Misurabilità della cultura del rischio

La cultura del rischio¹ è un asset dell’azienda che deve essere stabilito, gestito e misurato, come qualsiasi altro processo interno. La cultura del rischio si riferisce al sistema di convinzioni, valori, attitudini e comportamenti che caratterizzano un'organizzazione e che danno forma all'approccio collettivo alla gestione del rischio ed al processo decisionale. La propensione al rischio² , ossia la volontà ad affrontare o accettare il rischio, è un elemento intrinseco dell’azienda in quanto legato alla sensibilità del senior management verso quei fenomeni che possono interessare quotidianamente il raggiungimento degli obiettivi di business. L’applicazione pratica dei metodi per affrontare il rischio è l’espressione tangibile della cultura aziendale, il cui effetto è quanto deve essere misurato per poter confrontare tra loro le differenti capacità di gestione del rischio. La propensione al rischio deve essere dichiarata a priori dal senior management ed è il fondamento della costituzione del sistema di gestione del rischio³ .

La cultura del rischio può condizionare il processo decisionale con delle scelte non basate sul livello di rischio che hanno la capacità di originare delle vulnerabilità.

Il modo di implementare il sistema è condizionato dalla cultura dell’impresa, mentre l’efficacia dell’implementazione viene riepilogata nel profilo di rischio⁴ , costruito adottando un framework opportuno. Nel caso del rischio di cybersecurity un ottimo esempio di metodologia applicabile è il NIST CSF 2.0⁵ . Diversamente dal profilo, la cultura del rischio si rivela più difficile da definire in modo preciso ed univoco e questo comporta una sicura complessità nel misurare direttamente la cultura. Così invece risulta più semplice applicare un approccio indiretto, ossia valutare processi o elementi misurabili che possono caratterizzare la cultura. In particolare, quelli che nel sistema di gestione del rischio potrebbero influenzare i processi decisionali in modo non oggettivo, che significa non basarsi sull’evidenza dei fatti e questo modo di agire comporta interventi di contrasto al rischio non efficaci. L’efficacia è un elemento misurabile.

La cultura del rischio può condizionare il processo decisionale con delle scelte non basate sul livello di rischio che hanno la capacità di originare delle vulnerabilità. Identificando queste vulnerabilità ed associandole a specifiche aree della cultura del rischio, possiamo determinare le aree dove intervenire per il miglioramento. Per la misura della cultura del rischio, mancando una natura materiale, tangibile, concreta, è necessario adottare metodi di valutazione di tipo qualitativo e sicuramente il modello di maturità delle capacità (CMM)⁶ è la prima scelta da considerare come adatta allo scopo. Le aree della cultura del rischio che dovrebbero essere valutate, sono da ricercarsi tra le attività di governo dei processi di business che maggiormente risentono dei comportamenti decisionali soggettivi del senior management.

Modello di maturità applicabile alla cultura del rischio

La valutazione della vulnerabilità di un azione è inversamente correlata alla valutazione della maturità di implementazione di quell’azione. Mentre la maturità rappresenta il grado di raggiungimento dell’obiettivo prefissato, la vulnerabilità rappresenta in modo complementare quanto manca all’obiettivo. Inoltre, qualsiasi metodologia venga adottata, non può limitarsi a esporre solo delle etichette di misura del livello di maturità, ma è necessario avere anche una base numerica sufficientemente ampia da poter rappresentare le valutazioni cicliche come una sequenza nel tempo per comprendere quali aree sono da migliorare. La precisione numerica non è necessario sia elevata proprio perché gli indicatori vanno analizzati secondo la tendenza del fenomeno e non tramite il loro valore assoluto.

