Risk Management: la guida completa Serie di approfondimenti sulla gestione dei rischi: definizione, linee guida e metodologie di Risk Analysis e Risk Assessment

Risk Management: la guida completa

In questa serie di articoli ci dedicheremo ad analizzare uno dei concetti più importanti nell'ambito della governance aziendale: il Risk Management, traducibile in italiano con gestione del rischio: un processo continuo, graduale e proattivo che coinvolge tutti gli aspetti strategici e organizzativi dell'azienda e che per questo motivo è opportuno integrare nella cultura dell'organizzazione attraverso una politica mirata da parte del management.

Come sempre partiremo dalle definizioni, per poi passare ad approfondimenti mirati sulle varie componenti fondamentali in cui si scompone il processo di analisi, valutazione e successiva mitigazione dei rischi: dalla comprensione del contesto all'identificazione del rischio, per arrivare alla ponderazione (evaluation), al trattamento e al monitoraggio nel corso del tempo della soluzione adottata.

Definizione

La definizione più sintetica ed efficace è fornita dalla norma UNI 11230, Gestione del Rischio, definisce il Risk Management come l'insieme di attività, metodologie e risorse coordinate per guidare e tenere sotto controllo un’organizzazione con riferimento ai rischi. Da un punto di vista organizzativo, possiamo definire la gestione dei rischi come una serie di processi aziendali volti alla gestione completa ed integrata dei rischi mediante attività sistematiche quali identificazione, valutazione e trattamento del rischio

Per quanto riguarda gli standard di riferimento, è opportuno prendere in considerazione due normative:

  • UNI/ISO 31000:2018, dedicata al Risk Management e dunque destinata alle figure che , nel contesto di un'azienda o organizzazione, hanno il compito di gestire rischi, prendere decisioni, fissare e conseguire obiettivi e migliorare le prestazioni.
  • ISO/IEC 27000, un insieme di norme internazionali dedicate alla sicurezza delle informazioni e fortemente orientata al risk-based approach.

Poiché in questo approfondimento ci dedicheremo a fornire una panoramica del Risk Management all'interno del contesto proprio della sicurezza delle informazioni, i riferimenti adottati saranno prevalentemente relativi alla ISO/IEC 27000 e in particolare alla ISO/IEC 27001:2017, la cui impostazione è peraltro del tutto coerente con quanto descritto nella ISO 31000.

Cos'è il rischio?

Ma cosa si intende effettivamente per rischio? La definizione ci viene fornita dalla ISO/IEC 27000, famiglia di norme internazionali dedicate alla gestione della sicurezza delle informazioni, dove il rischio viene descritto come l'effetto dell'incertezza sugli obiettivi. Tale incertezza è dovuta al verificarsi di eventi, che possono avere effetti, conseguenze e/o impatti negativi (threats) o positivi (opportunities).

Alcuni esempi di effetti negativi:

  • danno di immagine, quando l'evento negativo diventa di dominio pubblico;
  • perdita di quote di mercato, quando l'evento è determinato o determina azioni da parte di concorrenti (aumento dei prezzi, spionaggio industriale, etc.);
  • perdita di competitività, quando l'evento determina un aumento dei costi o limita le possibilità dell'azienda (ad es. l'impossibilità di prendere parte a gare o appalti);
  • rallentamenti della produzione, ad esempio a causa della chiusura di un fornitore o indisponibilità di prodotti e/o materie prime;
  • riduzione della liquidità, quando l'evento impedisce il recupero di crediti o l'accesso alle linee di credito;
  • costi aggiuntivi, ad esempio per adeguarsi a nuove normative;
  • perdite economiche, a causa di scioperi, atti di sabotaggio o situazioni emergenziali provocate da cyber threats;
  • perdita di reputazione, clienti e/o denaro, a causa della riduzione di qualità percepita dei propri prodotti e servizi;

Alcuni esempi di effetti positivi:

  • miglioramento dell'immagine, per il tempestivo adeguamento a nuove normative;
  • aumento della clientela e/o della produttività, grazie all'introduzione di processi o tecnologie innovative;
  • miglioramento della reputazione, grazie a buone politiche di gestione del cliente e/o del personale;

Come si può vedere leggendo gli esempi, lo stesso rischio potrebbe produrre una molteplicità di effetti negativi o positivi a seconda della velocità e dell'efficacia con cui viene gestito: la capacità di ridurre al minimo gli effetti negativi e di coglierne le opportunità positive è del resto uno dei motivi principali per cui è importante dotarsi di una buona metodologia di gestione del rischio. Ciò premesso, poiché la sicurezza delle informazioni si occupa unicamente dei rischi con effetti negativi (threatsincidents), in questo e nei prossimi articoli ci dedicheremo ad approfondire soprattutto questi ultimi.

