Gestione del rischio - Risk management

Per altri usi, vedere rischio (disambigua) . Per i rischi aziendali, vedere l'analisi dei rischi (business) . Per la rivista, vedere Risk Management (rivista) .
Esempio di valutazione del rischio: un modello della NASA che mostra le aree ad alto rischio di impatto per la Stazione Spaziale Internazionale

La gestione del rischio è l'identificazione, la valutazione e la prioritizzazione dei rischi (definita nella ISO 31000 come l'effetto dell'incertezza sugli obiettivi ) seguita da un'applicazione coordinata ed economica delle risorse per ridurre al minimo, monitorare e controllare la probabilità o l'impatto di eventi sfortunati o per massimizzare la realizzazione delle opportunità.

I rischi possono provenire da varie fonti, tra cui incertezza nei mercati internazionali , minacce da fallimenti del progetto (in qualsiasi fase di progettazione, sviluppo, produzione o mantenimento dei cicli di vita), responsabilità legali, rischio di credito, incidenti, cause naturali e disastri , attacco deliberato da un avversario, o da eventi dalla causa radice incerta o imprevedibile . Esistono due tipi di eventi, ovvero gli eventi negativi possono essere classificati come rischi mentre gli eventi positivi sono classificati come opportunità. Gli standard di gestione del rischio sono stati sviluppati da varie istituzioni, tra cui il Project Management Institute , il National Institute of Standards and Technology , società attuariali e gli standard ISO. Metodi, definizioni e obiettivi variano ampiamente a seconda che il metodo di gestione del rischio sia nel contesto della gestione del progetto, della sicurezza, dell'ingegneria , dei processi industriali , dei portafogli finanziari, delle valutazioni attuariali o della salute e sicurezza pubblica.

Le strategie per gestire le minacce (incertezze con conseguenze negative) in genere includono evitare la minaccia, ridurre l'effetto negativo o la probabilità della minaccia, trasferire tutta o parte della minaccia a un'altra parte e persino mantenere alcune o tutte le potenziali o effettive conseguenze di una minaccia particolare. L'opposto di queste strategie può essere utilizzato per rispondere alle opportunità (stati futuri incerti con benefici).

Alcuni standard di gestione del rischio sono stati criticati per non avere miglioramenti misurabili sul rischio, mentre la fiducia nelle stime e nelle decisioni sembra aumentare.

introduzione

Un vocabolario ampiamente utilizzato per la gestione del rischio è definito dalla Guida ISO 73:2009 , "Gestione del rischio. Vocabolario".

Nella gestione del rischio ideale, viene seguito un processo di prioritizzazione in base al quale vengono gestiti per primi i rischi con la maggiore perdita (o impatto) e la maggiore probabilità di accadimento. I rischi con minore probabilità di accadimento e minore perdita vengono gestiti in ordine decrescente. In pratica, il processo di valutazione del rischio complessivo può essere difficile e il bilanciamento delle risorse utilizzate per mitigare i rischi con un'elevata probabilità di accadimento ma con una perdita inferiore e un rischio con una perdita elevata ma con una probabilità inferiore di accadimento può spesso essere mal gestito.

La gestione del rischio immateriale identifica un nuovo tipo di rischio che ha una probabilità del 100% di verificarsi ma viene ignorato dall'organizzazione a causa della mancanza di capacità di identificazione. Ad esempio, quando una conoscenza carente viene applicata a una situazione, si materializza un rischio di conoscenza . Il rischio di relazione si manifesta quando si verifica una collaborazione inefficace. Il rischio di coinvolgimento nei processi può essere un problema quando vengono applicate procedure operative inefficaci. Questi rischi riducono direttamente la produttività dei knowledge worker, riducono il rapporto costo-efficacia, la redditività, il servizio, la qualità, la reputazione, il valore del marchio e la qualità degli utili. La gestione del rischio immateriale consente alla gestione del rischio di creare valore immediato dall'identificazione e dalla riduzione dei rischi che riducono la produttività.

Il costo opportunità rappresenta una sfida unica per i gestori del rischio. Può essere difficile determinare quando destinare le risorse alla gestione del rischio e quando utilizzarle altrove. Ancora una volta, la gestione del rischio ideale riduce al minimo la spesa (o la manodopera o altre risorse) e minimizza anche gli effetti negativi dei rischi.

Il rischio è definito come la possibilità che si verifichi un evento che pregiudichi il raggiungimento di un obiettivo. L'incertezza, quindi, è un aspetto chiave del rischio. Sistemi come il Committee of Sponsoring Organizations of the Treadway Commission Enterprise Risk Management (COSO ERM), possono aiutare i manager a mitigare i fattori di rischio. Ogni azienda può avere diversi componenti di controllo interno, il che porta a risultati diversi. Ad esempio, il framework per i componenti ERM include l'ambiente interno, la definizione degli obiettivi, l'identificazione degli eventi, la valutazione del rischio, la risposta al rischio, le attività di controllo, l'informazione e la comunicazione e il monitoraggio.

Metodo

Per la maggior parte, questi metodi consistono nei seguenti elementi, eseguiti, più o meno, nel seguente ordine.