Nella scelta dei livelli di maturità da utilizzare, sono preferibili quelli che danno un senso di come i comportamenti evolvano da posizioni di completo disinteresse verso la piena consapevolezza dei benefici a seguire un determinato piano d’azione. La capacità a comportarsi in modo progressivamente più consapevole dei rischi è ciò che verrà valutato. I livelli di maturità⁷ della cultura del rischio potrebbero essere i seguenti:

1. Vulnerable: esprime un comportamento privo di attenzione o di fiducia verso le tematiche della gestione del rischio; accettazione del rischio incidenti anziché preven ire; nessuna pianificazione.
2. Reactive: esprime poca attenzione alla prevenzione ed alla ricerca delle cause che portano agli incidenti decidendo secondo una logica di costo minimo; ricerca dei colpevoli anziché delle cause; attenzione alle prestazioni.
3. Compliant: esprime un atteggiamento basata sulla paura delle conseguenze con un approccio al rischio formale e guidato dalle normative; prevenzione guidata del timore del danno; attenzione alla conformità.
4. Proactive: esprime una consapevolezza sull’importanza di gestire il rischio con una vista olistica sui processi interni fornendo adeguata prevenzione; prevenzione guidata dalla consapevolezza del rischio; pianificazione basata sul rischio.
5. Resilient: esprime un modo di vivere il rischio con consapevolezza delle conseguenze, necessità di cooperazione ed integrazione tra i processi, trasparenza e condivisione dei risultati; proattività e miglioramento continuo basato sul rischio; decisioni sempre basate sul rischio.

Ogni singolo livello non si valuta in modo binario, ossia come “niente” o “raggiunto”, ma tramite il grado di adeguatezza raggiunto secondo una progressione crescente di specifici risultati ottenuti verso la piena maturità di comportamenti e di consapevolezza delle conseguenze. Il grado di maturità è facilmente valutabile tramite una scala percentuale da un minimo ad un target.

Matrice di valutazione della cultura del rischio

Tutte le considerazioni fatte finora possono essere sintetizzate ed organizzate in una matrice (figura 1) per rendere misurabile il livello di cultura del rischio di un’impresa. Le capacità che deve esprimere l’impresa nella gestione del rischio sono poste sulle righe della matrice mentre i livelli di maturità sono posti sulle colonne. All’interno delle celle è inserito del testo sintetico e descrittivo dell’obiettivo di maturità rappresentato dalla cella. La valutazione procede per righe in modo progressivo, da una colonna alla seguente con livello di maturità crescente solo quando il target della cella è stato raggiunto. Non è una valutazione assoluta del grado di maturità della cella ma il risultato della ponderazione dei vari fenomeni osservati per quell’area e per quel livello di maturità.

Sotto il titolo nell'immagine è riportata la valutazione complessiva di maturità della cultura del rischio. Per ogni valutazione di maturità è utile inserire un’icona, o altro simbolo grafico, che aiuti a dare evidenza ai risultati della sequenza ciclica delle valutazioni. Così, su ogni riga della matrice, l’icona fornisce una serie di informazioni rispetto alla precedente valutazione. Ad esempio, i seguenti fenomeni potrebbero essere rappresentati in modo visuale dalle icone: il raggiungimento o superamento dell’obiettivo prefissato (verde o blu), oppure un risultato migliore del precedente ma sotto l’obiettivo (giallo) o inferiore al risultato precedente (rosso), oppure approssimativamente invariato (arancio). Su delle colonne nascoste vanno conservati i valori della valutazione precedente e l’obiettivo di miglioramento prefissato per ciascuna riga.

Aree comportamentali nella valutazione della cultura del rischio

L’idea per stabilire quali aree dell’organizzazione includere in una valutazione della cultura del rischio è abbastanza semplice. Devono essere a controllo diretto del senior management, avere un impatto significativo sull’efficacia della gestione del rischio ed essere esposte a potenziali decisioni manageriali soggettive ossia non basate sul rischio. Queste aree possono dimostrarsi degli ostacoli ad un adeguato trattamento del rischio, anziché degli abilitatori. Di seguito un elenco di aree identificate con le caratteristiche citate.

