La progettazione corretta di un modello per la valutazione dei rischi è fondamentale per analizzare i rischi a cui si interfaccia la tua azienda. Combina gli indicatori che consentono di valutare la probabilità di un rischio, il suo impatto e le azioni da svolgere per controllarlo.
Ecco gli argomenti principali dell’articolo:
- Definizione del concetto di rischio
- Differenza tra KRI e KPI
- Modello dei KRI
- L’elenco dei KRI più popolari
- Software GRC: KRI in BSC Designer
I KRI non sono molto diversi dai KPI, ed, al contempo, i modelli per la gestione dei rischi non differiscono molto dalle Balanced Scorecard. Vediamo insieme quali sono le migliori pratiche per l’utilizzo degli Indicatori Chiave di Rischio (KRI).
Il concetto di rischio
Cos’è il rischio? E come possiamo misurarlo e controllarlo? Intuitivamente, il concetto di rischio ci fa pensare ad un pericolo o ad una minaccia che potrebbe verificarsi con una determinata probabilità, portando a qualche esito negativo. Questa percezione, in generale, è corretta, ma c’è un’eccezione: un rischio non costituisce sempre una minaccia per un’azienda, ma potrebbe anche rivelarsi un’opportunità.
BSC Designer per ottenere l'accesso immediato a 31 scorecard e modelli per i KPI. La vecchia definizione del concetto di rischio nell’ISO (Organizzazione Internazionale per la Normazione) era: “La possibilità o la probabilità di una perdita”, mentre nell’ultima versione dell’ISO 31000:2009, il rischio viene definito come “L’effetto delle incertezze sugli obiettivi”.
In altre parole, la definizione aggiornata del concetto di rischio riconosce che il rischio non riguardi solo le minacce, ma anche le opportunità.
Ad esempio, per un’azienda, perdere un dipendente chiave da un lato potrebbe essere una grave minaccia, ma d’altra parte si potrebbe trovare un dipendente nuovo che potrebbe portare delle nuove competenze e delle idee innovative all’azienda. Tutto dipende dal contesto aziendale in considerazione (e quindi dagli obiettivi aziendali).
Cosa sono gli Indicatori Chiave di Rischio?
Come indica il loro nome, i KRI sono degli indicatori chiave per il processo di gestione dei rischi.
- La parola “chiave” implica che non possono esserci centinaia di KRI; quindi se hai più di 100 KRI, molto probabilmente si tratta solo di metriche di rischio generiche.
La maggior parte dei principi caratterizzanti i KPI (Key Performance Indicators), che abbiamo illustrato negli articoli precedenti, si applicano anche ai KRI:
- Necessitano di un contesto aziendale adeguato
- La loro necessità deve essere quantificabile,
- Ci deve essere una persona apposita responsabile della gestione dei KRI,
- Dovrebbe esserci un’approvazione generale da parte del team, ecc.
Detto ciò, ti consiglio di dare un’occhiata all’articolo: Sistema dei KPI in 12 passi. Durante la lettura, prova a sostituire il concetto di “KPI” con quello di “KRI”, e potrai utilizzare facilmente le stesse idee e consigli contenuti nell’articolo anche in questo contesto.
Per ora, è sufficiente definire i KRI come le metriche di rischio che costituiscono una parte fondamentale tra gli strumenti per la gestione del rischio. Facendo riferimento al concetto di rischio descritto nell’ISO, la decisione finale su cosa sia o meno un rischio dipende dagli obiettivi specifici di un’azienda, quindi bisogna fare attenzione quando si copiano i KRI da altri.
La differenza tra i KRI e i KPI
In alcune pubblicazioni, i KPI e KRI vengono descritti in maniera nettamente diversa: i primi regolano le prestazioni aziendali, mentre i secondi riguardano, appunto, i rischi. Un esempio celebre di un KPI che non è, al contempo, anche un KRI è quello dell’ “Utile netto”.
