L’analisi dei rischi è un argomento ampiamente noto nella consulenza di gestione e nelle norme ISO, ma negli ultimi anni è emerso con tutta la prepotenza propria della norma imperativa.

Questo ha comportato tutti i problemi del caso, fra cui roboanti annunci, fantasiose improvvisazioni e anche un eccessivo filosofeggiare sul concetto di rischio.

Ciò conduce a storie molto simili a quella di Talete che, tanto impegnato ad osservare le stelle, cadde nel pozzo non avendo cura di dove metteva i piedi.

Meme della settimana: il rischio delle analisi dei rischi

L’esigenza di un approccio pratico in relazione ad un argomento che per sua natura definisce l’incertezza richiede non solo un certo grado di equilibrio nel ragionare, ma soprattutto consiste nel considerare sempre lo scopo dell’analisi dei rischi, soprattutto nell’ambito di obblighi legali cogenti: fondare un processo decisionale.

Fondare comporta però un approccio ex ante e non una ricerca di giustificazione ex post.

Non aver chiaro questo punto si rivela fatale per le strategie dell’organizzazione, dal momento che distorce la funzione propria dell’analisi dei rischi e crea l’illusione di fondamenta che invece rimangono solo su carta. Ridurre l’analisi dei rischi ad una strategia difensiva postuma significa abbandonare, di fatto, il percorso del ragionamento di gestione. E da qui, il pozzo.

Una ricerca continua di metodo

L’analisi dei rischi perfetta non esiste, ma deve essere in grado di combinare il perseguimento degli obiettivi (efficacia) e l’impiego di risorse (efficienza) per il conseguimento di un risultato ottimale e sostenibile da parte dell’organizzazione. Questo significa che non può essere statica, ma che si colloca in una dimensione dinamica in forza della quale si evolve con il contesto e con i nuovi metodi che è possibile impiegare e declinare. Insomma: è un processo deve tendere al miglioramento continuo.

Certamente, esistono dei comuni denominatori metodologici che sono stati codificati nelle buone prassi condivise che si ritrovano non solo nelle normative di carattere volontario anche all’interno delle leggi. Un esempio è quello dell’esigenza di integrare i rischi ICT derivanti dai fornitori, che si trova espressamente tanto nel regolamento DORA quanto nella NIS 2, che coincide con le indicazioni già presenti nelle norme ISO. Dopodiché, possono essere selezionati approcci più o meno rigorosi, ma questi sono rimessi alla libertà di ciascuna organizzazione di definire le proprie strategie. Approcci che però vanno ridefiniti nel tempo attraverso un riesame e spirito critico.

Insomma: ironia della sorte e della semantica, quel che si deve evitare nelle analisi dei rischi soprattutto in contesti mutevoli come quello digitale e della normativa di legal tech, è proprio…un rischio.

Anzi, più d’uno. Per esempio quello di cadere nel pozzo di uno stallo decisionale, o altrimenti innamorarsi eccessivamente di un metodo o di un determinato risultato. Perché il passo da Talete a Narciso è breve, ma non è possibile considerarlo un miglioramento.