-

HISTORY OF RISK MANAGEMENT

del concetto di RM: SSI CURA-2
.

- Inizialmente (1960s- assicurazione era considerata il mezzo principale per la

gestione dei rischi da parte delle aziende, per renderle più sicure.

] ::÷
- Successivamente (1970s-1980s) le aziende hanno iniziano a trattare il rischio in modo .
più proattivo o preventivo. Mirano ad un sistema che permette di minimizzare le perdite e Preventivo
massimizzare il profitto.

]
- Dagli anni Novanta, inizia ad esserci consapevolezza del rischio e della necessità di corsoper .

una strategia sistematica per affrontarli. In particolare, nascono nuovi standard per la del rischio
rendicontazione dei conti aziendali nel tentativo di garantire che i report aziendali siano
trasparenti e precisi. In questo periodo anche i rischi ambientali iniziano a diventare di

nella definizione di rischio: se prima i rischi coincidevano con la possibilità che un

è
. Si è compreso ulteriormente che non bastava quindi avere
controllare i rischi in un modo preventivo
e proattivo.
Risultati effettivi =/ da
attesi
ENTERPRISE RISK
Ci sono differenti definizioni ma rischio aziendale è la probabilità che i risultati effettivi
non corrispondano ai risultati attesi.
Il rischio ha due caratteristiche:
Variabilità: i risultati attesi da operazioni o decisioni potrebbero non corrispondere alle
previsioni elaborate. Il mondo è variabile e questa è una caratteristica del rischio. Questa
variazione dalle aspettative è fondamentale nel concetto di rischio d'impresa.
Upside of risk (lati positivi): uesto spesso non fa parte del
calcolo quando si pensa al rischio. Di solito il modo di calcolare il rischio è in linea con la
definizione tradizionale del rischio che riguarda le perdite, lesioni o altri impatti negativi,
ma quando un'impresa si impegna nelle proprie attività, accetta il rischio. Il rischio
aziendale considera esplicitamente entrambe le possibilità, poiché il vantaggio del rischio
è la ragione per accettare le esposizioni e opportunità.
Il rischio d'impresa varia a seconda del settore di attività, da questioni politiche ed
economiche e altri fattori. È il rischio aggregato da tre componenti:
 le operazioni
→ completi con tucano
1) Business risk: la possibilità che un'organizzazione non competa con successo nelle
sue operazioni (aggiornare un prodotto o servizio, preferenze dei clienti cambiano, il
mercato può indebolirsi). Le esposizioni al rischio possono presentarsi improvvisamente o
svilupparsi nel tempo e operazioni inefficienti o obsolete può mettere in pericolo le
operazioni o causare aumenti inflazionistici del costo di beni o servizi.
In particolare possiamo definire due tipi di business risk:
- Rischio non imprenditoriale o hazard (rischioso), ad es. incendio, inquinamento o frode.
Le aziende erano solite proteggersi acquistando assicurazioni.
- Rischio imprenditoriale o opportunità.
Quando un'azienda costruisce un nuovo impianto, lancia un nuovo prodotto o acquista
un'azienda, se il l'azienda sbaglia le previsioni, perde soldi. Esistono diversi modi per
ridurre il rischio imprenditoriale.
Il concetto alla base del business risk, e non solo, è che nella maggior parte delle decisioni
di gestione e dei progetti contengono rischi.
2) Financial risk: il rischio finanziario è la possibilità che un'azienda non disponga di fondi
adeguati alle sue operazioni. Il problema può essere causato da una capitalizzazione
iniziale inadeguata o può derivare da problemi futuri (es. possono non pagare le bollette, i
creditori possono restringere i prestiti requisiti, obblighi di debito eccessivi relativi a i suoi
valori patrimoniali, ecc.). Il rischi di impresa sono collegati, nonostante differenti, ai rischi
finanziari.
flusso dei ricorsi non correre
 dimostri naturali
3) Hazard risk: si riferiscono ad esposizioni che possono causare perdite senza possibilità
di guadagno. Un'azienda può soffrire danni fisici ai beni (incendi o esplosioni, che
distruggono edifici o macchinari), possono verificarsi lesioni fisiche (incidenti, lesioni o
malattie). Le azioni legali possono essere il risultato di rivendicazioni contrattuali o di
responsabilità. Esso è strettamente collegato a quelli precedenti, e nessun rischio è

Tutte le organizzazioni affrontano dei rischi, anche gli enti governativi che, ad esempio,
possono essere danneggiato da frode, negligenza del personale o mancato adattamento.
Le piccole imprese sono spesso più vulnerabili, avendo meno risorse e quindi meno
resilienza. le aziende multinazionali hanno accordi finanziari più
complessi e un numero maggiore di processi, rendendo ardua la previsione di ogni rischio.

Il RM riguardava la gestione dei pericoli (negativo) ma negli ultimi anni è stato ampliato
per includere rischi positivi (opportunità), come l'acquisizione di un'impresa o il lancio di
un prodotto nuovo.

Lo standard ISO 31000 definisce il rischio come "l'effetto dell'incertezza sugli

obiettivi": Il rischio è l'impatto (= l'effetto) di un evento attualmente sconosciuto (=
l'incertezza) sul business (= obiettivi).

La differenza tra Risk Management e Risk Assessment, è che il primo è un processo

è compreso), mentre il secondo è la
Ecce
rischi
come essi andrebbero trattati.

L'importanza dei diversi rischi cambia nel tempo

internazionale è aumentata post 11 settembre). Il rischio è dinamico: cambia nel tempo,
alcuni grandi rischi sono difficili da prevedere e si traducono prevalentemente in perdite
finanziarie. La sicurezza totale non è quindi l'obiettivo della gestione del rischio MA La
consapevolezza del rischio deve far parte della cultura aziendale. È difficile affermare
quante perdite il RM nell azienda abbia evitato, infatti l'azienda dovrebbe raccogliere
registrazioni delle perdite poiché aiuterà l'azienda a vedere quanto si sta perdendo
attualmente e se l'investimento nella gestione del rischio ha ridotto le perdite.
Inevitabilmente, è necessario un equilibrio tra la temerarietà, che può portare a disastri,
e un'eccessiva cautela, che può portare a perdere opportunità.
Principio generale: maggiore è il rischio, maggiore deve essere la ricompensa
affinché ne valga la pena. La migliore opportunità di business: la ricompensa è alta e il
rischio basso. I progetti che comportano un rischio basso e una ricompensa bassa
raramente hanno un impatto sull'azienda e quindi non vale la pena perseguirli. Il trade-off,
per quanto concerne la spesa da investire sul RM, deve essere tra i costi degli incidenti e i
costi di prevenzione. In particolare, un'azienda deve prendere una decisione in merito al
suo target risk.

