Framework e modelli di gestione dei rischi aziendali

Ottieni modelli di Smartsheet gratuiti
Get a Free Smartsheet Demo

By Andy Marker | 24 Marzo 2021 (aggiornato 9 Febbraio 2024)

Abbiamo raccolto risorse su framework e modelli di gestione del rischio aziendale (ERM). Imparerai come sviluppare un framework ERM personalizzato, ottenere informazioni su criteri e componenti chiave e trovare consigli di esperti su come mappare il framework alle esigenze del cliente. 

In questa pagina troverai una guida allo sviluppo di un framework ERM personalizzato, una ripartizione utile dei principali modelli di framework ERM ed esempi di framework ERM popolari per settore.

Framework di gestione dei rischi aziendali

I framework di gestione dei rischi aziendali trasmettono principi cruciali di gestione dei rischi. È possibile utilizzare un framework ERM come strumento di comunicazione per identificare, analizzare, rispondere e controllare i rischi interni ed esterni. Un framework di ERM fornisce feedback e guida strutturati alle business unit, alla dirigenza e ai membri del consiglio di amministrazione che implementano e gestiscono programmi ERM.  

I framework ERM aiutano a stabilire una cultura coerente della gestione dei rischi, indipendentemente dal fatturato dei dipendenti o dagli standard del settore. Guidano le funzioni di gestione dei rischi e aiutano le aziende a gestire la complessità, a visualizzare i rischi, ad assegnare la proprietà e a definire la responsabilità per la valutazione e il monitoraggio dei controlli dei rischi. Un framework ERM personalizzato supporta l'azienda nell'integrazione della gestione dei rischi in attività e funzioni aziendali significative.

Tipi di framework di gestione dei rischi aziendali

Il framework strategico scelto dipende dal settore, dagli obiettivi aziendali, dalla struttura organizzativa, dall'infrastruttura tecnologica e dalle risorse disponibili. Alcuni framework sono più applicabili alle società su scala aziendale, mentre altri forniscono approcci più personalizzabili e basati su scenari alle esigenze ERM specifiche di un'organizzazione. 

Esiste anche un sottoinsieme di framework strategici per la gestione dei rischi aziendali, ad esempio alcuni possono adattarsi meglio alle esigenze di settori altamente regolamentati come la finanza e la sanità. È possibile utilizzare uno di questi come punto di partenza per creare un framework ERM personalizzato.

Framework ERM per la Casualty Actuarial Society (CAS)

La Casualty Actuarial Society (CAS) è un'entità internazionale di credenziale e formazione professionale. L'organizzazione si concentra esclusivamente sui rischi immobiliari e di infortunio nel settore assicurativo, riassicurativo, finanziario e nella gestione del rischio aziendale. 

Il CAS, la Society of Actuaries (SOA) e il Canadian Institute of Actuaries (CIA) sponsorizzano un sito web di gestione dei rischi con risorse di formazione ERM. Il comitato organizza il framework ERM per tipo di rischio e un processo sequenziale di gestione dei rischi. 

I quattro tipi di rischio sono definiti come segue:

  • Rischi di pericolo: questa categoria contiene azioni per responsabilità civile, danni alla proprietà, catastrofi naturali, crimini, infortuni sul lavoro e interruzione dell'attività. 
  • Rischi finanziari: questa categoria contiene il rischio di prezzo, il rischio di liquidità, il rischio di credito, il rischio di inflazione e il rischio di copertura.
  • Rischi operativi: questa categoria contiene il rischio operativo, il rischio di responsabilizzazione, il rischio IT, il rischio di integrità e il rischio di reporting aziendale. 
  • Rischi strategici: questa categoria comprende la concorrenza, il rischio dei clienti, il rischio demografico e culturale, il rischio di innovazione, la disponibilità di capitale, la regolamentazione e il rischio politico. 

Il processo di gestione del rischio CAS prevede le seguenti sette fasi sequenziali:

  1. Stabilire il contesto: il primo passo è impostare il contesto del rischio in base al modo in cui l'organizzazione opera attualmente. Questa fase include la comprensione del contesto interno ed esterno e del contesto ERM (ad esempio il pericolo per le unità aziendali specifiche e il rischio ambientale dell'organizzazione).
  2. Identificazione dei rischi: documenta le minacce che impediscono alla tua organizzazione di raggiungere i propri obiettivi aziendali. Questa fase incoraggia anche a definire come sfruttare il rischio per ottenere un vantaggio competitivo.
  3. Analisi dei rischi: in questa fase, analizza i risultati della probabilità di rischio per ogni rischio e quantifica l'impatto.
  4. Integrazione dei rischi: in questa fase, aggregare le distribuzioni dei rischi, considerando le correlazioni e gli effetti del rischio sui portafogli. Misura questa fase in base all'impatto sugli indicatori chiave di prestazione (KPI).
  5. Priorizzazione dei rischi: valuta e assegna priorità a ciascun rischio per determinare come si aggiunge al profilo ERM aggregato.
  6. Sfruttamento dei rischi: questa fase richiede lo sviluppo di strategie per l'utilizzo di vari rischi a vantaggio dell'organizzazione. 
  7. Monitoraggio dei rischi: l'ultima fase si concentra sull'esecuzione di revisioni continue dell'ambiente di rischio e delle prestazioni complessive di ERM.

Le fasi del processo di gestione dei rischi potrebbero applicarsi singolarmente a ciascun rischio. La checklist seguente si basa sulla griglia del framework ERM del comitato nel complesso.

Mockup CAS Risk Management Process Checklist

Il framework ERM COSO integrato

Nel 2017, COSO ha pubblicato un framework ERM aggiornato, l'Enterprise Risk Management - Integrating with Strategy and Performance, per affrontare l'importanza dell'ERM nella pianificazione e nelle prestazioni strategiche dell'azienda. Questo modello aggiornato spiega la maggiore complessità degli ambienti aziendali moderni. 

Il Committee Of Sponsoring Organizations (COSO) della Treadway Commission è un'iniziativa congiunta di cinque organizzazioni del settore privato dedicate a offrire una leadership di pensiero attraverso la coltivazione di framework completi e una guida sulla gestione del rischio aziendale, il controllo interno e la dissuasione dalle frodi. Di seguito sono riportate le organizzazioni che sponsorizzano e finanziano l'iniziativa del settore privato COSO:

  • American Accounting Association
  • American Institute of Certified Public Accountants 
  • Financial Executives International
  • Institute of Management Accountants
  • The Institute of Internal Auditors

COSO ha incorporato la legislazione Sarbanes-Oxley Act (SOX) per le linee guida sulla gestione dei rischi nel proprio framework ERM. Questa integrazione ha reso il framework COSO popolare tra le grandi aziende, le banche e le istituzioni finanziarie soggette ad ampi codici legali e a business ad alto rischio.

