Il risk management (gestione del rischio) è il processo mediante il quale si misura o si stima il rischio e successivamente si sviluppano delle strategie per governarlo.
Ma cosa intendiamo con il termine “rischio”? Nell'uso comune, il termine rischio è associato alla possibilità che si verifichi un danno. Tuttavia, lo standard internazionale ISO 31000:2009 definisce il rischio come “effect of uncertainty on objectives”, e di un decennio prima è la definizione che interpreta i rischi come “eventi futuri e incerti che possono influenzare il raggiungimento degli obiettivi strategici, operativi e finanziari di un’istituzione”.
Nonostante la mancanza di una visione univoca sul concetto di rischio, è possibile identificare tre elementi che lo caratterizzano:
1. il verificarsi di un evento,
2. l’incertezza sul se e sul quando l’evento si realizzerà,
3. la presenza di un effetto che origina dal suddetto evento.
Da ciò è possibile definire il rischio come la combinazione tra la probabilità che un determinato evento si verifichi e le conseguenze (impatto/danno) che questo evento provoca al suo realizzarsi. Rispetto alle conseguenze, si è visto, dunque, che è possibile identificare due diverse dimensioni del rischio:
Gestire il rischio, quindi, significa agire sulla probabilità di accadimento di un evento e/o sulle sue conseguenze negative o positive.
In linea generale, il risk management è inteso come un insieme coordinato e sistemico di azioni, iterative e continuamente aggiornate, funzionale al rispetto degli obiettivi di un’organizzazione, volto a identificare e gestire rischi di diversa natura, con lo scopo di creare e preservare valore per l’azienda e per gli stakeholder.
Nel campo della sicurezza, si ammette in genere che le conseguenze sono esclusivamente negative e quindi la gestione di questo tipo di rischio si concentra sulla prevenzione e sulla riduzione del danno.
Fondamentale è poi il collegamento con gli obiettivi di un’organizzazione, per cui la gestione del rischio è tesa proprio ad evitare o minimizzare gli ostacoli e, quindi, gli eventi dolosi o accidentali, frapposti al raggiungimento dei suddetti obiettivi. Obiettivi che possono essere di diversa natura: strategici, operativi, economici, di sicurezza.
I principi del risk management, definiti dai principali standard, riassumono l’approccio, le finalità e le caratteristiche con cui un’organizzazione deve adottare un sistema di gestione del rischio affinché questo risulti efficace. In linea generale, i principi prevedono che il risk management sia collegato agli obiettivi dell’organizzazione e ne favorisca il perseguimento; sia parte integrante di tutti i processi dell’organizzazione e del processo decisionale, supportando i vertici e il management nelle scelte e nelle priorità delle azioni; tratti in maniera sistematica, strutturata e tempestiva l’incertezza e sia basato sulle migliori informazioni disponibili; sia costruito su misura per l’organizzazione; sia dinamico, iterativo e si adatti al cambiamento; faciliti il miglioramento continuo e il rafforzamento dell’organizzazione.
Trattandosi di un processo, è possibile identificare una serie di fasi e azioni ricorrenti che caratterizzano il risk management: