reporting e monitoraggio del rischio

Il reporting e il monitoraggio continui dei rischi strategici sono un processo dinamico che richiede la partecipazione di tutta l'organizzazione. Per essere efficace, la funzione ERM deve affrontare le tendenze critiche prima che diventino gravi e fornire periodicamente rapporti sui rischi alle principali parti interessate. Il presente articolo illustra come fornire rapporti e monitorare il rischio utilizzando le applicazioni Strategia, Progetti e Risultati.

Questo articolo si basa sugli esempi illustrati in Implementare l'Enterprise Risk Management.

Cosa comporta il reporting e monitoraggio del rischio?

Il reporting del rischio è il processo di comunicazione dei dati di rischio e di performance in tempo reale alle diverse parti interessate.

Il monitoraggio del rischio è un'attività continua che porta alla consapevolezza di ciò che sta effettivamente accadendo nelle diverse parti dell'organizzazione. Nel tempo, il monitoraggio del rischio consente alla dirigenza di:

  • identificare le tendenze critiche
  • rispondere in modo appropriato ed efficiente
  • individuare opportunità di business o miglioramenti dei processi che altrimenti non sarebbero stati evidenti senza un monitoraggio efficace

Dove fornire rapporti e monitorare i rischi?

Diligent utilizza una combinazione delle applicazioni Strategia, Progetti e Risultati per monitorare e fornire rapporti sui rischi. Il programma ERM consente di allinearsi ai valori, alla visione e alla valutazione, di accelerare l'agenda di crescita nella capacità di go-to-market e nell'innovazione di prodotto e di garantire sempre la migliore esperienza ai clienti.

Visione d'insieme

  • Le Heatmap del rischio, la Heatmap della strategia e il Profilo del rischio possono essere generati in qualsiasi momento e condivisi con le diverse parti interessate per i propositi di rapporto.
  • I Risultati del testing e i punteggi di Assurance possono essere trasferiti da Progetti alla valutazione del rischio strategico in Strategia a scopo di reporting, fornendo la possibilità di visualizzare una dashboard dei rischi e degli esiti dei progetti a livello strategico.
  • Le Metriche possono essere collegate ai rischi strategici per monitorare i rischi e i Trigger possono essere utilizzati in combinazione con le metriche per notificare le principali parti interessate e guidare il processo decisionale in tempo reale.

La assurance del rischio può essere riportata a livello aggregato o granulare, a seconda delle esigenze del target. Il rischio può essere monitorato in modo continuo e automatico integrando i dati delle metriche di Risultati, consentendo alla dirigenza e al consiglio di amministrazione di prendere decisioni più rapide e quantificate in base al rischio.

Passaggi

Facciamo un tour?

Diamo un'occhiata più da vicino a queste funzioni nel loro contesto.

1. Monitorare l'assurance

La assurance è un processo basato su calcoli presente in Progetti e che può confluire in Strategia, ottenendo un risultato finale rappresentato da un valore (una percentuale). L'assurance consente di valutare il livello di mitigazione del rischio raggiunto dall'organizzazione, in modo da poter allocare le risorse in modo appropriato. Una volta completata la valutazione preliminare del trattamento, i team di assurance possono testare i controlli e i team di gestione del rischio possono visualizzare i punteggi di assurance aggregati e i risultati di testing associati alle diverse aree di trattamento.

Esempio

Scenario

Come parte delle mansioni di reporting e monitoraggio del rischio della formula Lattice, devi garantire l'efficacia dei controlli in atto e capire meglio quanto l'organizzazione stia facendo per mitigare il rischio della formula Lattice. Recentemente, il team di assurance ha terminato l'esecuzione delle procedure associate all'obiettivo di sicurezza fisica, precedentemente definito come trattamento. Ora desideri verificare se il trattamento si sta dimostrando efficace nell'attenuare il rischio della formula Lattice.

Processo

Argomento di aiuto Definire i trattamenti del rischio

Apri il rischio della formula Lattice e vai alla scheda Assurance per visualizzare l'efficacia dei controlli destinati a mitigare il rischio.

Risultato

Sei in grado di fornire un rapporto sul punteggio di Assurance per il rischio della formula Lattice ora che i controlli sono stati testati nell'applicazione Progetti e i risultati di testing sono stati automaticamente trasferiti al rischio in Strategia:

2. Integrare i dati per monitorare i rischi

Per monitorare costantemente i rischi e guidare le azioni in tempo reale, è possibile collegare una metrica in Risultati a un rischio strategico in Strategia. Le metriche monitorano i dati di una singola colonna per un periodo di tempo utilizzando una funzione aggregata come la media, il conteggio o la percentuale del totale. Quando si crea una metrica, si impostano anche dei trigger con condizioni di soglia che verificano il valore del calcolo. Quando si realizza una qualsiasi di queste condizioni, il valore di calcolo del trigger cambia e vengono eseguite le azioni associate: ad esempio notificare le principali parti interessate.

