Visita le nostre pagine

Che cos’è il rischio residuo?

Febbraio 24, 2022by admin0

Che cos’è il rischio residuo?

Il termine ‘rischio residuo’ è obbligatorio nel processo di gestione del rischio secondo la ISO 27001 , ma purtroppo è molto spesso usato senza apprezzare il vero significato del concetto.

Cos’è il rischio residuo?

Il rischio residuo è il rischio che rimane dopo il trattamento del rischio. Dopo aver identificato i rischi e mitigato i rischi che ritieni inaccettabili (cioè trattati), non eliminerai completamente tutti i rischi perché semplicemente non è possibile, quindi alcuni rischi rimarranno a un certo livello, quelli che rimangono sono rischi residui.

Il punto è che l’organizzazione deve sapere esattamente se il trattamento pianificato è sufficiente o meno.

I rischi residui vengono generalmente valutati nello stesso modo in cui si esegue la valutazione del rischio iniziale: si utilizza la stessa metodologia, le stesse scale di valutazione, ecc. La differenza è che è necessario tenere conto dell’influenza di chi sta effettivamente controllando (e di altri metodi di mitigazione), quindi quando la probabilità di un incidente è generalmente ridotta e talvolta anche l’impatto è minore.

 

Come è correlato al livello di rischio accettabile?

Abbiamo detto che lo scopo dei rischi residui è scoprire se il trattamento pianificato è sufficiente – la domanda è: come faresti a sapere cosa è sufficiente? È qui che entra in gioco il concetto di livello accettabile di rischio: non è altro che decidere quanta ‘propensione al rischio’ ha un’organizzazione, o in altre parole se il management pensa che sia giusto che un’azienda operi in un ambiente di rischio in cui è molto più probabile che accada qualcosa o la direzione desidera un livello di sicurezza più elevato che comporti un livello di rischio inferiore.

Entrambi gli approcci sono consentiti nella ISO 27001: ogni organizzazione deve decidere cosa è appropriato per le sue circostanze (e per il suo budget). Il primo approccio è probabilmente migliore per le startup ad alta crescita, mentre la lettera è solitamente perseguita dalle organizzazioni finanziarie. Questo a prescindere se poi vorrete certificarvi per la iso 13009, la SA8000 oppure la certificazione fpc.

Gestione del rischio residuo

Una volta che hai scoperto quali sono i rischi residui, cosa fai con loro? Fondamentalmente, hai queste tre opzioni:

  1. Se il livello di rischio è inferiore al livello di rischio accettabile, non fai nulla: la direzione deve accettare formalmente quei rischi.
  2. Se il livello di rischio è al di sopra del livello di rischio accettabile, è necessario scoprire alcuni nuovi (e migliori) modi per mitigare tali rischi, ciò significa anche che sarà necessario rivalutare i rischi residui.
  3. Se il livello di rischio è al di sopra del livello di rischio accettabile e i costi per ridurre tali rischi sarebbero superiori all’impatto stesso, allora è necessario proporre alla direzione di accettare questi rischi elevati.

Un modo così sistematico garantisce che la direzione sia coinvolta nel raggiungimento delle decisioni più importanti e che nulla venga trascurato.

Quindi il punto è che il top management deve sapere quali rischi dovrà affrontare la propria azienda anche dopo l’applicazione di vari metodi di mitigazione. Dopotutto, il top management non è solo responsabile dei profitti dell’azienda, ma anche della sua redditività.

Leave a Reply

Your email address will not be published. Required fields are marked *

SI Cert GroupSI Cert S.A.G.L
IDI CHE-101.575.373
SI Cert GroupSI Cert Italy S.r.l.
Partita IVA 05808840655
SI Cert GroupSI Cert Training Center S.r.l.s.
Partita IVA 05808880651

Copyright by SI Cert All rights reserved.

Copyright by SI Cert All rights reserved.

certificazioni iso