Ancorato per il lungo termine

Da società di consulenza i-Risk ha accompagnato più di 100 aziende nell'introduzione e nel proseguimento della gestione del rischio negli ultimi anni. Con questa esperienza, le influenze decisive per il successo dell'ancoraggio della gestione del rischio possono essere divise in tre categorie, che procedono cronologicamente in tre fasi:

• Gestione del rischio durante l'implementazione
• Gestione del rischio nel primo anno
• Gestione del rischio negli anni successivi

Introduzione - Creare un registro dei rischi

All'inizio del processo di gestione del rischio, la direzione dell'azienda dovrebbe definire chiaramente le condizioni quadro. Questi dovrebbero essere adattati alle dimensioni e alla struttura dell'azienda per poter continuare la gestione del rischio a lungo termine con le risorse esistenti. Anche l'industria e la natura delle minacce potenziali giocano un ruolo. Tre fattori sono strettamente legati tra loro quando si impostano i parametri iniziali:

• L'entità del danno per la valutazione dei rischi
• Il livello di volo della valutazione del rischio
• Il numero di rischi valutati

Il limite inferiore della scala dell'entità del danno per la valutazione dei rischi definisce il numero di rischi che sono registrati nel sistema. Per esempio, se il valore di soglia è di CHF 300'000, vengono inclusi più rischi che se il valore di soglia è di CHF 500'000. Il livello di volo della valutazione del rischio determina la granularità dei rischi: Per esempio, un fallimento dell'intera produzione o, ad un livello inferiore, di ogni impianto di produzione individualmente, può essere elencato come un rischio. Una granularità uniforme dell'intera lista dei rischi semplifica il confronto dei rischi tra di loro. Di conseguenza, il numero di rischi nel registro dei rischi è influenzato da un lato da come viene definita la scala di valutazione e dall'altro dal livello di volo scelto. Entrambi i fattori dovrebbero essere mantenuti il più possibile costanti nel corso degli anni in modo da poter registrare l'andamento a lungo termine dei rischi.

In pratica, è stato dimostrato che è più efficiente includere solo alcuni rischi nel registro dei rischi, ma esaminarli in profondità. Per la maggior parte delle PMI svizzere, il numero di rischi è dell'ordine di 20.

Meno, ma più approfondito

Concentrandosi sulle minacce maggiori, la qualità della valutazione del rischio può essere garantita in dettaglio. Se si sceglie deliberatamente un'altitudine inferiore per l'identificazione dei rischi, si considerano automaticamente più rischi. Spesso succede che questi rischi sono già registrati in altri sistemi di gestione e quindi vengono gestiti due volte, il che porta a delle inefficienze.

Un altro punto chiave della gestione efficiente dei rischi è formulare ogni rischio come scenario e nominare una persona responsabile della forza lavoro in ogni caso. Questi risk owner informano il risk manager dei cambiamenti e sono sempre informati sullo stato delle misure di riduzione del rischio. Con una selezione di circa 20 rischi, il livello di volo è ad un livello in cui ogni membro della direzione può commentare tutte le questioni e tutti i rischi possono essere valutati in un unico workshop di mezza giornata. In questo modo si ottiene una classificazione oggettiva dei rischi.

Nel primo anno - assicurare l'impatto

Alla fine dell'implementazione di un processo di gestione del rischio, viene definita e approvata la politica del rischio, che stabilisce il sistema legalmente prescritto per il lungo termine. Si consiglia di redigere un documento di una decina di pagine in cui si descrivono tre punti principali:

• La periodicità della valutazione del rischio
• La periodicità del monitoraggio delle misure
• Il processo di gestione del rischio, comprese le responsabilità

Nella maggior parte delle PMI svizzere, l'analisi dei rischi viene effettuata una volta all'anno e il monitoraggio delle misure ha luogo su base trimestrale. Molte aziende tendono ad aumentare la frequenza per aumentare la tempestività delle informazioni contenute. Tuttavia, è importante mantenere la frequenza del monitoraggio delle misure più alta di quella della valutazione del rischio, perché solo in questo modo la gestione del rischio può raggiungere il suo pieno effetto. Implementando le misure definite, è possibile risparmiare denaro e ampliare i vantaggi competitivi. Le aziende usano spesso un sistema a semaforo per monitorare le misure. Nelle riunioni trimestrali in cui vengono discusse le misure, l'attenzione si concentra poi sulle misure gialle e rosse che sono in ritardo.

