L’obiettivo principale del Risk Management è quello di prevenire possibili situazioni problematiche e, nel caso in cui queste dovessero comunque verificarsi, minimizzare le perdite che ne conseguono.

Come vedremo, le tipologie di rischio a cui bisogna fare attenzione sono molteplici: oltre ai danni economici, il Risk Management può essere applicato, tra le altre cose, anche alla reputazione di un’azienda, alle sue operazioni in ambito marketing o alla catena produttiva.

Se Risk Management significa “gestione del rischio”, Risk Assessment si traduce invece con “valutazione del rischio”. L’attività di Risk Assessment è infatti preliminare a quella di Risk Management, e consiste principalmente nell’individuare e analizzare le varie tipologie di rischio a cui una società potrebbe essere esposta, in modo poi da poter stabilire il giusto piano di Risk Management.

Le Crisi, ed altri eventi catastrofici hanno favorito lo sviluppo di un termine fino a qualche anno fa molto meno utilizzato (soprattutto dalle piccole aziende): RISK MANAGEMENT.

Il risk management è un processo che consiste nell’identificazione, valutazione e gestione dei rischi che possono interessare un’azienda. Il suo obiettivo è quello di ridurre al minimo le conseguenze negative di tali rischi, preservando la continuità aziendale e la redditività.

In generale, non esiste una normativa specifica che imponga alle aziende di adottare un sistema di risk management. Tuttavia, la norma che determina il maggior numero di linee guida è il Decreto legislativo n. 231/2001, sulla responsabilità amministrativa delle persone giuridiche e delle società, associazioni od enti anche privi di personalità giuridica.

Tale normativa prevede che la responsabilità penale, fino al 2001 esclusivamente personale, si estenda anche alle summenzionate persone giuridiche, e quindi anche alle società, nella forma di una responsabilità c.d. para-penale, o penale/amministrativa.

Ciò avviene allorquando un membro dell’ente/società/associazione commette uno dei reati cc.dd. “presupposto”, ovvero dei reati previsti dal D. Lgs 231/2001 e la cui commissione comporta, oltre alla responsabilità penale del soggetto agente, altresì un’incolpazione a carico della persona giuridica (e quindi della società). Pertanto, nell’ambito del procedimento penale che si instaurerà a carico della persona fisica, non verrà giudicata solo quest’ultima, ma anche la società nell’ambito della quale opera, con conseguenza applicazione, in caso di condanna, di una pena (sanzione) altresì per la società medesima.

Di conseguenza, la normativa prevede che le società siano responsabili penalmente per i reati commessi, nell’esercizio della propria attività, da parte dei propri dipendenti, collaboratori ed in generale da tutti i soggetti che ivi operano ed appartengono alla sua struttura organizzativa.

Inoltre alcune norme di legge specifiche, come quelle in materia di salute e sicurezza sul lavoro, sull’antiriciclaggio, sulla protezione dei dati personali o sulla cyber-sicurezza, impongono alle aziende di adottare misure di risk management per prevenire o mitigare i rischi associati a tali attività.

In questo senso l’investigatore privato può essere d’aiuto all’azienda in diversi modi, fornendo supporto in tutte le fasi del processo di risk management.

Sviluppare un piano di Risk Managment in ambito assicurativo è un’attività particolarmente complessa, che deve tener conto di una lunga lista di fattori, anche distanti tra loro: dagli aspetti legali ai conti finanziari, passando per il settore pubblicitario, le relazioni con i clienti e gli approcci commerciali.

In una prima fase il Risk Manager stabilisce il contesto in cui lavora un’azienda, definendo quindi le caratteristiche di base del settore in cui questa opera, il funzionamento dei processi interni e il suo posizionamento nei confronti dei competitor e dei partner.

Il secondo step è quello del Risk Assessment: il Risk Manager analizza l’azienda in questione sotto ogni punto di vista per individuare i possibili elementi di rischio.

In seguito, il professionista analizza i rischi individuati, evidenziando le vulnerabilità dell’azienda, le minacce e le probabilità che si concretizzino. La quarta fase è quella di valutazione, in cui il Risk Manager stima il possibile danno atteso ed effettua un’analisi costi-benefici. Infine, l’ultimo step è quello di risk mitigation, che consiste

nello sviluppo di strategie specifiche per prevenire i rischi e mitigarne le possibili conseguenze.

La fase di identificazione del rischio ha l’obiettivo di stilare concretamente un elenco il più possibile esaustivo delle fonti di rischio. Ancora prima di iniziare l’analisi, quindi, è fondamentale che il Risk Manager abbia un’idea chiara di tutti i fattori, fissi o variabili, che devono essere tenuti sotto controllo. Di conseguenza, proprio per riuscire a inquadrarne i punti problematici, il Risk Manager deve conoscere approfonditamente l’ambito nel quale opera.

La fase di identificazione del rischio guarda sia ai processi interni di un’azienda che alle sue relazioni esterne e al contesto nel quale questa si inserisce. Le informazioni possono essere raccolte in diversi modi: esperienze dirette, interviste, analisi di report, survey, o assessment.

