Una delle lezioni che ogni organizzazione ha dovuto forzatamente imparare dalla pandemia è l’esistenza di relazioni reciproche tra i diversi ambiti di rischio al suo interno: trascurare queste relazioni può avere impatti imprevisti, rilevanti e oltremodo spiacevoli sulla capacità dell’organizzazione di operare con profitto.
Ogni ente fronteggia rischi diversi. Alcuni se li sceglie: entrare in un nuovo mercato, assumere nuove risorse, cambiare la propria infrastruttura IT, aprire una nuova sede o un nuovo stabilimento. Altri se li ritrova: le direttive di casa madre, i vincoli legislativi, le pandemie. Si potrebbero aggiungere la morte e le tasse, ma poi andremmo sul sentimentale.
Non è questa la sede per parlare della capacità di saper trasformare i vincoli normativi in opportunità per migliorare la propria organizzazione – e riconosco che cercare di farlo con la morte e le tasse darebbe origine a spericolati esercizi di equilibrismo linguistico.
Vorrei invece concentrarmi su alcuni dati di fatto pre-pandemia che, forse, è opportuno modificare.
Ogni ambito aziendale genera rischi propri: la salute e sicurezza ci fa parlare di infortuni e incidenti, la responsabilità amministrativa degli enti valuta le sanzioni in caso di condanna, la business continuity pensa alla perdita di operatività e così via. Queste diversità richiedono un livello di conoscenza ed esperienza talmente diversificato da essere logicamente ripartito tra figure differenti, tanto all’interno quanto all’esterno (consulenti). Altrettanto logicamente, ognuno di questi risk manager opererà con metodologie e strumenti differenti: in alcuni casi queste saranno obbligate dalla normativa, in altri le scelte fatte deriveranno proprio dall’esperienza e dalla competenza maturata da ognuno.
Fin qui nulla di nuovo, perdonate la banalità.
Ma quando una pandemia ferma tutto e i Governi sono chiamati a dettare le regole per ripartire, il tutto come prevedibile in un contesto di incertezza, allora imprenditori, amministratori delegati e consigli di amministrazione devono sedersi al tavolo e capire se sono pronti o meno a ripartire – possibilmente nella maniera più efficiente possibile, perché le risorse (se ci sono) sono in questo momento decisamente scarse.
Qui emerge la consapevolezza circa l’interdipendenza dei rischi. L’iniziativa “ripartenza col cervello” lanciata da PK Consulting ci sta mostrando come, nel migliore dei casi, le organizzazioni abbiano sì prestato correttamente attenzione a tutti (o quasi tutti) i vincoli legislativi funzionali alla ripresa delle attività, ma in maniera spesso asincrona e senza una cabina di regia in grado di valutare i collegamenti esistenti tra rischi diversi: la salute e la sicurezza con la responsabilità dell’ente e del datore di lavoro, la business continuity con la tutela dei dati personali, e così via.
Senza contare la difficoltà di sapere leggere valutazioni fatte con strumenti di misura differenti: come si confrontano lo scoring sul rischio di credito di un istituto finanziario con le analisi sulla sicurezza circa il trattamento di dati personali effettuato dallo stesso istituto? In base a quali criteri si valuterà l’uno prioritario rispetto all’altro?
Nessuno si augura una nuova pandemia: per lo meno, io non voglio pensare ad un mondo in cui questa sia la norma. Ma se le difficoltà che abbiamo affrontato ci consentono di guardare – e gestire – in maniera più efficiente la complessità dei rischi che la nostra organizzazione deve affrontare a prescindere dalla pandemia stessa, allora forse questa è l’occasione giusta per imparare a farlo. Questa è la nuova sfida per un risk manager: allargare il proprio campo visivo sui rischi della propria organizzazione e dotarsi degli strumenti idonei a identificarli, valutarli e tenerli sotto controllo.
