Questa fase si compone di una serie continua e interattiva di attività con cui il management, a partire dai fattori interni ed esterni precedentemente individuati, valuta in che misura gli eventi potenziali ad essi collegati possono incidere sul conseguimento degli obiettivi aziendali. Il primo passo è quello di verificare l’esistenza di combinazioni tra i potenziali eventi futuri e determinare quali eventi sono da considerarsi previsti e quali inattesi. I primi sono eventi che si verificano con una certa frequenza e per questo vengono considerati già in sede di pianificazione dei processi e determinazione del budget mentre i secondi sono eventi a bassa o bassissima frequenza che devono però essere ugualmente contemplati in questa fase dell’ERM se il loro impatto sul raggiungimento degli obiettivi è rilevante. L’impatto sugli obiettivi associato ad ogni evento viene valutato attraverso due misurazioni: dapprima si calcola il rischio inerente dell’evento, ovvero il rischio cui l’azienda è soggetta se non viene attuato nessun intervento al fine di ridurne la probabilità e l’impatto; successivamente, una volta attivata la risposta per fronteggiare l’evento potenziale, si calcola il rischio residuo ovvero la porzione di rischio che nemmeno l’intervento dell’azienda è riuscito ad eliminare. Naturalmente è quasi impossibile registrare un valore di rischio residuo nullo: saranno le capacità e le competenze del management a decretare il livello di rischio residuo accettabile per ogni evento o combinazione di eventi in grado di massimizzare il rapporto tra riduzione del rischio inerente ottenuta e spese sostenute per attuarla.
Come già accennato, l’impatto di un evento può essere misurato singolarmente oppure congiuntamente qualora più eventi si combinino e interagiscano tra loro.
82
Esistono infatti situazioni per cui anche se l’impatto del singolo evento risulta irrilevante, la sua combinazione con uno o più eventi diversi può generare un impatto significativo sull’attività aziendale: in questo caso la valutazione del rischio va effettuata sulla sequenza o sull’aggregato di eventi piuttosto che sul singolo evento. Inoltre se sono identificati rischi che riguardano più unità operative, è possibile raggrupparli in categorie di eventi omogenei analizzandoli prima a livello di singola unità e successivamente a livello aziendale.
Entrando nel merito della procedura di valutazione l’incertezza degli eventi potenziali è misurata da due prospettive: la probabilità, ovvero la possibilità che l’evento si manifesti e l’impatto, cioè l’effetto di questa manifestazione. Eventi con bassa probabilità e impatto modesto non verranno presi in considerazione, al contrario quelli con alta probabilità di accadimento e impatto significativo e tutti gli eventi che vanno a collocarsi tra questi due estremi richiederanno un’accurata valutazione da parte del management per formulare risposte adeguate. Per quanto riguarda poi l’orizzonte temporale da considerare nella valutazione del rischio, esso dev’essere coerente con l’orizzonte temporale della relativa strategia e obiettivi: gli indicatori di performance usati per misurare lo stato di avanzamento nel raggiungimento di uno o più obiettivi potranno essere utilizzati anche come riferimento per la misurazione del rischio associato all’obiettivo stesso.
Per poter calcolare impatto e probabilità di un evento sono necessari dei dati: generalmente si utilizzano i dati relativi ad eventi già accaduti perché forniscono un parametro di partenza oggettivo. Tuttavia è importante ricordare che i fattori che influenzano gli eventi possono variare nel tempo per cui bisogna prestare particolare attenzione quando si stimano eventi futuri utilizzando i dati di quelli passati. Per quanto riguarda la fonte di provenienza invece, solitamente si fa ricorso a dati interni basati sulle esperienze maturate dall’azienda: il ricorso a dati provenienti da fonti esterne può invece rivelarsi utile allo scopo di convalidare quelli interni migliorando così le analisi.
Quanto alle metodologie di valutazione del rischio aziendale, esse si dividono in tecniche qualitative e quantitative. Il ricorso a una delle due tipologie è dettato dal tipo di rischio che si va ad analizzare e alla disponibilità di dati su cui costruire le stime: si utilizzano perciò tecniche qualitative per valutare rischi che non si prestano ad essere quantificati oppure quando i dati sono indisponibili o la loro ricerca e analisi risulta
83
troppo onerosa. Al contrario, se la tipologia di rischio analizzata lo permette e sono disponibili dati di buona qualità, è preferibile il ricorso a tecniche quantitative perché generalmente sono più precise e possono essere impiegate in attività più complesse e sofisticate. Le tecniche quantitative infatti si rivelano particolarmente adatte per formulare previsioni relative a rischi già manifestatisi in passato e di cui l’azienda dispone i dati relativi alla frequenza di variabilità. Vediamo di seguito alcuni esempi di tecniche quantitative per la valutazione dei rischi:
- Benchmarking: processo di misurazione di eventi specifici, solitamente realizzato in collaborazione da un gruppo di aziende, che confronta le rilevazioni e i risultati ottenuti utilizzando dei criteri di quantificazione omogenei per identificare opportunità di miglioramento;
- Modelli probabilistici: a partire da dati storici, questi modelli uniscono l’impatto e la probabilità di accadimento di una serie di eventi per ottenere una misura di rischio potenziale. Si possono utilizzare sia per valutare risultati attesi o medi che per calcolare impatti inattesi. Gli esempi più comuni di questa categoria sono i modelli Value at Risk, Earning at Risk e Cash Flow at Risk;
- Modelli non probabilistici: questi modelli calcolano l’impatto degli eventi basandosi su ipotesi soggettive elaborate a partire da dati storici o simulati e su ipotesi di tendenze future e senza quantificare la probabilità di accadimento dell’evento. Esempi di modelli non probabilistici sono: gli stress test e le analisi di scenario.
Le tecniche di valutazione utilizzate all’interno di un’azienda non sono necessariamente tutte uguali ma variano in base all’effettiva necessità di ottenere misurazioni precise e alla cultura prevalente nell’unità operativa valutata. Indipendentemente dalla tecnica utilizzata, i rischi sono valutati in termini di rischio inerente e rischio residuo e poi strutturati e aggregati per categorie di obiettivi in ogni unità operativa. Per poter misurare l’impatto di un evento a livello aziendale è necessario che tutte le misurazioni dei singoli rischi che lo compongono siano state espresse in termini quantitativi. Se ciò non fosse possibile, fissando dei criteri omogenei di probabilità e impatto a livello aziendale e delle categorie omogenee di rischio si può comunque ottenere una valutazione “composita” ovvero espressa in termini qualitativi che risulti da misurazioni sia qualitative che quantitative.
84