5 componenti interconnessi del framework ERM COSO

Il framework COSO aggiornato include cinque componenti di gestione dei rischi aziendali interconnessi. Questi componenti includono 20 principi che coprono le pratiche dalla governance al monitoraggio, indipendentemente dalla scala aziendale, dal settore o dal tipo di organizzazione. 

I seguenti componenti del framework ERM ampiamente utilizzato si adattano ai modelli di business, non ai processi di gestione dei rischi indipendenti:

  • Governance e cultura: questa componente incorpora cinque principi, tra cui il rischio e la supervisione dei consigli di amministrazione, le strutture operative, la definizione della cultura, i valori fondamentali dell'impegno e le pratiche delle risorse umane per il reclutamento, lo sviluppo e il mantenimento degli individui. 
  • Strategia e impostazione degli obiettivi: questa componente riguarda quattro principi: analisi del contesto aziendale, definizione della propensione al rischio, strategie alternative e obiettivi aziendali. 
  • Prestazioni: questa componente contiene cinque principi, tra cui l'identificazione del rischio, la valutazione della gravità del rischio, la priorità del rischio, l'implementazione della risposta al rischio e lo sviluppo del portafoglio. 
  • Riesame e revisione: questa componente affronta tre principi: la valutazione delle modifiche sostanziali, la revisione dei rischi e delle prestazioni e il miglioramento dell'ERM. 
  • Informazioni, comunicazione e reporting: questa sezione include l'utilizzo dell'IT, della comunicazione del rischio e del reporting sulla cultura e le prestazioni del rischio. 

La tabella seguente riepiloga i componenti e i principi di controllo del framework ERM COSO aggiornati.

Mockup COSO ERM Integrated Framework

Il framework ERM a standard ISO 31000

Il framework ERM dell'Organizzazione internazionale per la standardizzazione (ISO) 31000:2018 è un processo di gestione del rischio ciclico che incorpora l'integrazione, la progettazione, l'implementazione, la valutazione e il miglioramento del processo di ERM.

Mockup ISO 31000 ERM Framework

Il modello ISO 31000 viene rivisto ogni cinque anni per tenere conto dell'evoluzione del mercato e delle modifiche alla complessità aziendale. Questo framework copre vari rischi ed è personalizzabile per le organizzazioni, indipendentemente dalle dimensioni, dal settore o dall'industria. Per saperne di più su questo modello e scaricare modelli e matrici gratuiti, leggi "ISO 31000: Matrixes, Checklists, Registers and Templates" (ISO 31000: matrici, checklist, registri e modelli).

 

Il modello ERM ISO/IEC 27001
Lo standard di sicurezza ISO/IEC 27001 fornisce requisiti per i sistemi di gestione della sicurezza delle informazioni (ISMS). Più di una dozzina di standard di sicurezza forniscono controlli di gestione dei rischi di informazioni fisiche e tecniche per i programmi ERM. Le aziende digitali in vari settori adottano ISO 27001 per gestire la sicurezza finanziaria, della proprietà intellettuale e dei dati interni.

Il framework ERM COBIT

COBIT (2019) è un framework di governance e gestione IT flessibile creato dalla Information Systems Audit and Control Association (ISACA). Il framework concettuale è una scelta popolare per la gestione dei rischi in un ambiente aziendale digitalizzato. 

COBIT fornisce un modello di gestione dei rischi per le capacità aziendali di grandi dimensioni e un modello per adattarsi ad aree specifiche di piccole e medie imprese. La gestione dei rischi informatici e tecnologici non è più limitata al reparto IT, grazie all'integrazione dell'IT in ogni aspetto delle moderne operazioni aziendali.

"Guardiamo a COBIT e COSO al livello top-down mentre stiamo mettendo insieme il nostro programma", afferma Michael Fraser, CEO e Chief Architect di Refactr, una startup con sede a Seattle che fornisce una piattaforma di automazione DevSecOps che offre servizi IT-as-code e funzionalità compatibili con DevOps per la sicurezza informatica. "Stiamo anche esaminando come questi mappano tutti i controlli che abbiamo esaminato in tali framework. È qualcosa che possiamo automatizzare internamente? È qualcosa che richiede un processo manuale? Costruiamo questi contenuti per i nostri clienti e controlliamo per assicurarci che questo sia un programma dinamico che funzioni per noi e per il cliente", afferma. 

COBIT è un framework a ombrello flessibile per la creazione di un framework ERM con processi che allineano gli obiettivi aziendali e informatici per prevenire le compartimentazioni della gestione dei rischi in tutta l'azienda. Il framework identifica i seguenti tre principi fondamentali per la costruzione di un framework di governance e gestione: 

  • Concettuale: un framework di governance dovrebbe identificare i componenti critici e le loro relazioni per massimizzare la coerenza e potenziare l'automazione. 
  • Agile: un framework di governance dovrebbe essere aperto e flessibile ai nuovi contenuti e affrontare le questioni che sorgono con agilità, integrità e coerenza. 
  • Allineato: un framework di governance dovrebbe allinearsi a diversi standard, altri framework e requisiti normativi. 

Esistono anche sei requisiti fondamentali per un sistema di governance IT aziendale che un'organizzazione può adattare e progettare per adattarsi a un framework di ERM: 

  • Prezioso: dovrebbe soddisfare gli stakeholder in tutti i membri, la leadership esecutiva e la direzione. 
  • Olistico: il framework ERM è costituito da componenti che lavorano insieme per un approccio completo alla gestione e alla governance dei rischi. 
  • Dinamico: il framework deve reagire alle modifiche ai fattori di progettazione del programma ERM e considerare l'impatto di ogni modifica.
  • Distinto: il framework dovrebbe distinguere chiaramente le attività di gestione e governance.
  • Personalizzato: il framework dovrebbe essere personalizzato utilizzando i fattori di progettazione per ottimizzare la gestione e la governance dei rischi. 
  • Completo: il framework dovrebbe fornire una copertura ERM end-to-end per le funzioni IT e tutti i processi informatici e tecnologici in tutta l'azienda.
Mockup COBIT ERM Framework

Il framework ERM NIST

Il National Institute of Standards and Technology (NIST) è un'agenzia governativa federale degli Stati Uniti (Dipartimento del Commercio degli Stati Uniti). Il framework del NIST è un framework di sicurezza informatica utilizzato dalle imprese private che fanno affari con le agenzie governative degli Stati Uniti, come il Dipartimento della Difesa (DoD).  