Ci dovrebbe essere sempre un flusso diretto di informazioni in tutto il processo di gestione del rischio: Bisogna assicurarsi che i dipendenti comunichino i rischi direttamente al risk manager in modo che possa avviare le misure necessarie. Specialmente nelle PMI, l'introduzione di numerosi livelli di responsabilità nel processo dovrebbe quindi essere evitata. In alcune aziende, si incontrano impiegati che comunicano i rischi ai loro

DirectCommunication

della divisione, filtrarli e trasmetterli al risk manager. Tuttavia, questo rende impossibile per tutti comunicare rapidamente e direttamente con il risk manager. Una soluzione pragmatica per assicurare una connessione diretta con il risk manager è quella di creare una casella di posta elettronica per comunicare rischi e minacce.

Gestione del rischio negli anni successivi

Le persone sono al centro del processo di gestione del rischio. Qui è richiesta creatività, soprattutto nell'analisi dei rischi. Propone nuovi rischi identificati e li valuta. Per evitare la ripetizione, la direzione dovrebbe sempre coinvolgere altre persone nel processo. L'esposizione al rischio di un'azienda viene quindi esaminata ogni anno da una nuova angolazione.

Nel caso di un'analisi annuale dei rischi, un ciclo triennale per l'adeguamento dei rischi si è dimostrato efficace nella pratica: Anno 1: Identificazione dei rischi basata su interviste e liste di controllo e valutazione dei rischi in un workshop congiunto.

2° anno: Aggiungere, eliminare e aggiustare i rischi e valutare i rischi in un workshop comune. Nel processo, si analizzano in particolare i maggiori spostamenti dei rischi.

3° anno: Considerazione delle tendenze nell'industria e derivazione di nuovi rischi così come analisi dei cambiamenti nella valutazione del rischio (grafico 1).

I rischi cambiano

Nel primo anno, un inizio "greenfield" viene fatto registrando nuovamente i rischi sulla base di interviste strutturate e poi valutandoli. I rischi già presenti nel sistema o l'esperienza industriale di consulenti esterni durante l'implementazione iniziale sono consultati come liste di controllo. Nel workshop di valutazione, la direzione valuta i rischi e definisce le priorità per l'attuazione delle misure.

Nel secondo anno, l'attenzione si concentra sui cambiamenti dei rischi rispetto all'anno precedente. Il tempo richiesto per l'identificazione del rischio è relativamente piccolo, poiché la situazione nella maggior parte dei settori cambia poco nel corso di un anno. La direzione rivaluta poi i rischi e li confronta con la valutazione dell'anno precedente. L'attenzione si concentra sui turni principali, per ognuno dei quali è documentata una giustificazione. La valutazione dei rischi di solito cambia significativamente quando sono state introdotte misure o sono avvenuti significativi cambiamenti di mercato o organizzativi. Esaminando i cambiamenti nel rischio, l'efficienza delle misure introdotte può essere dimostrata e misurata.

Nel terzo anno, le tendenze sono integrate nell'analisi. Nei primi anni, ha senso avere una visione interna per non concentrarsi troppo sui rischi esterni e concentrarsi su quei problemi che l'azienda stessa può ridurre. Negli anni successivi, la direzione può guardare più al futuro e all'esterno. Viene analizzata l'influenza delle macro tendenze sull'azienda. Nel terzo anno, per esempio, si possono analizzare le tendenze del settore e identificare i rischi rilevanti per l'azienda. Nella valutazione dei rischi, l'attenzione è ancora di più sui cambiamenti rispetto all'anno precedente.

Conclusione

Per ancorare la gestione del rischio a lungo termine e renderla il più possibile arricchente per le persone coinvolte, si dovrebbe evitare la pura ripetizione. Non appena la ripetizione si insinua, c'è il pericolo che la gestione del rischio degeneri in un esercizio di alibi. Solo i rischi identificati possono essere affrontati. Pertanto, il processo di pensiero creativo dovrebbe essere mantenuto attraverso nuove prospettive. È anche vantaggioso coinvolgere di tanto in tanto diversi attori nel processo per assorbire nuove opinioni. In questo contesto, i pensatori laterali sono più che benvenuti.