Risk & control matrix (RCM)
Una risk & control matrix collega i rischi nei tuoi processi ai controlli che li coprono. È il cuore della gestione dei rischi nei processi: mostra cosa può andare storto, come lo controlli, chi ne è responsabile e dove hai ancora lacune.
Cos'è una risk & control matrix?
La risk & control matrix (RCM), chiamata anche risk-control matrix o matrice dei controlli, è una panoramica strutturata che collega ogni rischio ai controlli che lo coprono. Mentre un registro dei rischi elenca soltanto cosa può andare storto, la RCM aggiunge l'altra metà: come lo controlli. In ogni riga vedi il rischio, il controllo associato, il titolare, la frequenza e l'efficacia.
Questa combinazione rende la RCM il cavallo di battaglia del controllo interno e dell'audit. È la base per dimostrare che un'organizzazione è sotto controllo: non a parole, ma con un collegamento tracciabile tra rischio e misura.
Da cosa è composta una RCM?
Le colonne esatte variano da un'organizzazione all'altra, ma una risk & control matrix utile contiene quasi sempre i seguenti elementi:
| Elemento | Cosa registri |
|---|---|
| Fase di processo | L'attività a cui si applica il rischio — il punto di ancoraggio della RCM. |
| Rischio | Cosa può andare storto e perché questo incide sugli obiettivi. |
| Causa & effetto | L'origine del rischio e l'impatto se si verifica. |
| Probabilità × impatto | La stima di probabilità e gravità, spesso come rischio lordo e netto. |
| Controllo | La misura che riduce o rileva il rischio. |
| Tipo di controllo | Preventivo o rilevativo, e manuale o automatizzato. |
| Frequenza | Quanto spesso viene eseguito il controllo — continuo, giornaliero, per evento. |
| Titolare | Chi è responsabile del corretto funzionamento del controllo. |
Molte organizzazioni lavorano con un rischio lordo e uno netto: il rischio lordo è la stima prima del controllo, il rischio netto è il rischio residuo successivo. La differenza mostra quanto i controlli aggiungono effettivamente.
Controlli preventivi vs. rilevativi
I controlli rientrano grosso modo in due tipi. Una buona RCM bilancia entrambi e distingue inoltre tra controlli manuali e automatizzati — questi ultimi sono in genere più affidabili e più facili da verificare.
Preventivo
Impedisce che un rischio si verifichi. Per esempio la separazione dei compiti, una seconda approvazione obbligatoria prima di un pagamento o convalide di sistema che bloccano input errati.
Rilevativo
Segnala a posteriori che qualcosa è andato storto. Per esempio riconciliazioni periodiche, report delle eccezioni o una revisione dei file di log. Indispensabile come rete di sicurezza a valle della prevenzione.
Gestione dei rischi nei processi
I rischi non nascono in un registro — nascono nel lavoro. Una fattura pagata senza controllo, una modifica che va in produzione senza revisione, dati che passano nelle mani sbagliate: sono tutti rischi che stanno su una specifica fase di processo. Eppure molte organizzazioni gestiscono la propria RCM come un documento a sé stante, separato dai processi che descrive.
Questo va storto nel momento in cui il processo cambia. Il controllo che hai descritto mesi fa non si adatta più al nuovo modo di lavorare — ma te ne accorgi solo al prossimo audit. La soluzione è collegare rischi e controlli alla fase di processo, così controllo e processo si muovono insieme. Vedi allora in un colpo d'occhio quali fasi sono coperte in modo insufficiente e quali ruoli (tramite la matrice RASCI) sono coinvolti in quel controllo.
Come costruire una risk & control matrix
- 1
Scegli l'ambito
Stabilisci quale processo o quali processi includi nella RCM e fino a quale livello di dettaglio.
- 2
Inventaria i rischi per fase
Percorri le fasi di processo e, per ogni fase, indica cosa può andare storto, con causa ed effetto.
- 3
Valuta il rischio
Stima probabilità e impatto (rischio lordo) per stabilire le priorità su dove serve il controllo.
- 4
Collega i controlli
Assegna uno o più controlli per rischio e registra se sono preventivi o rilevativi.
- 5
Definisci titolare e frequenza
Registra chi esegue il controllo e con quale frequenza, così il suo funzionamento è verificabile.
- 6
Valuta il rischio netto
Determina il rischio residuo dopo il controllo e ripeti il ciclo periodicamente.
Una RCM viva e collegata
La differenza tra una RCM che funziona e una che invecchia sta nel collegamento. In Proceshuis la risk & control matrix è un oggetto vivo e collegato anziché un registro separato: rischi e controlli sono collegati direttamente alla fase di processo, insieme ai ruoli, ai sistemi e ai dati della stessa fase. Se il processo cambia, il controllo cambia con esso. E ogni modifica a un rischio o a un controllo è tracciabile sull'attività stessa — chi ha modificato cosa e quando — così puoi dimostrare il funzionamento del tuo controllo.
Così supporti i modi di lavorare alla base di quadri come Three Lines of Defense, ISO 27001 e GDPR — modellando sul processo i rischi, i controlli e la titolarità associati. Sii però onesto su cosa è e cosa non è integrato: al momento il benchmark APQC è effettivamente integrato e rendicontato, con una percentuale di copertura. I quadri normativi citati sono modi di lavorare supportati; quel livello di quadro normativo preconfezionato lo stiamo ampliando passo dopo passo.
Rischio ↔ controllo ↔ processo, in un unico modello
Nessun registro separato che invecchia, ma un controllo collegato alla fase di processo — con RASCI e copertura APQC. È così che dimostri di essere sotto controllo.
Domande frequenti sulla risk & control matrix
Cos'è una risk & control matrix (RCM)?+–
Una risk & control matrix è una panoramica che registra, per ogni rischio, quale controllo copre quel rischio, chi ne è il titolare, quanto spesso viene eseguito il controllo e quanto è efficace. La RCM collega i rischi ai controlli, idealmente collegati alla fase di processo a cui si applicano.
Qual è la differenza tra un registro dei rischi e una risk & control matrix?+–
Un registro dei rischi elenca i rischi. Una risk & control matrix va un passo oltre e collega a ogni rischio i controlli, con titolare, frequenza ed efficacia. La RCM mostra quindi non solo cosa può andare storto, ma anche come lo controlli.
Qual è la differenza tra un controllo preventivo e uno rilevativo?+–
Un controllo preventivo impedisce che un rischio si verifichi — per esempio una seconda approvazione obbligatoria prima di un pagamento. Un controllo rilevativo segnala a posteriori che qualcosa è andato storto — per esempio una riconciliazione periodica o un report delle eccezioni. Un controllo sano combina entrambi.
Perché collegare rischi e controlli al processo?+–
Perché i rischi nascono nel lavoro stesso. Un registro dei rischi a sé stante invecchia nel momento in cui il processo cambia. Collega i tuoi rischi e controlli alla fase di processo e i controlli si muovono con il processo — e vedi subito quali fasi sono coperte in modo insufficiente.
Proceshuis supporta Three Lines of Defense e ISO 27001?+–
Proceshuis supporta quei modi di lavorare permettendoti di modellare i rischi, i controlli, i ruoli e la titolarità associati e di collegarli al processo. È una cosa diversa da un quadro normativo preconfezionato: al momento APQC è integrato e rendicontato; il livello dei quadri normativi lo stiamo ampliando passo dopo passo.