Gestione del Rischio Interno
La gestione del rischio è quando un manager cerca di organizzare la propria azienda (o unità aziendale) per prepararsi nel caso in cui qualcosa vada storto e cercare di prevenire tali eventi. La gestione del rischio è uno dei rami più complicati della gestione, poiché richiede ai manager di essere in grado di valutare situazioni sconosciute e cercare di essere pronti a qualsiasi cosa. È la tecnica di distinguere, indagare e riconoscere l’incertezza e le scelte di gestione delle speculazioni. Fondamentalmente, la gestione del rischio si verifica ogni volta che uno specialista finanziario o un gestore di fondi analizza e cerca di determinare il potenziale di perdita in una data situazione, e successivamente compie l’azione appropriata per cercare di minimizzare quel rischio.
Controlli Interni versus Controlli Esterni
Gli strumenti per la gestione del rischio sono solitamente divisi tra controlli interni, che significano strumenti per prevenire problemi provenienti dall’interno dell’organizzazione, e controlli esterni, che significano prepararsi ad affrontare minacce e problemi provenienti da altrove.
Controlli Interni
I controlli interni sono le procedure e i processi in atto in un’organizzazione per garantire che tutto funzioni senza intoppi e che gli errori rimangano rari. Questo include cose come la creazione di procedure operative standard (SOP), assicurazione della qualità (QA) e audit. Include anche controlli e indagini per assicurarsi che quelle SOP e i processi di QA vengano seguiti correttamente, non solo documenti inutilizzati. La maggior parte degli esempi in questo articolo si concentrerà sulla gestione del rischio interno.
Controlli Esterni
I controlli esterni sono in atto per proteggere un’organizzazione dai danni causati da qualche forza esterna. Questo include cose come valutare quanto sia probabile che un nuovo prodotto non riesca a vendere, quanto danno verrebbe subito in caso di un incidente e assicurarsi che l’organizzazione sia adeguatamente assicurata in caso di disastri. I controlli esterni includono cose relativamente minori come la sicurezza degli edifici (per garantire che i segreti industriali siano mantenuti al sicuro) fino alla copertura valutaria per garantire che l’organizzazione non subisca danni eccessivi se i tassi di cambio iniziano a fluttuare.
La Natura del Controllo del Rischio Interno
Il controllo del rischio interno è ciò che un manager e un’organizzazione mettono in atto per minimizzare i rischi provenienti dall’interno dell’organizzazione. Questi controlli rientrano in 4 ampie categorie:
- Monitoraggio: Questi sono controlli messi in atto per tenere d’occhio le operazioni e identificare i problemi prima che si aggravino
- Ambiente di Controllo: Questo significa organizzare il luogo di lavoro per minimizzare il rischio. Questo può essere qualsiasi cosa, dall’installazione di attrezzature di sicurezza in una fabbrica all’IT che installa firewall per proteggere dai virus.
- Informazione e Comunicazione: Questa è l’istituzione di rapporti regolari e canali di comunicazione tra dipartimenti, lavoratori e manager. A volte i lavoratori e i manager credono di avere un problema “sotto controllo”, ma potrebbe essere sul punto di trasformarsi in un disastro – una buona comunicazione e reporting aiuta a prevenire che ciò accada.
- Valutazione del Rischio: Questo è il metodo che un’organizzazione utilizza per attribuire un valore monetario a quanto rischio ogni aspetto delle operazioni sta aggiungendo al tutto.
La valutazione del rischio è la più complicata, ma anche la più importante. Ogni organizzazione ha risorse finite che deve distribuire per minimizzare il rischio nel suo complesso, e questo processo di valutazione aiuta a guidare quegli sforzi. Allo stesso tempo, ogni volta che un’azienda aggiunge più monitoraggio, controlli e doveri di reporting al proprio personale, il personale trascorre più tempo a concentrarsi sulla gestione del rischio e meno su ciò che genera entrate. Ogni volta che viene imposto un nuovo controllo interno, deve essere bilanciato con il costo che impone al team che sta cercando di proteggere.
Il controllo del rischio interno viene effettuato a tutti i livelli di gestione. I manager di livello più basso cercano di minimizzare i rischi inerenti al loro team nel raggiungimento dei propri obiettivi, mentre i livelli superiori di gestione esaminano i rischi che attraversano l’organizzazione nel suo complesso. I controlli efficaci sono anche dal basso verso l’alto oltre che dall’alto verso il basso, aggiungendo vie dirette di comunicazione dai lavoratori di base per segnalare ogni volta che credono che i controlli interni vengano ignorati, o se potrebbero essere necessari nuovi controlli per affrontare nuovi rischi.
Contrasto con il Controllo del Rischio Esterno
Il controllo del rischio esterno è più libero, poiché i rischi provenienti dall’esterno di un’organizzazione non possono essere quantificati altrettanto facilmente. Questo di solito inizia con un’analisi SWOT (Punti di Forza, Punti di Debolezza, Opportunità e Minacce) e si concentra sull’affrontare le minacce identificate. Il controllo del rischio esterno è solitamente affrontato dai manager di livello superiore, che poi emettono direttive ai livelli inferiori di gestione per affrontare questi rischi.
Mentre i controlli interni sono messi in atto per garantire che l’organizzazione continui a operare senza intoppi, i controlli del rischio esterno cercano di affrontare le minacce all’attività stessa. Ad esempio, le compagnie aeree sono sempre a rischio per l’aumento del prezzo del petrolio, che causa un enorme aumento delle loro spese operative. Una forma principale di controllo del rischio esterno che esercitano è l’acquisto di futures sul petrolio, che fissa un prezzo stabilito per diversi mesi nel futuro, rimuovendo parte dell’incertezza. I controlli del rischio esterno cercano di esaminare tutto, dai cambiamenti nei prezzi delle materie prime a nuove leggi e regolamenti che vengono approvati, e tutto ciò che c’è in mezzo.