RISK MANAGEMENT PROCESS

Il processo di RM consiste in una serie di step (7) che, se eseguiti in sequenza,
consentono un miglioramento continuo nel processo decisionali.
 se step assestanti, vanno considerati in maniera trasversale;
devono essere attuati e condivisi in tutti gli altri step proprio per il concetto secondo il

Tali step sono: consapevolezza

promuovere

STEP 1. Comunicare e consultare → feedbocne.info

(l'identificazione, l'analisi e la valutazione) e coinvolge coloro che si occuperanno del

trattamento, monitoraggio e revisione del rischio. La comunicazione cerca di promuovere
la consapevolezza e la comprensione del rischio. La consultazione implica l'ottenimento di
feedback e informazioni a supporto del processo decisionale. Uno stretto coordinamento
tra i due dovrebbe facilitare lo scambio di informazioni, tenendo conto della riservatezza e
dell'integrità delle informazioni nonché dei diritti alla privacy delle persone.
La comunicazione e la consultazione possono avvenire all'interno dell'organizzazione o tra
l'organizzazione e i suoi stakeholder (è importante gestire e comprendere anche la loro
percezione. Stakeholder interni: staff e i subappalti. Stakeholder esterni: media, clienti,
assicuratori, appaltatori, fornitori ecc.). È molto raro che una sola persona detenga tutte le
informazioni necessarie per identificare i rischi per un'azienda o anche per un'attività o un
progetto, e per tale ragione dovrebbe avvenire durante tutte le fasi del processo di
gestione del rischio.
Intorno
STEP 2. Stabilire il contesto E> Esterno
L'organizzazione dovrebbe definire l'ambito delle proprie attività anche perché il
processo di RM può essere applicato a diversi livelli (ad esempio strategico, operativo,
progetto ecc.), è quindi importante essere chiari sull'ambito in esame e sugli obiettivi.
L'organizzazione dovrebbe definire criteri per valutare la significatività del rischio e per
supportare i processi decisionali. I criteri di rischio dovrebbero essere personalizzati in
base allo scopo e all'ambito specifici dell'attività in esame, riflettendo i valori, gli obiettivi e
le risorse dell'organizzazione e considerando gli obblighi dell'organizzazione e le opinioni
delle parti interessate.
Questo step si può dividere in due sotto step fondamentali (standard ISO 31000):
- stabilire il contesto interno stessa, in particolare, la sua storia, le
proprietà, le finanze, lo staff e le operazioni. Gli obiettivi, i progetti e le attività devono
essere prima identificati per garantire che tutti i rischi significativi siano compresi e presi in
analisi.
- stabilire il contesto esterno
un punto di vista politico, economico e sociale. Include una comprensione delle percezioni
dei clienti per comprendere e identificare i punti di forza, i punti deboli, le opportunità e le
minacce per il business.
STEP 3. Identificare i rischi
Una volta definito il contesto dell'attività, il passaggio successivo consiste nell'utilizzare le
informazioni per identificare il maggior numero possibile di rischi. Il rischio non può essere
gestito a meno che non venga prima identificato, per tale ragione è importante che questo
step sia affrontato in modo metodico per garantire che tutte le attività significative e tutti i
rischi derivanti da queste attività siano definiti. Risulta importante anche identificare i rischi
associati al mancato perseguimento di un'opportunità.
L'identificazione del rischio può essere suddivisa nelle seguenti fasi:
 FASI
1. identificazione dell'evento sfavorevole: ossia trovare all'interno dell'impresa le aree
critiche e individuare potenziali eventi sfavorevoli, ovvero eventi capaci di provocare
perdite;
2. analisi dei pericoli associati all'evento: significa ricercare le cause o le fonti che
possono dar luogo all'evento. Attraverso l'utilizzo delle classificazioni di rischio standard
disponibili basate sulle cause, possiamo distinguere tra i pericoli di eventi naturali (ad es.
grandine, fulmini, terremoti, ecc.), eventi causati dall'uomo (esplosioni, reazioni chimiche,
ecc.) e, infine, attività umane (incidenti stradali, errori di valutazione, ecc.);
3. analisi delle contingenze correlate: in altre parole, significa identificare le condizioni
che creano o aumentano la probabilità che si verifichi un evento (nelle varie configurazioni:
fisiche, morali e psicologiche).
4. identificazione delle tipologie di effetti derivanti dall'evento: quest'ultima analisi si
concentra unicamente sulla ricerca della tipologia di potenziale danno all'impresa.
NON
Esistono due modi principali per identificare il rischio:
1. Identificazione dei rischi retrospettivi: I rischi retrospettivi sono quelli che si sono
verificati in precedenza, come incidenti o infortuni. Se un rischio è già accaduto è più facile
credere alla sua realizzazione ed è anche più facile quantificare il suo impatto vedendo i
danni che ha causato. Esistono molte fonti di informazioni sul rischio retrospettivo: registri
o registri di pericoli o incidenti, rapporti di audit, reclami dei clienti, personale passato o
sondaggi dei clienti o giornali o media professionali, come riviste o siti web
2. Identificazione dei rischi potenziali: I rischi potenziali sono cose che non sono ancora
accadute, ma potrebbero accadere in futuro. I rischi potenziali sono spesso più difficili da
identificare. L'identificazione dovrebbe includere tutti i rischi, indipendentemente dal fatto
che siano attualmente gestiti o meno. I metodi per identificare i rischi potenziali includono:
Brainstorming con il personale o con le parti interessate esterne, conduzione di interviste,
e sondaggi del personale o dei clienti, diagrammi di flusso un processo, revisione della
progettazione del sistema o preparazione delle tecniche di analisi del sistema
CLASSIFICAZIONE

