Cosa può fare uno strumento

Gn generale, si pone il tanto citato problema del "punto cieco". Questo si riferisce al fatto che nella gestione del rischio si possono identificare al massimo le cose che hanno un impatto sul business immediato. Questo è stato il punto di partenza della figura del "cigno nero" di Nassim N. Taleb: ha discusso che la gente non credeva in un cigno nero finché non ne è stato scoperto uno - dall'altra parte del mondo. In breve, ciò che non si vede, non si crede. Rimane astratto e piuttosto inefficace.

Chiunque abbia mai condotto un workshop interdisciplinare sui rischi conosce le dinamiche coinvolte nell'identificazione dei rischi e delle fonti di pericolo associate. La confusione tra rischi e pericoli è un problema continuo, l'accordo sulla giusta "granulometria" della descrizione del rischio è complicato, il brainstorming è poco facilitato o metodologicamente soporifero. Inoltre, l'applicazione di forme pre-sviluppate è un'impresa, l'individuazione precoce dei rischi che appaiono di recente spesso impossibile o difficile da valutare in termini di conseguenze. Alla fine, il tempo a disposizione è di solito insufficiente e la motivazione è limitata. La discussione produttiva dei rischi alla fine cade in secondo piano. Se si vuole paragonare questo processo, comprensibilmente, con un'analogia alla costruzione di un'auto da corsa, allora la maggior parte dei dipendenti ama lavorare sul motore e sul design esterno, ma i sistemi di frenata, di controllo e di assistenza alla guida rimangono sottosviluppati. Bene, se te lo puoi permettere. In effetti, bisogna dire che l'economia svizzera, spesso conosciuta come l'economia più innovativa d'Europa, ha costruito delle riserve adeguate per poter assorbire i rischi in modo eccezionale. Ma questo è sufficiente a lungo termine? Chiunque sia mai stato colpito da un fallimento o dalla liquidazione di un'impresa risponderà negativamente. Quindi è un bene per coloro che sono consapevoli dei loro rischi. Tale consapevolezza promuove la robustezza operativa di fronte agli affari (in termini moderni, questo sarebbe indicato come "resilienza" o "antifragilità", vedi box "Termini"). O detto in un altro modo: La sicurezza aziendale sostenibile non può essere raggiunta senza una gestione sistematica del rischio.

Dinamiche organizzative dei processi di gestione

Una gestione sensata del rischio è un prerequisito per questo. La sola analisi della situazione iniziale e l'adozione di misure adeguate per minimizzare il rischio sono spesso una sfida. Non si parla ancora dell'attuazione di una strategia adeguata o del monitoraggio appropriato delle misure. Inoltre, i metodi e gli strumenti di solito non sono "strumenti" isolati. In molti casi, hanno origine da altre discipline o sono derivati da esse. Per la famosa analisi causa-effetto, per esempio, si sceglie spesso il diagramma a lisca di pesce (l'"albero dei difetti"). Nella gestione della qualità, questo è conosciuto da Kaizen come il diagramma "Ishikawa".

Esiste anche un significativo lavoro preliminare per la gestione integrale dei rischi in varie discipline specialistiche, per esempio nei settori della gestione della continuità, della gestione delle crisi e dei disastri e del sistema di controllo interno. Recentemente, nell'area dei "fattori umani", la gestione della salute sul lavoro sta guadagnando importanza.

Nelle strutture di gestione esistenti, quindi, c'è sempre una conoscenza preliminare utilizzabile. Tuttavia, tale conoscenza deve anche essere conosciuta per essere utilizzata. E i dipendenti devono anche renderlo disponibile. Questo pone spesso un problema, poiché i manager spesso corrono un rischio di carriera quando divulgano la conoscenza. Inoltre, una buona parte dell'orgoglio professionale e della prepotenza gioca un ruolo nella cooperazione, anche se si suppone esplicitamente che si tratti della questione in questione. Mantenere il proprio potere posizionale sopprime la condivisione della conoscenza ed è stato descritto una volta dallo psicologo organizzativo Karl Weick come uno degli ostacoli centrali nell'apprendimento organizzativo. La gestione integrale del rischio, tuttavia, non può essere raggiunta senza una generazione di conoscenza significativa.

Per il responsabile, questo significa fare rete se vuole essere efficiente. Il risk manager è quindi uno specialista richiesto su tutti i fronti: Come conoscitore della mappa dei rischi, come moderatore di workshop sui rischi, come compilatore di un rapporto sui rischi, come esecutore di una strategia e politica dei rischi, come "networker" e playmaker di altre discipline.

Perché uno strumento?

