Diagramma di Flusso per la Valutazione del Rischio: Identificare e Mitigare i Rischi Aziendali
Impara a costruire un diagramma di flusso per la valutazione del rischio che identifichi, analizzi e mitighi i rischi aziendali. Include template per rischi IT, finanziari e di progetto.
Ogni azienda affronta rischi — guasti operativi, perdite finanziarie, violazioni della conformità, attacchi informatici. Le organizzazioni che gestiscono bene il rischio non sono quelle che evitano l'incertezza; sono quelle che hanno un processo sistematico per identificarla e rispondervi. Un diagramma di flusso per la valutazione del rischio trasforma quel processo in qualcosa di ripetibile, verificabile e insegnabile.
Questa guida illustra la costruzione di un diagramma di flusso completo per la valutazione del rischio, dall'identificazione iniziale fino al monitoraggio e alla revisione. Copre le principali categorie di rischio, i criteri decisionali in ogni fase ed esempi specifici per settore che si possono adattare immediatamente.
Cosa fa un diagramma di flusso per la valutazione del rischio
Un diagramma di flusso per la valutazione del rischio documenta il processo dell'organizzazione per valutare le potenziali minacce e decidere cosa farne. A differenza di un registro dei rischi statico o di un foglio di calcolo, un diagramma di flusso rende esplicita la logica decisionale — chi fa cosa, in quali condizioni e cosa succede dopo.
Il valore sta nel processo, non solo nell'output:
- I nuovi membri del team seguono gli stessi passaggi dei veterani
- I revisori possono vedere che esiste un processo definito e che viene seguito
- Le lacune nella copertura diventano visibili quando nessun passaggio gestisce uno scenario particolare
- Trattamento coerente tra dipartimenti e tipi di rischio
Il framework principale per la valutazione del rischio
La maggior parte dei framework di rischio segue la stessa struttura generale, indipendentemente dal settore o dal tipo di rischio:
┌──────────────┐
│ Identifica │
│ Rischio │
└──────┬───────┘
│
▼
┌──────────────┐
│ Analizza │
│ Probabilità │
│ e Impatto │
└──────┬───────┘
│
▼
┌──────────────┐
│ Valuta │
│ Livello di │
│ Rischio │
└──────┬───────┘
│
▼
┌──────────────────────────────────────────────────────┐
│ Tratta: Accetta / Mitiga / Trasferisci / Evita │
└──────┬───────────────────────────────────────────────┘
│
▼
┌──────────────┐
│ Implementa │
│ Controlli │
└──────┬───────┘
│
▼
┌──────────────┐
│ Monitora │
│ e Revisiona │
└──────────────┘
Ogni fase ha la propria logica decisionale, e il processo si ripete — il monitoraggio alimenta nuove informazioni nel prossimo ciclo di identificazione.
Fase 1: Identificazione del rischio
Il primo passo è far emergere i potenziali rischi prima che si materializzino. Questa fase risponde alla domanda: cosa potrebbe andare storto?
Fonti comuni per l'identificazione del rischio:
- Incidenti storici — Cosa è andato storto in passato, internamente o in organizzazioni pari?
- Process mapping — Percorrere ogni processo aziendale e chiedersi dove potrebbero verificarsi guasti
- Interviste con esperti — I responsabili di dipartimento e il personale di front-line spesso conoscono i rischi che non appaiono nei report
- Fonti esterne — Report di settore, linee guida normative, feed di intelligence sulle minacce
- Eventi di cambiamento — Nuovi sistemi, acquisizioni, cambiamenti di mercato, cambiamenti normativi
L'output di questa fase è una lista grezza di rischi. In questa fase non avviene nessun filtraggio — catturare tutto prima di valutare.
┌─────────────────────┐
│ Trigger: Nuovo │
│ rischio │
│ identificato │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ È una variante │
│ di rischio nota? │
└──────────┬──────────┘
│
┌──────┴──────┐
Sì No
│ │
▼ ▼
┌───────────┐ ┌───────────────┐
│ Aggiorna │ │ Crea nuovo │
│ record │ │ record rischio│
│ esistente │ └───────┬───────┘
└───────────┘ │
▼
┌────────────────┐
│ Assegna │
│ responsabile │
│ del rischio │
└────────┬───────┘
│
▼
┌────────────────┐
│ Procedi │
│ all'Analisi │
└────────────────┘
Ogni rischio identificato dovrebbe avere un responsabile — una persona nominata responsabile del suo tracciamento e risposta.
Fase 2: Analisi del rischio
L'analisi quantifica il rischio usando due dimensioni: probabilità (quanto è probabile che si verifichi?) e impatto (quanto sarebbe grave se si verificasse?).
