L’ asset inventory nel risk management ha un’importanza che troppo spesso non viene riconosciuta. Nelle fasi iniziali della valutazione del rischio si devono individuare tutti gli asset critici al fine del raggiungimento degli obiettivi aziendali per due motivi:
- fornire un orientamento per l’identificazione degli ambiti a rischio
- sensibilizzare le parti interessate sul valore delle potenziali conseguenze.
I framework di risk management generalmente fanno comparire il registro degli asset nella fase di identificazione del rischio, dando poca attenzione alle modalità della sua creazione, manutenzione e attribuzione di responsabilità.
Cos’è un asset per il rischio
Nell’ambito del risk management, gli asset, sono beni o attività che risultano di valore significativo per la buona riuscita del raggiungimento degli obiettivi di crescita del business. Spesso non corrispondono ad un oggetto preciso ma ad un’intera categoria di elementi aventi delle caratteristiche similari, o in termini di metodi di protezione da applicare, oppure come effetto delle conseguenze di eventi non voluti. Per chiarire, ecco un elenco non esaustivo di tipologie di asset:
- persone chiave: rappresentano quel valore di conoscenza e competenza necessario alla crescita e alla conduzione del business;
- informazioni: sono spesso l’elemento primario di focalizzazione della protezione per le implicazioni legate al ruolo di supporto al business o di rispetto normativo;
- processi aziendali: hanno la capacità di organizzare il lavoro e sono una fortissima leva competitiva dell’operatività e sviluppo del business;
- infrastrutture: sono un complesso di elementi, fisici o informatici, che forniscono servizi indispensabili al funzionamento dei sistemi aziendali;
- risorse finanziarie: consentono di gestire i rischi di mercato, di credito ed operativi, di pianificazione e controllo, e supportano il processo di creazione del valore;
- reputazione: è il bene immateriale più difficile da quantificare ma è anche quello che determina il successo del business nel mercato.
Su questi asset, l’analisi di rischio valuta il potenziale che vengano a mancare, o che non ci sia la capacità di mantenerli adeguati alle necessità del business. Gli scenari di rischio ne descrivono il comportamento secondo varie prospettive. Ad esempio, al verificarsi di situazioni di obsolescenza tecnologica, di mancato rispetto delle regole, di uso improprio degli strumenti, di carente cultura del rischio, di affidabilità del personale, o di tutto ciò che può rappresentare una causa di incertezza sulla soddisfazione degli scopi aziendali.
Si può ben vedere che non rappresentano un elenco di elementi singolarmente identificabili, come invece i cespiti aziendali. Sono categorie di elementi con caratteristiche comuni sotto il profilo del rischio. È intuibile capire il perché di tale scelta. Così facendo, la numerosità degli elementi da considerare nelle analisi è sufficientemente bassa da consentire un agevole processo di analisi. Poi nei piani di trattamento del rischio, si possono introdurre delle azioni specifiche per singoli elementi, come eccezione alle soluzioni pianificate sulla categoria.
Asset inventory: come ricavare la lista degli asset
Ricavare la lista degli asset (asset inventory, asset register) rilevanti per l’azienda nell’analisi del rischio non è un mero esercizio burocratico. Nelle metodologie di valutazione del rischio c’è una forte enfasi sul valore dell’impatto come conseguenza di danni a beni o servizi necessari alla buona riuscita del business. Minor attenzione, invece viene posta su come si costruisce questa lista di elementi che vengono utilizzati nell’analisi del rischio, in abbinata a minacce e vulnerabilità, per determinare la probabilità e l’impatto dell’evento indesiderato.
A volte non c’è neppure una lista esplicita degli asset, ma si ricavano dalle descrizioni dell’evento di rischio. Altre volte il momento della creazione della lista lo si inserisce nella definizione del contesto come valorizzazione degli obiettivi, oppure compare nell’identificazione dei rischi come qualcosa di già ben noto all’organizzazione, senza una sua chiara origine.
Definire con precisione la gestione degli asset rilevanti per il processo di protezione dal rischio è utile a livello metodologico, sia nelle fasi di valutazione specifica del rischio, sia nell’opera di sensibilizzazione per migliorare la cultura del rischio. Prima di provare a proporre una possibile collocazione metodologica della gestione del registro degli asset, è necessario chiarire che nel risk management, nonostante l’assonanza delle parole, il concetto è totalmente differente da quello di elenco dei cespiti aziendali.
Quando identificare gli asset
Nel ciclo di vita del risk management, la gestione degli asset dovrebbe inizialmente comparire nella fase di determinazione del contesto. Precisamente, nel passo seguente alla definizione degli obiettivi, perché ne individua i componenti critici da tutelare per il conseguimento del successo. Se pensiamo allo schema metodologico proposto dallo standard ISO 31000, la fase a cui ci stiamo riferendo è denominata “Scope, context and criteria”; altri framework la chiamano “Context establishment” o anche “Setting context”. In pratica è il momento in cui il processo di risk governance distribuisce ai processi operativi di gestione del rischio le informazioni sul contesto aziendale e sulle regole per valutare il rischio. In mancanza del processo formale di risk governance, sarà il team di gestione del rischio, comunque definito, a determinare queste informazioni.
