Risk assessment: cos’è, quale è il suo significato

Sempre più perno per guidare strategie e operazioni quotidiane, cerchiamo di fornire qualche spunto per consolidare i concetti e fare chiarezza sull’argomento

Pubblicato il 21 Dic 2022

Samuel De Fazio

Esperto in protezione dei dati con attestato di qualità e qualificazione professionale dei servizi prestati, rilasciata da Associazione Data Protection Officer ai sensi degli artt. 4, 7 e 8 della L 4/2013

Il mondo e la società in cui viviamo ed esprimiamo la nostra personalità, i contesti e gli ambienti in cui ci muoviamo e con cui ci relazioniamo, si sono gradualmente evoluti facendo emergere quello che, sebbene ci sia sempre stato, oggi è percepito dalla larga maggioranza di tutti noi, sia soggetti fisici che enti, anche e soprattutto istituzionali, come uno dei principii fondanti e della nostra realtà: la responsabilizzazione. Non sono pochi, infatti, i testi di norme cogenti e non in cui è più o meno direttamente richiamata e, tra di essi, figurano quelli in materia di salute e sicurezza sul lavoro, sulla protezione dei dati personali, sulla sicurezza dei sistemi informativi, sulla protezione ambientale, sulla qualità, sulla sicurezza della catena logistica… l’elenco è estremamente lungo, e a questi si aggiungono certamente anche i contratti e gli accordi di vario genere. A tutto questo fa riferimento il risk assessment. Vediamo di capire meglio di cosa si tratta.

Dal pericolo al risk assessment

Il punto di partenza è il pericolo, o rischio. Una volta isolato il pericolo occorre contestualizzarlo, nei fatti o nelle intenzioni, riflettendo, osservando o figurandosi con quale frequenza, dato un arco temporale che sia significativo, si realizza il pericolo stesso e ne diventano apprezzabili gli effetti. In questa fase è assolutamente importante scegliere la base temporale di riferimento, poiché influenza direttamente l’utilità della variabile di risposta (per usare il linguaggio della statistica).

WHITEPAPER
Cyber Risk : la guida per gestire il rischio in banca
Sicurezza
Cybersecurity

Esempio:

Per ottenere una frequenza significativa della caduta di oggetti da un ponteggio, può essere opportuno scegliere una singola ora, nelle fasi di costruzione o smontaggio, oppure la singola giornata di lavoro nella fase intermedia alle prime due. Non avrebbe senso prendere le rilevazioni su periodi più lunghi (come le decadi) o più brevi (come i centesimi di secondo)

Viceversa, per ottenere una frequenza significativa dell’allagamento da alluvioni ed esondazioni di corsi d’acqua o di eventi sismici di grande impatto (c.d. “tempi di ritorno”), può essere opportuno scegliere un periodo di anche più di un decennio, finanche di secoli, improbabile di millenni. Sarebbe verosimilmente inutile concentrarsi sui giorni o i minuti: affermare che si verifica un’alluvione ogni 50 anni ha senso, affermare che si verificano 0,2 alluvioni all’anno lascia perplessi, affermare che sono circa 0,000000038 ogni secondo è ridicolo.

Parallelamente, dato per assunto che qualcosa sia pericoloso e possa generare effetti negativi, bisogna procedere a esprimere, qualitativamente o quantitativamente o in modalità ibrida, la portata e l’impatto di questi effetti. Anche in questo caso può trattarsi di una osservazione o di una stima e, anche in questo caso, non si può prescindere dalla contestualizzazione, poiché l’interpretazione e la determinazione di queste informazioni assume forme e significati differenti che, in questo frangente più che in quello illustrato poc’anzi, dipendono fortemente da pregiudizi, bias cognitivi, cultura, sensibilità, abitudine, numerosità e tipologia delle cose (dagli oggetti naturali e sociali alle semplici idee) e persone coinvolte.

Esempio:

Osservando un incidente durante una gara automobilistica, in cui l’automobile, l’unica a disposizione della squadra per tutto il campionato, viene completamente e irrimediabilmente distrutta ma riesce a mantenere incolume il pilota, possiamo affermare che:

  • Relativamente alla persona del pilota e alla sua salute, il danno è estremamente limitato, rappresentato da uno spavento, uno stato momentaneo e facilmente reversibile di agitazione e la delusione emotiva di non aver potuto completare la gara, né il campionato.
  • Relativamente alla squadra, il danno praticamente fatale alla continuazione della stagione, pur presumendo che siano tutti felici per il pilota uscito indenne.

