L'analisi dei rischi

Gestione del rischio: cos’è e quali sono best practices e strumenti necessari per le aziende

In cosa consistono le attività di analisi dei rischi, primo step delle attività di risk management, come devono essere effettuate, con quali tempistiche

Aggiornato il 13 Giu 2023

Stefano Piroddi

senior Security manager

Una corretta gestione del rischio può aiutare le aziende e i leader a prendere decisioni informate, prepararsi per imprevisti e identificare opportunità di business in modo tempestivo.

Cosa vuol dire gestione del rischio

La gestione del rischio o risk management, è la pratica di valutare, prendere decisioni e pianificare tutte le attività necessarie per ridurre al minimo l’impatto negativo della variabilità sugli obiettivi aziendali.

WHITEPAPER
Cybersecurity : la guida per gestire il rischio in banca
Privacy/Compliance
Cybersecurity

Le principali aree di gestione del rischio comprendono la gestione della qualità, la salute e la sicurezza, le finanze, l’informatica, i processi operativi e il rispetto delle normative. Tutte queste aree devono essere gestite in modo efficace e sicuro per garantire la continuità aziendale.

Una buona gestione del rischio può aiutare le aziende e i loro manager a proteggere le entrate, ridurre al minimo il costo dell’assicurazione, migliorare la soddisfazione dei clienti e mantenere un ambiente di lavoro più sicuro.

Il processo di risk management si articola in più fasi riconducibili al ciclo di Deming (Plan, Do, Check, Act) e, in particolare:

  • comunicazioni e consultazioni: sotto–processo che deve essere implementato in ogni fase dell’analisi con i principali stakeholders e consistente nelle attività di reperimento delle informazioni necessarie all’avvio delle attività di gestione dei rischi. Sostanzialmente è necessario comprendere chi sono i principali stakeholders e soprattutto quali sono i loro interessi. Questa fare è fondamentale per indirizzare l’intera attività e renderla efficace. Una errata individuazione degli stakeholder potrebbe portare a un perseguimento di obiettivi non in linea con i portatori di interesse e pertanto risultare poco efficace e probabilmente le azioni saranno prive di “committment”. La comunicazione invece attiene all’insieme di attività volte a trasferire le informazioni relative al processo di risk management agli attori coinvolti elevando la partecipazione. Per assicurarsi che la loro strategia di gestione del rischio sia adeguata, le aziende dovrebbero valutare con cura i propri obiettivi strategici, comprendere meglio il contesto in cui operano e disporre di unae aziendale al processo stesso e creando attorno ad esso un clima di fiducia che ne aumenta l’efficacia.
  • analisi del contesto: si tratta sostanzialmente di una presa di coscienza dell’ambito nel quale si muove l’azienda. Rileva tanto il contesto esterno (mercato, legislazione, concorrenza, situazione socio–politica) sia il contesto interno (organizzazione aziendale, figure manageriali, processi, obiettivi di business, sistemi di gestione interna etc);
  • identificazione dei rischi: individuazione dei potenziali rischi in relazione al contesto;
  • analisi dei rischi: è la fase centrale del processo di risk management, nel quale evidenziano le vulnerabilità dell’azienda, le minacce e le probabilità che si concretizzino stimando il possibile danno atteso;
  • valutazione dei rischi: valutazione del rischio stimato per poter svolgere accuratamente una analisi dei costi-benefici e prendere in considerazione le misure di mitigazione dei rischi;
  • risk mitigation: si tratta di sviluppare degli interventi di mitigazione, riducendo le vulnerabilità ovvero rinunciando a determinate operazioni a elevato livello di rischio. In concreto, una azienda può mitigare un rischio
    • annullandolo e quindi non intraprendendo una determinata attività o cessandola;
    • riducendolo, si agisce sulle vulnerabilità e sulle probabilità;
    • redistribuendolo, la diversificazione è un valido esempio di redistribuzione del rischio.

