Le valutazioni del rischio sono state storicamente afflitte dalla soggettività, il che significa che non si può fare affidamento su di esse per raggiungere il loro obiettivo. La soggettività impedisce l’utilizzo delle valutazioni in tutti i silos aziendali e rende impossibile la verifica tramite audit o revisione della conformità.
Gli standard e le ipotesi comuni rendono le informazioni raccolte in tutta l’organizzazione oggettive, quantificabili e comparabili, consentendo una migliore analisi, la risoluzione dei problemi e la loro escalation quando necessario.
Scaricate il nostro template gratuito di valutazione del rischio con le migliori pratiche per iniziare oggi stesso.
Template gratuito di valutazione del rischio: Panoramica
Il nostro modello base di valutazione del rischio è stato progettato per aiutarvi a fare i primi passi nella standardizzazione dei vostri processi. Vi aiuterà a determinare quali dati dovete raccogliere dalle vostre aree aziendali, a definire i termini chiave e a delineare le selezioni di risposta suggerite.
Genera inoltre automaticamente le mappe di calore del rischio sulla base dei vostri dati e include istruzioni d’uso passo dopo passo.
Usando il nostro modello gratuito di valutazione dei rischi sarete in grado di gestire meglio i rischi nella vostra organizzazione.
Perché valutare i rischi
Le valutazioni dei rischi sono una componente chiave di qualsiasi programma di gestione dei rischi di successo. Non importa quanto sia semplice o complesso il quadro di riferimento, i risultati delle valutazioni standardizzate fungono da fondamenta sulle quali vengono costruite le altre responsabilità di gestione del rischio, le attività di mitigazione e i controlli di monitoraggio.
Come il nostro modello di valutazione del rischio può esservi utile
Le valutazioni del rischio aziendale di successo possono essere un potente strumento per il processo decisionale strategico a livello senior, collegando le attività aziendali agli obiettivi e identificando i rischi che minacciano di far deragliare questi obiettivi strategici. Quando le valutazioni del rischio vengono effettuate con gli stessi standard e presupposti, possono essere confrontate e utilizzate a livello interfunzionale per una gestione del rischio più accurata e fattibile.
Completare una valutazione del rischio: Passo dopo passo
Di seguito evidenziamo passo dopo passo ciò che è necessario per completare una valutazione del rischio sia sul download gratuito del nostro modello di valutazione del rischio sia all’interno della soluzione di gestione del rischio LogicManager.
Scala numerica uniforme – Il punteggio di LogicManager è basato su una scala da 1 a 10, dove 10 è il valore più sfavorevole per l’organizzazione, ed è suddiviso in 5 fasce per fornire un valore alto e basso per ogni fascia. (1-2, 3-4, 5-6, ecc.). L’utilizzo di una scala di 10 rende la matematica più semplice e il fatto di avere solo 5 gruppi offre alle persone che fanno le valutazioni la flessibilità di selezionare l’alto o il basso dei 5 gruppi.
Criteri di valutazione oggettivi – Spesso, il 9 di una persona è il 7 di un’altra. Il modello di analisi del rischio di LogicManager fornisce una chiara definizione di cosa sono ciascuno dei 5 gruppi in termini non ambigui. Ci sono più modi di esprimere la gravità, sia qualitativamente che quantitativamente, come finanziario, legale, strategico, ecc. A qualsiasi criterio qualitativo può essere dato un punteggio per diventare quantitativo e comparabile in tutta l’azienda. Tutti gli standard possono essere confrontati, incluse le leggi, i regolamenti e le politiche e procedure aziendali, con le pratiche correnti.
Criteri di valutazione calibrati – All’interno di LogicManager viene utilizzata una varietà di criteri di valutazione del rischio e tutti sono su una scala da 1 a 10 e calibrati, il che significa che la descrizione di un 7, anche se descritta in modo diverso in diversi criteri di valutazione ha lo stesso significato di gravità. Questo permette l’aggregazione delle valutazioni del rischio per fornire una visione olistica del rischio.
