Warning: Undefined variable $p in /web/htdocs/www.tsiouras.it/home/wp-content/plugins/efficient-related-posts/efficient-related-posts.php on line 317
Nell’ambito delle norme dei Sistemi di Gestione, almeno per la mia esperienza personale, il termine Risk Appetite si riscontra nella norma ISO 22301(*). La norma precedente BS 25999-2 (**)(non più valida perché è stata sostituita dalla ISO 22301) il termine non lo citava anche se la corrispondente linea guida BS 25999-1 (***) lo trattava con una certa importanza.
Il termine Risk Appetite si riscontra invece nel settore finanziario ed in particolare nel settore bancario.
La ISO 22301 definisce il Risk Appetite come la quantità e il tipo di rischio che l’organizzazione decide di perseguire, mantenere o adottare.
La definizione che dà, invece, la norma BS 25999-1 è la seguente: quantità del rischio complessivo che un’organizzazione è disposta ad assumere, tollerare o esporsi in ogni situazione.
Il Risk Appetite riflette l’inclinazione dell’organizzazione al rischio ed in modo specifico l’inclinazione dell’alta direzione che influenza le strategie di crescita del valore e il modello di business adottato. È la propensione con la quale l’organizzazione decide di esporsi ai rischi ai quali si affaccia nel portare avanti il proprio business. In realtà, il Risk Appetite può assumere varie forme e diversi livelli di complessità che sono in funzione della cultura aziendale, della filosofia dell’alta direzione e delle esigenze e aspettative degli stakeholder e si concretizzano nella risk policy e obiettivi, nella pianificazione, nei criteri di gestione dei rischi, nell’accettazione dei rischi e nella scelta e implementazione dei trattamenti dei rischi.
Ogni organizzazione è un mondo a parte, caratterizzato da un proprio Risk Appetite, indipendentemente dal fatto che lo dichiari o meno in modo strutturato o lo esprime in modo informale.
Il Risk Appetite si riflette nelle azioni del management e nel processo decisionale. Nel settore finanziario il Risk Appetite è un framework (infrastruttura) e costituisce un elemento essenziale per un’efficace gestione del rischio e deve essere incorporato in alcuni processi chiave, tra cui la pianificazione strategica e il budgeting, al fine di guidare le decisioni di business. Le norme dei sistemi di gestione non richiedono espressamente la messa in atto di un Risk Appetite framework. In ogni caso la ISO 22031 richiede l’identificazione documentata del Risk Appetite (par. 4.1.c.) a fronte del quale devono essere stabiliti i criteri per la gestione del rischio (par. 4.1.(3)) e la scelta e implementazione di appropriati trattamenti dei rischi in conformità al Risk Appetite (par. 8.3.3).
Naturalmente, per soddisfare questi requisiti è necessario creare nell’ambito del Sistema di Gestione un approccio robusto e strutturato e implica il coinvolgimento attivo del vertice dell’organizzazione e dell’intera struttura e richiede il rafforzamento della cultura del rischio all’interno dell’azienda.
(*) ISO 22301: 2012 Societal security – Business continuity management systems – Requirements
(**) BS 25999-2: 2007 Business continuity management – Part 2: Specification
(***) BS 25999-1: 2006 Business continuity management – Part 1: Code of practice