Comunicazione: capacità di condividere le informazioni corrette con i destinatari appropriati

Obiettivo: L’area della comunicazione organizzativa deve garantire l’efficace condivisione di informazioni utili a comprendere, valutare e gestire il rischio evitando comportamenti del management di scarsa fiducia verso le metodologie adottate e conseguenti decisioni basate su convinzioni personali o paura a condividere apertamente informazioni con le parti interessate.

1. Vulnerable: significa l’assenza di un sistema di comunicazione formale o la presenza di una comunicazione organizzativa non strutturata che risulta evidentemente inadeguata alle necessità.
2. Reactive: significa la presenza di un sistema di comunicazione formale, non proattivo ma solo reazione su richiesta o evento, con circolazione limitata all’indispensabile, senza una vera volontà di condividere pienamente le informazioni sui rischi.
3. Compliant: significa un atteggiamento basata sulla paura delle conseguenze della comunicazione, con un approccio formale localizzato e guidato solo dalla necessità di conformità alle normative, ossia comunicare quando imposto e solo l’indispensabile.
4. Proactive: significa una piena consapevolezza dell’importanza di gestire il rischio con una visione olistica ed aperta a tutti i processi interni interessati, fornendo una comunicazione tempestiva, esauriente ed affidabile.
5. Resilient: significa un modo di vivere il rischio con piena consapevolezza delle conseguenze, promuovendo la cooperazione tra i processi e la condivisione dei risultati del controllo, anche se gli stakeholder sono esterni.

Conseguenze: Una comunicazione strutturata gioca un ruolo fondamentale nel mantenere aggiornate ed attendibili le informazioni sulle vulnerabilità tra tutti gli stakeholders, senza pregiudizio, anche se esterni all’organizzazione. La mancata condivisione di informazioni necessarie a qualche soggetto interessato può inibire il processo ciclico di miglioramento del sistema di gestione del rischio fino al suo fallimento.

Formazione: capacità di fornire le conoscenze necessarie a tutte le persone coinvolte

Obiettivo: L’area di continuità della formazione del personale impegnato nei processi di business non deve essere condizionata da comportamenti manageriali basati su logiche di eccesso nella riduzione dei costi bensì di adeguatezza della formazione a necessità specifiche anziché generalizzate.

1. Vulnerable: significa la mancanza di un processo di formazione strutturato perché la formazione è ritenuta un puro costo.
2. Reactive: significa la mancanza di un processo di formazione strutturato ma con disponibilità ad affrontare le richieste specifiche o le emergenze di formazione.
3. Compliant: significa la presenza di un processo di formazione strutturato di raccolta delle necessità per dipartimento sulla base di requisiti di conformità alle norme vigenti.
4. Proactive: significa la presenza di un processo di formazione strutturato di raccolta sistematica delle necessità, con pianificazione effettiva ed erogazione della formazione ma risultati non misurati.
5. Resilient: significa la presenza di un processo di formazione strutturato che incentiva al miglioramento gli individui e con valutazione dei risultati conseguiti.

Conseguenze: La formazione gioca un ruolo fondamentale a mantenere efficiente l’operatività complessiva ed il necessario interscambio di informazioni tra tutti gli stakeholders. La conoscenza e comprensione delle regole di funzionamento e controllo del business permette al management di allocare correttamente le risorse ed a quest’ultime di operare in modo corretto, evitando inefficienze o errori. Una valutazione dell’effettivo apprendimento ed una registrazione dei risultati conseguiti completano il processo di formazione, consentendo in tal modo il monitoraggio complessivo del processo formativo.

Incidenti: capacità di comprendere il rischio ed agire sulle questioni del contesto operativo

Obiettivo: L’area della gestione degli incidenti assicura la continuità operativa dei processi di business e l’erogazione dei servizi necessari, richiedendo una costante partecipazione del management nel processo di identificazione delle risorse critiche da tutelare e delle decisioni sull’adeguatezza delle misure di protezione da implementare.

