Tutti fanno la valutazione dei rischi, ma la fanno bene?
Le valutazioni del rischio sono diventate onnipresenti. Sebbene siano per lo più inconsci e "automatici", sono sempre più obbligatori nell'ambiente di lavoro e regolati da leggi e norme. Tuttavia, il sostegno concreto all'effettiva attuazione è stato scarso. Pertanto, le persone coinvolte commettono regolarmente errori più o meno evidenti. Vengono presentati approcci per migliorare le valutazioni del rischio.
Le valutazioni dei rischi più o meno grandi vengono effettuate quotidianamente, ad esempio nel traffico stradale, nello sport o in ambito medico. Inoltre, esistono molte altre valutazioni dei rischi che vengono effettuate in ambito professionale per vari motivi. Queste valutazioni vengono utilizzate, tra l'altro, per decidere gli investimenti, per stimare le spese, per assicurare la sicurezza dei prodotti o per garantire l'affidabilità dei servizi.
È interessante osservare che le valutazioni dei rischi vengono effettuate da tutti i livelli aziendali, sia su piccola che su grande scala. La portata della decisione risultante non dipende dal livello gerarchico. Ad esempio, la valutazione di una potenziale minaccia terroristica da parte di una guardia di sicurezza può avere conseguenze più ampie nel breve termine rispetto a una decisione di investimento da parte del management. Ciò dimostra che la qualità delle valutazioni del rischio e delle decisioni che ne derivano è molto importante a tutti i livelli dell'azienda. Molte di queste valutazioni vengono fatte inconsciamente, implicitamente o automaticamente, anche nell'ambiente aziendale. Tuttavia, alcune di queste valutazioni vengono effettuate esplicitamente perché necessarie per motivi di governance e/o di conformità.
Risultati ed errori tipici
Almeno le valutazioni del rischio effettuate per motivi di buon governo o di conformità dovrebbero rispettare determinate regole e standard minimi. A prescindere dall'importanza della valutazione del rischio, tuttavia, commettiamo regolarmente degli errori nel processo, a volte consapevolmente, a volte inconsapevolmente. Dal punto di vista dell'autore, questi possono essere suddivisi grossomodo in tre categorie:
- Fonti di errore definitorio
- Fonti di errore procedurali
- Fonti cognitive di errore
Rischi che non sono rischi: Il gruppo delle fonti di errore definitorio comprende, tra l'altro, definizioni di rischio errate, insufficienti o non condivise. Ciò rende difficile una valutazione corretta. In questo caso si nota - ma solo a un'analisi più attenta - che spesso non c'è un'intesa comune tra le persone coinvolte. Questo fatto da solo è problematico. Inoltre, i rischi di solito non sono coerentemente collegati agli obiettivi aziendali. Questo è problematico anche perché la rilevanza dei rischi non è necessariamente data. Infine, le catene causa-effetto non vengono esaminate più da vicino per definizione. Invece, "per ragioni pragmatiche", ci si accontenta spesso di semplificazioni, che però raramente rendono giustizia alla reale complessità dei rischi.
Tutti questi fattori fanno sì che in molti portafogli di rischio non siano elencati solo i rischi, ma vi siano più risk driver, ossia fattori che influenzano il rischio effettivo, oppure vi siano incertezze, ossia situazioni o scenari che potrebbero trasformarsi in un rischio effettivo in un momento successivo, ma che non necessariamente lo diventeranno. La distinzione tra rischio e incertezza viene fatta sulla base delle probabilità e del grado di concretizzazione delle conseguenze. Poiché le incertezze possono avere anche un effetto positivo, a volte vengono chiamate anche "opportunità".
Insomma, non è raro che vengano effettuate valutazioni del rischio per rischi che non sono tali. Questo rende la valutazione molto difficile e la controllabilità quasi impossibile.
