Introduzione al Risk Management

Dato che finito il corso di Risk Management mi sembra il caso di pubblicare un po’ degli appunti che ho preso durante le lezioni (più avanti arriveranno anche quelli di Diritto e Sicurezza e di Information Security Management). Si tratta di appunti e schemi fatti dal sottoscritto durante le lezioni: sono abbastanza affidabili, ma consiglio di verificare con altri testi accademici o altre fonti. Ci sono alcuni elementi, nozioni e strumenti che ritengo fondamentali per chi si occupa di Social Media.

Il rischio

La prima cosa da fare è definire che cos’è il rischio: semplicemente è l’incertezza d’esito o come recita più precisamente la ISO GUIDE 73:2009 “The effect of uncertainity on objective”. Vediamo subito che il rischio è collegato a qualcosa, un obbiettivo (o target): se non c’è qualcosa da proteggere non ci sono rischi. Inoltre, sempre se ci atteniamo alla definizione vediamo che l’incertezza d’esito non è un elemento assolutamente negativo, ma neutro: possiamo infatti avere effetti incerti positivi (opportunità o upside) o effetti negativi (rischi o downside).

Per capire di quale “incertezza” stiamo parlando le informazioni giocano un ruolo chiave. Se ci rivolgiamo in maniera specifica ai rischi negativi vediamo che quelli maggiori sono quelli di cui non siamo consapevoli. Se infatti non identifichiamo chiaramente quali sono i rischi che corre il nostro target non potremo proteggerlo e adottare misure di mitigazione o di misura.

Uno degli aspetti fondamentali della misura del rischio è che siamo nel campo dell’incertezza e delle probabilità. Quando parliamo di rischio dobbiamo distinguere tra due fenomeni: da un lato abbiamo l’aleatorietà del fenomeno e dall’altro l’incertezza epistemica. Diversamente dall’aleatorietà, l’incertezza epistemica può essere ridotta attraverso l’analisi delle serie storiche (personalmente sono scettico sulla capacità di predire il futuro usando il passato perché mi sembra si consideri la probabilità condizionata pur trattando eventi indipendenti). Sicuramente ridurre alla sola aleatorietà è meglio di niente (anche se si passa da possibile a probabile a livello di predizione, si passa dall’intervallo 0>0.1 a 0.1<1, comunque ribadisco meglio di niente).

Se procediamo sempre con i problemi della gestione e dell’analisi vediamo che anche il confronto tra rischi non è cosa semplice. A target diversi corrispondono rischi diversi e non tutti questi possono essere quantificati in maniera esatta: oltretutto, anche se il rischio sembra lo stesso, cambiando il target posso avere rischi diversi (dato che può variare il livello d’incertezza).

Misurare il rischio

BRC: Business Risk Continuum

Permette di visualizzare sia gli hazard che le opportunity. A livello storico, chi si occupava di gestione del rischio, si è sempre concentrato maggiormente sui pericoli che sulle opportunità: tuttavia per riuscire ad avere una visione completa è necessario anche considerare l’upside.

 Risk Value

Usa come misurail prodotto di Frequenza (evento nel tempo) moltiplicato per la Severità (conseguenze dell’evento). Usando questa formula possiamo andare a identificare le curve isorischio: queste hanno tutte lo stesso valore per diversi punti ed ogni rischio ha la sua curva. Quando vado ad agire sui rischi tramite strumenti di mitigazione, protezione o prevenzione non modifico la curva, ma semplicemente la sposto. In questo contesto inizia ad apparire uno dei termini per me più affascinanti, il KRI, Key Risk Indicator (penso che sui Social Media ci sia spazio per l’adozione di questo elemento e per un suo sviluppo).

Qualitative Evaluation

 Una semplice matrice (ma per me molto efficace) che incrocia la frequenza dell’evento (frequente, probabile, occasionale, remoto, improbabile) con la severità dell’evento (catastrofico, critico, marginale, trascurabile). A seconda del risultato avremo quindi rischi inaccettabili (ad esempio catastrofici * frequenti), indesiderati (probabili * marginali), accettabili (remoto * marginale) e infine quelli accettati (improbabili * trascurabili). A livello quantitativo invece possiamo utilizzare la Single Point Risk Evaluation dove si prende il singolo evento e lo si analizza o sulla base della frequenza o sulla base della severità.

PRA , il Probabilistic Risk Assessment

Su un piano, ( con ordinate la frequenza per anno e alle ascisse la severità espressa in numero di morti) viene tracciata l’area dei rischi inaccettabili: le curve che vanno a intersecare quest’area vengono definiti come inaccettabili e devono essere oggetto d’intervento.. Se il punto RA (valore accettabile di rischio) si trova al di fuori dell’area inaccettabile non sono richiesti interventi particolari.

Accettazione del rischio

Analizzati brevemente e rapidamente le metodologie di misura del rischio vediamo quali sono gli strumenti di accettazione del Rischio.

 ALARP: As Low As Reasonably Possibile.

Tracciata una linea che marca il confine tra tollerabile e intollerabile andiamo a vedere come si posizionano i rischi. Questo primo principio afferma che il trattamento del rischio non necessariamente lo elimina e che in alcuni casi un ulteriore abbassamento della probabilità non porta a nessun ulteriore beneficio, ma che ulteriori sforzi comporterebbero semplicemente uno spreco i risorse a causa dei vincoli di natura tecnologica o economica.

Risk Homeostasis e il Risk Appetite.

In questo strumento si può vedere quai sono i elementi che “comandano” se la massimizzazione dei risultati o la minimizzazione del rischio. Su questo grafico possiamo vedere dove viene fissato sull’asse della tolleranza, l’appetito per il rischio. La situazione peggiore per un’azienda è quella in cui il Risk Appetite è molto basso e quindi non ha senso investire perché, in ogni caso, non sarebbe in grado di cogliere le opportunità

Fine

Questa è la parte iniziale degli appunti (se ve lo state chiedendo, sì, le immagini sono fatte durante le lezioni: io prendo giocando con i pennarelli e disegnando tutti in tempo reale). A questo seguirà la parte sugli strumenti di Assessment e su ERM (enterprise risk management) e i KRI, key risk indicator