L’azienda cerca di distribuire il rischio nel tempo e nello spazio, riducendo la vulnerabilità di un asset e ridistribuendola in senso spaziale o temporale.

In questo caso l’impresa potrebbe decidere di decentrare le proprie sedi e/o la presenza del proprio personale sul territorio al fine di offrire target di minore rilevanza, oppure dilazionare nel tempo lo sviluppo delle proprie attività;

  • accettandolo, qualora l’impegno per la mitigazione sia superiore all’eventuale danno è possibile che l’azienda decida di accettare il rischio e quindi l’eventuale danno non implementando alcuna misura di mitigazione;
  • trasferendolo, il rischio viene trasferito a un soggetto terzo come ad esempio una compagnia assicurativa;
  • con controllo e revisione, ossia il continuo monitoraggio di ogni fase del processo finalizzato a verificarne l’efficacia e al suo miglioramento.

Identificazione, analisi e ponderazione dei rischi

La fase centrale del processo, ovvero quella di analisi e valutazione dei rischi è quel sotto–processo del risk management nel quale si valutano le vulnerabilità dell’azienda, le minacce e le probabilità che si concretizzino calcolando i possibili danni in coincidenza degli eventuali eventi dannosi attesi.

Questo momento è fondamentale per poter identificare le vulnerabilità insite nell’azienda, valutarne i livelli di rischio e il potenziale impatto sugli obiettivi di business e sugli asset aziendali e poter quindi orientare le fasi successive di risk mitigation, risk transfer, o accettazione.

L’identificazione è la fase che ha l’obiettivo di stilare concretamente un elenco il più possibile esaustivo delle fonti di rischio e si svolge secondo una metodologia scelta in base alle risultanze dello step precedente, ovvero l’analisi del contesto.

Da qui la necessità che la raccolta di informazioni, attraverso esperienze dirette, interviste, analisi di report, survey, assessment etc, sia il più accurata possibile.

Le modalità di identificazione dei rischi sono le più diverse, basati su criteri e approcci differenti. Sta a chi svolge le attività di risk identification scegliere quella più adatta alla realtà da analizzare.

Risk assessment Techniques

La norma di riferimento, ovvero la ISO 31010 Risk assessment Techniques, all’allegato B, descrive in maniera dettagliate ben 41 tecniche di identificazione e valutazione dei rischi. Tra queste ne accenniamo alcune:

