Classificazione Dei Risch - 1.DEFINIZIONE DI RISCHIO

1.DEFINIZIONE DI RISCHIO

1.1 Classificazione Dei Risch

Prima di passare alla rassegna delle varie tipologie è utile precisare che non è possibile pervenire ad un unico modello di rischio, cioè alla realizzazione di uno standard che risulti adeguato per qualsiasi organizzazione e come nel settore si parli sempre più spesso di Risk Profile, affermando la necessità per ogni organizzazione di dotarsi di un proprio modello. Dunque a comporre il risk profile possono essere numerose tipologie di rischio e proprio per il loro numero elevato che occorre far riferimento a delle classificazioni.

Considerando la natura interna o esterna all’organizzazione degli eventi rischiosi è possibile effettuare una prima classificazione distinguendo tra:

▪ rischi di fonte interna: connaturati con l’attività tipica di impresa, i principali sono:

. rischio efficacia/efficienza dei processi, . rischio di delega,

. rischio legato alle risorse umane, . il rischio di integrità,

. rischio di informativa, . rischio organizzativo, . rischio strategico,

32 . rischio operativo,

. rischio di business, . rischio di cause legali,

. rischio di attendibilità delle scritture contabili

▪ rischi di fonte esterna: legati alle attività di supporto dell’organizzazione e sono: . rischio di mercato, . di normativa, . rischio paese, . eventi catastrofici, . concorrenza, . contesto politico-sociale, . danni ambientali, . compliance, . reputazionale.

▪ rischi finanziari: legati alla gestione finanziaria dell’organizzazione e sono:

. rischio di investimento, . rischio di cambio, . tasso di interesse,

. prezzo delle attività finanziarie, . prezzo delle materie prime, . rischio di credito,

. rischio di debito, . di liquidità, . di informazione

Valutando l’influenza che le variabili di mercato esercitano sugli effetti economici del rischio è possibile richiamare un’ulteriore distinzione:

▪ rischi diversificabili: considera tutti quei rischi che possono essere elusi o contenuti negli effetti grazie al trattamento delle loro variabili aleatorie attraverso un processo definito di diversificazione. Definiti anche rischi specifici in quanto connaturati alla tipologia di attività svolta dall’organizzazione.

▪ Rischi sistematici: sono rischi legati all’andamento economico, all’inflazione, al mercato in poche parole a variabili macroeconomiche. Si tratta di rischi correlati all’aleatorietà del contesto di riferimento dell’organizzazione e per tale motivo non diversificabili e ineliminabili. In riferimento agli effetti e alle conseguenze che il presentarsi di tali rischi comportano per l’organizzazione si può distinguere tra:

▪ Rischi speculativi: il generarsi dell’evento può comportare effetti sia positivi che negativi, dunque sono rischi capaci di generare anche opportunità per un’organizzazione.

▪ Rischi puri: eventi il cui manifestarsi può solo avere conseguenze negative, in termini di perdite per l’organizzazione. Questa tipologia di rischi è connaturale a qualsiasi attività imprenditoriale.

La distinzione tra rischi speculativi e rischi puri è una tra le più importanti per una gestione efficace del rischio dato che consente al Management l’individuazione dei rischi per i quali è consigliabile prevedere misure preventive e di trasferimento (i rischi puri sono il più delle volte oggetto dei contratti di tipo assicurativo) da quelli per i quali risulta fondamentale lo studio o la messa in atto di pertinenti e adeguati sistemi di gestione.

Altre categorie di rischi:

I rischi essendo strettamente legati alla tipologia di attività svolta dall’organizzazione possono esserne elencati in numeri elevati. Volendo sintetizzare tra i rischi capaci di incidere su qualsiasi organizzazione i più importanti sono:

▪ Rischi operativi: “rischio di perdite dirette o indirette derivanti dall’inadeguatezza o dalla disfunzioni di procedure, risorse umane e sistemi interni, oppure da eventi esterni esogeni.21_{” Comprende tutte le}

tipologie connaturali allo svolgimento di qualsiasi attività e per tale motivo ineliminabili dalle organizzazioni. I rischi operativi possono essere considerati rischi puri dal momento che nella maggior parte dei casi si tratta di rischi di natura endogena e comportano sempre delle perdite per le organizzazioni. Tra i principali rischi operativi è possibile elencare:

. procedure: l’organizzazione subisce delle perdite derivanti dall’andamento non conforme di uno o più processi.

