Compliance, Cybersecurity, Risk Management, Tutorial

L’importanza del risk management per le aziende

Pubblicato da
il 23 Marzo 2012
Se questo articolo ti è piaciuto, condividilo!Quando qualcuno mi chiede quale sia il più importante processo di gestione aziendale rispondo sempre e senza indugi: il risk management. Non perché ne sono un fervido sostenitore, ma […]
Se questo articolo ti è piaciuto, condividilo!

Quando qualcuno mi chiede quale sia il più importante processo di gestione aziendale rispondo sempre e senza indugi: il risk management. Non perché ne sono un fervido sostenitore, ma perché da oltre un decennio il risk management è universalmente considerato il fulcro dei più riconosciuti standard in diversi settori ed è sempre indicato come il pilastro fondamentale di un business aziendale misurabile e durevole nel tempo. In particolare nel mercato moderno che è caratterizzato da costanti cambiamenti, grande imprevedibilità e una crescente complessità ogni giorno che passa e, proprio a causa di questa sua natura, comporta numerosi rischi che possono intaccare gli obiettivi di business dell’azienda. Rischi che, se previsti in anticipo e adeguatamente sfruttati, possono addirittura trasformarsi in vere e proprie opportunità.

Già immagino lo scetticismo e la supponenza dei manager più arcaici che reputano questo tipo di processi solo obblighi di compliance che comportano costi e perdite di tempo. Niente di più sbagliato. Anzi, spesso e volentieri è proprio il condurre le aziende in una navigazione a vista sulla sola base di una percezione soprassata, antiquata e limitata a portarle ad affrontare situazioni di difficoltà ampiamente evitabili. I manager di cui sopra certamente penseranno di conoscere perfettamente i rischi che la propria azienda corre ogni giorno, senza alcuna necessità di fare analisi dei rischi. Di fatto, questo è tuttora l’errore più diffuso.

La situazione di crisi globale che stiamo vivendo contribuisce ad enfatizzare l’importanza di conoscere al meglio i rischi della propria azienda, per trarre il meglio possibile sia in situazioni di mercato florido, sia soprattutto in periodi di recessione come quello corrente. La vera rivoluzione, in tal senso, avverrà quando i top manager comprenderanno che il reale valore del risk management sta nella completa conoscenza di come l’azienda funziona,  nell’individuare le aree di business realmente critiche, nella corretta destinazione e ripartizione degli investimenti e, di conseguenza, nella forte riduzione degli sprechi e delle inefficienze.

Il risk management è un concetto molto vasto e qualsiasi spiegazione rischia di essere parziale e poco esaustiva. Tuttavia voglio fare un tentativo di spiegare in cosa consiste questo macro processo  e quanto esso sia realmente fondamentale per il business di un’azienda, rimandando il lettore ad eventuali richieste specifiche di approfondimento.

 

Le componenti fondamentali del processo

L’attuazione di un processo di risk management, per essere esaustiva e completa, richiede almeno tre sottoprocessi, tutti egualmente fondamentali:

Nelle diverse caratterizzazioni che il risk management può rivestire, questi tre sottoprocessi possono assumere denominazioni diverse, ma la sostanza rimane sostanzialmente immutata:

  • prima bisogna individuare e comprendere il reale valore dei beni e dei servizi di business aziendali (classificazione),
  • poi bisogna individuare con accuratezza i relativi rischi cui essi sono soggetti (risk assessment),
  • infine è possibile decidere consapevolmente come trattare i rischi individuati (risk treatment) e, soprattutto, definire le strategie e decidere le priorità con cui indirizzare gli investimenti aziendali.

 

Analisi contro percezione

Chi ha attuato almeno una volta un processo di risk management sa quanto i risultati possano discostarsi in maniera più e meno eclatante da quella che era la percezione personale dei singoli responsabili delle aree di business e del top management aziendale. Ecco perché il governo del processo deve essere assegnato formalmente a soggetti qualificati e professionalmente preparati, con responsabilità chiaramente definite. Data la complessità del processo, inoltre, esso difficilmente può essere realizzato senza adottare metodologie e standard riconosciuti che consentono un approccio strutturato alla corretta valutazione dei potenziali rischi.

