Definizione del modello di rischio
Il Modello dei Rischi è definibile in modo flessibile e secondo una struttura ad albero (famiglia, macro-area, area e rischio). Al rischio, già in fase di definizione, possono essere associati diversi attributi tra cui quello di essere classificabile come ESG.
Definizione e analisi del contesto
Consente la configurazione del contesto interno, di quello esterno e di quello specifico relativo al sistema di gestione dei rischi erm-esg.
Con riferimento al contesto interno è possibile configurare elementi di governance aziendale (Legal Entity, Processi, Ruoli, sistema procedurale, stakeholders), elementi di business (mission, valori, obiettivi, settore di attività, modello di business, tipologie di prodotti offerti e mercati serviti) ed elementi organizzativi (organigramma, numero dipendenti, tipologia di contratto per macro classi).
Con riferimento al contesto esterno viene data la possibilità di configurare i partner aziendali e le imprese appartenenti alla catena del valore, oltre che qualsiasi altra impresa collegata direttamente alle operazioni di business. Nello specifico, per ciascuno di essi è possibile definire, tra le altre informazioni, la tipologia del rapporto (es. fornitori, joint venture), la tipologia delle attività svolte (es. fabbricazione, imballaggio), le aree geografiche di svolgimento delle attività.
Con riferimento al contesto specifico erm-esg attraverso la piattaforma è possibile gestire la normativa di riferimento sul tema (linee guida ISO31000, COSO Framework, Codice di autodisciplina, Codice della Crisi d’Impresa, D.Lgs. 254/2016), il modello dei rischi erm-esg (si veda apposito paragrafo per dettagli), e ogni altro elemento utile a gestire l’intero processo di risk management. Per ciò che concerne la gestione degli indicatori e i criteri di valutazione dei rischi si rimanda agli appositi paragrafi.
Obiettivi di business e di sostenibilità
Consente di gestire l'intero ciclo di gestione degli obiettivi di business e di sostenibilità, dalla definizione del programma, all'analisi di fattibilità del singolo obiettivo, all'assegnazione e gestione delle attività con la frequenza e la relativa responsabilità, lo scadenzario con segnalazione di preavviso e allerta, l'upload della documentazione, la chiusura e il consuntivo, è input al processo di valutazione dei rischi. Consente di gestire Work Flow approvativi e informativi.
Metodologie e criteri
Consente di selezionare da una libreria di metodologie e criteri, i parametri che consentono la determinazione dei livelli e relative classi di rischio, le tipologie di valutazione Qualitativa e/o Quantitativa e i livelli di accettabilità del rischio (Risk Tollerance). Per quanto concerne i rischi classificati come ESG la piattaforma propone una metodologia ad hoc.
Identificazione, analisi e valutazione dei rischi
La fase di Identificazione del Rischio consiste nel raccogliere in modo sistematizzato e attraverso un’apposita scheda di rischio tutti i dettagli dell’evento e delle mitigazioni attualmente in corso. Completa questa fase l’associazione al Risk Owner così come ad un obiettivo/progetto strategico o a determinati processi.
La fase di Analisi si caratterizza dalla definizione delle diverse aree di impatto (effettivi/ potenziali e positivi/negativi) su cui si dovrà fare l’esercizio di valutazione (ad esempio lo stesso evento in diverse aree geografiche, Business Units, Processi, Clienti, Fornitori etc.). Vi è inoltre la possibilità di utilizzare specifiche check list per l’analisi del rischio, alcune delle quali rese disponibili nella libreria messa a disposizione piattaforma. L’analisi, con riferimento ai rischi ESG, è corredata da ulteriori elementi come ad esempio la valutazione degli impatti su componenti rientranti nei seguenti ambiti: sociale, personale, rispetto dei diritti umani, ambiente e corruzione
La fase di Valutazione del Rischio consente di effettuare «scenario analysis» qualitative e quantitative (Metodo Monte Carlo), confrontando i risultati ottenuti con il risk appetite aziendale. KRC® utilizza per le analisi la libreria R (linguaggio di programmazione statistico) e ciò consente ampie possibilità in termini di scelta di distribuzioni (normale, lognormale, esponenziale) e di modelli statistici. La valutazione può essere effettuata a livello di rischio inerente e rischio residuo, tenendo conto dei controlli e delle misure di mitigazione in essere.
Trattamento
La fase di Trattamento consente di attivare la Strategia di Trattamento (anche a fini assicurativi) e i relativi Piani con allocazione delle responsabilità.
Il Risk Manager potrà seguire tutti gli stati di avanzamento delle azioni programmate attraverso apposite dashboard presenti nella sua home page.
Al completamento delle attività previste dal piano di azione la mitigazione «to be» diventa automaticamente «as is» e il Risk Manager sarà invitato, attraverso apposite notifiche di sistema, a rieffettuare un nuovo assessment sui rischi impattati dalla nuova mitigazione.
Indicatori
In KRC® è possibile configurare e gestire indicatori da utilizzare nella fase di monitoraggio.
Tali indicatori possono essere:
- definiti con massima possibilità di personalizzazione (tipologia, unita di misura, target, tolleranza, frequenza, ownership)
- associati al framework di risk appetite aziendale, con possibilità di associarli a obiettivi strategici, operativi o di sostenibilità
- consultati on line attraverso appositi cruscotti o resi disponibili in apposita reportistica
Comunicazione e reporting
In KRC® è possibile generare e gestire report contenenti le informazioni più significative (definibili a priori) a seguito della valutazione dei rischi. I vari report generati nel tempo sono consultabili accendendo ad un apposito pannello di controllo
La piattaforma mette a disposizione, dashboard e heat map interattive che rispondono in modo dinamico ad appositi filtri che interrogano l’intero database.
E’ possibile ad esempio disporre di heat map specifiche per i rischi ESG oppure di heat map che confrontano i risultati delle valutazione tra due date differenti