  • Brainstorming. Prevede di stimolare e incoraggiare la conversazione a flusso libero tra un gruppo di persone competenti per identificare potenziali modalità di fallimento e pericoli associati, rischi, criteri per le decisioni e / o opzioni per il trattamento. Il termine “brainstorming” è spesso usato molto liberamente per indicare qualsiasi tipo di discussione di gruppo. Tuttavia, il vero brainstorming comporta tecniche particolari per cercare di garantire che l’immaginazione delle persone sia innescata dai pensieri e dichiarazioni di altri nel gruppo. Il brainstorming può essere formale o informale. Il brainstorming formale è più strutturato con i partecipanti si sono preparati in anticipo e la sessione ha uno scopo e un risultato definiti con mezzi per valutare le idee. Il brainstorming informale è meno strutturato.
  • Interviste strutturate o semi strutturate. In un’intervista strutturata, ai singoli intervistati viene posta una serie di domande preparate che incoraggiano l’intervistato a vedere una situazione da una diversa prospettiva e quindi identificare i rischi da quella prospettiva. Viene creato un insieme di domande per guidare l’intervista. Le domande dovrebbero essere a risposta aperta, semplici e preferibilmente riguardare solo un determinato tema.
  • Metodo Delphi. Ci si avvale di un gruppo di esperti selezionati che rispondono a una serie di questionari. Le domande sono solitamente formulate come ipotesi su cui i membri esprimono il loro giudizio in un periodo di tempo prestabilito e in 2-3 round di domande. Ciascun round è seguito dal feedback sul precedente round di risposte fornite.
  • Checklists. Sono elenchi di pericoli, rischi o errori di controllo che sono stati sviluppati di solito per esperienza, a seguito di una precedente valutazione del rischio o in seguito a fallimenti passati. Sono utilizzabili anche dai non esperti in quanto pre-compilate e create per contesti analoghi a quello da analizzare.
  • PHA Primary Hazard Analysis. Metodo induttivo che si attua identificando gli eventi potenzialmente dannosi. Nella pratica l’analisi è gestita da un caposquadra (risk manager) che guiderà il gruppo di lavoro che deve essere composto da membri in grado di coprire tutte le competenze necessarie. L’approccio porta il gruppo di lavoro a determinare l’impatto di potenziali pericoli per il sistema. I risultati sono presentati in una tabella
  • HAZOP Hazard and Operability. È uno strutturato e sistematico esame di un prodotto, processo, procedura o sistema pianificato o esistente. È una tecnica per identificare i rischi per persone, attrezzature, ambiente e / o obiettivi organizzativi. Si esamina sistematicamente come ogni parte del sistema, processo o procedura risponderà ai cambiamenti nei parametri chiave. I passaggi in uno studio HAZOP includono la nomina di una persona con la responsabilità e l’autorità necessarie per condurre lo studio e per assicurare che tutte le azioni derivanti dallo studio siano completate, la definizione degli obiettivi e della portata dello studio, la definizione di un gruppo di studio multidisciplinare. .
  • HACCP Hazard Analysis and Critical Control Points (HACCP). Fornisce una struttura per l’identificazione dei pericoli e mettere in atto controlli in tutte le parti rilevanti di un processo per proteggersi dai pericoli e per mantenere l’affidabilità e la sicurezza della qualità di un prodotto. HACCP mira a garantire che i rischi siano minimizzati dai controlli durante tutto il processo piuttosto che attraverso il monitoraggio del momento finale.
  • Valutazione di rischio ambientale. Viene utilizzata qui per coprire il processo seguito nella valutazione dei rischi a seguito dell’esposizione a una serie di pericoli. Si riferisce alle fasi del processo decisionale, compresa la valutazione del rischio e il trattamento del rischio. Il metodo prevede l’analisi del pericolo o della fonte di danno e di come influisce sul bersaglio e i percorsi attraverso i quali il pericolo può raggiungere una popolazione target sensibile. Queste informazioni vengono quindi combinate per fornire una stima della probabile entità e natura del danno.
  • SWIFT (struttura what if). È uno studio sistematico, basato su un team, per stimolare i partecipanti a identificare i rischi. Il facilitatore e il team utilizzano delle ipotesi “cosa accadrebbe se” in combinazione con le istruzioni per indagare su come un sistema, un’organizzazione o una procedura saranno influenzati da deviazioni dalle normali operazioni e comportamenti. Sia il contesto esterno che quello interno sono stabiliti attraverso interviste e attraverso lo studio di documenti, piani e disegni. Normalmente, l’oggetto, la situazione o il sistema di studio sono suddivisi in nodi o elementi chiave per facilitare il processo di analisi.
  • Analisi di scenario. Può essere utilizzato per identificare i rischi considerando possibili sviluppi futuri ed esplorandone le implicazioni. Serie di scenari che riflettono (ad esempio) “caso migliore”, “caso peggiore” e “caso previsto” possono essere utilizzati per analizzare le conseguenze potenziali e le loro probabilità per ogni scenario come forma di analisi di sensibilità durante l’analisi del rischio.
  • Analisi di impatto sul business. Noto anche come valutazione dell’impatto sul business, analizza come i rischi di interruzione potrebbero influire sulle operazioni di un’organizzazione e identificare e quantificare le capacità che sarebbero necessarie per gestirla.In particolare, una BIA (Business Impact Analysis) consente di:
    • identificare le criticità dei principali processi aziendali, funzioni e risorse e le interdipendenze esistenti per un’organizzazione;
    • comprendere come gli eventi dirompenti influenzeranno la capacità e la capacità di raggiungere obiettivi aziendali critici;
    • individuare le capacità necessarie per gestire l’impatto di un’interruzione e ripristinare l’organizzazione a livelli operativi concordati.