Risk management significa soprattutto portare i rischi aziendali in un contesto di business, individuando e quantificando i potenziali impatti sui singoli servizi e le rispettive probabilità di accadimento, senza trascurare alcuna possibile minaccia. La capacità di anticipare rischi e opportunità prima che questi si materializzino è fondamentale, per questo è importante investire su persone formate, dinamiche e competenti, ed è quasi d’obbligo che queste siano in possesso di una certificazione professionale di settore.

La differenza fra la navigazione a vista basata sulla percezione personale e una rotta disegnata in conseguenza di un analisi dettagliata ed accurata è enorme, soprattutto in realtà aziendali medie e grandi dove la numerosità, la complessità e l’interdipendenza dei processi rendono il quadro complessivo di difficile e non immediata lettura.

 

Pazienza, costanza, metodo e responsabilità

Un altro aspetto molto importante da comprendere è che il risk management deve essere inteso come un processo iterativo e continuativo, non come un’operazione lampo per ottenere tutto e subito. La classificazione dei beni e dei processi di business aziendali richiede tempo per la raccolta delle informazioni, per l’interazione con i responsabili delle aree di business e per la valutazione economica. Il risk assessment richiede anch’esso una notevole mole di lavoro per l’approfondimento dei vari aspetti manageriali, organizzativi, tecnici, operativi e di sicurezza, per la realizzazione dell’analisi vera a propria e per le successive fasi di discussione e condivisione dei rischi rilevati.

L’individuazione delle minacce e delle vulnerabilità, la classificazione degli impatti e dei rischi, l’identificazione dei possibili incidenti e l’individuazione degli indicatori-chiave di rischio sono attività che devono essere implementate e rifinite nel tempo attraverso un’applicazione costante e regolare. Spesso, invece, si cade nell’errore di non dare la dovuta importanza al processo o di volere risultati apprezzabili in tempi estremamente ridotti e ciò contrasta decisamente con la reale natura del risk management.

I principali errori in tal senso sono:

  • la scarsa pazienza del management, dovuta all’insufficiente comprensione dei presupposti fondamentali e dell’impegno richiesto dalle diverse fasi del processo;
  • la focalizzazione su problemi critici che vengono scoperti man mano e che richiedono attenzione ma fanno perdere di vista l’obiettivo generale o addirittura causano l’interruzione repentina del processo;
  • il poco tempo concesso o dedicato per la classificazione del reale impatto di ciascun rischio sui beni e i servizi di business aziendali;
  • l’assenza di una metodologia di analisi e valutazione del rischio ben definita, condivisa con il management e adeguatamente riflessa ed integrata nella normativa aziendale;
  • il mancato o l’inadeguato coinvolgimento diretto dei responsabili delle aree di business e degli owner di informazioni e beni aziendali critici nelle diverse fasi del processo;
  • il mancato conferimento del giusto livello gerarchico e di responsabilità alla funzione preposta a governare questo fondamentale processo.

 

Le diverse facce del rischio

Il rischio è l’elemento chiave del risk management e consiste nella possibilità che un particolare evento possa accadere e incidere negativamente sul raggiungimento degli obiettivi di business aziendali. Esso può essere calcolato in forma qualitativa (es. alto, medio, basso), in forma quantitativa (espresso in termini monetari) oppure in forma mista conciliando la classificazione qualitativa con appositi scaglioni quantitativi. Normalmente il primo approccio al rischio è sempre qualitativo, poiché la quantificazione in termini monetari richiede un’estrema ed approfondita conoscenza della propria azienda e dei suoi processi di business, nonché una collezione di dati esaustiva e dettagliata.

In aggiunta, la valutazione dei rischi può essere condotta a diversi livelli e in differenti settori aziendali: il fattore discriminante è costituito dagli obiettivi, dagli eventi considerati e dall’ottica adottata nella valutazione dei rischi. Uno stesso evento che può impattare il medesimo processo di business può assumere valutazioni differenti a seconda dell’ottica secondo la quale viene analizzato. Ecco perché si parla di diverse tipologie di risk assessment.

