Field notes

Come condurre una valutazione del rischio che non annoi il consiglio di amministrazione

Se vuole che il consiglio di amministrazione sia davvero coinvolto, e non si limiti a sopportare le sue slide, deve trasformare la valutazione del rischio da rito di reportistica in conversazione decisionale. Ecco come.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy4 min di lettura
How to Run a Risk Assessment that Doesn't Bore the Board

(Perché le slide in rosso/giallo/verde sono morte nel 2015.)

Siamo onesti.La maggior parte delle revisioni del rischio a livello di board suona così:

“Here’s our risk matrix. Top right: cyber, supply chain, and third parties. Bottom left: everything else.”

Cue the polite nods. The CFO checks emails. The CEO says, “Looks fine.”Riunione chiusa. Niente cambia.

Questo non è risk management. È teatro del rischio.

Se volete che il board si interessi davvero, non che si limiti a sopportare le vostre slide, dovete trasformare la risk assessment da rituale di reporting in una conversazione decisionale.Ecco come.

1. Partite da ciò che interessa davvero al board

Agli executive non interessa la metodologia del rischio.Interessa loro l'esposizione aziendale, il denaro e lo slancio operativo.

Smettete quindi di aprire con scale probabilità/impatto.Iniziate con una sola slide che dice:

“Here are the top 5 things that could stop us from meeting this year’s objectives.”

Tutto qui.Niente gergo, niente palette di colori. Solo contesto e conseguenze.

Se non collegate la vostra valutazione agli obiettivi strategici, state semplicemente producendo diagrammi decorativi.

2. Abolite la heatmap, raccontate la storia

Conoscete quella matrice con 20 puntini colorati?Al board non piace. Non sanno cosa rappresenta ciascun punto e non lo chiederanno.

Raccontate invece delle storie.

“Last quarter, we came within two days of missing a customer SLA because a single vendor failed.”“That’s why supplier resilience is now risk #2, and here’s what we’re doing about it.”

Le storie rendono il rischio tangibile.Le heatmap lo rendono astratto.

Usate scenari di rischio, non tabelle, per argomentare il vostro punto.Il cervello umano comprende la narrazione, non gli assi cartesiani.

3. Quantificate, anche approssimativamente

Nel momento in cui aggiungete un numero, l'attenzione si impenna.

“If this risk materializes, we lose ~€1.2M and 10 days of production.”

A quel punto state parlando la lingua del board.

Non servono simulazioni Monte Carlo; bastano intervalli plausibili basati su impatto, costo o tempo.

Il board non riesce a dare priorità a rosso vs. arancione,but they can prioritize “€1.2M loss vs. €200K delay.”

Traducete il rischio in denaro, minuti o titoli di giornale.

4. Turn “Assessment” into “Options”

Il board non vuole un elenco di problemi; vuole decisioni.

Per ogni rischio prioritario, presentate:

  1. Cosa è.
  2. Perché è rilevante.
  3. Tre opzioni di trattamento, con i rispettivi trade-off.

Esempio:

“To reduce supplier dependency risk, we can:Diversificare i vendor (costo: €300K/anno)Negoziare SLA più stringenti (costo: €0, consegne più lente)Accept the risk (exposure: €1.2M).”

A questo punto non state solo rendicontando il rischio; state abilitando la governance.È per questo che il board viene pagato.

5. Mostrate il movimento, non la perfezione

Al board non interessa quanto sia dettagliato il vostro registro.Interessa il progresso.

Se ogni trimestre la vostra classifica dei rischi appare identica, avete perso credibilità.

Mostrate i trend:

  • “3 risks closed this quarter.”
  • “2 new ones emerged.”
  • “Residual exposure down 15%.”

Lo slancio batte la perfezione.Anche un progresso incrementale racconta una storia di controllo.

6. Usate i visual con uno scopo

Niente più semafori.Invece:

  • Una slide per ogni rischio prioritario.
  • Title: the scenario in plain English (“Major outage from single cloud provider”).
  • Sottotitolo: esposizione quantificata.
  • Un grafico: trend nel tempo.
  • Un riquadro: decisioni prese o in attesa.

Se il vostro risk deck sembra un PowerPoint degli anni '90, avete già perso prima di cominciare.

Fatelo sembrare un business dashboard, non un report di compliance.

7. Includete una vittoria

Non entrate mai in una sessione di board con sole cattive notizie.Evidenziate un caso di successo: un rischio mitigato, una risposta di controllo più rapida, un test che ha funzionato.

Anche i membri del board sono esseri umani; ricordano le vittorie meglio degli avvertimenti.Dimostrate che il risk management genera valore, non solo burocrazia.

8. Tenete la metodologia, eliminate la lezione

Nessuno nel board vuole una spiegazione di 10 minuti su ISO 31000 o FAIR.Tenetela nelle slide di backup, certo, ma non iniziate con quella.

Iniziate con l'impatto, chiudete con le decisioni.Tenete i framework invisibili, come la rete idraulica.Devono supportare la storia, non rubare la scena.

9. Sistemate il follow-up

È qui che fallisce il 90% delle sessioni sul rischio: nessuno traccia le decisioni del board.

Tre mesi dopo siete di nuovo lì con la stessa slide.

Rimediateci:

  • Registrate ogni decisione (accettare / mitigare / trasferire).
  • Assegnate un owner.
  • Tracciate il progresso nel report successivo.

Il board non ha bisogno di più riunioni; ha bisogno di chiusura.

Il punto

Una risk assessment che annoia il board è un'opportunità sprecata.Avete la loro attenzione per 20 minuti: fateli contare.

Il vostro compito non è mostrare una matrice.Il vostro compito è far sì che l'organizzazione si veda con chiarezza e agisca di conseguenza.

Quando smettete di presentare il rischio come burocrazia e iniziate a presentarlo come strategia, le persone smettono di tollerare la vostra sessione e iniziano a dipendere da essa.

Trasformate il rischio in un linguaggio strategico

È quello che insegniamo nei corsi ISO 31000 Lead Risk Manager:come rendere il rischio visibile, misurabile e significativo a livello di leadership.

👉 Richiedi un preventivo e unisciti alla prossima edizione

Perché il rischio non è noioso, a meno che non lo si renda tale.

Vuoi la prossima nota dal campo nella tua casella di posta?

La newsletter The GRC Brief. Cinque link e un breve commento, ogni lunedì alle 8:00 CET. Tre minuti di lettura.