La gestione dei rischi è un approccio sistematico alla prevenzione dei rischi che coinvolge tutti gli attori dell’impresa. Essa richiede una conoscenza approfondita della natura e del volume dell’attività, della diversità delle operazioni e delle aree geografiche, del contesto socio-economico e regolamentare, degli obiettivi strategici e operativi e del mercato in cui opera l’impresa.

Indipendentemente dalle dimensioni e dalla struttura dell’organizzazione, è importante che i poteri e le responsabilità, per i ruoli pertinenti in materia di gestione del rischio, siano definiti, ben ripartiti e comunicati a tutti i livelli dell’organizzazione. L’impegno e il coinvolgimento in prima linea dell’organo di gestione è una condizione preliminare per la definizione e l’attuazione di un dispositivo di governance dei rischi chiaro e adeguato alla struttura e all’attività dell’impresa.

Tale impegno si concretizza nella presa di decisioni chiave in materia di organizzazione interna, di definizione della strategia e della politica di gestione dei rischi (per quanto riguarda la propensione al rischio e le soglie di tolleranza al rischio) e di supervisione della gestione dei rischi. L’organo di gestione deve, in particolare, assicurarsi che la funzione incaricata di animare e coordinare le diverse azioni del processo globale di gestione dei rischi abbia tenuto conto degli obiettivi strategici definiti dallo stesso organo di gestione.

Ora, il primo passo – per l’attuazione di un dispositivo di governance dei rischi – consiste nell’elaborare una cartografia dei rischi. Quest’ultima è uno strumento di gestione che consente di identificare, valutare, gerarchizzare e gestire i rischi e le incertezze che possono potenzialmente incidere sulla vita e sull’attività dell’impresa.

Mappando i rischi, l’impresa crea le condizioni per analizzare i processi e i mestieri in modo da ottenere una visione globale del funzionamento dell’organizzazione. Ciò aiuta i dirigenti a sviluppare un linguaggio comune, a migliorare il processo decisionale e a rafforzare la cultura del rischio e del controllo interno a tutti i livelli dell’organizzazione e nelle relazioni con le parti interessate. I risultati di questa analisi devono essere accompagnati dall’elaborazione di un Piano d’azione che preveda l’attuazione di procedure specifiche per ridurre, controllare e affrontare i rischi più critici al fine di aggirarli o di assicurarsi contro le possibili conseguenze.

La mappatura dei rischi deve pertanto essere concepita come una leva per migliorare il dispositivo di governance dei rischi. Di fatto, la sua elaborazione è un processo dinamico, multidisciplinare e trasversale, che richiede una metodologia sistematica e rigorosa che si svolge in quattro fasi:

  1. Indicazione dei rischi

L’individuazione dei rischi ha lo scopo di analizzare, individuare e descrivere gli eventi che possono avere un impatto negativo sugli obiettivi strategici e sui risultati attesi dall’impresa. Il management può utilizzare una serie di tecniche per identificare eventi, pericoli o situazioni a rischio. Gli strumenti utilizzati prendono in considerazione vari fattori : le fonti di rischio, le probabilità di minacce e di opportunità, la frequenza del verificarsi del rischio, i cambiamenti intervenuti nel contesto ambientale esterno e interno, le persone e le funzioni potenzialmente esposte al rischio, gli indicatori di rischio emergenti, le pressioni sociali ed economiche, ecc.

Questo processo non mira a individuare tutti i rischi ai quali l’impresa può essere esposta nel corso della sua attività, ma ha lo scopo di procedere all’analisi, all’identificazione e alla gerarchizzazione degli eventi principali che generano rischi.

La carta dei rischi così elaborata non può mai essere completa. Si tratta di un strumento di pilotaggio che permette al consiglio di amministrazione e al mangement di definire e attuare le procedure e i protocolli interni, di prevenzione e di controllo, per trattare e limitare i rischi così rilevati.

  1. Valutazione dei rischi

Lo scopo della valutazione del rischio è quello di giungere a decisioni più sensate. I criteri di valutazione devono essere stabiliti e adattati all’organizzazione e alle sue attività. Tali criteri devono consentire di determinare se l’impresa deve adottare e attuare azioni ulteriori per prevenire e limitare i rischi (ad esempio: riesaminare gli obiettivi strategici o effettuare un’analisi più approfondita per meglio comprendere il rischio…).

Il metodo di calcolo e i risultati della valutazione del rischio devono essere registrati, comunicati e convalidati dall’organo di gestione.

  1. Trattamento dei rischi

Il trattamento del rischio ha lo scopo di scegliere le diverse opzioni di gestione del rischio e di attuare le decisioni per affrontare ed eventualmente correggere le lacune del dispositivo di governance del rischio. Il trattamento del rischio, anche se accuratamente progettato e applicato, può non produrre i risultati attesi perché si deve anche confrontare con le conseguenze inattese. Per garantire che le varie forme di trattamento siano e rimangano efficaci, il monitoraggio e la revisione devono essere parte integrante dell’attuazione del trattamento del rischio.

Per facilitare il monitoraggio, l’impresa deve elaborare un Piano d’azione al fine di chiarire in che modo saranno attuate le opzioni di trattamento prescelte e in modo che le disposizioni diffuse e comprese dai dipendenti, dalle parti interessate, nonché dai dirigenti e dai manager coinvolti nella gestione dei rischi.

  1. Monitoraggio e aggiornamento della mappa dei rischi

Il monitoraggio e l’aggiornamento della mappatura dei rischi mirano a migliorare la qualità e l’efficacia della strategia di gestione dei rischi. A tal fine è opportuno assicurare un controllo continuo e un aggiornamento periodico della mappa dei rischi in funzione dell’evoluzione dell’attività dell’impresa e del contesto regolamentare e socio-economico in cui essa opera.

gp@giovannellapolidoro.com