Prima che un'azienda possa valutare o mitigare il rischio aziendale, deve prima identificare i rischi probabili o probabili ai suoi profitti. Non esiste un metodo sicuro per identificare questi rischi, ma le aziende si affidano all'esperienza passata per approssimare ragionevolmente ciò che potrebbe accadere. I processi di rischio si evolvono e maturano naturalmente nel tempo, ma ci sono alcuni principi fondamentali che rimangono costanti.
Valutare i rischi aziendali
I rischi aziendali sono disponibili in tutte le forme e dimensioni. Ciò significa che un'efficace valutazione del rischio deve essere adattabile o progettata in modo univoco per specifici pericoli. Ove possibile, un'azienda dovrebbe raggruppare rischi simili in processi analitici comparabili.
Idealmente, una società dovrebbe allocare il capitale in base al rischio determinato dall'analisi costi-benefici. Ogni processo di identificazione del rischio dovrebbe condurre a un'analisi efficace e ogni analisi dovrebbe informare il governo societario.
Analisi interne contro rischi esterni
Due grandi forme di rischio riguardano principalmente un'azienda: interna ed esterna.
Rischi esterni
I rischi esterni sono quelli che hanno origine al di fuori dell'azienda e comprendono tendenze economiche, regolamentazione del governo, concorrenza nel mercato e cambiamenti dei gusti dei consumatori. I rischi interni (specifici dell'azienda) comprendono le prestazioni dei dipendenti, il fallimento procedurale e l'infrastruttura difettosa o insufficiente.
La valutazione del rischio esterno è quasi sempre ricca di dati. Poiché la maggior parte dei rischi esterni sono sistemici per un sistema economico - e quindi al di fuori del controllo dell'azienda - le previsioni non possono essere adattate sulla base di diverse decisioni di governo societario.
La valutazione esterna inizia classificando i rischi potenziali. Alcune scale sono nominali e alcune sono ordinali. Le aziende preferiscono le categorie nominali perché sono più facili da manipolare e confrontare. Le tecniche quantitative, come il benchmarking o la modellazione probabilistica, si adattano ai nuovi dati man mano che arrivano. Le aziende possono quindi tracciare gli indicatori pertinenti e creare soglie di rischio accettabile per un determinato progetto.
Rischi interni
I rischi interni incidono su processi molto più specifici e controllabili. Le aziende utilizzano la valutazione del rischio operativo per il rischio di perdita derivante da decisioni aziendali inadeguate. La valutazione del rischio di conformità è fondamentale, in particolare in settori strettamente controllati, come quello bancario o agricolo.
I rischi di revisione interna devono essere valutati, in particolare per le società quotate in borsa. Non molto tempo fa le aziende hanno semplicemente operato secondo pratiche standard del settore. Le aziende moderne, tuttavia, valutano i rischi interni considerando la probabilità e l'impatto su obiettivi specifici.