Esistono risk assessment di tipo manageriale, strategico, finanziario, di mercato e di business, così come risk assessment in ambito prettamente ICT di tipo operativo, progettuale, tecnologico e di sicurezza. Ciascuna azienda dovrebbe considerare quali tipologie di analisi del rischio sono maggiormente rilevanti e funzionali per i propri obiettivi di business. Un’azienda che vuole migliorare la propria penetrazione sul mercato dovrà focalizzare il risk assessment sul mercato, sui prodotti e sulle strategie commerciali, mentre un’azienda che detiene già un’importante posizione nel mercato e vuole salvaguardarla al meglio dovrà, ad esempio, indirizzare i rischi finanziari, di credito, della clientela e della catena di distribuzione. Un’azienda con una forte connotazione ICT, infine, otterrà enormi benefici dal risk assessment tecnologico e di progetto.

Ci sono, però, particolari tipologie di risk assessment che, a mio avviso, dovrebbero essere sempre svolti in qualsiasi azienda e possono costituire un valido punto di partenza per le aziende che devono approcciare il risk management per la prima volta:

  • Operational Risk Assessment: valutazione dei rischi di perdite risultanti da processi interni inadeguati o mancanti, dall’operato del personale, dalla disponibilità dei sistemi informativi o da eventi esterni. Questa tipologia di analisi comprende anche la valutazione dei rischi inerenti le condizioni e le prestazioni finanziarie dell’azienda ed è richiesta da diverse norme di legge, regolamentazioni e standard di vari settori. L’ottica adottata è prevalentemente quella della continuità e disponibilità del business.
  • Compliance Risk Assessment: valutazione dei rischi derivanti dagli obblighi di conformità a leggi, regolamentazioni, politiche, procedure, codici etici e standard di conduzione del business, ma anche contratti, standard volutamente adottati dall’azienda e best practice riconosciuti ed ufficialmente richiesti dal top management. I rischi di compliance possono facilmente tradursi in multe pecuniarie, risoluzione di contratti di fornitura, danni reputazionali o l’impossibilità di sfruttare particolari occasioni vantaggiose di business. L’ottica prevalente è quella del rispetto degli obblighi di conformità cui l’azienda è soggetta.
  • Information Security Risk Assessment: valutazione dei rischi per la sicurezza dei dati, dei sistemi informativi e dei processi di business aziendali, principalmente in considerazione degli aspetti di riservatezza (o confidenzialità), integrità e disponibilità. Questa tipologia di analisi prende in considerazione tutte le informazioni, tutto il personale e tutti i beni aziendali come infrastrutture, applicazioni, processi, basi dati, reti e telecomunicazioni, e deve essere affidata ad una specifica funzione di sicurezza aziendale. L’ottica è quella di ottenere il massimo livello di protezione degli asset aziendali (a partire da quelli più critici come segreti industriali, dati finanziari, ecc.) ottenibile bilanciando al meglio i rischi con gli investimenti di sicurezza, minimizzando gli sperperi e ottimizzando le contromisure di protezione.

Oltre al tipo di analisi e all’ottica di valutazione, resta da individuare l’ambito di analisi, ovvero il perimetro di riferimento da definirsi in base agli obiettivi prefissati. A seconda della priorità e degli obiettivi, l’ambito può essere ristretto e focalizzato su uno specifico settore, oppure può essere più allargato, generale e di livello più elevato. Un valido approccio iniziale al risk management consiste nel realizzare un primo risk assessment di alto livello sull’intera azienda con un’ottica di tipo “top-down” che prenda in considerazione obiettivi strategici, operativi e di conformità, al fine di evidenziare le macro aree più critiche sulle quali realizzare successive analisi più dettagliate e focalizzate, per esempio considerando aspetti più tecnici e di sicurezza.

 

Il top management deve essere regista e produttore

Il risk management viene generalmente adottato da un’azienda in due casi:

  • se il top management crede fermamente nel processo e lo sponsorizza,
  • se l’azienda vi è costretta da requisiti di conformità.