Quindi, con responsabilità assegnata alla risk governance, vengono diffusi gli obiettivi aziendali ai valutatori del rischio per poter procedere con la valutazione del rischio. Affinché gli obiettivi siano chiaramente compresi e utilizzabili nelle analisi di rischio, è necessario trasformarli in una coerente lista di asset rilevanti. Il personale assegnato alla valutazione del rischio ha sicuramente maggior confidenza a trattare un asset che rientra nella propria operatività quotidiana, piuttosto di un obiettivo generico imposto da altri. L’asset è associato a un preciso valore per il business ed è sempre attribuito a un responsabile che ne determina il corretto utilizzo. Generalmente, sarà quest’ultimo soggetto a essere chiamato a fornire la valutazione sulle conseguenze (impatto) nel caso si verifichi l’evento di rischio.
Dopo aver determinato il contesto, gli asset vengono ulteriormente considerati nella fase di identificazione del rischio. Come già menzionato, rappresentano l’elemento di valore che deve essere tutelato rispetto all’evento di rischio. Inoltre, i valutatori potrebbero ritenere determinati asset troppo ampi per essere analizzati convenientemente. Allora è utile suddividere i macro-asset in elementi più piccoli o specifici, e questi elementi derivati, vanno poi fatti confluire nell’asset inventory e opportunamente classificati. La maggior specificità consente un lavoro di valutazione più accurato e i relativi rischi saranno poi aggregati, se necessario, per ritornare all’asset originario.
Asset inventory: come utilizzare gli asset
Se pensiamo al classico metodo di calcolo del livello di rischio, ossia come combinazione di una probabilità di accadimento dell’evento, con il valore dell’impatto per l’azienda, allora possiamo attingere al registro degli asset per valorizzare queste variabili. La probabilità dell’evento è legata all’esposizione dell’asset alle minacce per il tramite delle vulnerabilità. Il valore dell’impatto è la valorizzazione delle conseguenze sull’asset al verificarsi dell’evento di rischio. Quindi, la probabilità è legata alle debolezze del sistema di protezione dell’asset e l’impatto è una perdita del valore dell’asset.
L’importanza del registro degli asset è evidente da questa prospettiva che focalizza il ruolo degli asset nell’analisi dello scenario di rischio, in parte evidenziando il legame con gli obiettivi (severità), e in parte il valore attribuito dall’azienda (sensibilità). Non è però la sola prospettiva. Se consideriamo la necessità di comunicare gli obiettivi in modo semplice e comprensibile a tutte le parti interessate dell’azienda, troviamo nel registro degli asset un veicolo preferenziale di divulgazione. Non c’è nulla di più semplice, che far passare il messaggio sugli obiettivi da rispettare al personale operativo tramite l’importanza degli asset che loro gestiscono quotidianamente. Nel contesto del processo di analisi del rischio, si svolge quindi anche una funzione di sensibilizzazione sul personale coinvolto. Valutando nello scenario di rischio gli stessi asset che gestisce abitualmente, percepisce l’importanza che l’azienda ha assegnato. Questo aiuta ad alzare il livello di attenzione e consapevolezza sugli elementi critici.
Conclusioni
La funzione centrale svolta dal registro degli asset (asset inventory) nel processo di risk management è ben evidenziata dai due differenti utilizzi. Il primo è abbastanza evidente. Nella valutazione del rischio abbiamo bisogno di metriche per determinare il valore per l’azienda di possibili perdite a seguito di un evento di rischio. Il secondo è forse meno evidente. Il miglioramento della cultura del rischio passa per la comunicazione aperta di ogni fattore che può influenzare il raggiungimento degli obiettivi. Questi sono ben rappresentati dalla rilevanza che è stata assegnata agli asset, selezionati a partire dalla rilevanza che hanno loro stessi sugli obiettivi aziendali.
Lungo tutto il processo di gestione del rischio, il registro degli asset dovrebbe essere mantenuto in evidenza con il duplice valore, di agevolatore della valutazione del rischio e di comunicatore delle criticità da considerare costantemente, eventualmente anche se la metodologia adottata non lo dovesse prevedere. La diffusione della conoscenza di ciò che costituisce il valore per l’azienda, e conseguentemente dove l’incertezza sugli obiettivi aziendali potrebbe verificarsi, è un aiuto a sensibilizzare tutte le parti interessate nel riconoscere i possibili rischi. Rendere noto il valore degli asset, permette di focalizzare gli sforzi su chiare linee di responsabilità, attuare un costante monitoraggio, erogare una formazione adeguata ed incentivare una comunicazione aperta anche sulla condivisione dei problemi. In questo modo il livello di cultura del rischio raggiunge le condizioni ottimali per operare con la giusta resilienza.
Articolo originariamente pubblicato il 24 Feb 2023