Fattori di successo per le aziende

Il processo di gestione dei rischi è stato condotto dal Gruppo svizzero insieme a i-Risk su due livelli. In una prima fase, le cinque unità di business dell'azienda sono state considerate individualmente. I risultati delle unità di business sono stati poi consolidati, e un'analisi globale è stata effettuata a livello di gruppo. Ad entrambi i livelli, il processo è passato dall'analisi dei rischi all'analisi delle azioni. Infine, i rischi sono stati integrati e documentati in tutto il Gruppo.

Analisi dei rischi e delle misure

Nell'analisi dei rischi, i rischi sono stati identificati per mezzo di interviste individuali con i membri della direzione e poi riassunti in un catalogo dei rischi. La valutazione dei rischi ha avuto luogo in un workshop di gruppo con la direzione. Ogni partecipante ha valutato i rischi in termini di danni

Workshop con i capi

Il rischio è stato valutato in modo sequenziale facendo prima la media delle valutazioni di gravità delle perdite individuali per ogni rischio. La valutazione è stata effettuata in modo sequenziale facendo prima la media delle valutazioni individuali dell'entità del danno per ogni rischio. Se c'era una grande discrepanza tra le valutazioni individuali, queste venivano discusse e aggiustate se necessario. Poi, per ogni rischio, i partecipanti hanno valutato la probabilità di verificarsi con l'estensione predeterminata del danno e, infine, l'impatto reputazionale dell'evento. Inoltre, ogni rischio è stato assegnato a un proprietario del rischio e a un'area. Nella seguente analisi delle misure, i rispettivi proprietari dei rischi sono stati coinvolti in un primo passo. Nel caso dei loro rischi, hanno elaborato una proposta di strategia di gestione. Questo indica se il rischio deve essere accettato o ridotto. Nella stessa fase, le misure centrali esistenti e quelle nuove proposte sono state registrate e definite con inizio, fine, sforzo interno, costi esterni e responsabilità. Per la definizione e la pianificazione di nuove misure, si è tenuto di nuovo un workshop di gruppo con la direzione.

Dopo che le analisi sono state effettuate in tutte e cinque le unità di business e consolidate a livello di Gruppo, è stata assicurata la continuazione del processo. Nella fase di integrazione e documentazione, sono stati redatti una politica dei rischi, un rapporto sui rischi e una descrizione dei processi con le responsabilità, ed è stato definito e introdotto il controllo delle misure.

Rischi uniformi con la metodologia Bow-Tie

Per garantire che il sistema di gestione dei rischi possa essere implementato in modo efficiente in tutto il Gruppo anche in futuro, è necessario prestare attenzione all'identificazione e alla descrizione uniforme dei rischi. Nel processo di identificazione dei rischi, un registro dei rischi è stato costruito successivamente durante le interviste. Questo è stato poi completato con i rischi dai benchmark di altre aziende del settore e serve come lista di controllo all'interno dell'azienda. Anche se ci sono varie unità di business con una vasta gamma di rischi all'interno dell'azienda, una certa armonizzazione dei rischi rappresenta una riduzione significativa dello sforzo richiesto per il consolidamento all'interno dell'azienda.

Nel redigere il registro dei rischi, si deve porre l'accento sulla creazione di scenari di rischio. In questo caso, è stata usata la metodologia Bow-Tie, che struttura i rischi in causa-evento-effetto. Un evento viene analizzato in termini di possibili cause ed effetti. Gli scenari di rischio sono poi formulati per le cause e gli effetti più probabili, ognuno dei quali rappresenta una catena di effetti causa-evento. Questa strutturazione porta vantaggi all'intero processo di gestione del rischio. La valutazione del rischio è facilitata e guadagna in accuratezza valutando la probabilità che un evento si verifichi per la causa e l'estensione del danno e l'impatto reputazionale dell'evento per l'effetto.

In termini di misure, la metodologia Bow-Tie raggiunge una separazione tra misure legate alla causa e all'effetto. In questo modo, la gestione del rischio appropriata può essere selezionata per il rispettivo rischio.

Valutare con precisione i rischi

La strategia di gestione del rischio deve essere definita e introdotta. Le misure legate alla causa, come le misure strutturali e di processo, riducono la probabilità che il rischio si verifichi e l'entità del danno quando si verifica. Le misure legate all'impatto, come l'assicurazione e la gestione delle crisi, sono generalmente più favorevoli, ma riducono solo il danno causato dall'evento, non la probabilità che si verifichi (Figura 1).