  1. Identificare le minacce
  2. Valutare la vulnerabilità delle risorse critiche a minacce specifiche
  3. Determinare il rischio (ovvero la probabilità prevista e le conseguenze di specifici tipi di attacchi a specifici asset)
  4. Identificare modi per ridurre tali rischi
  5. Dare priorità alle misure di riduzione del rischio

I principi

L' Organizzazione internazionale per la standardizzazione (ISO) identifica i seguenti principi di gestione del rischio:

La gestione del rischio dovrebbe:

  • Creare valore : le risorse spese per mitigare il rischio dovrebbero essere inferiori alla conseguenza dell'inazione
  • Essere parte integrante dei processi organizzativi
  • Entra a far parte del processo decisionale
  • Affrontare in modo esplicito l'incertezza e le ipotesi
  • Sii un processo sistematico e strutturato
  • Basarsi sulle migliori informazioni disponibili
  • Sii personalizzabile
  • Prendi in considerazione i fattori umani
  • Sii trasparente e inclusivo
  • Sii dinamico, iterativo e reattivo al cambiamento
  • Essere in grado di migliorare e migliorare continuamente
  • Essere continuamente o periodicamente rivalutato

Rischio lieve contro rischio selvaggio

Benoit Mandelbrot ha distinto tra rischio "lieve" e "selvaggio" e ha sostenuto che la valutazione e la gestione del rischio devono essere fondamentalmente diverse per i due tipi di rischio. Il rischio lieve segue distribuzioni di probabilità normali o quasi normali , è soggetto a regressione alla media e alla legge dei grandi numeri ed è quindi relativamente prevedibile. Il rischio selvaggio segue distribuzioni a coda grassa , ad esempio, distribuzioni di Pareto o legge di potenza , è soggetto a regressione alla coda (media o varianza infinita, rendendo invalida o inefficace la legge dei grandi numeri), ed è quindi difficile o impossibile da prevedere. Secondo Mandelbrot, un errore comune nella valutazione e gestione del rischio è quello di sottovalutare la natura selvaggia del rischio, assumendo che il rischio sia lieve quando in realtà è selvaggio, cosa che deve essere evitata se la valutazione e la gestione del rischio devono essere valide e affidabili.

Processi

Secondo lo standard ISO 31000 "Gestione del rischio - Principi e linee guida per l'attuazione", il processo di gestione del rischio si compone di diverse fasi come segue:

Stabilire il contesto

Questo implica:

  1. osservando il contesto
    • l'ambito sociale della gestione del rischio
    • l'identità e gli obiettivi degli stakeholder
    • la base su cui verranno valutati i rischi, i vincoli.
  2. definire un quadro per l'attività e un'agenda per l'identificazione
  3. sviluppare un'analisi dei rischi coinvolti nel processo
  4. mitigazione o soluzione dei rischi utilizzando le risorse tecnologiche, umane e organizzative disponibili

Identificazione

Dopo aver stabilito il contesto, il passo successivo nel processo di gestione del rischio è identificare i potenziali rischi. I rischi riguardano eventi che, una volta attivati, causano problemi o benefici. Quindi, l'identificazione del rischio può iniziare con la fonte dei problemi e quelli dei concorrenti (benefici), o con le conseguenze del problema.

  • Analisi delle fonti – Le fonti di rischio possono essere interne o esterne al sistema che è l'obiettivo della gestione del rischio (utilizzare la mitigazione invece della gestione poiché per sua stessa definizione il rischio riguarda fattori decisionali che non possono essere gestiti).

Alcuni esempi di fonti di rischio sono: le parti interessate di un progetto, i dipendenti di un'azienda o il tempo atmosferico su un aeroporto.

  • Analisi del problema: i rischi sono correlati alle minacce identificate. Ad esempio: la minaccia di perdere denaro, la minaccia di abuso di informazioni riservate o la minaccia di errori umani, incidenti e vittime. Le minacce possono esistere con varie entità, soprattutto con azionisti, clienti e organi legislativi come il governo.

Quando l'origine o il problema è noto, è possibile esaminare gli eventi che un'origine può attivare o gli eventi che possono portare a un problema. Ad esempio: le parti interessate che si ritirano durante un progetto possono mettere a rischio il finanziamento del progetto; le informazioni riservate possono essere rubate dai dipendenti anche all'interno di una rete chiusa; un fulmine che colpisce un aereo durante il decollo può causare vittime immediate a tutte le persone a bordo.

Il metodo scelto per identificare i rischi può dipendere dalla cultura, dalle prassi del settore e dalla conformità. I metodi di identificazione sono formati da modelli o dallo sviluppo di modelli per identificare la fonte, il problema o l'evento. I metodi comuni di identificazione del rischio sono:

  • Identificazione del rischio basata sugli obiettivi: le organizzazioni e i team di progetto hanno obiettivi. Viene identificato come rischio ogni evento che può impedire il raggiungimento di un obiettivo.
  • Identificazione del rischio basata sullo scenario: nell'analisi dello scenario vengono creati diversi scenari. Gli scenari possono essere modi alternativi per raggiungere un obiettivo o un'analisi dell'interazione delle forze, ad esempio in un mercato o in una battaglia. Qualsiasi evento che innesca uno scenario alternativo indesiderato è identificato come rischio – vedere Futures Studies per la metodologia utilizzata dai futuristi .
  • Identificazione del rischio basata sulla tassonomia: la tassonomia nell'identificazione del rischio basata sulla tassonomia è una ripartizione delle possibili fonti di rischio. Sulla base della tassonomia e della conoscenza delle migliori pratiche, viene compilato un questionario. Le risposte alle domande rivelano rischi.
  • Controllo dei rischi comuni: in diversi settori sono disponibili elenchi con rischi noti. Ogni rischio nell'elenco può essere controllato per l'applicazione a una situazione particolare.
  • Grafici del rischio: questo metodo combina gli approcci di cui sopra elencando le risorse a rischio, le minacce a tali risorse, i fattori di modifica che possono aumentare o ridurre il rischio e le conseguenze che si desidera evitare. La creazione di una matrice sotto queste intestazioni consente una varietà di approcci. Si può iniziare dalle risorse e considerare le minacce a cui sono esposte e le conseguenze di ciascuna. In alternativa si può iniziare con le minacce ed esaminare quali risorse colpirebbero, oppure si può iniziare con le conseguenze e determinare quale combinazione di minacce e risorse sarebbe coinvolta per provocarle.