Il modello di framework del NIST si concentra sull'utilizzo dei driver aziendali per guidare le attività di sicurezza informatica e la gestione dei rischi con tre componenti:

  • Nucleo del framework: si tratta di una serie di cinque risultati di sicurezza informatica, con sottocategorie, attività e riferimenti informativi comuni alla maggior parte dei settori aziendali e alle infrastrutture IT critiche. 
    • Identifica: gestione degli asset, ambiente aziendale, governance, valutazione dei rischi e strategia di gestione dei rischi
    • Proteggi: gestione delle identità, controllo degli accessi, sicurezza dei dati, tecnologia di protezione e manutenzione 
    • Rileva: anomalie ed eventi, processi di rilevamento e monitoraggio continuo 
    • Rispondi: pianificazione della risposta, comunicazioni, analisi, mitigazione e miglioramenti 
    • Recupera: pianificazione, miglioramenti e comunicazioni di ripristino
  • Livelli di implementazione: si tratta di un meccanismo per aiutare le organizzazioni a stabilire le priorità e a raggiungere gli obiettivi di sicurezza informatica per gestire i rischi di sicurezza informatica.
  • Profili del framework: utilizza qui gli elementi fondamentali del framework per sviluppare profili organizzativi e allineare le attività di sicurezza informatica alla missione, alla tolleranza al rischio e alle risorse disponibili. 

Il framework NIST fornisce uno standard riconosciuto a livello globale per le linee guida e le best practice per la sicurezza informatica che si applicano alle organizzazioni su scala aziendale con infrastrutture critiche da proteggere. Il framework è un modello flessibile per la creazione di un framework ERM per le organizzazioni che si affidano alla tecnologia, si occupano della privacy dei dati e gestiscono i rischi associati alle ultime tendenze della forza lavoro digitale. 

"Il Center for Internet Security mappa molti dei suoi framework o parametri di riferimento rispetto a NIST e ISO ed esegue la mappatura rispetto a un framework ERM", spiega Fraser. "Tutto è interconnesso perché si sta cercando di mitigare i rischi. Stai anche cercando di selezionare le caselle per uno scenario particolare, che si tratti di un audit o di un cliente che vuole che pratichi la due diligence per soddisfare i propri standard di gestione dei rischi."

Framework ERM con modello di maturità del rischio RIMS

La società di gestione del rischio senza scopo di lucro La valutazione con RMM (Risk Maturity Model) RIMS consiste in 68 indicatori di prontezza che descrivono 25 driver di competenza per sette attributi critici ERM per confrontare le organizzazioni rispetto ai pari del settore, monitorare i progressi e aiutare a eseguire un piano d'azione.

7 attributi del framework ERM RIMS

Il framework RMM RIMS identifica i seguenti sette attributi chiave della competenza ERM:

  • Approccio basato sull'ERM: questo attributo si concentra sulla cultura del rischio aziendale e sul grado di impegno dei dirigenti e dei membri del consiglio di amministrazione per l'adozione di un approccio basato su ERM.
  • Gestione dei processi ERM: questo attributo si concentra sulla cultura organizzativa e sul livello di integrazione tra i processi aziendali critici per processi ERM espliciti e ripetibili. 
  • Gestione Risk Appetite: questo attributo si concentra sulla responsabilità della leadership e sul livello di consapevolezza del processo decisionale in merito alla tolleranza al rischio e al divario tra i rischi percepiti ed effettivi.
  • Disciplina delle cause principali: questo attributo sottolinea la ricerca delle cause principali di ogni rischio, compresa la classificazione dei rischi, la scoperta dei risultati del rischio, il collegamento alle fonti e il miglioramento della risposta e dei controlli ai rischi.
  • Scoperta dei rischi: questo attributo riguarda la valutazione del rischio, l'analisi delle fonti di informazioni e la documentazione di rischi e opportunità.
  • Gestione delle prestazioni: questo attributo si concentra sulla visione, la missione e la strategia di ERM, inclusa la pianificazione degli obiettivi, la comunicazione, l'esecuzione e la misurazione utilizzando KPI quantitativi e qualitativi.
  • Resilienza e sostenibilità aziendale: questo attributo valuta le informazioni ERM utilizzate per la pianificazione operativa, la pianificazione del ripristino di emergenza e altre analisi di scenario.

Valuta ogni attributo utilizzando una scala di cinque livelli di maturità: inesistente, ad hoc (livello uno), iniziale (livello due), ripetibile (livello tre), gestito (livello quattro) e leadership (livello cinque). Il framework RMM RIMS è un modello flessibile compatibile con framework ERM personalizzati basati sullo standard internazionale ISO 31000:2018, sul framework ERM COSO aggiornato o sul framework COBIT.

Il caso per framework ERM personalizzati

"Non c'è un framework unico per tutti e inizierai a capire che hai bisogno di qualcosa di diverso", afferma Michael Fraser di Refactr. "Questo è ciò che abbiamo scoperto in Refactr, ma siamo unici perché aiutiamo le organizzazioni a creare l'automazione che desiderano utilizzare per aiutarle con questi particolari framework."

Michael Fraser

 

"I framework di gestione dei rischi sono guide per aiutarti a capire cosa devi fare in modo standardizzato", continua Fraser. "Quindi, c'è qualcosa di universale a cui puoi lavorare che altre persone comprendono. I framework standard sono lì per aiutarti a costruire il tuo programma di sicurezza e non per rappresentare il livello che non si raggiungerà mai."

Fraser consiglia di chiedersi se il framework è abbastanza buono per la propria organizzazione per fare affari con i clienti target. Il consiglio più critico riguarda il perché, cioè "Perché hai bisogno di un framework di gestione del rischio aziendale?"

"Molti di questi framework di rischio sono antiquati a livello di contenuto", afferma. "Con più persone che lavorano da casa, non si dispone necessariamente delle reti aziendali. Cosa succede se sei nato nel cloud o in un'azienda remota e basata sul cloud al 100%?"

Definizione degli obiettivi per i framework strategici ERM

Sean Cordero

"La gestione dei rischi è la disciplina generale nella sicurezza informatica e l'attenzione tende ad essere rivolta agli aspetti tecnologici. Ma, per l'azienda, è come attirare e trattenere clienti redditizi", spiega Sean Cordero, consulente di Refactr. "Una delle cose che si perde per alcune organizzazioni è l'esplosione dei servizi forniti nel cloud. L'architettura cloud consente un modo di fare ora che ha poca o nessuna rilevanza per il modo in cui sono state fatte le cose."

Cordero consiglia di porsi alcune domande difficili prima di creare un framework di rischio personalizzato. Poniti le seguenti domande: Qualcuno utilizzerà questo framework ERM? Aiuterà a spostare l'asticella dal punto di vista del settore? Fai un passo indietro e valuta qual è il rischio e cosa conta, utilizzando tre semplici input per dare priorità alla gestione dei rischi strategici, prima di implementare un framework ERM personalizzato. 