- “L’utile netto è un KPI perché non ci dice nulla sul livello di rischio o sul controllo del rischio!” – come suggeriscono spesso alcuni autori.
Il fatto è che l’ “Utile netto” di per sé non ci dice nulla né sulla performance aziendale, né sul modo in cui si intende migliorarla.
Per poter utilizzare l’indicatore dell’ “Utile netto”, è fondamentale inserirlo in un contesto aziendale adeguato, aggiungerne i parametri limite, una linea di base, dei target, ed un piano d’azione pertinente:
- KPI: “Utile netto”
- Livello attuale: $ 200.000
- Baseline: $ 205.000
- Target: $ 300.000
- “Semaforo”: rosso
- Piano d’azione: “Abbiamo fallito a causa del team commerciale precedente. Assumiamo un nuovo team commerciale!”
BSC Designer per ottenere l'accesso immediato a 31 scorecard e modelli per i KPI. Dai un’occhiata a questo KPI! Non ti sembra un KRI adesso? Sicuramente non abbiamo delle metriche che ne valutano la probabilità e l’impatto, ma possiamo aggiungerle facilmente…
Un altro pensiero che supporta l’idea della natura simile dei KRI e i KPI:
- I KPI devono essere allineati con la strategia aziendale; e come si è determinata questa strategia? Non abbiamo utilizzato il metodo SWOT (dove T sta per “minacce”) per formulare delle ipotesi (analisi dei rischi) e delle possibili soluzioni (controllo del rischio)?
Beh, personalmente non vedo nessuna differenza essenziale tra questi due concetti. Possiamo anche parlarne nei commenti. Sicuramente i KRI sono più “orientati al rischio”; tuttavia, se necessario, un KRI può essere convertito in un KPI e viceversa.
Rappresentazione dei rischi con i KRI. Definizione degli Indicatori Chiave di Rischio.
Ora arriva la parte interessante: parliamo della gestione del rischio. Gestire i rischi implica la gestione dei processi di:
- Rilevamento/previsione delle minacce/opportunità
- Analisi della possibilità che si verifichino (la loro probabilità)
- Controllo dell’impatto/i risultati
In generale, non riusciamo a rappresentare tutti questi aspetti di un determinato rischio in un solo KRI, quindi di solito si utilizzano 3 indicatori:
- Un indicatore che misurerebbe la probabilità
- Un indicatore che misurerebbe l’impatto
- Un indicatore che valuterebbe il piano d’azione
Ad esempio, per un KRI come “Mentoring insufficiente dei dipendenti” avremmo:
- Tempo dedicato al mentoring a settimana, ore. Questo indicatore misura la probabilità del rischio: meno ore si dedicano al mentoring del proprio team, e maggiore è la probabilità che l’azienda debba affrontare le conseguenze di questo rischio.
- Indice del coinvolgimento dei dipendenti, %. Questo indicatore aiuta a comprendere l’impatto di una comunicazione inefficiente nel contesto aziendale. Se il mentoring è insufficiente, ciò implica che ci sarà meno impegno da parte dei dipendenti.
- Piano d’azione: bisogna migliorare le procedure di mentoring; un indicatore rilevante potrebbe essere, ad esempio, “Partecipazione alla formazione per la leadership, ore”. Bisogna insegnare ai manager un paradigma di leadership adeguato, che includa anche il mentoring.
BSC Designer per ottenere l'accesso immediato a 31 scorecard e modelli per i KPI. Quale tra questi indicatori è un KRI? Direi che i due indicatori relativi alla “probabilità” e all’ “impatto” formino il KRI vero e proprio, mentre l’indicatore relativo al piano d’azione rientra nell’ambito dei processi per il controllo dei rischi.
Modello per un KRI
Ecco un modello che si può utilizzare per un Indicatore Chiave di Rischio.
