Molte sono le verifiche che un organizzazione deve attuare per garantire il corretto rispetto delle normative di legge o di allineamento agli standard di mercato o di raggiungimento dei propri obiettivi di business. Spesso i risultati sono riportati solo ai vertici del processo interno che le ha eseguite senza una completa condivisione con gli altri processi aziendali. La ragione, si può intuire, sia dovuta all’assenza di un interesse comune, così come considerare di farlo, sia un costo privo di valore aggiunto.
Verosimilmente l’azienda già dispone di un grande dettaglio di dati di controllo raccolti per i più svariati motivi. Sicuramente sono utili, raccolti per leciti motivi, analizzati in dettaglio e se necessario, emessi i piani di contenimenti dei rischi e di conseguenza attuate le azioni correttive. Quindi, sembra tutto eseguito correttamente, ogni cosa conclusa come voluto ed a questo punto si può ricominciare il ciclo dei controlli. Questo sono esattamente le aspettative dell’azienda ma alcune domande potrebbero aprire un nuovo scenario. Quei dati raccolti, elaborati e conservati, potevano essere utilizzati anche in altri contesti aziendali? E se aggregati diversamente, acquisiscono nuovi significati?
Verrebbe da pensare che i sistemi di controllo applicati su processi strettamente verticali (piramidali, autonomi, con uno scopo ben preciso) hanno ancora dei margini di miglioramento se fossero in grado di identificare aree comuni di controllo (con diverse profondità di analisi) e di condivisione dei risultati tra i processi interni. Ciò porterebbe ad una raccolta dati più razionale, impegnando risorse senza spreco di tempo in ripetizioni di attività e la possibilità di ricavare un costo nullo nuove informazioni dalla base dati condivisa. Anche se verticali, i processi non devono essere flussi paralleli indipendenti tra loro ma prevedere interconnessioni, per condividere attività e dati, ogni volta che è possibile.
Diviene di interesse individuare un punto comune tra tutti. Un sistema che sia collettore per tutti i processi e sia idoneo a collaborare con tutti. Il candidato ideale è il Capability Maturity Model1 (CMM) (figura 1),che può essere applicato su tutti i controlli rilevanti. Questo modello rende possibile creare interazioni con tutti i processi proprio per la sua natura di metodologia di valutazione del grado formale di aderenza a delle soglie di attitudine crescente ad implementare le regole/attività assegnate. Valuta la capacità a raggiungere determinati livelli di abilità ad affrontare situazioni, a compiere azioni, a soddisfare requisiti e quindi è sufficientemente generale da essere applicabile a qualsiasi processo.
Il CMM è un metodo qualitativo basato sulla misura del progresso di livelli predefiniti di maturità crescente. I metodi numerici puri sono solo apparentemente esclusi e vedremo come integrarli. Ogni soglia qualitativa è sempre abbinata a valori numerici normalizzati tra 0 e 1 nonché a pesi per consentire di focalizzare maggiormente una soglia rispetto ad un’altra durante il consolidamento o per consentire l’estrazione di un grado numerico per la metrica considerata.
Il modello di maturità non è chiaramente sostitutivo di un metodo di valutazione numerica delle performance ma ne valuta la capacità a fornire una stima di bontà dei risultati della metrica quantitativa usata. Dà un giudizio sulla capacità del metodo numerico di fornire una valutazione di qualità ed in un certo senso, opera in modo complementare per ricavare ulteriori informazioni. Quindi, è un valore aggiunto sui metodi numerici adottati.
Modello di Maturità Basato sulle Attività
Operativamente il modello di maturità è rappresentato nella sua forma più semplice da un insieme di attività e dalle loro valutazioni. La maturità è un concetto che si presta a disegnare scenari evolutivi del business secondo varie prospettive, in conseguenza di come lo interpretiamo. Esprime solamente un metrica di valutazione della facoltà di completare un attività ma, con qualche dato in più, possiamo arrivare a stimare se ha le giuste capacità a raggiungere l’obiettivo assegnato. Più la maturità è elevata e minore sarà l’incertezza a raggiungere gli obiettivi. Questo è anche il modo di definire il rischio come riportato dalle definizioni di International Organization for Standardization (ISO) “effect of uncertainty on objectives” e “combination of the probability of an event and its consequence”2, 3 Quindi la maturità si può rapportare al rischio ma non solo.
