FONDAMENTI DI METODO (Parte I)
Come un tempo si era soliti fare nelle opere letterarie invocando le figlie di Mnemosine, così in questo momento appare di buon auspicio trattare l’analisi del rischio evocando ipso facto celebri parole, quelle di Giulio Carducci, maestro di Security: “Chi vuol fare questo mestiere [l’analista – n.d.r.] deve possedere le categorie kantiane”.
Parole che, per chi ha avuto il privilegio di lavorare col maestro, sono diventate un topos. L’apoftegma mi costrinse a tornare sui testi di filosofia del liceo per comprenderne il significato più profondo. Il riferimento a Kant, eristico se vogliamo, non era affatto casuale. Il filosofo tedesco afferma, infatti, che le conoscenze constano di una molteplicità di dati empirici cui manca quella connessione e quell’unità che li costituisce in un oggetto della conoscenza. La facoltà che compie il processo di unificazione è l’intelletto che opera attraverso concetti. Il concetto ha la funzione di ordinare le diverse rappresentazioni. Kant chiama tali concetti: categorie (quattro per l’esattezza: quantità, qualità, relazione e modalità), in quanto definiscono i modi universali del pensare e introduce due “quadri mentali” (spazio e tempo) entro cui sono collocati i dati fenomenici.
Tornati coi piedi a terra, quando si parla di analisi del rischio sarebbe bene sapere come si colloca, appunto, nello spazio e nel tempo. La UNI ISO 31000:2010 è la norma che fornisce principi e linee guida generali sulla gestione del rischio. Il suo livello di astrazione è tale che può essere utilizzata da qualsiasi impresa pubblica, privata o sociale, associazione, gruppo o individuo e, pertanto, non è specifica per alcuna industria o settore.
La norma è di carattere così generale che può essere applicata lungo l’intera vita di un’organizzazione e a una gamma di attività, inclusi strategie e decisioni, operazioni, processi, funzioni, progetti, prodotti, servizi e beni. Nondimeno può essere applicata a qualsiasi tipo di rischio, quale sia la sua natura, sia che essi abbiano conseguenze positive o negative.
Di qui l’oramai consolidata presenza in Azienda di professioni c.d. “risk oriented” come il Risk Manager/Risk Officer, il Business Continuity Manager, l’Ethic Officer, il Compliance Manager, il Fraud Manager, il Crisis Manager, l’Internal Auditor, il Safety Manager, l’Information Security Manager e, non ultimo, il nostro amato Security Manager. Dunque, non una prerogativa di un solo professionista bensì di un nutrito gruppo (buona parte dei quali obbligatoriamente certificati) che di anno in anno cresce in numero e si specializza in settori sempre più specifici acquisendo nuove competenze.
La 31000 è la fonte dove il nostro analista va ad abbeverarsi. Il processo di gestione del rischio viene efficacemente quanto eloquentemente rappresentato in questa veste diagrammatica:
Fonte: UNI ISO 31000:2010, p. 14
L’attività di analisi del rischio, come si può notare, non solo è posizionata al centro del complesso sotto-processo di valutazione del rischio ma addirittura dell’intero processo assurgendo, così, a motore di tutto (omphalos, non esiterebbero a definirla i greci).
L’analisi del rischio, quindi, è cosa seria, un po’ come la lupa di Dante:
“Vedi la bestia per cu'io mi volsi;
aiutami da lei, famoso saggio,
ch'ella mi fa tremar le vene e i polsi”.
Fuor di allegoria, chi conosce bene tale attività e ne ha dimestichezza al solo sentirla pronunciare avverte un senso di vertigine misto a sgomento (nella Parte II vedremo perché). Donde l’invito alla prudenza a chi, talvolta, la pronuncia sin troppo allegramente probabilmente sull’onda della fascinazione semiotica.
Talora, anche involontariamente, si danno per scontato elementi e fattori che scontati non sono. In ambito Security il processo di gestione del rischio (e, in un rapporto di sineddoche generalizzante, di analisi del rischio) richiede, innanzitutto, un impegno forte e costante da parte della direzione dell’organizzazione, l’allocazione delle risorse necessarie e la garanzia che la struttura organizzativa di riferimento (la Security, per l’appunto), in primo luogo, sia presente in Azienda e, secondo poi, che continui ad essere appropriata. Tradotto in termini carducciani: sostegno, denaro, persone.
In Paradiso San Tommaso dice a Dante:
“Vie più che ‘ndarno da riva si parte,
perché non torna tal qual e’ si move,
chi pesca per lo ver e non ha l’arte”.
Parafrasando: chi inizia un viaggio alla ricerca della verità senza averne la capacità di raggiungerla, questo riuscirà più dannoso che inutile perché egli tornerà non solo ignorante, com’era partito, ma anche carico di errori.
L’alternativa ce la suggerisce Alberto Sordi ne “La Grande Guerra” che, una volta davanti al pentolone del rancio, esclama allargando le braccia nell’atto di impedire ai commilitoni di passare avanti: “Boni boni, ecco. Come stamo, stamo bene! Nu’ spignete!”.
Facezie a parte, tra il non fare e il far male è meglio non fare; lasciare, cioè, le cose come stanno. Perlomeno si fanno risparmiare tanti denari all’Azienda.
di Cristhian Re