Matrice Probabilità x Impatto
| Impatto \ Probabilità | Raro (1) | Improbabile (2) | Possibile (3) | Probabile (4) | Quasi Certo (5) |
|---|---|---|---|---|---|
| Catastrofico (5) | 5 | 10 | 15 | 20 | 25 |
| Maggiore (4) | 4 | 8 | 12 | 16 | 20 |
| Moderato (3) | 3 | 6 | 9 | 12 | 15 |
| Minore (2) | 2 | 4 | 6 | 8 | 10 |
| Trascurabile (1) | 1 | 2 | 3 | 4 | 5 |
Punteggio = Probabilità x Impatto. Questo punteggio guida la valutazione nella Fase 3.
┌─────────────────────┐
│ Valuta Probabilità │
│ (scala 1-5) │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ Valuta Impatto │
│ (scala 1-5) │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ Calcola Punteggio │
│ Rischio = P x I │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ Documenta rischio │
│ inerente (pre- │
│ controllo) │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ Controlli già │
│ in atto? │
└──────────┬──────────┘
│
┌──────┴──────┐
Sì No
│ │
▼ ▼
┌─────────────┐ ┌────────────────┐
│ Documenta │ │ Documenta │
│ punteggio │ │ punteggio │
│ rischio │ │ rischio non │
│ residuo │ │ controllato │
└─────┬───────┘ └───────┬────────┘
└──────────────────┘
│
▼
┌─────────────────────┐
│ Procedi alla │
│ Valutazione │
└─────────────────────┘
Valutare sia il rischio inerente (prima dei controlli) che il rischio residuo (dopo i controlli) mostra se i controlli esistenti funzionano effettivamente.
Fase 3: Valutazione del rischio
La valutazione trasforma il punteggio in una decisione: questo rischio è accettabile così com'è, o richiede azione?
La maggior parte dei framework usa tre fasce di rischio:
| Punteggio di Rischio | Fascia | Azione predefinita |
|---|---|---|
| 15-25 | Alto | Azione immediata richiesta |
| 8-14 | Medio | Azione richiesta entro una timeline definita |
| 1-7 | Basso | Monitora; accetta se non esiste un controllo conveniente |
┌─────────────────┐
│ Punteggio │
│ Rischio │
└────────┬────────┘
│
┌───────────────┼───────────────┐
│ │ │
Punt. 1-7 Punt. 8-14 Punt. 15-25
│ │ │
▼ ▼ ▼
┌────────────┐ ┌─────────────┐ ┌────────────┐
│ BASSO │ │ MEDIO │ │ ALTO │
│ Accetta o │ │ Azione │ │ Azione │
│ monitora │ │ entro 90 │ │ immediata │
│ │ │ giorni │ │ richiesta │
└────────────┘ └─────────────┘ └────────────┘
│ │ │
└───────────────┴───────────────┘
│
▼
┌─────────────────────┐
│ Seleziona │
│ strategia di │
│ trattamento │
└─────────────────────┘
Fase 4: Trattamento del rischio
Una volta valutato un rischio, si sceglie come gestirlo. Ci sono quattro opzioni di trattamento standard:
| Trattamento | Definizione | Quando usarlo |
|---|---|---|
| Accetta | Riconoscere il rischio, non intraprendere azioni | Rischi con punteggio basso dove il costo del controllo supera la perdita potenziale |
| Mitiga | Implementare controlli per ridurre probabilità o impatto | La maggior parte dei rischi medi e alti |
| Trasferisci | Spostare il rischio a un'altra parte (assicurazione, contratti) | Rischi con impatto finanziario quantificabile |
| Evita | Interrompere l'attività che crea il rischio | Rischi elevati dove non esiste mitigazione conveniente |
┌─────────────────────┐
│ Il costo del │
│ trattamento è │
│ inferiore alla │
│ perdita attesa? │
└──────────┬──────────┘
│
┌──────┴──────┐
Sì No
│ │
▼ ▼
┌──────────┐ ┌──────────────────────┐
│ Mitiga │ │ Accetta, Trasferisci,│
│ │ │ o Evita │
└────┬─────┘ └──────────┬───────────┘
│ │
└─────────┬─────────┘
│
▼
┌────────────────────────┐
│ Il rischio può essere │
│ trasferito (assicurato,│
│ esternalizzato)? │
└───────────┬────────────┘
│
┌──────┴──────┐
Sì No
│ │
▼ ▼
┌─────────┐ ┌────────────────────┐
│Trasfer. │ │ L'attività che │
└─────────┘ │ genera rischio può │
│ essere fermata? │
└────────┬───────────┘
│
┌──────┴──────┐
Sì No
│ │
▼ ▼
┌────────┐ ┌────────┐
│ Evita │ │Accetta │
└────────┘ │ con │
│revisione│
└────────┘
Fase 5: Pianificazione della mitigazione
Per i rischi che si sceglie di mitigare, il passo successivo è definire controlli specifici e assegnare responsabilità.
