È definito dalla combinazione delle probabilità che un evento accada, e le successive conseguenze.
Qualunque tipo di iniziativa implica potenzialmente eventi e conseguenze che rappresentano possibili benefici (elementi positivi) o minacce al successo (elementi negativi). La concezione del risk management come attività legata sia agli aspetti positivi che a quelli negativi del rischio è sempre più diffusa.
Di conseguenza, viene valutato il rischio da entrambe le prospettive.
Il risk management fa parte integrante del management strategico di ogni organizzazione.
È il processo attraverso il quale le organizzazioni affrontano i rischi legati alle loro attività con lo scopo di ottenere benefici durevoli nell’ambito di ogni attività.
Il risk management deve essere un processo continuo e graduale che coinvolge tutta la strategia dell’organizzazione e la sua messa a punto.
Deve affrontare sistematicamente tutti i rischi che circondano le attività dell’organizzazione nel passato, nel presente e, soprattutto, nel futuro.
Deve trasformare la strategia in obiettivi tattici e operativi, assegnare responsabilità a ogni livello dell’organizzazione rendendo ogni manager e ogni impiegato responsabile della gestione del rischio come parte stessa dei doveri professionali.
L’identificazione del rischio si propone di misurare l’esposizione di un’organizzazione all’incertezza.
Ciò richiede una conoscenza approfondita dell’organizzazione stessa, del mercato nel quale opera, dell’ambiente legale, sociale, politico e culturale di riferimento, nonché lo sviluppo di un’adeguata comprensione dei suoi obiettivi strategici e operativi, dei fattori critici di successo e delle minacce e opportunità ad essi connessi.
L’identificazione del rischio va affrontata con metodo per garantire che tutte le attività significative all’interno dell’organizzazione siano state individuate e che tutti i rischi derivanti da tali attività siano stati determinati. Vanno infine individuate e classificate tutte le volatilità che sono legate a queste attività. La descrizione del rischio si propone di mostrare i rischi identificati in forma strutturata, ad esempio attraverso una tabella.
L’uso di una struttura progettata con cura è necessario per garantire un processo esauriente di identificazione, descrizione e valutazione del rischio. Lo studio delle conseguenze e della probabilità di ogni rischio indicato nella tabella dovrebbe permettere di dare la priorità ai rischi chiave che richiedono un’analisi più dettagliata. I rischi identificati nell’ambito delle attività commerciali e del processo decisionale possono essere classificati come strategici, progettuali, tattici, operativi. È importante inserire il risk management nella fase concettuale di un progetto nonché nel corso della vita del progetto stesso.
La stima del rischio può essere quantitativa, semi-quantitativa o qualitativa in termini di probabilità e conseguenze dell’evento. Per esempio, le conseguenze in termini sia di minacce (rischi negativi) sia di opportunità (rischi positivi) possono essere alte, medie o basse.
Le organizzazioni potranno scegliere quale fra i diversi gradi di conseguenze e probabilità soddisfa maggiormente le esigenze specifiche. Il processo di analisi del rischio genera un profilo di rischio che assegna un voto di significatività ad ogni evento e fornisce uno strumento per dare la priorità alle attività di TRATTAMENTO DEL RISCHIO. Ogni rischio identificato viene così classificato al fine di determinarne l’importanza relativa.