Propensione al rischio.

La propensione al rischio è la quantità e la tipologia di rischio che l'organizzazione è disposta ad accettare per raggiungere i propri obiettivi. Definita a livello esecutivo o dal consiglio di amministrazione, per iscritto. In sua assenza, ogni decisione di trattamento del rischio diventa un giudizio personale del team di rischio, e l'audit la smonta pezzo per pezzo. Da abbinare alla tolleranza al rischio (lo scostamento tollerato rispetto alla propensione).

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyRisk managementAll entries

Il punto di vista di Cyber Academy

La propensione al rischio è la quantità e la tipologia di rischio che l'organizzazione è disposta ad accettare per raggiungere i propri obiettivi. Definita a livello esecutivo o dal consiglio di amministrazione, per iscritto. In sua assenza, ogni decisione di trattamento del rischio diventa un giudizio personale del team di rischio, e l'audit la smonta pezzo per pezzo. Da abbinare alla tolleranza al rischio (lo scostamento tollerato rispetto alla propensione).

A cosa serve la propensione al rischio

La propensione al rischio esiste per dirimere una discussione prima che si verifichi. Ogni decisione di trattamento, ogni « lo correggiamo o ci conviviamo », è in realtà una domanda su quanto rischio l'organizzazione è disposta a sostenere a fronte del beneficio di perseguire i propri obiettivi. Se quel confine risiede solo nella testa di chi guida il programma, allora ogni decisione diventa un giudizio privato che nessun altro ha sottoscritto, ed è esattamente ciò che un auditor o una contestazione del consiglio andrà a smontare.

Una propensione scritta, assunta a livello dirigenziale o del consiglio, trasforma quei giudizi sparsi in una posizione organizzativa dichiarata. È uno strumento di governo, non scartoffie: indica al team di rischio dove può procedere di propria autorità e dove un rischio deve essere escalato.

Punto cruciale: la propensione si definisce nel linguaggio degli obiettivi, non come un numero unico. Un'organizzazione che insegue una crescita aggressiva in un nuovo mercato accetterà razionalmente più rischio strategico e operativo di un'altra il cui mandato è proteggere un servizio regolamentato e critico per la vita. Il consiglio decide quanta esposizione è disposto a consentire per raggiungere ciò che intende ottenere. Per questo la propensione non può essere delegata alla funzione sicurezza o rischio perché la inventi da sola: è una dichiarazione di intenti che solo coloro che rispondono degli obiettivi possono formulare legittimamente.

Propensione, tolleranza e capacità

Questi tre concetti vengono costantemente confusi, e la confusione costa cara. La propensione è quanto rischio vuoi assumere nel perseguimento degli obiettivi. La tolleranza è lo scostamento che sei disposto ad accettare attorno a quella propensione prima di agire, la banda pratica su entrambi i lati dell'obiettivo. La capacità è il massimo assoluto che l'organizzazione potrebbe assorbire prima che la sua sopravvivenza sia minacciata, indipendentemente da ciò che vuole. Fissi la propensione al di sotto della capacità di proposito, lasciando margine, ed esprimi la tolleranza affinché la variazione quotidiana non scateni una riunione di crisi ogni volta.

Propensione, tolleranza e capacità in sintesi
ConcettoDomanda a cui rispondeChi ne è responsabile
Propensione al rischioQuanto rischio vogliamo assumere per raggiungere i nostri obiettivi?Consiglio / dirigenza
Tolleranza al rischioQuanto scostamento attorno a quella propensione accetteremo prima di agire?Dirigenza / titolari del rischio
Capacità di rischioQual è il massimo che potremmo assorbire prima che la sopravvivenza sia in gioco?Consiglio (un limite rigido)

Come si manifesta negli standard

Nella ISO 31000, la propensione al rischio fa parte del quadro di riferimento che la leadership stabilisce quando si impegna a gestire il rischio: l'alta direzione e gli organi di vigilanza sono tenuti a definire e comunicare quanto rischio l'organizzazione è disposta ad assumere. ISO 27005 e il sistema di gestione della sicurezza delle informazioni ISO 27001 poggiano sulla stessa idea attraverso i criteri di rischio: prima di poter valutare un rischio, servono criteri concordati su ciò che è accettabile, e quei criteri sono la propensione resa operativa. La propensione è a monte della valutazione, e i criteri sono il modo in cui essa viene applicata in modo coerente a ogni rischio.

La propensione non è un poster appeso al muro. Si guadagna il suo posto solo quando è integrata nel resto del ciclo. La fase di valutazione del rischio confronta ogni rischio analizzato con i criteri derivati dalla propensione per decidere se è necessaria un'azione.

La decisione di trattamento del rischio, evitare, ridurre, trasferire o accettare, si giustifica con riferimento ad essa: un rischio accettato entro la propensione richiede solo un'accettazione documentata e autorizzata, mentre un rischio al di sopra della propensione esige un trattamento o un'approvazione formale ed escalata. Il registro dei rischi annota dove si colloca ciascuna voce rispetto alla propensione e chi ha accettato cosa.

Quando gli auditor trovano decisioni di trattamento che nessuno riesce a ricondurre a una propensione dichiarata, è quella la lacuna che fa crollare l'intera valutazione.

In pratica, la propensione si rivede, non è scolpita nella pietra. Viene riesaminata man mano che gli obiettivi cambiano, dopo incidenti rilevanti e attraverso il riesame della direzione, perché una propensione fissata per la strategia dell'anno scorso indirizza silenziosamente in modo errato le decisioni di quest'anno. La disciplina consiste nel tenerla esplicita, tenerla assunta ai vertici e tenerla connessa ai criteri che il team utilizza davvero.

Frequently asked questions

01Qual è la differenza tra propensione al rischio e tolleranza al rischio?

La propensione è la quantità e il tipo di rischio che l'organizzazione vuole assumere per raggiungere i suoi obiettivi. La tolleranza è lo scostamento che accetterà attorno a quella propensione prima di agire. La propensione è l'obiettivo; la tolleranza è la banda accettabile attorno ad esso.

02Chi dovrebbe fissare la propensione al rischio?

Il consiglio o la leadership esecutiva, perché la propensione è una dichiarazione su quanta esposizione l'organizzazione accetterà per perseguire i suoi obiettivi. Il team di rischio o di sicurezza la applica, ma non può inventarla legittimamente da solo.

03Deve essere messa per iscritto?

Sì. Una propensione non scritta significa che ogni decisione di trattamento è un giudizio personale che nessuno ha formalmente autorizzato, cosa che auditor e consigli contesteranno. Una dichiarazione di propensione documentata e assunta è ciò che rende difendibili quelle decisioni.

04Come si collega la propensione al rischio ai criteri di rischio nella ISO 27005?

I criteri di rischio sono la propensione resa operativa. La propensione definisce quanto rischio è accettabile; i criteri sono le soglie concordate che il team utilizza per valutare ogni rischio in modo coerente rispetto a quella propensione.

05Con quale frequenza dovrebbe essere rivista la propensione al rischio?

Ogni volta che gli obiettivi o il contesto cambiano in modo significativo, dopo incidenti rilevanti e come parte del riesame della direzione. Una propensione fissata per una vecchia strategia indirizzerà silenziosamente le decisioni attuali nella direzione sbagliata.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.