Oggi torno a parlare di risk management e lo ammetto, sono un po’ combattuto. Come raccontai nella puntata numero 15 del mio podcast, ritengo questa disciplina estremamente importante per qualunque genere di attività commerciale, non solo per i “grandi business”. Il risk management è essenziale anche per le PMI, per le Startup e addirittura per i liberi professionisti. Dall’altra parte mi spaventa l’enorme letteratura iperformale ed eccessivamente complessa, fatta a riguardo.
>> Stop all’ortodossia, come diventare realmente un’azienda flessibile
In questo capitolo di “management per tutti” voglio offrirti consigli CONCRETI e spunti PRATICI di risk management per la tua attività, indipendentemente dal settore in cui operi o dal modello di business.
Spero di riuscire ad affrontare il tema senza abusare troppo di inglesismi e paroloni; non voglio cedere a discorsi infiniti per poi non dire praticamente nulla o mettermi a dipingere (come fanno tanti colleghi) concetti in modo più complicato di come sono per davvero. Vado al sodo: se dovessi fare delle supercazzole o ingessarmi troppo, ti chiedo il favore di farmelo notare; puoi mandarmi un messaggio su LinkedIn e dirmi brutalmente “Cristian, stai passando al lato oscuro della forza”.
Adesso farò una breve panoramica della materia, puoi andare direttamente ai consigli di Risk management cliccando qui.
Risk management – definizione
La norma UNI 11230, il “vocabolario nazionale” sulla gestione del rischio, definisce il risk management così:
“è un processo aziendale volto alla gestione completa ed integrata dei rischi, mediante attività sistematiche quali identificazione, misurazione, valutazione, trattamento del rischio.”
Sempre l’UNI 11230 fornisce anche una definizione di rischio: “Insieme della possibilità di un evento e delle sue conseguenze sugli obiettivi.”
Considera il risk management come l’insieme di strategie e attività studiate per individuare, prevenire e contrastare un rischio, un imprevisto, un ritardo o qualunque genere di problema nella tua azienda.
I veri obiettivi della gestione dei rischi sono evitare o ridurre la probabilità che un rischio accada, per fare questo è necessario prima di tutto individuare i rischi, creando quello che viene chiamato “registro dei rischi”, per poi in seguito stabilire come si affrontano questi rischi, creando un secondo documento, chiamato “Piano di gestione dei rischi”.
3 categorie di rischi
Secondo un’analisi* sulla mappatura dei rischi, sono principalmente tre le categorie di rischi: 1) rischi strategici, 2) rischi finanziari, c) rischi operativi.
- Rischi strategici, tutti i rischi legati alla strategia generale dell’impresa (esempio: mission e vision, modello di business, posizionamento, prodotti, partnership strategiche…)
- Rischi finanziari, che comprendono tutti i rischi che vanno ad incidere sulle finanze aziendali
- Rischi operativi, che comprendono i rischi relativi all’operatività aziendale (esempio: assunzioni e licenziamenti, processi produttivi, metodi di gestione…)
Potremmo scendere più nel dettaglio e creare altre categorie, come rischi interni ed esterni, rischi imprenditoriali, rischi puri, rischi speculativi… ma credo che la distinzione in tre sia più che sufficiente per noi.
-Analisi svolta dall’osservatorio sul risk management nelle Pmi Italiane, Politecnico di Milano 2012-
Prima di andare avanti è importante sottolineare un paio di aspetti:
- Non è una scienza esatta, è pericoloso comportarsi come se lo fosse.
- Tale pratica non deve (o non dovrebbe) essere fine a se stessa. L’indicatore di efficacia del risk management è l’utilità praticata per l’azienda, non il numero di pagine della documentazione o l’estetica degli schemi.
- L’esecuzione è come sempre la parte più importante di un processo aziendale. Una buona documentazione del registro dei rischi aiuta a prendere decisioni migliori, ma non è sufficiente per garantire un’efficace gestione del rischio.
Le 5 fasi del risk management
Ci sono parecchie cose che proprio non riesco a digerire della “vecchia guardia del management tradizionale e istituzionale”. Tuttavia, riconosco il merito di aver codificato con delle ottime sintesi la maggior parte dei processi aziendali. Ecco perché in questo articolo c’è un’abbondanza di elenchi puntati.