Consideriamo l’opposto della capacità, allora abbiamo un misuratore di incapacità ossia di (indesiderata) abilità a creare falle in un sistema di gestione. Diviene semplice ricalcolarlo come metrica di vulnerabilità ed avere immediatamente una panoramica delle tematiche da affrontare per creare un pratico piano di miglioramento operativo.
Un altro modo di vedere il CMM è la sua collocazione. E’ l’anello di congiunzione tra il mondo operativo suddiviso tra i vari processi ed il mondo dei controlli (figura 2).4, 5, 6, 7 Questo anello è dinamicamente costruito secondo le logiche della collaborazione tra processi (con tecniche Agile) per creare valore tramite una razionale ridistribuzione dei compiti.
Come Creare il CMM
La creazione del CMM comincia con le attività. L’attività è una regola operativa definita dall’azienda, in concorrenza a molte altre regole, per soddisfare gli obiettivi di business. L’insieme delle valutazioni di tutte le attività interne all’azienda è visto anche come un modo di controllare il corretto andamento del business. Quindi “attività” è interscambiabile con parole similari quali, “controllo”, “azione” e “contromisura”. Questo dualismo tra azioni che si svolgono e controlli sull’azione svolta, formano un legame tra il mondo delle operazioni e quello dei controlli.
L’insieme di tutte queste attività costituisce la lista dei controlli del modello di maturità. L’identificazione di quali controlli inserire nel modello è un processo iterativo abbastanza semplice. Il primo passo è l’individuazione di tutte le regole alle quali deve sottostare il business per rispettare la propria missione (ossia, l’insieme delle principali leggi che condizionano il business, le clausole imposte dai clienti, gli standard di mercato adottati, gli obiettivi scelti, il codice di condotta, le policy e le procedure interne).
I passi iterativi seguenti servono a raffinare l’insieme dei controlli. Dopo ogni valutazione, in funzione dell’emergere di una necessità di maggior dettaglio o di un diverso orientamento del business, i singoli controlli possono essere rivisti con l’introduzione di nuovi, con lo sdoppiamento di esistenti, o con la modifica del significato, o la cancellazione definitiva.
La logica dominante è quella dei processi Agile8 ben riassunta nei principi guida dell’ITIL 49 Non ci può essere timore nel cambiare il modello. L’adattabilità è parte integrante di ogni passo del processo iterativo. Ogni iterazione cerca di migliorare la precedente per aver un modello di maturità sempre più allineato al contesto del business.
Non ci si deve attendere di avere tutto a posto per la partenza ma piuttosto si parte con quello che esiste e poi in modo incrementale si ottimizza il modello solo con le risorse disponibili al momento. Accelerare il processo significa impegnare più risorse, la velocità dell’iterazione dipende dalle risorse che l’azienda decide di impegnare. La frequenza del monitoraggio si determina massimizzando il beneficio nell’equilibrio tra costo e qualità del dato. Questa decisione si basa sempre sui risultati dell’analisi di rischio.
Valutazione del CMM
Il CMM non può essere valutato in modo rigoroso dalla sola maturità. Altre informazioni devono essere considerate per arrivare ad avere una visione esaustiva su tutti i suoi fattori di rischio. La maturità è la base della valutazione ma si deve integrare con la conoscenza della capacità a migliorarla o meno. In aggiunta alla capacità di realizzare una attività, si deve considerare l’eventuale impatto nel caso non si arrivi al risultato previsto, la probabilità dell’accadimento dell’evento peggiore e lo stato di avanzamento di un piano correttivo.
La metodologia di valutazione più semplice, da adottare per la raccolta delle informazioni, è quella qualitativa coinvolgendo esperti dell’argomento in questione. Questi esperti della materia hanno la giusta percezione per stimare il corretto livello raggiunto nell’implementazione dell’attività e altre informazioni a contorno di essa. La valutazione qualitativa è sempre completata da degli attributi (nascosti all’utente) di carattere numerico per consentirne un agevole consolidato secondo ogni livello di aggregazione desiderato.
La maturità si valuta per tramite di una griglia di possibili livelli predefiniti di implementazione (figura 3). Servono a dichiarare il puro livello di completamento dell’attività. Ogni livello è corredato da attributi numerici per consentire un veloce consolidamento. Tra questi si deve inserire almeno il proprio punteggio numerico e un valore per pesare il livello di rischio connesso. Gli elementi inseriti, come pure gli attributi numerici, sono oggetto di variazione periodica per meglio focalizzare l’attenzione dei risultati ottenuti su specifici eventi.