Valutazione

Articolo principale: valutazione del rischio

Una volta individuati i rischi, questi devono essere valutati in base alla loro potenziale gravità dell'impatto (generalmente un impatto negativo, come un danno o una perdita) e alla probabilità di accadimento. Tali grandezze possono essere sia semplici da misurare, nel caso del valore di un edificio perduto, sia impossibili da conoscere con certezza nel caso di un evento improbabile, la cui probabilità di accadimento è sconosciuta. Pertanto, nel processo di valutazione è fondamentale prendere le migliori decisioni istruite al fine di dare la giusta priorità all'attuazione del piano di gestione del rischio .

Anche un miglioramento positivo a breve termine può avere effetti negativi a lungo termine. Prendi l'esempio dell'"autostrada". Un'autostrada viene allargata per consentire più traffico. Una maggiore capacità di traffico porta a un maggiore sviluppo nelle aree circostanti la migliore capacità di traffico. Nel tempo, quindi, il traffico aumenta per riempire la capacità disponibile. Le autostrade devono quindi essere espanse in cicli apparentemente infiniti. Ci sono molti altri esempi di ingegneria in cui la capacità estesa (per svolgere qualsiasi funzione) viene presto riempita dall'aumento della domanda. Poiché l'espansione ha un costo, la crescita risultante potrebbe diventare insostenibile senza previsione e gestione.

La difficoltà fondamentale nella valutazione del rischio è determinare il tasso di accadimento poiché le informazioni statistiche non sono disponibili su tutti i tipi di incidenti passati e sono particolarmente scarse nel caso di eventi catastrofici, semplicemente a causa della loro scarsa frequenza. Inoltre, valutare la gravità delle conseguenze (impatto) è spesso abbastanza difficile per i beni immateriali. La valutazione degli asset è un'altra questione che deve essere affrontata. Pertanto, le opinioni più istruite e le statistiche disponibili sono le principali fonti di informazione. Tuttavia, la valutazione del rischio dovrebbe produrre tali informazioni per i dirigenti senior dell'organizzazione che i rischi primari siano facili da capire e che le decisioni di gestione del rischio possano essere prioritarie all'interno degli obiettivi aziendali generali. Pertanto, ci sono state diverse teorie e tentativi di quantificare i rischi. Esistono numerose formule di rischio diverse, ma forse la formula più ampiamente accettata per la quantificazione del rischio è: "Tasso (o probabilità) di accadimento moltiplicato per l'impatto dell'evento uguale all'entità del rischio".

Opzioni di rischio

Le misure di mitigazione del rischio sono generalmente formulate in base a una o più delle seguenti opzioni di rischio principali, che sono:

  1. Progettare fin dall'inizio un nuovo processo aziendale con un adeguato controllo del rischio integrato e misure di contenimento.
  2. Rivalutare periodicamente i rischi accettati nei processi in corso come una normale caratteristica delle operazioni aziendali e modificare le misure di mitigazione.
  3. Trasferire i rischi a un'agenzia esterna (ad es. una compagnia di assicurazioni)
  4. Evitare del tutto i rischi (ad es. chiudendo una particolare area aziendale ad alto rischio)

Ricerche successive hanno dimostrato che i benefici finanziari della gestione del rischio dipendono meno dalla formula utilizzata, ma dipendono maggiormente dalla frequenza e dal modo in cui viene eseguita la valutazione del rischio.

Negli affari è imperativo essere in grado di presentare i risultati delle valutazioni del rischio in termini finanziari, di mercato o di pianificazione. Robert Courtney Jr. (IBM, 1970) ha proposto una formula per presentare i rischi in termini finanziari. La formula di Courtney è stata accettata come metodo ufficiale di analisi del rischio per le agenzie governative statunitensi. La formula propone il calcolo dell'ALE (aspettativa di perdita annualizzata) e confronta il valore della perdita attesa con i costi di implementazione del controllo di sicurezza ( analisi costi-benefici ).

Potenziali trattamenti di rischio

Una volta identificati e valutati i rischi, tutte le tecniche per gestire il rischio rientrano in una o più di queste quattro categorie principali:

  • Evitare (eliminare, ritirarsi o non essere coinvolti)
  • Ridurre (ottimizzare – mitigare)
  • Condivisione (trasferimento – esternalizzazione o assicurazione)
  • Ritenzione (accettazione e budget)

L'uso ideale di queste strategie di controllo del rischio potrebbe non essere possibile. Alcuni di essi possono comportare compromessi che non sono accettabili per l'organizzazione o la persona che prende le decisioni di gestione del rischio. Un'altra fonte, dal Dipartimento della Difesa degli Stati Uniti (vedi link), Defense Acquisition University , chiama queste categorie ACAT, per evitare, controllare, accettare o trasferire. Questo uso dell'acronimo ACAT ricorda un altro ACAT (per Acquisition Category) utilizzato negli appalti dell'industria della difesa statunitense, in cui il Risk Management occupa un posto di rilievo nel processo decisionale e nella pianificazione.

