Analisi dei rischi

Pianificazione, identificazione e analisi dei rischi, come farle in modo corretto

Come affrontare le varie fasi di gestione dei rischi in una azienda: ecco i vari passaggi che devono essere effettuati per garantire il business da eventi imprevisti

03 Apr 2020

Andrea Citterio

Privacy Officer

Come è noto a tutti, qualsiasi attività che svolgiamo, indipendentemente dal contesto in cui operiamo, comporta dei rischi. Per definizione non esiste un concetto di rischio pari a zero: tutte le volte che compiamo una azione o prendiamo una decisione la probabilità che quest’ultima generi una conseguenza, esiste. È qui che interviene il concetto di gestione dei rischi che può essere considerato come quel processo che, partendo dalla sua pianificazione, porta alla identificazione, all’analisi in senso stretto, terminando nelle misure di risposta (o trattamento) e monitoraggio. Di seguito proviamo a mettere ordine a questi concetti cercando di identificare un sistema di analisi semplice che possa essere applicato in diversi ambiti senza necessariamente avere competenze di alto livello nel risk management.

Definizione di rischio e pianificazione

Il concetto di rischio varia in funzione del contesto in cui ci troviamo a operare (economico, patrimoniale, finanziario, nei luoghi di lavoro, in un trattamento di dati personali). Secondo la ISO 31000 le organizzazioni di tutti i tipi e dimensioni devono affrontare fattori e influenze interni ed esterni che rendono incerto il raggiungimento dei propri obiettivi. Il rischio è quindi l’effetto che questa incertezza ha sugli obiettivi dell’organizzazione che può essere sia negativa che positiva.

Il rischio può essere definito in base alla semplice formula R = P x D, secondo la quale, il rischio è la probabilità che un determinato evento provochi un danno. Sia che venga visto nella sua definizione negativa (minaccia), che in quella positiva (opportunità), la combinazione di questi due fattori porterà comunque ad un effetto sul sistema che stiamo prendendo in considerazione.

Un sistema di gestione del rischio va prima di tutto pianificato. Sarà importante avere o costruire delle policy o delle procedure che aiutino a definire le linee guida per la gestione dei rischi, affinché i processi, ma anche i progetti o le singole attività, diventino parte integrante dell’organizzazione e quindi permettano di individuare e gestire tutti i rischi, o tutte le opportunità, che possono derivare da eventi interni o esterni rispetto al contesto aziendale. In questa fase andranno individuate le risorse coinvolte (ruoli e responsabilità delle persone nei confronti dei rischi), gli strumenti da utilizzare per analizzare i rischi, le scale per misurarli, le tempistiche di monitoraggio con eventualmente le azioni di mitigazione da porre in essere. Uno strumento utile lo possiamo trovare nella UNI EN ISO 9001:2015 laddove il processo di gestione del rischio diventi parte integrante per tutti i processi organizzativi.

L’identificazione del rischio

Fondamentale è individuare tutti i fattori, fissi o variabili, che devono essere tenuti sotto controllo; va identificato pertanto il sistema da monitorare. Perché è importante il concetto di sistema? Perché permette di definire:

  • il perimetro dell’attività presa in esame;
  • eventuali vincoli normativi, tecnologici o economici;
  • la possibilità di suddividere il sistema in sottosistemi per capirne meglio l’interazione e le conseguenze che la modifica di uno di essi comporterebbe sull’intero sistema;
  • eventuali interazioni con altri sistemi all’esterno;
  • la presenza di possibili casi che si sono già verificati con la conseguente applicazione delle soluzioni che si sono già eventualmente adottate.

Per capire meglio prendiamo in considerazione il sistema ISO e il sistema GDPR; di per sé sono due sistemi autonomi. Il primo serve a: “Dimostrare la propria capacita di fornire con regolarità prodotti o servizi che soddisfano i requisiti del cliente e i requisiti cogenti applicabili; e accrescere la soddisfazione del cliente tramite l’applicazione efficace del sistema, compresi i processi per migliorare il sistema stesso e assicurare la conformità ai requisiti del cliente e ai requisiti cogenti applicabili.”

Il secondo è un regolamento attraverso il quale la Commissione Europea intende rafforzare la protezione dei dati personali dei cittadini dell’Unione Europea. Prendendo ad esame una medesima attività, per entrambi ritroviamo il concetto di identificazione dei rischi che può essere calato sull’attività stessa in modo apparentemente slegato; senza entrare ora nel dettaglio (per un approfondimento vedere questo articolo ), se volessimo fare interagire i due sistemi tra di loro, potrebbe aprirsi uno scenario interessante: per la ISO l’obiettivo è soddisfare i requisiti del cliente assicurando anche la conformità ai requisiti cogenti applicabili; per il GDPR l’obiettivo è il rispetto dei diritti e le libertà delle persone fisiche. Il quesito che nasce da tale confronto è: se per massimizzare la soddisfazione del cliente fosse necessario limitare le libertà delle persone fisiche, come si gestirebbe tale esigenza?

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

Con questo esempio ho voluto dimostrare come due sistemi diversi tra di loro, nel momento in cui vengono a contatto, possono portare ad identificare nuovi rischi o rischi maggiori che necessitano di ulteriori riflessioni.