- Rischi esterni: esterni al organizzazione (di natura politica, economica,

sociale, tecnologica, legale e ambientale).
- Rischi interni:
strategici, tecnologici, operazionali e di marketing).
I possibili metodi di identificazione dei rischi sono:
L'analisi degli organigrammi può quindi essere
un'utile fonte di informazioni ai fini della comprensione sul grado di centralizzazione o
decentralizzazione della gestione del rischio e delle funzioni del CFO (Chief Financial
Officer), sul grado di autonomia decisionale ai vari livelli e sulle interazioni e le
interrelazioni tra le diverse aree funzionali dell'organizzazione.
Ad esempio, l'analisi organizzativa della funzione di vendita può evidenziare la preferenza
dell'azienda per un particolare prodotto (o gruppo di prodotti), un particolare cliente (o
gruppo di clienti) o una particolare area geografica di mercato. Questo può permetterci di
identificare potenziali situazioni di vulnerabilità: un difetto di fabbricazione può essere
letale per un'impresa che dipende in misura eccessiva da un singolo prodotto; un semplice
incendio che colpisce un importante cliente o fornitore può provocare un grave danno
competitivo; un disastro naturale (terremoto, inondazione) o disordini socio-politici in una
particolare località possono creare gravi interruzioni dell'attività lungo la catena di
approvvigionamento.
possono essere generali, se considerano l'intero
processo di produzione di beni o servizi, o specifici, se fa riferimento a singole funzioni o
divisioni; semplici, se delineano solo il flusso di materiali, documenti o persone, o
ponderati, se il flusso subisce una misura fisica o economica. Risultano utili per fornire
indicazioni sui momenti critici di un processo. Lo svantaggio principale dei diagrammi di
flusso semplici è che non forniscono alcuna informazione sul grado di dipendenza
dell'impresa dalle economie esterne (fornitori, clienti e così via) e sull'importanza relativa
delle varie fasi del processo produttivo. Ciò può essere risolto sviluppando diagrammi di
flusso ponderati in cui la misura del flusso viene espressa in termini monetari attribuendo
ad ogni fase di lavorazione la propria quota di valore aggiunto.
L'analisi di vulnerabilità può
essere condotta partendo da una tabella in cui sono inclusi i principali asset aziendali (sia
materiali che immateriali) nonché i potenziali pericoli e vulnerabilità, su cui il gestore del
rischio dovrà effettuare una valutazione dell'esistenza o meno del rischio considerato. In
questa maniera la tabella rappresenta due tipi di informazioni: evidenzia gli asset o del
gruppo di asset aziendali maggiormente esposti ai rischi e verticalmente fornisce una
rapida identificazione dei rischi ricorrenti con maggiore frequenza.
La matrice per l'analisi delle interrelazioni tra le varie parti del processo produttivo
consente di determinare il contributo di ciascuna parte al risultato economico finale
dell'impresa. Risulta cruciale al fine di identificare i rischi in particolare in termini di
interruzione del business e della supply chain.
I criteri utilizzati per arrivare all'elaborazione delle checklists possono essere
diversi:
- Categorie di risorse: il punto di partenza sarà l'elenco dei vari tipi di beni
- Categorie di conseguenze: verrà visualizzato un elenco delle potenziali situazioni
sfavorevoli per l'impresa (come perdite o danni aziendali, perdite di entrate, perdite di
responsabilità, interruzione) e per ogni tipo di conseguenza si presenta un questionario
che aiuterà a identificare le risorse coinvolte e le minacce esistenti.
- Categorie di minacce: elenco di possibili tipi di minacce (forze naturali, errore umano,
danno intenzionale, usura naturale e rottura) che aiuterà a identificare le risorse
minacciate e le relative conseguenze.
-Categorie di operazioni aziendali: la pianificazione dell'identificazione del rischio prevede
una scomposizione dell'attività aziendale in varie aree. In tale elenco, per ciascuna di
queste aree, vi saranno le risorse, le minacce e le conseguenze esposte al rischio.
Event Chain Diagrams and Decision Trees Analysis (DTA): I diagrammi della catena
degli eventi supportano la modellazione dell'incertezza e la tecnica di analisi incentrata
sull'identificazione e la gestione di eventi negativi che influenzano i processi. La catena
degli eventi può essere definita in molti modi diversi, con colori diversi, ma il suo scopo è
mostrare le relazioni tra eventi e attività e come gli eventi si influenzano a vicenda
(diagramma di Gantt). Gli eventi possono essere globali (per tutte le attività del progetto) e
locali (per un'attività particolare).
Gli alberi decisionali sono strumenti efficaci per selezionare le linee d'azione appropriate
tra diverse alternative e forniscono anche un quadro equilibrato dei rischi e dei benefici
associati a ciascuna possibile linea d'azione
L'analisi dell'albero decisionale utilizza l'analisi EMV (Expected Monetary Value), ossia
una tecnica per il processo "Esegui analisi quantitativa dei rischi", in cui si analizza
numericamente l'effetto dei rischi identificati sugli obiettivi generali del progetto.
Valore monetario atteso (EMV) = Probabilità del rischio (P) * Impatto del rischio (I)
DTA tiene conto degli eventi futuri incerti. I nomi degli eventi vengono inseriti all'interno di
rettangoli, dai quali vengono disegnate le linee delle opzioni che si uniranno "nodi di
decisione" e in "nodi di probabilità.
metodi basati sullo scambio di dati intra e interaziendale: brainstorming,
colloqui / discussioni di focus group; sondaggi, questionari;
Un altro modo per identificare i rischi, sia esterni che interni è attraverso l'analisi SWOT
(Strengths, Weaknesses, Opportunities and Threats). In particolare, per valutare i punti di
forza (Strenghts) dovrebbe essere intrapreso un audit che richieda l'istituzione di una
funzione di sicurezza aziendale (se non esiste già) e sarà necessario stabilire ed
implementare le varie policy operative e di comunicazione del rischio. Invece per valutare
le debolezze (Weakness) è importante identificare e correggere le lacune e le carenze
nella sicurezza aziendale. Sarà inoltre necessario che i manager esaminino attentamente
le opportunità esistenti, ciò significa identificare le migliori pratiche contenute negli
standard di settore, identificare le opportunità (Opportunities) di mercato e valutare varie
iniziative di cyber law. I senior manager in particolare dovranno essere consapevoli delle
minacce (Threats) esistenti. Ciò significa garantire che il personale controlli e identifichi le
azioni dei sindacati della criminalità organizzata ma anche i comportamenti dei piccoli
criminali. Un aspetto necessario per un'efficace identificazione del rischio è selezionare
una metodologia di identificazione del rischio appropriata al tipo di rischio e alla natura
dell'attività:
- rischi operativi: sono quelli relativi alla produzione e alle operazioni dell'organizzazione.
- rischi per le persone: sono problemi causati dallo staff.
- rischi tecnologici: sono quelli relativi al mancato, o sbagliato, utilizzo dell'IT.
- rischi strategici: sono le grandi questioni che dovrebbero essere affrontati a livello di
consiglio di amministrazione e richiedono una pianificazione strategica.
- rischi di conformità: le autorità di regolamentazione e la legge spesso richiedono alle
organizzazioni di riferire sui propri rischi finanziari e operativi.
- rischi finanziari includono quelli esterni come un avverso cambio di tasse che riduce le
esportazioni dell'azienda e quelli interni come le spese generali eccessive.
Quindi in questo step è necessario coinvolgere le persone giuste nelle attività di
identificazione dei rischi ed è consigliato adottare un approccio basato sul ciclo di vita del
rischio e determinare come essi cambiano ed evolvono durante questo ciclo.
Un buon RMS deve evitare di essere meccanicista ed essere eccessivamente concentrato
solo sui processi interni dell'azienda.
BLACK SWAN:
Nel 2007, lo statistico Nassim Nicholas Taleb ha definito "Black Swan" come un evento
che "è un valore anomalo", in quanto si trova al di fuori del regno delle normali aspettative.
I cigni neri secondo questa definizione hanno i seguenti tre attributi:
1. L'evento è estremamente diffi
2. L'evento ha un impatto importante.
3. prevedibilità retrospettiva ma non prospettiva, si tende a spiegarlo e renderlo prevedibile
quando si verifica.
La tesi di Taleb, è che ignorare questo genere di eventi improbabili, ritenuti tali perché non
ancora incontrati nella nostra storia, ci renda vulnerabili perché il mondo è principalmente
modellato da questo tipo di eventi, e lo sarà sempre più in futuro. Un aspetto particolare è
faccia della medaglia, ossia il (un esempio calzante è
pandemia globale che ha degli aspetti positivi (economici) per determinate aziende).
Risulta anche importante comprendere la posizione di sicurezza di un'organizzazione
attraverso il prisma dell'effetto farfalla, che afferma che ogni minuto, un'azione localizzata
può avere conseguenze significative altrove in un sistema complesso.