Prevenzione del rischio

Ciò include la mancata esecuzione di un'attività che potrebbe presentare un rischio. Il rifiuto di acquistare una proprietà o un'attività commerciale per evitare responsabilità legali è un esempio. Evitare voli in aereo per paura di dirottamento . L'evitamento può sembrare la risposta a tutti i rischi, ma evitare i rischi significa anche perdere il potenziale guadagno che l'accettazione (conservazione) del rischio può aver consentito. Non entrare in un'impresa per evitare il rischio di perdita evita anche la possibilità di realizzare profitti. L'aumento della regolamentazione del rischio negli ospedali ha portato a evitare di trattare condizioni di rischio più elevato, a favore dei pazienti che presentano un rischio inferiore.

Riduzione del rischio

La riduzione del rischio o "ottimizzazione" implica la riduzione della gravità della perdita o della probabilità che si verifichi. Ad esempio, gli sprinkler sono progettati per spegnere un incendio e ridurre il rischio di perdite dovute ad incendio. Questo metodo può causare una perdita maggiore per danni causati dall'acqua e quindi potrebbe non essere adatto. I sistemi antincendio ad Halon possono mitigare tale rischio, ma il costo può essere proibitivo come strategia .

Riconoscendo che i rischi possono essere positivi o negativi, ottimizzare i rischi significa trovare un equilibrio tra il rischio negativo e il beneficio dell'operazione o dell'attività; e tra riduzione del rischio e sforzo applicato. Applicando efficacemente gli standard di gestione di salute, sicurezza e ambiente (HSE), le organizzazioni possono raggiungere livelli tollerabili di rischio residuo .

Le moderne metodologie di sviluppo software riducono i rischi sviluppando e distribuendo software in modo incrementale. Le prime metodologie soffrivano del fatto che fornivano software solo nella fase finale di sviluppo; eventuali problemi riscontrati nelle fasi precedenti hanno comportato costose rilavorazioni e spesso hanno messo a repentaglio l'intero progetto. Sviluppando in iterazioni, i progetti software possono limitare lo sforzo sprecato a una singola iterazione.

L'outsourcing potrebbe essere un esempio di strategia di condivisione del rischio se l'outsourcer può dimostrare una maggiore capacità di gestire o ridurre i rischi. Ad esempio, un'azienda può esternalizzare solo lo sviluppo del software, la produzione di beni durevoli o le esigenze di assistenza clienti a un'altra società, mentre gestisce la stessa gestione aziendale. In questo modo, l'azienda può concentrarsi maggiormente sullo sviluppo del business senza doversi preoccupare tanto del processo di produzione, della gestione del team di sviluppo o della ricerca di una sede fisica per un centro.

Condivisione del rischio

In breve definito come "condividere con un'altra parte l'onere della perdita o il beneficio del guadagno, da un rischio, e le misure per ridurre un rischio".

Il termine "trasferimento del rischio" viene spesso utilizzato al posto della condivisione del rischio nell'erronea convinzione che si possa trasferire un rischio a una terza parte attraverso l'assicurazione o l'outsourcing. In pratica, se la compagnia di assicurazione o l'appaltatore falliscono o finiscono in tribunale, è probabile che il rischio originario ricada ancora sulla prima parte. Pertanto, nella terminologia di professionisti e studiosi, l'acquisto di un contratto assicurativo è spesso descritto come un "trasferimento di rischio". Tuttavia, tecnicamente parlando, l'acquirente del contratto mantiene generalmente la responsabilità legale per le perdite "trasferite", il che significa che l'assicurazione può essere descritta più accuratamente come un meccanismo di compensazione post-evento. Ad esempio, una polizza assicurativa per lesioni personali non trasferisce il rischio di incidente stradale alla compagnia assicurativa. Il rischio è ancora dell'assicurato, cioè della persona che ha subito l'incidente. La polizza assicurativa prevede semplicemente che se si verifica un incidente (l'evento) che coinvolge l'assicurato, all'assicurato potrebbe essere corrisposto un risarcimento commisurato alla sofferenza/danno.

I metodi di gestione del rischio rientrano in più categorie. I pool di mantenimento del rischio tecnicamente mantengono il rischio per il gruppo, ma la sua distribuzione su tutto il gruppo implica il trasferimento tra i singoli membri del gruppo. Questo è diverso dall'assicurazione tradizionale, in quanto nessun premio viene scambiato tra i membri del gruppo in anticipo, ma le perdite vengono invece valutate a tutti i membri del gruppo.

Mantenimento del rischio

La conservazione del rischio implica l'accettazione della perdita, o del beneficio di guadagno, da un rischio quando si verifica l'incidente. La vera autoassicurazione rientra in questa categoria. La ritenzione del rischio è una strategia praticabile per i piccoli rischi in cui il costo dell'assicurazione contro il rischio sarebbe maggiore nel tempo rispetto alle perdite totali sostenute. Tutti i rischi che non vengono evitati o trasferiti vengono mantenuti per impostazione predefinita. Ciò include rischi così grandi o catastrofici che non possono essere assicurati o i premi sarebbero irrealizzabili. La guerra è un esempio poiché la maggior parte delle proprietà e dei rischi non sono assicurati contro la guerra, quindi la perdita attribuita alla guerra viene trattenuta dall'assicurato. Anche qualsiasi importo di potenziale perdita (rischio) superiore all'importo assicurato è ritenuto rischio. Questo può anche essere accettabile se la possibilità di una perdita molto grande è piccola o se il costo per assicurare maggiori importi di copertura è così grande da ostacolare troppo gli obiettivi dell'organizzazione.

Piano di gestione del rischio

Articolo principale: Piano di gestione del rischio

Selezionare controlli o contromisure appropriati per mitigare ciascun rischio. La mitigazione del rischio deve essere approvata dal livello di gestione appropriato. Ad esempio, un rischio relativo all'immagine dell'organizzazione dovrebbe avere alle spalle una decisione del top management, mentre il management IT avrebbe l'autorità di decidere sui rischi dei virus informatici.

