A. Che cos’è un rischio?
Il rischio è l’effetto dell’incertezza sugli obiettivi, sulle attività e sugli obblighi di un’organizzazione. È associato alla probabilità che una minaccia sfrutti un errore umano, la lacuna di un processo o la vulnerabilità di un sistema, causando così un danno a un’organizzazione.
Il termine «rischio» implica i seguenti aspetti:
- la combinazione di probabilità che tale rischio si verifichi e dell’impatto (positivo o negativo) che avrebbe sull’attività dell’impresa;
- l’incertezza è stimata o determinata sulla base delle probabilità;
- gli obiettivi dell’organizzazione si estendono allo sviluppo strategico (ad es. esigenze dei clienti, innovazione, posizione di mercato). Le attività comprendono l’aspetto operativo (ad es. approvvigionamento, produzione, servizi e vendite);
- gli obblighi si riferiscono in particolare a leggi, norme e altri requisiti normativi interni o esterni, anche inerenti alla sicurezza delle persone, dei beni e dell’ambiente;
- il rischio è una conseguenza di eventi o cambiamenti di circostanze.
Il rischio è un evento, un’azione o una mancata azione che può portare a:
- il non raggiungimento di un obiettivo;
- un calo delle prestazioni;
- una perdita di opportunità.
La nozione di rischio è inscindibile da quella di vulnerabilità. La vulnerabilità, ossia l’assenza o l’insufficienza di misure volte a contrastare il rischio, ne aumenta la probabilità e, soprattutto, l’impatto. Ad esempio, la mancanza di sistemi di estinzione automatici nei locali informatici in caso di incendio costituisce una vulnerabilità, così come l’assenza di una soluzione di backup con materiale di emergenza per i team le cui apparecchiature informatiche potrebbero essere distrutte o danneggiate.
Se i team non possono più lavorare, l’impatto sarà amplificato e le conseguenze potrebbero essere gravi per l’organizzazione: calo della cifra d’affari, perdite finanziarie, danni in termini di reputazione, ecc.
B. Come identificare e misurare un rischio?
La percezione di un rischio è spesso soggettiva. È fondamentale passare per le fasi di identificazione e di misurazione del rischio con un approccio collettivo per discutere e raccogliere opinioni e punti di vista differenti sulle minacce. Confrontare più pensieri, se possibile provenienti da diversi strati e linee di attività dell’organizzazione consente di comprendere, identificare e valutare meglio il rischio, le vulnerabilità a esso associate e il potenziale impatto.
Allo stesso modo, la tolleranza del rischio (o propensione al rischio) dipende dalla persona che lo analizza, ma anche dal contesto di questa valutazione e dalla comprensione delle implicazioni. Per misurare meglio il rischio e la sua portata, è essenziale disporre di informazioni che siano il più possibile esaustive.
C. I diversi tipi di rischio
I rischi possono essere classificati in vari tipi. Alcuni ovviamente possono rientrare in più categorie:
- rischio tecnologico o digitale: è legato all’utilizzo del sistema informatico o al suo malfunzionamento per cause interne o esterne;
- rischio operativo: è legato a tutti gli ostacoli alle operazioni e attività dell’impresa. Presenta un potenziale di perdita derivanti da processi interni inadeguati o lacunosi, persone e sistemi o da eventi esterni;
- rischio normativo: è legato al mancato rispetto di una normativa o di una legge e alle sanzioni che ne possono derivare;
- rischio di reputazione: è legato all’immagine del marchio e alla reputazione dell’organizzazione nei confronti dei propri partner (subappaltatori, fornitori, clienti, istituzioni e autorità) o dell’opinione pubblica;
- rischio finanziario: è legato agli investimenti, alla redditività o alla liquidità aziendale;
- rischio strategico: è legato alla strategia aziendale generale e al posizionamento di mercato.
D. Distinguere le analisi del rischio macro e micro
L’analisi del rischio può essere condotta con due approcci diversi: una visione più strategica (o «macro») e una più operativa (o «micro»). Un’analisi del rischio pertinente prevede una combinazione dei due approcci a confronto reciproco.
L’analisi macro rappresenta la visione dei rischi dal punto di vista della direzione e dell’IT strategica, che deve essere messa in discussione dai responsabili dei processi e delle attività. Si concentra sulle principali categorie di rischi, senza necessariamente entrare nel dettaglio dei processi e delle attività. Si tratta di una visione su larga scala, meno dispendiosa in termini di tempo rispetto all’analisi micro, ma anche meno precisa. Ciò vale in particolare nel processo d’identificazione dei controlli e delle misure che puntano a ridurre i rischi specifici di un processo o di un’attività.
L’analisi micro rappresenta la visione dei rischi dal punto di vista dei responsabili dei processi e delle attività e dell’IT operativa, che deve essere messa in discussione dalla direzione. Si concentra sui processi e sulle attività, ma rende più complessa l’aggregazione dei rischi per fornire alla direzione una visione d’insieme. Per questa analisi occorre conoscere l’organizzazione nel dettaglio e svolgere numerosi colloqui con i responsabili dei processi e delle attività allo scopo di comprendere appieno le implicazioni, ma anche d’identificare le potenziali vulnerabilità.