Tecniche qualitative

L’applicazione di tecniche qualitative conduce alla costruzione di uno degli strumenti più efficaci e diffusi nell’ambito del risk assessment: le mappe dei rischi.

In sostanza, al singolo soggetto o al team che proceduto all’assessment viene richiesto di descrivere l’intensità dell’impatto utilizzando una scala di attributi come nullo, molto basso,

basso, medio, alto, molto alto. Per l’analisi degli impatti sulla performance è necessario che

l’orizzonte temporale di riferimento sia definito a priori in modo chiaro e non venga modificato durante il processo di assessment.

Per ottenere consensi sulla probabilità e l’impatto, che sono stati determinati impiegando tecniche di valutazione qualitative, le aziende possono adottare lo stesso approccio impiegato per identificare gli eventi, e cioè le interviste e i workshop. Un processo di auto-valutazione del rischio indirizza l’attenzione ai partecipanti sulla probabilità e sull’impatto degli eventi futuri, adottando scale sia descrittive sia numeriche.

Livello Giudizio Probabilità di accadimento

Rischio

1 Raro Molto bassa Interruzione dei sistemi tecnologici per periodi prolungati dovuti ad azioni terroristiche o altre azioni dolose

2 Improbabile Bassa Un evento originato da un disastro naturale o che dipende da terzi (per esempio: utenze) rende necessaria l’attivazione di un

business continuaty plan

3 Possibile Moderata Hacker riescono a violare la sicurezza del sistema informatico

4 Probabile Alta Personale interno utilizza le risorse della società per connettersi a Internet per ottenere informazioni riservate

5 Quasi Certo Molto alta Personale interno utilizza il sistema informatico per inviare messaggi personali

Tab. 4 – Graduatorie di probabilità del rischio delle operazioni automatizzate (periodo di riferimento: trimestre sucessivo)

Fonte: CoSO, 2006

Con riferimento ai business risk, quella dei fattori di rischio è sempre una probabilità soggettiva e i fattori di rischio vengono classificati secondo la probabilità associata a ognuno di questi. La scala adottata per la definizione delle categorie di probabilità all’interno delle quali classificare i fattori di rischio è la stessa di quella impiegata per la classificazione degli impatti, in modo da avere una completa coerenza tra le due dimensioni esaminate e o poter costruire matrici per l’analisi congiunta impatto-probabilità.

La costruzione della scala degli impatti segue fondamentalmente due logiche: la prima riguarda la semplice valutazione dell’effetto sulla misura di performance a prescindere dal segno di questo impatto, mentre la seconda rappresenta non solo l’intensità ma anche il segno dell’impatto secondo la seguente scala: molto negativo, negativo, nullo, positivo, molto

positivo.

Il problema più delicato nella costruzione delle mappe dei rischi riguarda il raggiungimento di una certa omogeneità nella formazione delle classi tra i differenti gruppi di lavoro.

Partendo da queste valutazioni qualitative sulla probabilità e sugli impatti si conduce una conversione dalle valutazioni sulla probabilità alla definizione di intervalli di probabilità, e dalla valutazione degli impatti alla stima della variazione dei kpi.

Tab. 5 – Tabella di conversione valutazione qualitative- giudizi quantitativi

Fonte: Bozzolan (2004)

La determinazione dei valori soglia (cut off) che ripartiscono i rischi nelle differenti categorie a seconda del livello di esposizione (elevata, media, bassa) dipende principalmente dal livello di propensione alla gestione dei rischi presente nella business unit.

Con riferimento ai diversi livelli di esposizione, l’esposizione bassa viene associata a una zona di rischiosità ridotta: i fattori di rischio classificati in questa zona non sono significativi e quindi è possibile porre nei confronti di questi una minore attenzione. È però opportuno che il monitoraggio di questi fattori di rischio sia ugualmente condotto perché le variabili causa dei fattori classificati in quest’area si possono modificare in termini sia di probabilità sia di impatto.

