Il terzo passo del processo di risk management: la revisione
Eccoci giunti alla terza fondamentale fase del processo di risk management. Abbiamo visto nei post precedenti che il consulente risk manager, per mettere in campo la sua strategia di gestione del rischio, parte dall‘analisi delle minacce alle quali l’impresa va incontro, per poi passare alla fase operativa ovvero al trattamento del rischio. Abbiamo quindi scoperto che in questo passaggio centrale lo scopo del risk manager è prima di tutto quello di eliminare i rischi. Questo però non sempre è possibile, alcune minacce restano infatti ineliminabili ed è quindi necessario lavorare per ridurne la probabilità o per ridimensionare le possibili conseguenze negative. Si parla quindi di prevenzione, di protezione, di trasferimento del rischio, di stipulare polizze assicurative utili e mirate, e via dicendo. Terminata la fase di trattamento del rischio, inizia la terza fase, ovvero quella di revisione. Di che cosa si tratta?
La fase di revisione nel processo di risk management
Si potrebbe pensare che, una volta “trattati” i rischi, il lavoro del consulente risk management possa dirsi terminato. E in effetti molte aziende interpretano così il lavoro di questo professionista. Le cose, però, non stanno assolutamente così. L’eliminazione o la mitigazione del rischio non è da farsi una sola volta. Di più: il processo di risk management non ha senso se viene inteso come un’attività da mettere in campo una tantum.
Il motivo è semplice: l’azienda non resta sempre ferma, né uguale. I fattori che mutano nel tempo sono tantissimi. Pensiamo per esempio agli agenti esterni, con nuovi regolamenti che subentrano e che modificano le normative precedenti, oppure a nuovi eventi imprevisti, come i pericoli climatici, le pandemie sanitarie, i sommovimenti politici, le crisi economiche e via dicendo. Ma pensiamo anche al lato della sicurezza, con i pericoli interni che aumentano o mutano con l’introduzione di nuovi macchinari, i server aziendali esposti a nuovi rischi con la diffusione di nuovi rischi informatici.
Lo stesso atto di crescita dell’azienda – verso nuovi clienti, verso nuovi mercato, contro nuovi competitors – espone a nuovi rischi. Si capisce, quindi, che non è possibile fermare del tutto l’attività di risk management dopo avere trattato una sola volta i rischi. Come si deve procedere quindi con la fase di revisione?
Il monitoraggio continuo
L’azienda è un organismo in continua crescita, che si muove in un mondo dinamico, in cui i presupposti cambiano continuamente. Da qui la necessità di prevedere una terza fase del processi di risk management, la revisione, la quel consiste nella programmazione periodica di audit mirati a verificare i mutamenti necessari nella gestione del rischio. In base al tipo di attività, alla sua grandezza e al contesto è quindi possibile fissare delle fasi di audit e di controllo a cadenza trimestrale, semestrale o perfino annuale, in modo da avere sempre la certezza che tutti i rischi – esterni o interni – siano individuati, conosciuti e controllati.
Senza questa essenziale fase di revisione, l’azienda potrebbe avere la pericolosa illusione di essere al sicuro, e di conoscere tutti le minacce, senza nemmeno immaginare che mesi o anni dopo la fase di trattamento ci si potrebbe trovare di fronte a nuove e impreviste minacce, che potrebbero compromettere l’intera azienda. Fermarsi alla fase iniziale è quindi un errore: non basta avere una visione chiara ma statica della propria azienda, non è sufficiente avere la consapevolezza di rischi che c’erano in un determinato momento, è necessario rivedere regolarmente la situazione.
Del resto, una volta affrontate in modo professionale e completo le prime due fasi del processo di management, la fase di revisione si presenta veloce ed efficace, con un investimento di tempo, di energie e di risorse ridotto, soprattutto se raffrontato ai benefici conseguenti. Conoscere sempre quali sono i nuovi rischi, mapparli correttamente e quindi mettere in atto le migliori strategie per eliminarli, ridurli, prevenirli o mitigarli: questo è il compito del risk manager, e deve essere continuo nel tempo.
Tutte le aziende, piccole e grandi, sono chiamate a effettuare una valutazione dei rischi, a mapparli e a proteggere sé stesse e i propri lavoratori: contattami, e troveremo le migliori soluzioni per la gestione del rischio della tua azienda!