I dati possono essere classificati come aventi origini esterne e interne.

- raccogliere informazioni esterne: la raccolta dei dati dovrebbe iniziare con le informazioni
economiche, o specifiche del settore, pubbliche, ma possono essere raccolti tramite
conferenze, workshop, questionari di ricerche di mercato e un servizio di notizie online
come quello di Google. Ciascuno di questi metodi ha punti di forza e di debolezza, infatti i
metodi informali, come le chat, non hanno valore statistico, mentre i questionari quantitativi
sono deboli quando ci sono molte incognite. Quindi è necessario raccogliere informazioni
da quante più fonti possibili, con diverse metodologie e su base regolare.
Il risk manager dovrebbe essere l'archivio centrale di tutte le informazioni relative al
rischio.
- raccogliere informazioni interne: come per le informazioni esterne, sono disponibili una
serie di metodi per raccogliere le informazioni interne, tra cui questionari, chat informali,
workshop, brainstorming, sondaggi sul personale, audit e modellazione dei processi
aziendali con diagrammi di flusso.
STEP 4. Analizzare i rischi
Durante la fase di identificazione del rischio, un imprenditore può aver identificato molti
rischi e spesso non è possibile tentare di affrontare tutti quelli identificati. La fase di analisi
dei rischi aiuterà a determinare quali rischi hanno una conseguenza o un impatto
maggiore rispetto ad altri.
Gli elementi dell'analisi del rischio sono i seguenti:
1. Identificare strategie e controlli esistenti che agiscono per ridurre al minimo il rischio
negativo e aumentare le opportunità.
2. Determinare le conseguenze di un impatto negativo o di un'opportunità (positiva o
negativa).
3. Determinare la probabilità di una conseguenza negativa o un'opportunità.
4. Stimare il livello di rischio combinando conseguenza e probabilità (livello di rischio =
conseguenza x probabilità)
5. Considerare e identificare eventuali incertezze nelle stime.
La probabilità e la gravità sono due fattori importanti nella misurazione del rischio. Le
organizzazioni soffrono spesso di piccoli problemi e raramente incontrano problemi
importanti. Più grave è l'evento, meno è probabile che accadi, mentre i rischi a basso
impatto e si verificano spesso. Utile risulta far riferimento alla matrice che mette in
relazione la probabilità e la gravità.
 Mahia delle
probabilità
qualitativa )

Possono essere utilizzati varie tipologie di analisi per determinare il livello di rischio
(qualitative, semiquantitative e quantitative)
Analisi dell'albero degli eventi e analisi dell'albero dei guasti
rappresentazione grafica del modello logico che identifica e
quantifica i possibili risultati a seguito di un evento iniziale (metodo induttivo), mentre
alberi dei guasti utilizzano un approccio deduttivo poiché sono costruiti definendo eventi
in cima e poi utilizzano una logica che guarda all'indietro per definire le cause. Tuttavia,
l'analisi dell'albero degli eventi e l'analisi dell'albero dei guasti sono strettamente collegate.
Business Impact Analysis (BIA)
Tale analisi funziona in genere attraverso la simulazione di uno scenario peggiore in cui
l'unità aziendale e la struttura fisica vengono distrutte e tutte le risorse non sono accessibili

immateriali (operativi) come conseguenza di quello scenario peggiore. Esistono anche

alcune applicazioni della BIA come strumento di valutazione del rischio di rialzo (in termini
di valutazione delle opportunità).
Business Continuity Planning (BCP)
L aiuta le organizzazioni a prepararsi e a rispondere a eventi dirompenti, come
disastri naturali o interruzioni di corrente. Le cause e gli eventi relativi a un'interruzione
dovrebbero essere analizzati e previsti (ove possibile) e piani dettagliati dovrebbero
affrontare tali rischi al fine di garantire azioni appropriate durante un'emergenza. BCP è
anche un metodo di analisi del rischio in quanto viene utilizzato per analizzare la
probabilità di interruzione e le potenziali conseguenze.
Failure Mode and Effect Analysis (FMEA)
è una procedura tipicamente utilizzata nella gestione delle operazioni per analizzare
potenziali modalità di guasto (errori, difetti, ecc.) in termini di gravità e probabilità dei
guasti descritti. In genere si basa sui dati raccolti che riflettono l'esperienza passata.
L'obiettivo è quello di bilanciare tempi e costi da dedicare a un potenziale guasto.
Dependency Modeling
La procedura di modellazione delle dipendenze è tipicamente utilizzata nella gestione
delle operazioni per analizzare potenziali modalità di guasto (errori, difetti, ecc.) in termini
di gravità e probabilità. In genere si basa sui dati raccolti che riflettono l'esperienza
passata. L'obiettivo è quello di bilanciare tempi e costi dedicati a un potenziale guasto.
Specialmente nelle piccole e medie imprese è raro che siano disponibili dati sufficienti
tratti dalla precedente esperienza aziendale. Un primo metodo per superare la scarsità di
dati sufficienti è cercare fonti esterne che, tuttavia, hanno diversi gradi di accessibilità a
seconda che siano sotto forma di dati pubblici pubblicati (ad esempio, statistiche relative
alla salute legati a infortuni) o dati non pubblicati. Le fonti di informazioni esterne possono
essere spesso a pagamento. Necessario è però fare una ponderazione finale volta a
riconsiderare gli elementi che influenzano sia la gravità che la frequenza e che tendono a
cambiare in modo dinamico nel tempo in cui vengono raccolti i risultati.
Lo scopo dell'analisi del rischio è determinare la misura in cui tali rischi possono
compromettere la "performance aziendale", essa deve essere considerata sia in termini di
potenziali perdite monetarie, sia in termini di sottoperformance.
STEP 5. Valutare i rischi
La valutazione del rischio è un processo utilizzato per confrontare i risultati dell'analisi
del rischio con i criteri di rischio al fine di determinare se uno specifico livello di rischio è
accettabile o è necessario un trattamento. Alcuni concetti fondamentali sono:
- la propensione al rischio (risk appetite) riguarda i rischi che un'organizzazione si
assume, in base ai suoi obiettivi aziendali e alla strategia scelta. Si basa sul risk profile,
Alcune organizzazioni producono una "risk appetite
statement" che rappresenta il loro approccio di gestione del rischio a ciascuna classe di
rischio. Il concetto di propensione al rischio potrebbe essere analizzato in modo diverso a
seconda della prospettiva del valutatore: a livello di Consiglio, la propensione al rischio è il
focus delle decisioni strategiche, mentre a livello esecutivo, si traduce in un insieme di
procedure per garantire che il rischio riceva l'adeguata attenzione quando si prendono
decisioni tattiche, mentre a livello operativo, la propensione al rischio determina i vincoli
operativi per le attività di routine.
- la tolleranza al rischio (risk tolerance) rappresenta la soglia che l'organizzazione al di
sotto della quale considera il rischio accettabile, in base alle sue capacità di gestire i rischi
identificati.
- risk acceptance). Un rischio può essere definito accettabile
se:
1. il costo del trattamento supera di gran lunga il beneficio, quindi l'accettazione è
l'unica opzione (si applica in particolare ai rischi di classificazione inferiore)
2. il livello di rischio è così basso che un trattamento specifico non è appropriato con
le risorse disponibili
3. le opportunità presentate superano le minacce (rischi giustificati)
4. il rischio è tale che non sono disponibili trattamenti, ad esempio il rischio che
l'azienda possa subire danni da tempesta.
- i criteri di rischio rappresentano il livello di rischio che l'organizzazione definisce
"accettabile" o "non accettabile" (quindi trattabile), ossia rappresenta i termini di riferimento
utilizzati per valutare la significatività. I criteri di rischio dovrebbero riflettere i valori, le
politiche e gli obiettivi organizzazione, devono basarsi sul contesto, considerare le
opinioni delle parti interessate e dovrebbero essere in linea con gli standards, le leggi e le
policy.
Il processo di valutazione del rischio consente ai gestori di rappresentare i rischi all'interno
di una matrice (3x3,5x5,10x10), utile per quantificare l'impatto di un rischio. La matrice
10x10 ha l'ulteriore vantaggio di poter essere tradotta in termini di percentuale, che risulta
più facile da comprendere.
 probabilità
→