Una BIA può essere svolta utilizzando questionari, interviste, seminari strutturati o combinazioni di tutti e tre, per ottenere una comprensione dei processi critici, degli effetti della perdita di tali processi e dei tempi di recupero richiesti e delle risorse di supporto.

  • Failure mode effect analysis. È una tecnica utilizzata per identificare i modi in cui componenti, sistemi o processi non riescono a soddisfare il loro intento progettuale. Nell’analisi occorre elencare tutti i possibili “guasti”, e per ciascuno tutte le possibili cause, tutti i possibili effetti, i controlli in essere (a prevenzione o a rilevamento). Per tutte le combinazioni modo di guasto – causa si devono valutare tre fattori: P (probabilità di accadimento), G (gravità del danno), R (probabilità di rilevamento da parte dei controlli in essere). Il prodotto di questi fattori ci fornisce un indice di priorità di rischio.
  • Fault Tree analysis. È una tecnica per identificare e analizzare i fattori che possono contribuire a un evento indesiderato specificato (chiamato “evento principale”). I fattori causali sono identificati in modo deduttivo, organizzati in modo logico e rappresentati pittoricamente in un diagramma ad albero che raffigura i fattori causali e la loro relazione logica con l’evento principale. I fattori identificati nella struttura ad albero possono essere eventi associati a guasti strutturali, errori umani o altri eventi pertinenti che portano all’evento indesiderato.
  • Event Tree analysis. È una tecnica grafica per rappresentare le sequenze di eventi reciprocamente esclusivi a seguito di un evento di avvio in base al funzionamento o mancato funzionamento dei vari sistemi progettati per mitigarne le conseguenze. Può essere applicato sia qualitativamente che quantitativamente.
  • Analisi cause e conseguenze. È una combinazione dei due sistemi sopra indicati. Si parte da un evento critico e si analizzano le conseguenze mediante una logica Sì/No che rappresenta condizioni che possono verificarsi o guasti di sistemi progettati per mitigare le conseguenze dell’evento iniziale. Le cause delle condizioni o dei guasti vengono analizzate mediante schemi ad albero.
  • Analisi cause–effetto. Metodo strutturato per identificare le possibili cause di un evento o problema indesiderato. Organizza i possibili fattori che contribuiscono in categorie in modo da poter considerare tutte le possibili ipotesi. Non indica le cause effettive, dal momento che queste possono essere determinate solo da prove reali e test empirici di ipotesi. Viene utilizzato per consentire la presa in considerazione di tutti i possibili scenari e cause da un team di esperti e consente di stabilire un consenso sulle cause più probabili che possono quindi essere testate empiricamente o mediante valutazione dei dati disponibili.
  • Layer protection analysis. Un metodo semiquantitativo per stimare i rischi associati a un evento o uno scenario indesiderato. Analizza se esistono misure sufficienti per controllare o mitigare il rischio. Viene selezionata una coppia causa-conseguenza e vengono identificati i livelli di protezione che mitigano il verificarsi della causa che porta alla conseguenza indesiderata. Viene eseguito un calcolo dell’ordine di grandezza per determinare se la protezione è adeguata per ridurre il rischio a un livello tollerabile.

Identificare i processi per ridurre il rischio

È evidente come le tecniche sopra indicate consentono approcci differenti al dover identificare, analizzare e poi ponderare i rischi, e l’incaricato a dover svolgere il processo, il risk manager, dovrà, in relazione a obiettivi, risorse, skills a disposizione, tempistiche, struttura dell’organizzazione, scegliere quello più idoneo e più performante.

