Metodologia di valutazione dei rischi

I rischi sono tutti quegli eventi la cui manifestazione impedisce o ostacola il raggiungimento degli obiettivi da parte dell’azienda e possono essere classificati in base alla loro natura, alla loro controllabilità ed alla loro tipologia.

Lo scopo principale del processo di Risk Assessment è l’identificazione e la valutazione dei principali rischi correlati al raggiungimento degli obiettivi aziendali o alla conformità con normative cogenti. Tale scopo è raggiunto attraverso l’identificazione dei processi/sottoprocessi interessati dall’analisi, l’identificazione delle fonti di rischio, la valutazione del livello di rischio e la segnalazione alle strutture competenti dei rischi che superano la soglia di accettabilità definita dall’azienda.

Il Risk Assessment è un processo “on going” e richiede pertanto periodici adattamenti per riflettere i cambiamenti del business e dei rischi dell’entità ed il loro impatto sul relativo sistema di controllo interno.

Il processo di valutazione del rischio è generalmente realizzato attraverso i seguenti tre step operativi :

•  valutazione del rischio inerente: ottenuta dalla combinazione tra la probabilità di manifestazione e la significatività dell’impatto; •  valutazione del sistema di controllo: ottenuta dalla verifica della presenza di opportuni presidi di controllo; •  determinazione del rischio residuo: ottenuta dalla combinazione tra il rischio inerente e la valutazione del sistema di controllo.

Modello Metodologico Il nostro modello metodologico prevede i seguenti step operativi:

Fase 1- Valutazione Rischio Inerente

La Valutazione del Rischio Inerente si ottiene dalla combinazione tra la probabilità di manifestazione e la significatività dell’impatto.

Il Rischio Inerente è definito come il rischio connesso ad una attività e/o un processo aziendale a prescindere dal livello di controllo presente nello stesso. L’entità del rischio inerente è data dalla relazione tra la frequenza di realizzazione dell’attività/processo a rischio e l’impatto negativo potenziale generato dal verificarsi dell’evento.

La significatività dell’impatto viene valutata utilizzando criteri differenti in funzione della tipologia di rischi considerati.

Fase 2- Valutazione Sistema di Controllo

La Valutazione del Sistema di Controllo si ottiene dalla verifica della presenza di opportuni presidi di controllo. Viene effettuata in base alla applicazione degli standard di controllo elencati e tenendo conto della complessità connessa alle eventuali azioni di miglioramento da implementare:

Il sistema di Controllo Interno  deve essere monitorato, con un’attività che ne valuti nel tempo:
 * Congruità del Sistema delle deleghe, poteri e procure;
 * Adeguata segregazione delle attività;
 * Esistenza delle procedure;
 * Adeguatezza delle procedure;
 * Tracciabilità delle attività/processi;
 * Esistenza e adeguatezza di flussi informativi verso il management;
 * Adeguatezza dei sistemi informativi a supporto dei processi.

Fase 3- Determinazione Rischio Residuo
 * l’effettività;
 * l’adeguatezza (in termini di funzionalità ed efficienza);
 * le eventuali necessità di aggiornamento.

La determinazione del Rischio Residuo si ottiene dalla combinazione tra il rischio inerente e la valutazione del sistema di controllo. Il rischio residuo si determinata in base alla relazione tra l’entità del rischio inerente, e la valutazione dei controlli che l’azienda ha posto in essere per la mitigazione del rischio stesso.



http://www.aicomply.it/dettaglioServizi.aspx?c=Risk%20Management&s=5