.

Per raggiungere questi obiettivi un processo di risk management ci porta a seguire un percorso ben definito, con delle riflessioni obbligate:

1. individuazione delle risorse a disposizione dell'azienda;
2. individuazione dei rischi che corre l'azienda;
3. valutazione di questi rischi: se sono gravi, in entità o frequenza;
4. controllo di questi rischi al fine di prevenirli o ridurli;
5. assunzione in proprio, in tutto o in parte  dei rischi finanziariamente sostenibili;
6. trasferimento dei rischi a terzi o all'assicuratore;
7. monitoraggio nel tempo dell'evoluzione dei rischi e del programma di risk management messo in atto.

La struttura gestionale di riferimento deve essere predisposta al fine di supportare l’attività di gestione dei rischi attraverso l’applicazione del processo di gestione del rischio ai diversi livelli aziendali, integrando la gestione del rischio all’interno del sistema gestionale complessivo, arrivando ad adattare i componenti della struttura di riferimento alle specifiche esigenze aziendali.

Gli obiettivi di gestione del rischio dovranno ovviamente essere coerenti con gli obiettivi e le strategie dell’organizzazione e con la sua cultura.

Prima ancora di iniziare la fase di progettazione e di attuazione della struttura di riferimento per gestire il rischio, la
direzione dovrà valutare e comprendere il contesto dell’organizzazione, sia interno sia esterno, poiché le peculiarità dei diversi contesti possono influenzare significativamente la progettazione della struttura medesima.

Per introdursi nell’articolato e complesso processo di risk management è utile avere ben presenti anche i concetti di:

• rischio;
• pericolo;
• danno.

Per gli esseri umani la percezione del rischio dipende più dalle emozioni che da fattori razionali, come l’uso della probabilità e della logica.

Se un evento ci fa particolarmente paura, si colloca automaticamente nei primi posti della nostra classifica mentale dei rischi, a prescindere dalla reale probabilità che possa capitare.

Pensiamo per esempio come si tende a sovrastimare il numero di morti in incidenti aerei o ferroviari, statisticamente inferiori a quelli per incidenti stradali, o dal pericolo di essere morsi da uno squalo tigre piuttosto che essere aggrediti da un cinghiale.

Il RISCHIO è la probabilità che un certo evento si verifichi e il danno che ne può derivare. Per calcolare il rischio bisogna conoscere o saper valutare la probabilità che si presenti una determinata situazione, ma è anche necessario conoscere l’entità del danno.

Il PERICOLO è una proprietà intrinseca o una qualità di un determinato fattore che potenzialmente può causare danni. Un pericolo per esempio può essere la presenza di cavi di corrente scoperti o la presenza di un carico sospeso.

Il DANNO è la possibile conseguenza della presenza di un pericolo. Ad esempio, lavorare ad un macchinario sprovvisto dei DPI può provocare un infortunio.

Volendo semplificare con una formula possiamo dire che il rischio è uguale alla probabilità per il danno (RISCHIO = PROBABILITA’ X DANNO).

La probabilità di un incidente (da sola) non basta a definire il rischi, l’entità del danno (da sola) non basta a definire il rischio, il rischio è dato dalla combinazione di entrambi i fattori.

Lo standard internazionale che tratta l’argomento è l’ISO 31000 che promuove l’armonizzazione dei processi di gestione del rischio,senza per questo prescindere dalle esigenze di specifiche considerazioni connesse a ciascuna azienda, fornendo un approccio comune a supporto di norme che riguardan orischi e/o settori specifici, senza peraltro sostituirsi a tali norme, è inoltre applicabile a qualsiasi tipologia di impresa (indipendentemente dallo specifico settore di competenza), in relazione ai suoi vari ambiti di attività (inclusi le strategie, i processi operativi, lo sviluppo dei progetti), così come a qualsiasi tipo di rischio a cui è esposta (qualesia la sua natura o le conseguenze, positive o negative che può generare).

La corretta applicazione :

1. crea e protegge il valore;
2. costituisce parte integrante di tutti i processi dell’organizzazione;
3. fa parte del processo decisionale;
4. tratta esplicitamente l’incertezza;
5. è adottato sistematicamente, strutturati e tempestivi;
6. tiene conto delle migliori informazioni disponibili;
7. è “taylor made”;
8. prende in esame i fattori umani e culturali;
9. viene adottato dinamicamente, interattivamente e proattivamente;
10. favorisce il miglioramento continuo dell’organizzazione.

Il Risk management inoltre:

• contribuisce in maniera dimostrabile anche attraverso idonei KPI al raggiungimento degli obiettivi e al miglioramento della prestazione;
• è un’attività interdipendente, con i processi principali dell’ organizzazione;
• aiuta a effettuare scelte consapevoli, determinare la scala di priorità delle azioni e distinguere tra linee di azione alternative;
• contribuisce all’efficienza ed a risultati coerenti, confrontabili ed affidabili;
• favorisce il coinvolgimento appropriato e tempestivo dei portatori d’interesse e, in particolare, dei responsabili delle decisioni, a tutti i livelli dell’organizzazione.

Il processo di gestione del rischio può essere rappresentato come un elenco di attività coordinate e con una sequenzialità ciclica.

Lo standard ISO 31000 ha concepito il processo di risk management prevedendo alcune fasi principali:

• identificazione;
• analisi;
• ponderazione;
• trattamento del rischio.

Peter F. Drucker diceva che nella vita ci sono rischi che non possiamo permetterci di correre e ci sono rischi che non possiamo permetterci di non correre.

Eliminare completamente qualsiasi minaccia o rischio in Azienda è praticamente impossibile. Il rischio è, quindi, un elemento presente in misura maggiore o minore in tutte le attività umane in particolare per quelle economiche.

L’introduzione di un processo di risk Management contribuisce a preservare il valore di una Azienda, altrimenti non ci resta che sperare che domani non piova !