Alla fase di identificazione segue quella di analisi e di quantificazione dei rischi. Ciò al fine di comprendere la priorità di ciascun rischio e guidare le scelte dei passi successivi, ovvero il trattamento, trasferimento, accettazione del rischio.

La fase è decisamente la più delicata e importante perché consente al management aziendale di basare le proprie azioni su di un quadro informativo completo.

È importante non perdere mai di vista gli obiettivi dell’organizzazione, dell’azienda, andando a individuare non solo i potenziali danni di un rischio ma anche le opportunità che esso cela per poter individuare le priorità d’intervento e i rischi tollerabili.

Cosa si intende per stima nella valutazione del rischio

La stima dei rischi aziendali porta ad individuare gli effetti economici/patrimoniali e le probabilità delle possibili manifestazioni del rischio.

Per raggiungere tale obiettivo possono essere utilizzate tre tipologie di tecniche di ponderazione del rischio:

  • qualitative;
  • semi-quantitative:
  • quantitative.

Le tecniche qualitative utilizzano un metodo descrittivo per stimare gli effetti e le probabilità del verificarsi del rischio.

Le tecniche semiquantitative consentono di assegnare dei valori numerici alle categorie descrittive che tuttavia non sono una quantificazione degli effetti economici o delle probabilità.

Le tecniche quantitative consentono un ordinamento per importanza delle diverse tipologie di rischi.

Le tecniche qualitative e semiquantitative sono più semplici e meno costose da implementare rispetto alle tecniche quantitative. È opportuno però sottolineare come una precisa valutazione dei rischi sia possibile mediante una quantificazione degli stessi. È pertanto prassi avvalersi di tecniche semi-quantitative e, eventualmente, impiegare tecniche quantitative per la stima dei rischi principali.

Per effettuare una adeguata valutazione dei rischi, le aziende operano una analisi costi– benefici, individuando un livello critico oltre il quale è necessario una azione di mitigazione.

In tal modo individuiamo:

  • rischi non tollerabili per cui è necessario avviare misure di mitigazione in quanto potrebbero generare dei danni tali da compromettere l’azienda;
  • rischi tollerabili che pur comportando effetti negativi ma anche delle opportunità per cui è necessario effettuare una analisi costi-benefici;
  • rischi trascurabili, che per ritorno sia positivo sia negativo possono essere non affrontati dall’azienda o dall’organizzazione.

I risultati della valutazione del rischio, e le decisioni prese in relazione alle risultanze del medesimo, saranno strettamente correlate alla propensione al rischio dell’organizzazione, il c.d. “risk appetite” che se nel mondo finanziario va ad individuare il livello di rischio che la banca intende assumersi per il perseguimento dei suoi obiettivi strategici, nel resto delle organizzazioni può essere inteso come quel livello di rischio che le stesse accettano di correre in relazione al raggiungimento dei propri obiettivi, ovvero la soglia di impatto negativo, dato dalla sommatoria dei rischi individuati, che si è disposti a sopportare.

La classificazione dei rischi

Il modello di gestione del rischio, come indica la stessa norma UNI ISO 31000, è a qualsiasi organizzazione per la gestione di qualsiasi tipologia di rischio ed oggi risulta strategico, per le imprese, adottare un modello di gestione dei rischi al fine di generare opportunità e profitti attraverso un processo continuo capace di migliorare costantemente l’organizzazione e i suoi processi affinandoli e adattandoli ai continui mutamenti di contesto sia interno che esterno.

È utile a tal fine andare a classificare i rischi secondo dei criteri che, qualunque essi siano, consentano, mediante il continuo processo di risk management, di avere sempre una visione più completa possibile.

