Risk management

Analisi del rischio aziendale, ecco come si presenta

Per avere tutti gli elementi in un unico colpo d’occhio si può ricorrere a una rappresentazione grafica su un piano cartesiano. La lettura del grafico si evolve secondo l’interesse che nasce dai vertici aziendali

Pubblicato il 30 Set 2020

Luigi Sbriz

Cybersecurity & Privacy Senior Consultant

analisi rischio

Un passo molto importante, anche se spesso è considerato di minor conto, è la modalità di presentazione dei risultati delle analisi del rischio aziendale. Importante perché serve a giustificare la richiesta delle risorse necessarie al fine del contrasto dei rischi nel raggiungimento degli obiettivi aziendali. Il fatto che sia considerato di minor conto è perché l’attività di sintesi è l’ultimo passo di un lungo lavoro di raccolta e correlazione di dati e viene vissuta come un semplice esercizio di bella scrittura dei risultati più significativi. Un necessario ostacolo per portare a conclusione tutto lo sforzo compiuto per valorizzare il livello del rischio ma di breve durata e bassa difficoltà.

Considerare questa come una fase di fine lavoro è una prospettiva sbagliata. Non è una fase di arrivo al traguardo con un conseguente periodo di riposo, è la sintesi di un ciclo per riorganizzare e ripianificare l’inizio di una nuova iterazione. È una fase fondamentale perché dalla sua riuscita, dalla giusta enfasi e visibilità ai fenomeni che sono stati valutati, si determinerà in che modo il business reagirà allocando efficacemente le risorse o meno. La qualità della presentazione avrà un impatto fondamentale sugli investimenti del piano di rimedio e sulla conseguente capacità di garantire il raggiungimento degli obiettivi aziendali.

La comunicazione fra risk manager e vertice aziendale

La difficoltà della comunicazione tra risk manager e vertice aziendale è il riuscire a organizzare l’insieme complessivo dei dati di rischio in modo di fare risaltare gli indicatori pertinenti per la sensibilità del business. Una pura esclusione di elementi sul solo valore matematico può esporre a richieste di chiarimento dei vertici aziendali su dati fuori presentazione. Non può essere una asettica sequenza di risultati numerici poiché altrimenti non saranno in grado di attirare l’attenzione degli interlocutori nella correlazione tra l’indicatore di rischio e le conseguenze sul business. Rischi nella sensibilità dei vertici aziendali sono sempre un’informazione importante da presentare, anche se di lieve entità.

La visualizzazione dei dati in modo tabellare consente di gestire una sola priorità, ossia l’ordine delle righe. Dopodiché si possono usare stili grafici per evidenziare i componenti di rischio tra le colonne ma nulla di più. Anzi, molte colonne è come dover leggere un capitolo di un romanzo scritto con caratteri piccoli su un argomento imposto, con il risultato di non focalizzarsi, seguire controvoglia e senza attenzione.

Per creare una buona correlazione con il contesto del business abbiamo necessità di considerare più prospettive assieme ossia più dimensioni per ben evidenziare le situazioni che danno i contributi più significativi agli obiettivi, sia in termini di miglioramento del risultato che di contenimento delle perdite.

Le quattro grandezze da considerare

Sono almeno quattro le grandezze da considerare per consentire la rappresentazione di più punti di vista. La formula del rischio richiama innanzitutto il grado di esposizione al rischio, poi aggiungiamo l’impatto dell’evento sugli obiettivi di business, quindi la probabilità di accadimento dell’evento. Inoltre anche lo stato di avanzamento del piano di contenimento del rischio è una variabile significativa che evidenzia la presenza di criticità legate all’efficacia dell’azione correttiva per ridurre il livello di rischio al valore accettabile.

Per avere tutti gli elementi in un unico colpo d’occhio con anche sufficiente chiarezza espositiva si può ricorrere a una rappresentazione grafica su di un piano cartesiano. L’uso del 3D, pur gradevole, potrebbe complicare la situazione perché, per rappresentare la profondità, qualche elemento magari di valore potrebbe essere oscurato dalla grafica di elementi di poco conto.

L’uso del piano come rappresentazione del rischio non è una novità, quasi sempre si distribuiscono i rischi sulla base della probabilità e dell’impatto come se fosse una matrice. In un piano cartesiano si distribuiscono sugli assi le due variabili e il livello di rischio come punto sul piano. È sicuramente una rappresentazione da preferire a una tabella ma non è ancora in grado di enfatizzare il rischio con tutte le sue componenti in un contesto di business.

Un differente modo per gestire la prioritizzazione secondo varie prospettive in contemporanea è l’uso di una combinazione tra l’idea della rappresentazione della SWOT analisi e un diagramma a bolle a dispersione. Un passo propedeutico a questo approccio è la normalizzazione di tutte le metriche nell’intervallo da 0 a 1. In questo modo si può in semplicità distribuire linearmente o meno tutte le informazioni sulla superficie del grafico. Per ogni metrica si deve predisporre una funzione di transcodifica per mappare l’insieme dei valori originali sui valori normalizzati.

