RISK MANAGEMENT

Per Risk Management si intende generalmente il complesso di metodologie messe in piedi in una struttura aziendale per la gestione probabilistica mirata di un certo settore merceologico, comprendenti:
• L’analisi del rischio (Risk Analisys (RA))
• Il mantenimento del livello di rischio individuato dalla RA
• Il monitoraggio dei livelli di perfomance misurati
• La previsione sui trend futuri sulla base del trascorso
• L’organizzazione dell’adattamento allo scenario più consono rispetto al livello di accettazione del rischio, dello scenario stabilito dal Management (spesso dissimile)
L’esigenza di disporre di strumenti automatici che siano di ausilio nel seguire determinate linee commerciali e di progetto, l’analisi dello stato delle attività già in corso, l’adattamento delle eventuali novità sopravvenute nel modificarle ed adeguarle, rappresentano le esigenze primarie di una organizzazione che affronti la gestione del rischio come elemento di competitività nel market place.

Tale ausilio è tanto più sentito quanto:
• Incrementa il proprio business di riferimento
• Misura il livello di rischio di un’iniziativa, di un progetto o di un’impresa commerciale, secondo una metrica definibile a livello aziendale e secondo un modello adattativo rappresentante il contesto aziendale di riferimento
• Comunica al Management dei modelli predittivi teorici e delle realtà che possono essere di consiglio alla Direzione
• Permette di adeguare le azioni, veicolando le iniziative già intraprese in maniera tale da mitigare il livello di esposizione misurato con le aspettative di business e con il budget disponibile
Il modello da noi applicato nella sua interezza, consente non solo di ottenere una rappresentazione grafica delle elaborazioni ma di gestire l’intero ciclo di vita del processo (Risk Management Cycle Life): planning delle attività, organizzazione, direzione e controllo delle risorse, calcolo del rischio (nella metrica prestabilita), gestione delle misure di mitigazione del rischio, pubblicazione delle Procedure, delle Guidelines, delle Istruzioni di lavoro, degli Standards, dei Report e quant’altro può essere dedotto dai dati di output e può contribuire a migliorarne l’evoluzione nel tempo.

È con questo spirito che gli interventi proposti da LibConsulting partono da un set base di funzioni, ma vengono proposti nell’ottica di ampliamento verso un sistema che racchiuda in sè un intero ciclo di vita, calandosi fin entro la quotidianità del processo, con l’obiettivo di farne un repository di informazioni qualitative da affinare sempre di più con i propri strumenti predittivi, adattandosi alle politiche aziendali interne e del mercato.

Un modello che sostanzialmente abbia l’intento di svolgere le seguenti azioni:
• Pianificazione delle azioni
• Organizzazione delle attività di routine
• Direzione delle misure di abbattimento del rischio
• Diversificazione del modello di riferimento di base dell’analisi del Rischio
• Controllo delle attività richieste alle strutture ed eventi di messaggistica
• Previsione di un trend sulla base di un prescelto modello statistico
• Monitoraggio delle iniziative in corso e valutazione in real-time di eventuali esposizioni a rischi non calcolati o sopraggiunti, o inerenti
• Inserimento e gestione degli utenti e dei ruoli.

Come anticipato, un modello che implementi l’intero Risk Management Life Cycle deve necessariamente rappresentare un comportamento, idealizzato, di un insieme di eventi, sollecitato da input e influenzato dallo stato interno. L’output sarà l’insieme delle soluzioni “predette”, sulla base delle regole stabilite nella metodologia.

Nella metodologia sarà basilare stabilire pienamente:
• La categoria di rischio in funzione del proprio ambito di business
• Gli agenti di minaccia
• L’aggressività (stabilita mediante una metrica opportuna) di ogni agente di minaccia
• L’azione ostile che può essere perpetrata da un agente di minaccia
• L’obiettivo dell’azione perpetrata dall’agente di minaccia
• Il danno diretto subito
• Il danno indotto.

Definiti questi parametri, associati ai vari Key Perfomance Indicator (KPI) e Key Succes Indicator (KSI) in modo da stabilire una metrica idonea, si tratterà di stabilire una correlazione tra agente ostile, azione, obiettivo, danno diretto, danno indotto in maniera tale da consentire di applicare l’algoritmo al proprio asset aziendale soggetto ad Analisi del Rischio.
Infine, a monte della Risk Analisys, va stabilito se fa parte della mission aziendale prevedere delle azioni di controreazione per contrastare l’esposizione al rischio mediante delle azioni mitigatrici che ne riducano la quota calcolata (inherent risk) ad un valore più basso, ritenuto accettabile (residual risk).
Come va tenuto conto dell’Acceptance, ossia della facoltà di riservarsi l’accettazione un determinato rischio ipso-facto, cosa che solitamente interviene nell’algoritmo di calcolo.

Il modello a cui si è fatto riferimento è, per completezza di informazione, nella figura qui di seguito riportata:

Esaurita la fase di Planning – in cui si è stabilito l’intento del processo di RM, identificato lo scopo e l’ambito di business, scadenzata la fase di raccolta delle informazioni, di descrizione del contesto del sistema e stabilito infine il “target risk”, ovvero il rischio minimo accettabile – si affronta la fase di Preparazione (raccolta informazioni dal proprio asset, scelta dei livelli di sensibilità).
A questo punto nella fase di Analisi, si individuano le minacce, le percentuali di penetrazione di un certo agente di minaccia, si catalogano le possibili conseguenze a seguito della penetrazione. Nel contempo, nella stessa fase, si identificano le vulnerabilità, e si esegue il risk assessment.
Il processo termina con l’applicazione di una correlazione matematica tra le variabili.
E’ a questo punto che per ogni rischio individuato va fatta la scelta sulla Misura raccomandata da adottare: trasferimento, riduzione, accettazione, abbattimento.
La decisone su tale materia a questo punto comporta la canalizzazione della strategia di difesa in fasi successive che prevedono l’analisi del mitigation plan – nel caso si decida optare per un abbassamento del rischio -, oppure in processi che comportano nuovi alberi di decisione, che deve coinvolgere il management a livello elevato (accreditation) con l’approvazione della strategia, che può avere impatti di tipo operational, costi di maintenance.