È più semplice richiedere l’impatto come grado di perdita attesa rispetto al valore intrinseco dell’entità in valutazione (figura 4). E’ un modo abbastanza semplice per raccogliere l’informazione in quanto è vicino al modo di pensare della persona operativa coinvolta nella valutazione. L’esperto della specifica tematica in osservazione ha sicuramente dimestichezza con l’argomento, il suo valore e le conseguenze in caso di evento negativo. Questo garantisce sulla alta qualità del dato raccolto.
La possibilità che l’evento negativo accada è misurata con cinque livelli(figura 5). Aumentare i livelli non produce beneficio nella qualità del risultato. È comunque una valutazione approssimativa basata sulla sensibilità ed esperienza individuale. Di più non è necessario perché si tratta di predizioni del futuro che intrinsecamente non produrranno mai risultati certi. L’errore si ammortizza nel consolidato dalla presenza di valutatori con differenti propensioni per il rischio che tendono a convergere verso un punto di equilibrio tra ottimisti e pessimisti.
Lo stato di avanzamento delle attività correttive (figura 6) registra il livello di attuazione delle azioni pianificate. E’ concettualmente lo stato attuale del piano di implementazione delle contromisure identificate per riportare il livello di rischio sotto la soglia di accettazione del rischio stesso. La fine del piano coincide con lo stato accettabile del rischio come stabilito nella analisi del rischio mentre questa valutazione dà un’indicazione della capacità di raggiungere lo stato desiderato.
Come il CMM è alimentato
Gli indicatori che formano il modello di maturità sono i risultati della metrica che determina il livello di maturità delle attività riguardanti gli obiettivi aziendali. Possono anche essere chiamati indicatori chiave di maturità (KMI) per ben identificare questi elementi che valutano specificatamente la maturità da tutti gli altri indicatori aziendali.
Un KMI viene generalmente alimentato manualmente tramite una auto-valutazione da parte dell’owner dell’attività stessa. Ci sono poi degli ulteriori gradi di verifica per certificare l’accuratezza della valutazione. Il primo livello è quello dei responsabili centrali del processo ove l’attività è collocata. Un ulteriore livello è attuato dalle visite di revisione on-site tramite interviste ed osservazione. Il livello superiore è un internal audit10 tche attuerà la verifica al massimo dettaglio.
Ci sono almeno due ulteriori possibilità di aggiungere delle valutazioni nel modello di maturità. Uno è derivato dai sistemi di monitoring e reporting aziendali sulle prestazioni dei processi e l’altro è derivato dal catalogo dei rischi aziendali gestita dal processo di enterprise risk management (ERM)11. Il primo è possibile automatizzarlo completamente in quanto gestito da un sistema di elaborazione dati, mentre il secondo dipende dallo strumento usato per la gestione dei rischi (ossia semi-automatico).
I sistemi di reporting ed i sistemi di monitoring dei processi aziendali sono ricchi di metriche usate per determinare numericamente le prestazioni di specifiche azioni o elementi. Gli indicatori principali sono detti key performance indicators (KPI) e sono generalmente prodotti in automatico all’interno di sistemi dedicati e differenti tra loro. Il metodo che si usa per legare un KPI ad un KMI è quello di creare una parafrasi della frase dell’indicatore di performance in modo di ricavarne una dichiarazione di controllo.
Ad esempio, nel processo di qualità ci potrebbe essere un KPI del tipo “difettosità del prodotto finito...,” che potrebbe essere associabile ad un KMI del tipo “il prodotto finito…è conforme ai requisiti cliente”. Una regola di conversione è usata per mappare gli stati del KPI in stati del KMI. Probabilmente le frequenze di aggiornamento tra KPI e KMI sono dissimili ma non è un problema. Semplicemente, ad ogni iterazione, le migliori informazioni divengono disponibili in quel momento. Utilizzando una tecnologia robotic process automation (RPA) il lavoro viene svolto con assoluta accuratezza, con basso costo e nel tempo desiderato.
