Seguire il potere evocativo delle parole ci può rendere più consapevoli dei concetti profondi nascosti dietro ad esse. Percorrerne le strade ci permette di ricavarne nuove consapevolezze e di trovare spunti nuovi nei progetti che affrontiamo, nei beni che utilizziamo o nelle situazioni che gestiamo. Questa esperienza, relativamente semplice per le parole della nostra lingua, a volte diventa complicata. Soprattutto se le parole con cui ci confrontiamo appartengono ad una lingua straniera o vengono usate come un grimaldello per attirare l'attenzione o per distrarci dalle loro conseguenze.
Per questa presentazione del risk management mi è stato chiesto di trasmettere l'esperienza di Deloitte & Touche SpA in merito, ovvero sui fattori che comprende l'attività di analisi e di mitigazione dei rischi e sui temi che in qualche modo rendono interessante lavorarci sopra, capire, applicare, valutare, appassionarsi.
Sono stato incerto, quindi, tra seguire le immagini evocate da "risk" e da "management" oppure se darle per scontate, come fossero un marchio, per passare ad illustrarne analiticamente i contenuti e gli aspetti costitutivi fondamentali, i fattori chiave, i problemi, i limiti, i vincoli e le opportunità, da bravo ingegnere che si confronta con una rivista tecnica. Ho preferito provare a lasciar parlare le parole, seguendo con alcuni esempi le immagini che mi evocano e cercando di introdurvi attraverso di esse ai concetti fondamentali.
Risk management significa letteralmente gestione del rischio.
Ma che cosa è un "rischio"? Ci sono diversi modi di parlarne e ancora più sfumature nei concetti che la singola parola evoca. In sintesi, il lessico ci offre due estremi: possiamo vedere il rischio come un pericolo o come una opportunità positiva.
Occuparsi dei rischi che si corrono stimola una duplice reazione: di attenzione ai fattori di rischio e di prudente tutela del bene con comportamenti e/o mezzi opportuni.
In generale, ritenendo possibile il furto della nostra nuova auto, ci preoccupiamo di chiuderla ben bene quando la lasciamo in giro. Inoltre, siamo ben contenti del fatto che ci sia un'assicurazione obbligatoria che ci allevia i danni quando accade un incidente.
D'altra parte il concetto comprende anche un "positivo", che i media ci mettono sotto gli occhi continuamente, e che evidenzia il valore della persona che affronta un rischio e lo supera: rischiare per ottenere un vantaggio.
Nella esperienza comune, non si trovano mai situazioni chiaramente positive o negative, anzi il più delle volte si trovano delle situazioni intermedie, che per fattori esterni o per azioni interne possono rapidamente trasformarsi in un vantaggio o in un "disastro". Cosa fare, allora, rischiare o essere prudenti? Non c'è una risposta deterministica, preconfigurata, e questo è uno dei motivi più interessanti per chi si occupa di risk management. Dipende: in parte dalle circostanze ma ancora di più dalla conoscenza, dalla preparazione e dall'applicazione.
Ecco il primo fattore, fondamentale per il risk management: conoscere in modo preventivo i rischi e le possibilità su cui lavorare. Senza la conoscenza del rischio non c'è possibilità di preparare o di adottare azioni correttive migliorative.
Generalmente l'attività di conoscenza e di analisi del rischio è etichettata come "valutazione del rischio".
Questo è un processo continuo di miglioramento, come un procedimento di qualità, dato che nel tempo i fattori esterni o interni di rischio possono cambiare o presentarsi in forme impreviste.
Per esempio, per tutti i viaggiatori che usano l'aeroporto di Linate, il disastro dello scorso ottobre ha alterato il senso di fiducia e di sicurezza nel trasporto aereo.
Il cuore dell'analisi del rischio passa attraverso le risposte alle domande che seguono.
Cosa può succedere? (un evento o una minaccia).
Se succede, quanto può essere negativo? (impatto).
Con che frequenza può verificarsi un evento disastroso? Ed infine:
che certezze/incertezze ho sulle risposte alle domande precedenti?