Il fattore reputazione

A causa della composizione del gruppo da diverse unità di business, diversi marchi sono associati alla società allo stesso tempo. Per poter operare con successo sul mercato, l'azienda dipende da un'immagine eccellente di questi marchi. L'inclusione del danno sostenibile considerando la reputazione come una variabile di valutazione sta diventando sempre più ancorata nella gestione del rischio e aiuta a valutare e categorizzare i rischi in modo più preciso. In questo contesto, i rischi con un basso impatto esterno e un piccolo danno sostenibile, come una perdita di valuta a breve termine, possono essere distinti dai rischi con un alto impatto esterno e un alto danno sostenibile, come l'inquinamento delle acque. L'inclusione della reputazione è particolarmente importante per dare maggior peso ai rischi strategici a lungo termine. Nel sistema di gestione dei rischi del gruppo svizzero, oltre alla matrice di rischio classica, è stata quindi elaborata una matrice di reputazione, che consiste in una valutazione della probabilità di accadimento a un anno e dell'entità del danno. Nella matrice di reputazione, il valore atteso di ogni rischio (prodotto della probabilità di accadimento e dell'entità del danno) è confrontato con l'impatto sulla reputazione. L'angolo in alto a destra mostra i rischi di prima priorità, che hanno sia un alto valore atteso a breve termine che un alto impatto reputazionale a lungo termine. I rischi di seconda priorità hanno un alto valore atteso o un alto impatto reputazionale.

La valutazione dell'influenza della reputazione è sempre effettuata qualitativamente. Una scala da uno a sei è preferibile in questo caso, poiché le persone sanno intuitivamente come trattare con sei gradazioni.

Vista a livello di gruppo e di business unit

Nel caso in questione, il gruppo combina cinque diverse unità di business. Per essere in grado di

Strutturazione dello scenario

Per mappare e confrontare i rischi centrali a livello di business unit, sono state utilizzate due diverse matrici per valutare i rischi. Una matrice di rischio 6×6 è stata utilizzata a livello di gruppo e una matrice di rischio 6×8 a livello di unità di business. Per i tre parametri di valutazione probabilità di accadimento, impatto sulla reputazione ed entità del danno, le scale differiscono nell'entità del danno. A livello di business unit, sono stati utilizzati altri due livelli per raggiungere la profondità necessaria. A livello di gruppo, i rischi sono stati consolidati solo al di sopra di un valore soglia. Per determinare il valore di soglia, i rischi sono valutati quantitativamente.

Una scala logaritmica è usata sia per la probabilità di accadimento che per l'estensione del danno. Da un lato, questo permette di rappresentare una gamma più ampia di rischi, e dall'altro, la percezione umana è logaritmica e non lineare. L'esperienza mostra che con una classificazione lineare, i rischi sulla matrice di rischio sono difficilmente accurati. Una volta scelta una classificazione logaritmica, le persone coinvolte nel processo possono valutare molto meglio i rischi. Nel caso del gruppo svizzero, è stata scelta una scala con un logaritmo di due sia per l'estensione del danno che per la probabilità di accadimento. Pertanto, nella rappresentazione della matrice di rischio, i rischi equivalenti sono situati su linee parallele di equivalenza dall'alto a destra al basso a sinistra (Figura 2).

Consolidamento dopo il massimo valore atteso

Ci sono quattro diversi approcci al consolidamento dei rischi, che possono essere combinati o adattati a seconda dei casi:

•  Definizione della soglia: in questa procedura si prendono in considerazione i rischi il cui valore atteso (moltiplicazione dell'entità del danno e della probabilità di accadimento) supera un certo limite.
• Categorizzazione: La categorizzazione dei rischi presuppone che il livello al quale il rischio è rilevante (per esempio, squadra, dipartimento, divisione, intera azienda, consiglio di amministrazione) sia stato determinato in ogni caso quando i rischi vengono identificati. Solo i rischi della rispettiva categoria sono poi presi in considerazione.
• Consolidamento degli scenari: in questo approccio, i rischi con la stessa causa sono combinati in nuovi scenari di rischio per ottenere un raggruppamento e una riduzione dei rischi. Successivamente, gli scenari di rischio creati vengono rivalutati ad un livello superiore. 
• Simulazione: Si tratta di eseguire migliaia di simulazioni utilizzando modelli quantitativi. I dati storici e le valutazioni degli esperti sono inclusi per creare il modello.

Il consolidamento dei rischi a livello di gruppo in questo esempio è già iniziato con l'identificazione dei rischi a livello di unità di business, descrivendo i rischi nel modo più identico possibile. Successivamente, è stato applicato il filtro dell'estensione del danno rilevante per il gruppo. Per i rischi rimanenti, il rischio con il più alto valore atteso è stato trasferito alla matrice di gruppo per ciascuno dei rischi descritti nello stesso modo. I rischi così consolidati dalle unità di business sono stati integrati con rischi sovraordinati a livello di gruppo. Il

Valori comuni attesi

Di conseguenza, il consolidamento per definizione di soglia con un'aggiunta di rischi di livello superiore è stato applicato qui.

Conclusione

La gestione del rischio è cambiata significativamente negli ultimi anni. In molte aziende, l'argomento si è evoluto da un'introduzione legale obbligatoria a uno strumento di gestione strategica. Alcuni fattori determinano il successo o il fallimento del sistema di gestione dei rischi. Specialmente in un gruppo con diverse unità di business, un processo con identificazione, valutazione e consolidamento dei rischi su misura è di centrale importanza. Solo se il valore aggiunto e l'efficienza del processo sono riconosciuti e sostenuti dalla direzione, la gestione del rischio può essere applicata in modo duraturo e con valore aggiunto.