"Innanzitutto, esamina ciò che è richiesto dalla legge. In secondo luogo, identifica di cosa avranno bisogno i tuoi clienti, che dipenderà dal tipo di organizzazione", afferma Cordero. "Se stai mantenendo dati sensibili per i tuoi clienti e loro si preoccupano di questi dati sensibili, concentrati sugli aspetti della riservatezza, che si tratti di crittografia o di una varietà di modi per arrivarci. Infine, stabilisci ciò che apprezzi come organizzazione. Cosa ti va bene quando consideri i tuoi clienti e la tua attività? Questa è una cosa molto introspettiva che a volte manca. Se lo fai, individua chiaramente dove concentrarti e seleziona quindi il framework o l'approccio appropriato per la gestione dei rischi."

Come sviluppare un framework di gestione dei rischi aziendale personalizzato

Lo sviluppo di un framework ERM personalizzato aiuta a implementare una strategia di gestione dei rischi, allineare gli obiettivi aziendali e promuovere il processo decisionale basato sul rischio. Ma la personalizzazione di un framework ERM per adattarlo agli obiettivi interni, alle esigenze dei clienti, alle normative del settore, alla governance IT e agli standard di audit interno non deve essere schiacciante. 

La tabella di marcia seguente per lo sviluppo di un framework ERM personalizzato si basa su framework di gestione e rischi operativi esistenti, modelli ERM e input di esperti del settore. Utilizza questo processo passo-passo per sviluppare e implementare un programma ERM personalizzato. Per saperne di più sull'implementazione di ERM, consulta la nostra "Guide to Enterprise Risk Management Implementation" (Guida all'implementazione della gestione dei rischi aziendali).

Mockup 5 Developments Stages for Custom ERM Framework

Prima fase del framework ERM: crea un team ERM interfunzionale

Seleziona gli stakeholder tra le diverse business unit e la gestione per il comitato direttivo ERM. L'efficacia complessiva di un framework ERM personalizzato dipende dal supporto proveniente da tutti i livelli di gestione, in particolare dalla leadership esecutiva, l'alta dirigenza e il consiglio di amministrazione. 

Crea un team ERM interfunzionale per favorire il consenso a vari livelli operativi e avere un impatto sulla cultura. Il team ERM definisce gli obiettivi aziendali e sviluppa un profilo di rischio e una dichiarazione di propensione al rischio (RAS) in base alle minacce e alle opportunità all'interno delle proprie competenze. 

Domande sulla prima fase:

  • Chi dovrebbe essere incluso nella creazione della struttura di governance dei rischi? 
  • Quali ruoli e responsabilità assegnerai a ogni stakeholder del comitato rischi?
  • I ruoli e le responsabilità sono chiaramente definiti (con descrizioni)?
  • Lo sviluppo del framework ERM è indipendente da funzioni aziendali specifiche o favorisce le aree di influenza operativa? 
  • È necessario istituire un comitato di controllo separato per la gestione dei rischi per i controlli e i saldi?

Fase due del framework ERM: identificare il rischio

Riconoscere e pianificare gli eventi di rischio, le minacce interne ed esterne e le opportunità che creano dubbi e possono influire sui risultati aziendali. Utilizza il tuo profilo di rischio e RAS per allineare la strategia aziendale all'identificazione dei rischi. 

Il framework ERM è il manuale per identificare e affrontare i rischi che minacciano gli obiettivi aziendali. Utilizzalo come guida per distinguere le minacce di rischio dalle opportunità di rischio che possono portare al raggiungimento dei risultati desiderati. Mappa gli eventi di rischio alle attività di definizione degli obiettivi nella fase uno e identifica i rischi interni ed esterni. Assicurati di includere anche la prospettiva del rischio del cliente. 

Sfrutta le best practice del settore e le competenze del comitato direttivo ERM per guidare l'analisi delle minacce e delle opportunità future. 

Domande sulla seconda fase:

  • Stiamo identificando i rischi futuri o la nostra attenzione è troppo limitata alle minacce e alle opportunità attuali? 
  • Abbiamo sviluppato una metodologia ripetibile per identificare gli eventi di rischio con standard e procedure chiare che sfruttano le competenze collettive?
  • Abbiamo identificato le opportunità di rischio che si identificano con la strategia aziendale e aiutano a mitigare altre minacce?
  • Possiamo classificare accuratamente il rischio utilizzando parametri, come la probabilità e la potenziale perdita finanziaria?
  • La fase di identificazione del rischio dello sviluppo del framework ha dato priorità agli eventi di rischio per la risposta e la mitigazione?

Terza fase del framework ERM: valuta il rischio

La valutazione del rischio pone le basi per la gestione del rischio e la determinazione della sua probabilità. Questa fase è la pesante fase di analisi dello sviluppo del framework di riferimento: in questa fase si stabilirà un framework integrato di valutazione dei rischi. 

Per pianificare la metodologia di valutazione, utilizza strumenti di valutazione dei rischi e conformità come una matrice di valutazione dei rischi e autovalutazioni per il controllo dei rischi (RCSA). I moduli di valutazione del rischio sono utili per valutare il rischio e stabilire i controlli dei rischi, che è l'attività principale della fase quattro. Per saperne di più sulla pianificazione di una metodologia di valutazione del rischio personalizzata, consulta la nostra guida alla valutazione e all'analisi del rischio aziendale. 

Domande sulla terza fase:

  • Abbiamo stabilito i problemi e l'impatto (finanziario, operativo, interno, cliente) per ogni potenziale evento di rischio?
  • La fase di valutazione dello sviluppo del framework ha dimostrato una comprensione basata sui fatti del rischio aziendale e delle attuali capacità di ERM?
  • Abbiamo utilizzato strumenti di valutazione del rischio per identificare le lacune nelle capacità ERM esistenti e determinare un percorso da seguire per affrontarle?
  • La fase di valutazione del rischio dello sviluppo ha cambiato la classificazione e la priorità dei tipi di rischio, in base ai parametri di identificazione del rischio della seconda fase?

Quarta fase del framework ERM: tratta il rischio

Il trattamento dei rischi è la fase d'azione di un framework ERM. Questa fase prevede la progettazione e l'implementazione dell'ambiente di controllo e la creazione di un piano d'azione di mitigazione dei rischi che comprenda come rispondere a ogni tipo di evento di rischio identificato nelle fasi precedenti.

I proprietari dei rischi gestiscono l'ambiente di controllo. Assegna ruoli e responsabilità ai proprietari del rischio per individuare quando e come rispondere. Determinare quali unità aziendali sono interessate e responsabili di controlli specifici dei rischi. 

I controlli interni sono azioni specifiche che i proprietari del rischio intraprendono per rispondere alle minacce o sfruttare le opportunità. Allinea i controlli interni ed esterni separati in base agli obiettivi aziendali, ai requisiti dei clienti, ai requisiti legali e normativi del settore, agli standard di conformità e alle strutture di governance. 