Un solo evento, due chiavi di lettura diametralmente opposte.

Giunti a questo punto, con le informazioni relative al contesto, alla frequenza e alla conseguenza, si è pronti per poter completare la valutazione del rischio, che è bene specificare che è un complesso processo cognitivo altamente soggettivo che non si esplica in una mera misurazione, attività da cui è assolutamente distinta e profondamente distante, proprio per i presupposti che sono stati illustrati poco fa. Fuori discussione che la misurazione possa essere utile a raccogliere le informazioni da trattare per addivenire alla valutazione. Altrettanto pacifico è che, al fine di favorire un confronto equo, costruttivo e scientifico tra due valutatori, è doveroso agire nella massima trasparenza e condivisione di metodi, se non di mezzi, posto che è molto probabile che la discussione avrà come obiettivo quello di dimostrare che una delle due valutazioni, ciascuna sorretta dalle rispettive tesi, ipotesi e teorie, è “più giusta” rispetto all’altra per affrontare una determinata situazione in modo organizzato. In pratica: solitamente si scrive una relazione in cui una parte descrive gli obiettivi che si intendono raggiungere e il metodo, composto da procedure, mezzi, risorse (anche informative), che si intende seguire.

risk assessment

Definizione di risk assessment

Nell’approcciarsi all’attività di risk assessment, quindi, si può affermare che:

  • il pericolo è qualcosa di ontologico, ossia che afferisce all’essenza delle cose;
  • il rischio, invece, è qualcosa di epistemologico, cioè è relativo a ciò che conosciamo delle cose, ed è necessariamente indessicale, cioè dipende dal contesto in cui è osservato;
  • per procedere a una valutazione del rischio ci si possono porre tre domande: “qualcosa può creare un danno?”, “se qualcosa può creare un danno, nelle condizioni in cui la sto osservando o immaginando, quante volte lo crea?” e “se qualcosa può creare un danno, nelle condizioni in cui la sto osservando o immaginando e nel caso in cui lo creasse, che effetto avrebbe?”;
  • al termine della valutazione del rischio, ci si potrebbe fare un’altra domanda, che darebbe il via alle attività di risk management conseguenti: “accetto il rischio mostrato dalla valutazione?”; ovvero: “sono in grado di rispondere (leggasi “essere responsabile”) dello scenario mostrato dalla valutazione?”;
  • la valutazione dei rischi è qualcosa che attraversa contemporaneamente e trasversalmente i campi della tecnica, della psicologia e della sociologia: è qualcosa di filosofico.

È chiaro che quanto trattato in questo articolo rappresenta solo una panoramica superficiale della materia, assai più articolata e complessa e in cui dovrebbero considerarsi numerosi altri elementi come, v.g., l’attitudine alla prudenza, gli accoppiamenti e le interazioni tra i singoli elementi (come teorizzato da Perrow), la volontà o la presunzione di un’istituzione di creare o imporre un certo outcome o un certo impact (per usare i termini del project management nella theory of change e nel process cycle management), le aspettative della società (intesa come essere senziente a sé stante) e dei singoli…

Conclusioni

Altrettanto palese è che l’attività, nella sua essenza, dovrebbe essere considerata come uno strumento metodologico attuabile da chiunque, anche nella quotidianità, il cui risultato è utile alla definizione di strategie, processi e attività, ma anche al loro controllo a posteriori (nella fase “check” del ciclo di Deming). La profondità e l’accuratezza di dettaglio della valutazione, la sua “definizione”, se vogliamo, dipenderà certamente dalle risorse messe in campo, ma dovrà anche essere scelta in accordo e in coerenza con il risultato che si vuole raggiungere: osservare un quadro da troppo vicino, spesso non ci permette di apprezzare veramente appieno l’opera, e chiedere a Michelangelo di affrescare una dispensa, francamente, potrebbe essere fuori luogo.

@RIPRODUZIONE RISERVATA
D
Samuel De Fazio
Esperto in protezione dei dati con attestato di qualità e qualificazione professionale dei servizi prestati, rilasciata da Associazione Data Protection Officer ai sensi degli artt. 4, 7 e 8 della L 4/2013
Argomenti trattati

Approfondimenti

R
risk assessment

Articolo 1 di 4