Perché la maggior parte delle organizzazioni evita la valutazione quantitativa dei rischi?

Nessun processo ERM che sia efficace nell’aiutare un’azienda a capire le minacce e le opportunità per raggiungere gli obiettivi creerà solo una lista di rischi. Mentre questo può essere sufficiente per un regolatore, non significa assolutamente nulla per aiutare i dirigenti a gestire meglio l’organizzazione.

Dopo l’identificazione, le aziende fanno il passo vitale di valutare i rischi per capire a quali dovrebbero dare priorità. Dopo tutto, come saprete che l’azienda si sta concentrando sui rischi e sulle opportunità giuste?

In generale, ci sono due metodi per valutare i rischi: qualitativo e quantitativo.

La valutazione qualitativa usa elementi descrittivi per classificare un particolare rischio, di solito sotto forma di una scala 1-5 o alto, medio o basso, mentre quella quantitativa usa numeri concreti come un impatto in dollari o qualche altra metrica.

I metodi quantitativi sono di gran lunga i più usati, ma come sostengono molti leader di pensiero della gestione del rischio, sono pieni di distorsioni e forniscono solo una visione statica del rischio e quindi non sono utili per il processo decisionale. I metodi quantitativi sono considerati più oggettivi e forniscono una migliore comprensione dell’impatto dei rischi sull’organizzazione, ma richiedono un certo livello di analisi dei dati e capacità di modellazione che molte organizzazioni semplicemente non hanno.

Tuttavia, questo non è il motivo principale per cui molte organizzazioni evitano i metodi quantitativi di valutazione del rischio.

È una percezione comune che solo alcuni settori selezionati, come i servizi finanziari basati sui numeri e le aziende manifatturiere, siano attrezzati per trarre vantaggio dalla valutazione quantitativa del rischio.

Le banche hanno un tesoro di metriche da cui estrarre i dati, come il tasso di insolvenza dei prestiti, il reddito da interessi, i rapporti di riserva e altro. In secondo luogo, l’industria manifatturiera ha una varietà di metriche che usa per capire le prestazioni e l’efficienza, tra cui il rendimento, l’utilizzo della capacità, la salute segnalabile e gli incidenti in sicurezza, e molto altro ancora.

Mentre le aziende finanziarie hanno più esperienza con la valutazione quantitativa, la verità è che ogni organizzazione, indipendentemente dall’industria o dal settore, avrà dei dati che possono usare…

A meno che non siate strettamente basati sulla carta (spero sinceramente che non lo siate di questi tempi), ogni organizzazione in ogni settore e industria avrà numeri. Questo può includere numeri relativi alla performance finanziaria (raccolta di fondi nel caso di un non-profit), ritenzione e turnover dei dipendenti, e metriche del servizio clienti (come le chiamate per settimana o quello che è noto come Net Promoter Score).

Se usati e comunicati correttamente, questi numeri possono raccontare una storia più solida e fattibile sui rischi rispetto a qualsiasi classifica qualitativa 1-5 o medio-alta.

Lasciatemi elaborare…

In una tipica valutazione qualitativa del rischio, ai dirigenti e ai leader delle unità aziendali viene chiesto di classificare l’impatto e la probabilità di un rischio. Con questi punteggi statici in mano, può essere sviluppata una mappa di calore, che secondo il COSO, è semplicemente “…una rappresentazione grafica della probabilità e dell’impatto di uno o più rischi.”

Il problema con le mappe di calore e altre rappresentazioni grafiche simili è che presuppongono che i rischi esistano in un punto del grafico. Questo può essere fuorviante e persino pericoloso in una certa misura, dato che gli impatti possono cambiare in base alla probabilità di un evento.

L’obiettivo finale della quantificazione dei rischi è capire la probabilità di successo…

Nel suo ultimo libro Decide to Succeed: Why and How to Apply Effective Decision Risk Management, Hans Læssøe spiega:

Lo scopo della gestione del rischio di una decisione è quello di migliorare il risultato, e quindi la vostra attenzione non deve essere focalizzata sull’incertezza, il rischio o l’opportunità in sé – ma sul parametro di performance della vostra decisione/progetto.

Come esploro in questo post e ripeto spesso, i professionisti del rischio devono comunicare in un linguaggio che i decisori possano apprezzare e capire. Pertanto, la misurazione dei rischi deve essere fatta in un modo che conti per i dirigenti. Se usati correttamente e nel giusto contesto, i dati possono supportare questo processo.

Ecco come dovrebbe funzionare grosso modo…

La vostra organizzazione ha un obiettivo (ad esempio, aumentare le entrate) e diversi obiettivi per raggiungere questo obiettivo (ad esempio, sviluppare nuovi prodotti, riproporre i prodotti esistenti in un nuovo mercato).

Lei come professionista del rischio, in coordinamento con le parti interessate, può sviluppare scenari intorno a questi obiettivi. Come spiego in un post precedente sulle domande essenziali per una pianificazione efficace degli scenari, lo scopo di alto livello è di assicurare che gli obiettivi siano quelli giusti.

I rischi possono poi essere identificati intorno a questi scenari. Tutti i dati rilevanti possono essere usati per sviluppare modelli o simulazioni Monte Carlo che possono determinare la probabilità che un particolare obiettivo venga raggiunto.

Ecco un esempio dal libro di Hans che fornisce alcuni numeri concreti sulla probabilità di raggiungere obiettivi specifici di un progetto:

Da questo grafico, possiamo vedere che c’è un 57% di possibilità che un progetto sia finito entro il tempo desiderato e un 82% di possibilità che il progetto rientri in obiettivi di budget accettabili. I dirigenti possono prendere queste informazioni per determinare se il progetto deve andare avanti così com’è, essere modificato o abbandonato.

Ma come posso ottenere i dati?

Per far funzionare modelli e simulazioni, però, è necessario avere dei dati, il che ci riporta al cuore dell’argomento di oggi.

Come ho detto prima, ogni organizzazione avrà dei dati. Tuttavia, anche senza numeri diretti come le entrate o la soddisfazione del cliente, è possibile assegnare valori numerici ad una varietà di intangibili, inclusa la reputazione. Altri esempi di intangibili oltre alla reputazione includono l’efficacia della gestione, la produttività della ricerca, l’incertezza politica – la lista è infinita.

Il libro (…e la cartella di lavoro che lo accompagna) How to Measure Anything: Finding the Value of “Intangibles” in Business di Douglas Hubbard fornisce strumenti e metodi che le organizzazioni possono usare per dare numeri ad una varietà di metriche.

Come spiega il suo libro, però, lo scopo di misurare e analizzare per il processo decisionale non è quello di produrre un risultato perfetto, ma di ridurre l’incertezza in modo che i dirigenti possano prendere la migliore decisione possibile.

Sebbene sarebbe saggio non precipitarsi nella modellazione, i metodi quantitativi stanno diventando sempre più essenziali, soprattutto perché il mondo continua a muoversi verso una sempre maggiore automazione e la società ha meno tolleranza per problemi o passi falsi.

Come fa la vostra organizzazione a superare la sfida dei dati per valutare i rischi per il processo decisionale esecutivo?