Questo principio è a sua volta una enunciazione di una serie di principi (che approfondiremo nel seguito della rubrica) relativi alla realizzazione e gestione di un’attività di mappatura rischi. Alcuni di questi saranno approfonditi nel seguito di questa rubrica. Eccoli:
3.1) fare un’attività di mappatura rischi vuol dire in primis individuare i presidi (i controlli/ le procedure volti a prevenire il verificarsi di quei rischi);
3.2) utile che l’attività di mappatura rischi sia anche accompagnata da una parallela individuazione degli eventuali riferimenti normativi legati ai rischi individuati;
3.3) inutile fare le mappature rischi se poi non vi è un’attività di verifica (naturalmente a rifiuti zero 😉) che valida costantemente l’efficacia dei presidi che individuati nell’ambito della mappatura rischi. Il rispetto di questo punto è un prerequisito per poter parlare di attività di verifica risk based;
3.4) evitare attività di mappatura con giudizi qualitativi non “oggettivizzati” e soprattutto non condivisi con tutta la struttura;
3.5) necessario che l’attività di mappatura rischi preveda anche un’associazione ai processi/ fasi di processi in cui i rischi stessi possono verificarsi;
3.6) utile (ma non indispensabile) valutare i rischi in termini di probabilità e impatto (o intensità) 7) necessario avere delle dashboards per monitorare i rischi.
Nei prossimi giorni pubblicheremo specifici approfondimenti sui punti sopra elencati.
Penso sia abbastanza evidente che per fare le attività che precedono sia necessario dotarsi di un software pensato ad hoc.