Detto ciò, il risk management si basa su uno schema in 5 fasi:
1. Stabilire il contesto; questa fase è finalizzata a definire l’ambito del rischio, le persone e i ruoli coinvolti ed assegnare ad ognuno le proprie responsabilità.
2. Valutazione dei rischi; qui è dove i rischi vengono individuati, descritti e analizzati. La formula di base per analizzare un rischio è data dalla probabilità che il rischio accada e l’impatto che genererebbe. Parliamo di stime che possono essere quantitative e/o qualitative. La seconda fase del risk management viene suddivisa in tre sotto fasi:
2.1. Identificazione dei rischi,
2.2. Descrizione dei rischi
2.3. Stima dei rischi
3.Trattamento dei rischi; questa fase è chiaramente destinata ad indicare come il rischio verrà gestito, detto alla buona: “Cosa possiamo fare per evitare che il rischio accada e cosa faremo nel caso capitasse”.
4. Monitoraggio; non puoi curare un raffreddore se non sai di essere raffreddato. È importante tenere sempre d’occhio la situazione e monitorare se, come e quando un rischio si manifesti.
5. Aggiornamento, reporting e comunicazione; il piano di risk management, come qualsiasi altro processo aziendale, non è un documento inflessibile, l’aggiornamento costante e la condivisione degli aggiornamenti è fondamentale. Allo stesso tempo, quando un rischio si manifesta è importante fare un report, per valutare l’impatto, il costo, la durata e le ripercussioni di questo rischio, per poi ripercorrere le 5 fasi.
Perché il risk management è importante anche perché te
Quando si parla di gestione dei rischi in azienda, uno pensa subito ad un’attività puramente destinata a multinazionali e colossi societari, questo è un errore. Se ci pensi bene, chiunque di noi incontra nella propria attività dei rischi, che possono essere più o meno ricorrenti e più o meno pericolosi. Tutti affrontiamo imprevisti, problemi e intoppi di ogni tipo, questi sono dei rischi.
Un fornitore in ritardo o che alza i prezzi all’improvviso, un collaboratore sottotono o che decide di cambiare posto di lavoro, un cliente insoddisfatto per un prodotto difettoso, il sitoweb che non funziona fino ad arrivare ad una prolunga troppo corta e la stampante che si inceppa.
Ho preso degli esempi banalissimi, sono però certo che hai avuto a che fare almeno una volta con uno (o tutti) questi problemi, giusto? Quindi, indipendentemente da quanto sia grande la tua azienda e dal settore di attività, anche a te farebbe comodo implementare una strategia di risk management.
Alcuni consigli per fare del risk management in pratica
Brevissimo recap: fare risk management significa individuare i rischi più importanti per un’azienda e capire come: evitare e/o ridurre la probabilità che un rischio accada e definire come fronteggiarlo nel caso accada.
1. La praticità prima di tutto
Non è un esercizio di stile, bensì uno scudo per tenere a distante i rischi ed essere preparati nel momento del bisogno. La praticità è l’unica cosa che conta in questo ambito. I documenti devono essere brevi, semplici ed efficaci. Certo, nulla vieta di “abbellire” i documenti, l’importante è che non diventi un ostacolo.
C’è qualcuno in azienda esperto nella mappatura dei processi e nella loro rappresentazione? Se sì bene, altrimenti basta aprire un foglio su Word. Ne ho parlato anche qui: SOP, procedure operative standard.
2. Concentriamoci sui rischi reali
Nelle mie avventure da temporary manager mi è capitato più volte, dopo aver suggerito di creare un piano di risk management, di trovare dei rischi completamente superflui. Intendiamoci, prevenire è meglio che curare, quindi meglio prevedere un rischio in più che uno in meno. Però individuare un rischio e gli effetti che potrebbe causare, stabilire una strategia per affrontarlo e documentare il rischio richiede del tempo, oltre che uno sforzo notevole.
