Identificazione e valutazione del rischio

Durante la fase d’identificazione del rischio tutti i rischi sono elencati sotto forma di scenari. I rischi vengono identificati, valutati e di seguito categorizzati per priorità.

Durante questo processo l'attenzione è posta sui rischi principali dell'azienda. La lista di controllo appositamente allestita è chiamata anche lista dei pericoli. Generalmente, le opportunità personali sono limitate. L'importante è dunque porre tempestivamente l'attenzione sui rischi maggiori in modo tale da poterli eliminare in maniera ottimale.

Rischi esterni e interni

Tabella: illustra le diverse tipologie di rischio che si suddividono in rischi esterni all'impresa, legati al mercato finanziario, all'economia e alle regolamentazioni, e rischi interni all’impresa, legati alla strategia, all'operatività e alle finanze dell'impresa. — Fonte: KPMG Schweiz, Methodik zur Einführung eines Risikomanagementsystems, 2008

La fase d’identificazione del rischio inizia generalmente con l'analisi dei punti di forza e di debolezza, la cosiddetta analisi SWOT (Strenghts = punti di forza, Weaknesses = punti di debolezza, Opportunities = opportunità, Threats = minacce). L'identificazione del rischio viene effettuata nell'ambito di un workshop e di colloqui con i responsabili chiave dell'azienda. L'analisi SWOT è uno strumento di facile impiego che da un lato agevola la comprensione della gestione del rischio di un'azienda e dall'altra mostra i collegamenti tra i problemi più importanti e gli obiettivi dell'azienda. L'obiettivo dell'analisi SWOT è di identificare i fattori essenziali, interni ed esterni, che influiscono sullo sviluppo e sul valore dell'azienda.

I risultati ottenuti dai workshop e dai colloqui, dalle analisi degli indici di riferimento e dalle informazioni provenienti da fonti interne ed esterne complementari contribuiscono all'allestimento di una banca dati contenente tutte le informazioni importanti relative ai rischi. I rischi sono categorizzati in maniera tale da essere assegnati alla rispettiva categoria del modello di rischio (vedi immagine sottostante).

Profilo delle opportunità e delle minacce

Livello	Minaccia	Opportunità
Insignificante	Trascurabile considerate le dimensioni dell'organizzazione, il budget riduce limitatamente	Trascurabile considerate le dimensioni dell'organizzazione, il budget cambia limitatamente
Limitato	Le conseguenze sono minime e possono essere finanziate dal cash flow, il budget diminuisce leggermente	In alcuni punti il budget è leggermente più alto del previsto
Percettibile	Il rendiconto annuale peggiora, l'EBIT è inferiore del previsto	Il rendiconto annuale e l'EBIT sono superiori del previsto
Critico / ottimistico	Il rendiconto annuale continua a peggiorare, l'EBIT è minacciato	Il rendiconto annuale e l'EBIT sono nettamente superiori del previsto
Catastrofico / incredibilmente positivo	L'esistenza dell'organizzazione è minacciata, il capitale proprio è parzialmente o completamente esaurito	Il rendiconto annuale e l'EBIT raggiungono un ottimo risultato, al di sopra delle aspettative

Fonte: Dott. Bruno Brühwiler, Management und Qualität, 5/200

Non appena il catalogo dei rischi è definito, è opportuno realizzare una valutazione dei rischi generale per tutti i rischi identificati. La valutazione dei rischi permette di determinare quando un rischio è sostenibile e può pertanto essere accettato da chi ne è esposto.

A tal scopo, nel panorama del rischio viene spesso tracciato un limite di tolleranza del rischio. Si potrebbe dire di conseguenza che i rischi che superano tale limite, in linea di massima, non dovrebbero essere tollerati, mentre i rischi sotto questo limite sono accettabili.