Il catalogo dei rischi aziendali riflette l’insieme delle paure dell’azienda rispetto all’incertezza di raggiungere i propri obiettivi. Il rischio è valutato con metriche differenti (rischio finanziario è generalmente numerico mentre quello operazionale è qualitativo) e spesso con processi non automatici. I principali risultati dell’analisi sono detti key risk indicator (KRI) e molti sono legati ad attività specifiche. Il trasferimento della valutazione di rischio in una valutazione di maturità di un controllo (o viceversa) è sempre possibile perché è una corrispondenza di tipo uno a uno.
Ad esempio, un rischio incluso nella business continuity potrebbe essere un KRI del tipo “rischio di mancata efficacia delle misure di prevenzione fuoco” che potrebbe essere associabile ad un KMI del tipo “le misure di prevenzione del fuoco sono allineate agli obiettivi di business”. Lo stato del KRI (figura 7) e del suo piano d’azione è mappati in uno stato del KMI secondo una prefissata relazione di corrispondenza durante l’importazione nel modello di maturità. Non sarà quindi un processo di importazione completamente automatico se la sorgente dati è un semplice foglio elettronico ma il processo di conversione e caricamento sarà comunque aiutato da appositi script.
I livelli del rischio hanno un valore numerico tra 0 e 1. Il livello di rischio si può calcolare sia tramite una matrice di rischio che mediante la semplice moltiplicazione dei tre fattori valutati, ossia, maturità, impatto e probabilità. La matrice consente la massima libertà nella trasformazione ma è pur sempre una matrice che necessita manutenzione nel tempo. La moltiplicazione è sicuramente la soluzione più semplice ma tende ad addensare i valori numerici verso lo zero richiedendo poi una trasformazione non lineare per facilitare la visualizzazione grafica dei punti. Il risultato è un distanziamento uniforme delle etichette del rischio sulla superfice dei grafici con un amplificazione dei valori vicino allo zero e una compressione verso il valore uno (figura 8).
Chi Gestisce il CMM?
E’ necessario stabilire chi nell’azienda dovrebbe gestire il modello di maturità. La scelta ovvia è di ricorrere ad un processo già esistente andando a rivedere le responsabilità e le relazioni con gli altri processi. In relazione allo schema di risk governance12 (figura 9), si può facilmente individuare il processo di enterprise risk monitoring come scelta più idonea. Questo processo si trova già in contatto con operazioni e processi di business e raccoglie i fattori di rischio operativi. Produce anche un reporting che può essere esteso a soddisfare le necessità di altri dipartimenti quali ad esempio, l’internal audit.
Source: ISACA®, CRISC™ Review Manual 6th Edition, USA, 2015
Il processo di enterprise risk monitoring deve essere migliorato per quanto riguarda le relazioni formali con tutti i dipartimenti che attuano controlli in azienda. E’ necessaria una attenta suddivisione di compiti focalizzata ad incrementare la collaborazione tra i processi coinvolti nei controlli interni (figura 10). Aree di collaborazione tra processi sono, ad esempio, controlli comuni o con diverso focus o condivisione di propri sottoprocessi con processi a maggiori competenze o risorse. Aumentare la collaborazione fa emergere sinergie, aumenta la qualità del lavoro e conseguentemente accresce anche la fiducia nei risultati dei processi interni.
Ad esempio, consideriamo alcune attività del processo di qualità o di information security che siano aderenti agli standard ISO e che sono state individuate come controlli rilevanti nel CMM. Allora, l’audit di questi controlli può essere fatta congiuntamente da revisori interni al processo qualità o di information security come esperti della tematica e con la supervisione on-site del risk monitoring officer che garantisce l’indipendenza di giudizio. Usando come paragone la composizione del team di audit come descritto nella norma ISO 1901113113 c’è una ragionevole giustificazione su questo modo di procedere.
I revisori dei processi qualità e information security non sono veri auditor se agiscono da soli (appartengono al processo sottoposto ad audit) ma lo diventano se il loro lavoro è sottoposto a verifica indipendente. Sono ingaggiati come esperti sotto la coordinamento del risk monitoring officer (lead auditor). Questa garantisce l’obiettività dell’audit in quando è indipendente dai processi ed orientato solo all’attività di analisi e controllo. Quindi, garantisce sul lavoro di verifica, supervisionandolo per tramite di due tecniche di audit: l’intervista e l’osservazione. In tal modo l’intera revisione viene certificata e l’internal audit può inserirla nel proprio registro degli audit. Questa sinergia migliora il perimetro di audit senza dedicare personale aggiuntivo.