1. Vulnerable: significa l’assenza di pianificazione ed il timore a rendere noti gli incidenti.
2. Reactive: significa l’assenza di pianificazione e la ricerca del presunto colpevole anziché indagare sulle cause dell’incidente.
3. Compliant: significa la presenza di pianificazione limitata ai processi soggetti a qualche conformità normativa e l’adozione formale di metodologie.
4. Proactive: significa la ciclica pianificazione della continuità operativa complessiva, l’adozione centrale di metodologie e la ricerca delle cause degli incidenti che avvengono.
5. Resilient: significa il coinvolgimento di tutti gli stakeholder, anche esterni, nella pianificazione, monitoring, reporting, ricerca delle cause e condivisione nell’ecosistema.

Conseguenze: Una pronta ed efficace risposta agli incidenti richiede una pragmatica organizzazione basata su pianificazione e verifica di efficacia delle misure stabilite. Il coinvolgimento del management è fondamentale per garantire il coordinamento, scegliere le risorse opportune e fornire tempestive decisioni basate sul rischio. La pianificazione deve garantire il controllo del fattore tempo nella determinazione e dichiarazione dell’incidente, in quanto fondamentale per l’efficacia della risposta ed il contenimento della propagazione dell’incidente.

Investimenti: capacità di fornire risorse adeguate a soddisfare ogni esigenza

Obiettivo: L’area degli investimenti necessari al reperimento delle risorse identificate nel piano di trattamento del rischio non deve essere influenzata da comportamenti manageriali soggettivi che potrebbero seguire logiche di pura riduzione dei costi anziché perseguire il raggiungimento di un buon compromesso tra costo ed immancabile beneficio.

1. Vulnerable: significa l’assenza della raccolta delle necessità, di mancanza della pianificazione o del reperimento delle risorse
2. Reactive: significa la conoscenza delle necessità e la pianificazione degli investimenti ma secondo una logica prevalente di puro contenimento costi.
3. Compliant: significa la conoscenza delle necessità e la pianificazione degli investimenti purché imposti dalla conformità alle normative.
4. Proactive: significa la conoscenza delle necessità e la pianificazione degli investimenti limitatamente alle esigenze di trattamento del rischio elevato.
5. Resilient: significa la conoscenza delle necessità e la pianificazione degli investimenti seguendo le esigenze del piano di trattamento del rischio.

Conseguenze: Gli investimenti sono fondamentali per reperire le risorse necessarie ad una efficace implementazione delle misure di trattamento del rischio. Se queste risorse vengono percepite dal management come puri costi, allora è necessario agire sulla presentazione dei risultati della valutazione del rischio per migliorare la comprensione dell’ampiezza delle conseguenze sugli asset critici. La piena consapevolezza delle conseguenze è la base per analizzare le opzioni su come affrontare il rischio e decidere un coerente piano investimenti.

Responsabilità: capacità di stabilire e monitorare adeguatamente ruoli e responsabilità

Obiettivo: L’area dell’organizzazione aziendale stabilisce le modalità di funzionamento dei processi di business, l’assegnazione di ruoli operativi e di controllo, l’attribuzione delle responsabilità di ciascun ruolo e le modalità per monitorare i processi e per valutare l’efficacia rispetto agli obiettivi di business.

1. Vulnerable: significa la mancanza di una adeguata organizzazione o una attribuzione non formale di responsabilità.
2. Reactive: significa l’esistenza di una struttura organizzativa con attribuzione di responsabilità formali basate sul timore di conseguenze sull’operatività.
3. Compliant: significa l’esistenza di una struttura organizzativa con attribuzione di responsabilità guidate dalla conformità legale.
4. Proactive: significa una adeguata e coerente organizzazione con attribuzione di responsabilità guidate dalla gestione del rischio.
5. Resilient: significa una adeguata e coerente organizzazione con responsabilità comprese, applicate e misurate.