Un piano di mitigazione risponde a quattro domande:
- Cosa controllo verrà implementato?
- Chi è responsabile dell'implementazione?
- Quando sarà completato?
- Come verrà misurata l'efficacia?
┌─────────────────────────┐
│ Definisci tipo │
│ di controllo: │
│ - Preventivo │
│ - Rilevante │
│ - Correttivo │
└──────────┬──────────────┘
│
▼
┌─────────────────────────┐
│ Assegna responsabile │
│ del controllo e │
│ scadenza │
└──────────┬──────────────┘
│
▼
┌─────────────────────────┐
│ Definisci metrica di │
│ successo (come saprai │
│ che funziona?) │
└──────────┬──────────────┘
│
▼
┌─────────────────────────┐
│ Stima rischio residuo │
│ dopo il controllo │
└──────────┬──────────────┘
│
▼
┌─────────────────────────┐
│ Rischio residuo │
│ accettabile? │
└──────────┬──────────────┘
│
┌──────┴──────┐
Sì No
│ │
▼ ▼
┌──────────┐ ┌────────────────┐
│ Procedi │ │ Aggiungi │
│ alla │ │ controlli │
│ implem. │ │ aggiuntivi o │
│ │ │ riconsiderai │
│ │ │ trattamento │
└──────────┘ └────────────────┘
Fase 6: Monitoraggio e revisione
La valutazione del rischio non è un esercizio una tantum. I rischi cambiano al cambiare dell'azienda, e i controlli si degradano nel tempo.
┌─────────────────────┐
│ Imposta frequenza │
│ di revisione: │
│ Alto: Trimestrale │
│ Medio: Semestrale │
│ Basso: Annuale │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ Evento trigger? │
│ (incidente, audit, │
│ cambiamento major) │
└──────────┬──────────┘
│
┌──────┴──────┐
Sì No
│ │
▼ ▼
┌──────────┐ ┌──────────────────┐
│ Revisione│ │ Attendi revisione│
│ immediata│ │ pianificata │
└────┬─────┘ └────────┬─────────┘
└─────────────────┘
│
▼
┌─────────────────────┐
│ Il controllo è │
│ ancora efficace? │
└──────────┬──────────┘
│
┌──────┴──────┐
Sì No
│ │
▼ ▼
┌────────────┐ ┌────────────────┐
│ Continua │ │ Aggiorna il │
│ monitoring │ │ controllo o │
│ │ │ ri-valuta │
│ │ │ punteggio │
└────────────┘ └────────┬───────┘
│
▼
┌─────────────────┐
│ Torna alla │
│ Fase 3: │
│ Valutazione │
└─────────────────┘
Categorie di rischio ed esempi specifici per dominio
Rischio operativo
I rischi operativi derivano da persone, processi, sistemi ed eventi esterni.
| Esempio di Rischio | Probabilità | Impatto | Trattamento |
|---|---|---|---|
| Partenza di personale chiave | Probabile | Maggiore | Mitiga: formazione incrociata, documenta processi |
| Fallimento fornitore | Possibile | Maggiore | Mitiga: doppia fornitura; Trasferisci: penali contrattuali |
| Errore di inserimento dati | Quasi certo | Minore | Mitiga: controlli di validazione |
| Allagamento ufficio | Raro | Catastrofico | Trasferisci: assicurazione; Mitiga: sito di backup |
Diagramma di flusso per la valutazione del rischio di sicurezza IT:
┌───────────────────────┐
│ Minaccia alla │
│ sicurezza │
│ identificata │
└──────────┬────────────┘
│
▼
┌───────────────────────┐
│ Il sistema è │
│ esposto esternamente? │
└──────────┬────────────┘
│
┌──────┴──────┐
Sì No
│ │
▼ ▼
┌──────────┐ ┌──────────────────┐
│ Rischio │ │ Il sistema è │
│ di │ │ su rete interna? │
│ esposiz. │ └────────┬─────────┘
│ alto │ ┌──────┴──────┐
└────┬─────┘ Sì No
│ │ │
│ ▼ ▼
│ ┌────────┐ ┌──────────┐
│ │ Rischio│ │ Rischio │
│ │ medio │ │ basso │
│ └────────┘ └──────────┘
│ │ │
└──────────┴─────────────┘
│
▼
┌─────────────────────┐
│ Applica controlli: │
│ patch, MFA, │
│ segmentaz. rete, │
│ monitoraggio │
└─────────────────────┘
Rischio finanziario
I rischi finanziari influenzano il flusso di cassa, la redditività o il bilancio.
Punti decisionali comuni nel diagramma di flusso per il rischio finanziario:
- Esposizione valutaria: Il rischio supera una soglia definita? In caso affermativo, considerare strumenti di copertura.
