Identificazione e valutazione del rischio
Durante la fase d’identificazione del rischio tutti i rischi sono elencati sotto forma di scenari. I rischi vengono identificati, valutati e di seguito categorizzati per priorità.
Durante questo processo l'attenzione è posta sui rischi principali dell'azienda. La lista di controllo appositamente allestita è chiamata anche lista dei pericoli. Generalmente, le opportunità personali sono limitate. L'importante è dunque porre tempestivamente l'attenzione sui rischi maggiori in modo tale da poterli eliminare in maniera ottimale.
Rischi esterni e interni
La fase d’identificazione del rischio inizia generalmente con l'analisi dei punti di forza e di debolezza, la cosiddetta analisi SWOT (Strenghts = punti di forza, Weaknesses = punti di debolezza, Opportunities = opportunità, Threats = minacce). L'identificazione del rischio viene effettuata nell'ambito di un workshop e di colloqui con i responsabili chiave dell'azienda. L'analisi SWOT è uno strumento di facile impiego che da un lato agevola la comprensione della gestione del rischio di un'azienda e dall'altra mostra i collegamenti tra i problemi più importanti e gli obiettivi dell'azienda. L'obiettivo dell'analisi SWOT è di identificare i fattori essenziali, interni ed esterni, che influiscono sullo sviluppo e sul valore dell'azienda.
I risultati ottenuti dai workshop e dai colloqui, dalle analisi degli indici di riferimento e dalle informazioni provenienti da fonti interne ed esterne complementari contribuiscono all'allestimento di una banca dati contenente tutte le informazioni importanti relative ai rischi. I rischi sono categorizzati in maniera tale da essere assegnati alla rispettiva categoria del modello di rischio (vedi immagine sottostante).
Profilo delle opportunità e delle minacce
Fonte: Dott. Bruno Brühwiler, Management und Qualität, 5/200
Non appena il catalogo dei rischi è definito, è opportuno realizzare una valutazione dei rischi generale per tutti i rischi identificati. La valutazione dei rischi permette di determinare quando un rischio è sostenibile e può pertanto essere accettato da chi ne è esposto.
A tal scopo, nel panorama del rischio viene spesso tracciato un limite di tolleranza del rischio. Si potrebbe dire di conseguenza che i rischi che superano tale limite, in linea di massima, non dovrebbero essere tollerati, mentre i rischi sotto questo limite sono accettabili.
Di norma, la valutazione del rischio viene effettuata mettendo in correlazione due dimensioni:
- la probabilità di insorgenza descrive la possibilità che un evento si verifichi. Di norma, il calcolo della probabilità prevede un periodo di tre anni. Questo intervallo funge come punto di riferimento nel caso in cui l'azienda adotti un ciclo di pianificazione strategico;
- la potenzialità misura l'effetto concreto che può provocare l'insorgere di un evento. Per la valutazione, di regola, si ricorre a un valore finanziario. Siccome non è possibile valutare ogni rischio dal punto di vista finanziario, vi è anche la possibilità di valutare i rischi dal profilo qualitativo. Questo metodo può essere impiegato, per esempio, per i rischi legati alla reputazione, alla compliance, alla salute e alla sicurezza oppure per quelli legati alle spese che ha il management per controllare la situazione all'insorgere di un evento.
I risultati della valutazione del rischio vengono illustrati mediante una cartina dei rischi.
Cartina dei rischi presso una fiduciaria XY
Il seguente esempio illustra i rischi principali cui è confrontata una fiduciaria. I rischi sono selezionati in base alla probabilità d'insorgenza e alla potenzialità del danno. L'esperienza dimostra che le aziende si concentrano spesso su dieci rischi principali.
0. Ambiti di pericolo :minaccia strategica, minaccia operativa, minaccia finanziaria, direzione e collaboratori
1. Frequente = settimanale; possibile = mensile ; raro = annuale ; molto raro = ogni 5 anni ; improbabile > 5 anni
2. Insignificante = < CHF 5'000; minima = < CHF 10'000; sensibile = < CHF 50'000; critica = < CHF 100'000; minacciosa > CHF 100'000
I vari metodi di valutazione del rischio
Un’azienda può scegliere tra diversi metodi per la valutazione dei rischi. Questi si suddividono in cinque gruppi differenti.
Esistono numerosi metodi per valutare i rischi. Questi possono essere ripartiti in cinque categorie:
- tecniche di creatività: brainstorming, tecnica Delphi, matrice morfologica;
- analisi di scenario: root cause analysis, albero dei problemi e analisi dei processi, analisi worst case;
- analisi degli indicatori: critical incidents reporting system, change based risk management;
- analisi dei rischi: FMEA, analisi dei rischi, HAZOP, HACCP;
- analisi statistiche: deviazione standard, intervallo di fiducia, simulazione Monte Carlo.
Fonte: Risikomanagement, Schweiz. Vereinigung für Qualitäts- und Management-Systeme (SQS), Zollikofen; 2008