Gestione del rischio
La capacità di prevedere cosa riserva il futuro e di scegliere efficacemente tra diverse alternative è al centro delle società e delle organizzazioni contemporanee. La gestione del rischio ci aiuta a navigare in un’ampia gamma di processi decisionali, dal prendere decisioni di investimento alla salvaguardia della nostra salute, dal fare la guerra alla pianificazione delle famiglie.
Oggi le persone e le organizzazioni si affidano molto meno alle tradizioni e alla superstizione di quanto non facessero in passato, e questo potrebbe non essere dovuto al fatto che l’umanità stessa è più razionale, ma piuttosto a causa della nostra capacità di comprendere il rischio, cosa che ci consente di prendere decisioni più informate e razionali.
L’opportunità di gestire il rischio, includendo qui la quantità e il tipo di rischi che le organizzazioni accettano di approfondire o mantenere per fare scelte lungimiranti, è l’ingrediente chiave che catalizza il progresso del sistema economico.
Il rischio è una parte inseparabile di qualsiasi azienda, che influisce sulle sue operazioni e attività, portandole ad implementare adeguati processi di gestione del rischio per gestire e trattare efficacemente tali rischi. Le organizzazioni di successo sono quelle che hanno la capacità di identificare e gestire i rischi, prima che questi diventino realtà distruttive che compromettono la reputazione dell’organizzazione e la sua capacità di operare.
In passato, le organizzazioni generalmente identificavano e gestivano i rischi individualmente impiegando diverse contromisure come mezzo per prevenire guasti IT, violazioni e/o rischi legali. A volte, questo può essere insufficiente e può contribuire alla creazione di un approccio “a silo” alla gestione del rischio, portando a una mancanza di coordinamento e potenzialmente riducendo la capacità dell’organizzazione di identificare i rischi strategici e reputazionali.
L’istituzione di un processo e di una struttura di gestione del rischio basati su ISO 31000 può aiutare le organizzazioni a colmare le lacune operative derivate dai rischi attraverso la creazione di un approccio olistico, a livello di organizzazione, alla gestione del rischio che faciliti la comunicazione e fornisca passaggi fondamentali su come progettare, implementare e migliorare continuamente un framework di gestione del rischio, seguendo le linee guida ISO 31000.
La cultura del rischio
I principi di gestione del rischio possono anche aiutare nella creazione di una cultura del rischio all’interno dell’organizzazione.
Che cos’è la “cultura del rischio”? Il concetto di cultura del rischio è relativamente nuovo e si è diffuso lentamente all’attenzione della gente dopo la crisi finanziaria del 2008. Ci sono una miriade di domande riguardo a questo concetto e molti tentativi di definire con parole esatte cosa rappresenta. Alcuni la definiscono come “il sistema di valori e comportamenti presenti in un’organizzazione che modella le decisioni di rischio del management e dei dipendenti”.
Perché la cultura del rischio è importante? In primo luogo, tutte le organizzazioni, in un modo o nell’altro, hanno adottato una cultura del rischio, forte o debole che sia. Una cultura adeguata molto probabilmente porterà verso i giusti risultati di rischio, mentre una cultura del rischio debole può portare a risultati meno soddisfacenti. Inoltre, la cultura del rischio dell’organizzazione sosterrà o minerà il successo dell’organizzazione a lungo termine o, per tradurla nella terminologia della ISO 31000, determinerà se l’organizzazione creerà e manterrà valore o meno.
In secondo luogo, le organizzazioni possono dedicare una notevole quantità di tempo e risorse allo sviluppo di regole, framework e processi, solo per rendersi conto che questi sono fraintesi e non applicati correttamente, intenzionalmente o a causa della mancanza delle conoscenze e delle competenze necessarie. La cultura del rischio dell’organizzazione può essere il catalizzatore di un efficace processo di gestione del rischio e il promotore di un’assunzione di rischi informata.
Identificare i tipi di rischio
Un’organizzazione che mira a implementare un processo di gestione del rischio deve essere consapevole di tutti i tipi di rischio che sono stati o possono essere affrontati dall’organizzazione mentre operano. Ciò può essere ottenuto considerando tutti i registri dei rischi passati e identificando se qualche rischio del passato è ancora presente. Nel caso in cui l’organizzazione non disponga affatto di registri dei rischi, l’alta direzione dovrebbe fornire al team di gestione del rischio informazioni sufficienti su quali rischi sono stati affrontati in passato e quali erano le loro fonti. Nel caso in cui l’organizzazione non abbia affrontato alcun rischio in passato, dovrebbe comunque identificare i potenziali rischi in modo che l’organizzazione non debba subire alcuna conseguenza.
Alcuni tipi di rischio che possono essere affrontati dalle organizzazioni sono:
- Rischio operativo
- Rischio finanziario
- Rischio di sicurezza
- Rischio legale
Progettare un framework di gestione del rischio
Dopo che il team di gestione del rischio ha acquisito una conoscenza completa dei tipi di rischio che possono essere affrontati dall’organizzazione e dei principi della gestione del rischio, può iniziare a progettare un framework di gestione del rischio appropriato con il supporto e la leadership del top management dell’organizzazione. La ISO 31000 sottolinea lo sviluppo di un framework che integrerà completamente il processo di gestione del rischio in un’organizzazione. Il framework assicura che un processo a livello di organizzazione sia supportato, iterativo ed efficace. Ciò significa che la gestione del rischio sarà una componente attiva nella governance, nella strategia e nella pianificazione, nei processi di reporting direzionale, nelle politiche, nei valori e nella cultura. Il framework è destinato ad essere adattato alle esigenze e alla struttura particolari di tutte le organizzazioni, indipendentemente dalle loro dimensioni, ed è facilitato dalla leadership e dal coinvolgimento del top management dell’organizzazione. Tuttavia, l’impegno del solo vertice aziendale non è sufficiente; pertanto, deve essere perseguita la partecipazione dell’intera organizzazione (una corretta cultura del rischio come discusso sopra).
L’implementazione di successo del framework di gestione del rischio ISO 31000 richiede l’impegno e la consapevolezza delle parti interessate. Ciò consente alle organizzazioni di affrontare esplicitamente l’incertezza nel processo decisionale, garantendo al contempo che qualsiasi incertezza nuova o successiva possa essere presa in considerazione non appena si presenta.
Implementare il processo di gestione del rischio
Il processo di gestione del rischio dell’organizzazione dovrebbe comportare l’applicazione sistematica di politiche, procedure e pratiche alle attività di comunicazione e consultazione, definizione del contesto e valutazione, trattamento, monitoraggio, revisione, registrazione e reporting del rischio. Lo scopo principale del processo di gestione del rischio è consentire all’organizzazione di valutare i rischi esistenti o potenziali che possono essere affrontati, valutare i rischi confrontando i risultati dell’analisi del rischio con i criteri di rischio stabiliti e trattare tali rischi utilizzando le opzioni di trattamento del rischio. L’organizzazione dovrebbe utilizzare tale processo nel processo decisionale.
Come definito sopra, i passi per un’efficace implementazione/integrazione del processo di Risk Management sono:
- Stabilire il contesto
- Identificazione del rischio
- Analisi del rischio
- Valutazione del rischio
- Trattamento del rischio
- Comunicazione e consultazione
- Registrazione e reporting
- Monitoraggio e revisione
Tutto ciò che devi sapere su vantaggi, dettagli del corso e certificazione al link: https://www.hrv-swiss.consulting/it/iso-iec-31000/