- Rischio di credito: La controparte soddisfa i criteri di credito? In caso negativo, richiedere garanzie o rifiutare.
- Rischio di liquidità: Le attività liquide sono sufficienti a coprire 90 giorni di spese operative? In caso negativo, avviare la revisione della gestione della liquidità.
Rischio di progetto
I rischi di progetto sono limitati nel tempo. Un rischio importante nella settimana 1 potrebbe essere irrilevante nella settimana 10.
┌───────────────────────┐
│ Nuovo rischio di │
│ progetto identificato │
└──────────┬────────────┘
│
▼
┌───────────────────────┐
│ Il rischio è sul │
│ percorso critico? │
└──────────┬────────────┘
│
┌──────┴──────┐
Sì No
│ │
▼ ▼
┌──────────┐ ┌────────────────────┐
│ Azione │ │ Aggiungi al │
│ immediata│ │ registro rischi, │
│ richiesta│ │ monitora nella │
│ │ │ riunione settimanale│
└──────────┘ └────────────────────┘
Rischio di conformità
I rischi di conformità derivano da requisiti normativi, contratti e politiche interne.
Decisione chiave: C'è una scadenza normativa specifica? In caso affermativo, la timeline di mitigazione non è negoziabile — la conformità non è opzionale.
Rischio reputazionale
I rischi reputazionali sono più difficili da quantificare ma spesso i più consequenziali. Un utile indicatore proxy: se questo rischio si materializzasse e diventasse pubblico, come influirebbe sulla fiducia dei clienti, sul prezzo delle azioni o sul recruiting?
Per i rischi reputazionali, la decisione di trattamento spesso coinvolge la pianificazione delle comunicazioni insieme ai controlli operativi.
Costruire il diagramma di flusso per la valutazione del rischio con Flowova
Creare da zero un diagramma di flusso completo per la valutazione del rischio richiede tempo. Lo strumento text-to-flowchart di Flowova consente di descrivere il proprio processo di rischio in linguaggio naturale e genera un diagramma di flusso strutturato in pochi secondi. Successivamente è possibile modificare i nodi direttamente, aggiungere rami decisionali e regolare il layout senza toccare manualmente una tela di diagrammazione.
Per le organizzazioni che adattano un framework di rischio esistente (ISO 31000, COSO ERM, NIST RMF), i template di diagrammi di flusso di Flowova forniscono un punto di partenza personalizzabile per il proprio settore specifico e la propria propensione al rischio.
Errori comuni nei diagrammi di flusso per la valutazione del rischio
Confondere probabilità e impatto. Un rischio ad alta probabilità e basso impatto (come un inceppamento della stampante) ottiene un punteggio inferiore rispetto a un rischio a bassa probabilità e alto impatto (come una violazione dei dati). Distinguere chiaramente le due dimensioni nella logica di punteggio.
Nessuna responsabilità chiara. Un rischio senza responsabile non è problema di nessuno. Ogni record di rischio dovrebbe avere un individuo nominato, non un dipartimento o un comitato.
Trattare il monitoraggio come opzionale. Il ciclo di monitoraggio è ciò che rende la valutazione del rischio continua piuttosto che un esercizio di conformità una tantum. Incorporarlo nel diagramma di flusso e assegnare esplicitamente la responsabilità.
Punteggi di rischio obsoleti. I controlli che funzionavano due anni fa potrebbero non essere più efficaci. Pianificare le revisioni e attivarle su eventi significativi — una nuova distribuzione di sistema, un cambiamento normativo, un incidente nel settore.
Pass/fail binario. Il trattamento del rischio reale è raramente accetta/rifiuta. Costruire le quattro opzioni di trattamento (accetta, mitiga, trasferisci, evita) come percorsi distinti, ognuno con i propri criteri decisionali.
Conclusione
Un diagramma di flusso per la valutazione del rischio converte un obbligo di governance astratto in un processo concreto e ripetibile. Documentando ogni fase — identificazione, analisi, valutazione, trattamento, implementazione e monitoraggio — si crea un sistema che qualsiasi membro del team può seguire e qualsiasi revisore può validare.
Iniziare con il flusso principale a sei fasi, poi aggiungere la logica decisionale specifica del dominio per le categorie di rischio con la priorità più alta. Rivedere il diagramma di flusso stesso almeno annualmente: se l'azienda è cambiata, il processo di rischio dovrebbe rifletterlo.
Risorse correlate
- Guida al Process Mapping — Mappatura e miglioramento dei flussi di lavoro operativi
- Guida ai Diagrammi a Corsie — Responsabilità cross-funzionale nei diagrammi di flusso
- Albero Decisionale vs Diagramma di Flusso — Scegliere il tipo di diagramma giusto
- Strumento Text to Flowchart — Converti le descrizioni dei rischi in diagrammi istantaneamente