Nel project management viene spesso usata la matrice impatto/probabilità. Ad ogni rischio assegniamo due valori: probabilità e impatto. Ovvero quanto è alta la probabilità che il rischio accada e quanto sarebbe grande l’impatto (inteso come conseguenze, danni, costi e ritardi) di questo rischio. Ha senso perdere delle ore a definire una strategia per affrontare un rischio che non accadrà mai e che comunque avrebbe un impatto bassissimo? Io credo di no, in quel caso ci affideremo ad esperienza e capacità di giudizio.
pGli studiosi ti direbbero che devi anche stimare la percentuale della probabilità che un rischio si manifesti. Questa percentuale andrebbe poi moltiplicata per il valore dell’impatto. Prendiamo una scala da 1-5, il rischio molto grave vale 5, la probabilità deve quindi essere moltiplicata per 5.
Trovi un approfondimento qui: 7 lezioni di project management.
Io a quella lezione purtroppo ero disattento, pensavo già alla pratica, quindi non te lo suggerirò, non che sia sbagliato, ma lo trovo superfluo per tanti di noi (me compreso). Non c’è bisogno che crei una tabellina ogni volta, basta che quando stai per descrivere un rischio pensi a quanto sarebbe impattante e quanto frequentemente potrebbe accadere.
Da qualche parte bisogna pure partire, chiaramente ti consiglio di partire ad analizzare i rischi con un’alta probabilità e un alto impatto potenziale.
2B. Non badare troppo alla probabilità di eventi estremi
In generale non sono un grande fan della probabilità, in tanti casi è davvero un numero fine a se stesso ed il suo calcolo (oltre ad essere solamente una stima) rischia di richiedere troppo tempo. Evitiamo di calcolare la probabilità di un evento con un impatto estremo.
Il concretizzarsi di tale rischio, avrebbe delle ripercussioni davvero gravissime? Se la risposta è sì, allora non conta la probabilità, è molto più efficace concentrare gli sforzi per impedire che l’evento accada e sulla sua eventuale gestione.
3. Adattare la strategia di gestione al singolo rischio
Ogni rischio è a suo modo unico, non esiste pertanto un’unica metodologia di gestione, adattabile a qualsiasi rischio e in qualsiasi contesto. Gli unici consigli universali, come “sangue freddo, non farti prendere dal panico, ragiona razionalmente…” sarebbero di una banalità sconcertante, evito di approfondire.
Esistono sostanzialmente 4 metodi per affrontare un rischio:
Evitare: per evitare totalmente un rischio bisogna modificare un processo, un sistema o un prodotto ed eliminare la possibilità che questo rischio accada, è un modo per troncare sul nascere un problema, estirpi il problema dalla radice. Ovviamente non è sempre possibile.
Esempio: Una pizzeria ha bisogno della farina, eliminare il rischio (anche improbabile) che la
farina finisca è impossibile. Un ristorante specializzato in pesce fresco invece potrebbe eliminare la pizza dal menù, così eliminerebbe il rischio che la farina finisca. (Non sarebbe poi una brutta idea, anzi, probabilmente sarebbe un vantaggio, ma il brand positioning non è il tema di oggi).
Trasferire: il rischio viene trasferito, parzialmente o totalmente ad una terza parte (fornitori, partner…).
Esempio: una pizzeria vorrebbe consegnare a domicilio, il ritardo delle consegne per colpa del traffico è un rischio. Affidarsi ad una piattaforma di Delivery, in questo caso significa trasferire il rischio.
Mitigare: significa trovare il modo di ridurre la probabilità che un rischio si concretizzi e/o riducendo l’impatto del rischio.
Esempio: c’è sempre il rischio di perdere dei dati, fare un doppio backup è un modo per mitigare questo rischio.
Accettare: assumersi totalmente la responsabilità di gestire il rischio, i costi e le conseguenze associate.
Esempio: politica di rimborso sui prodotti difettosi.
4. Parti affrontando i rischi del presente
Suggerisco davvero a chiunque di costruirsi un proprio piano di risk management, però diciamoci la verità, non è un lavoro che puoi fare in poche ore. Piacerebbe a tutti poter ritagliarsi qualche settimana intera per concentrarsi unicamente alla stesura del piano dei rischi, oppure ingaggiare qualcuno che lo faccia al nostro posto, non sempre è fattibile.
Il consiglio che mi sento di darti è di iniziare con l’analizzare i rischi che stai affrontando o potresti affrontare a breve. Tra una settimana parteciperai alla fiera di settore? Parti analizzando i rischi correlati alla fiera, con il tempo andrai ad aggiungere altri capitoli, in ogni caso concentrati sul presente.
