RISK ASSESSMENT

l’individuazione, l’analisi e la ponderazione dei rischi.

2. Risk Treatment (trattamento dei rischi): le strategie per controllare o ridurre i rischi.

1. RISK ASSESSMENT

La valutazione dei rischi è una necessità per qualsiasi organizzazione perché consente di circoscrivere la frequenza, l’entità e la rilevanza di elementi che possono incidere sul raggiungimento o meno degli obiettivi stabiliti in fase di pianificazione strategica. Ovviamente per valutare i rischi occorre compiere analisi interne ed esterne anche se è bene sottolineare che per quanto concerne la frequenza l’uso di dati statistici permette di determinare una probabilità di accadimento in riferimento ad andamenti costanti nel tempo e quindi fornisce risultati sempre relativi; in più l’entità del rischio è sicuramente un dato soggettivo essendo collegato al rapporto esistente tra l’organizzazione e il suo contesto esterno e quindi caratterizzato dall’incertezza; infine che per la rilevanza o l’incidenza gli effetti degli eventi non sempre sono immediatamente percepibili oltre a manifestarsi solitamente in modo non uniforme. Nonostante i limiti appena descritti “la valutazione del rischio consiste, pertanto, in un complesso procedimento volto e definire, nel rispetto dei limiti conoscitivi, le probabilità di manifestazione degli incerti eventi futuri, la loro intensità, e l’entità dell’impatto con la relativa incidenza sugli andamenti gestionali. Infatti, un’efficace ed efficiente strategia di fronteggiamento dei rischi parte proprio dalla capacità del vertice aziendale di impostare e organizzare un’efficace

52

sistema di monitoring dei processi dinamici aziendali, che eviti il proliferare spazio-temporale delle conseguenze del sistema dei rischi e permetta, così, un intervento risolutivo tempestivo.38_{” Nonostante i mezzi tecnologici a}

disposizione generalmente le organizzazione faticano ad adottare una logica interna votata all’acquisizione di informazioni sui rischi potenziali e il motivo principale può essere riscontrato nell’onerosità di tali operazioni.

1.1 Identificazione Dei Rischi

Affinché si arrivi ad una chiara identificazione dei rischi occorre far riferimento ad elementi e metodologie cioè a tutti gli strumenti utilizzati dal management per individuare i rischi potenzialmente capaci di incidere sul raggiungimento dei risultati attesi. La sequenza logica messa in pratica per l’individuazione dei rischi può essere suddivisa in quattro fasi principali:

1. percezione degli eventi rischiosi 2. analisi dei pericoli connessi agli eventi 3. analisi delle cause

4. individuazione della tipologia degli effetti dell’evento

Il primo passaggio che è necessario compiere è quello di identificare le

potenziali fonti di rischio interne ed esterne:

- esterne: andamento economico-finanziario ambiente naturale contesto politico/sociale nuove tecnologie

38 _{Sergio Salomone,} Il governo sistemico dei rischi nella gestione d’impresa, una balanced

53 - interne: infrastrutture personale governante processi tecnologie

Il management ha il compito di analizzare e valutare per ogni singola fonte elencata i rischi associati in riferimento alla specificità dell’organizzazione. A tal fine le metodologie che possono essere utilizzate sono numerose e prima di passare ad una loro rassegna è importante considerare come ci siano tecniche di analisi che meglio si prestano allo studio dei processi che compongono l’organizzazione piuttosto che ad uno studio dell’organizzazione come sistema. Per tale motivo risulta necessaria una scomposizione dell’organizzazione in processi, e nel caso in sottoprocessi, attraverso l’uso dei Diagrammi di flusso o Flow Chart39_.

