La nostra gestione del rischio funziona?

Prendiamo in esame i diversi modi per misurarne o provarne la validità. Ecco alcune consolidate abitudini del risk management esaminate con sguardo critico

11 Mar 2022

Manuel Angelo Salvi

DPO & Standards consultant presso GRC Team S.r.l.

Parlando di gestione del rischio, “qual è il rischio più significativo a cui potrebbe andare incontro la mia organizzazione?”. Questa è la domanda che titolari di PMI, amministratori pubblici e management in generale si pongono o dovrebbero porsi. Nell’esperienza quotidiana, l’unico rischio a cui pensa realmente e concretamente il mondo del business, escluso per ovvi motivi il pubblico, è quello associato a un calo dei fatturati. Tutto il resto appare irrilevante o trascurabile rispetto all’eventualità di avere un segno meno nelle simulazioni periodiche attinenti al fatturato. Ma a ben guardare, tale rischio è forse uno fra i più facili da monitorare, pianificare e mitigare, e quindi forse il meno rilevante…

Ma allora qual è il rischio più significativo di una organizzazione, escludendo per le organizzazioni private quello prettamente economico relativo l’andamento delle vendite? In questi ultimi anni gli scenari di rischio e le relative analisi fatte da professionisti sono state messe a dura prova. Nemmeno i report dai nomi altisonanti, salvo qualche eccezione, avevano previsto rischi poi palesatesi come dirompenti.

Chi aveva “azzeccato” nel 2018 il rischio pandemico e i lock-down? O quello del collasso delle catene di fornitura, la crisi energetica e il caro bollette, il fenomeno della “Great Resignation”?

Ma non dovrebbe proprio essere questo lo scopo del risk management? Prevedere i rischi e adottare strategie per attenuarne gli effetti?

Analisi del rischio: l’effetto placebo

“Ho fatto l’analisi del rischio, ora siamo a posto”: è talvolta la falsa e rosea illusione autoindotta dall’aver espletato, a caro prezzo e a discapito di molte ore di lavoro, la propria analisi del rischio. Ma cos’è il rischio? Detto in parole povere, “è la possibilità che possa succedere qualcosa di brutto”.

WHITEPAPER
Sicurezza garantita per le tue applicazioni: ecco i 5 passaggi chiave da rispettare
Sicurezza
Software

L’evento negativo può presentarsi sotto innumerevoli spoglie, può essere la dimissione di un dipendente strategico e non sostituibile, l’incidente informatico di cybersecurity, il ritiro dal mercato di un prodotto, l’introduzione di una nuova norma che modifichi sensibilmente le condizioni di mercato, l’impennata dei costi produttivi o delle materie prime, e molto altro ancora.

“Perché dovremmo fare un’analisi del rischio?”. “Perché ce lo impone il diritto” non è la risposta corretta. Implementare un’analisi del rischio per esigenze di compliance è inutile e persino fuorviante, poiché genera un errato e pericoloso senso di tranquillità. Come vedremo fra poco, le norme che impongono, praticamente a tutte le organizzazioni italiane, di fare un’analisi del rischio sono numerose.

Purtroppo, le realtà italiane pubbliche o private, si lamentano della burocrazia che viene loro imposta mentre, al contrario, la necessità di dotarsi di una approfondita e strutturata gestione del rischio dovrebbe essere spontanea. Non una mera analisi dei rischi, bensì una gestione integrata e continuativa dei rischi, che li identifichi, li pianifichi e adotti un’azione di mitigazione efficace, in un’ottica di miglioramento continuo.

Purtroppo, spesso non andiamo oltre il mero mettere su carta l’analisi dei rischi, dimenticandoci che la parte realmente importante è quella immediatamente successiva, fatta di decisioni, alcune strettamente legate alla gestione del rischio, altre più di ampio respiro.

La gestione del rischio

A partire dagli anni Novanta, il tema del rischio, fino ad allora appannaggio di accademici, attuari e/o del mondo finanziario, è divenuto improvvisamente “cool” e meritevole d’interesse a livello internazionale.