Processo di valutazione del rischio - immaturo, improprio, incompleto: Le carenze nella definizione hanno un impatto diretto sul processo di valutazione. Oltre alle già citate fonti di errore definitorio, nuove e ulteriori fonti di errore si nascondono anche nel processo di valutazione stesso. Oltre ai potenziali di errore piuttosto evidenti (ad esempio, errori di inserimento manuale, errori di valutazione individuali, errori intenzionali, ecc:
- La selezione e la composizione dei partecipanti a un workshop sul rischio possono da sole influenzare in modo significativo il risultato.
- La scelta del metodo ha un'enorme influenza sul risultato e sulle decisioni che ne derivano. La crisi finanziaria fornisce un esempio lampante della scelta di un metodo inadatto: prima della crisi finanziaria, tutte le banche si affidavano quasi esclusivamente al metodo del valore a rischio per calcolare il rischio e hanno realizzato perdite gigantesche quando i mercati ipotecari sono crollati. Questo perché il metodo mostra valori di rischio realistici solo se le condizioni generali rimangono costanti. In caso di crollo completo del mercato, i valori di rischio determinati sulla base di questo modello non sono corretti.
- Valutare i rischi sulla base delle probabilità: Ci sono casi in cui questo funziona bene e ha senso. Tuttavia, spesso manca una base statistica adeguata per una valutazione corretta, ad esempio, o le persone coinvolte sovrastimano in modo massiccio. Inoltre, le probabilità offrono anche un notevole potenziale di errore nella successiva valutazione dei risultati. Scienziati come Gigerenzer e Kahneman & Tversky hanno dimostrato in modo impressionante che in molti casi le probabilità sono piuttosto inadatte alla valutazione del rischio.
- Alla fine del processo di valutazione del rischio, il risultato viene solitamente presentato sotto forma di matrice visiva. Anche se la cosiddetta matrice di rischio è molto diffusa, questa presentazione porta spesso a palesi errori di interpretazione dovuti alla condensazione delle informazioni.
- Le classifiche sono ancora più pericolose (perché sono fuorvianti). Gli approcci di classificazione basati sulla moltiplicazione degli assi (probabilità per entità del danno) sono particolarmente pericolosi. A parte il fatto che le variabili indipendenti non devono essere confuse tra loro, non sono nemmeno possibili da un punto di vista matematico (scale ordinali).
Trappole cognitive: Il terzo gruppo di potenziali di errore comprende aspetti cognitivi che hanno un forte effetto sul processo, a seconda dei casi. I seguenti effetti sono una selezione estremamente abbreviata dei risultati ottenuti dai professori Gigerenzer e Kahneman & Tversky, che da anni lavorano intensamente su questi temi. Essi influenzano in modo significativo l'intero processo di valutazione e quindi il risultato. Per il lettore interessato, alla fine dell'articolo sono riportati i consigli per una lettura più approfondita:
In primo luogo - Illusione di certezza: le persone tendono a cercare la certezza. A volte questo si spinge fino al punto di preferire un "valore di rischio preciso" (anche se è sorto in modo discutibile o potrebbe addirittura essere sbagliato) a una gamma approssimativa di importi (anche se questa gamma è molto più realistica).
In secondo luogo - Effetto ancora: nel contesto di una discussione di gruppo sulla valutazione del rischio, può accadere che qualcuno, consciamente o inconsciamente, fissi una cosiddetta "ancora" proponendo un valore X. Di conseguenza, spesso si discute solo dell'aggiustamento del valore, invece di metterlo completamente in discussione o di contrapporne uno completamente diverso. Di conseguenza, spesso si discute solo di aggiustare il valore, invece di metterlo completamente in discussione o di contrapporne uno completamente diverso.
In terzo luogo - Sopravvalutazione di se stessi: i leader tendono a sopravvalutare il proprio giudizio o meglio la qualità del proprio giudizio. Questo effetto tende a essere ancora più pronunciato nel caso di persone di particolare successo (perché nella loro percezione hanno fatto molte cose giuste fino a quel momento), nel caso di alcuni tratti della personalità e nel caso di aspetti situazionali.