input
]
I rischi possono essere classificati in base alla loro priorità e natura dei trattamenti richiesti
(azioni di routine, a breve e lungo termine).
Può risultare utile avviare e compilare un registro dei rischi che consiste in un elenco dei
rischi maggiori, una nota su come ciascuno deve essere controllato e chi è responsabile
della sua gestione. Questo aiuterà a promuovere la consapevolezza del rischio (è
possibile condividerlo sulla intranet) e può anche essere una protezione legale.
STEP 6. Trattare i rischi
Il trattamento del rischio consiste nel considerare le opzioni per il trattamento dei rischi che
non sono stati considerati accettabili o tollerabili al passaggio precedente (valutazione dei
rischi) al fine di non solo ridurre o eliminare le conseguenze negative
finanziario ed economico, ma anche di mirare a migliorare i risultati positivi.
Esistono due tipologie di trattamento del rischio:
1) Risk control: agisce sui due principali fattori, ovvero frequenza e gravità. Le principali
tecniche sono:
- Avoidance: evitare il rischio significa scegliere di non accettarlo. Le azioni relative
potrebbero, ad esempio, essere: trasferire il rischio a una terza parte o attuare un
processo diverso che utilizza procedure differenti.
- Loss prevention: la prevenzione delle perdite mira a ridurre la frequenza di una
particolare perdita (ad esempio, possiamo ridurre la probabilità di un rischio di
incendio adottando materiali che hanno un alto livello di resistenza al fuoco, oppure,
o di dispositivi tecnici
progettati per prevenire azioni pericolose da parte degli operatori). Ovviamente la
formazione del personale, programmi di sicurezza e sensibilizzazione regolarmente
aggiornati sono parte integrante parte di qualsiasi programma di prevenzione delle
perdite. Gestisce e cambia la probabilità di accadimento.
- Loss reduction: la riduzione delle perdite mira a ridurre la gravità della perdita.
Spesso le tecniche di minimizzazione della gravità entrano in gioco mentre si
verifica l'evento di perdita (esempi sono la chiusura di porte tagliafuoco o un
sistema di soppressione che impedisce la propagazione di un incendio in un
edificio). Gestisce e cambia le conseguenze.
Separation: è una tecnica di controllo del rischio che mira a "separare" e a
disperdere una particolare risorsa o attività in luoghi diversi il cui obiettivo è
l'obiettivo è impedire la concentrazione di merci, persone o attività in un unico
luogo, mercato o singolo progetto. Di solito implica la separazione significa
separazione fisica, ad esempio geograficamente, o anche una separazione
temporale (fornendo un intervallo di tempo ragionevole tra ciascuna fase della
produzione), impedendo che merci, persone o attività si concentrino nello stesso
luogo nello stesso momento
 Duplication: si basa sul principio di ridondanza. Questa tecnica fa uso di backup,
pezzi di ricambio o copie di proprietà e informazioni da tenere in riserva.
Diversification: in genere, lo scopo di questa tecnica è quello di distribuisce le
esposizioni alle perdite su numerosi progetti, prodotti, mercati o regioni, riducendo
così l'impatto di una perdita su organizzazione.
Le tecniche di controllo del rischio dovrebbero essere selezionate e combinate sulla
base di un'attenta valutazione dei costi e dei risparmi derivanti da tali decisioni. Costi e
risparmi sono suddivisi in:
costi diretti: ossia quelli derivanti dall'utilizzo di tecniche di controllo del rischio che
fanno riferimento principalmente ai in costi di investimento (capitale necessario per
acquistare attrezzature per il controllo o i costi necessari per modificare i macchinari,
impianti e gli edifici) e costi operativi (sono sostanzialmente i costi sostenuti per
implementare dispositivi di controllo e sistemi di sicurezza e mantenerli in buono stato
di funzionamento, e i relativi costi di manodopera, es per le squadre di pronto
soccorso, e i costi dei corsi di formazione sulla sicurezza tenuti regolarmente per il
personale).
I costi indiretti includono i costi associati ai fermi di produzione dovuti al tempo
necessario per installare dispositivi o sistemi di controllo o una riduzione della
produzione derivante da una continua interferenza da parte di tali sistemi di controllo.
risparmio diretto consiste nell'abbattimento dei costi assicurativi nonché
nell'ottenimento di incentivi governativi o locali per investimenti generali o investimenti
specifici in sicurezza e prevenzione.
risparmi indiretti sono quelli dovuto all'introduzione di misure di controllo. Il
risparmio indiretto può essere significativo in particolare per eventi non assicurabili o
per quegli eventi che, seppur assicurabili, sono solo parzialmente coperti da
assicurazione. Tra i risparmi indiretti, possono essere conseguiti anche attraverso il
miglioramento dell'immagine aziendale, delle relazioni industriali e delle pubbliche
relazioni.
2) Risk financing: mira a mitigare gli effetti economici e/o finanziari dei rischi con una
serie di decisioni che generano i fondi per coprire e compensare le perdite e mantenere un
adeguato livello di liquidità.
Le tecniche di più comunemente usate sono:
- Retention (retenzione):

per pagare la perdita. Si parla di ritenzione programmata quando può essere definita come
accettazione volontaria o attiva di un perdita identificata e analizzata (ci potrebbe essere

delle sue conseguenze).

