Considerazioni sui rischi strategici e sui rischi operativi

Sono entrambi rischi dell’azienda: cambiano il livello di impatto, il perimetro da analizzare, il dettaglio dei fattori di rischio, gli interlocutori interessati, e dovrebbe cambiare anche la metodologia di valutazione.

Pubblicato il 30 Mag 2022

Luigi Sbriz

Cybersecurity & Privacy Senior Consultant

La possibilità che un’azienda non raggiunga i suoi obiettivi o meglio che non riesca neppure a conservare il proprio valore complessivo, è un rischio strategico. La possibilità che un’azienda non riesca a soddisfare il livello di erogazione di un suo servizio o non riesca a tutelare le proprie risorse, è un rischio operativo. Sia strategico che operativo, sono entrambi rischi dell’azienda, cambiano il livello di impatto per l’azienda, il perimetro da analizzare, il dettaglio dei fattori di rischio, gli interlocutori interessati, e forse dovrebbe cambiare anche la metodologia di valutazione del rischio stesso.

Un unico registro del rischio

Non è un’affermazione così scontata perché i rischi dell’azienda sono conservati in un unico registro del rischio. Unico, per assicurare un coerente meccanismo di unione del registro agli obiettivi aziendali, per esempio, tramite una policy di rischio che definisca ruolo e importanza di tale registro nel processo di risk management aziendale. I framework internazionali di valutazione del rischio difendono tale scelta, con la necessità di abbinare sempre all’analisi dello scenario di rischio la giusta attenzione alle conseguenze sul raggiungimento degli obiettivi aziendali. Il registro del rischio risponde alla necessità di essere il collettore unico di tutti i fatti rilevanti dell’azienda, e il legante tra i fatti stessi e gli obiettivi aziendali.

WHITEPAPER
Guida pratica alla difesa degli endpoint, ecco i passaggi.
Cybersecurity
Network Security

Unico non preclude l’eventualità che si adottino metodi di valutazione differenti per categoria di rischio, se è fatta salva la coerenza delle metriche prescelte con la capacità di confrontare i livelli di rischio tra loro o la facoltà di aggregarli per una vista complessiva sull’intero business. Il beneficio di poter scegliere un metodo che sia più idoneo dell’altro è in funzione del dettaglio disponibile per determinare i fattori di rischio, ed è intuibile che la scelta del metodo stesso incida sensibilmente sulla maggior facilità e fluidità nel raccogliere e analizzare i dati.

La valutazione del livello di rischio complessivo

Questo concetto, espresso con altri termini, significa minor costo e maggior qualità finale. Il punto di convergenza è l’ultimo passo, quello di valutazione del livello di rischio complessivo. Deve essere garantito un modo omogeneo di aggregare rischi specifici entro categorie di rischio più ampie che siano comprensibili al top management. Pochi rischi ma molto significativi sulla valutazione dell’incertezza a raggiungere gli obiettivi aziendali.

Generalmente, nell’immediato intorno degli obiettivi, ci sono i rischi strategici. Coprono tutta l’azienda o parti critiche di essa, e tra i loro fattori ci possono essere i rischi operativi. Questi sono di solito orientati al raggiungimento di finalità specifiche e riguardano settori aziendali sempre ben circoscritti. Nella pratica si preferisce adottare approcci separati perché il contesto da analizzare è differente ma anche le aspettative non sempre collimano.

gestione rischio

Il rischio strategico

Il rischio strategico è legato direttamente agli obiettivi e il risultato atteso è un’indicazione netta sull’incertezza dell’andamento generale dell’azienda, ossia se il business sarà in grado di rimanere allineato ai risultati attesi della sua missione o meno. Quindi, poche informazioni ma estremamente chiare. In questo caso, presumibilmente c’è un interesse al trend del business piuttosto che a un evento preciso e la natura del dato da gestire sarà di preferenza di tipo qualitativo. Questo perché assicura una più facile gestione nella raccolta dati e si presta a produrre una reportistica semplificata ma comunque di effetto. Il metodo più pertinente a svolgere questa attività è il ricorso al modello di maturità delle capacità applicato su tutti i processi analizzati.

L’analisi è top-down, con partenza dagli obiettivi e conseguente ricerca dei processi coinvolti. Di preferenza, in questo approccio i rischi non saranno determinati nel corso dell’analisi ma mutuati dalle liste disponibili sui framework internazionali del rischio (es. COSO ERM). È un aspetto che incide molto sulle scelte da fare nella metodologia. Non ci sarà una ricerca di nuovi rischi ma un’analisi attorno alla lista ufficiale dei rischi. Una valutazione del livello di implementazione dei controlli (maturità), risulterà più adatta di altri metodi nel rilevare le vulnerabilità, e di conseguenza valutare il potenziale del rischio. L’analisi svolta ad alto livello è veloce, economica e semplice da capire. Non avrà la valenza di una determinazione d’impatto estremamente precisa ma ha il pregio di fornire una chiara lettura dell’andamento del rischio, se sta peggiorando o migliorando.

Questa informazione è molto importante per focalizzare nella giusta direzione gli sforzi aziendali di miglioramento. Gli interventi non saranno dispersi sull’intero perimetro aziendale ma concentrati su quelle aree che dimostrano un andamento negativo. Agendo solo sul perimetro più ristretto delle zone identificate, si può migliorare più efficacemente la postura al rischio, anche seguendo le indicazioni di una conseguente analisi di rischio operativo sugli asset coinvolti. La focalizzazione aiuta l’ottimizzazione delle risorse e di conseguenza crea valore per l’azienda.