Il piano di gestione dei rischi dovrebbe proporre controlli di sicurezza applicabili ed efficaci per la gestione dei rischi. Ad esempio, un elevato rischio osservato di virus informatici potrebbe essere mitigato acquisendo e implementando software antivirus. Un buon piano di gestione del rischio dovrebbe contenere un programma per l'attuazione del controllo e le persone responsabili di tali azioni.

Secondo la norma ISO/IEC 27001 , la fase immediatamente successiva al completamento della fase di valutazione del rischio consiste nella preparazione di un piano di trattamento dei rischi, che dovrebbe documentare le decisioni su come gestire ciascuno dei rischi identificati. Mitigazione dei rischi spesso significa selezione dei controlli di sicurezza , che dovrebbero essere documentati in una dichiarazione di applicabilità, che identifichi quali particolari obiettivi di controllo e controlli dallo standard sono stati selezionati e perché.

Implementazione

L'implementazione segue tutte le modalità pianificate per mitigare l'effetto dei rischi. Acquista polizze assicurative per i rischi che si è deciso di trasferire a un assicuratore, evita tutti i rischi che possono essere evitati senza sacrificare gli obiettivi dell'entità, riduci gli altri e conserva il resto.

Revisione e valutazione del piano

I piani iniziali di gestione del rischio non saranno mai perfetti. La pratica, l'esperienza e i risultati effettivi delle perdite richiederanno modifiche al piano e forniranno informazioni per consentire di prendere possibili decisioni diverse nell'affrontare i rischi da affrontare.

I risultati dell'analisi dei rischi e i piani di gestione dovrebbero essere aggiornati periodicamente. Ci sono due ragioni principali per questo:

  1. valutare se i controlli di sicurezza precedentemente selezionati sono ancora applicabili ed efficaci
  2. valutare le possibili variazioni del livello di rischio nell'ambiente aziendale. Ad esempio, i rischi informatici sono un buon esempio di un ambiente aziendale in rapida evoluzione.

Limitazioni

Dare una priorità troppo alta ai processi di gestione del rischio potrebbe impedire a un'organizzazione di completare un progetto o addirittura di iniziare. Ciò è particolarmente vero se altri lavori vengono sospesi fino a quando il processo di gestione del rischio non è considerato completo.

È anche importante tenere presente la distinzione tra rischio e incertezza . Il rischio può essere misurato da impatti × probabilità.

Se i rischi sono valutati e classificati in modo improprio, il tempo può essere sprecato nell'affrontare il rischio di perdite che probabilmente non si verificheranno. È necessario evitare di dedicare troppo tempo alla valutazione e alla gestione di rischi improbabili. Gli eventi improbabili si verificano, ma se il rischio è abbastanza improbabile che si verifichi, potrebbe essere meglio semplicemente trattenere il rischio e affrontare il risultato se la perdita si verifica effettivamente. La valutazione qualitativa del rischio è soggettiva e manca di coerenza. La giustificazione principale per un processo formale di valutazione del rischio è legale e burocratica.

le zone

Applicato alla contabilità finanziaria , la gestione del rischio è la tecnica per misurare, monitorare e controllare il rischio finanziario o operativo sul bilancio di un'impresa , una misura tradizionale è il valore a rischio (VaR), ma esistono anche altre misure come il profitto a rischio ( PaR) o margine a rischio . Lo schema di Basilea II suddivide i rischi in rischio di mercato ( rischio di prezzo), rischio di credito e rischio operativo e specifica inoltre le modalità di calcolo dei requisiti patrimoniali per ciascuna di queste componenti.

Nell'Information Technology, la gestione del rischio include "Incident Handling", un piano d'azione per affrontare intrusioni, furti informatici, negazione del servizio, incendi, inondazioni e altri eventi relativi alla sicurezza. Secondo il SANS Institute , si tratta di un processo in sei fasi: preparazione, identificazione, contenimento, sradicamento, recupero e lezioni apprese.

Gestione del rischio contrattuale

Il concetto di "gestione del rischio contrattuale" enfatizza l'uso di tecniche di gestione del rischio nell'attuazione del contratto, cioè la gestione dei rischi che sono accettati attraverso la stipula di un contratto. L'accademico norvegese Petri Keskitalo definisce la "gestione del rischio contrattuale" come "un metodo di contrattazione pratico, proattivo e sistematico che utilizza la pianificazione e la governance dei contratti per gestire i rischi connessi alle attività aziendali". In un articolo di Samuel Greengard pubblicato nel 2010, vengono citati due casi legali statunitensi che sottolineano l'importanza di avere una strategia per affrontare il rischio:

  • UDC v. CH2M Hill , che si occupa del rischio per un consulente professionale che sottoscrive un provvedimento di indennizzo comprendente l'assunzione di un obbligo di difesa , il quale può in tal modo farsi carico delle spese legali di difesa di un cliente soggetto a pretesa di un terzo,
  • Witt v. La Gorce Country Club, che si occupa dell'efficacia di una clausola di limitazione di responsabilità , che può, in alcune giurisdizioni, essere ritenuta inefficace.

Greengard raccomanda di utilizzare il più possibile un linguaggio contrattuale standard del settore per ridurre il più possibile il rischio e fare affidamento su clausole che sono state in uso e soggette a interpretazione giudiziaria consolidata per un certo numero di anni.