Vi sono delle condizioni necessarie, anche se non unicamente sufficienti, affinché la
retenzione sia raccomandata come tecnica di trattamento del rischio:
1. Impossibilità di trasferire o eliminare il rischio. Ciò può verificarsi, quando
nessun assicuratore accetta di assicurare il rischio, o la sua eliminazione
comporterebbe la
2. Costi di trasferimento eccessivi
disponibile ad assumersi il rischio, oppure è disponibile ad assumersi il rischio, ma
 solo se siano state attuate determinate misure di prevenzione e/o riduzione che
possono essere considerate troppo elevate.
3. . In questo caso è ovvio che se
un assicuratore fosse disposto ad assumersi il rischio, esigerebbe un premio
almeno pari ma spesso superiore alla perdita massima ipotizzata.
4. Probabilità molto bassa che l evento si verifichi.
5. Misurazione del rischio altamente affidabile. Questa situazione può verificarsi
solo quando la società detiene il controllo su un gran numero di unità di rischio
coerenti e indipendenti, in modo che la sua capacità di previsione sia altamente
efficace.
Si potrebbe scegliere di accettare perdite finanziare legate alla retention, anche se
considerato un modo atipico di agire, quando: il costo per riparare o sostituire il bene
danneggiato è ritenuto superiore alla redditività che ci si può aspettare da esso, oppure, se
la perdita totale o parziale dell'attività non influisce in modo sostanziale sulla continuazione
dell'attività (contributo alla redditività dell'azienda è nullo o prossimo allo zero).
Un metodo, in relazione al quale è stata adottata la retention, è quello di tenere conto delle
perdite previste al momento della pianificazione finanziaria delle operazioni, ossia quando
si sviluppano i budget operativi.
Self-insurance (autoassicurazione)
In caso di eventi inclini a una minore prevedibilità e ad ampie variazioni di valore, essa
risulta l'alternativa al trasferimento assicurativo. In particolare, richiede che l'azienda
diventi, su piccola scala, un assicuratore. In quest'ottica, l'autoassicurazione può essere
descritta come un piano finanziario, in base al quale la società, attraverso stanziamenti
annuali, crea un fondo che, gestito più o meno con gli stessi criteri applicati da un
assicuratore, consente di gestire le perdite. I vantaggi che possono derivare
dall'autoassicurazione sono: maggiore flessibilità (i contratti assicurativi contengono
spesso clausole restrittive per gli assicurati), il miglioramento delle attività di controllo
fisico risultanti da un piano interno, il miglioramento dei pagamenti (non essendoci
conflitti di interesse il tempo necessario per recuperare le perdite, rispetto al processo di
rimborso, è notevolmente ridotto). Sebbene ci siano molti potenziali vantaggi, l'adozione di
un piano di autoassicurazione ha anche una serie di limitazioni: un numero insufficiente di
unità di rischio rende la previsione delle perdite inaffidabile e si traduce in errori nel calcolo
degli accantonamenti annuali inefficienza nella gestione del piano di
autoassicurazione legata a inesperienza.
Reserve fund (fondi di riserva)
Un altro metodo di finanziamento delle perdite derivanti dai rischi conservati è l'utilizzo di
fondi di riserva generici, da utilizzare al verificarsi dell'evento. A differenza
dell'autoassicurazione, in questo caso non esiste un preciso e rigoroso piano annuale di
stanziamento delle riserve basato sulla distribuzione delle perdite del rischio considerato.
Ogni anno, soprattutto negli anni con risultati economici favorevoli, vengono stanziate
riserve generiche e indistinte. Tale metodologia però ha almeno tre controindicazioni:
1. Nell'anno in cui si è verificata la perdita ed i fondi di riserva sono stati utilizzati in tutto o
in parte per coprirla, esiste il concreto pericolo di non avere tali riserve disponibili per
opportunità di investimento alternative che si dovessero presentare inaspettatamente.
2. Possono sorgere grossi problemi nella liquidità aziendale. Se, infatti, le riserve sono
state investite in attività marginalmente liquide o che sono difficili da smaltire, qualora si
verificasse un evento che causa una perdita, ci sarà la necessità di vendere in un breve
periodo di tempo attività non liquide per gestire il situazione inaspettata. Ciò potrebbe
comportare perdite di capitale al momento della loro cessione.
3. La perdita risultante può essere così grave e significativa che le risorse disponibili sotto
forma di riserve potrebbero non essere sufficienti per coprire la perdita e per continuare
l'attività aziendale.
- Transfer (trasferimento)
Il trattamento del rischio (controllo e finanziamento) comprende tutte le opzioni disponibili
per trattare quei rischi che sono considerati intollerabili durante la fase di valutazione del
rischio. Il trasferimento comprende tecniche assicurative e non assicurative che
trasferiscono le conseguenze finanziarie di una determinata perdita a un'altra parte.
- L'assicurazione: è una tecnica di finanziamento del rischio che trasferisce le
potenziali conseguenze finanziarie di una determinata perdita specifica
dall'assicurato all'assicuratore. L'obiettivo è trasferire i rischi a un grande gruppo
che accetta di condividere le perdite finanziarie in cambio di un pagamento. Lo
scopo dell'assicurazione è di distribuire il rischio di pericolo tra molti che hanno
rischi simili. Un rischio per essere considerato assicurabile deve essere omogeneo
(cioè perdite simili rispondono a cause di perdita simili, questo migliorerà la
prevedibilità), indipendente (il che significa che solo una piccola percentuale di
assicurati dovrà affrontare una perdita in qualsiasi momento, quindi il premio di
molti pagherà la perdita di pochi sfortunati), non catastrofico (altrimenti la stabilità
finanziaria dell'assicuratore sarà seriamente messa a dura prova), conveniente (ha
un buon senso economico acquistarla).
- La non assicurazione: è una tecnica di finanziamento del rischio che trasferisce
tutte o parte delle conseguenze della perdita finanziaria a un'altra parte, diversa da
un assicuratore. In genere, sono disponibili due metodi:
1. trasferimento mediante abbandono o vendita di un'attività: in questo caso il
rischio viene trasferito in modo definitivo insieme al bene;
Le tecniche di trasferimento per l'abbandono devono essere tenute separate da
quelle per l'evitamento e l'eliminazione perché non alterano la frequenza e la
gravità dell'evento sfavorevole, che continua a sussistere.
2. trasferimento contrattuale: viene stipulato un contratto in cui un rischio, molto
spesso il rischio di responsabilità civile verso terzi, viene trasferito alla controparte.
La cessione contrattuale può avvenire sia mediante cessione negativa, ovvero
annullamento di clausole esistenti che attribuiscono all'azienda la responsabilità
delle conseguenze del rischio, sia mediante cessione positiva, ovvero mediante
inserimento di clausole che penalizzano l'altra parte.

