Le corrette procedure per individuare, valutare e gestire i rischi. Con la raccomandazione di avere un approccio proattivo al problema: bisogna gestire gli eventi negativi, non esserne in balia.
L’accresciuta importanza del risk management si è tradotta, in molte aziende, in un uso e un’applicazione inadeguati del termine “rischio” che è stato attribuito a tradizionali funzioni dell’It, quali la sicurezza o la business continuity, senza che questo fosse accompagnato da cambiamenti nei processi e nelle metodologie aziendali.
Le conseguenze sono state una modesta implementazione del risk management come disciplina e una limitazione dell’efficacia delle politiche di gestione del rischio.
Le aziende interessate a comprendere e a gestire meglio gli eventi negativi a cui sono esposte devono innanzitutto procedere con una dettagliata definizione dei rischi e con una specifica gerarchia degli stessi.
A questo proposito, Gartner ha delineato un modello di riferimento basato su una precisa gerarchia di eventi negativi che vede al primo posto la messa in discussione della reputazione dell’azienda come conseguenza di fatti che ne minano la credibilità, l’affidabilità e l’attendibilità. Tipicamente, quegli avvenimenti che fanno decadere la fiducia dei clienti e degli azionisti nei confronti dell’azienda.
Va detto che la stessa società di analisi ritiene che non sia possibile un’unica definizione di “rischio” che possa essere applicata in modo indifferenziato a tutte le aziende, per cui ogni organizzazione deve personalizzare il modello, e che perfino all’interno della singola impresa possano permanere delle differenze tra aree funzionali, differenze che vanno riconosciute ma ricondotte all’interno di un unico quadro di riferimento.
In assenza di una metodologia di approccio complessiva a livello aziendale, gli It manager che hanno responsabilità di risk management spesso soffrono di limitazioni operative.
Gartner ha identificato sette procedure chiave per consentire agli It manager di superare le limitazioni, comprendere e gestire i rischi che devono affrontare, oltre che metterli in condizione di contribuire rapidamente alla definizione dei riferimenti a livello aziendale:
- implementare un quadro di riferimento per la valutazione dei rischi e la relativa mappatura;
- definire le responsabilità dei risk manager con le specifiche aree di competenza;
- identificare e definire i rischi a cui è esposta l’azienda e definire cosa costituisce un risk event o un incidente sfiorato in modo che possano essere collegati a specifici rischi;
- determinare il livello di minaccia e focalizzarsi su quei rischi che hanno l’impatto maggiore sulle attività aziendali;
- stabilire livelli di controllo dei processi commisurati alle minacce percepite;
- memorizzare e conservare informazioni sia sugli incidenti effettivi che su quelli sfiorati;
- condurre periodiche valutazioni della situazione per determinare i cambiamenti nel profilo di rischio delle operazioni e valutare la capacità di gestione delle prestazioni.
La raccomandazione finale è di avere un approccio proattivo alla valutazione e gestione dei rischi. Le imprese devono gestire gli eventi negativi e non esserne in balia.