A tal fine è possibile individuare:

  • rischi interni derivanti dalle scelte della direzione aziendale;
  • rischi esterni, esogeni ma con implicazioni in termini di risorse, continuità, risultati etc sulle imprese;
  • rischi imprenditoriali quali quelli commerciali, di affidabilità del cliente, del fornitore etc;
  • rischi associati, cioè quelli che provengono da variabili non direttamente legati alle attività principali delle aziende, spesso dipendenti da fattori esterni.
  • rischi puri ovvero quelli caratterizzati da un’altissima probabilità di accadimento e su cui l’organizzazione non ha possibilità di intervenire a livello di probabilità di accadimento ma esclusivamente mediante interventi ex post o di trasferimento del rischio;
  • rischi speculativi ovvero quelli che essendo correlati a momenti di incertezza e volatilità possono essere forieri di ritorni positivi quanto negativi;
  • rischi strategici ovvero inerenti il livello strategico dell’attività di impresa;
  • rischi operativi che riguardano i processi aziendali;
  • rischi finanziari.

Sono possibili innumerevoli classificazioni, anche qui sta alla capacità del risk manager scegliere, in relazione al mandato, all’obiettivo e soprattutto alle risultanze della fase iniziale dell’approfondimento del contesto, individuare quelle che più si attagliano alla realtà aziendale o organizzativa in esame.

Che cos’è l’Enterprise Risk Management

Dallo sviluppo delle attività di Risk management, nel corso del tempo, si è arrivati allo sviluppo di un modello ancor più evoluto di gestione dei rischi, ovvero l’Enterprise Risk Management (ERM). Questo consiste nella piena integrazione delle attività di gestione del rischio con tutte le funzioni e processi aziendali, entrando negli stessi in modo strutturato, capillare e sotto la supervisione e indirizzo (a livello di indicazione degli obiettivi) del “board”.

Le varie funzioni e i processi aziendali si focalizzano su specifici rischi, siano essi di security, finaziario, di safety, di credito etc, individuando per ciascun processo un “risk owner”, responsabile della gestione di uno specifico rischio e, nel contempo, vi è una gestione coordinata e trasversale di tutti i rischi esistenti.

Questo approccio permette una gestione complessiva dei rischi che in un approccio tradizionale vedrebbe il focalizzarsi sulle singole tipologie di rischio. In tal modo è possibile, avendo una visione generale, di focalizzarsi sulle tipologie di rischio più critiche.

Ancora è possibile affermare che un modello di ERM consente di valorizzare maggiormente gli aspetti relativi alle opportunità insite nei rischi piuttosto che nella semplice mitigazione degli stessi.

Conclusioni

L’ERM vuole che tutta l’organizzazione concorra a portare avanti un modello partecipato e condiviso di gestione del rischio, rendendolo ancor più efficace ed efficiente.

L’idea di fondo è paragonabile a quella che pervade il modello di gestione della protezione dei dati personali normato dal GDPR in cui concetti come privacy by design, by default, minimizzazione, liceità, accountability etc permeano tutti i processi aziendali o che comunque ispira i diversi modelli di gestione quali la sicurezza delle informazioni, modello 231, modello di gestione della sicurezza sul lavoro. Ciascuno di essi in effetti è pensabile come una declinazione di un modello di gestione dei rischi, avente ad oggetto un rischio o una categoria di rischi in particolare.

Il valore aggiunto di un modello così radicato è la capacità dello stesso di creare una struttura capillare che sia in grado di identificare i rischi a tutti i livelli, gestirli nell’ambito della propria sfera di influenza, riportare alla struttura superiore tutte le informazioni necessarie per il miglioramento dei processi e del modello stesso, attuare in modo altrettanto capillare le misure di trattamento dei rischi.

Infografica - Sicurezza dei dati in azienda la vulnerabilita da proteggere

Articolo originariamente pubblicato il 21 Feb 2020

INFOGRAFICA
[Infografica] Come ottenere la compliance aziendale: i 7 step per la privacy
Contract Management
Privacy/Compliance

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

P
Stefano Piroddi
senior Security manager

Articolo 1 di 2