Elementi di business universali – Le valutazioni del rischio in LogicManager sono suddivise in elementi di base come i processi di business e le risorse, che sono standardizzati attraverso i silos di business, o unità di business. Per risorse, intendiamo le persone e i fornitori e le risorse fisiche, le applicazioni software di valutazione del rischio, i servizi e gli archivi di dati utilizzati nell’organizzazione. Valutare le caratteristiche dei fornitori separatamente dai prodotti e dai servizi che vendono produrrà valutazioni del rischio che rendono facile l’identificazione e mantengono l’obiettività quando si verificano cambiamenti come fusioni e acquisizioni o introduzioni di nuovi prodotti, ecc. Scomponendo complesse informazioni interconnesse in risorse come blocchi di base, il Risk Taxonomy Framework di LogicManager fornisce una struttura per le informazioni e la proprietà. Questo permette a tutti di capire, contribuire e accettare la responsabilità della gestione del cambiamento.
Collega i modelli di valutazione del rischio – la tecnologia Taxonomy di LogicManager collega gli elementi tra loro, il che significa che con un semplice drag-and-drop è possibile collegare i fornitori ai prodotti e servizi che forniscono ai processi aziendali che si basano su di essi. Collegare ogni elemento finanziario ai processi aziendali che vi contribuiscono. Collegare tutte le applicazioni sviluppate internamente e gli archivi di dati ai processi aziendali che si basano su di essi per eseguire le loro responsabilità. Collegare questi elementi insieme fornisce un quadro olistico. Per esempio, un fornitore può avere più prodotti e servizi di diversa qualità e rischio. Valutare i prodotti e i servizi individualmente e collegare queste valutazioni di rischio al profilo del fornitore fornisce un quadro molto più chiaro sulla combinazione di prodotti, servizi e fornitori usati dal proprietario dei processi.
Biblioteca comune di risorse – la tassonomia di LogicManager fornisce una biblioteca comune di risorse. L’utilizzo di informazioni da un luogo comune permette di ridurre drasticamente il lavoro, specialmente la raccolta e la gestione delle informazioni, sia per te che per i proprietari dei processi con cui lavori. La libreria ti aiuta anche a sapere chi altro è collegato alle stesse informazioni. La chiave è capire come tutte queste risorse sono collegate tra loro e quale combinazione di queste risorse è più importante per le aree critiche del vostro business.
Consolidare la raccolta dati delle risorse – il modello di valutazione del rischio di LogicManager per Excel vi permette di creare campi dati personalizzabili per ciascuno di questi elementi delle risorse in modo da poter raccogliere informazioni attraverso i silos e identificare le aree in cui i controlli e i test possono essere consolidati. Diverse aree dell’organizzazione stanno raccogliendo le stesse informazioni per le risorse, solo che non lo sanno. Per esempio, la contabilità fornitori, la gestione dei contratti, la gestione dei fornitori, la continuità aziendale e l’IT raccolgono tutte informazioni sovrapposte sui vostri fornitori. Comprendendo quali informazioni vengono raccolte da queste aree per ogni risorsa, è possibile razionalizzare e consolidare facilmente le valutazioni del rischio e i campi di dati.
Rapporti ERM olistici e accurati – È possibile analizzare, riportare e prendere decisioni prendendo in considerazione ogni relazione relativa alla risorsa. Il modello di valutazione del rischio aziendale di LogicManager consente alle organizzazioni di ottenere un Overall Risk Score per ogni risorsa, che riunisce le competenze specifiche di tutta l’organizzazione per ottenere un numero aggregato per quella risorsa. Tutta la complessità legata a una risorsa, come un fornitore, è semplificata, ma supportata da una traccia dettagliata delle valutazioni oggettive del rischio per tutte le altre cose legate alla risorsa, come il processo aziendale, gli elementi finanziari, le risorse fisiche, le applicazioni, i dati e le persone.
Compiti & workflow – In LogicManager, per ogni elemento della risorsa, è possibile inviare notifiche di compiti via e-mail per la valutazione dei rischi o la revisione, allegare documenti come i contratti, avviare flussi di lavoro di approvazione, raccogliere campi di dati personalizzati, vedere i punteggi storici e molto altro.
Quando le relazioni tra le risorse e i processi aziendali che le utilizzano diventano esplicite, l’organizzazione può determinare l’impatto aziendale. Più forte è la comprensione dell’impatto sul business, più efficace sarà l’attività di governance. Il collegamento a un processo di business fornisce una connessione diretta all’esperto in materia per l’attività che usa la risorsa e conosce la criticità di quella risorsa per la sua attività.
Il risultato è un unico punteggio complessivo di sintesi per ogni processo di business che combina i punteggi individuali per ogni risorsa e voce finanziaria associata a quel processo e il punteggio del processo stesso. Con queste informazioni, come stabilito dal nostro modello di report di valutazione del rischio, potete dare priorità e concentrare i vostri sforzi ERM.