- AVOID: "evitare il rischio" significa scegliere di non accettarlo. Come, ad esempio,

smettere di offrire un servizio ad alto rischio, che potrebbe portare a contenziosi
costosi. Potresti scegliere di non acquisire un'altra azienda perché i rischi del suo
fallimento sono troppo grandi. Oppure potresti vendere una divisione che ha alti e
bassi nei suoi profitti.
- SHARE: un problema condiviso è un problema dimezzato. La condivisione del
rischio è nota anche come trasferimento o diffusione del rischio. Il metodo più usato
per distribuire il rischio è l'assicurazione ma esistono altre tecniche (ridondanza,
subappalto, outsourcing, ecc.)
- ACCEPT: Un pericolo a basso impatto e bassa probabilità è piuttosto raro, se non
altro perché non li notiamo davvero. È un argomento rilevante, perché inseguire
 ogni piccolo rischio fa perdere tempo e risorse quindi decidere di accettare piccoli
rischi consente di concentrarsi su quelli maggiori, e impedisce al sistema di rischio
di diventare un colosso.
- CONTROL: questi tipicamente costituiscono la maggior parte dei rischi e sono
quelli che è necessario gestire attivamente. In particolare, è necessario ridurre la
portata del loro impatto o la probabilità che si verifichino. Il modo standard di gestire
questi rischi è attraverso i "controlli" anche se non funzionano sempre come
previsto e entrano in gioco diversi fattori.
(modifica di una politica: potresti decidere di smettere di offrire credito a determinati
tipi di clienti, lterazione di un processo, è possibile sostituire le sostanze chimiche
pericolose con altre più sicure, modifica di una procedura, per ridurre le frodi,
potresti dividere il lavoro di approvazione delle fatture e di pagamento). Esistono
diversi modi per classificare i controlli, le tre classificazioni più comuni sono:
1. controlli preventivi, direttivi o investigativi:
I controlli preventivi impediscono il verificarsi del rischio poiché bloccano i problemi
prima che si verifichino.
I controlli direttivi sono generalmente volti a indurre le persone a fare le cose.
I controlli investigativi forniscono feedback, consentendo al personale di sapere se
un sistema funziona correttamente o avvisando le persone se si è verificato un
problema.
2. controlli fisici, gestionali o tecnici (pavimentazione antiscivolo (fisica), politica
di utilizzo di calzature protettive (gestione), controllo accessi protetto da password
(tecnico))
3. controlli manuali o automatici (gli audit richiedono che qualcuno esegua
un'ispezione, mentre i backup automatici non richiedono l'interazione umana (anche
se chiedere a un membro del personale di controllare che i backup funzionino è
altrettanto importante).

STEP 7. Monitoraggio e revisione

Il monitoraggio e la revisione sono una fase essenziale del processo di gestione del
rischio. I rischi devono essere monitorati periodicamente per garantire che le circostanze
mutevoli non alterino le priorità di rischio. Un piano di gestione del rischio a livello
aziendale dovrebbe essere riesaminato almeno su base annuale ma, fondamentalmente, il

CORPORATE RISK MANAGEMENT

Il rischio è la possibilità di deviare da un obiettivo: tale deviazione se è positiva viene
definita opportunità, in caso contrario, di minaccia. Per rischi puri si intendono quelli che
hanno solo una deviazione negativa dall'obiettivo, mentre nei rischi speculativi sono
possibili deviazioni sia positive che negative.
Ogni nuovo progetto presenta ogni volta alle imprese una nuova situazione di rischio. Se i
rischi non vengono identificati/valutati correttamente o vengono conteggiati in modo errato
essi compromettono sia la realizzazione del progetto stesso che inevitabilmente i risultati
aziendali.
La gestione del rischio è quindi una parte integrante fondamentale della gestione
aziendale orientata ai risultati poiché aiuta a ottenere un rating positivo (la capacità di
servire i prestiti e il livello di affidabilità creditizia)
COMPANY RISK
Lo scopo della gestione del rischio a livello aziendale non è la sicurezza toltale ma è
creare consapevolezza del rischio in azienda (che deve far parte della cultura aziendale) e
rendere il RM un concetto che analizza la società nel suo complesso ed integrarlo
attraverso strutture e processi aziendali efficienti.
Un'azienda inevitabilmente deve prendere una decisione in merito al suo livello di rischio
(target risk).
L'azienda ha bisogno di una policy per ogni area di rischio. La maggior parte delle grandi
aziende ha politiche ambientali, di salute e sicurezza, ma più raramente ne hanno una
definita su frode o guasto del computer. Le policy dovrebbero essere quanto più brevi e
semplici possibile per garantire che il personale le legga e le comprenda ma dovrebbe ro
essere tradotte in dichiarazioni di strategia che sono implementate al livello adeguato.
Ogni rischio maggiore deve essere responsabilità di qualcuno ma tale responsabilità deve
ricadere sia sui manager di linea che sulla forza lavoro poiché se il personale ritiene che il
rischio sia qualcosa gestito da un «esperto», non se ne assumerà la proprietà. Alcune
aree di rischio hanno maggiori probabilità di avere un manager specificamente nominato
(ad esempio, il responsabile della qualità, il responsabile della salute e della sicurezza o il
responsabile ambientale o i problemi di rischio IT sono gestiti da un reparto IT), ma questo

CEO, THE CHIEF EXECUTIVE OFFICER (DIRETTORE SECUTIVO/AMMINISTRATORE

DELEGATO)
IL CEO deve dirigere il programma di rischio, deve nominare le persone per i vari ruoli e
deve essere attivo nello sviluppo di una strategia di rischio.
Per avviare un programma di gestione del rischio, alcuni CEO inviano una lettera o un'e-
mail a tutto il personale, spiegando loro la preoccupazione dell'azienda di gestire il proprio
rischio, le misure che vengono intraprese e il modo in cui i destinatari possono essere
coinvolti.
AUDIT COMMITTEE
Sebbene sia un comitato del consiglio, di solito è presieduto e in gran parte composto da
membri non esecutivi del consiglio e questo gli conferisce una preziosa indipendenza.
Tale comitato normalmente riceve relazioni dai revisori interni sull'efficacia dei controlli
interni.
MEMBRI DEL CONSIGLIO (BOARD MEMBERS)
In alternativa la panoramica sulla la gestione del rischio (può andare al
Consiglio o a un sottocomitato del Consiglio denominato Risk Commettee.
Il Consiglio deve essere coinvolto attivamente nella gestione strategica del rischio.
Negli ultimi anni è nata la figura del Chief Risk Officer (CRO), assumendosi la
responsabilità per tutti i rischi (nelle organizzazioni di medie dimensioni, tale ruolo può
essere svolto dal CEO o dal Chief Compliance Officer (CCO) nei settori regolamentati).
 PROJECT RISK MANAGEMENT

progetto
-

Project risk management processes

1) Risk Identification:
In questa fase viene utilizzato un mix di metodologie per preparare un elenco di tutti

competenza del risk manager.