Alcuni esempi di pratiche utilizzate di frequente per individuare gli ambiti di rischio sono il brainstorming, quindi un dialogo mirato tra un gruppo di persone competenti, le interviste strutturate o semi-strutturate, le analisi di causa-effetto e di causa-conseguenza.

Il concetto di rischio varia in base al contesto in cui ci troviamo e agli obiettivi che vogliamo raggiungere. Come detto, il Risk Manager deve considerare diverse categorie di rischio.

Tra le principali ci sono i rischi finanziari, legati per esempio ai livelli di esposizione dell’azienda nei confronti di riassicuratori, intermediari o clienti e all’andamento della Borsa. Fondamentali sono anche i rischi operativi, che riguardano i processi aziendali, e quelli speculativi, correlati a momenti di incertezza e volatilità che possono portare a esiti positivi o negativi per l’azienda.

Esistono poi i rischi puri, che hanno un’altissima probabilità di accadimento ma rimangono fuori dall’ambito di controllo dell’azienda. In questo caso, quindi, l’organizzazione può intervenire esclusivamente mediante interventi ex post o di trasferimento del rischio.

Altra categoria fondamentale è quella dei rischi associati, derivanti da variabili non direttamente legate alle attività principali delle aziende e spesso dipendenti da fattori esterni. I rischi imprenditoriali sono invece quelli legati alle attività commerciali, all’affidabilità dei clienti e dei fornitori.

Troviamo infine i rischi interni, derivanti dalle scelte della direzione aziendale, e quelli esterni, che non dipesono dall’azienda ma possono avere implicazioni importanti in termini di risorse, continuità e risultati.

Una volta terminata la fase di Risk Assessment, il RIsk Manager elabora una strategia che permette all’azienda di gestire al meglio i rischi individuati. Una tra le strategie più diffuse consiste nel distribuire il rischio nel tempo e nello spazio, riducendo quindi la vulnerabilità di un asset e ridistribuendola in senso spaziale o temporale. Nel concreto, per esempio, l’azienda potrebbe decidere di decentrare le proprie sedi o la presenza del proprio personale sul territorio, al fine di ridurre la concentrazione geografica, oppure dilazionare nel tempo lo sviluppo delle attività.

Un’altra strategia punta invece a trasferire il rischio a un soggetto terzo, come una compagnia assicurativa, che se ne farà carico in cambio generalmente di un riconoscimento economico (il premio assicurativo). È proprio questo il modello operativo su cui si basa tutto il mondo assicurativo.

Infine, un’ultima opzione consiste nell’accettare il rischio. Questa viene applicata soprattutto se si pensa che l’impegno necessario a prevenire un rischio sia superiore all’eventuale danno: in questo caso è possibile che

l’azienda decida di accettare il rischio, e il relativo danno, rinunciando ad attivare misure di mitigazione.

Per assicurarsi di adottare la giusta strategia di gestione del rischio è fondamentale monitorare continuamente lo sviluppo delle proprie attività e assicurarsi che la strategia di Risk Management adottata sia coerente con le proprie scelte operazionali, finanziarie e commerciali.

Nelle grandi realtà aziendali le operazioni di Risk Management possono decidere di fare un passo in più rispetto alle procedure tradizionali di gestione del rischio, e adottare l’Enterprise Risk Management (ERM). Si tratta di un approccio evoluto ed efficiente nei confronti del Risk Management, che consiste nella piena integrazione delle attività di gestione del rischio con tutte le funzioni e processi aziendali.

Con l’ERM il Risk Management entra quindi nelle procedure che regolano il funzionamento di una società in modo strutturato e capillare, arrivando anche all’attenzione dei livelli più alti della direzione.

Allo stesso tempo, poi, un team di professionisti specializzati coordina le strategie generali di gestione del rischio.

L’ERM permette quindi di avere sia una visione complessiva del panorama di rischio che un quadro molto più specifico, inerente agli elementi problematici presenti in ogni singolo settore aziendale. Un’analisi tanto accurata permette non solo di prevenire e mitigare i rischi, ma anche di cogliere e valorizzare le opportunità insite in essi.

La prevenzione del rischio avviene attraverso il processo di risk mitigation, che consiste nello sviluppo di interventi di mitigazione che riducono la vulnerabilità di un’azienda, adottando diverse modalità operative. Le strategie principali per la risk mitigation sono tre: annullamento, riduzione e redistribuzione del rischio.

La prima punta a eliminare radicalmente l’elemento di rischio, per esempio interrompendo o cessando un’attività considerata compromettente. La seconda vuole invece ridurre il rischio, agendo quindi sugli aspetti più problematici di un’iniziativa o cercando di ridurre le probabilità che questa sviluppi esiti negativi.

Credi di avere tutti gli strumenti necessari a identificare, valutare e controllare tutti i fattori di rischio, interni ed esterni, alla tua azienda?

Come manager o responsabile HR sai benissimo che la tua organizzazione è costantemente esposta a imprevisti e problemi di vario tipo: finanziari, legali, di sicurezza sul lavoro, spesso causati da una non corretta gestione strategica. Saper prevedere e affrontarli prontamente, significa limitarne gli effetti negativi, facilitando il raggiungimento degli obiettivi aziendali.