Conseguenze: L’assegnazione di ruoli e responsabilità non deve essere influenzata dai comportamenti manageriali basati sulla pura ricerca di alte prestazioni, su logiche di puro contenimento dei costi o da eccessivi timori che procedure formali possano rallentano l’operatività. L’affidabilità del monitoraggio sui risultati di controllo raggiunti e la loro tempestiva comunicazione sono alla base della valutazione del rischio. Questo richiede una struttura manageriale consapevole delle conseguenze delle proprie decisioni, della capacità di attuare misure di controllo senza pregiudizi e dell’importanza di azioni in coerenza a tutto ciò.

Etica: capacità di agire con trasparenza per interessi e convinzioni comuni

Obiettivo: L’area dell’agire in modo etico, di trasparenza e rispetto per l’intero ecosistema, non deve essere influenzata dai comportamenti manageriali basati su timori, pregiudizi o interessi individuali. Esprime la capacità di adottare misure volte al bene comune dell’organizzazione e dell’ecosistema per l’accrescimento della fiducia nel mercato.

1. Vulnerable: significa decisioni prese con pregiudizio e ricerca di un vantaggio individuale immediato.
2. Reactive: significa decisioni prese per ottenere la massima produttività, al minor costo, senza considerare tutte le parti interessate.
3. Compliant: significa decisioni prese nel rispetto di regole prestabilite e delle aspettative di uno sviluppo lecito.
4. Proactive: significa decisioni prese nel rispetto della trasparenza ma basate sul timore di un rischio elevato.
5. Resilient: significa condividere in modo trasparente le decisioni di trattamento del rischio con le parti interessate, includendo valutazioni sulle vulnerabilità e cause d’incidente

Conseguenze: L’etica gioca un ruolo fondamentale nell’organizzazione nel creare le condizioni per costruire la fiducia del mercato e degli stakeholders ed è la base per migliorare il valore del proprio business. In caso di incidenti rilevanti nell’ecosistema di appartenenza, le informazioni sulle cause dell’incidente vanno condivise chiaramente con le parti interessate, anche se esterne. La trasparenza nella comunicazione abilita il miglioramento dell’immagine dell’organizzazione nell’ecosistema.

Considerazioni numeriche
La cultura del rischio è valutata da un livello di maturità espresso tramite delle label qualitative, ed a queste sono associati dei valori numerici per poter semplificare le operazioni di aggregazione, comparazione o prioritizzazione. La scelta della base numerica da associare alle label, influenza sia la facilità di stabilire il grado di maturità che la capacità di comprendere i risultati complessivi della valutazione. Ad esempio, le metriche con grado di maturità 2 (su 8 livelli) oppure 0.37 (su un peso di 1.48) oppure 25% (sull’obiettivo 100%) rappresentano magari uno stesso fenomeno ma vengono selezionate ed interpretate con uno sforzo differente. Una conveniente scelta è di attribuire una percentuale al grado di maturità nelle celle della matrice e di definire una distribuzione normalizzata a uno per le soglie di passaggio da un livello di maturità all’altro.

La distribuzione delle soglie di maturità (figura 2) permette di enfatizzare alcuni livelli di maturità rispetto ad altri. Nella pratica, i livelli di maturità bassi si soddisfano facilmente e velocemente, mentre quelli alti richiedono sforzi maggiori ed avvengono in tempi lunghi. È utile poter scegliere la distribuzione di soglie più idonea alla propria realtà per evidenziare l’andamento degli sforzi di miglioramento. Nell’esempio in figura, ci sono tre diverse distribuzioni che danno origine a differenti valutazioni della cultura del rischio a partire dallo stesso grado di maturità rilevato.

• Distribuzione lineare: tutti i livelli di maturità stabiliti hanno lo stesso peso e la stessa evidenza in modo uniforme.
• Enfatizzazione centrale: i livelli bassi e alti sono compressi mentre nella parte centrale l’andamento è ben evidenziato.
• Enfatizzazione superiore: i livelli fino alla metà sono compressi mentre solo nella parte superiore viene evidenziato l’andamento.