Il metodo descritto alleggerisce il processo di internal audit; ad ogni modo il successo dipende dalla struttura organizzativa dell’azienda. Questo metodo richiede la presenza di personale di controllo, interno ai processi in verifica, per collaborare con il risk monitoring. Inoltre vanno individuati gli opportuni ambiti di controllo che possono essere gestiti in questo modo, lasciando al processo di internal audit gli interventi che richiedono uno sforzo dedicato e specialistico come ad esempio la verifiche contabili. Con le giuste risorse disponibili si riesce a coprire tutti gli eventi che aiutano il raggiungimento degli obiettivi di business.
Dove agire per rappresentare efficacemente i risultati
Dopo aver collocato il CMM come congiunzione tra il mondo operativo e quello del controllo è opportuno rivedere anche le modalità di presentazione dei risultati delle analisi di rischio. E’ utile poter usufruire del valore aggiunto delle informazioni aggiuntive derivate dalla valutazione della maturità. Va notato che si viene a creare un naturale parallelismo tra la vulnerabilità ed il rischio ed inversamente con la maturità. La vulnerabilità di un controllo è una metrica più intuitiva nel correlare la gravità della valutazione con l’operatività che la causa anziché farlo tramite la pura conoscenza del rischio.
A grafico a bolle a dispersione può essere usato efficacemente per riassume i fenomeni del rischio assieme alla maturità dei controlli14 Il grafico deve essere simmetrico sulle ordinate per distinguere i fattori interni da quelli esterni perché ragionevolmente hanno responsabilità di presa in carico del problema su due differenti livelli organizzativi. I fattori interni sono generalmente operativi e possono essere trattati localmente con attribuzione responsabilità sulla gestione del rischio, i fattori esterni sono attribuiti organizzativamente ad una gestione centrale e pertanto non trattabili localmente.
Ogni rischio dovrà avere tutti i suoi controlli distribuiti sul grafico, ciascuno con un doppia valutazione, la maturità raggiunta dal controllo stesso ed il rischio di non compensare le eventuali debolezze riscontrate. La lettura del grafico è abbastanza semplice perché sono solo due le informazioni che devono essere identificare, ossia se il rischio deve essere trattato e in che ordine vanno trattati. Non è necessario leggere alcun valore numerico ma solo di identificare la relativa posizione nel grafico ed il colore/forma della bolla per avere informazioni sulla gravità del rischio.
La posizione fornisce la prima risposta. Se la bolla del controllo o del rischio è distante dal livello di ammissibilità del rischio, questo deve essere trattato sempre finché non sarà accettabile.15 La seconda risposta è legata al colore della bolla che rappresenta lo stato di avanzamento del piano delle azioni correttive di trattamento del rischio. Le bolle dei rischi più elevati (distanza) con piani di azioni di rischio indefinito (colore/forma) vengono prima rispetto ai rischi con un piano di rimedio efficace. Ulteriori informazioni si ottengono espandendo la bolla e visualizzando il dettaglio. Poiché il grafico è digitale, l’utente può esplodere il dato e concentrarsi sui dettagli. È meglio lavorare sempre su un grafico attivo e mai sulla carta.
La azioni correttive sono in carico ai control owner. Quindi, identificato il rischio da trattare, l’attività del risk manager sarà quella di contattare il control owner, identificato dal tipo di controllo e dal diagramma organizzativo dell’entità valutata, e concordare le modifiche al piano di rischio per rientrare nei parametri permessi. Se viene adottato un modello organizzativo basato sul CMM, il processo di ERM può concentrarsi solo sui rischi che richiedono una valutazione specifica numerica. Tutti gli altri rischi possono essere ricavati automaticamente mediante una valutazione qualitativa basata sull’aggregazione delle vulnerabilità operative.
Conclusioni
Facendo convergere tutti i processi del controllo interno sul CMM, favorendo una politica di collaborazione effettiva tra i processi per eliminare eventuali ridondanze ed agendo con continuità per semplificare l’organizzazione complessiva della catena di comando operativa e di controllo dell’attuazione, si riesce ad aumentare il valore del controllo, sia per le evidenti sinergie che per l’aumentata qualità attesa delle informazioni dovuta alla continua correzione iterativa insita nel processo stesso di controllo.