Di norma, la valutazione del rischio viene effettuata mettendo in correlazione due dimensioni:

la probabilità di insorgenza descrive la possibilità che un evento si verifichi. Di norma, il calcolo della probabilità prevede un periodo di tre anni. Questo intervallo funge come punto di riferimento nel caso in cui l'azienda adotti un ciclo di pianificazione strategico;
la potenzialità misura l'effetto concreto che può provocare l'insorgere di un evento. Per la valutazione, di regola, si ricorre a un valore finanziario. Siccome non è possibile valutare ogni rischio dal punto di vista finanziario, vi è anche la possibilità di valutare i rischi dal profilo qualitativo. Questo metodo può essere impiegato, per esempio, per i rischi legati alla reputazione, alla compliance, alla salute e alla sicurezza oppure per quelli legati alle spese che ha il management per controllare la situazione all'insorgere di un evento.

I risultati della valutazione del rischio vengono illustrati mediante una cartina dei rischi.

Cartina dei rischi presso una fiduciaria XY

Il seguente esempio illustra i rischi principali cui è confrontata una fiduciaria. I rischi sono selezionati in base alla probabilità d'insorgenza e alla potenzialità del danno. L'esperienza dimostra che le aziende si concentrano spesso su dieci rischi principali.

Schema: illustra i principali rischi cui è confrontata una fiduciaria, in genere una decina di rischi principali, suddivisi per probabilità di insorgenza e gravità del danno.

Rischi principali di una fiduciaria

N.	Ambito di pericolo⁰ Settore di pericolo	Descrizione del rischio	Probabilità di insorgenza¹	Potenzialità di danno²	Responsabile	Provvedimenti	Scadenza
1	Minaccia strategica Attività economica costante	Dipendente da pochi clienti, la perdita di clienti porta a licenziamenti	Possibile	Minaccioso	XY	Ampliamento del parco clienti attraverso la focalizzazione su altri settori, elaborazione di un piano di marketing	Dicembre 20xx
4	Direzione e collaboratori Comportamento dei collaboratori	Appropriazione indebita da parte di un collaboratore/perdita di immagine	Molto raro	Minaccioso	ZY	Verifica autorizzazione della firma Verifica del processo di rilascio Verifica del processo di controllo	Giugno 20xx
6	Direzione e collaboratori Pratiche aziendali sleali, non fedeli	Applicazione imprecisa (fiacca, superficiale, poco seria) degli standard aziendali	Improbabile	Minaccioso	ZY	Audit funzionali tramite superiori, indagini tra clienti, formazione e aggiornamento	Due volte l'anno Fino a giugno 20xx Ogni due mesi
10	Minaccia operativa Pericoli per gli impianti di produzione	Inondazione locali uffici	Molto raro	Minaccioso	XX	Nuovo locale EED al 1° piano dell'edificio, verifica trasferimento sede	Luglio 20xx Gennaio 20xx
16	Minaccia finanziaria Problemi di pagamento e di liquidità	Superamento del limite di credito Applicazione tassi più alti da parte della banca	Frequente	Sensibile	ZZ	Migliorare il processo di sollecito, migliorare il piano di liquidità	Ottobre 20xx

0. Ambiti di pericolo :minaccia strategica, minaccia operativa, minaccia finanziaria, direzione e collaboratori
1. Frequente = settimanale; possibile = mensile ; raro = annuale ; molto raro = ogni 5 anni ; improbabile > 5 anni
2. Insignificante = < CHF 5'000; minima = < CHF 10'000; sensibile = < CHF 50'000; critica = < CHF 100'000; minacciosa > CHF 100'000

I vari metodi di valutazione del rischio

Un’azienda può scegliere tra diversi metodi per la valutazione dei rischi. Questi si suddividono in cinque gruppi differenti.

Esistono numerosi metodi per valutare i rischi. Questi possono essere ripartiti in cinque categorie:

tecniche di creatività: brainstorming, tecnica Delphi, matrice morfologica;
analisi di scenario: root cause analysis, albero dei problemi e analisi dei processi, analisi worst case;
analisi degli indicatori: critical incidents reporting system, change based risk management;
analisi dei rischi: FMEA, analisi dei rischi, HAZOP, HACCP;
analisi statistiche: deviazione standard, intervallo di fiducia, simulazione Monte Carlo.

Fonte: Risikomanagement, Schweiz. Vereinigung für Qualitäts- und Management-Systeme (SQS), Zollikofen; 2008