Quest’ultimo caso costituisce ancora oggi la motivazione principale poiché sempre più leggi, direttive e regolamentazioni di settore esigono l’adozione del risk management. Purtroppo spesso e volentieri il top management non crede nell’effettiva utilità del processo che finisce per diventare uno dei tanti, con risorse sottodimensionate e scarsi finanziamenti.

Per essere realmente efficace il risk management non può essere una semplice goccia nel mare dei numerosi processi aziendali, ma deve essere gerarchicamente posto in cima a tutti gli altri e non deve essere scollegato dai processi decisionali del top management. Quest’ultimo, infatti, deve essere sia i regista (ovvero proprietario, conduttore e coordinatore) che il produttore (ovvero sponsor e finanziatore) del processo di risk management, indipendentemente dalla tipologia e dall’ottica adottate.

La pianificazione strategica, la definizione degli stanziamenti di budget e l’allestimento dei diversi progetti aziendali deve tenere nella massima considerazione gli esiti del risk management. Tutti i rischi devono essere puntualmente sottoposti al top management (tipicamente all’amministratore delegato, al CEO, al CFO e al consiglio di amministrazione) che deve prenderne coscienza, individuarne formalmente il trattamento (sotto forma di mitigazione, accettazione o trasferimento) e supportare continuativamente quanto deliberato, finanziando adeguatamente i conseguenti piani di mitigazione.

Quando la gestione dei rischi è efficacemente integrata nelle pratiche di business aziendali, il rischio può essere gestito come parte del processo decisionale che avviene giorno per giorno, in accordo con i livelli di tolleranza del rischio definiti dal top management. L’abilità di identificare, valutare e gestire il rischio è spesso molto indicativa sull’abilità e la rapidità dell’azienda nel rispondere e nell’adattarsi ai cambiamenti, di qualsiasi natura essi siano. La differenza fra l’essere proattivamente preparati e subire passivamente un qualsiasi evento negativo può essere fondamentale per la sopravvivenza del business aziendale e il mantenimento della posizione di mercato.

Il top management, pertanto, deve assicurare:

  • che il governo e la responsabilità sul processo di risk management sia chiaramente stabilita e formalmente assegnata ad un livello gerarchico molto elevato,
  • che l’analisi dei rischi venga realizzata e si concluda con specifici e ben definiti obiettivi, che i livelli di rischio siano individuati in relazione agli obiettivi,
  • che il risk management costituisca parte integrante dei propri processi decisionali,
  • che tutte le aree aziendali siano adeguatamente coinvolte nel processo in termini di disponibilità, supporto e identificazione degli indicatori chiave di performance e di rischio funzionali alla corretta valutazione dei rischi aziendali.

Un consiglio, quindi, per i manager all’ascolto: se pensate di conoscere perfettamente la vostra azienda, credete che la vostra percezione sia più che sufficiente e non vi sia necessità di classificarne i beni e gestirne i rischi, siete in errore. Se pensate che il risk management sia solo una seccatura, una spesa inutile e una grande perdita di tempo, siete in grave errore. Ad un manager è richiesto di guidare l’azienda effettuando scelte consapevoli e ponderate, investendo in maniera mirata e bilanciata, minimizzando le perdite e massimizzando i profitti: è proprio in funzione di questi processi decisionali che il risk management fornisce tutto il proprio valore aggiunto.

Il risk management è un po’ come la classica sfera di cristallo degli indovini: chi ne sfrutta i magici poteri per prevedere il futuro e prepararsi ai possibili eventi nefasti sarà sempre un passo avanti rispetto alla concorrenza in tutti i campi e in qualsiasi mercato.

 

Ettore Guarnaccia

 


Se questo articolo ti è piaciuto, condividilo!

Altri articoli consigliati:


Cybersecurity: un problema “sociale”, evento AIEA e ISACA del 24 marzo 2023



Swascan Webinar: Cybersecurity 2023 e libro Cybersecurity Intelligence



Pubblicato il mio nuovo libro “Cybersecurity Intelligence”



Intervista radiofonica sulla cybersecurity su Story Time per Radio Canale Italia



Digital Security Festival 2022 in Confindustria Udine: Cybersecurity Intelligence



Intervista su RadioAttiva con Cristian Comelli per il Digital Security Festival 2022




Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.