Quarto - Effetto Framing: questo effetto descrive il fatto che teoricamente gli stessi problemi nelle stesse condizioni dovrebbero essere decisi in modo identico dalle stesse persone, anche se sono formulati in modo leggermente diverso. Tuttavia, questo non è esattamente il caso: anche lievi deviazioni nella descrizione del problema (cioè la "cornice") possono portare a decisioni completamente contraddittorie o opposte. Esistono diverse altre trappole cognitive, come l'effetto congiunzione, l'errore di valutazione del giocatore o gli aspetti del pensiero di gruppo, che possono giocare un ruolo non trascurabile nel processo di valutazione del rischio. Anche Gigerenzer e Kahneman & Tversky parlano di "euristiche e pregiudizi" in questo contesto. In sintesi, le valutazioni del rischio sono massicciamente influenzate da questi effetti cognitivi delle persone che agiscono. In combinazione con gli aspetti definitivi e procedurali descritti in precedenza, una valutazione del rischio può portare rapidamente a un risultato politicamente desiderato, ma forse piuttosto irrealistico.
Esistono diverse altre trappole cognitive, come l'effetto di congiunzione, la mancanza del giocatore d'azzardo o gli aspetti del groupthink, che possono giocare un ruolo non trascurabile nel processo di valutazione del rischio. Anche Gigerenzer e Kahneman & Tversky parlano di "euristiche e pregiudizi" in questo contesto.
In sintesi, le valutazioni del rischio sono massicciamente influenzate da questi effetti cognitivi delle persone che agiscono. In combinazione con gli aspetti definitivi e procedurali descritti in precedenza, una valutazione del rischio può portare rapidamente a un risultato politicamente desiderato, ma forse del tutto irrealistico.
Di conseguenza, l'iniziatore o il moderatore di un processo di valutazione del rischio deve essere consapevole di questi effetti e garantire, attraverso misure, selezione e moderazione appropriate, che questi effetti siano eliminati o bilanciati il più possibile. La nuova versione 2019 della norma ISO 31010 offre un aiuto molto efficace a questo proposito.
ISO 31010:2019 - uno standard utile per la valutazione del rischio
Con la nuova edizione completamente rivista della ISO 31010:2019 "Tecniche di valutazione del rischio", pubblicata nel 2019, è ora disponibile una nuova opera di riferimento. Questo standard (circa 40 pagine) fornisce una guida dettagliata su come dovrebbe procedere una "valutazione del rischio" secondo gli esperti, su quali aspetti dovrebbero essere considerati e su quali dei 41 metodi descritti potrebbero essere utilizzati. Come tutti gli standard ISO, si basa su un consenso minimo. Ciò significa che non ci sono requisiti obbligatori, ma solo raccomandazioni. Se l'utente segue le raccomandazioni, ciò viene interpretato come "buona pratica".
La precedente versione della ISO 31010 del 2009 presentava significative debolezze in termini di contenuti ed era troppo fortemente orientata verso la "norma madre" 31000 (Risk Management). In particolare, i seguenti aspetti sono nuovi nella versione ISO 31010:2019:
Ambito di applicazione ampliato: Nell'ambito della revisione, il campo di applicazione è stato innanzitutto ripulito e ampliato. L'idea di base è che la 31010 non sia applicabile solo nel contesto della ISO 31000, ma copra il maggior numero possibile di casi diversi in cui potrebbe essere richiesta una "valutazione del rischio". Va sottolineato che anche l'incertezza esplicita può essere un caso applicativo.
Concetto di base e processo rivisti: Mentre la versione originale era strettamente basata sulla ISO 31000, la nuova versione si concentra sull'applicazione e sui benefici. Pertanto, l'intero testo e l'intero processo di "valutazione del rischio" sono stati rivisti da zero.