Fasi del framework ERM della risposta ai rischi

Il framework ERM aiuta a gestire le varie fasi della risposta ai rischi e a determinare i controlli appropriati. La tua strategia di risposta e mitigazione varia in base al tipo di rischio, al profilo di rischio e alla tolleranza al rischio. Le fasi della risposta al rischio includono le seguenti: 

  • Accetta: se la mitigazione del rischio costa di più, accetta il rischio e monitora i risultati. 
  • Evita: questa è la migliore risposta alle minacce con un'alta probabilità di perdite finanziarie o di risultati dannosi. 
  • Riduci: se il rischio è probabile che si verifichi, ma presenta un'opportunità che supera la perdita finanziaria minima o altri fattori, mitiga le minacce con controlli del framework e monitorale. 
  • Condividi: trasferisci i rischi che comportano minacce più significative e utilizza tecniche assicurative o di mitigazione di terze parti per proteggersi da perdite o risultati problematici. 

Domande sulla quarta fase:

  • Il nostro ambiente di controllo interno e la nostra strategia di risposta e mitigazione dei rischi dispongono di controlli e saldi appropriati che creano responsabilità per i proprietari dei rischi?
  • Disponiamo di una politica e una procedura per rivedere i controlli dei rischi e la proprietà dei rischi?
  • Quanto spesso monitoreremo e rivedremo i controlli e la proprietà?
  • Abbiamo stabilito la strategia di risposta appropriata e i controlli contro la nostra tolleranza al rischio per tipi specifici di eventi?
  • Abbiamo tenuto conto dei sistemi e delle partnership controllati dai vendor esterni con la proprietà interna e i controlli di risposta?

Quinta fase del framework ERM: ottimizza i rischi

L'ottimizzazione dei rischi è la fase finale. Gli strumenti specifici di cui hai bisogno per ottimizzare il rischio variano in base alle risorse e agli obiettivi generali. Consulta i tuoi obiettivi ERM per selezionare l'insieme di funzionalità di analisi e tecnologia di reporting di cui hai bisogno. Non dovrebbero guidare il tipo di framework ERM sviluppato. 

Monitora ed esamina le prestazioni del programma ERM per creare un ciclo di feedback oggettivo basato sui dati. Questo ciclo iterativo scorre attraverso l'azienda a tutti i livelli e in tutte le direzioni per ottimizzare la gestione dei rischi. Quindi, utilizza questi dati per identificare le aree di opportunità per rivedere e migliorare il programma ERM.

Sfrutta gli audit di conformità che corrispondono alle best practice per il tuo settore e i requisiti di governance. Crea una dashboard di reporting dei rischi basata sui ruoli per monitorare e rendicontare gli obiettivi strategici del rischio, i parametri di controllo e i KPI. Le moderne piattaforme software ERM forniscono dashboard basate su cloud con funzionalità di business intelligence integrate e di reporting intuitive. 

Domande sulla quinta fase:

  • I nostri report di monitoraggio dei rischi e le dashboard ERM consentono alla dirigenza di adattarsi agli ambienti di rischio in tempo reale?
  • Abbiamo incorporato le best practice di governance dell'IT e della sicurezza informatica per ottimizzare i rischi per la sicurezza e determinare se la nostra infrastruttura ERM è conforme agli standard di sicurezza moderni e basati sul cloud?
  • La nostra infrastruttura e le nostre operazioni ERM consentono il monitoraggio, il reporting e la comunicazione continui dei rischi utilizzando pratiche di automazione e integrazione continua? 
  • Qual è la nostra cadenza ottimale per rivedere e modificare il nostro framework ERM, in base all'analisi della nostra risposta ai rischi e dell'ambiente complessivo dei rischi? 
  • Il nostro framework personalizzato rafforza la consapevolezza e la trasparenza dei rischi e abbatte le compartimentazioni del rischio?

Strumenti per lo sviluppo di componenti del framework ERM personalizzato

La creazione di un framework ERM personalizzato comporta l'utilizzo delle best practice, degli strumenti e della strategia di gestione dei rischi. Incorpora i seguenti strumenti di gestione dei rischi per sviluppare componenti di framework ERM personalizzati che si adattino alle esigenze dell'azienda e del cliente: 

  • Risk Appetite Statements (RAS): questa documentazione definisce le considerazioni chiave sul rischio per la risposta e la mitigazione del rischio in forma aggregata, in base agli obiettivi aziendali e al profilo di rischio complessivo. 
  • Modelli di tolleranza al rischio: il framework ERM personalizzato deve delineare il livello a cui l'azienda può identificare, controllare e rispondere in modo sicuro a minacce e opportunità. Per i modelli di valutazione del rischio scaricabili gratuitamente, consulta "Modelli ed esempi di moduli gratuiti di valutazione del rischio". 
  • Dashboard per il reporting dei rischi: le piattaforme di gestione dei rischi dispongono di dashboard per il reporting dei rischi. Progetta dashboard basate sui ruoli in base ai membri e alle responsabilità del comitato direttivo ERM. Utilizza le dashboard ERM per monitorare gli indicatori di rischio chiave. Per saperne di più sulle caratteristiche e i vantaggi del software di gestione dei rischi, leggi "How to Choose the Right Risk Management Software" (Come scegliere il giusto software di gestione dei rischi).
  • Analisi dei dati dei rischi e KPI: utilizza gli indicatori e i parametri di rischio chiave per monitorare e determinare le soglie di rischio e la responsabilità. Le dashboard ERM sono strumenti per il monitoraggio e il reporting dei parametri di rischio e dei KPI. 
  • Audit di conformità interni: sfrutta gli RCSA per ogni business unit per valutare l'efficacia dei controlli interni e misurare gli standard di conformità. Per saperne di più sugli audit di conformità, vedere "Compliance Auditing 101: Types, Regulations and Processes" (Auditing di conformità 101: tipi, regolamenti e processi).
  • Modelli di rischio stocastico: modello del rischio utilizzando questa forma popolare di modellazione finanziaria al fine di determinare le previsioni del rischio. Il metodo identifica anche la probabilità che le minacce incerte e le opportunità di rischio si verifichino a caso. 
  • Modelli di piano di gestione dei rischi: un piano di gestione dei rischi è uno schema all'interno del framework ERM che aiuta a specificare l'approccio ERM. Utilizza modelli di piani di gestione dei rischi come registri dei rischi e una matrice di valutazione dei rischi per creare un framework ERM personalizzato. Per saperne di più sui piani di gestione dei rischi e per trovare modelli scaricabili gratuitamente, consulta "Modelli gratuiti di piani di gestione dei rischi".

Modello di matrice di valutazione dei rischi

Matrice di valutazione del rischio

Scarica la matrice di valutazione dei rischi

Microsoft Excel | Microsoft Word | Adobe PDF

Utilizza questo modello di matrice di valutazione dei rischi per ottenere una rapida panoramica della relazione tra probabilità e gravità del rischio. La semplice combinazione di colori del modello distingue tra le diverse valutazioni del rischio.