Modello per la gestione dei rischi:
| Indicatori del Rischio | Piano di Controllo del Rischio | Indicatori delle azioni | |
|---|---|---|---|
| Identificazione del Rischio: ______________ | Indicatore della Probabilità: ________ Indicatore dell’Impatto: _________ | Azione 1: _________ Azione 2: _________ | Indicatore 1: _________ Indicatore 2: _________ |
Facendo riferimento all’esempio mostrato prima, il modello avrà questa forma:
| Indicatori del rischio | Piano di Controllo del Rischio | Indicatore dell’azione | |
|---|---|---|---|
| Identificazione del Rischio: “Mentoring insufficiente dei dipendenti” | Indicatore della Probabilità: Tempo dedicato al mentoring a settimana, ore Indicatore dell’Impatto: Indice del coinvolgimento dei dipendenti, % | Azione 1: Migliorare le procedure di mentoring | Indicatore 1: Partecipazione alla formazione sulla leadership, ore. |
KPI Leading/Lagging vs. i KRI di Probabilità/Impatto
Nella rappresentazione di una strategia aziendale sulla mappa strategica, suggeriamo sempre di verificare che ci siano:
- Degli indicatori leading allineati con gli obiettivi aziendali,
- Degli indicatori lagging allineati con gli obiettivi aziendali e
- Un piano d’azione.
Paragona questi punti con i concetti di “probabilità”, “impatto” e “piano di controllo”, e capirai cosa intendo.
Una strategia descritta correttamente è molto simile a una corretta valutazione dei rischi e dei processi di controllo.
Come vengono visualizzati i rischi sulla mappa? La cultura del reporting.
Gli obiettivi aziendali sono delle proiezioni di una strategia definita correttamente, ed, allo stesso modo, i rischi sono delle proiezioni di un’analisi dei rischi eseguita correttamente.
- Il passaggio iniziale consiste nell’effettuare una classica valutazione dei rischi, disegnando dei diagrammi delle cause principali, effettuando dei brainstorming sui possibili problemi e stilando un elenco dei rischi.
- Il passo più importante è l’implementazione di una corretta cultura del reporting all’interno dell’azienda. I dipendenti non dovrebbero riferire soltanto dei problemi evidenti che si sono già verificati, ma anche di situazioni in cui sono stati abbastanza fortunati da evitare un problema che sarebbe potuto accadere. Tali report ti permetteranno di identificare i rischi a cui potresti non aver pensato prima.
Bisognerebbe stabilire una cultura simile a quella adottata dalla NASA: se un problema si è verificato una volta, hanno condotto una scrupolosa analisi sulle possibili cause per cui è successo, anche se non si è mai ripetuto.
Come utilizzare il Modello per la Valutazione ed il Controllo dei Rischi
Il modello per la valutazione dei rischi che ho mostrato in precedenza non è una novità, ma è necessario, proprio come è necessaria una mappa strategica nella gestione della performance aziendale. Dei numeri specifici potrebbero essere complicati da analizzare, e potrebbero non fornirti delle informazioni specifiche. Ma perché è importante utilizzare questo modello?
- Come la mappa strategica è una base fondamentale per le discussioni sulla strategia, il modello/scorecard dei rischi è una base per ulteriori discussioni relative all’identificazione e al controllo dei rischi.
In questo modo, il controllo dei rischi rientrerà progressivamente nel DNA dell’azienda, che è molto meglio di una semplice segnalazione formale dei KRI, che non ha nulla a che fare con i problemi reali.
L’elenco dei KRI più popolari
Nella versione gratuita di BSC Designer, puoi accedere a diverse scorecard dei rischi, con un totale di 89 KRI.
Per accedere a queste scorecard dei rischi, segui questi passi:
- Iscriviti con un account gratuito su BSC Designer Online
- Seleziona Nuovo > Nuova scorecard
- Clicca sul tasto Altri modelli… e scorri verso il basso, fino alla sezione dei KRI
BSC Designer per ottenere l'accesso immediato a 31 scorecard e modelli per i KPI. Non tutti questi indicatori di rischio saranno indispensabili per la tua azienda. Come per i KPI, i KRI devono essere allineati con il contesto aziendale; in caso contrario, potresti valutare e cercare di gestire dei rischi che non si verificheranno mai nella tua attività.