Vediamo come si realizza praticamente il grafico.

Il grafico del livello di rischio

Il grafico ha lo sfondo che richiama la disposizione dei fattori critici della SWOT analisi. In alto vengono posizionati gli elementi affetti da fattori interni mentre nel basso quelli da fattori esterni. A destra abbiamo le situazioni più dannose oppure, se viste tramite il modello di maturità, quelle a maggior vulnerabilità mentre a sinistra abbiamo gli eventi utili al raggiungimento degli obiettivi oppure, la capacità a lavorare allineati agli obiettivi del business.

Le metriche rappresentate sono distribuite con l’intento di cercare di attrarre l’attenzione del management verso gli eventi a severità più elevata in termini di livello di rischio, di probabilità, di impatto o di incertezza sulla possibilità di evitare il verificarsi dell’evento peggiore ma anche sul livello di responsabilità. Componenti di rischio interne sono affrontabili dalle risorse locali, quelle esterne richiedono un coordinamento centrale, una visione più ampia per valutare l’azione più efficace.

Il livello di rischio è distribuito sulle ascisse procedendo da sinistra a destra con l’aggravarsi del rischio. Similmente avviene la distribuzione della valutazione della maturità dei controlli dalla massima consapevolezza e capacità a scendere verso l’incompletezza e incertezza delle attività. La probabilità è rappresentata sulle ordinate con lo zero posto al centro della dimensione per evidenziare i fenomeni con cause interne rispetto a quelle esterne.

Sulle bolle si riportano due informazioni. Con il colore si rappresenta lo stato di avanzamento del piano di contenimento del rischio se ci sono criticità nel suo raggiungimento. Una scala di colori a tre o cinque valori è abbastanza comprensibile per attirare l’attenzione su criticità significative. Il diametro della bolla è proporzionale all’impatto. Anche in questo caso se la valutazione è qualitativa, è possibile usare gli stati di valutazione associati a diametri fissi, altrimenti si normalizzano i diametri tra due valori assunti come minimo e massimo nel grafico per un lettura più agevole.

Aggiungere ulteriori parametri è possibili ma non bisogna esagerare perché si potrebbe perdere in chiarezza. È possibile utilizzare le forme dei segnaposto delle mappe per richiamare una nuova metrica oppure inserire nella forma un carattere o un’icona. Ad esempio, per rappresentare tipologie differenti di controlli oppure entità di tipo diverso si possono mappare su opportune forme della bolla oppure su insiemi di caratteri speciali oppure su icone.

La chiave di lettura di questo grafico è il distanziamento dal punto di equilibrio. La tecnica di risk management sostiene che si devono affrontare tutti i rischi non accettabili. Quindi è sbagliato escludere a priori rischi dal grafico ed il loro numero non deve rappresentare un punto di debolezza nell’esposizione dei risultati. Generalmente la maggior parte dei rischi ha un livello basso, che significa bassa priorità ed ai fini della presentazione meno enfasi. Non è quindi un problema che si sovrappongano tra loro, ciò consente la focalizzazione dell’attenzione verso quelli più distanti e quindi più interessanti di considerazione.

Il punto di equilibrio è sull’ordinata zero con ascissa tra la soglia di accettazione del rischio e quella di dichiarazione di piena maturità. Qui si condensano i rischi bassi. Verso l’ascissa zero teoricamente stiamo creando valore, all’opposto siamo quasi sicuri di avere un’incidente in tempi brevi. Quasi, perché si deve poi considerare il colore della bolla associato al piano di rimedio. Un bel verde dice che se anche il rischio è elevato, il piano correttivo è svolto in modo efficace. In questo caso si ricercano i colori verso il rosso che significa che le contromisure non sono efficaci e si deve intervenire prontamente con una variazione del piano di rimedio in atto.

La presentazione fatta su un’applicazione web non sarà mai statica. La lettura del grafico si evolve secondo l’interesse che nasce al momento dai vertici aziendali e per tramite di link dinamici sul grafico si possono anche aggiungere commenti o approvare direttamente le variazioni ai piani d’azione (evitando la carta).

Conclusioni

Un’ultima nota riguardo all’implementazione di questo grafico. Probabilmente non c’è un’immediata disponibilità di un grafico esattamente come questo tra i prodotti commerciali ma è possibile realizzarlo a partire da un grafico a dispersione normalizzato, anche utilizzando strumenti open source. Si procede personalizzando le bolle con colore, dimensione o forma per gestire le dimensioni aggiuntive volute fino al livello di personalizzazione desiderato.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

S
Luigi Sbriz
Cybersecurity & Privacy Senior Consultant

Articoli correlati

Articolo 1 di 5