Sinergie nella gestione del rischio
Quando diverse persone discutono il contenuto della gestione del rischio nelle organizzazioni, emerge rapidamente un consenso sull'applicazione del processo di gestione del rischio (quadro, identificazione del rischio, analisi, valutazione, gestione, ecc.) Diventa più difficile quando si tratta dell'assegnazione delle singole applicazioni di gestione del rischio e della reale sinergia organizzativa.
Sotto il termine ombrello di gestione del rischio, l'ERM (Enterprise Risk Management), così come le sotto-aree come ICS (Internal Control System), BCM (Business Continuity Management), CMS (Compliance Management), QMS (Quality Management), SMS (Security Management), ecc. Purtroppo, ci sono diversi silos di percezione.
Una soluzione troppo semplice, ma difficilmente praticabile, sarebbe quella di usare la gestione del rischio come termine ombrello per integrare tutte le altre sotto-aree. Tuttavia, la "gestione totale del rischio" è difficile da implementare nella realtà IT perché ogni sottoarea persegue un obiettivo diverso, include un contenuto specifico, ha requisiti tecnici diversi, ha un campo di applicazione diverso, o usa una metodologia diversa.
Come evitare costose sovrapposizioni e spreco di risorse invece di sinergie e semplificazioni?
Le seguenti spiegazioni perseguono due obiettivi: In primo luogo, chiarire le aree di applicazione e le interfacce tra le aree di applicazione della gestione del rischio; in secondo luogo, dimostrare soluzioni concettuali per evitare duplicazioni e portare semplificazioni.
Gestione del rischio e sotto-aree
Le organizzazioni usano la gestione del rischio come strumento di gestione. Questo non viene fatto solo da aziende private, ma sempre più spesso anche da istituzioni e amministrazioni pubbliche. La gestione del rischio è talvolta prescritta dalla legge. Norme come lo standard internazionale "ISO 31000 Risk management - Guidelines" o l'americano "COSO Enterpri se Risk Management Framework" sono utilizzati per l'attuazione. Il rischio è definito come "l'impatto dell'incertezza su obiettivi, attività e requisiti".
Gli standard di gestione del rischio possono essere applicati a tutte le organizzazioni, a tutte le situazioni decisionali e a tutti i processi aziendali. Si parla spesso di "gestione del rischio d'impresa" o "gestione del rischio d'impresa (ERM)".
La gestione del rischio in senso più ampio include molte sotto-aree che sono simili, ma diverse. Qui troverete le aree più importanti:
- Nella gestione della conformità (CMS) consiste nel garantire che l'organizzazione sia conforme alle leggi, ai requisiti normativi, agli standard e alle linee guida pertinenti. Secondo lo standard internazionale ISO 19600, la gestione della conformità dovrebbe essere "basata sul rischio". Questo significa che specialmente quelle leggi e regolamenti sono di grande importanza la cui non conformità diventa un rischio (negativo) per l'organizzazione.
- Nel Sistema di Controllo Interno (SCI) I controlli (principio dei quattro occhi, controlli a campione, controlli di sistema, ecc.) dovrebbero assicurare che i processi finanziari funzionino correttamente, il che dovrebbe portare a un reporting finanziario senza errori.
Inoltre, l'attenzione è rivolta all'uso attento delle risorse finanziarie e alla prevenzione di frodi e perdite. I sistemi di controllo interno si occupano anche della conformità con i regolamenti legali e le direttive interne, per cui si deve fare attenzione a garantire che non ci siano sovrapposizioni o duplicazioni con la gestione della conformità.
- Nella gestione delle emergenze, delle crisi e della continuità (conosciuto nel mondo anglosassone come Business Continuity Management / BCM) consiste nell'assicurare che l'organizzazione reagisca correttamente dopo che si sono verificati incidenti gravi e prepari misure per ripristinare rapidamente le funzioni operative interrotte.
Per identificare i punti nevralgici dell'organizzazione che sono particolarmente critici per la garanzia dei processi operativi, ISO 22301, per esempio, raccomanda di eseguire un'analisi dell'impatto aziendale, che crea un collegamento diretto con il processo di gestione dei rischi.
- Nell'area della sicurezza delle informazioni quando si tratta di sistemi informatici È importante che la disponibilità, l'integrità e la protezione dei dati siano garantite. Le norme internazionali ISO 27001 e ISO 27005 forniscono il sistema di gestione della sicurezza delle informazioni e danno una guida specifica sulla necessità dell'analisi dei rischi.
