Perfomance

Questa fase rappresenta il cuore del framework delineato dal COSO; è la fase dell’individuazione dei rischi, della loro valutazione e prioritizzazione nonché della selezione delle strategie di risposta al rischio al fine di ricondurre il profilo di rischio all’interno delle soglie ritenute accettabili. I principi associati a questa fase sono:

10. Identificare il rischio: l’organizzazione identifica i nuovi rischi, inizialmente creando

un semplice catalogo32 _{come metro di confronto con i rischi già conosciuti e}

verificandone la loro attualità; i nuovi rischi possono emergere dagli obiettivi stessi, dal contesto di riferimento, possono essere completamente nuovi o derivare da altri già identificati in passato (il COSO non dedica spazio all’ interno del framework sulle metodologie di identificazione dei rischi e sui relativi vantaggi e svantaggi, per questo saranno affrontati dettagliatamente nel capitolo successivo); È importante sottolineare che tutti i rischi devono entrare a far parte del catalogo a prescindere

32 _{Il catalogo dei rischi, “risk inventory”, è una semplice lista di rischi che può essere organizzata per}

categorie (e.g. le categorie affrontante all’interno del primo capitolo di questo elaborato) quindi raggruppati secondo delle definizioni standard.

48

dal livello o dalla funzione in cui vengono identificati poiché tutti potrebbero avere ripercussioni finali sulla strategia;

11. Stabilire la severity del rischio33_{: è importante effettuare queste misurazioni su}

qualsiasi rischio a prescindere dal livello. Infatti, anche eventi rischiosi che non impattano sull’intera organizzazione ma che potrebbero impattare a livello di singole business unit, se sottovalutati, potrebbero portare a gravi conseguenze in termini strategici. Probabilità e impatto possono essere calcolati con vari metodi, sia quantitativi sia qualitativi, a seconda del contesto aziendale in cui tali misurazioni vengono effettuate (una rassegna delle principali tecniche qualitative e quantitative per la valutazione dei rischi è affrontata nel capitolo seguente); una volta calcolata la severity sarà importante anche analizzare le eventuali interdipendenze tra i vari eventi rischiosi e collocarli in una Heatmap;

12. Prioritizzare i rischi: questa fase è necessaria in preparazione delle strategie di

risposta al rischio per ottimizzare l’allocazione delle risorse. Poiché alcuni eventi potrebbero trovarsi nella stessa collocazione all’interno della mappa dei rischi, sarà necessario andarli a prioritizzare in maniera adeguata; il COSO suggerisce di prendere in considerazione alcuni parametri quali l’adattabilità dell’azienda (ovvero la capacità di rispondere velocemente ai rischi), la complessità (in riferimento alle numerose interdipendenze che possono intercorrere tra i rischi), la velocità (in riferimento alla velocità con la quale un rischio può impattare l’attività aziendale) o il tempo di recupero (inteso come il tempo necessario all’organizzazione per rientrare nelle soglie di tollerenza);

13. Implementare le risposte al rischio: una volta identificati, valutati e prioritizzati i

rischi, dovranno essere selezionate le risposte ritenute più idonee. Le risposte possono essere:

• Accettare il rischio, ovvero nessuna azione verrà intrapresa per ridurne la pericolosità. Questa azione solitamente viene adottata nel caso in cui l’ammontare totale del rischio rientri nelle soglie ritenute accettabili. • Evitare il rischio, ovvero eliminare ogni possibilità del verificarsi dell’evento

rischioso, non intraprendendo determinate attività o rinunciando a determinati obiettivi. Questa azione solitamente viene adottata quando è

33 _{La risk severity, viene definita come una misurazione di considerazioni quali la probabilità e l'impatto}

49

impossibile riportare l’esposizione totale al rischio all’interno delle soglie di tolleranza.

• Perseguitare nel rischio, ovvero intraprendere azioni alla ricerca di una performance ancora migliore, aumentando l’esposizione al rischio ma senza superare le soglie di tolleranza.

• Ridurre il rischio, quindi intraprendere azioni che possono diminuire l’esposizione totale cercando o di ridurre la probabilità o di abbassare le conseguenze di un eventuale impatto.

• Condividere il rischio, ovvero trasferire ad altri parte del rischio grazie per esempio alla stipula di un contratto assicurativo.

Altre soluzioni più radicali potrebbero essere quella di rivedere gli obiettivi prefissati o di rivedere e cambiare parte della strategia. In altri casi, potrebbe essere conveniente continuare ad operare oltrepassando la soglia di rischio ritenuta accettabile, naturalmente soltanto se i benefici risultano di gran lunga maggiori rispetto alle eventuali conseguenze dell’aumento dell’esposizione. La scelta relativa alla strategia di risposta da intraprendere dovrà essere fatta considerando tutte le componenti ed i principi fin qui analizzati (il contesto di business, i costi e i benefici apportati, le priorità riguardo ai rischi etc.) ed eventuali nuovi rischi correlati che potrebbero sorgere.

14. Sviluppare una visione di portafoglio di rischio: l’enterprise risk management

consente di esprimere tutte le possibili implicazioni relative al livello di rischio con una prospettiva di alto livello, a prescindere dalle metodologie utilizzate (e.g. categorie di rischio uniche trasversali a tutte le funzioni aziendali). Riuscire a sviluppare una visione “a portafoglio” di questo tipo, rappresenta il grado di integrazione massima del processo nelle attività aziendali, che è così composto:

• Integrazione Minima – Visione “a rischio”, il focus è prevalentemente incentrato sui singoli rischi piuttosto che sugli obiettivi di business;

• Integrazione Limitata – Visione per Categorie di rischio, traendo informazioni dal catalogo dei rischi organizzato appunto in categorie di rischio o altri schemi di classificazioni simili (e.g. tutti i rischi operativi a prescindere dagli obiettivi su cui impattano);

50

• Integrazione Parziale – Visione del Profilo di rischio, il focus è incentrato sugli obiettivi di business ed i relativi rischi, prendendo informazioni da un catalogo organizzato, ad esempio, sempre per categorie di rischio (e.g. tutti gli obiettivi di business che potrebbero essere impattati da rischi operativi); • Integrazione Completa – Visione a Portafoglio, il focus è sull’intera organizzazione e sulla strategia declinata nei vari obiettivi di business; questo consente di gestire i rischi al livello appropriato, con le varie responsabilità rispetto ai rischi distribuite “a cascata” lungo tutta l’azienda.