Criteri del framework ERM personalizzato

James Lam delinea una serie di criteri standard per il suo modello di ERM continuo nel libro Implementing Enterprise Risk Management. Combina le componenti di framework di gestione strategica ben note in un framework di comunicazione personalizzabile con i seguenti criteri:

  • Semplice: Lam raccomanda la semplicità nella determinazione dei principi guida dell'ERM. Utilizza l'esempio di una roadmap, abbastanza semplice da seguire ma abbastanza completa per assicurarsi di arrivare al luogo desiderato. Mantieni i componenti del framework a sette o meno, l'intervallo ottimale per la memoria umana. 
  • Mutually Exclusive, Collectively Exhaustive (MECE): un framework ERM personalizzato dovrebbe essere esclusivo per i tuoi obiettivi e le tue risorse aziendali. I componenti devono essere autonomi, senza sovrapposizioni o ridondanze. Detto questo, Lam raccomanda che le parti siano sufficientemente complete da coprire tutti i livelli dell'azienda e tenere conto di ogni risultato. 
  • Equilibrato e integrato: il framework ERM deve integrarsi con l'intera organizzazione aziendale e il contesto del programma di gestione dei rischi. Lam utilizza l'esempio di un motore automobilistico per evidenziare il suo punto di riferimento. Il framework non dovrebbe enfatizzare eccessivamente nessun componente, ma dovrebbe rimanere equilibrato e in armonia, proprio come il motore e il volante di un veicolo.
  • Flessibile: le dinamiche mutevoli di una società su scala aziendale, nonché il rapido ritmo dell'innovazione tecnologica e dei cambiamenti del settore, rendono fondamentale la flessibilità di un framework ERM personalizzato. Lam suggerisce di creare un modello di framework che abbracci gli obiettivi aziendali a lungo termine della tua organizzazione, tenendo conto della natura inconoscibile di un rischio.
  • Efficace: Lam spiega che l'efficacia di un framework dipende dalla sua implementazione. Misura l'efficacia attraverso l'integrazione della gestione del rischio nel processo decisionale e nei risultati aziendali. Per saperne di più sull'implementazione dei programmi ERM, consulta "Guide to Enterprise Risk Management Implementation" (Guida all'implementazione della gestione dei rischi aziendali).

Esempi di framework ERM popolari per settore

Le aziende di tutti i tipi e dimensioni devono affrontare rischi esterni e interni, indipendentemente dal settore. Tuttavia, alcuni framework ERM sono più diffusi in settori specifici a causa delle leggi sulla privacy, delle transazioni finanziarie, dell'ambiente normativo e dei requisiti di governance per la tecnologia e l'infrastruttura.

Framework ERM popolari per settore

Questo diagramma non è un insieme di dati esaustivo. Evidenzia invece i framework e i modelli ERM popolari discussi in questo articolo e i settori che li sfruttano per creare programmi ERM personalizzati.

Mockup Popular ERM Frameworks by Industry

Framework di gestione dei rischi aziendali per la sanità

Johnson & Johnson è una delle più grandi aziende sanitarie al mondo. L'azienda ha creato un framework ERM personalizzato, sulla base del framework ERM COSO, per affrontare i rischi specifici dell'assistenza sanitaria, come la riduzione della vitalità aziendale dovuta alla riforma sanitaria.

Il framework ERM Johnson&Johnson è composto dai seguenti cinque componenti integrati:

  • Strategia e obiettivi: il comitato esecutivo stabilisce obiettivi strategici e finanziari che si connettono alle business unit globali attraverso la dirigenza senior.
  • Prestazioni: stabilisci risposte ai rischi con la leadership, utilizza le funzioni di gestione dei rischi per implementare politiche e controlli e sviluppare piani d'azione. L'azienda monitora le prestazioni durante tutto l'anno utilizzando valutazioni del rischio, scansioni e sondaggi. 
  • Riesame e revisione: il personale, indipendentemente dalla business unit che sta rivedendo, testa, verifica e valuta le prestazioni della risposta al rischio. Riferiscono le attività di mitigazione dei rischi alla leadership ed esaminano i parametri. 
  • Informazioni, comunicazione e reporting: il personale a rischio chiave incontra il consiglio di amministrazione, il comitato esecutivo e i dirigenti per garantire la proprietà dei programmi ERM. Conduce la formazione e scambia le conoscenze tra le business unit. Utilizza la intranet dei dipendenti e la comunicazione diretta per diffondere le informazioni. 
  • Governance e supervisione: il consiglio di amministrazione fornisce la supervisione del rischio e si riunisce regolarmente con la leadership. Il comitato esecutivo stabilisce gli obiettivi strategici e supervisiona le funzioni di rischio dei settori aziendali. Vari comitati condividono i rischi emergenti e le pratiche standard tra le funzioni principali del rischio, come la conformità sanitaria.

Framework di gestione dei rischi aziendali per l'IT

La popolarità dei servizi IT gestiti, della tecnologia software-as-a-service (SaaS) e del cloud computing ha creato una nuova dinamica per l'azienda digitale. Le violazioni dei dati e la conformità alla sicurezza IT dovrebbero riguardare ogni azienda, indipendentemente dal settore o dalle dimensioni. 

COBIT di ISACA aiuta a guidare le decisioni informatiche e tecnologiche che supportano e sostengono gli obiettivi aziendali. COBIT è completo e fornisce un framework di governance e gestione per l'IT aziendale che aggiunge valore a tutti i processi decisionali informatici e tecnologici. 

Il framework COBIT aiuta a mantenere l'equilibrio tra la realizzazione dei vantaggi, l'ottimizzazione dei rischi e l'utilizzo delle risorse IT. Si tratta di un modello di riferimento del processo, di una serie di pratiche di governance e di gestione e di strumenti per consentire la governance di un'organizzazione.

Il modello ERM SOC 2 di tipo 2
Il SOC 2 di tipo 2 è un modello di conformità e sicurezza IT che garantisce che i vendor IT e SaaS (o qualsiasi fornitore di tecnologia "as-a-service") gestisca i dati in modo sicuro. Questo insieme di criteri, composto da cinque principi, è stato sviluppato dall'American Institute of CPAs (AICPA). Questi principi includono sicurezza, disponibilità, integrità del trattamento, riservatezza e privacy.

Framework di sicurezza informatica reattivi

Sean Cordero ha visto crescere gli standard del settore e gli enti di certificazione per soddisfare la domanda di una gestione dei rischi meno prescrittiva e più flessibile. Aiuta a guidare il team di ricerca principale per lo sviluppo del controllo dei rischi con Cloud Security Alliance (CSA), un'autorità leader nella sicurezza del cloud. 

"Quando si fa questo tipo di ricerca, lo si fa perché si vuole fare la differenza", afferma. "Diventa estremamente complesso iniziare ad apportare modifiche su scala quando si inizia a parlare di standard generali che passano attraverso più enti di certificazione con un programma di attestazione e una convalida di terze parti." 

