Analizzare e valutare i rischi

Prima di tutto, è importante definire il contesto in cui i rischi devono essere analizzati e valutati. Naturalmente, i rischi esistono ovunque, sia in un progetto, in un processo o in un'intera azienda.

Se guardiamo i rischi in diverse aziende in questo articolo, possiamo vedere che l'esposizione al rischio spesso differisce molto. Questo significa che non esiste certamente un "modello F" nell'analisi del rischio.

Prerequisiti per un'analisi dei rischi
Le istituzioni finanziarie hanno rischi diversi da quelli di un'impresa di costruzioni e anche le imprese di un settore non possono necessariamente essere paragonate. Naturalmente, ci sono i cosiddetti rischi industriali. Ma alcuni sono attivi a livello internazionale e sono quindi già esposti a rischi completamente diversi rispetto alle aziende locali. Che si tratti della diversa struttura proprietaria, dei requisiti speciali dell'ubicazione dell'azienda, delle risorse finanziarie dell'azienda, dell'orientamento strategico, dell'età, delle dimensioni, dell'ancoraggio politico: tutto questo e altro ha un'influenza sull'esposizione al rischio.

Alcuni rischi si presentano anche solo come risultato di combinazioni specifiche. Esempi sono la forza innovativa di un'azienda che non tiene il passo con il suo orientamento strategico, o i rischi di liquidità che derivano da danni alla reputazione, o le incertezze legali che sono innescate dai rischi paese. Per un'analisi, è quindi importante procedere in modo olistico e sistematico.

Identificazione dei rischi
Prima che i rischi possano essere analizzati e valutati, devono prima essere trovati. Quando pensiamo ai rischi, ci viene spontaneo pensare a eventi spettacolari: Attacchi terroristici, rischi informatici, catastrofi naturali come terremoti o inondazioni, influenza aviaria, ondate migratorie o anche l'impatto di un meteorite...

Ma sono davvero questi i rischi rilevanti? Naturalmente, questi rischi possono causare grandi danni. Ma sono anche rilevanti in ogni azienda?

Spesso i rischi che minacciano l'esistenza di un'azienda non sono necessariamente queste spettacolari catastrofi esterne, ma soprattutto i rischi interni.

Sono radicati nell'area strategica, nei processi, nella gestione delle questioni legali ed etiche dell'azienda, nel suo comportamento innovativo, ecc. Questo non rende necessariamente facile la ricerca, l'analisi e la documentazione. Questo non rende necessariamente facile la ricerca, l'analisi e la documentazione, perché molte carenze interne vengono alla luce. Da un lato, questa trasparenza non è sempre desiderata e può anche aprire diverse ferite e diventare una questione delicata quando si tratta di documentazione.

Per un sistema olistico di gestione dei rischi, tuttavia, non si devono imporre barriere all'analisi, alla valutazione e alla documentazione dei rischi, altrimenti il lavoro diventa una funzione alibi.

D'altra parte, i rischi interni di solito possono essere gestiti molto bene, poiché i problemi interni possono anche essere contrastati con misure interne. Questo si traduce in un grande potenziale nella gestione del rischio, che, se applicato con successo, può diventare un fattore di successo per l'azienda.

Non importa quale metodo di analisi sia usato, se bottom-up o top-down, quantitativo o qualitativo, induttivo o de-duttivo, è necessario valutare e documentare i rischi di conseguenza per essere in grado di intraprendere azioni significative.

Analogia con la gestione della conoscenza
Più le sfide digitali costringono le aziende a ripensare le loro strutture e processi, più diventa chiaro che i rischi interni in particolare devono essere gestiti meglio. Pertanto, non solo le organizzazioni diventeranno più agili in futuro, ma anche la gestione del rischio.

Il processo di rischio si basa sulle seguenti regole: identificazione dei rischi, analisi dei rischi, valutazione dei rischi e trattamento dei rischi.

I dati sono generati dalla raccolta e dalla misurazione delle osservazioni. I metodi quantitativi possono generare grandi quantità di dati. Solo attraverso un collegamento significativo con un contesto aggiuntivo si arriva a informazioni rilevanti da cui si può generare una conoscenza applicabile. Infine, si arriva alla realizzazione di come applicare al meglio questa conoscenza.