Software GRC: KRI su BSC Designer
Come abbiamo visto nell’articolo sulla corporate governance, non c’è particolare necessità di utilizzare un software GRC apposito.
Gli indicatori di rischio sono sempre degli indicatori: possono essere automatizzati con il software di esecuzione della strategia che stai già utilizzando al momento.
Adesso, ti mostro come gli utenti di BSC Designer tengono traccia dei propri KRI.
Definizione del piano di mitigazione dei rischi mediante le iniziative
Si può identificare un rischio per qualsiasi obiettivo sulla scorecard, utilizzando la sezione delle Iniziative.
Seleziona un obiettivo sulla scorecard e clicca sul tasto Iniziativa:
Clicca sul tasto Aggiungi iniziativa:
Inserisci i dettagli del rischio e il piano di mitigazione del rischio:
Scorecard della Trasformazione Digitale.- Cambia il tipo dell’iniziativa selezionando l’opzione “Rischio“
- Inserisci la definizione del rischio e il relativo piano di mitigazione, nel Nome e nella descrizione dei campi
- Seleziona un indicatore che verrà utilizzato per quantificare il rischio nella sezione del KPI allineato
- Assegna un eventuale budget per il piano di mitigazione del rischio
- Aggiungi un link alla documentazione di supporto
- Assegna un proprietario a questo piano di mitigazione del rischio
Visualizza i Rischi sulla dashboard
Scorecard della Trasformazione Digitale.- Passa alla scheda Dashboard
- Clicca sul tasto Aggiungi
- Seleziona Iniziative come tipo di grafico
- Seleziona l’elemento radice come origine dei dati
- Seleziona Rischio nell’elenco dei tipi di iniziative
Visualizza i rischi sulla dashboard
Scorecard della Trasformazione Digitale.- Vai alla scheda della Dashboard
- Clicca sul tasto Aggiungi
- Nei tipi di grafici, seleziona Iniziative
- Seleziona l’elemento radice come origine dei dati
- Nella sezione dei tipi di iniziativa, seleziona l’opzione “Rischio“
Definisci l’Indicatore del Rischio
Seleziona un indicatore, e scegli “Rischio” come unità di misura:
BSC Designer per ottenere l'accesso immediato a 31 scorecard e modelli per i KPI. Definisci il piano di attenuazione del rischio:
BSC Designer per ottenere l'accesso immediato a 31 scorecard e modelli per i KPI. Definisci la probabilità che si verifichi tale rischio:
BSC Designer per ottenere l'accesso immediato a 31 scorecard e modelli per i KPI. Definisci l’impatto del rischio:
BSC Designer per ottenere l'accesso immediato a 31 scorecard e modelli per i KPI. In questo caso, BSC Designer può mostrare i dati necessari sull’apposito grafico dei rischi:
BSC Designer per ottenere l'accesso immediato a 31 scorecard e modelli per i KPI. Il vantaggio principale è che gli indicatori possono essere allineati con gli obiettivi sulla mappa strategica:
BSC Designer per ottenere l'accesso immediato a 31 scorecard e modelli per i KPI. Punti fondamentali:
- I rischi non sono soltanto delle minacce, ma possono essere anche delle opportunità commerciali
- Bisogna inserire i KRI nel giusto contesto aziendale
- È fondamentale implementare una corretta cultura del reporting
- Le scorecard dei rischi sono una base fondamentale per le discussioni sui rischi
Direttore Generale | Formatore | Autore
BSC Designer è un Software di Balanced Scorecard che sta aiutando le aziende a formulare meglio le proprie strategie e a rendere più tangibile il processo di esecuzione della strategia con i KPI.