A cosa serve la Gestione del Rischio

La funzione principale del Risk Management è quella di proteggere e incrementare il valore di una azienda a vantaggio dei suoi stakeholder, sostenendone gli obiettivi attraverso la predisposizione di un quadro metodologico che consente uno svolgimento coerente e controllato di ogni futura attività, il miglioramento del processo decisionale, nonché la corretta pianificazione e creazione di priorità. Il Risk Management contribuisce, inoltre, a un utilizzo e a un'allocazione più efficace del capitale e delle risorse all’interno dell'organizzazione, alla protezione del patrimonio, dell'immagine aziendale, del know how dell’organizzazione e delle persone chiave, nonché alla ottimizzazione dell'efficienza operativa.

Un approccio globale al Risk Management, ovvero la sua introduzione all'interno di tutti i contesti strategico/decisionali, consente all'organizzazione di considerare il potenziale impatto delle diverse tipologie di rischio sui processi aziendali, sulle attività, sugli operatori, sui prodotti e i servizi.

Le fasi del Risk Management

Per assolvere ai propri scopi il Risk Management prevede l'adozione di uno schema suddiviso in sette fasi principali:

  • Individuazione delle risorse finanziarie a disposizione dell'azienda.
  • Identificazione e analisi dei potenziali rischi che corre l'azienda nei vari settori di attività e produzione.
  • Ponderazione di questi rischi in termini di gravità come entità o frequenza.
  • Controllo dei rischi al fine di prevenirli o ridurli.
  • Assunzione in proprio - in tutto o in parte - dei rischi finanziariamente sostenibili.
  • Trasferimento dei rischi a una terza parte, come ad esempio un fornitore o un assicuratore (nota anche come condivisione del rischio).
  • Monitoraggio nel tempo dell'evoluzione dei rischi e del programma di risk management messo in atto.

La prima fase necessita di una comprensione del contesto e dell'ambito in cui si valuta il rischio; le fasi 2 e 3, rispettivamente note come Risk Analysis e Risk Evaluation, vengono solitamente raggruppate all'interno di un singolo processo noto come Risk Assessment; Le fasi 4, 5 e 6 descrivono le varie modalità di Trattamento del Rischio, mentre la settima e ultima fase è dedicata al monitoraggio (monitoring) e alla rivalutazione (reassessment) del rischio, attività che è necessario svolgere periodicamente per assicurare che il rischio sia correttamente gestito nel tempo.

Il termine evaluation, proprio della fase 3 dello schema di Risk Management, viene convenzionalmente tradotto in italiano come "ponderazione" per distinguerlo dalla "valutazione", utilizzato come traduzione di assessment. Tale distinzione terminologica è necessaria per evidenziare come la evaluation/ponderazione si differenzi dall'assessment/valutazione: la prima, come abbiamo detto sopra, è infatti una componente della seconda.

Approfondimenti

Per il momento riteniamo utile fermarci qui. Per un approfondimento ulteriore sulle varie fasi che compongono lo schema di Risk Management invitiamo alla lettura dei seguenti articoli:

A corredo degli approfondimenti sopra elencati consigliamo inoltre la lettura dei seguenti contributi, che mettono in evidenza l'importanza di adottare un risk-based approach in una serie di processi di gestione strettamente collegati alla sicurezza delle informazioni:

Buona lettura!

Riferimenti

  • UNI/ISO 31000:2018 (Ente Italiano di Normazione & International Organization for Standardization, 2018)
  • ISO/IEC 27001:2017 (International Organization for Standardization & International Electrotechnical Commission, 2017)
  • UNI EN ISO 9000:2015 (Ente Italiano di Normazione & International Organization for Standardization, 2017)
  • Sicurezza delle informazioni (Cesare Gallotti, 2019)

 

About Ryan

IT Project Manager, Web Interface Architect e Lead Developer di numerosi siti e servizi web ad alto traffico in Italia e in Europa. Dal 2010 si occupa anche della progettazione di App e giochi per dispositivi Android, iOS e Mobile Phone per conto di numerose società italiane. Microsoft MVP for Development Technologies dal 2018.

View all posts by Ryan

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *


Il periodo di verifica reCAPTCHA è scaduto. Ricaricare la pagina.

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.