Questo breve articolo è stato presentato nell’Ottobre 2006 ad un convegno internazionale e viene riproposto in questa sede in forma breve. – Cos’è la sicurezza? Il Vocabolario Garzanti definisce “sicurezza” come la “condizione di ciò che è sicuro, di ciò che consente di prevenire o attenuare rischi…”. E’ interessante notare che nella lingua italiana – così come in altre lingue – il termine sicurezza è strettamente connesso con quello di “prevenzione”. In particolare, essere in una condizione di sicurezza arriva a coincidere con essere nella condizione di prevenire rischi.

Occorre altresì notare che “prevenire un rischio” non significa necessariamente evitarlo. Secondo la Treccani, infatti, il “prevenire”comporta il prendere tutte le precauzioni necessarie perchè un evento negativo o dannoso non si verifichi”. Lasciando da parte la linguistica, il prevenire un rischio aziendale si traduce nel mettere in atto una complessa serie di procedure e meccanismi che ci permettano di riconoscere i rischi prima che insorgono, rendendoci in grado di evitarli, quando possibile, o gestirli al meglio delle nostre possibilità. Ed è proprio a questo che serve l’Enterprise Risk Management.

Per le aziende, il “rischio” genericamente indicato si traduce in “rischio operativo”, così definito nel documento finale di Basilea II [Basilea II, Final Report, Cap. V]:

Il rischio operativo è definibile come il rischio di perdite derivanti dalla inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni.
Come si evince dalla precedente definizione di Basilea II, i rischi operativi incombono trasversalmente sui processi delle aziende, e non limitatamente quelle di credito o di servizi finanziari. In questo modo, i rischi operativi creano una stretta relazione tra la gestione dei rischi e l’analisi degli impatti legati al mantenimento della continuità operativa aziendale (Business Continuity). In altre parole, una corretta analisi-prevenzione dei rischi rende possibile la continuità operativa delle aziende. Per chiarire meglio questo stretto legame, basti analizzare la FIGURA1., che mostra la relazione tra eventi/disastri che minacciano le aziende e le tipologie di rischio identificate da Basilea II.
Rischi Operativi

Figura 1 - Rischi Operativi e Tipologie di Rischio Basilea II - Click per Ingrandire

L’Enterprise Risk Management (in seguito, indicato semplicemente con l’acronimo “ERM”), affronta e tenta di risolvere o gestire i rischi operativi delle aziende. Semplificando, si può sostenere che questo sforzo sia suddiviso in tre macro-aree che compongono l’ERM stesso:

  • Risk Assessment
  • Risk Management
  • Risk Control

Il Risk Assessment (letteralmente “valutazione del rischio”) si occupa di identificare qualunque rischio alla continuità operativa aziendale, fornendo una valutazione circa la possibilità di evenienza (rispondendo alla domanda “quanto è possibile che questo evento dannoso accada?”) e cercando di stimarne l’impatto (rispondendo alla domanda “qualora l’evento dannoso accadesse, cosa ci succederebbe?”). Il Risk Management (letteralmente “gestione del rischio”) è finalizzato ad ipotizzare e schematizzare la reazione migliore ad un evento dannoso, determinando i corretti passi da svolgere ad ogni singola ricorrenza negativa e fornendo indicazioni precise sui pro e i contro di ogni eventuale condotta. Il Risk Control (letteralmente “controllo del rischio”) si occupa invece del controllo del rischio nella più ampia accezione del termine, ed ha a che fare non solo con il risk response (“risposta al rischio”) ed il monitoraggio interno dei meccanismi di “sicurezza” operativa/informazionale dell’azienda, ma anche con lo svolgimento di (più o meno) complesse pratiche finalizzate al raggiungimento della “famosa” compliance, ossia “conformità” con normative, protocolli, standard e quanto altro decretato o sancito dalla legge (ad esempio, legge 231), dal mercato (certificazioni ISO e BS) e dai criteri di qualità che sottendono il mercato in cui opera ciascuna azienda.

Schema Gestione Integrata Sicurezza

Figura 2 - Schema - Gestione Integrata Sicurezza - Click per Ingrandire

I cambiamenti e le evoluzioni di natura economica, sociale e normativa che hanno interessato in tempi recenti la realtà aziendale nazionale e globale hanno modificato il contesto in cui le imprese devono operare e, di conseguenza, hanno richiesto:

  • la messa a punto di nuovi metodi di valutazione del contesto e dei possibili rischi;
  • l’introduzione di un approccio integrato alla gestione della sicurezza;
  • la promozione di politiche della sicurezza, anche organizzative, a presidio di tutte le risorse aziendali.

In sostanza, si passa dal tradizionale modello perimetrale della sicurezza ad un modello “trasversale”, più elastico, che tiene conto di molteplici fattori che il mercato e l’attuale arena di competizione globale pongono all’azienda in termini di controllo, governance, policy, privacy e riservatezza delle informazioni (si veda FIGURA 3).

Evoluzione Sicurezza - Gestione Integrata dei Rischi

Figura 3 - Evoluzione Sicurezza - Gestione Integrata dei Rischi - Click per Ingrandire

Appare dunque evidente come l’ERM debba necessariamente occuparsi ad ampio spettro di quella che viene definita “gestione integrata della sicurezza aziendale”, e riveste la sua influenza su una vasta gamma di processi e pratiche aziendali (si veda FIGURA 4) che si riflettono trasversalmente sulle scelte strategiche, operative, finanziarie, tecnologiche e logistiche dell’azienda.

Sicurezza Integrata e riflessi su Processi e Pratiche

Figura 4 - Sicurezza Integrata e riflessi su Processi e Pratiche - Click per Ingrandire

La sicurezza integrata aziendale, oggetto dell’ERM, si traduce de facto in una valutazione, gestione e controllo dei rischi pluri-norma, che – giova ripeterlo – oltre a tener sistematicamente conto di una sostanziosa mole di rischi operativi e procedurali, considera anche l’insieme delle normative nazionali/internazionali, gli standard di qualità ed i meccanismi di certificazione cui ciascuna azienda è “vincolata” nell’ambito del proprio mercato di riferimento (si veda FIGURA 5).

Sicurezza Integrata come Gestione Pluri-Norma dei Rischi

Figura 5 - Sicurezza Integrata come Gestione Pluri-Norma dei Rischi - Click per Ingrandire


  • Share/Bookmark