Secondo Cordero, il processo di certificazione impedisce di andare sul mercato con un MVP o una richiesta di funzionalità software.

La combinazione di standard in ritardo senza aggiornamenti frequenti, processi di sicurezza in evoluzione e tecnologie e strumenti di sicurezza obsoleti (ad esempio gli scanner di vulnerabilità) pone domande a cui potrebbero rispondere framework ERM più reattivi. 

Framework IT flessibili
"Siamo a un punto di svolta interessante nel settore della sicurezza", afferma Cordero. "Si tratta di un fallimento degli standard, o di una tecnologia, o di entrambe le cose? A causa dell'inflessibilità di alcuni framework di rischio, o framework di controllo, e della tecnologia esistente sovrapposta ad entrambi, è quasi impossibile far rispettare la maggior parte degli standard di controllo là fuori."  

Cordero sa in prima persona che i framework di gestione dei rischi e di controllo della sicurezza stanno diventando meno prescrittivi e forniscono una maggiore guida all'implementazione attraverso il suo lavoro di ricerca con Cloud Security Alliance.

"Non stiamo più dicendo: 'Devi fare queste 15 cose o non soddisfi questo requisito", spiega. "Invece, stiamo dicendo: 'È necessario utilizzare la crittografia convalidata dal settore per le informazioni aziendali e sensibili dei clienti.' Non stiamo definendo 'la sensibilità aziendale'. Spetta a te decidere." 

Cordero sottolinea inoltre che gli standard di controllo forniscono ancora valore. Detto questo, quelli che si sono appena inseriti in framework esistenti non sono sostenibili in un mondo cloud-first, in quanto sono stati pensati per un mondo diverso e un approccio diverso.

Per quanto riguarda i framework ERM e l'approccio di gestione dei rischi all'intero settore, Cordero ritiene che una delle cose che è sempre stata un problema sia l'idea di personalizzare un framework o un controllo. 

"In definitiva è solo una fase secondaria del processo di gestione del rischio", afferma. "Il framework potrebbe fornire convalida o approfondimenti in termini di tempo, denaro e risorse spese. Consiglierei alle aziende di pensare al fatto che si può impazzire se si cerca di prendere un framework di controllo e di capire come implementare tutte queste cose."

Framework ERM per le unioni del credito, le banche e le istituzioni finanziarie

La gestione del rischio è una parte vitale dell'esecuzione di un'unione del credito su scala aziendale. La sezione 704.21 delle norme e dei regolamenti della National Credit Union Administration (NCUA) richiede che le unioni di credito sviluppino e seguano una politica (ERM).

I framework di ERM come COSO consentono una visione olistica dei rischi aziendali per le istituzioni finanziarie e le unioni di credito per misurare e analizzare i rischi che incidono su varie funzioni. Un framework ERM ben progettato fornisce al consiglio di amministrazione e alla dirigenza senior dell'azienda un processo per determinare quanto segue:

  • L'entità dell'esposizione al rischio
  • I livelli massimi di propensione al rischio
  • Come cambiano le esposizioni al rischio e i controlli del rischio appropriati per gestire il cambiamento

Il framework ERM di Barclays

Il framework ERM COSO è stato adattato da importanti istituzioni finanziarie aziendali come Barclays, una banca internazionale, e personalizzato per sfruttare i componenti ERM che guidano il valore aziendale e soddisfano gli standard di conformità normativa. Barclays utilizza il proprio framework ERM per gestire i seguenti tipi di rischi:

Mockup The Barclays ERM Framework Risk Types

Il Barclays Board Risk Committee è un gruppo di amministratori non dirigenziali che emettono un report annuale basato sul framework ERM di Barclays, sui codici di governance finanziaria e sulle regole di informativa e trasparenza degli organismi di regolamentazione finanziaria in cui operano. Il comitato è responsabile della raccomandazione della propensione al rischio per il consiglio, del monitoraggio del profilo di rischio finanziario, operativo e legale di Barclays e di fornire input sulle minacce e le opportunità finanziarie e operative.

Il framework legale di ERM di Deloitte

Nel 2018, il conglomerato di consulenza internazionale Deloitte ha creato un framework legale di gestione dei rischi. Il framework legale ERM di Deloitte è stato sviluppato in risposta alle maggiori aspettative di gestione dei rischi. Il quadro offre a Deloitte un vantaggio competitivo perché controlla i rischi legali in tutte le operazioni aziendali.

Il framework legale ERM di Deloitte presenta quattro componenti: 

  • Identifica: definisci il rischio legale, comprendi l'universo dei rischi legali e assicurati la proprietà del rischio legale tra le business unit funzionali, come la conformità. 
  • Valuta: imposta la soglia legale di propensione al rischio, definiscila e incorpora un processo di valutazione legale del rischio per determinare l'esposizione al rischio rispetto a una serie di fattori legali. 
  • Controlla: incorpora un framework di controllo basato sulla propensione al rischio legale e crea controlli basati sulla tecnologia per il controllo legale dei rischi.
  • Monitora ed elabora report: utilizza una metodologia definita per valutare l'efficacia dei controlli legali dei rischi, segnalare i profili di rischio legali e controllare il successo dell'ambiente agli stakeholder designati.
Mockup Deloitte Legal ERM Framework

Framework di gestione dei rischi aziendali per agenzie assicurative

Il settore assicurativo sta ancora iniziando ad adottare framework ERM completi che non si limitano a soddisfare gli standard di conformità. La maggior parte degli assicuratori utilizza una politica interna di valutazione del rischio e della solvibilità (ORSA) per soddisfare le normative e i requisiti di governance degli Stati Uniti. 

ORSA aiuta gli assicuratori a valutare le capacità di gestione del rischio e a valutare il rischio di mercato, il rischio di credito e di sottoscrizione, il rischio di liquidità e il rischio operativo. Tuttavia, ORSA è limitato a un programma di gestione dei rischi in fase iniziale per la conformità standard rispetto a framework ERM completi come CAS e COSO ERM. 

Questi framework forniscono strategie e strumenti sistematici di ottimizzazione del rischio-rendimento che si allineano agli obiettivi aziendali e forniscono valore per l'assicuratore e i loro clienti. Gli assicuratori che adottano strutture di ERM come il COSO creano modelli completi di capitale di rischio che supportano la gestione dei rischi come strategia aziendale di valore. 

Modello ERM per le compagnie assicurative
I modelli di capitale di rischio misurano la quantità di capitale di cui un'organizzazione ha bisogno per raggiungere gli obiettivi aziendali, dato il suo profilo di rischio. È possibile utilizzarli per sviluppare strategie di rischio e confrontare le valutazioni interne del rischio. Possono anche valutare le agenzie e i requisiti normativi per il capitale di rischio per determinare i profili di rischio.

