Gestione dei rischi

Il rischio è definito come un fattore che provoca incertezza. Se è positivo genera delle opportunità, mentre se è nagativo crea delle minacce. Esso deve essere valutato in relazione alla combinazione fra la probabilità d’insorgenza e l’impatto che genera qualora dovesse verificarsi.

Risk identification

Per costruire un profilo di rischio adeguato l’organizzazione deve essere consapevole dei rischi che affronta.

Risck assesment

L’obiettivo finale di questo strumento è quello di individuare i rischi che hanno una maggiore criticità.

Risk adressment

Per ogni tipologia di rischio, viene definito il controllo specifico che deve essere effettuato al fine di ridurre la criticità.

Risk review and report

Questa fase è parte integrante del SCI e serve a comprovare l'effettiva messa in atto del controllo stabilito per ridurre l'impatt odel rischio.

Risk identification

Per costruire un profilo di rischio adeguato l’organizzazione deve essere consapevole dei rischi che affronta. L’identificazione del rischio può essere separata in due sotto-fasi:

L'identificazione iniziale del rischio è indicata per le nuove organizzazioni oppure per le organizzazioni che non hanno ancora definito i rischi in modo strutturato.

L'identificazione del rischio continuativa è necessaria per identificare ulteriori rischi non ancora analizzati, effettuare modifiche a quelli già presenti oppure eliminare quelli che non sono più rilevanti per l’organizzazione.

I rischi concernono le tre aree di intervento SCI e posso essere classificati nelle seguenti tre categorie:

Rischi di efficienza operativa (RO)

Hanno impatto sull'operatività, causano un rallentamento nell'esecuzione dei processi, creano problemi nel raggiungimento degli obiettivi di processo e potenzialmente minano la protezione del patrimonio dell’Istituto o del Fondo amministrato dalla Cassa di compensazione.

Rischi di rendicontazione (RR)

Questi rischi hanno un impatto sui conti dell’Istituto e possono anche mettere in discussione l’attendibilità dei dati contabili. Questo è un aspetto ritenuto fondamentale considerando il carattere pubblico dell’attività svolta dall’Istituto.

Rischi di compliance (RC)

Questi rischi creano delle non conformità delle procedure dell’Istituto in relazioneal rispetto delle direttive e delle normative legali vigenti.

Risk assessment

Per fare una valutazione è necessario implementare un processo chiaro e strutturato che sia in grado di considerare sia la probabilità d’insorgenza che l’impatto di ogni rischio analizzato. Il risultato ottenuto dev’essere in grado di facilitare il monitoraggio e l’identificazione dei rischi prioritari. In questa fase è necessaria l’elaborazione di una matrice di tollerabilità la quale si base su di una chiara definizione dei parametri di valutazione della probabilità e dell’impatto del rischio.

L’obiettivo finale di questo strumento è quello di individuare i rischi che hanno una maggiore criticità, alla luce dei controlli già messi in atto e di quelli che si vogliono implementare, per poi successivamente capire quali devono essere monitorati con maggiore attenzione allo scopo di contenere/minimizzare il più possibile le loro conseguenze.

Di seguito è riportata la matrice dei rischi, la quale mostra il prodotto tra la probabilità d’insorgenza e l’impatto del rischio che viene definito per semplicità “Rischio”. In base a ogni singolo “Rischio” rilevato, si può stabilire un livello di priorità nella gestione dei controlli.

Risk addressment

Lo scopo di questa fase è quello di gestire i rischi e minimizzare il più possibile le conseguenze negative derivanti dal fattore incertezza, vincolando le minacce e sfruttando le opportunità. Qualsiasi azione compiuta dall'organizzazione volta ad affrontare dei rischi è nota come "controllo interno".

Durante questa fase, per ogni tipologia di rischio, viene definito il controllo specifico che deve essere effettuato al fine di ridurre la criticità.

Risk review and report

In questa fase sono monitorati i rischi, principalmente per capire se il profilo degli stessi ha subito dei cambiamenti (modifica dei parametri di valutazione della probabilità e dell’impatto) oppure verificare se la gestione del rischio è efficace ed eventualmente identificare ulteriori misure per contenere i rischi.

Questa fase è parte integrante del SCI e serve a comprovare l'effettiva messa in atto del controllo stabilito per ridurre l'impatto del rischio.