Il Trattato di Maastricht del 1992 introduce per la prima volta nel panorama normativo europeo il principio di precauzione, l’antesignano del nostro Risk Based Thinking.

Sono del 2002 le Linee guida 73:2002 “Risk management – Vocabulary – Guidelines for use in standards”, che hanno sdoganato definitamente il concetto di rischio nel mondo ISO (poi sostituite dalle Linee Guida ISO 73:2009)

Oggi, numerosissime norme cogenti o facoltative hanno al loro interno forti elementi legati all’analisi del rischio.

Il GDPR, imponendo in numerosi articoli di verificare il rischio, dovrebbe aver portato l’analisi dei rischi e la loro gestione in ogni dove, rendendola in teoria una pratica diffusa e adottata da ogni organizzazione italiana. Il Codice della crisi d’impresa continuerà a battere in tale direzione, anche se la reale comprensione e implementazione di una sana e corretta gestione del rischio da parte di proprietà e management rimarrà probabilmente in gran parte disapplicata.

Il profilare di norme che ne obbligano l’applicazione è davvero garanzia che questa venga consapevolmente utilizzata e compresa? L’analisi del rischio, primo passo di una gestione del rischio, quando eseguita, è davvero convintamente implementata o siamo di fronte al solito adempimento formale di facciata?

Il rischio dovrebbe influenzare la gestione dell’organizzazione a ogni livello, modificando le decisioni strategiche dell’alta direzione, riallocando risorse finanziare, modificando procedure, comportamenti e prassi.

Un’analisi del rischio che avesse previsto gli attuali problemi legati alla crisi energetica, avrebbe indotto il management a muoversi, per adottare con largo anticipo strategie che la mettessero al riparo dai forti incrementi dei costi dell’energia, ad esempio diversificando le fonti di approvvigionamento, intervenendo sui contratti di fornitura o investendo nella generazione in house.

La gestione del rischio, in definitiva, dovrebbe avere come sua finalità ultima il prevenire l’evento avverso o il prepararsi alla sua gestione.

È mia personalissima opinione che le analisi del rischio siano sovente mero formalismo, distante dalla realtà e per nulla utilizzate. Detto questo, veniamo a un secondo problema.

gestione rischio

La nostra analisi del rischio funziona?

I metodi utilizzati per valutare e mitigare rischi di ogni tipo e dimensione variano notevolmente da un’organizzazione all’altra: alcune sono metodologie più recenti, altre, seppur datate, rimangono solide e apprezzate. Alcuni framework hanno ottenuto visibilità e riconoscibilità, altri sono più di nicchia. Alcuni adottano un approccio morbido e qualitativo e altri sono rigorosamente quantitativi.

Purtroppo, alcuni dei metodi più ampiamente utilizzati non si basano su una teoria comprovata di analisi del rischio, non sono sostenuti da evidenze scientifiche, non producono output, che generino un miglioramento reale; taluni non tengono conto di errori noti di natura analitica oppure soggettiva. Alcuni metodi, peggio ancora, aggiungono errori propri.

Lo scopo dell’articolo non è certo quello di valutare i diversi metodi per individuarne uno migliore, e quindi non approfondirò le preoccupazioni poc’anzi sollevate sui diversi possibili metodi di analisi del rischio.

L’intento è formulare una domanda a cui cercare di dare una risposta: “La nostra analisi del rischio funziona?”.

Anche nelle migliori circostanze, in cui l’organizzazione, la funzione preposta o più probabilmente il consulente esterno, siano fermamente convinti dell’efficacia del loro metodo di gestione del rischio, questo raramente è monitorato da vicino e misurato oggettivamente nelle sue prestazioni. Mi riferisco non alla misurazione della probabilità o dell’impatto dei singoli rischi individuati a seguito di una tassonomia più o meno completa. Sto parlando della misurazione delle performance del metodo di analisi stesso. Si parla molto di Key Performance Indicators (KPI): ma quali sono i KPI del nostro metodo di analisi?

