Nella vita di tutti i giorni si è a volte portati ad attribuire al "fato" un ruolo tutt’altro che marginale. La convinzione che determinati accadimenti siano il frutto inevitabile di eventi che sfuggono al nostro controllo è piuttosto radicata ma, spesso, priva di reali giustificazioni.
Tuttavia, molta dell’incertezza attribuibile agli eventi umani dei singoli o delle loro aggregazioni, più che al fato, sarebbe da attribuire all’incapacità, ovvero alla mancata abitudine di analizzare e cercare di prevedere i potenziali eventi avversi.

Quante situazioni di difficoltà potrebbero essere previste, gestite o trasferite a terzi, se solo si accettasse l’idea che occorre adottare delle modalità di gestione dei rischi.
Si tratta di attualità in merito alle quali le aziende possono ora usufruire del contributo della normazione tecnica. Il riferimento, in particolare, è alla recente pubblicazione in Italia della norma UNI 11230:2007 "Gestione del rischio - Vocabolario", che fissa la terminologia fondamentale relativa alla gestione del rischio e rappresenta un riferimento in materia per tutte le organizzazioni.
Essa trae la propria origine dalla guida ISO 73, ma è anche il frutto di un’attenta analisi metodologica svolta da un gruppo di studio istituito nel 2002 e da un gruppo di lavoro che ha visto l’attiva partecipazione di una pluralità di parti interessate, del mondo accademico all’industria, sino al settore bancario.
Occorre anche sottolineare che la norma italiana UNI 11230:2007 anticipi di fatto i lavori ISO e CEN in materia.

Ma in che cosa consiste il rischio per un’azienda?
Primo tra tutti, per un’impresa che ha buone speranze di redditività sul mercato, vi è il rischio di comportamenti sleali da parte dei possibili concorrenti e anche da parte degli stessi dipendenti.
Esistono, per altro, anche dei rischi cosiddetti puri, cioè legati a eventi destinati a intaccare il patrimonio e non l’operatività dei processi, se non in modo indiretto: si pensi a un incendio, al terremoto o a un’esondazione.
In diversi casi, vuoi per obbligo di legge vuoi per richiesta delle compagnie di assicurazione, tali rischi, specialmente quelli puri, sono stati messi "in controllo" con adeguate misure tecniche e organizzative.
Altri, come, ad esempio, il cosiddetto rischio di cambio per chi esporta, ovvero il rischio di non approvvigionarsi di materie prime o semilavorati, o quello di non essere pagati dopo la fornitura di merce o di servizi, non sono stati spesso sottoposti a salvaguardie tecniche e organizzative.

Probabilmente, oggi, a fronte dell’introduzione dei parametri bancari conosciuti - si spera - sotto il nome di Basilea 2, tali valutazioni di rischio operativo diventeranno maggiormente note, sia per le banche sia per le stesse imprese.
Le leggi cogenti, per altro, hanno introdotto anche una forte attenzione sui rischi legati alla salute e sicurezza sul lavoro e, più di recente, sui rischi ambientali. Molto più di recente, sono stati sottoposti a tutela anche i rischi per le possibili violazioni della privacy del cittadino e per alcuni aspetti di sicurezza delle informazioni (tutela delle banche dati).
Molti settori regolamentati, come la guida su strada, sono stati sottoposti a tutela, anch’essi, già da moltissimo tempo, proprio come risposta al rischio di incidente provocato dalla guida contraddistinta da imperizia o da imprudenza.
Quindi la salvaguardia dei beni di un’organizzazione è legata alla capacità dei diretti responsabili di prevedere la possibili minacce ai beni gestiti, fisici e immateriali.
Tra questi ultimi, oltre alle informazioni critiche andrebbero considerate anche le competenze dei lavoratori per lo svolgimento di specifiche attività e per la conduzione di specifici processi. Anche tali competenze dovrebbero essere oggetto di attenta tutela.

Le possibili fonti di pericolo generico per un’organizzazione sono diverse, andando dallo spionaggio industriale alle frodi, comprendendo anche gli errori umani in attività critiche, i ricatti e le estorsioni per arrivare agli atti di terrorismo, materiale o informatico.
Ebbene, queste minacce, e le altre più o meno direttamente correlabili alla salvaguardia dei beni aziendali, sono ben note. Non tenerne conto e incorrere in danni più o meno gravi, se non esiziali per le aziende, non significa che il “fato” ci è avverso, ma che non si è adottato un approccio vigile e consapevole alla gestione della sicurezza dei beni, altrimenti chiamata gestione dei rischi che incidono sulla security.

Ecco allora l’importanza di essere vigili e di effettuare delle analisi dei possibili rischi e dei "sintomi" che possono renderceli espliciti e noti. Ecco l’importanza di definire delle modalità organizzative e tecniche per gestirli, al fine di evitare di subirne gli effetti. Gestione del rischio, quindi, adottata con un approccio scientifico e sistematico.
Ed è proprio a questa esigenza che la norma UNI 11230 intende dare risposta. Solo con un approccio improntato alla scientificità e sistematicità, basate su di un riferimento affidabile come la norma UNI, sarà possibile trasformare un "fato" considerato ineluttabile in una serie di fattori oggettivi, di fronte ai quali l’azienda potrà sviluppare una serie di strategie per interpretarli e governarli.
Si tratta di far crescere, anche grazie all’ausilio delle norme tecniche, una vera "cultura del rischio", basata sulla convinzione che l’errore, più che un momento di crisi per l’organizzazione, può diventare, se adeguatamente analizzato, un’opportunità di crescita e di miglioramento.

Riccardo Bianconi
Esperto UNINFO