- Nella gestione della sicurezza incontriamo molte aree individuali specifiche del settore. Essi comprendono la sicurezza sul lavoro (nuova ISO 45001) e la sicurezza ambientale (ISO 14001) così come la sicurezza dei prodotti (ad esempio ISO 14971) e la sicurezza dei pazienti (EN 15224). Le analisi dei rischi sono obbligatorie in tutti questi settori.
Tuttavia, è necessario che i molti specialisti lavorino insieme per evitare duplicazioni e creare sinergie.
Gestione del rischio in aziende complesse
Il sistema di ordine nella gestione del rischio richiede un approccio sistematico: da un lato, si tratta di prendere in considerazione gli aspetti legati al rischio. D'altra parte, i contenuti e i metodi specifici delle singole sotto-aree devono essere mantenuti.
Se si pone la gestione del rischio aziendale al centro di un'organizzazione complessa e la si collega con i sottosistemi basati sul rischio, si possono trovare le soluzioni nella concezione dell'approccio top-down e bottom-up. La gestione del rischio aziendale è l'approccio top-down, che comprende la sopravvivenza a lungo termine, la salvaguardia dell'esistenza dell'azienda, la "preservazione della sua esistenza" o - per usare una bella espressione francese - "pérennité" (perpetuità / sostenibilità). Questo approccio è ancorato nella legge tedesca sulle società per azioni nel KonTraG § 91 (2) AktG ("sviluppi che mettono in pericolo la continuità dell'esistenza della società").
L'alta direzione, cioè il Consiglio di amministrazione / Consiglio di sorveglianza e la Direzione generale, deve occuparsi regolarmente di questi rischi. Nel fare ciò, bisogna assicurarsi che i rischi siano correttamente identificati, analizzati con le loro cause ed effetti, descritti in modo comprensibile, correttamente valutati e regolarmente controllati e monitorati.
Gestione del rischio negli affari quotidiani
Anche se un rischio non minaccia l'esistenza dell'azienda, dovrebbe avere una certa "eccezionalità" per distinguersi come rischio dagli affari quotidiani. Negli affari quotidiani, ci sono molte interruzioni, irregolarità e deviazioni. In nessun caso questi dovrebbero essere oggetto di una gestione del rischio o di un approccio basato sul rischio, perché questo creerebbe un'enorme burocrazia che non fornirebbe alcun beneficio. Qui, lo strumento del miglioramento continuo deve assicurare che i processi di performance siano continuamente migliorati e ottimizzati.
Bisogna fare una distinzione tra questo e la gestione degli errori. Gli errori possono portare a un grande rischio per la sicurezza a causa di una "catena di circostanze sfortunate". Qui, affrontare gli errori è un metodo di gestione del rischio che viene spesso chiamato "cri tical incidents reporting" o sistema di segnalazione degli errori.
Di regola, un'organizzazione ha solo pochi rischi che minacciano la sua esistenza, forse una decina. Questi includono non solo i rischi strategici di un'organizzazione, ma anche i rischi operativi.
L'analisi degli incidenti in termini di frequenza di accadimento e del loro impatto, illustrata nell'esempio seguente con la dimensione finanziaria, è utile per l'assegnazione di possibili deviazioni alla gestione del rischio, a una sottoarea basata sul rischio o al business quotidiano.
Il grafico (a sinistra) mostra che, dal punto di vista del rischio, i rischi aziendali che minacciano la continuità aziendale possono avere un notevole impatto qualitativo e quantitativo sugli obiettivi dell'azienda, anche se si verificano solo con una bassa probabilità di accadimento (bassa frequenza / alta gravità).
Al contrario, i rischi dei sottosettori corrispondenti hanno generalmente una frequenza elevata ma un impatto piuttosto limitato sugli obiettivi dell'azienda. Questo non si applica ai rischi che mettono in pericolo l'esistenza dell'azienda. Il trattamento dei rischi con alta frequenza e impatto limitato nel quadro delle sotto-aree (per esempio nel sistema di controllo interno) può essere utile o redditizio.
Riassunto del rischio
La progettazione di un sistema sinergico di gestione del rischio è un compito impegnativo. Richiede non solo una profonda comprensione delle aree di gestione elencate sopra, ma anche un alto grado di comunicazione interna e di coordinamento. Sfortunatamente, gli standard non offrono quasi nessun supporto in questo senso, poiché sono disponibili in un'architettura separata o in una struttura solo parzialmente integrata.
Le organizzazioni che sono riuscite a strutturare la gestione del rischio in modo comprensibile non solo avranno una "governance" appropriata, ma in particolare si assicureranno un chiaro vantaggio nell'uso efficace ed efficiente delle loro risorse.
