SAP GRC Risk Management: Risk Analysis

L'analisi dei rischi può essere svolta su diverse tematiche, non solo quelle legate agli accessi, quindi una Access Risk Analysis. 

Ma come e perché svolgere una analisi dei rischi aziendali? Come SAP GRC Risk Management può essere utile alla tua azienda?

Enterprise Risk Management cosa è? 

Esiste molta documentino a riguardo. Cercherò di farla più semplice del previsto. Acronimo ERM, significa sostanzialmente identificare, valutare, rispondere e controllare i rischi aziendali.

Sembrano passaggi facili, tuttavia, non è così semplice svolgere queste operazioni per svariate ragioni, ad esempio:

• Bisogna avere una gestione, se possibile, centralizzata di come gestire il rischio in azienda. Questo non significa che non sia possibile de-centralizzare. Qui intendiamo che il modello di gestione del rischio dovrebbe essere condiviso e ben definito. Evitando quindi che ogni dipartimento svolga analisi per contro proprio usando le proprie logiche non avendo un modello comune
• Richiede che una parte delle attività lavorative deve essere riservata per svolgere questo tipo di analisi
• Richiede se possibile di utilizzare degli strumenti che rendono standard i passaggi sopra definiti, appunto per avere un unico modello (basato sugli standard di riferimento presenti in letteratura, ad esempio la ISO31000)
• Gli standard definiti semplificano la rappresentazione dei rischi aziendali, per i vari attori che devono leggere e valutare quanto emerge dal sistema di gestione dei rischi aziendali

Come effettui oggi l'analisi dei rischi aziendali?

Ogni azienda dovrebbe effettuare una valutazione dei rischi. In quanto ogni azienda può essere esposta in qualche modo.

Può sembrare strano in alcuni casi. A volte capita di sentire: "Non abbiamo bisogno di farla", "Non è mai capitato nulla di grave", "Cosa potrebbe capitare?"

Ecco, affermazioni di questo tipo sono i principali campanelli di allarme che dovrebbero proprio portare a svolgere una valutazione dei rischi (risk analysis). 

Qual è infatti la differenza tra una azienda che svolge queste valutazioni rispetto ad un'altra che non le svolge? Forse un esempio su tutti è particolarmente calzante:

• Se non svolgi una analisi dei rischi, quando capita qualcosa (di non previsto evidentemente) sei completamente impreparato nella maggior parte dei casi
• Se svolgi una analisi dei rischi, probabilmente, sei più preparato sui rischi che avevi ipotizzato e comunque in una situazione migliore rispetto ai rischi che non erano stati previsti o valutati

Pensiamo ad esempio alla situazione pandemica (covid-19). Difficile prevederla e metterla in agenda, anche se alcune società, se non con impatti simili, ci avevano in qualche modo pensato. O comunque le azioni di risposta a determinati rischi hanno alleggerito la gravità di questo rischio nei confronti dell'azienda stessa.

L'analisi del contesto, le valutazioni collaborative, possono essere un aiuto nell'identificazione dei rischi. Purtroppo, in molti casi queste avvengo in fogli elettronici, con tutti i limiti del caso:

• Non vi sono tracce di chi ha fatto cosa e come, oppure se qualcuno ha modificato anche involontariamente qualcosa
• La collaborazione non è così semplice tramite l'utilizzo di fogli di calcolo
• Non sono spesso definiti algoritmi formali di calcolo, oppure vengono modificati
• Diventa complicato allegare documentazione
• Non è sempre immediato avere delle reportistiche strutturate e fruibili in ogni momento
• Quanto sopra è maggiormente amplificato se le persone che operano su queste tematiche sono diverse

SAP GRC Risk Management cosa è?

Si tratta di uno strumento della suite di SAP GRC - Governance Risk and Compliance. Dedicato alla gestione dei rischi aziendali. Come ti può aiutare?

Seguendo un processo di gestione del rischio basato sulle seguenti fasi:

• Pianificazione
• Identificazione
• Risk Analysis
• Risposta al rischio
• Conformità Continua ("Monitoraggio")

Pianificazione (Planning)

Perché puoi strutturare tutte le entità definite dallo strumento e capire come modellare il tuo modello di gestione dei rischi. Definendo delle strutture organizzative, dei rischi appunto, delle opportunità, delle attività, per modellare gli oggetti che saranno usati per valutare i rischi.

Identificazione (Risk Identification)

Puoi utilizzare questo strumento per effettuare delle Survey e identificare in ogni dipartimento quali siano i rischi aziendali, per poi censirli e definirli nello strumento stesso. Questi saranno gestiti centralmente o localmente.

Analisi del rischio (Risk Analysis)

In questo caso sarò possibile svolgere una risk analysis per valutare l'esposizione al rischio. Tramite diverse modalità: quantitativa, qualitativa o score-based. Valutando quindi:

• Ineherent Risk
• Residual Risk
• Residual Risk (Planned)

ovvero rispettivamente il rischio senza alcuna mitigazione o risposta. Il rischio applicando la risposta o controllo, il target risk (Residual Risk planned) di riferimento. Ovvero a che altezza vuoi impostare l'asticella.

Nella seguente immagine è infatti possibile vedere una anagrafica del rischio per come è stata pensata. In particolare, nel tab Analysis è possibile vedere come è stata effettuata una risk analysis in base ai criteri sopra.

Ogni rischio viene valutato in base agli impatti (Impacts, quali sono le conseguenze) e driver (cosa porta a quel rischio). La probabilità di accadimento e le perdite documentano l'esposizione attesa del rischio.

Risk Response

Le contromisure (risposte o controlli) nel tab response permettono di andare a calcolare e tenere conto del residual risk

In questo caso è possibile, inoltre, collegare due degli strumenti dell'area GRC ovvero il SAP GRC Process Control ed il SAP GRC Risk Management.

Risk Monitoring

Infine, è possibile controllare la propria esposizione tramite l'utilizzo di reportistiche, tra cui la mappa di calore (HeatMap) dei rischi aziendali.

Sei interessato ad avere qualche informazione aggiuntiva su come questo strumento può supportare questo aspetto nella tua azienda? Contattaci