All’opposto vi è l’esposizione elevata; i fattori di rischio classificati in questa zona possono minare la sopravvivenza stessa dell’azienda in quanto nessun business può sopravvivere accettando nel lungo termine un insieme di rischi di tale criticità. Di conseguenza, il management deve gestirli mediante il ricorso a specifiche strategie e piani di azione.

I fattori di rischio con una esposizione media possono essere conseguenza del fatto che tali fattori hanno una probabilità elevata ma si presentano di impatto limitato oppure, viceversa, hanno un impatto rilevante ma sono poco probabili. Questi fattori di rischio, sebbene non critici come quelli menzionati precedentemente, richiedono particolare attenzione.

La mappatura dei rischi è utilizzata in molti modi, a motivo della sua versatilità. In relazione agli oggetti di analisi, la mappa dei rischi può riferirsi alle singole unità organizzative (in una

Scala Stima KPI

(percentuale di ritardo) Impatto percentuale sulla performance (incremento dei costi) Performance Probabilità Impatto Nullo Molto Basso Basso Medio Alto Molto Alto 0 0-0,1 0,1-0,2 0,2-0,3 0,3-0,4 0,4-0,5 0 <10% 10%-30% 30%-35% 35%-55% >55% 0 <5 5-10 10-15 15-30 >30 Nessuno

Non viene raggiunto un obiettivo minore

Non viene raggiunto più di un obiettivo minore

Diminuzione nel raggiungimento degli obiettivi

Significativa diminuzione nel raggiungimento degli obiettivi Generale impossibilità di raggiungere gli obiettivi

logica funzionale), alle singole attività o processi, agli specifici kpi che possono a loro volta diventare dei risk performance indicator.

Il riferimento alla mappa dei rischi permette al management di focalizzare l’attenzione sui rischi che rilevano caratteristiche critiche in termini di valutazione congiunta probabilità- impatto e che, analizzate separatamente, si presentano come molto probabili o con un impatto elevato sulla performance.

Da un lato troviamo fattori di rischio relativi a eventi che hanno una bassa probabilità di manifestazione, ma il cui impatto sui risultati aziendali è rilevante. Questi fattori sono principalmente di natura esterna, il cui controllo non è solitamente realizzabile da parte del management, (DeLoach J.W., 2000). Questo è il motivo per cui il contingency planning assume una particolare rilevanza nella gestione di questi fattori di rischio. In sostanza, si definiscono a priori scenari in relazione alla manifestazione dei fattori rischiosi (sulla base appunto del processo di risk assessment), si individuano le azioni e gli impatti attesi e, infine, le unità organizzative e i soggetti che hanno la responsabilità dell’esecuzione delle azioni individuate.

Dall’altro lato, i fattori di rischio di impatto limitato ma con una probabilità elevata si riferiscono alle attività day to day. Se non vengono gestiti, l’impatto aggregato di tali eventi rischiosi, in particolar modo se questi non sono sporadici e isolati, data l’alta probabilità di accadimento, può compromettere lo svolgimento delle attività secondo i criteri di efficienza e di efficacia, oppure determinare il mancato rispetto di norme che regolano il funzionamento del business.

In sintesi, la congiunta analisi qualitativa o semiquantitativa d’impatto e probabilità permette di, (Bozzolan, 2004):

• focalizzare l’attenzione del management solamente sui rischi più importanti e sulla loro misura mediante tecniche rigorose;

• supportare lo sviluppo di strategie per la gestione dei rischi;

• allineare gli obiettivi di business con la gestione dei rischi aziendali;

• ridurre il pericolo dei rischi ovvero opportunità significative per l’azienda non siano posti in evidenza;

• individuare sinergie relativamente alla condivisione di best practices per la gestione dei rischi che sono comuni a business unit e processi;

• produrre uno strumento in grado di aggregare i rischi tra le singole business unit dell’azienda.