La valutazione dei rischi aziendali è troppo spesso vissuta come un momento di inevitabile aderenza a tematiche di compliance esterna (leggi, regolamenti, standard…). A volte come conseguenza di un incidente o di un adempimento contingente. Tutto ciò perché solitamente è vista come un’esigenza formale e viene affrontata come un’emergenza “da fare” senza comprenderla e trarre vantaggio dal risultato ottenuto.
Difficilmente la valutazione dei rischi è ritenuta parte integrante e prioritaria del business come se fosse un suo naturale elemento qualificante. Rinunciare a creare un vantaggio competitivo per il proprio business è implicitamente una dichiarazione di un costo non evitabile e di una mancanza di fiducia verso un processo che oggi è ritenuto il miglior modo di giustificare una decisione presa. È frequente trovare la parola “risk-based” nei processi di una moderna azienda e allora è necessario capire come trarne un vantaggio.
Indice degli argomenti
Calcolo del rischio, necessario un cambio di prospettiva
Il metodo di calcolo analitico puro è una conseguenza dell’applicare immediatamente la definizione di rischio presente su “ISO/Guide 73:2009 Last reviewed 2016” che cita testualmente, il rischio è “combination of the probability of an event and its consequence”. Però, sempre su ISO, sulla linee guida ISO 31000:2018 al paragrafo 3.1 troviamo un’altra definizione, egualmente valida, che cita “effect of uncertainty on objectives” e integra la precedente con un legami agli obiettivi del business e nelle note pone un forte richiamo all’uso indifferentemente di metodi qualitativi o quantitativi.
Tutto questo per giustificare la ricerca di un diverso approccio alla regola classica di probabilità per impatto. Non per considerazioni di qualità del metodo ma per difficoltà a raccogliere tutte le informazioni necessarie al calcolo. Si deve considerare che in un’azienda di medie dimensioni queste informazioni sono fornite da persone impegnate in tutt’altra attività piuttosto che alla valutazione del rischio. Per ridurre lo sforzo della raccolta e avvicinarsi al lavoro quotidiano degli operativi coinvolti, e conseguentemente rendere più semplice il processo di raccolta, si deve cambiare prospettiva nel calcolo del rischio.
Rischio come derivato di maturità, perdita economica e probabilità
Partiamo dalla definizione originaria della formula del rischio come impatto per probabilità [risk = f(impact, probability)]. Ora nulla cambia nel risultato se complichiamo la formula e associamo alla coppia una variabile aggiuntiva, la vulnerabilità, ossia la predisposizione a essere facilmente attaccati o ad avere compromessi i risultati [risk = f(vulnerability,impact, probability)]. Questa variabile è un indicatore dell’abbassamento delle difese nella protezione di un asset aziendale.
Possiamo vederlo come un arricchimento della formula perché introduciamo una componente di bontà delle azioni di protezione compiute e lasciamo le altre due variabili slegate dal livello del lavoro fatto. Quindi l’impatto è valutato come se la protezione fosse efficace e la probabilità fosse quella del potenziale accadimento dell’evento stesso. In tal modo ciò che cambia nel tempo è la vulnerabilità dovuta all’avanzamento dei lavori di messa in atto delle misure di protezione mentre impatto e probabilità dipendono solo dalle contromisure come se fossero già operative.
Ora, la formula è possibile aggiustarla ulteriormente per avere una miglior aderenza alle attività quotidiane e quindi facilitarne la comprensione da parte di chi dovrà fornire la valutazione. Consideriamo di sostituire la vulnerabilità con un concetto similare ma opposto, il livello di implementazione delle regole/azioni aziendali detta maturità. L’impatto lo associamo alla potenziale perdita economica al verificarsi dell’evento peggiore perché più facile da valutare. La probabilità la esprimiamo in termini qualitativi perché più immediati da fornire anziché un valore tra 0 e 1. Il rischio sarà quindi un derivato di maturità, perdita economica e probabilità [risk = f(maturity, loss, likelihood)].
Per facilità di compilazione, tutte e tre le variabili saranno espresse con valori qualitativi selezionabili dall’utente. Con questa premessa sulla formula del rischio, possiamo continuare nelle modifiche della formula e riconsiderare anche qual è il bene aziendale da valutare. Anziché la protezione di un bene fisico, valutiamo il livello di implementazione delle regole aziendali (azioni, processi, attività) più significative. La valutazione della regola è un affermazione sulla capacità ad attuarla. L’insieme complessivo di tutte le regole da valutare è derivato dalle regole del normale funzionamento del business ossia politiche, procedure, vincoli contrattuali, regolamenti, leggi, standard e così via.
Un processo di autovalutazione
Di fatto viene creato un modello di maturità delle capacità dell’azienda. Operativamente si valuta questo modello (più operativo) e non direttamente il modello del rischio (più formale). Questo si traduce in maggior semplicità per l’utente finale che vedrà diminuire la sua difficoltà a comprendere l’oggetto da valutare e aumenterà la velocità e qualità della valutazione. Va detto che è un lavoro fatto con il contributo di tutti i responsabili dei processi aziendali, sia per ridurre il numero pro capite di regole da valutare, sia per coinvolgere chi applica la regola quotidianamente. Si riduce in tal modo anche l’onere della formazione.
Di fatto spostiamo il paradigma di valutazione del rischio a quello di valutazione del modello di maturità e i vantaggi sono indubbi. Le persone coinvolte esprimeranno la valutazione sul lavoro del proprio processo e perciò sarà un impegno poco gravoso, semplice da comprendere, veloce e di qualità. L’azienda decide il livello di dettaglio utile a tracciare la mappa delle vulnerabilità dei suoi processi. Poi, in automatico si trasforma la valutazione di maturità in valutazione di rischio anche se a scapito della formula, più complessa, ma in carico a un computer.
Va detto che il processo così impostato è una autovalutazione e conseguentemente esiste una preoccupazione sulla veridicità. È possibile migliorare questa fiducia nelle autovalutazioni con un primo livello di verifica da parte dei responsabili centrali dei processi per identificare disallineamenti rispetto alle performance misurate. Un ulteriore livello di verifica è coperto dalle visite della funzione di Risk management operando on-site tramite intervista e osservazione. L’ultimo livello è quello dell’Internal Audit se nel suo perimetro è stata inclusa la certificazione del livello di implementazione delle regole aziendali (modello di maturità).
Conclusioni
Questo modo di operare permette di ottenere il modello di maturità sempre valutato e apre a molti scenari interessanti. Primo tra tutti la possibilità di alimentare in automatico svariati modelli di valutazione dell’azienda. A parte la lista dei rischi aziendali (ERM) che abbiamo già visto, è anche possibile valutare l’aderenza, ad esempio, all’ISO 27001, alla sostenibilità, alla continuità oppure lo stato dei controlli ambito finance o ambientali, e così via. Tutto ciò su modelli qualitativi ma eventualmente con qualche piccolo artificio sono riconducibili a modelli numerici.
Un modello di valutazione delle vulnerabilità consente di ottenere una mappa delle difficoltà del business più facilmente fruibile, alimentabile con maggior velocità e semplicità e poi riusabile per altri framework senza intraprendere nuove raccolte dati. Lo sforzo del processo ERM si sposta da una lista rischi, semplice da preparare ma difficile da compilare e condividere, a un sistema, forse più difficile da costruire ma poi efficace nel raccogliere dati e condividerli.
Quindi con un cambio di prospettiva, un processo, a torto ritenuto spesso burocratico, può diventare una leva di miglioramento.
