Il rischio operativo riguarda l’esecuzione dei processi e gli aspetti che possono compromettere o potenziare i risultati che se ne devono trarre. Tra i processi primari – cioè quelli che alimentano direttamente la linea di fornitura al cliente (di solito i processi di offerta, sviluppo, produzione) e i processi di supporto (quelli che forniscono informazioni, materiale, strumenti, ai processi primari – ad esempio gestione della documentazione, delle risorse umane, della strumentazione), l’analisi del rischio gestionale avrà già mostrato quali siano i più critici o i più promettenti, ed è su questi che si deve concentrare in prima battuta l’analisi del rischio operativo. In generale, un’analisi del rischio sul processo di offerta ha l’obiettivo di contribuire a far emergere le minacce insite nell’occasione commerciale, ma anche le opportunità che si presentano, consentendo alla direzione di decidere quali avventure commerciali perseguire e quali declinare, oltre a dare indicazioni al processo successivo sugli aspetti da tenere sotto controllo. Un’altra area che merita un’attenzione speciale dal punto di vista del rischio è infatti la gestione della commessa, una volta acquisito un ordine, o di sviluppo di un prodotto o servizio.
Le organizzazioni che basano la propria attività produttiva in modo preponderante su elementi di acquisto avranno la necessità di tenere sotto controllo i rischi generati dai fornitori critici o dalle forniture di grossa entità. Il processo produttivo necessita un controllo che va definito tramite una specifica analisi del rischio. Organizzazioni che hanno un’alta produzione intellettuale svolgeranno un’analisi del rischio anche sulla gestione delle risorse e delle competenze, le ditte di trasporti su tutto il processo di movimentazione delle merci, e così via.
Sì, ma come? L’analisi del rischio operativo più semplice può essere svolta radunando attorno a un tavolo per un brainstorming i responsabili del processo in analisi e dei processi che con esso hanno relazioni (dovendo fornire input, utilizzare output, condividere risorse…) e, già che ci siamo, si può chiedere che etichettino i rischi individuati con un valore di impatto sugli obiettivi (o gravità) e un valore di probabilità di accadimento. È proprio il prodotto di impatto I e probabilità P che viene definito rischio R. Più alto il rischio così definito, più importanti e urgenti dovranno essere le azioni da individuare per mitigarlo, trasferirlo o decidere di accettarlo, se si parla di rischi negativi o minacce (Rm). Oppure, se si tratta di cogliere opportunità dall’incertezza che si viene a generare, le si possono etichettare con un valore di vantaggio V e un valore di probabilità P di successo (Ro). La stessa norma ISO 9001 sottolinea che “le azioni devono essere commisurate al rischio” – che non si spari a una mosca con un cannone, insomma. Matrici simili a quelle in figura 2 aiutano nel determinare l’entità della minaccia o dell’opportunità e nel definire azioni adeguate per impegno di risorse e urgenza.
Nel prossimo articolo affronteremo uno strumento che consente un’analisi del rischio operativo di un processo in modo più articolato e completo.