E se non li misuro e non verifico l’efficacia del metodo, come posso sapere se il metodo di analisi funziona? Non porsi questa semplice domanda è semplicistico e superficiale. Essere ottimisti diceva un noto spot è il sale della vita, ma non può essere certo il valore aggiunto della gestione del rischio.

Essere ottimisti in materia di rischio è un problema, al pari di altre soggettive interpretazioni, che ne discendono, che gli americani chiamano bias.

Non verificare l’efficacia di una gestione del rischio equivale a non saper distinguere fra metodi che funzionano e metodi che non funzionano, arrivando all’incauto e inconsapevole uso di sistemi di gestione inefficaci, che una volta adottati per inerzia organizzativa si consolideranno e stratificheranno.

Il fallimento della gestione del rischio

Per poter rispondere alla domanda “la nostra gestione del rischio funziona?”, dovremmo prima definire qual è la situazione in cui la gestione del rischio fallisce.

Persino in tempi come questi, di continue prove di analisi del rischio dimostratesi fallimentari, non vedo sollevarsi dibattiti in merito alla bontà o meno dei più comuni metodi di gestione del rischio. Pensiamo ai data breach o alle tante violazioni informatiche, le quali sono sempre o quasi sempre evidenza di un fallimento, che un’analisi del rischio efficace avrebbe potuto prevenire o mitigare.

I più critici potrebbero dire: “l’analisi del rischio o la sua gestione potevano essere perfettamente implementate, e non di meno l’incidente avrebbe potuto comunque verificarsi, poiché la gestione del rischio non è garanzia di tutela ma mera azione mitigatoria”. Sono perfettamente d’accordo con coloro che sostengono questa posizione, cionondimeno, se avessimo dei KPI o degli strumenti di misurazione dell’efficacia di una gestione del rischio potremmo compiutamente rilevare quante gestioni del rischio siano eseguite correttamente e fra queste quante non siano comunque riuscite per cause di forza maggiore a prevenire o porre un efficace rimedio.

Così come avremmo dimostrazione di quante organizzazioni, in cui non si è verificato alcun disastro, siano solo state fortunate e che pur non avendo fatto nulla di sostanzialmente diverso da altre organizzazioni, in cui l’incidente al contrario si è verificato, abbiano un’analisi del rischio inadatta.

Quindi, quante analisi del rischio ben fatte hanno comunque visto il verificarsi di un incidente e quante analisi del rischio mal fatte non hanno, fortuna loro, subito alcun incidente?

Tornando quindi alla nostra domanda iniziale, “la nostra gestione del rischio funziona?”, la risposta “fino ad ora nulla è andato storto” non è dirimente. Il problema, purtroppo, è che l’assenza d’incidenti non è prova di una gestione del rischio corretta, così come l’incidente, come detto, non sempre prova una gestione del rischio fallimentare.

E se il manifestarsi o meno dell’incidente non è indicativo, cosa lo è? Senza KPI e parametri oggettivi, a cosa dovremmo affidarci per decidere se una gestione del rischio funziona: all’autovalutazione soggettiva dell’analista, che ne è il primo redattore?

Quante volte il post incidente è stato valutato dalle stesse persone o con le stesse metodologie con cui è stata redatta l’analisi del rischio, pervenendo spesso alla naturale e consequenziale logica, che nulla di più poteva essere fatto?

Conclusioni

Tra effetto placebo, mero adempimento formale, assenza di KPI, assenza di elementi oggettivi di misura dell’efficacia di una gestione del rischio, rispondere alla domanda se la nostra gestione del rischio funziona veramente è molto difficile.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA
S
Manuel Angelo Salvi
DPO & Standards consultant presso GRC Team S.r.l.

I commenti sono chiusi.

LinkedIn

Twitter

Whatsapp

Facebook

Link