GH GambleHub

Mappa termica dei rischi

1) Assegnazione e valore

La mappa termica dei rischi (Risk Heatmap) è uno strumento visivo per la classificazione e la comunicazione dei rischi sulla matrice Probabilità x Impatto, collegato a controlli, metriche e piani di azione.

Obiettivi:
  • un unico linguaggio di priorità (business, quelli, blocchi legali);
  • Soluzioni di investimento SARA trasparenti
  • tracciamento dell'altoparlante (prima/dopo le misure), pronta per «audit-ready».

2) Tassonomia e area di copertura

Domini consigliati:
  • Regolazione/Licenze, Privacy/Dati, IB/Processo tecnologico, Pagamenti/AML/KYC, Operazioni/Disponibilità, Marketing/Pubblicità responsabile, Fornitori/VRM.
Sezioni:
  • Giurisdizione/mercati, Business line/prodotti, servizi/piattaforme, provider critici.

3) Scala di probabilità e influenza

3. 1 Probabilità (esempio di scala a 5 livelli)

1. Raramente (ogni 3 anni/p <5%)

2. Bassa (ogni 1-3 anni)

3. Media (annuale)

4. Alta (trimestrale)

5. Molto alta (mensile/frequente)

3. 2 Impatto (multifattore)

Valutare il massimo dei criteri:
  • Finanza: perdite/multe/marceback dirette.
  • Licenze/Conseguenze legali: sospensione, interdizione, indagini.
  • Privacy/Dati: quantità di PII, notifiche, attività di controllo.
  • Operazioni/Farmacia: MTTR, SLO, release annullate, RTO/RPO.
  • Reputazione, media, social media, sanzioni di partnership.
  • Scala 1-5 con soglie chiare (ad esempio 1: <€10k, 5:> €1m).

4) Schedatura e livelli di rischio

Rischio individuale: «Punteggio = Likelihood x Impatto» (1-25).

Categorie:
  • 20-25 - Critical (rosso)
  • 12-19 - High (arancione)
  • 6-11 - Medium (giallo)
  • 1-5 - Low (verde)
  • Rischio residuo: dopo aver preso in considerazione i controlli correnti (efficacia confermata).
  • Rischio target - Dopo le misure previste; fissa la data di raggiungimento.

5) Origini dati e comunicazione con i controlli

Registro GRC: descrizioni dei rischi, proprietari, valutazioni correnti/mirate.
Regole di controllo pass-rate, incidenti, KRI.
Vendor/VRM: certificati, SLA, incidenti, modifiche alle posizioni dei dati.
Finanza/Payments: multe, marceback ratio, fraud loss%.
Tutti i valori che influenzano la scala devono avere riferimenti evidence (login/report) e timestamp.

6) Aggregazione e consolidamento

Bottom-up: da servizi/giurisdizioni a domini e aziende.
Regole di aggregazione: massimo per Effetto, percento per Likelihood, o mediana ponderata (per volume d'affari).
Livelli singoli (layers): Inherent (senza controllo), Residual (con controllo), Target (dopo CAPE).
Separare i rischi correlati (ad esempio, vulnerabilità alle infrastrutture comuni) e quelli indipendenti.

7) Visualizzazione

Matrice 5 x 5 con codifica colore punti-rischio interattivi con schede pop-up (descrizione, proprietario, controllori, CAPE).
I pulsanti dei livelli sono Inherent/Residual/Target.
Filtri: giurisdizione, prodotto, dominio, provider, periodo.
Trend «prima/dopo» misure e «deriva» (draft) in 30-90 giorni.

8) Ruoli e RACI

AttivitàRACI
Metodologia e scalaRisk Office / Compliance EngHead of RiskLegal/DPO, FinanceInternal Audit
Aggiornamento delle valutazioniRisk OwnersHead of FunctionControl OwnersCommittee
Collegamento con i controlli/KRICompliance EngHead of ComplianceSecOps/DataInternal Audit
Pubblicazione dashboardCompliance AnalyticsHead of ComplianceBI/Data PlatformExec/Board
Ringhiera e soluzioniRisk & Compliance CommitteeExecutive SponsorAll DomainsBoard

9) KRI e soglie di escalation

Esempi di KRI (collegati ai rischi sulla mappa):
  • Privacy: dsar _ response _ p95, rimozione TTL, reclamo/mediatore.
  • Sicurezza: vulnerabilità p95 TTR, percentuale di regole CCM «rosse» critiche, violazioni soD.
  • Payments: conformeback ratio, fraud loss%, win-rate appelli.
  • Operations: SLO breach rate, incidenti p1/p2, RTO/RPO test.
  • Escalation: Amber al di fuori delle soglie di avviso, Red è un CAPO obbligatorio e «stop-the-line» per le zone critiche.

10) Prendere decisioni e comunicare con la CAPA

Ogni punto rosso richiede un piano d'azione: Corrective/Preventive, proprietario, scadenza, budget, KPI di successo.