Oltre all’identificazione delle fonti di rischio devono essere considerate le aree di impatto, gli eventi, le cause e le possibili conseguenze. L’ identificazione dei rischi quindi è un’attività che comporta un notevole dispendio di tempo e risorse da parte delle organizzazioni ma è fondamentale in quanto il suo scopo è quello di ottenere una

classificazione di tutti i rischi ritenuti più importanti o comunque da tenere

in considerazione. Le informazioni che generalmente fanno parte del catalogo dei rischi sono: la natura del rischio e una sua descrizione qualitativa. Ovviamente perché si possa parlare di una gestione efficiente in riferimento al processo di identificazione dei rischi deve essere stabilita una periodicità adeguata alle attività di indagine dunque un’analisi costante e continuativa in quanto ogni risultato non sarà mai fisso nel tempo ma al

39 _{Rappresentazioni strutturate e schematiche di flussi caratterizzanti una specifica attività}

dell’organizzazione. Consentono di ottenere una visione totale dell’organizzazione come un insieme di attività tra loro interconnesse grazie alla quale è possibile indagare sugli effetti dei rischi sia sulla singola attività che sulla loro totalità.

54

contrario provvisorio e instabile. L’organizzazione potrà godere di un vero e proprio registro dei rischi contenente tutte le informazioni necessarie che andranno a costituire la base di conoscenze fondamentali per la scelta delle strategie e delle tecniche per una valutazione e una gestione efficace dei rischi.

1.2 Analisi Dei Rischi

La fase precedente, di individuazione dei rischi, per quanto fondamentale fonte di informazioni e conoscenze da sola non è sufficiente a garantire una gestione efficace dei rischi. Proprio per questo la fase successiva viene definita di “Analisi”, analisi dei rischi individuati che “fornisce i dati in ingresso alla ponderazione del rischio e alle decisioni circa la necessità o meno di trattamento del rischio, nonché riguardo le strategie ed i metodi di trattamento più appropriati. L’analisi del rischio può anche fornire dei dati in ingresso al processo decisionale, dove devono essere effettuate delle scelte e le opzioni disponibili comportano differenti livelli di rischio. Il rischio è analizzato mediante la determinazione delle conseguenze e la relativa verosomiglianza e altri attributi del rischio.40_{” Per l’analisi dei rischi è}

possibile adottare come approccio di studio sia indagini qualitative che quantitative, sono analisi cumulative nel senso che possono essere utilizzate insieme al fine di ottenere risultati più pertinenti.

Analisi qualitativa:

Analizzare i rischi è oggi una necessità per qualsiasi organizzazione e per far ciò strumenti utili sono le attuali tecnologie di cui disponiamo che consentono di mirare, oltre che ad una gestione efficiente dell’organizzazione, a una sua gestione prudenziale attraverso il miglioramento del sistema informativo e informatico. Finalità di questa

55

tipologia di analisi è la stima del rischio grazie alla quale un’organizzazione potrà prevedere forme adeguate di prevenzione e/o di controllo e di protezione nel caso un evento dannoso si manifesti.

Utilizzate quando le informazioni di cui dispone l’organizzazione risultano nulle o carenti, sono tecniche che trovano fondamento sulle capacità e sull’esperienza del soggetto incaricato a valutare il rischio. Inoltre, più nello specifico, possono essere adottate laddove il rischio oggetto di valutazione non si presta ad essere quantificato, quindi quando non sono disponibili dati informativi sia per una loro inaffidabilità oppure perché risulta troppo oneroso per l’organizzazione ricercarli. Nonostante siano tecniche puramente soggettive esistono dei riferimenti dettati da esperienze, casi analoghi etc., che rendono la misurazione più attendibile e più oggettiva. Condizioni necessarie affinché questa analisi possa essere compiuta è che siano determinate due scale, scale molto brevi indicative una della probabilità di avvenimento del fenomeno dannoso e l’altra dell’impatto del fenomeno in termini di danni causati. Emerge, dalla combinazione delle due precedenti scale, un’ulteriore scala qualitativa che associa ad ogni intersezione delle due precedenti scale il livello di rischio riscontrato o Risk Rating. Dunque il livello di Risk Rating di un’organizzazione si ottiene mettendo in relazione: