Il Risk Management (o gestione del rischio) è quel processo che consiste nell’individuazione e gestione degli eventi che possono verificarsi in un determinato contesto economico, nella pianificazione delle reazioni, nella definizione del budget cui attingere per attivare tali risposte e, infine, nel tenere sotto controllo gli eventi stessi attraverso una reazione in tempi appropriati.

Il Risk Management ha assunto un ruolo di importanza crescente in molteplici attività, circostanza di cui si è accorta anche la nuova norma ISO 9001-2015: il rischio, o incertezza, è un evento che influenza un’attività, un progetto o un intero programma.

La definizione che abbiamo fornito in precedenza, aderente a quella degli standard Project Management Institute o Prince2, è neutra rispetto alle conseguenze: infatti in tale definizione il rischio può assumere una connotazione positiva o negativa, mentre nel linguaggio comune tendiamo a pensare a un rischio come a qualcosa di negativo, da cui difenderci e a distinguerlo dall’opportunità. Ma questa è solo una questione semantica.

Abbiamo accennato a come la gestione del rischio richieda una pianificazione e, in linea di principio, la predisposizione di un budget. Questo aspetto contribuisce ad allontanare le aziende di piccole e medie dimensioni da una gestione efficace dei rischi: pianificare azioni per mantenere sotto controllo determinati rischi comporta l’individuazione di risorse spesso già assegnate al verificarsi di altri eventi o alla gestione di urgenze.

Inoltre, la necessità di allocazione di un budget contribuisce a convincere che tale gestione sia sostenibile solo per aziende di grandi dimensioni che possono disporre delle risorse finanziarie appropriate. Per questi motivi, le PMI tendono a gestire l’incertezza reagendo agli accadimenti solo quando si verificano e con i mezzi disponibili.

In questo articolo vogliamo esporre alcuni semplici concetti sulla gestione del rischio che possono essere applicati con profitto e senza grossi investimenti anche dalle piccole e medie imprese.

Il Processo

A partire dalla definizione, il Risk Management può essere descritto come integrazione di alcuni semplici processi.

Prima di tutto è necessario identificare i rischi. Quanto individuato deve poi essere analizzato (analisi) per comprendere quale probabilità e quale impatto abbiano gli eventi identificati sulla gestione del progetto o del programma che stiamo eseguendo; la comprensione del valore di probabilità e impatto ci permette di stabilire una priorità nella gestione degli eventi e nell’allocazione delle risorse disponibili, non solo umane ma anche materiali e finanziarie. Ciò facilita l’impostazione e la pianificazione delle reazioni, la cui esecuzione viene avviata in seguito al controllo del verificarsi dei rischi. I processi sono dunque cinque: identificazione, analisi, pianificazione delle risposte, esecuzione delle risposte e controllo.

In che modo una PMI è in grado di utilizzare questi strumenti per gestire i rischi e come può adottare questi processi? Una risposta arriva dagli stessi standard internazionali, che invitano le aziende ad adattare i metodi proposti, per rendere i processi più snelli e più aderenti al modello di business e, soprattutto, sostenibili rispetto al carico di lavoro delle persone che vi operano. L’impostazione di metodi e processi deve essere, quindi, differente da azienda ad azienda e dipendere dal contesto organizzativo e dalle circostanze contingenti in cui si opera.

Il mutare stesso delle condizioni del mercato, inoltre, impone modifiche e adattamenti continui e una modalità di gestione ciclica, come delineato nella figura sottostante.

La nuova ISO 9001, analogamente, richiede a tutte le aziende certificate di partire dalla descrizione del contesto organizzativo (interno e esterno), di procedere ad una valutazione dei rischi in riferimento ai principali processi aziendali, di metterli in ordine di gravità e di prendere decisioni in merito alla reazione che l’azienda decide di mettere in atto per gestire il rischio individuato. Tutto questo va documentato, nella migliore tradizione della Norma ISO 9001.

Qualunque standard si adotti è quindi necessario comprendere fino a che punto spingere la gestione del rischio e adattare il metodo in base a tale decisione.

Gestione del Rischio e Change Management

Vogliamo sottolineare un aspetto importante per impostare una gestione del rischio.

L’azienda dispone di un patrimonio di conoscenze che derivano dall’esperienza dei singoli e dei gruppi di lavoro. Tali conoscenze possono essere esplicite o tacite: le prime sono formali e codificate mentre le seconde sono difficili da trasferire mediante la scrittura e la comunicazione verbale. Ciò rende spesso arduo il compito di raccoglierle e renderle fruibili e, in diversi casi, questa difficoltà ha determinato il fallimento di iniziative con questo obiettivo.

Esistono diversi metodi per la raccolta e l’analisi delle informazioni, ad esempio il brainstorming, la tecnica Delfi o la matrice SWOT. Il brainstorming, ad esempio, è di particolare rilievo perché mette a fattore comune le esperienze delle persone coinvolte ed aiuta la codifica di conoscenza tacita. L’uso di strumenti software facilita poi la raccolta e la condivisione delle informazioni.

Vi sono rischi che derivano da fattori esterni o dalla complessità del progetto o del programma che si stia svolgendo. Altri sono legati al comportamento delle persone, come singoli o come gruppi, e agli aspetti organizzativi, come del resto bene espresso dalla norma ISO 9001.

In questi casi l’efficacia dei processi, come l’uso di un qualsiasi strumento, è limitata se non esiste una cultura della condivisione e delle conoscenze oltre che dell’errore.

Il Risk Management deve quindi appoggiarsi a una gestione del cambiamento della cultura aziendale delle persone.

Conclusioni

Il rischio nelle PMI si può gestire, purché l’azienda sia in grado di mettere in pratica i cinque processi appena descritti. D’altra parte la norma ISO 9001 oggi parla di Risk Management, ma da sempre invita a identificare, analizzare, pianificare, eseguire e controllare: l’oggetto di queste attività diventa il rischio. I soggetti che devono attuare questa gestione sono le persone che governano e operano in azienda alle quali si chiede di attuare un cambiamento culturale: dai personalismi alla condivisione, dall’estraneità alla consapevolezza di essere parte di un gruppo in movimento verso il miglioramento continuo.