I differenti valori di maturità complessiva sono una conseguenza dell’azione di enfatizzazione derivata dalla scelta della distribuzione delle soglie ma non portano ad alcuna questione di incoerenza nelle valutazioni. Ciò che serve per analizzare la cultura del rischio non è un valore assoluto ma la tendenza che si osserva da una valutazione all’altra. Per una migliore comprensione dell’andamento della maturità nel tempo, un aiuto ad accrescere l’accuratezza è proprio nella scelta di una opportuna distribuzione delle soglie perché amplifica i valori disponibili nell’intorno di interesse ed evidenzia l’area dove sono necessari interventi correttivi di miglioramento.

Conclusioni

Cultura è un termine che descrive “the values, beliefs, knowledge, attitudes and understanding, shared by a group of people with a common purpose”. La cultura del rischio esprime le caratteristiche e le particolarità delle decisioni introdotte dall’organizzazione per evitare oscillazioni indesiderate nel percorso di raggiungimento degli obiettivi di business. Ogni concetto introdotto nella metodologia del rischio, che rappresenta una qualche forma di operatività, non può essere una pura congettura ma deve diventare un elemento misurabile, quindi anche la cultura.

La cultura, nonostante non sia una proprietà fisica, deve essere misurata per rendere l’organizzazione consapevole delle aree che richiedono un miglioramento nel percorso verso la resilienza. Un modello di maturità è una scelta idonea alla misurazione e deve essere applicato alle componenti della cultura del rischio che sono ritenute rilevanti. Non è richiesto di fornire risultati assoluti ma delle misurazioni qualitative rispetto ad un target prefissato, risultano idonee allo scopo. La valutazione attuata secondo un confronto di risultati in sequenza temporale permette di poter comprendere l’andamento di efficacia delle azioni intraprese e quindi di poter identificare dove intervenire.

Riferimenti

¹ ISACA^®, “Risk Culture,” Glossary
² International Organization for Standardization (ISO), ISO 31073:2022, Risk Management—Vocabulary, 2022
³ Sbriz, L.; “Yet Another Risk Depiction (YARD),” ISACA^® Journal, vol. 3, 2024
⁴ National Institute of Standards and Technology, Glossary, Computer Security Resource Center (CSRC), USA
⁵ NIST, Cybersecurity Framework CSF 2.0
⁶ ISACA, Capability Maturity Model Integration^® (CMMI^®)
⁷ ISACA, Certified in Risk and Information Systems Control^® (CRISC^®) Official Review Manual, 7^th Edition, 2021

LUIGI SBRIZ | CISM, CRISC, CDPSE, ISO/IEC 27001 LA, ITIL V4, NIST CSF, TISAX AL3, UNI 11697:2017 DPO

È lead auditor, formatore e consulente senior su tematiche di risk management, cybersecurity e privacy. È membro di diverse associazioni internazionali su cybersecurity, rischio e privacy. È stato responsabile del monitoraggio dei rischi presso un'azienda multinazionale del settore automotive per oltre sette anni. In precedenza, è stato responsabile della gestione dei servizi e delle risorse ICT nell’area Asia-Pacific (Cina, Giappone e Malesia) dopo essere stato responsabile della sicurezza delle informazioni a livello mondo per più di sette anni. Ha sviluppato una metodologia originale di monitoraggio del rischio, integrando strumenti di analisi del rischio operativo, valutazione della maturità del controllo e processi di audit interno basati sul rischio. Inoltre, ha progettato uno strumento di cyber monitoring basato su OSINT e proposto uno standard di autenticazione dell'identità digitale. Sbriz è stato anche consulente per sistemi di business intelligence per diversi anni. Può essere contattato su LinkedIn (https://www.linkedin.com/in/luigisbriz).