Istituzioni della memoria (musei, biblioteche e archivi)

Articolo principale: Gestione del rischio (beni culturali)

Impresa

Articolo principale: gestione del rischio aziendale

Nella gestione del rischio d'impresa, un rischio è definito come un possibile evento o circostanza che può avere influenze negative sull'impresa in questione. Il suo impatto può essere sull'esistenza stessa, sulle risorse (umane e capitale), sui prodotti e servizi o sui clienti dell'impresa, nonché sugli impatti esterni sulla società, sui mercati o sull'ambiente. In un istituto finanziario, la gestione del rischio d'impresa è normalmente considerata come la combinazione di rischio di credito, rischio di tasso di interesse o gestione di passività di attività , rischio di liquidità, rischio di mercato e rischio operativo.

Nel caso più generale, ogni rischio probabile può avere un piano preformulato per far fronte alle sue possibili conseguenze (per garantire la contingenza se il rischio diventa una passività ).

Dalle informazioni di cui sopra e dal costo medio per dipendente nel tempo, o rapporto di maturazione dei costi , un project manager può stimare:

  • il costo associato al rischio, se si verifica, stimato moltiplicando i costi per unità di tempo dei dipendenti per il tempo perso stimato ( impatto sui costi , C dove C = rapporto di maturazione dei costi * S ).
  • il probabile aumento del tempo associato a un rischio ( varianza del programma dovuta al rischio , Rs dove Rs = P * S):
    • L'ordinamento in base a questo valore mette al primo posto i rischi più elevati per la pianificazione. Questo ha lo scopo di causare i maggiori rischi per il progetto da tentare prima in modo che il rischio sia ridotto al minimo il più rapidamente possibile.
    • Questo è leggermente fuorviante in quanto le variazioni di programma con una P grande e una S piccola e viceversa non sono equivalenti. (Il rischio che l' RMS Titanic affondi contro i pasti dei passeggeri che vengono serviti all'ora leggermente sbagliata).
  • il probabile aumento del costo associato ad un rischio ( varianza di costo dovuta al rischio , Rc dove Rc = P*C = P*CAR*S = P*S*CAR)
    • l'ordinamento su questo valore mette al primo posto i rischi più elevati per il budget.
    • vedere le preoccupazioni sulla varianza della pianificazione in quanto questa è una funzione di essa, come illustrato nell'equazione sopra.

Il rischio in un progetto o processo può essere dovuto a una variazione per causa speciale o a una variazione per causa comune e richiede un trattamento appropriato. Cioè per ribadire la preoccupazione che i casi estremi non siano equivalenti nell'elenco immediatamente sopra.

Sicurezza aziendale

ESRM è un approccio alla gestione del programma di sicurezza che collega le attività di sicurezza alla missione e agli obiettivi aziendali di un'impresa attraverso metodi di gestione del rischio. Il ruolo del leader della sicurezza in ESRM è quello di gestire i rischi di danni alle risorse aziendali in collaborazione con i leader aziendali le cui risorse sono esposte a tali rischi. L'ESRM comporta l'educazione dei leader aziendali sugli impatti realistici dei rischi identificati, la presentazione di potenziali strategie per mitigare tali impatti, quindi l'attuazione dell'opzione scelta dall'azienda in linea con i livelli accettati di tolleranza al rischio aziendale

Dispositivo medico

Per i dispositivi medici , la gestione del rischio è un processo per identificare, valutare e mitigare i rischi associati a danni alle persone e danni alle cose o all'ambiente. La gestione del rischio è parte integrante della progettazione e dello sviluppo dei dispositivi medici, dei processi di produzione e della valutazione dell'esperienza sul campo ed è applicabile a tutti i tipi di dispositivi medici. La prova della sua applicazione è richiesta dalla maggior parte degli organismi di regolamentazione come la FDA statunitense . La gestione dei rischi per i dispositivi medici è descritta dall'Organizzazione internazionale per la standardizzazione (ISO) nella norma ISO 14971:2019 , Dispositivi medici—L'applicazione della gestione del rischio ai dispositivi medici, uno standard di sicurezza del prodotto. Lo standard fornisce un quadro di processo e requisiti associati per responsabilità di gestione, analisi e valutazione del rischio, controlli del rischio e gestione del rischio del ciclo di vita. La guida all'applicazione dello standard è disponibile tramite ISO/TR 24971:2020.

La versione europea dello standard di gestione del rischio è stata aggiornata nel 2009 e nuovamente nel 2012 per fare riferimento alla direttiva sui dispositivi medici (MDD) e alla direttiva sui dispositivi medici impiantabili attivi (AIMDD) nel 2007, nonché alla direttiva sui dispositivi medici in vitro (IVDD). ). I requisiti della EN 14971:2012 sono quasi identici alla ISO 14971:2007. Le differenze includono tre allegati Z "(informativi)" che si riferiscono al nuovo MDD, AIMDD e IVDD. Questi allegati indicano le deviazioni di contenuto che includono l'obbligo di ridurre il più possibile i rischi e l'obbligo di mitigare i rischi mediante la progettazione e non mediante l'etichettatura sul dispositivo medico (ovvero, l'etichettatura non può più essere utilizzata per mitigare il rischio).

Le tipiche tecniche di analisi e valutazione del rischio adottate dall'industria dei dispositivi medici includono l' analisi dei pericoli , l'analisi dell'albero dei guasti (FTA), l' analisi della modalità e degli effetti di guasto (FMEA), lo studio dei pericoli e dell'operabilità ( HAZOP ) e l'analisi della tracciabilità del rischio per garantire l'implementazione dei controlli del rischio ed efficace (ossia tracciare i rischi identificati rispetto ai requisiti del prodotto, alle specifiche di progettazione, ai risultati di verifica e convalida, ecc.). L'analisi FTA richiede un software per la creazione di diagrammi. L'analisi FMEA può essere eseguita utilizzando un programma di fogli di calcolo . Esistono anche soluzioni integrate per la gestione del rischio dei dispositivi medici.

