Valutare i rischi
La valutazione del rischio è un processo di enterprise risk management che consiste nel determinare l'entità del rischio che una società deve affrontare. Sebbene la valutazione del rischio possa concentrarsi esclusivamente sull'analisi dell'impatto negativo dell'esposizione di una società all'incertezza, può essere utilizzata anche per identificare potenziali opportunità.
Sviluppare criteri di valutazione
Il primo passo nel processo di valutazione del rischio consiste nello sviluppare un insieme comune di criteri di valutazione che possano essere utilizzati in tutti i segmenti di operazione, entità o unità aziendali.
Se la società o il reparto è alle prime armi con l'enterprise risk management, è necessario iniziare a valutare il rischio in termini di probabilità e impatto. Dopo aver perfezionato il processo di valutazione e aver acquisito una conoscenza più approfondita del profilo del rischio della società, è possibile iniziare a valutare il rischio attraverso dimensioni aggiuntive, come vulnerabilità e velocità.
Per ottenere informazioni dettagliate sullo sviluppo dei criteri di valutazione, consultare Configurare le impostazioni del punteggio del rischio.
Valutare il rischio inerente
Il rischio inerente è un calcolo che deriva dalla valutazione di un rischio non trattato. È il rischio grezzo che una società affronta se non sono stati messi in atto controlli o altri fattori di mitigazione.
Come si valuta il rischio inerente?
Il rischio inerente si valuta in base al sistema di punteggio del rischio definito dalla società.
La valutazione del rischio inerente comporta:
- Associare i rischi agli obiettivi strategici definiti nella Mappa della strategia.
- Valutare il rischio in tutti i segmenti di operazione su più fattori di punteggio del rischio.
La tabella seguente descrive tre approcci che è possibile utilizzare per valutare il rischio inerente:
| Approccio | Utile per... | Informazioni |
|---|---|---|
| Valutare in modo collaborativo il rischio utilizzando un workshop del rischio | le aziende che vogliono discutere e collaborare sulla valutazione del rischio in Diligent One | |
| Valutare individualmente il rischio nel profilo del rischio | le aziende che desiderano inserire manualmente i dati nel proprio profilo del rischio dopo aver condotto discussioni al di fuori della piattaforma Diligent One | Valutare il rischio inerente |
| Utilizzare i fattori di valutazione per automatizzare le valutazioni del rischio | le aziende che desiderano automatizzare le valutazioni del rischio e informare le principali parti interessate quando si verificano cambiamenti | Automatizzare le valutazioni del rischio strategico |
Definire i trattamenti del rischio
Il trattamento del rischio è costituito dalle misure che una società adotta per mitigare il rischio. Le misure possono includere iniziative, programmi, politiche od obiettivi di controllo, che possono essere creati nell'applicazione Progetti e collegati ai rischi strategici presenti nell'applicazione Strategia.
Come si definisce il trattamento del rischio?
Dopo aver valutato il rischio inerente, è possibile definire il trattamento del rischio. Per definire il trattamento del rischio, è necessario collegare gli obiettivi nell'applicazione Progetti ai rischi strategici nell'applicazione Strategia. Questo collegamento consente di aggregare le informazioni di assurance e i risultati del testing da Progetti e di valutare il rischio residuo in Strategia.
Per maggiori informazioni, consultare Definire i trattamenti del rischio.
Valutare il rischio residuo
Il rischio residuo è un calcolo che deriva da una valutazione di quanto rischio rimane dopo che i controlli e altri fattori di mitigazione sono stati messi in atto. Il rischio residuo è importante per individuare le aree della società a più alto rischio, in modo da poter impiegare le risorse di conseguenza.
Come si valuta il rischio residuo?
Una volta valutato il rischio inerente e definito il modo in cui il rischio viene trattato, è possibile eseguire una valutazione preliminare del trattamento che valuta in che misura il trattamento riduce il rischio. Ciò consente di identificare le aree dove il business è esposto a rischi che superano la propensione al rischio della società.
La valutazione del rischio residuo comporta l'indicazione di una percentuale di trattamento per definire in che misura il trattamento riduce il rischio inerente. La percentuale di trattamento si basa sull'efficacia prevista degli sforzi di trattamento in atto, prima che i controlli siano stati testati per fornire l'assurance.
Per saperne di più sui passaggi necessari alla valutazione del rischio residuo, consultare Valutare il rischio residuo.
Identificare i rischi vs. le opportunità
Una volta terminata la valutazione del rischio inerente e la valutazione preliminare del trattamento, è possibile comprendere meglio gli ambiti della società che destano maggiore preoccupazione. Potrebbe essere opportuno monitorare i rischi che hanno un impatto maggiore sulla società e assicurarsi che i trattamenti riducano sufficientemente l'impatto del rischio.
A volte, la valutazione preliminare del trattamento può mostrare che si stanno investendo troppe risorse per mitigare un rischio (Trattamento% >= 100%). In questo caso, la valutazione del rischio mostra potenziali opportunità di ridurre la quantità di trattamento di un particolare rischio e di ridimensionare le risorse associate al trattamento del rischio.