Molte organizzazioni assicurative si affidano a una qualche forma di modelli di capitale di rischio come forma di ERM. La modellazione dei rischi aiuta a definire il rischio raccogliendo e analizzando dati che forniscono informazioni dettagliate sulle interazioni o sui rischi e gli obiettivi aziendali. I modelli di capitale di rischio aiutano a fornire un framework per supportare il profilo di rischio e la propensione al rischio di un'organizzazione assicurativa, oltre a creare una cultura del rischio.

Framework ERM integrato per le organizzazioni governative

Le agenzie federali degli Stati Uniti e i loro leader sono responsabili della gestione di missioni su scala aziendale che hanno un impatto su vari settori. I framework ERM, come il modello di maturità di sicurezza informatica (CMMC) e FedRamp, aiutano le agenzie governative a valutare i rischi e a identificare le minacce e le opportunità attraverso programmi ERM in linea con gli obiettivi e gli obiettivi dell'agenzia. 

Il modello di maturità ERM CMMC
Il CMMC è un framework più recente di rischio per la sicurezza informatica sviluppato dal Sottosegretario alla Difesa per l'acquisizione e il sostegno, dal Dipartimento della Giustizia e da altri stakeholder per misurare la maturità della sicurezza informatica delle agenzie governative e delle organizzazioni del settore che fanno affari con il governo federale. Il modello fornisce processi di maturità, best practice di sicurezza informatica e input dalla comunità della sicurezza e da più framework e modelli del settore della sicurezza. 

Il framework CMMC utilizza i seguenti cinque livelli di processi e pratiche per misurare la maturità della sicurezza informatica:

  • CMMC di livello uno:
    • Processi: eseguiti
    • Pratiche: igiene informatica di base
  • CMMC di livello due:
    • Processi: documentati
    • Pratiche: igiene informatica intermedia
  • CMMC di livello tre: 
    • Processi: gestiti
    • Pratiche: igiene informatica buona
  • CMMC di livello quattro: 
    • Processi: revisionati
    • Pratiche: proattive
  • CMMC di livello cinque: 
    • Processi: ottimizzazione
    • Pratiche: proattive avanzate 

Il programma FedRAMP
Il programma federale di gestione dei rischi e delle autorizzazioni (FedRAMP) fornisce un approccio standardizzato alla valutazione della sicurezza, all'autorizzazione e al monitoraggio continuo di prodotti e servizi di cloud computing. FedRAMP sottolinea la sicurezza del cloud e la protezione delle informazioni federali quando le agenzie e i partner aziendali adottano soluzioni cloud. 

Il programma supporta i fornitori di servizi cloud con un processo di autorizzazione e gestisce un repository di autorizzazioni FedRAMP e pacchetti di sicurezza riutilizzabili. L'obiettivo è facilitare la collaborazione tra le agenzie governative con casi d'uso, soluzioni tattiche basate sul cloud e un mercato di appaltatori.

Tecniche di applicazione del framework ERM integrato

Refactr lavora con il Dipartimento della Giustizia e le agenzie governative che richiedono rigorosi framework di gestione dei rischi e pratiche di governance. Michael Fraser identifica il modo in cui l'applicazione del framework ERM e dei programmi di sicurezza di Refactr si mappa tra le partnership con il Dipartimento della Giustizia e i clienti delle aziende private. 

"In un certo senso, il Dipartimento della Giustizia è più rigoroso, ma a seconda del tipo di cliente, come un'azienda finanziaria, possono avere requisiti che sono alla pari con alcuni dei requisiti del Dipartimento della Giustizia", spiega Fraser. "Le diverse organizzazioni governative riconoscono diversi framework ERM, tra cui NIST e COSO. Anche i framework personalizzati possono soddisfare i loro standard di conformità ai rischi. 

"Che si tratti dell'Air Force o di un vendor di sicurezza informatica, c'è una serie di requisiti che devi essere in grado di fornire, con le informazioni per loro comprensibile, che verifica l'utilizzo di una sorta di framework di rischio. Un vendor di sicurezza informatica probabilmente lavora all'interno di più framework diversi. Il segreto è avere abbastanza informazioni per impartire la due diligence per un programma di sicurezza, cercando al contempo di rispettare le best practice del settore che si mappano a un particolare framework." 

Modelli di gestione continua dei rischi
Secondo Fraser, ci sono momenti nel tempo durante gli audit che utilizzano framework di conformità (come FedRAMP e SOC 2 Tipo 2) quando tutto si basa sull'integrità. 

"È qui che entra in gioco l'automazione", afferma Fraser. "Per aiutare a raggiungere una certa soglia di copertura automatica per un particolare framework. Si tratta di un processo di due diligence sufficiente e continuo, anche se ci saranno sempre alcuni passaggi manuali all'interno del framework di conformità."

Per Fraser, c'è una differenza tra cercare di spuntare tutte le caselle di un audit di conformità e avere una certa percentuale di copertura continua dell'automazione all'interno del tuo framework di gestione dei rischi e sicurezza.

Fraser evidenzia l'importanza della flessibilità e di una prospettiva che parta dal cliente. Chiediti: stai cercando uno standard difficile come il FedRAMP perché fornisce i più alti standard di conformità per un audit o è sufficiente il SOC 2 di tipo 2? "I clienti dicono 'Beh, sei conforme a FedRAMP è fantastico'," afferma. "Sono disposto a impegnarmi con te, anche se non hai SOC 2 di tipo 2, perché FedRAMP è più difficile, un livello più alto."

Fraser raccomanda alle aziende di riutilizzare una percentuale del proprio framework ERM personalizzato per le future esigenze interne e i criteri dei clienti. "Sapere di cosa hai bisogno a lungo termine è fondamentale per sapere cosa devi fare entro i prossimi 30, 90 o 180 giorni", afferma.

Tieni traccia e gestisci facilmente i componenti del framework ERM con Smartsheet

Potenzia il rendimento dei tuoi dipendenti con una piattaforma flessibile progettata per soddisfare le esigenze del tuo team e capace di adattarsi alle condizioni mutevoli del lavoro. La piattaforma Smartsheet semplifica la pianificazione, l'acquisizione, la gestione e la creazione di report sul lavoro da qualsiasi luogo, aiutando il tuo team a essere più efficace e ottenere di più. Crea report sulle metriche chiave e ottieni visibilità in tempo reale sul lavoro mentre accade con report di riepilogo, pannelli di controllo e flussi di lavoro automatizzati creati per mantenere il tuo team connesso e informato. Quando i team hanno chiarezza sul lavoro da svolgere, possono ottenere maggiori risultati in meno tempo. Prova Smartsheet gratuitamente, oggi.

Scopri perché oltre il 90% delle compagnie Fortune 100 si affida a Smartsheet per eseguire il proprio lavoro.

Ottieni modelli di Smartsheet gratuiti Get a Free Smartsheet Demo