III principio: regole per una buona mappatura rischi

Novità, Principi audit
icone gorico 02 300x250 1

Questo principio è a sua volta una enunciazione di una serie di principi (che approfondiremo nel seguito della rubrica) relativi alla realizzazione e gestione di un’attività di mappatura rischi. Alcuni di questi saranno approfonditi nel seguito di questa rubrica. Eccoli:

3.1) fare un’attività di mappatura rischi vuol dire in primis individuare i presidi (i controlli/ le procedure volti a prevenire il verificarsi di quei rischi);

3.2) utile che l’attività di mappatura rischi sia anche accompagnata da una parallela individuazione degli eventuali riferimenti normativi legati ai rischi individuati;

3.3) inutile fare le mappature rischi se poi non vi è un’attività di verifica (naturalmente a rifiuti zero 😉) che valida costantemente l’efficacia dei presidi che individuati nell’ambito della mappatura rischi. Il rispetto di questo punto è un prerequisito per poter parlare di attività di verifica risk based;

3.4) evitare attività di mappatura con giudizi qualitativi non “oggettivizzati”  e soprattutto  non condivisi  con tutta la struttura;

3.5) necessario che l’attività di mappatura rischi preveda anche un’associazione ai processi/ fasi di processi in cui i rischi stessi possono verificarsi;

3.6) utile (ma non indispensabile) valutare i rischi in termini di probabilità e impatto (o intensità)  7) necessario avere delle dashboards per monitorare i rischi.

Nei prossimi giorni pubblicheremo specifici approfondimenti sui punti sopra elencati.

Penso sia abbastanza evidente che per fare le attività che precedono sia necessario dotarsi di un software pensato ad hoc.