Consiglio

Per evitare di assegnare manualmente un punteggio ai rischi strategici, è possibile utilizzare i fattori di valutazione per automatizzare le diverse valutazioni del rischio. È possibile collegare una metrica creata nell'applicazione Risultati a una valutazione del rischio in Strategia, per contribuire alla valutazione stessa e inserire automaticamente i punteggi di rischio inerente in base a intervalli di metriche predefiniti. Le principali parti interessate possono essere informate quando si verificano modifiche alla valutazione del rischio.

Esempio

Scenario

Devi monitorare il rischio della formula Lattice per capire se la tua organizzazione rientra in una certa soglia legata alla propensione al rischio della tua organizzazione. La soglia di propensione al rischio indica la quantità di rischio che l'organizzazione è disposta ad accettare.

Decidi di monitorare la percentuale (%) di accessi durante il fine settimana per vedere quali dipendenti accedono alla struttura senza probabilmente disporre dell'autorizzazione per farlo (mettendo a rischio la formula segreta Lattice). Imposti una soglia del 15% di dipendenti che accedono all'edificio nei fine settimana. Come parte delle tue mansioni, devi monitorare il rischio su base continuativa e fornire rapporti su tutti i mesi in cui più del 15% degli accessi complessivi alla struttura avviene nei fine settimana.

Processo

Argomenti di aiuto

Per monitorare la percentuale totale di accessi alla struttura nei fine settimana su base mensile, crei una metrica in Risultati e configuri un trigger per ricevere una notifica quando la metrica supera la soglia del 15%. Quindi, colleghi la metrica al rischio della formula Lattice in Strategia.

Risultato

Se la percentuale di accessi durante il fine settimana supera la soglia del 15% stabilita dall'organizzazione, ricevi una notifica tramite e-mail. A questo punto puoi intraprendere le azioni più opportune.

3. Generare rapporti

In Strategia è possibile creare heatmap del rischio esaustive e configurabili da condividere con la dirigenza e il consiglio di amministrazione: è così possibile consultarle rapidamente e agire di conseguenza. Una volta create, le heatmap del rischio possono essere esportate e condivise elettronicamente. È possibile scaricare in qualsiasi momento anche altri rapporti predefiniti, come la Heatmap della strategia, che identifica la severità relativa e l'aggregazione dei rischi nelle diverse parti dell'organizzazione. I team di gestione del rischio possono inoltre estrarre informazioni dettagliate sul profilo del rischio scaricando il rapporto Excel disponibile.

Consiglio

Le altre applicazioni Diligent One offrono una serie di funzionalità di reporting che possono essere utilizzate per fornire rapporti sul rischio. Ad esempio, l'applicazione Storyboard può essere utilizzata per fornire rapporti sullo stato della sicurezza informatica o sulla gestione delle politiche, presentare una scorecard dei rischi e delle performance dei fornitori o mostrare gli aggiornamenti finanziari sulla crescita del fatturato.

Esempio

Scenario

Devi presentare al consiglio di amministrazione una visione unitaria dei rischi organizzativi più importanti.

Processo

Argomenti di aiuto

Innanzitutto, configuri una heatmap del rischio per presentare i risultati dell'esercizio di valutazione del rischio e mostrare la severità relativa del rischio nell'organizzazione. Le aree di maggiore preoccupazione sono rappresentate nel quadrante superiore destro della Heatmap del rischio, mentre le aree di minore preoccupazione sono rappresentate nel quadrante inferiore destro:

Per identificare la posizione dei cluster di rischio nell'organizzazione e mostrare l'aggregazione dei rischi nelle singole aree, esporti la Heatmap della strategia:

Risultato

Presenti le informazioni al consiglio di amministrazione. Il consiglio di amministrazione può ora visualizzare rapidamente i rischi più rilevanti per l'organizzazione, oltre alle aree di rischio aggregate più elevate in tutto il business. Queste informazioni contribuiranno a guidare il processo decisionale del consiglio.

Cosa succede dopo?

Iscriversi a un corso dell'Accademia

Continuare ad approfondire i concetti introdotti in questo articolo seguendo il percorso di apprendimento STRAT 100.

Accademia è il centro di risorse per la formazione online di Diligent. I corsi dell'Accademia sono inclusi senza costi aggiuntivi per tutti gli utenti con una sottoscrizione Diligent One. Per maggiori informazioni, consultare Accademia.