Modi per valutare il rischio
La valutazione del rischio non ha linee guida stabilite su come dovrebbe essere effettuata. Tuttavia, ci sono un paio di regole generali che vengono seguite. Ci sono cinque fasi nella valutazione del rischio che possono essere adottate per garantire che la valutazione del rischio venga completata accuratamente. Queste cinque fasi sono:
Fase 1: Rilevamento dei pericoli
Prima che un rischio possa essere valutato, il primo passo è identificare esattamente quale sia quel rischio. L’obiettivo della Fase 1 è avere una definizione chiara e concisa di quali siano esattamente i potenziali problemi e quali tipi di danni potrebbero essere causati. Ad esempio, macchine pericolose in un luogo di lavoro hanno un rischio definito di danneggiare i lavoratori, il che comporta sia una perdita di produttività che cause legali.
Molti pericoli sono inizialmente molto vaghi, ma controlli efficaci non possono essere messi in atto fino a quando i manager non identificano esattamente cosa stanno cercando di controllare. I pericoli possono essere riconosciuti utilizzando varie procedure diverse, ad esempio, passeggiando per l’ambiente di lavoro o chiedendo ai lavoratori. Alcuni pericoli potrebbero essere facili da identificare e altri potrebbero richiedere aiuto da parte di altri esperti al di fuori della propria azienda.
Fase 2: Identificazione degli stakeholder
Questa fase si basa sui pericoli e sui rischi trovati nella fase uno. Un problema sul posto di lavoro ha diversi livelli di stakeholder. Ad esempio, con macchinari pericolosi, i lavoratori a rischio di essere feriti sono stakeholder ovvi. Ulteriori stakeholder sarebbero le altre unità di quell’azienda che verranno messe in ritardo se si verifica un incidente prima nella catena di produzione. Avrà anche un impatto sulle famiglie di coloro che potrebbero essere feriti, così come sugli azionisti dell’azienda che potrebbero ritirare il loro investimento alla luce della cattiva pubblicità dopo un infortunio.
Fase 3: Valutazione dei pericoli e scelta delle misure di controllo
Valutare i pericoli significa cercare di assegnare una probabilità di quanto sia probabile che il pericolo si verifichi. Nessun pericolo può essere completamente eliminato – solo minimizzato. Questo significa che le aziende prima identificano quanto è probabile che si verifichi un problema a causa di quel pericolo e quanto le misure di controllo potenziali ridurranno quella possibilità.
Le misure di controllo potenziali vengono valutate bilanciando il loro costo di attuazione (sia in valore monetario che in quanto tempo/sforzo del personale richiederà per far rispettare il controllo) con quanto rischio viene effettivamente ridotto. Una volta che diverse alternative vengono confrontate, possono essere introdotti nuovi controlli.
Fase 4: Registrare i risultati
I controlli efficaci vengono implementati su base sperimentale. Questo significa che il team ha una sessione di formazione per delineare quali sono i pericoli e i nuovi controlli che vengono implementati per affrontarli. Mentre il trial procede, l’intero team (dai lavoratori comuni fino alla gestione coinvolta) registra come l’implementazione impatta il loro lavoro, sia in termini di affrontare effettivamente i rischi che i controlli stanno affrontando sia in termini di costo realizzato per implementarli.
Passo 5: Rivedere la valutazione e aggiornare
I controlli dei rischi devono essere continuamente rivisti per efficacia e aggiornati, con comunicazioni corrispondenti a tutti gli stakeholder coinvolti. Questo di solito viene fatto dal team di gestione, con un “Valutatore” specifico incaricato di condurre una revisione o un audit del controllo e di come evolve nel tempo. I cambiamenti devono essere implementati in ogni tipo di controllo nel tempo per affrontare nuovi rischi e ambienti aziendali in cambiamento.
Importanza dell’audit del controllo dei rischi
Gli audit sono revisioni più ampie dei controlli interni sui rischi che un’azienda ha implementato. Gli audit sono separati dalle normali procedure di valutazione dei rischi, ma seguono una mappa stradale simile per come vengono condotti.
Audit regolari dei controlli interni sui rischi sono essenziali per mantenere un’organizzazione che funzioni senza intoppi. I loro due principali vantaggi sono garantire che i controlli interni vengano implementati come progettato, mentre si ottiene anche una “visione d’insieme” dei controlli complessivi in un’organizzazione. Questa visione d’insieme può aiutare a identificare ridondanze con i controlli interni e semplificare i processi, rendendoli più economici, più facili e più efficaci.
Identificazione e valutazione dei rischi
Questa è la stessa cosa dei Passi 1, 2 e 3 nella normale Valutazione dei Rischi, ma guarda le operazioni aziendali nel loro insieme, piuttosto che le singole unità aziendali. Lo scopo è identificare quali rischi sono presenti e quali controlli esistono già per affrontare tali rischi. Se non sono presenti controlli adeguati, il team di audit farà raccomandazioni agli stakeholder pertinenti per risolvere il problema.
Efficienza e efficacia del processo migliorate
Questo è il processo di cercare di armonizzare i controlli interni sui rischi già implementati in un’organizzazione. L’obiettivo principale di questi esercizi è cercare di facilitare alle unità aziendali il mantenimento di controlli efficaci. Questo di solito significa unire le SOP di diverse unità aziendali, migliorare i canali di comunicazione e ottenere più input dai manager su quali tipi di controlli stanno richiedendo più del loro tempo. Audit interni di controllo efficaci significano che i lavoratori devono spendere meno sforzi per la conformità e più sforzi per creare valore per l’azienda, senza sacrificare la protezione contro i rischi.