Se la conoscenza del rischio ci permette di capire quali comportamenti evitare, il comportamento successivo, quello che si svolge nell'azione, è un fattore fondamentale di successo o di disastro.
Anche qui si possono sintetizzare tre domande.
Cosa posso fare? (mitigazione o minimizzazione del rischio).
Quanto mi "costa"? (in termini economici, ma anche di risorse, capacità, mezzi).
Ne vale la pena?

Questo aspetto successivo di approccio al rischio è influenzato, come già detto, da comportamenti "allenanti", ma anche da fattori ambientali, spesso aleatori o effimeri, dai valori in gioco e dalla propensione a sostenere perdite di beni, siano essi nostri o di altri che potremmo essere costretti a rimborsare a causa del comportamento imperfetto. Quella che in condizioni favorevoli ci sembra una grande possibilità, che vale il rischio, si trasforma rapidamente e senza possibilità di ritirata in un disastro, nell'espressione dei propri limiti e nell'evidenza dell'inettitudine.
Ciò non toglie valore alla bravura del valoroso, ma fa riflettere i comuni mortali; nello sport automobilistico, per esempio, Nuvolari era capace di portare al limite mezzi imperfetti, costruiti con una tecnologia ancora immatura, su strade imperfette e piene di pericoli.
Oggi, un nuovo grande talento, se non ha un team di vertice, si trova al palo. Spesso oggi non basta più il valore di un singolo, o la capacità di cogliere l'attimo, serve anche una organizzazione di supporto altrettanto capace di osare e di trovare il vantaggio competitivo.
Alcune sfide/rischi tecnologici sono ormai sotto gli occhi di tutti.
Prendiamo l'uso dell'infotelematica nella finanza: ha permesso alle banche di virtualizzare gli sportelli estendendo e migliorando i rapporti con i clienti (bonifici, giroconti, trading online, ecc) ma ha introdotto anche nuovi rischi operativi. Prendiamo il caso di problemi di continuità di servizio informatico.
I clienti possono trovarsi in situazioni anomale: per esempio facendo un bonifico due volte se il sistema non dà risposte in tempo; oppure, trovandosi nell'impossibilità di vendere le azioni in proprio possesso in un momento di crisi di mercato perchè il trading online non è attivo, i clienti possono subire perdite significative. La normativa vigente -quindi- ritiene fondamentale l'adozione di misure adeguate di tutela degli investitori da rischi tecnologici, per esempio con l'attivazione di adeguati call-center.
Tuttavia, se anche il call-center si appoggia su un unico sistema informativo, un problema potrebbe bloccare comunque tutta l'operatività.
Un fenomeno crescente è costituito da tecniche di attacco informatico via rete: la pirateria, la saturazione del carico della macchina, la diffusione di virus sono diventate tecniche diffuse di protesta sociale. Tuttavia la legge non tutela chi non si protegge adeguatamente. E' recente il caso in cui un pirata informatico è stato ritenuto non perseguibile da un giudice delle indagini preliminari perché nel sito attaccato mancavano adeguati meccanismi di protezione (4/4/2000, tribunale penale di Roma).
Infine, l'uso crescente di tecniche di trattamento elettronico dei dati contabili ed amministrativi rende più difficile tracciare le frodi: per esempio, come fare a capire che una certa transazione contabile è stata alterata da un dipendente infedele, per protesta o per frode? Come si fa a sapere chi ha modificato i dati se non ci sono sufficienti tracce che permettono di capire chi, come e quando ha avuto accesso ai dati?
Si possono trovare moltissimi altri esempi, nella finanza, nell'industria come nella tecnologia, ed ognuno di noi può trovarne altrettanti nella propria esperienza professionale. Nell'attuale scenario competitivo l'implementazione di strategie che non prevedano fin dall'inizio la valutazione e la prevenzione dei principali rischi tecnologici può facilmente minare alla base la possibilità di tenere la propria posizione di mercato.