 2) Risk Analysis:
In questa fase di analisi viene effettuata una valutazione di ciascun rischio
(vengono determinate la cause, viene e il suo relativo ).
Inoltre avverrà la classificazione di ogni rischio, per far ciò vengono utilizzate
prevalentemente:

ABC analysis:
I

Ri =
costo del rischio

ti = risali .
relativo

Questo tipo di analisi presuppone una suddivisione dei rischi in esame in tre classi (A,B,C,
dal più rilevante al meno rilevante).
ordine decrescente in base alla minaccia che rappresentano per il progetto. Si calcola
la frequenza relativa dei valori in ordine (formula) in termini prencentuali e la frequenza
relativa cumulata di ogni valore, ottenendo una funzione cumlativa percentuale.
Risk project portfolio:
Non è altro che una risk matrix, cioè una matrice (3x3,5x5,10x10) che mette in relazione la
tto, asse x) divisa in varie aree spesso colorate
(LOW: verde, MEDIUM: giallo, HIGH: rosso). I rischi che richiedono maggior attenzione
sono quelli che ricadono nella zona denominata HIGH e infatti saranno quelli che
dovranno essere trattati per primi (alta probabilità di accadimento e alto impatto).
 3) Risk Control/Mitigation:

4) Calculating/estimating the risk costs

Una volta aver scelto e implementato la strategia e aver così valutato quali rischi poter
ritenere accettabili e quali no, è sempre necessario, ri-valutare il rischio (dinamico!). Per
stimare e calcolare il risk costs esistono due alternative:
 - Praktiker method:
Tale metodo calcola il valore del costo totale dei rischi sommando il costo di ogni
è che tutti i rischi
accadano, quindi risulta molto forte, ma soprattutto lo svantaggio più grande è che
permette di considerare e analizzare un solo scenario.
- Monte Carlo Simulation (MCS)
Tale metodo è più complesso e il più utilizzato poichè permette di simulare in
maniera semplice il comportamento di un sistema. In input vi saranno le variabili il
cui valore è affetto da incertezza (variabili aleeatorie)
cost del progetto (distribuzione percentuale). In particolare, ciascuna iterazione
rappresenterà un possibile scenario, e per ciascuna di esse prende un valore
random per ogni variabile tenendo contro della sua distribuzione di probabilità, e
dopo aver combinato queste variabili di input, valore

precedente, non sarà altro che una distribuzione più realistica.

QUANTITATIVE RISK ANALYSIS (QRA)

DEFINIZIONI
Una variabile casuale è definita discreta se può assumere solo un numero finito o
un'infinità di valori numerabili (numero di teste, ...).
Una variabile casuale è definita continua se può assumere qualsiasi valore all'interno %
di
Laplace
un dato intervallo (peso, temperatura, ...).

✓
Fisici

Ma
Misure di tendenza centrale:
- moda: il valore di uscita che è più probabile che si verifichi
- mediana: il valore dell'output del modello centrale, cioè il 50 percentile.
- media: la media di tutti i valori di output generati (valore atteso)
Misure di diffusione .
.

- varianza: la T U
media delle distanza al quadrato di tutti i valori
- deviazione standard: la radice quadrata della varianza
- range: la differenza tra il valore massimo e minimo generato.
Altre misure statistiche
 Variabili casuali

• discreta

• continua

Funzione di distribuzione di probabilità:

!(")=#($≤")
variabili discrete
"! #("="!)=
#("!) unzione di probabilità di massa.

Distribuzione di probabilità

•
•
•

Valore atteso o media

Il Mode

La Mediana !!,"
"(#0,5) = 0,5
Varianza

Deviazione standard
 Skewness S

Kurtosis K

Correlazione

ieri
Beta distribution: Beta (α1, α2) Beta PERT ( m.im likely
, ,
Max )
si
usa in assenza di dati storici
Ha una
forma più
dolce
,
meno sensibile ai
paranchi
,
rispetto a

una triangolare

BETA

BETA PERT dominio mine se E mai

 input
Binomiale (n, p)

0<p<1; n = {0, 1, 2, …}, con dominio: x ϵ {0, 1, 2, …, n}.

È
Discrete: Discrete({xi}, {pi}) i=1 a n

ϵ ∑" %! = 1@
MAIN
"
i. e

!=1
BEA
2

∑ ("! − "̅) %! andato

=1
2

→
!=1

Distribuzione esponenziale: Expon(β)

memory tess
continua
pub .

da
fère ) de
-

'2

nient
Normale: N (μ, σ)

(2
 Poisson: Poisson(λ)

"
at
(
dj?
-

=
,

con la restrizione dei parametri λ > 0 e dominio x ϵ {0, 1, 2, …}, con media λ, e varianza λ.
-

Triangolo: Triang (a, b, c)

Uniforme: Uniform (min, max)

Esercizi 16 -
Esercizi

|}
/ lo
{
teorie
finisci
parte

%}
" in teorie
18 Riphiioue
,
15 / 12

?? / 12 →
1:10:00

11101
Analisi quantitativa del rischio (QRA)
Regole cardinali di modellazione dell'analisi del rischio

È possibile modellare il problema?

Modelli di risk analysis

Progettazione di un foglio di calcolo (Spreadsheet)

•
Includere eventi rari in un modello → Non erano inclusi ! !

Come lavora una simulazione Monte Carlo

•
•
•
•
Derivare la distribuzione dai dati
Derivare la distribuzione dall’opinione degli esperti

•
•
•

•
•

•
•
•
Modellizzazione delle dipendenze
Presentazione e interpretazione dei risultati dell'analisi dei rischi

Scrivere un risk analysis report

Spiegare le ipotesi di un modello

•
•

Presentare i risultati

Presentazione grafica dei risultati

Grafici dell'istogramma (o frequenza relativa)
Grafico di frequenza cumulativo

F.fr)
s
pt e se
)
Grafici a ragno

Grafici a dispersione

Grafici rischio-rendimento
Grafici a ragno

Grafici a dispersione

Grafici rischio-rendimento
Grafici a ragno

Grafici a dispersione

Grafici rischio-rendimento

"

,
Grafici a ragno

Grafici a dispersione

Grafici rischio-rendimento
Grafici a ragno

Grafici a dispersione

Grafici rischio-rendimento
Grafici a ragno

Grafici a dispersione

Grafici rischio-rendimento