Il Rischio è l'effetto dell'incertezza in relazione agli obiettivi.

Proviamo nell'infografica a descriverlo in maniera semplice ed intuitiva, riportando al contempo la definizione della Lineguida ISO 31000 "Risk management - Principles and guidelines".

Nella grafica presentiamo 4 diverse situazioni, presentate sia graficamente sia in una matrice a 2 variabili, dove Impatto e Probabilità sono ben rappresentate.

Maggiore è l'incertezza, minore lo sforzo di calcolo

L'analisi del rischio dovrebbe far luce su possibili minacce e predirne l’accadimento, riducendo l’incertezza del fattore di rischio.

Gli sforzi dunque dovrebbero essere massimizzati in presenza di un tasso d’incertezza massimo.

Il paradosso del rischio è che talvolta avviene il contrario e maggiore è l’incertezza, minore è lo sforzo.

Le analisi del rischio mappano i possibili fenomeni di rischio. Se il singolo evento è stato oggetto d’investigazione o si è verificato in passato, avrà livelli d’incertezza minori e maggiore sarà la sua comprensione e maturità di gestione.

Al contrario talune minacce o vulnerabilità sono scarsamente percepite o comprese. Si pensi al Cyber-risk per le aziende maniffaturiere, spesso trascurato o sottostimato, mentre le stesse organizzazioni ben padroneggiano rischi ambientali o di sicurezza sul lavoro.

Il paradosso del rischio dunque è la l'attitudine di "sovra analizzare", fenomeni già padroneggiati perchè storicizzati e con un livello d'incertezza minima; mentre su altri eventi mai affrontanti e sui quali l'incertezza è massima, le analisi siano blandamente abbozzate.

La grafica sottostante ben evidenzia come dovrebbero essere mixati diversi approcci e strumenti.

La stessa analisi del rischio su eventi dall'incertezza massima dovrebbe adottare un approccio critico, problematizzando il rischio e misurandolo quantitativamente. Su eventi dall'incertezza minima al contrario dovrebbe adottare un approccio realista, normalizzando la gestione del rischio associato.

In fase prospettica, cercando di prevenirne l'accadimento o individuare le idonee misure di trattamento, l'approccio realista tenderà a normalizzare, usando tecniche consolidate, interiorizzate e modellizzate; l’approccio critico al contrario lo problematizzerà, evidenziando le peculiarità del caso specifico, stressandone le anomalie e le difformità, investigando lacune conoscitive dei fenomeni associati.

In fase real time, al concretizzarsi dell’evento l’organizzazione non potrà fare altro che re-agire. Se il rischio è stato correttamente analizzato il controlling, con le sue policy, procedure, best-practice, standard, conformità, prassi, giustamente gerarchizzate e regolamentate, definirà comportamenti ottimali e standardizzati. L’Improvising al contrario è la capacità di capire quando la procedura è superata, per tracciare un nuovo percorso.

In fase retrospettiva ex post, ovvero dopo che l’evento si è manifestato o la crisi è stata scongiurata per un soffio. L’analista indaga su ciò che è andato storto per migliorare la gestione futura del rischio. L'approccio realista al rischio tenderò inconsciamente a colpevolizzare e la paura ad essa assocciata, di essere considerati i responsabili di un errore/mancanza, rafforzeranno la tendenza a trattenere le informazioni o a celare comportamenti/abitudini scorretti.

Il rischio è largamente presente sia nella normazione volontaria che in quella cogente.

Il TMB WG on Risk Management, un gruppo di lavoro facente capo direttamente al Technical Management Board di ISO, nel 2009, definendo in contemporanea le Lineguida 73:2009 e la lineguida 31000:2009, pose le basi di quello che oggi è l'ampiamente diffuso approccio "Risk Thinking Based".

Il gruppo di lavoro rivisitò la Lineguida 73:2002 "Risk management - Vocabulary - Guidelines for use in standards", la quale era specifica per la stesura di norme sul risk Management. Ne vennero modificate le definizioni e lo scopo, per renderla funzionale per un approccio del rischio trasversale fra le diverse norme.

La nuova 73:2009 fu così destinata ad essere utilizzata da tutti coloro che fossero coinvolti nella gestione dei rischi, in modo da favorire una cultura comune, un approccio coerente e l’uso di una terminologia uniforme; acclarando che il risk management è un attività multi disciplinare e che si applica alle più svariate situazioni ed ai diversi aspetti dei processi gestionali, operativi e di supporto di un’organizzazione.

A livello normativo europeo l’approccio basato sul rischio è divenuto largamente presente nelle norme di ultima generazione, non ultimi il Regolamento UE 679/2016.