Che cos’è il rischio residuo?
Il termine ‘rischio residuo’ è obbligatorio nel processo di gestione del rischio secondo la ISO 27001 , ma purtroppo è molto spesso usato senza apprezzare il vero significato del concetto.
Il rischio residuo è il rischio che rimane dopo il trattamento del rischio. Dopo aver identificato i rischi e mitigato i rischi che ritieni inaccettabili (cioè trattati), non eliminerai completamente tutti i rischi perché semplicemente non è possibile, quindi alcuni rischi rimarranno a un certo livello, quelli che rimangono sono rischi residui.
Il punto è che l’organizzazione deve sapere esattamente se il trattamento pianificato è sufficiente o meno.
I rischi residui vengono generalmente valutati nello stesso modo in cui si esegue la valutazione del rischio iniziale: si utilizza la stessa metodologia, le stesse scale di valutazione, ecc. La differenza è che è necessario tenere conto dell’influenza di chi sta effettivamente controllando (e di altri metodi di mitigazione), quindi quando la probabilità di un incidente è generalmente ridotta e talvolta anche l’impatto è minore.
Come è correlato al livello di rischio accettabile?
Abbiamo detto che lo scopo dei rischi residui è scoprire se il trattamento pianificato è sufficiente – la domanda è: come faresti a sapere cosa è sufficiente? È qui che entra in gioco il concetto di livello accettabile di rischio: non è altro che decidere quanta ‘propensione al rischio’ ha un’organizzazione, o in altre parole se il management pensa che sia giusto che un’azienda operi in un ambiente di rischio in cui è molto più probabile che accada qualcosa o la direzione desidera un livello di sicurezza più elevato che comporti un livello di rischio inferiore.
Entrambi gli approcci sono consentiti nella ISO 27001: ogni organizzazione deve decidere cosa è appropriato per le sue circostanze (e per il suo budget). Il primo approccio è probabilmente migliore per le startup ad alta crescita, mentre la lettera è solitamente perseguita dalle organizzazioni finanziarie. Questo a prescindere se poi vorrete certificarvi per la iso 13009, la SA8000 oppure la certificazione fpc.
Gestione del rischio residuo
Una volta che hai scoperto quali sono i rischi residui, cosa fai con loro? Fondamentalmente, hai queste tre opzioni:
- Se il livello di rischio è inferiore al livello di rischio accettabile, non fai nulla: la direzione deve accettare formalmente quei rischi.
- Se il livello di rischio è al di sopra del livello di rischio accettabile, è necessario scoprire alcuni nuovi (e migliori) modi per mitigare tali rischi, ciò significa anche che sarà necessario rivalutare i rischi residui.
- Se il livello di rischio è al di sopra del livello di rischio accettabile e i costi per ridurre tali rischi sarebbero superiori all’impatto stesso, allora è necessario proporre alla direzione di accettare questi rischi elevati.
Un modo così sistematico garantisce che la direzione sia coinvolta nel raggiungimento delle decisioni più importanti e che nulla venga trascurato.
Quindi il punto è che il top management deve sapere quali rischi dovrà affrontare la propria azienda anche dopo l’applicazione di vari metodi di mitigazione. Dopotutto, il top management non è solo responsabile dei profitti dell’azienda, ma anche della sua redditività.