Attraverso una bozza di guida , la FDA ha introdotto un altro metodo denominato "Safety Assurance Case" per l'analisi della garanzia della sicurezza dei dispositivi medici. Il caso di garanzia della sicurezza è un ragionamento argomentativo strutturato sui sistemi appropriati per scienziati e ingegneri, supportato da un corpo di prove, che fornisce un caso convincente, comprensibile e valido che un sistema è sicuro per una data applicazione in un dato ambiente. Con la guida, è previsto un caso di garanzia della sicurezza per i dispositivi critici per la sicurezza (ad es. dispositivi di infusione) come parte della presentazione dell'autorizzazione pre-commercializzazione, ad es. 510(k). Nel 2013, la FDA ha introdotto un'altra bozza di guida che prevedeva che i produttori di dispositivi medici presentassero informazioni sull'analisi dei rischi per la sicurezza informatica.

Gestione del progetto

Articolo principale: gestione del rischio di progetto

La gestione del rischio di progetto deve essere considerata nelle diverse fasi di acquisizione. All'inizio di un progetto, l'avanzamento degli sviluppi tecnici, o le minacce presentate dai progetti di un concorrente, possono causare una valutazione del rischio o della minaccia e la successiva valutazione delle alternative (vedi Analisi delle alternative ). Una volta presa una decisione e avviato il progetto, è possibile utilizzare applicazioni di gestione del progetto più familiari:

  • Pianificazione della gestione del rischio nel progetto specifico. I piani dovrebbero includere compiti, responsabilità, attività e budget di gestione del rischio.
  • Assegnazione di un responsabile del rischio: un membro del team diverso da un project manager che è responsabile della previsione di potenziali problemi del progetto. Caratteristica tipica del responsabile del rischio è un sano scetticismo.
  • Mantenimento del database dei rischi del progetto in tempo reale. Ogni rischio dovrebbe avere i seguenti attributi: data di apertura, titolo, breve descrizione, probabilità e importanza. Facoltativamente, un rischio può avere una persona designata responsabile della sua risoluzione e una data entro la quale il rischio deve essere risolto.
  • Creazione di un canale di segnalazione dei rischi anonimo. Ogni membro del team dovrebbe avere la possibilità di segnalare i rischi che prevede nel progetto.
  • Preparare piani di mitigazione per i rischi scelti per essere mitigati. Lo scopo del piano di mitigazione è descrivere come verrà gestito questo particolare rischio: cosa, quando, da chi e come verrà fatto per evitarlo o ridurre al minimo le conseguenze se diventa una responsabilità.
  • Riepilogo dei rischi pianificati e affrontati, efficacia delle attività di mitigazione e impegno speso per la gestione del rischio.

Megaprogetti (infrastruttura)

I megaprogetti (a volte chiamati anche "grandi programmi") sono progetti di investimento su larga scala, che in genere costano più di 1 miliardo di dollari per progetto. I megaprogetti includono grandi ponti, tunnel, autostrade, ferrovie, aeroporti, porti marittimi, centrali elettriche, dighe, progetti di acque reflue, schemi di protezione dalle inondazioni costiere, progetti di estrazione di petrolio e gas naturale, edifici pubblici, sistemi informatici, progetti aerospaziali e sistemi di difesa. I megaprogetti hanno dimostrato di essere particolarmente rischiosi in termini di finanza, sicurezza e impatti sociali e ambientali. La gestione del rischio è quindi particolarmente pertinente per i megaprogetti e metodi speciali e formazione speciale sono stati sviluppati per tale gestione del rischio.

Disastri naturali

È importante valutare il rischio in relazione a disastri naturali come inondazioni , terremoti e così via. I risultati della valutazione del rischio di disastri naturali sono preziosi quando si considerano i costi di riparazione futuri, le perdite per interruzione dell'attività e altri tempi di fermo, gli effetti sull'ambiente, i costi assicurativi e i costi proposti per ridurre il rischio. Il Sendai Framework for Disaster Risk Reduction è un accordo internazionale del 2015 che ha fissato obiettivi e target per la riduzione del rischio di catastrofi in risposta ai disastri naturali. Ci sono regolari Conferenze Internazionale disastro e il rischio di Davos per affrontare la gestione del rischio integrale.

Diversi strumenti possono essere utilizzati per valutare il rischio e la gestione del rischio di disastri naturali e altri eventi climatici, compresa la modellazione geospaziale, una componente chiave della scienza del cambiamento del territorio . Questa modellazione richiede la comprensione delle distribuzioni geografiche delle persone e la capacità di calcolare la probabilità che si verifichi un disastro naturale.

Natura selvaggia

La gestione dei rischi per le persone e le proprietà nelle aree selvagge e nelle aree naturali remote si è sviluppata con l'aumento della partecipazione alle attività ricreative all'aperto e una diminuzione della tolleranza sociale per la perdita. Le organizzazioni che forniscono esperienze commerciali nella natura selvaggia possono ora allinearsi agli standard di consenso nazionali e internazionali per la formazione e le attrezzature come ANSI / NASBLA 101-2017 (nautica), UIAA 152 (strumenti per l'arrampicata su ghiaccio) e la norma europea 13089: 2015 + A1: 2015 (alpinismo attrezzatura). L' Associazione per l'educazione esperienziale offre l'accreditamento per i programmi di avventura nella natura selvaggia. La Wilderness Risk Management Conference fornisce l'accesso alle migliori pratiche e le organizzazioni specializzate forniscono consulenza e formazione sulla gestione del rischio della natura selvaggia.

