Il punto di vista di Cyber Academy
Il rischio inerente è l'esposizione prima dei controlli. Il rischio residuo è ciò che rimane dopo l'applicazione dei controlli. Gli auditor esaminano il divario: deve essere giustificato, accettato (o ulteriormente trattato) da un responsabile nominato, e coerente con la propensione al rischio. Un valore "residuo = zero" nel registro è un segnale d'allarme, non un risultato.
Lo stesso rischio visto in due momenti
Il rischio inerente e il rischio residuo non sono due rischi diversi. Sono lo stesso scenario misurato in due punti: prima che i tuoi controlli svolgano il loro lavoro e dopo che lo hanno svolto. Il rischio inerente è l'esposizione grezza, il livello di probabilità e impatto che affronteresti se i controlli pertinenti fossero assenti o fallissero del tutto. Il rischio residuo è ciò che rimane una volta che i controlli sono in atto e operano come previsto. Leggerli fianco a fianco è tutto il senso dell'esercizio, perché lo scarto tra i due è il valore visibile del tuo sistema di controllo. Uno scarto ampio indica che i controlli stanno facendo la loro parte; uno scarto sottile indica che stai impiegando sforzo per una riduzione modesta e dovresti chiederti il perché.
Trattare questi livelli come una coppia cambia il modo in cui spendi. Se due scenari condividono un livello residuo simile ma uno partiva da un livello inerente molto più alto, l'insieme di controlli che lo tiene basso svolge un lavoro considerevole e merita protezione nel budget. Lo scenario che si è appena spostato dall'inerente al residuo è quello da riesaminare: o il controllo è debole, o è il controllo sbagliato, o il rischio non è mai stato tanto esposto quanto sosteneva la valutazione.
| Dimensione | Rischio inerente | Rischio residuo |
|---|---|---|
| Quando si misura | Prima dei controlli | Dopo che i controlli operano |
| Cosa mostra | Esposizione grezza dello scenario | Esposizione che effettivamente rimane |
| Uso principale | Dare priorità a dove servono i controlli | Decidere se accettare, trattare ulteriormente o trasferire |
| Confrontato con | Altri scenari non trattati | La propensione e la tolleranza al rischio |
| Azione del titolare | Progettare il trattamento | Accettare e firmare, oppure escalare lo scarto |
Cosa si aspettano auditor e standard
Lo scarto tra l'inerente e il residuo è dove risiede l'assurance, quindi deve essere giustificato anziché asserito. Un auditor legge il registro e chiede tre cose a ogni valore residuo: quali controlli lo hanno ridotto, se quei controlli operano davvero anziché essere solo documentati, e chi ha accettato ciò che rimane. Quest'ultimo punto conta. Il rischio residuo è accettato da un titolare nominato con l'autorità di assumerlo, e tale accettazione deve collocarsi all'interno della propensione al rischio dell'organizzazione. Un livello residuo che supera la propensione non è una voce conclusa; è un punto aperto che richiede un ulteriore trattamento, un trasferimento, o un'eccezione deliberata e documentata.
Questa logica è radicata nei principali framework. ISO 31000 inquadra la gestione del rischio come un ciclo iterativo in cui il trattamento modifica il rischio e il rischio modificato viene poi rivalutato, che è esattamente il passaggio dall'inerente al residuo. ISO/IEC 27005 applica lo stesso ragionamento al rischio della sicurezza delle informazioni ed è esplicita nel richiedere che il rischio residuo sia valutato e formalmente accettato dalla direzione prima che un sistema entri in esercizio o resti in produzione.
Le linee guida del NIST sulla valutazione del rischio mantengono la distinzione identica tra il rischio che un'organizzazione affronta e la porzione che rimane dopo l'applicazione delle risposte. Nessuno di questi standard tratta il residuo come un numero che si calcola una volta e si archivia.
Farlo bene nella pratica
In un registro operativo, ogni riga dovrebbe consentire a un lettore di ricostruire la valutazione inerente, i controlli applicati, la valutazione residua, e il titolare nominato che l'ha accettata. Mantieni coerente il metodo di valutazione tra l'inerente e il residuo affinché i due siano davvero comparabili; se valuti impatto e probabilità in modo diverso a ogni fase, lo scarto non significa nulla. Rivaluta il residuo ogni volta che un controllo cambia, si degrada, o si rivela inefficace durante i test, perché il rischio residuo è aggiornato solo quanto i controlli che lo sostengono. Un valore residuo fissato due audit fa e mai riesaminato è decorazione, non assurance.
Il giudizio che vale davvero consiste nel collegare il rischio residuo alla propensione e al trattamento. Una volta che il residuo si colloca al livello della propensione o al di sotto, l'accettazione è ragionevole e il titolare firma. Quando si colloca al di sopra, la voce onesta registra lo scarto e il piano per colmarlo, anziché arrotondare il numero verso il basso per far apparire la pagina ordinata. Questa disciplina è ciò che trasforma un registro, da artefatto di conformità, in uno strumento che il consiglio può davvero usare per allocare l'attenzione.
Frequently asked questions
01Qual è la differenza tra rischio inerente e rischio residuo?
Il rischio inerente è l'esposizione prima di considerare qualsiasi controllo, il livello grezzo di probabilità e impatto. Il rischio residuo è ciò che rimane una volta che i controlli sono in atto e operanti. Descrivono lo stesso scenario misurato in due punti, e lo scarto tra loro mostra il valore dei controlli.
02Il rischio residuo dovrebbe mai essere zero?
No. Nessun insieme di controlli è perfetto e i controlli possono fallire, quindi un certo rischio residuo rimane quasi sempre. Una valutazione residua pari a zero in un registro è trattata dagli auditor come un campanello d'allarme, che di solito significa che l'obiettivo è stato confuso con la realtà o che il fallimento dei controlli è stato ignorato.
03Chi è responsabile dell'accettazione del rischio residuo?
Un titolare del rischio nominato con l'autorità di assumere l'esposizione. La sua accettazione deve essere documentata e deve collocarsi all'interno della propensione al rischio dell'organizzazione. Se il livello residuo supera la propensione, non può essere semplicemente accettato e deve essere trattato ulteriormente o escalato.
04Come si collega il rischio residuo alla propensione al rischio?
Il rischio residuo è confrontato direttamente con la propensione al rischio. Quando si colloca al livello della propensione o al di sotto, l'accettazione è ragionevole e il titolare dà il proprio assenso. Quando si colloca al di sopra, la voce resta aperta con un piano di trattamento per colmare lo scarto, anziché essere registrata come accettata.
05Quando dovrebbe essere rivalutato il rischio residuo?
Ogni volta che un controllo cambia, si degrada, o si rivela inefficace durante i test, e secondo il normale ciclo di revisione. Il rischio residuo è accurato solo quanto i controlli che lo sostengono, quindi un valore fissato in un audit passato e mai riesaminato fornisce un'assurance falsa.