Propensione al rischio: quanto rischio un’organizzazione decide di accettare
La propensione al rischio è la quantità e il tipo di rischio che un’organizzazione è disposta ad assumersi per perseguire i propri obiettivi, ciò che in inglese si chiama risk appetite. È una nozione che precede ogni decisione di sicurezza, perché stabilisce il metro con cui giudicare tutte le altre: non si può decidere quanto spendere per proteggersi, né quali minacce monitorare per prime, senza avere prima stabilito quanto rischio si è disposti a tollerare. Senza una propensione al rischio dichiarata, le scelte di sicurezza diventano arbitrarie, frutto dell’istinto di chi decide in quel momento, e l’organizzazione finisce per accettare rischi che non ha mai scelto consapevolmente di correre.
Definirla è un atto di governo, non un esercizio tecnico. Significa che i vertici di un’impresa, e non il reparto di sicurezza, dichiarano in modo esplicito fin dove sono disposti a spingersi nell’esposizione al rischio in cambio dei risultati che vogliono ottenere. È la cerniera che collega gli obiettivi di business alle decisioni operative di protezione, e trasformarla da intuizione implicita a dichiarazione esplicita è uno dei passaggi più sottovalutati della governance della sicurezza.
Propensione e tolleranza: due concetti da non confondere
Il vocabolario della gestione del rischio distingue due nozioni vicine ma diverse. La propensione al rischio, secondo il vocabolario ISO della gestione del rischio (ISO Guide 73), associato alla norma ISO 31000, è la quantità e il tipo di rischio che l’organizzazione è disposta a perseguire o mantenere: è una grandezza strategica e aggregata, che esprime un orientamento complessivo. La tolleranza al rischio, invece, è la disponibilità a sopportare un rischio dopo il suo trattamento, ed è una misura più puntuale, riferita al singolo rischio e ai limiti concreti entro cui esso può oscillare.
Vale la pena aggiungere che lo stesso concetto di propensione al rischio non è pacifico. Una parte della comunità che cura le norme ISO lo considera ambiguo e preferisce ragionare in termini di criteri di rischio, cioè i parametri espliciti con cui si giudica se un rischio è significativo, e proprio per questo l’edizione 2018 della norma ISO 31000 ha ridotto al minimo il proprio glossario. Per le decisioni di governo, tuttavia, l’idea di dichiarare quanta esposizione si è disposti ad accettare resta uno strumento utile e largamente adottato, ed è in questo senso pratico che la useremo.
In pratica, la propensione dice “questo tipo di rischio lo accettiamo, quest’altro no”, mentre la tolleranza fissa le soglie operative entro cui un rischio accettato può muoversi prima che scatti un intervento. La prima è una bussola, la seconda è un termometro con una linea rossa. Le linee guida del NIST sulla gestione del rischio inquadrano proprio questo passaggio, dalla definizione del contesto e della tolleranza alla scelta tra le possibili risposte: accettare un rischio, evitarlo, mitigarlo, trasferirlo o condividerlo.
Perché serve dichiarare la propensione al rischio
Il valore di una propensione al rischio esplicita sta nel rendere consapevole ciò che altrimenti resta implicito. Ogni organizzazione, lo dichiari o meno, una propensione al rischio ce l’ha già: è semplicemente la somma delle decisioni che prende ogni giorno. Il problema è che, se non viene formalizzata, quelle decisioni vengono prese in ordine sparso, da persone diverse, con criteri incoerenti, e nessuno è in grado di dire se nel complesso l’azienda stia correndo troppi rischi o troppo pochi.
Dichiararla serve a portare quella scelta dove deve stare, cioè al consiglio di amministrazione, che ne risponde. È il vertice a possedere la propensione al rischio, perché solo il vertice ha la visione d’insieme degli obiettivi dell’impresa e l’autorità per accettare formalmente un’esposizione in nome di un risultato. Una volta dichiarata, la propensione diventa il riferimento condiviso che permette al reparto di sicurezza di dire di sì a un progetto rischioso ma strategico, o di no a una spesa sproporzionata, senza dover rinegoziare ogni volta da zero il significato di “rischio accettabile”.
C’è anche un beneficio di responsabilità. Quando la propensione è esplicita e di proprietà del vertice, l’accettazione di un rischio diventa una decisione tracciabile, presa consapevolmente da chi ne ha l’autorità, e non un’omissione di cui nessuno si fa carico. Se in seguito quel rischio si materializza, la differenza tra “avevamo deciso di accettarlo, nei limiti dichiarati” e “non ci avevamo pensato” è enorme, sul piano sia gestionale sia, sempre più spesso, normativo.
Il risk register: dove la propensione diventa operativa
Tra la dichiarazione di principio e la realtà quotidiana c’è uno strumento che fa da ponte: il registro dei rischi, il risk register. È l’elenco strutturato dei rischi che l’organizzazione ha individuato, ciascuno con il proprio responsabile, una stima di probabilità e impatto, il trattamento previsto e il livello di rischio che resta dopo le contromisure, il cosiddetto rischio residuo. Il registro è il luogo in cui la propensione al rischio smette di essere un’affermazione astratta e si misura con i rischi concreti dell’impresa.
Il meccanismo è semplice nel principio: per ogni rischio si confronta il livello residuo con la soglia di tolleranza derivata dalla propensione dichiarata. Se il rischio residuo rientra nei limiti, lo si accetta consapevolmente; se li supera, occorre un trattamento ulteriore o una decisione esplicita di accettarlo comunque, presa al livello giusto. Perché questo confronto abbia senso, però, i rischi vanno misurati in modo credibile, ed è qui che il registro si appoggia alla quantificazione del rischio: un registro pieno di valutazioni vaghe produce decisioni altrettanto vaghe.
Una dichiarazione viva, non un documento da archiviare
L’errore più comune è trattare la propensione al rischio come un documento da redigere una volta per soddisfare un revisore e poi dimenticare in un cassetto. Una dichiarazione di propensione al rischio ha valore solo se è abbastanza specifica da guidare le decisioni e abbastanza viva da essere rivista quando il contesto cambia. Una formula generica, del tipo “l’azienda adotta un approccio prudente al rischio”, non aiuta nessuno a decidere, perché si presta a giustificare qualsiasi scelta e il suo contrario.
Un esempio chiarisce la differenza. Affermare che “l’azienda non tollera interruzioni dei servizi rivolti ai clienti superiori a quattro ore e non accetta alcun rischio che comporti la perdita di dati personali dei clienti, mentre è disposta ad accettare un’indisponibilità temporanea dei sistemi interni di reportistica” è una propensione al rischio utile: indica priorità chiare, distingue ciò che è intoccabile da ciò che è negoziabile e permette di allocare di conseguenza investimenti e attenzione. Affermare invece che “l’azienda persegue i più alti standard di sicurezza” non dice nulla che possa orientare una decisione, perché nessuno saprebbe, leggendolo, quale rischio rifiutare e quale accettare.
Una buona propensione al rischio, al contrario, è scomoda: dice esplicitamente quali rischi l’organizzazione è pronta ad accettare e quali no, e proprio per questo permette di rifiutare alcune iniziative e di approvarne altre con cognizione di causa. Le normative recenti, che hanno reso i vertici responsabili in prima persona della gestione del rischio cyber, hanno reso questa esplicitazione non più solo una buona pratica, ma una necessità di governo. Definire bene la propensione al rischio significa, in fondo, accettare una verità scomoda: la sicurezza totale non è un obiettivo realistico, e governare un’impresa vuol dire scegliere con lucidità quali rischi vale la pena correre e quali no.