Regole soglia (esempio):
  • Critical: CAPA 30 giorni, re-audit tra 60-90 giorni; il comitato è settimanale.
  • La CAPA è durata 60 giorni, osservazione 90 giorni.
  • Medium/Low: piano trimestre/semestre.
  • Se non è possibile ridurre, waiver con data di scadenza e controlli di compensazione.

11) Dashboard (minimo)

Heatmap View - Matrice corrente + livelli Residual/Target.
Risk Trend - Altoparlante, prima/dopo CAPE.
Controlls Linkage: pass-rate CCM per rischio, gate rosse.
Regolatory Exposure: rischi per giurisdizioni e licenze.
Vendor Risk: mappa termica dei provider critici (certificati, SLA, incidenti).
Audit-Readava: completeness evidence/ricevute di rischio hash.

12) Metriche di efficienza

Risk Reduction Index è un rischio medio ponderato per isolati.
Cape on-time:% di misure in tempo (severity).
Repeat Findings (12 mes): percentuale di ripetizioni sui rischi correlati.
Evidence Completeness:% dei rischi con un pacchetto completo di prove.
Draft After Fix: casi di ritorno alla zona rossa dopo 30-90 giorni.
Coverage: la quota di risorse aziendali/giurisdizioni riflesse sulla mappa.

13) SOP (procedure standard)

SOP-1 - Inizializzazione della metodologia

Definire le linee e le soglie → concordare nel Comitato per fissare il → nel repository (versioning).

Ciclo trimestrale SOP-2

La raccolta dei dati di input/KRI consente di ricontrollare le valutazioni da parte dei proprietari delle decisioni dei comitati, pubblicare i dashboard e esportare «auditpack».

SOP-3 - Incidente-trigger

Durante l'incidente Critical/High, l'aggiornamento non programmato della mappa, l'allineamento alla CAPE e il piano re-auditing.

Tracciato di Vendore SOP-4

Sondaggio VRM/certificati per l'aggiornamento dei rischi dei fornitori e la conferma delle misure di mirroring (Vendor Mirror).

SOP-5 - Archivio e prove

Snapshot heatmap (PDF/PNG/CSV) + ricevute hash → WORM → link in GRC.

14) Modelli di manufatti

14. 1 Scheda di rischio (sezione)

ID/Nome, proprietario, dominio/giurisdizione

Likelihood/Impact/Inherent/Residual/Target

Controlli (ID, metriche, regole CCM)

KRI e valori effettivi

CAPA/waivers, date, budget, KPI

Collegamenti Evidence e ricevute hash

14. 2 Criteri scala (estrazione)


Likelihood:
1: p<5% / >3y
3: annual
5: monthly+
Impact (finance):
1: <€10k
3: €100k–€300k
5: >€1m
Escalation:
Critical: CAPA≤30d; Committee weekly
High: CAPA≤60d; Committee bi-weekly

14. 3 Report «prima/dopo»

Screenshot heatmap (Residual vs Target)

Tabella degli usi di rischio

Cape realizzate, metriche di stabilità

15) Antipattern

«Bella immagine» senza collegamento ai controlli/KRI e CAPA.
Scale impreziosite, manipolazione dei voti.
Nessuna versione/prova di variazione dei punti.
Riepilogo dei rischi non correlati senza regole di aggregazione.
I rari aggiornamenti della mappa non riflettono la realtà.
Waivers senza tempi e misure compensative.

16) Modello di maturità (M0-M4)

M0 Ad-hoc: immagine singola, nessun metodo/metrico.
M1 Pianificato: scalette coerenti, aggiornamenti trimestrali.
M2 Gestito: collegamento con controller/KRI, CAPE, dashboard, archivio WORM.
M3 Riordino automatico (CCM), policy-/assicuration-as-code, tagli per giurisdizione/vendor.
KRI predittivo, modellazione scenografica, what-if, linee guida sulle priorità.

17) Articoli wiki collegati

Controllo a rischio (RBA)

KPI e metriche della compilazione

Monitoraggio continuo della conformità (CCM)

Piani di risoluzione delle violazioni (CAPA)

Verifiche ripetute e controllo dell'esecuzione

Repository di regole e regolamenti

Road map della compilazione

Guida alla compilazione per i partner/VRM

Totale

La mappa termica dei rischi non è un report, ma un meccanismo di gestione: linee unificate, comunicazioni con i controlli e KRI, aggiornamenti regolari, soluzioni provate e controllo della stabilità post-azione. Questo approccio rende la priorità oggettiva, accelera le soluzioni dei comitati e supporta una costante «audited ready».

Contact

Mettiti in contatto

Scrivici per qualsiasi domanda o richiesta di supporto.Siamo sempre pronti ad aiutarti!

Avvia integrazione

L’Email è obbligatoria. Telegram o WhatsApp — opzionali.

Il tuo nome opzionale
Email opzionale
Oggetto opzionale
Messaggio opzionale
Telegram opzionale
@
Se indichi Telegram — ti risponderemo anche lì, oltre che via Email.
WhatsApp opzionale
Formato: +prefisso internazionale e numero (ad es. +39XXXXXXXXX).

Cliccando sul pulsante, acconsenti al trattamento dei dati.