Un unico punto di raccolta di tutti i controlli rilevanti per un’azienda è un suo effettivo punto di forza. L’aumentata visibilità di tanti differenti indicatori e la facilità di poterli utilizzare in analisi o nella creazione di allarmi di mancata attuazione degli obiettivi di processo, aiuta il controllo interno migliorandone la capacità e l’efficacia nell’attuazione degli interventi correttivi. Avere tante informazioni è utile, ma avere la possibilità di usarle con facilità è il vero vantaggio.
Quando consideriamo il fattore tempo, poiché la valutazione di maturità seguirà presumibilmente la frequenza del processo più veloce, tutti i processi avranno per tempo le informazioni che servono sempre aggiornate. I costi sono attesi in riduzione per la diminuita ridondanza tra i processi che consente anche una maggior produttività. La qualità delle informazioni migliora perché il rischio è intrinsecamente collegato ai controlli (tramite il CMM) ed i controlli sono valutati direttamente dai control owner che rappresentano la miglior fonte di informazione.
Quindi, processi iterativi, collaborazione tra processi interni, semplificazione ad ogni revisione organizzativa ed avere un singolo punto di convergenza del controllo interno, dovrebbe essere garanzia nel tempo anche dell’efficacia del monitoraggio del modello di risk management per tramite della valutazione della maturità dei controlli e l’attività di internal audit estesa a tutti i fattori di rischio individuati e non solo a quelli finanziari.
Endnotes
1 CMMI Institute, https://cmmiinstitute.com/
2 International Organization for Standardization (ISO), ISO Guide 73:2009 Risk management—Vocabulary, Switzerland, 2016, https://www.iso.org/standard/44651.html
3 International Organization for Standardization (ISO), ISO 31000 Risk Management, Switzerland, 2018, https://www.iso.org/iso-31000-risk-management.html
4 Sbriz, L.; “Enterprise Risk Monitoring Methodology, Part 1,” ISACA® Journal, vol. 2, 2019, www.isaca.org/archives
5 Sbriz, L.; “Enterprise Risk Monitoring Methodology, Part 2,” ISACA Journal, vol. 2, 2019, www.isaca.org/archives
6 Sbriz, L.; “Enterprise Risk Monitoring Methodology, Part 3,” ISACA Journal, vol. 6, 2019, www.isaca.org/archives
7 Sbriz, L.; “Enterprise Risk Monitoring Methodology, Part 4,” ISACA Journal, vol. 3, 2020, www.isaca.org/archives
8 Manifesto for Agile Software Development, “Principles Behind the Agile Manifesto,” https://agilemanifesto.org/principles.html
9 Symeonides, M.; “The Seven Guiding Principles of ITIL 4,” Axios Blog, 2 January 2020
10 Institute of Internal Auditors North America, Standards and Guidance—International Professional Practices Framework (IPPF), USA, July 2015, https://na.theiia.org/standards-guidance/
11 Committee of Sponsoring Organizations of the Treadway Commission (COSO), Enterprise Risk Management—Integrated Framework: Executive Summary, USA, September 2004, https://egrove.olemiss.edu/cgi/viewcontent.cgi?article=1037&context=aicpa_assoc
12 ISACA®, CRISC Review Manual 6th Edition, 2015, https://www.isaca.org/resources
13 International Organization for Standardization (ISO), ISO 19011:2018, Guidelines for auditing management systems, Switzerland, 2018, https://www.iso.org/standard/70017.html
14 Op cit, Sbriz, 2020
15 Op cit ISO 31000 Risk Management
Luigi Sbriz, CRISC, CISM, CDPSE, ISO/IEC 27001 LA, ITIL v4, UNI 11697:2017 DPO
È il responsabile del monitoraggio dei rischi presso un’azienda multinazionale del settore automotive da oltre cinque anni. In precedenza, è stato responsabile della gestione dei servizi e delle risorse ICT nell’area Asia-Pacific (Cina, Giappone e Malesia) e, prima ancora, è stato responsabile della sicurezza delle informazioni a livello mondo per più di sette anni. Per quanto attiene al monitoraggio interno del rischio, ha sviluppato una metodologia originale unendo un’analisi del rischio operativo con una conseguente valutazione del rischio guidata dal livello di maturità dei processi. Inoltre, ha progettato uno strumento di cyber monitoring e un sistema integrato per monitoraggio del rischio, modello di maturità e audit interno. Sbriz è stato anche consulente per sistemi di business intelligence per parecchi anni. Può essere contattato direttamente su https://it.linkedin.com/in/luigisbriz or at http://sbriz.tel.