Tale fase può essere costruita utilizzando diverse metodologie tra cui:

  • specifici questionari (ad esempio un questionario che permetta di raccogliere tutte le informazioni inerenti un particolare trattamento di dati personali al fine di individuare le migliori tutele per gli interessati in funzione dei rischi individuati o la necessità di affrontare una Dpia);
  • le check list, ovvero, liste precompilate di rischi che derivano da esperienze passate che se da un lato aiutano a velocizzare l’analisi, dall’altro rischiano di focalizzarsi solo sui rischi in essa contenute;
  • il brainstorming, che può portare, una volta raccolte tutte le idee, a formulare un documento condiviso;
  • la matrice Swot con la quale individuare punti di forza, punti di debolezza, nonché le opportunità o le minacce.

L’analisi del rischio

Dopo avere raccolto tutti i fattori di rischio si procederà ad analizzarli uno ad uno. Utilizzando la formula matematica sopra citata, semplice ma a mio parere sempre efficace, si misura quindi, dato un determinato evento, la probabilità che questo accada e la gravità dell’accadimento. Per ciascun fattore individuiamo una scala di misurazione a cui possiamo eventualmente associare una interpretazione del dato numerico (ad es. probabilità pari ad 1 può significare che non esiste nessuna correlazione diretta tra l’attività presa in esame e il verificarsi del danno ipotizzato o che il suo verificarsi richiederebbe la concomitanza di più eventi eccezionali; gravità pari a 1 può significare che in caso si verifichi l’evento non avrà alcun impatto sul sistema in esame).

L’incrocio dei dati raccolti può avvenire all’interno di una matrice che individua un insieme di combinazioni necessarie a determinare il valore numerico del rischio, il livello in cui il valore numerico si colloca e le azioni da intraprendere all’interno di quel range. Ad esempio:

Riprendendo l’esempio sopra citato dovremo quindi capire da un lato fino a che punto si vuole soddisfare il cliente e dall’altro l’impatto che le azioni poste in essere per soddisfarlo possono avere sui diritti e le libertà fondamentali delle persone fisiche. Ad ogni evento individuato misureremo la probabilità che il danno si verifichi e la gravità dello stesso. Il risultato così ottenuto darà indicazioni sul livello di rischio (ad es. elevato) e le azioni da intraprendere.

Trattamento e monitoraggio del rischio

In base ai risultati sopra ottenuti e al concetto di miglioramento del sistema, si avrà la possibilità di prendere una serie di decisioni che possiamo qui riassumere:

  • evitare il rischio (decidendo ad es. di non iniziare un’attività);
  • assumersi il rischio in modo da perseguire un’opportunità (ad es. perseguo l’obiettivo sapendo che potrebbe comportare un aggravamento del rischio);
  • rimuovere la fonte di rischio;
  • modificare la probabilità o le conseguenze;
  • condividere il rischio (ad es. assicurandomi contro il rischio);
  • accettare il rischio sulla base di una decisione informata.

Con l’applicazione di una di queste azioni di trattamento del rischio andremo a stabilire il grado di probabilità e di gravità residua che daranno origine al valore di rischio residuo, ovvero, quel valore di rischio che permarrà nonostante le azioni poste in essere (c.d. azioni di mitigazione). Proseguendo nel nostro esempio si potrebbe quindi decidere di perseguire l’obiettivo predisponendo ed attuando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato per gli interessati al trattamento dei dati.

Il rischio residuo ottenuto dovrà quindi essere oggetto di periodici o continui monitoraggi e dovrà essere gestito dalle persone i cui ruoli sono stati in precedenza identificati. Tale attività, che dovrà essere tracciata, sarà essenziale per il raggiungimento degli obiettivi dell’organizzazione.

Possiamo, all’occorrenza, utilizzare una matrice in cui possiamo includere:

  • codice rischio: riferimento codificato del rischio precedentemente identificato ed oggetto di trattamento;
  • i fattori numerici attuali che compongono il rischio, come in precedenza identificati;
  • le risorse coinvolte;
  • la decisione da attuare (evitare il rischio, rimuoverne la fonte, etc);
  • la possibile azione di mitigazione da porre in essere per raggiungere la decisione che si vuole intraprendere;
  • i fattori numerici che compongono il rischio residuo;
  • tempi di attuazione (il tempo in cui l’azione posta in essere deve portare al risultato sperato – da intendersi anche come step temporale nel caso in cui il raggiungimento dell’obiettivo richieda più fasi);
  • tempi di monitoraggio;
  • responsabile del processo di gestione e chiusura del rischio.

Conclusioni

Nelle attività quotidiane tendiamo a pesare la conseguenza delle nostre azioni; per farlo, effettuiamo, anche inconsciamente, un’analisi dei rischi. Questa analisi porta a decidere come comportarci accettando o meno le conseguenze delle nostre azioni. Perché questa cultura di gestione del rischio diventa spesso difficile da comprendere nelle organizzazioni. Costa troppo in termini di tempo e denaro? Non ci sono le competenze? Manca la voglia? Ricordiamoci però che un’analisi dei rischi fatta bene porta beneficio all’organizzazione laddove, mettendo in campo un investimento iniziale, si va a scongiurare il pericolo che il danno che ne potrà derivare costi molto di più. Chiudendo con il nostro esempio, ci si aspetta che l’organizzazione attenta alla gestione dei rischi riveda le proprie strategie, mirate alla soddisfazione del cliente, piuttosto che rischiare l’applicazione a opera del Garante di una multa salata per la violazione dei diritti delle persone fisiche.

WHITEPAPER
Covid-19: come rispettare le regole senza fermare lo sviluppo del mercato?
Sanità
Risk Management

@RIPRODUZIONE RISERVATA
C
Andrea Citterio
Privacy Officer

Articolo 1 di 5