Il rischio operativo

Il rischio operativo, di contro, è legato a specifici processi o progetti in ambiti ben precisi dell’azienda ed è imperniato sul concetto di asset critico. Un asset è tanto più rilevante per l’azienda quando più può concorrere al raggiungimento degli obiettivi, e allora il rischio sarà la preoccupazione che non sia adeguatamente protetto. L’analisi per arrivare a quantificare questa previsione necessita del maggior dettaglio e precisione possibile. Fortunatamente, in questi casi, lo scenario da analizzare è ben definito e concreto. L’ambiente dell’analisi, detto scenario di rischio, ruota attorno all’asset ed è formato da ulteriori elementi quali perlomeno le minacce e le vulnerabilità.

L’analisi è bottom up, ossia il baricentro è il valore assegnato all’asset e utilizzandolo come riferimento vanno ricercati i fattori che potrebbero compromettere il valore stesso. Coerentemente, vanno individuati i fatti concreti (minacce) che possono avere conseguenze indesiderate, ed i punti di debolezza (vulnerabilità) che possono rendere effettivo l’evento di rischio. In questo scenario, pur avendo più elementi da correlare tra loro di quanto si possano osservare in uno scenario strategico, il lavoro risulta più semplice perché meglio delimitato e definito dalla evidente relazione con l’asset. La sequenza di valutazione da seguire è il classico ciclo di vita che parte dall’identificazione del rischio. Concentrando l’attenzione sull’asset, si identificano minacce e vulnerabilità, e in tale contesto possono emergere nuovi rischi o variazioni allo scenario. Il passo ulteriore è l’analisi del rischio che determina la potenziale ampiezza delle conseguenze e la possibilità che ciò accada. Questi ultimi sono i componenti che stabiliscono il livello del rischio.

Il risultato del processo di valutazione del rischio operativo serve per determinare un piano di trattamento del rischio stesso a protezione di tutti gli asset coinvolti. Nel piano sono identificate azioni concrete da svolgersi nei tempi e modi previsti. In aggiunta all’indubbio beneficio di mitigare la situazione avversa, tramite il coinvolgimento diretto del personale addetto all’operatività degli asset coinvolti, diffonde capillarmente la cultura del rischio ed aumenta la consapevolezza sulle conseguenze per il business a seguito di ogni azione intraprese. Questo è un grande valore aggiunto e muove l’azienda ad accrescere la propria maturità e resilienza.

Aggregazione rischi

Abbiamo visto i due distinti percorsi per giungere a delle valutazioni di rischio. Ambiti diversi e processi diversi ma con uno stesso fine. Esiste però una gerarchia sui rischi. Il rischio strategico incapsula quello operativo a seguito di un processo logico di consolidamento dei rischi che parte dall’operatività e tende a organizzarli in categorie sempre più rappresentative del legame con gli obiettivi di business. Meno rischi da considerare ma su settori più ampi e più significativi per l’azienda. L’impatto aziendale diviene sempre più alto via via che ci avviciniamo agli obiettivi.

Il processo di incapsulamento dei rischi non presenta alcuna difficoltà nell’azione di aggregazione. È possibile attuarlo con automatismi perché è una pura questione di scelta delle regole di consolidamento e di conversione delle valutazioni di rischio per omogenizzarle. Le trasformazioni sono tutte nella direzione di trasformare domini di valori qualitativi o quantitativi in un dominio qualitativo. Semplici legami relazionali, con opportuni pesi per assorbire le differenze, aiutano questo processo di riduzione dei rischi. Partendo da molti eventi di rischio di vario impatto si giunge a un insieme limitato in termini di elementi considerati ma molto significativi.

Teniamo sempre presente che la popolazione aziendale che utilizza le valutazioni di rischio non è omogenea. Il top management vuole rischi di semplice comprensione ma di grande significato per rappresentare i trend aziendali, mentre gli operativi vogliono valutazioni calate nella loro realtà quotidiana, con un adeguato livello di profondità delle analisi e un dettaglio completo che ben rappresenti il loro modo di operare. Un’analisi di maturità sui processi fornisce il giusto livello di informazione per comprendere l’andamento del business, mentre le analisi degli scenari di rischio che coinvolgono gli asset rilevanti sono idonee a soddisfare le esigenze degli operativi.

Conclusioni

Un rischio strategico ha necessità di un corredo di informazioni differente da quello operativo, e pur condividendo entrambi lo stesso registro del rischio, possono tranquillamente adottare differenti metodologie di valutazione. Il punto di unione delle metodologie è la fase di aggregazione del rischio. Per questa attività non ci sono questioni particolari da affrontare, è sufficiente definire delle regole di relazione tra le metriche scelte dalle diverse metodologie e procedere con un calcolo automatico di aggregazione.

Il contrario, ossia ricavare il dettaglio da un rischio aggregato, è sempre possibile ottenerlo, avendo cura di conservare tutti i legami di aggregazione. In questo modo si possono evidenziare tutti gli scenari dei rischi che hanno concorso alla sua formazione. È esattamente la funzione inversa di quella adottata per il processo di aggregazione, ma senza richiedere alcun calcolo, solo una esposizione di risultati.

In questo servizio si approfondisce il rapporto tra Risk Management e ESG

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

S
Luigi Sbriz
Cybersecurity & Privacy Senior Consultant
Argomenti trattati

Approfondimenti

R
risk assessment
R
risk management

I commenti sono chiusi.

LinkedIn

Twitter

Whatsapp

Facebook

Link