5. Coinvolgi le persone giuste e assegna le giuste responsabilità
Suona scontato come concetto, non è sempre così. Quando delineiamo la strategia per prevenire o affrontare un rischio, è necessario coinvolge chi si occuperà del rischio stesso. Facciamo presto a dire “per evitare di perdere i dati installiamo un cloud fisico”, bisogna coinvolgere un tecnico e farsi dire da lui se e come sia possibile. Abbiamo il budget per farlo? Ci sono le competenze interne o bisogna fare outsourcing?
A maggior ragione quando ci troviamo in un ambito sensibile, come può essere quello legale o finanziario, sarebbe da sprovveduti non coinvolgere la persona di riferimento
Nel piano dei rischi servirà il nome di una persona responsabile e/o delle persone incaricate di gestire il rischio, queste persone devono essere innanzitutto coinvolte, dopodiché bisogna formalizzare la loro responsabilità, come? Scrivendolo nella scheda del rischio specifico.
6. Conosci il tuo nemico
Il risk management non è una scienza esatta, ma un’attenta analisi ci eviterà tante situazioni spiacevoli e porterà notevoli benefici. Una conoscenza approfondita del rischio è una qualità indispensabile. È il caso di coinvolgere esperti, tecnici o consulenti esterni, nel caso non fosse presente in azienda una persona esperta del rischio specifico.
“Se conosci il nemico e te stesso, la tua vittoria è sicura. Se conosci te stesso ma non il nemico, le tue probabilità di vincere e perdere sono uguali. Se non conosci il nemico e nemmeno te stesso, soccomberai in ogni battaglia.“ Sun Tzu
7. Il passato è nostro amico, ma non è l’unica cosa che conta
Per creare un corretto piano di risk management dobbiamo per forza guardare al passato, nostro o di un consulente esterno. Qualsiasi documento, registro delle lesson learned e procedura, viene fatta sulle conoscenze apprese da un episodio trascorso. Un imprevisto però è sempre un imprevisto, non per forza il modo in cui abbiamo affrontato un rischio 10 anni fa può valere oggi, per questo la fase di aggiornamento è molto importante.
Sovente ci illudiamo che studiando il passato, potremo controllare il futuro. Per eventi con un impatto estremo, questo meccanismo non funziona. Pensa ad eventi come l’11 settembre, non c’era mai stato un 11 settembre. Non è possibile documentare “come affrontare un rischio”, se si parla di un rischio che non è ancora capitato.
7.2 Crea un framework applicabile in caso di rischio non pianificato
È facile stabilire (eseguire un po’ meno) una strategia per affrontare un rischio che conosciamo, è difficile stabilire un piano per affrontare un rischio inatteso. Per questo consiglio di stabilire un processo con la quale affrontare un rischio non previsto.
Detto in altre parole, decidi con il team come affrontereste, passo dopo passo, un rischio non preventivato e non conosciuto.
Dobbiamo essere pronti a tutto, anche ad affrontare un “nemico che non conosciamo”.
8. Ricordati che siamo umani
Nel risk management è giusto stabilire le conseguenze economiche e operative di un rischio, senza scordarsi però dell’effetto psicologico dei rischi. Un licenziamento in fase di scarsa liquidità potrebbe giovare al bilancio e avere tuttavia un impatto negativo sul resto delle persone.
Prendiamo come esempio i lockdown dell’anno scorso, tante aziende hanno reagito al rischio con lo smartworking, anche in maniera efficace, sono molte meno le realtà che hanno calcolato gli effetti psicologici della pandemia sulle persone. Solitudine, depressione, ansia e paura…
9. Impara dai consigli e soprattutto dai fallimenti
Ripensa agli ultimi libri (divulgativi) che hai letto, sono quasi sicuro che siano tutti libri con dei consigli sul da farsi e suggerimenti vari da seguire, quanti di questi libri invece analizzano un fallimento e ti spiegano cosa non fare?
Pochi parlano dell’insuccesso, dei fallimenti e dei periodi duri. Studiare la gestione sbagliata di un rischio, o gli errori che hanno portato al rischio stesso è un’ottima strategia per aumentare l’efficacia del risk management.
Capire cosa fare è importante quanto capire cosa non fare.
L’apprendimento costante è uno dei compiti principali del product manager, forse ti può interessare questo articolo: 9 consigli di product management