Nel suo libro, Outdoor Leadership and Education , l'alpinista, educatore all'aperto e autore Ari Schneider , osserva che le attività ricreative all'aperto sono intrinsecamente rischiose e non c'è modo di eliminare completamente il rischio. Tuttavia, spiega come ciò possa essere una buona cosa per i programmi di educazione all'aperto. Secondo Schneider, l'avventura ottimale si ottiene quando si gestisce il rischio reale e si mantiene il rischio percepito al fine di mantenere basso il pericolo reale e alto il senso di avventura.

Il testo Outdoor Safety - Risk Management for Outdoor Leaders, pubblicato dal New Zealand Mountain Safety Council, fornisce una visione della gestione del rischio nella natura selvaggia dal punto di vista neozelandese, riconoscendo il valore della legislazione nazionale sulla sicurezza outdoor e dedicando notevole attenzione ai ruoli di giudizio e processi decisionali nella gestione del rischio di aree selvagge.

Un modello popolare per la valutazione del rischio è il modello di valutazione del rischio e gestione della sicurezza (RASM) sviluppato da Rick Curtis, autore di The Backpacker's Field Manual. La formula per il modello RASM è: Rischio = Probabilità di incidente × Gravità delle conseguenze. Il modello RASM soppesa il rischio negativo, il potenziale di perdita, rispetto al rischio positivo, il potenziale di crescita.

Tecnologie dell'informazione

Articolo principale: gestione del rischio IT

Il rischio informatico è un rischio legato alla tecnologia dell'informazione. Questo è un termine relativamente nuovo a causa della crescente consapevolezza che la sicurezza delle informazioni è semplicemente un aspetto di una moltitudine di rischi che sono rilevanti per l'IT e i processi del mondo reale che supporta. "La sicurezza informatica è strettamente legata al progresso della tecnologia. Ritarda solo il tempo necessario per l'evoluzione di incentivi come i mercati neri e per la scoperta di nuovi exploit. Non c'è fine in vista per il progresso della tecnologia, quindi possiamo aspettarci lo stesso dalla sicurezza informatica ."

ISACA 's Risk IT legami quadro del rischio IT per la gestione del rischio di impresa .

Duty of Care Risk Analysis (DoCRA) valuta i rischi e le loro garanzie e considera gli interessi di tutte le parti potenzialmente interessate da tali rischi.

Petrolio e gas naturale

Per l'industria petrolifera e del gas offshore, la gestione del rischio operativo è regolata dal regime dei casi di sicurezza in molti paesi. Gli strumenti e le tecniche per l'identificazione dei pericoli e la valutazione dei rischi sono descritti nello standard internazionale ISO 17776:2000 e organizzazioni come l'IADC ( International Association of Drilling Contractors ) pubblicano linee guida per lo sviluppo di casi di salute, sicurezza e ambiente (HSE) che si basano sul Norma ISO. Inoltre, le autorità di regolamentazione governative si aspettano spesso rappresentazioni schematiche di eventi pericolosi come parte della gestione del rischio nella presentazione di casi di sicurezza; questi sono noti come diagrammi a farfalla (vedi Teoria delle reti nella valutazione del rischio ). La tecnica è utilizzata anche da organizzazioni e regolatori nei settori minerario, aeronautico, sanitario, della difesa, industriale e finanziario.

Settore farmaceutico

I principi e gli strumenti per la gestione del rischio di qualità vengono sempre più applicati a diversi aspetti dei sistemi di qualità farmaceutica. Questi aspetti includono lo sviluppo, la produzione, la distribuzione, l'ispezione e i processi di presentazione/revisione durante tutto il ciclo di vita di sostanze farmaceutiche, prodotti farmaceutici, prodotti biologici e biotecnologici (compreso l'uso di materie prime, solventi, eccipienti, materiali di imballaggio ed etichettatura nei prodotti farmaceutici, prodotti biologici e biotecnologici). La gestione del rischio viene applicata anche alla valutazione della contaminazione microbiologica in relazione ai prodotti farmaceutici e agli ambienti di produzione delle camere bianche.

Comunicazione del rischio

La comunicazione del rischio è un complesso campo accademico interdisciplinare correlato ai valori fondamentali del pubblico target. I problemi per i comunicatori del rischio riguardano come raggiungere il pubblico previsto, come rendere il rischio comprensibile e collegabile ad altri rischi, come rispettare adeguatamente i valori del pubblico relativi al rischio, come prevedere la risposta del pubblico alla comunicazione, ecc. Uno degli obiettivi principali della comunicazione del rischio è migliorare il processo decisionale collettivo e individuale. La comunicazione del rischio è in qualche modo correlata alla comunicazione della crisi , ma ci sono chiare distinzioni. La comunicazione del rischio si occupa dei possibili rischi e mira ad aumentare la consapevolezza di tali rischi per incoraggiare o persuadere cambiamenti nel comportamento per alleviare le minacce a lungo termine. D'altra parte, la comunicazione di crisi ha lo scopo di aumentare la consapevolezza di un tipo specifico di minaccia, l'entità, i risultati e i comportamenti specifici da adottare per ridurre la minaccia. Alcuni esperti concordano sul fatto che il rischio non è solo radicato nel processo di comunicazione, ma anche non può essere dissociato dall'uso del linguaggio. Sebbene ogni cultura sviluppi le proprie paure e rischi, queste interpretazioni si applicano solo alla cultura ospitante.

La comunicazione del rischio e l'impegno della comunità (RCCE) è un metodo che attinge molto a volontari, personale in prima linea e persone senza una formazione precedente in questo settore.

Guarda anche

Riferimenti

link esterno