Per poter riunire i contenuti specialistici esistenti in una gestione integrale del rischio, si può fare riferimento al materiale pertinente, che è già molto ben documentato. Per esempio, ci sono le norme ISO 310xx / ONR 4900x sulla gestione del rischio, ISO 223xx sulla gestione della continuità, ISO 2700x sulla sicurezza delle informazioni, vari standard applicati come COSO, COBIT, la Direttiva Macchine, ecc. Purtroppo, però, questa conoscenza è già troppo dettagliata per la maggior parte delle PMI. E una discussione all'interno dell'organizzazione di solito non porta a una decisione su quale standard dovrebbe essere realmente costruito. Come strategia di fronteggiamento, l'azienda può delegare l'elaborazione della gestione del rischio a una parte esterna, ma senza potersi sottrarre all'obbligo di un'attenta valutazione del rischio. La responsabilità rimane inalterata con il consiglio di amministrazione. Per i consulenti di gestione, la preparazione e il lavoro su argomenti di gestione del rischio è una fonte attraente di reddito, e "parlare la lingua delle PMI" assicura l'accesso al cliente come consulente di casa e di tribunale per una vasta gamma di argomenti. Il risultato di questa posizione di partenza è che anche se ci sono modelli, liste di rischio ecc. adatti alle PMI, questi tendono a non essere scambiati o condivisi. I consulenti specializzati hanno a disposizione una grande quantità di metodi e opzioni concrete. Tuttavia, solo soluzioni molto generiche sono di dominio pubblico e richiedono una grande personalizzazione per essere applicate. È anche discutibile quale conoscenza preliminare sia utile per la gestione più solida e affidabile dei rischi senza contribuire a una gestione del rischio troppo burocratizzata. In un progetto di ricerca finanziato dalla CTI con la partecipazione di Thomson Reuters, dell'associazione professionale BCMnet.CH e della Scuola universitaria professionale di Lucerna, sono state raccolte e preparate sotto forma di metodo le basi per un "Integral Risk Management per la salvaguardia olistica delle attività commerciali". Il risultato visibile è un toolbox informativo, che contiene anche uno strumento di benchmarking così come ulteriori liste di controllo, spiegazioni e impulsi per l'azione (vedi Fig. 1).

Confrontare la propria gestione del rischio

Alla fine del processo di sviluppo dello strumento, c'erano sei domande centrali sulla gestione integrale del rischio (vedi riquadro "Sei domande centrali"), le cui risposte indicano se l'argomento deve essere affrontato del tutto. Per la maggior parte delle aziende regolari, questo è il caso oggi, anche se ci sono eccezioni.

Lo stesso strumento di benchmarking è reso disponibile sulla piattaforma Accelus di Thomson Reuters via Internet. Dopo l'accesso all'area protetta, la lavorazione può iniziare (vedi Fig. 2). Il questionario copre aspetti chiave della gestione dei rischi, della continuità e della gestione delle crisi, e del sistema di controllo interno. Le domande sono divise in diversi blocchi tematici e formulate in modo tale che la duplicazione tra le quattro aree specialistiche è ampiamente evitata. I blocchi tematici includono domande come la portata della gestione del rischio nell'area della strategia o le responsabilità nell'area della comunicazione e delle responsabilità. Se vengono coperti anche aspetti di tutte e quattro le aree specialistiche, la maggior parte degli agenti si sentirà a casa quando è attiva nell'area della gestione del rischio.

Le opzioni di risposta date alle domande sono sufficientemente astratte in modo che la persona che elabora la domanda possa rispondere ai singoli aspetti con affermazioni approssimative. Le risposte sono valutate da una griglia di chiavi e confrontate con le risposte anonime dei questionari precedentemente completati. Le risposte sono visualizzate in otto diversi gruppi di argomenti, che comprendono argomenti di interfaccia precedentemente definiti tra le quattro discipline integrate. La valutazione è finalmente disponibile come documento elettronico e può servire come punto di riferimento per l'ulteriore miglioramento della "gestione integrale del rischio" (per un esempio, vedere il grafico di valutazione nella Fig. 3). Spesso, per esempio, manca una politica dei rischi o è solo implicita e non si basa su informazioni esistenti.

La risposta alle domande richiede circa 45 minuti e può essere fatta anche con l'accompagnamento o la guida; i partner del progetto coinvolti sono disponibili per tale coaching su base individuale.

Materiale aggiuntivo utile

Oltre allo strumento centrale di benchmarking, è possibile accedere a documenti supplementari. Oltre a una raccolta di varie liste di controllo, sono disponibili anche link e indirizzi, così come un glossario fortemente integrato con i termini più importanti (vedi sotto www.hslu.ch/integrales-rm). L'utente del benchmark può analizzare più a fondo la situazione iniziale sulla base delle informazioni comparative ottenute. Le liste di controllo e i materiali di accompagnamento sviluppati forniscono anche documenti per l'ulteriore sviluppo della gestione integrata del rischio che possono servire come modello. È importante implementare un piccolo numero di misure mirate che, se il benchmark viene ripetuto dopo un certo periodo di tempo, porterà a risposte più avanzate.

Mediazione significativa Lo strumento è stato sviluppato nel corso di diversi mesi con il coinvolgimento di una vasta gamma di esperti. Il risultato è una soluzione in cui le questioni sono state affrontate sistematicamente. A questo scopo, le domande specifiche di ogni industria e azienda devono essere approfondite in scenari individuali. Tuttavia, un approccio sistematico e non a doppio binario è già raggiunto con lo strumento esistente (vedi box "Produttori di bevande").

In sintesi, questo toolbox può essere utilizzato per ottenere un approccio sistematico con una valutazione basata su modelli delle singole attività di gestione del rischio. In questo modo, si può ottenere una comunicazione significativa dei temi di gestione del rischio ai decisori e si può stabilire un contatto con gli esperti attraverso i link e gli indirizzi forniti.