Questo è un processo che deve essere vissuto nella gestione del rischio dal risk manager, dai risk owner, dagli esperti, dai dipendenti e, naturalmente, soprattutto dal top management, che determina gli obiettivi dell'azienda e la loro attuazione. L'analisi e la valutazione del rischio hanno successo quando la conoscenza dei rischi e delle misure corrispondenti può essere determinata dai dati e dalle informazioni disponibili. L'accumulazione puramente quantitativa di dati non può portare a un risultato orientato all'obiettivo.

Fattori di successo per l'analisi e la valutazione dei rischi
In questo contesto diventa chiaro che molti fattori devono interagire per una valida analisi del rischio:

• Definizione del sistema di rischio: Una chiara definizione di ciò a cui si riferisce l'analisi dei rischi. Quali confini temporali, spaziali e organizzativi devono essere considerati? Dove dovrebbero essere tracciati i confini del sistema?
• Evitare gli errori di metodo: Nessun algoritmo difettoso può essere usato nella raccolta dei dati e nessuna base di dati insufficiente può servire come punto di partenza. L'interrogazione critica continua e il controllo incrociato sono importanti per evitare errori sistematici.
• Forma organizzativa: È un paradosso che sia particolarmente difficile trovare rischi in strutture avverse al rischio. Da un lato, questo può essere dovuto al fatto che in strutture rigide la cultura dell'errore non è molto pronunciata e prevale la paura delle sanzioni. D'altra parte, c'è anche spesso la tendenza a ignorare i rischi secondo il motto "ciò che non dovrebbe essere, non deve essere".
• Cultura aziendale: In questo contesto, il cosiddetto "tono al vertice" è importante, altrimenti la gestione del rischio può facilmente trasformarsi in un fastidioso esercizio a gettone. Inoltre, le aziende con una cultura di sfiducia e strutture gerarchiche dominanti non sono particolarmente adatte a identificare i rischi. C'è anche la possibilità che i proprietari di rischi nascondano i rischi per paura o per falsa ambizione.
• Persona del risk manager: I risk manager contribuiscono molto al successo della gestione del rischio attraverso la loro competenza metodologica e la loro grande comprensione integrativa.
• Ancorare la gestione del rischio nel Organizzazione: Nel senso di una visione neutrale e non influenzata, la gestione del rischio sarebbe meglio ancorata al top management. Tuttavia, ci deve essere la possibilità di non essere troppo distaccati dai processi operativi.
• Strutture e processi adeguati: L'analisi e la valutazione sono, come le attività di contabilità, un compito continuo. Come il bilancio, il rapporto sui rischi è un'istantanea. Di conseguenza, bisogna assicurarsi che anche i rischi siano sempre gestiti. Una sistematizzazione troppo rigida può anche essere un ostacolo alla ricerca dei rischi.
• Evitare la cecità operativa: Nel corso degli anni, la routine può portare a una certa cecità operativa tra i dipendenti. Anche qui, è necessario interrogarsi costantemente, pensare fuori dagli schemi e scambiare idee con altri esperti, anche esterni al settore.
• Documentazione del rischio:  I risultati delle analisi e delle valutazioni devono essere documentati in modo adeguato, in modo da poter intraprendere azioni appropriate.

In definitiva, più tutte le persone coinvolte sono motivate nei loro sforzi per raggiungere un risultato buono e trasparente, più un'analisi dei rischi avrà successo. Ci vuole coraggio per affrontare le questioni, una certa visione d'insieme per tenere d'occhio gli aspetti rilevanti, una certa dose di pensiero laterale per cogliere il nuovo e l'inaspettato. Tuttavia, questo deve essere accompagnato da precisione, meticolosità e interrogazione costante.

La documentazione dovrebbe essere breve e concisa, ma comunque completa. Questo richiede un sacco di lavoro analitico in anticipo, perché una marea di carta confusa non porterà certamente all'obiettivo. Né rimanere in uno sterile meta-livello teorico porterà al successo. In definitiva, si tratta di analizzare e documentare le opportunità, i problemi, i pericoli e le vulnerabilità rilevanti, di renderne consapevole la leadership e di permettere all'organizzazione di agire.

Più le organizzazioni diventano agili, più la gestione del rischio deve diventare agile.