Usare un modello di valutazione del rischio per dare priorità alle misure aziendali
Il numero di misure aziendali all’interno delle organizzazioni è tipicamente in crescita. Le misure sono spesso aggiunte come reazione ad eventi di perdita che si sono già verificati. Non sarebbe utile potersi concentrare su misure che guardano al futuro? Nella maggior parte delle organizzazioni, queste misure preventive e proattive sono indistinguibili se raggruppate con le misure reattive, perché le metriche non sono formalmente legate a nessun impegno o rischio.
E se un rischio o un’attività cambia? Le organizzazioni non hanno modo di sapere come e se questi cambiamenti influenzeranno le loro metriche di rischio. La valutazione dei rischi e il collegamento dei rischi alle attività permette alle organizzazioni di iniziare a dare priorità alle attività che devono essere monitorate. Attraverso valutazioni trimestrali (o anche annuali) del rischio aziendale, le organizzazioni possono rilevare un aumento dei livelli di minaccia e identificare nuovi rischi emergenti prima che si materializzino e portino le metriche di rischio fuori tolleranza.
Le metriche del rischio aziendale sono importanti perché non si può migliorare ciò che non si può misurare. Tuttavia, un gran numero di obiettivi scollegati è problematico perché:
- Stanchezza da misurazione – il personale può semplicemente ignorare molte misure a causa della mancanza di tempo per valutarle.
- Obsolescenza delle misure – in un ambiente che cambia non c’è un modo efficace per sapere quando le misure non sono più applicabili.
- Mancanza di priorità – la scelta delle misure su cui concentrarsi è probabile che avvenga su una base ad hoc e secondo il capriccio del personale attuale.
- Mancanza di continuità – i cambiamenti nell’organizzazione o lo sviluppo di nuove linee di business possono portare a nuove misure mentre le misure esistenti possono essere più efficaci.
- Mancanza di coordinamento – spesso le misure si applicano a più rischi o impegni attraverso le linee funzionali. L’incapacità di legare formalmente le misure al rischio o agli impegni non promuove il coordinamento interfunzionale con conseguente silos aziendale e duplicazione degli sforzi.
- Risorse sprecate – La quantità di risorse disponibili per realizzare gli obiettivi aziendali e per mitigare il rischio è limitata. Il personale spesso continuerà a gestire misure obsolete o poco importanti piuttosto che allinearsi con gli imperativi attuali.
- Resistenza al cambiamento – Una difficoltà ad applicare l’esperienza del passato ad un ambiente di business in evoluzione con conseguente tendenza a “reinventare la ruota.”
Molte delle informazioni necessarie esistono oggi nelle organizzazioni; il pezzo mancante è la formalizzazione di questi collegamenti critici. Il software di Enterprise Risk Management (ERM) ha la funzionalità per identificare i rischi e gli impegni; valutarli in base alla probabilità, all’impatto e alla garanzia; valutare se è necessario agire; ideare attività di mitigazione o di costruzione del business se necessario, specificare e registrare le misurazioni per tracciare l’efficacia, e infine formalizzare la connessione tra tutte queste attività.
Collegare le misurazioni alle attività di mitigazione del rischio e ai dati delle iniziative di business e poi tornare al rischio e agli impegni sottostanti fornirà i seguenti benefici:
- Report ERM: Prioritizzazione esplicita delle misure in base a un indice di rischio/ricompensa e una presentazione sul cruscotto della mappa di calore in LogicManager.
- Gestione del rischio operativo: Tendenza in tempo reale delle misure su base continua con il consolidamento delle misure utilizzato per dirigere l’attenzione del management sulle condizioni problematiche (fuori tolleranza).
- Gestione delle prestazioni: Facilitare le misurazioni di nuove iniziative aziendali prioritarie in base al rischio o agli impegni aziendali.
- Allocazione delle risorse: Uso più efficace di risorse scarse.
La chiave è lavorare con i manager funzionali per fare i collegamenti. Il beneficio immediato sarà quello di identificare le misure che non sono collegate a nessun rischio o iniziativa e determinare se devono essere eliminate. Poi, una volta che i collegamenti sono stati fatti, utilizzare gli strumenti di gestione nel vostro software di Enterprise Risk Management su una base continua per migliorare l’utilizzo delle misure di business all’interno della vostra organizzazione.