. contesto esterno: sono perdite legate al manifestarsi di eventi nel contesto in cui opera l’organizzazione capaci di arrecarle dei danni, questi eventi possono avere natura politica, sociale etc. . risorse umane: si tratta di perdite da parte dell’organizzazione

derivanti da comportamenti da parte del personale come imperizia e negligenza ma anche casi più gravi come nel caso di frodi, violazioni, appropriazione indebita e attività non autorizzate.

. Tecnologia: i sistemi informativi e/o il sistema produttivo funzionano in modo non conforme determinando perdite per l’organizzazione.

▪ Rischi strategici: è la tipologia di rischio che considera i rischi legati agli andamenti macroeconomici e al livello di competitività del mercato di riferimento dell’impresa, dunque, possono determinare perdite immediate per l’organizzazione ma dilazionate nel tempo ovvero quando le scelte strategiche rivelano i propri effetti. Se il rischio operativo può essere considerato come appartenente alla categoria dei rischi puri i rischi

21_{Cfr. Basel Committee on Bank Supervision, Operational Risk, supporting document to the New Basel}

strategici possono essere compresi tra i rischi di natura speculativa infatti le scelte strategiche operate possono portare ad effetti sia negativi che positivi per l’organizzazione. Tra i rischi strategici più importanti è possibile considerare il rischio capace di incidere sulla reputazione dell’organizzazione; oggigiorno immagine, valori ed etica aziendale sono tra gli aspetti più importanti da tenere in considerazione tanto che si parla sempre di più di danni di natura reputazionale.

▪ Rischi di compliance: considera i rischi che un’organizzazione corre in riferimento alla sua non conformità alle norme vigenti, può dunque incorrere in sanzioni di tipo economico o danni alla sua reputazione.

▪ Rischi marginali: rischi i cui effetti possono essere efficacemente coperti attraverso il ricorso a fondi e riserve dell’organizzazione.

2. IL RISCHIO E LA NORMA

La norma ISO 9001:2015 ritiene il Risk Based Thinking approccio necessario al fine di implementare all’interno di un’organizzazione un Sistema di Gestione per la Qualità.

“Per essere conforme ai requisiti della presente norma internazionale,

un’organizzazione ha l’esigenza di pianificare e attuare azioni che affrontino rischi ed opportunità. Affrontare sia i rischi sia le opportunità costituisce una base per accrescere l’efficacia del sistema di gestione per la qualità, conseguendo risultati migliori e prevenendo gli effetti negativi.22_”

La normativa internazionale associa al termine rischio l’incertezza collegata al conseguimento dei risultati ritenuti fondamentali per un Sistema di Gestione per la Qualità, ovvero:

• l’organizzazione deve essere in grado di fornire ai propri clienti con regolarità prodotti/servizi conformi alle aspettative

• incrementare in modo continuo la soddisfazione dei propri clienti. L’incertezza è determinata dalla penuria di conoscenze e informazioni in riferimento al possibile evento e di conseguenza all’impossibilità di comprendere in modo anticipato le sue conseguenze e probabilità di accadimento. Elemento ulteriore riguarda il collegamento tra il termine “effetto” e quello di rischio, collegamento che all’interno della suddetta norma assume il significato di una possibile deviazione rispetto a quanto programmato, deviazione che può essere sia positiva che negativa. Incertezza, effetto e rischio sono aspetti che la norma sottolinea per affermare come solo l’azione preventiva, cioè lo studio e l’analisi del rischio, sia l’unico strumento in mano alle organizzazioni al fine di attuare una gestione efficace improntata alla qualità. Come sottolineato nel precedente capitolo la norma non elenca requisiti a cui le organizzazioni devono attenersi obbligatoriamente e anche per quanto riguarda la gestione dei rischi richiama principi generali lasciando libertà e autonomia alle organizzazioni nella definizione delle procedure per il conseguimento degli effetti desiderati. L’importanza del permeare di questa mentalità viene richiamata dalla norma con il termine Risk Based Thinking e da un suo studio più approfondito emerge come questa mentalità associata al rischio sia ritenuta fondamentale sia per un’efficace gestione complessiva dell’organizzazione sia come approccio di analisi al singolo processo. La norma fa riferimento al Risk Based Thinking nei seguenti punti:

Nell’introduzione: il Risk Based Thinking viene ritenuto elemento

punto 4 Contesto dell’organizzazione: in riferimento al pensiero basato sul rischio collegato al contesto in cui opera l’organizzazione la norma suggerisce di identificare e analizzare in modo ponderato qualsiasi fattore, sia esso di natura interna o esterna, capace di condizionare gli obiettivi prefissati in fase di pianificazione strategica. Possono avere influenza di tipo negativo o al contrario anche positiva e la loro totalità costituisce l’ambiente operativo in cui l’organizzazione opera. I principali fattori sono: sociale, economico, legale, tecnologico, culturale, di mercato, competitivo e molti altri ancora. L’altro aspetto legato al contesto e al rischio fa riferimento alle parti interessate e come l’organizzazione debba comprendere le loro aspettative ed esigenze. La norma riconosce a tali parti interessate il potere di influenzare andamento e risultati di un’organizzazione e per tale motivo devono essere oggetto di analisi e studio. Principalmente la norma riscontra la loro capacità di condizionare la soddisfazione dei clienti intervenendo sulla possibilità dell’organizzazione di fornire prodotti/servizi conformi a quanto richiesto. I soggetti che rientrano nella categoria delle parti interessate sono: azionisti, dipendenti, fornitori e utilizzatori finali. In sintesi si fa riferimento alla tipologia dei rischi strategici, cioè ai rischi legati alle scelte operate in fase di pianificazione i cui effetti si rivelano successivamente e sulle quali il presentarsi di determinati eventi ne influenza l’andamento.

Punto 5 Leadership: la norma sostiene l’importanza che sia il vertice operativo che il top management rivestono nell’implementazione di un Sistema di Gestione per la Qualità. Di conseguenza precisa come la Direzione debba promuovere l’adozione del Risk Based Thinking con la finalità di ottenere un miglioramento continuo e la trasmissione di una cultura orientata alla qualità per tutti i livelli dell’organizzazione.

L’indagine riguardante i rischi connessi all’organizzazione nel suo complesso deve prevedere:

- l’identificazione di cosa potrebbe non funzionare come previsto nella fase di attuazione, incluso il mantenimento delle performance del sistema e dei suoi elementi.

- definire cosa deve essere oggetto di continuo controllo in riferimento a quanto emerso dalla fase di attuazione in termini di priorità.

- dove e in che modo è possibile migliorare.

Punto 6 Pianificazione: E’ possibile affermare che è il capitolo della norma in cui il Risk Based Thinking viene affrontato in modo più analitico in riferimento al paragrafo 6.1 “azioni per affrontare rischi ed opportunità”. Il termine pianificazione è strettamente indirizzato al Sistema di Gestione per la Qualità per il quale sono elementi necessari l’analisi del contesto (richiamo ai punti 4.1 e 4.2 della norma) e la determinazione di rischi e delle opportunità. La norma sostiene la necessità di pianificare sia le azioni per affrontare i rischi , sia le modalità con cui prevedere l’inserimento di tali azioni nello svolgimento dell’attività dell’organizzazione e successivamente una valutazione della loro efficacia.

Il Sistema di Gestione per la Qualità integra al suo interno l’approccio basato sul rischio con il fine di fornire all’organizzazione uno strumento di azione preventiva grazie al quale saper gestire nel modo più efficace ed efficiente il presentarsi di eventuali rischi così come di opportunità da cogliere.

Punto 8 Attività Operative: l’organizzazione deve prevedere processi in grado di indicare rischi e opportunità. “L’organizzazione deve tenere sotto controllo le modifiche pianificate e riesaminare le conseguenze dei cambiamenti involontari, intraprendendo azioni per mitigare ogni effetto negativo, per quanto necessario.23_”

Punto 9 Valutazione Delle Prestazioni: l’organizzazione è tenuta a controllare, monitorare per infine valutare se la scelta delle azioni messe in

campo per la gestione dei rischi e delle opportunità è risultata la più adeguata.

Punto 10 Miglioramento: in base ai risultati ottenuti dalla valutazione delle prestazioni l’organizzazione stabilire se sono stati riscontrati effetti indesiderati, come correggerli o nel caso di opportunità che si sono presentate come gestirle al fine di un miglioramento del sistema.

La Gestione per la Qualità deve quindi prevede l’assunzione del Risk Based Thinking sia a livello strategico, quando viene stabilito l’ambiente operativo esterno e interno in cui l’organizzazione si trova ad operare, sia a livello tattico, quando vengono stabilite le azioni e le procedure per implementare un Sistema di Gestione per la Qualità e infine a livello operativo in riferimento all’individuazione di punti critici del sistema e la loro valutazione continua.

Più nello specifico è possibile prendere in considerazione i rischi in riferimento all’organizzazione (livello strategico), ai processi (livello tattico) e infine al controllo delle criticità (livello operativo):

Nel documento Il risk based approach secondo la norma ISO 9001: esempi di casi applicativi (pagine 31-39)