Aggiunta di aspetti di implementazione: Sulla base della stessa considerazione, è stato aggiunto un capitolo supplementare con aspetti e suggerimenti che, dal punto di vista degli esperti, dovrebbero essere presi in considerazione in un'implementazione.
Link all'appendice: Una delle principali critiche mosse alla versione precedente era la mancanza di un collegamento tra il processo e i numerosi metodi in appendice. Per questo motivo, durante la revisione è stata prestata particolare attenzione a questo aspetto in innumerevoli punti e nella nuova versione sono stati inseriti riferimenti appropriati.
Scelta dei metodi: Per aiutare gli utenti, sono stati redatti anche una guida e dei criteri per facilitare l'utente nel filtrare il metodo più adatto alla sua situazione e alle sue esigenze dal gran numero di metodi elencati nell'appendice.
Revisione dell'allegato: Infine, l'inventario dei metodi è stato completamente rivisto. Alcuni dei 31 metodi precedenti sono stati eliminati, altri sono stati aggiunti. Per tutti i 41 metodi ora elencati nello standard, è stata definita una griglia uniforme di due pagine per metodo, che dovrebbe garantire informazioni più complete e la comparabilità per metodo.
Nel complesso, questa revisione della ISO 31010:2019 fa un salto di qualità in termini di contenuti rispetto alla versione precedente. In sintesi, tuttavia, va chiaramente sottolineato che la norma - in senso figurato - non va intesa come un manuale di costruzione, ma piuttosto come una guida per l'uso adeguato della "cassetta degli attrezzi" disponibile.
Prospettive e suggerimenti per la prossima valutazione
Data la qualità della nuova norma ISO 31010:2019, si raccomanda l'utilizzo della norma per la prossima valutazione. In riferimento ad alcuni punti deboli esplicitamente affrontati nelle valutazioni dei rischi, i seguenti suggerimenti potrebbero essere particolarmente utili:
- Assicuratevi che l'approccio scelto sia adeguato alla reale complessità del problema. Ciò include la scelta di uno "strumento/metodo appropriato" per la valutazione.
- Poiché in molti casi le probabilità sono soggette a errori, si raccomanda l'uso delle frequenze.
- Le scale ordinali dovrebbero essere evitate, ove possibile, e sostituite da scale numeriche. Questi permettono poi di calcolare con loro in un secondo momento.
- Lavorare e valutare in larghezze di banda, poiché i valori esatti (non sono affatto possibili, ma) si adattano solo a condizioni particolari e quindi offrono una sicurezza fasulla.
- Osservate più da vicino le catene di causa-effetto per distinguere i rischi reali da quelli di chi li guida. I rischi sono valutabili, i driver sono controllabili.
- Se necessario, consultare uno specialista.
- Assicurarsi che i presupposti e il quadro della valutazione del rischio siano ben documentati per riferimenti futuri.
La conduzione delle valutazioni del rischio è un processo di apprendimento e se si tiene conto almeno della maggior parte dei punti citati, la qualità della prossima valutazione del rischio sarà notevolmente migliorata.
L'autore
Axel Sitt, Practice Lead Cyber Security & Privacy di AWK Group AG. Ha conseguito un dottorato di ricerca in gestione del rischio e lavora da 20 anni nei settori della gestione del rischio e delle crisi, dell'ICS e della sicurezza informatica. Dal 2012 è delegato per la Svizzera presso l'ISO, dove ha lavorato all'aggiornamento della norma 31000 e, in modo significativo, alla revisione della norma 31010.
Riferimenti
Gerd Gigerenzer: L'Eimalein dello scetticismo
sul modo giusto di trattare i numeri, Verlag Piper
Daniel Kahneman: Pensiero veloce, pensiero lento. Libri Penguin
ISO: 31010:2019 Tecniche di valutazione del rischio (ottenibile tramite SNV)