Compliance Pratica
UNI 11871:2022
Come applicarla in modo chiaro e concreto
anche se hai poco tempo e ti sembra troppo complessa
Gestione e controllo dei rischi professionali
Gestione dei rischi professionali
L'analisi dei rischi
Dopo aver analizzato il proprio contesto interno ed esterno, lo Studio deve pianificare le azioni necessarie per gestire i principali rischi legati alla propria attività, con l’obiettivo di:
a) raggiungere i risultati previsti,
b) valorizzare gli effetti positivi,
c) prevenire o limitare gli effetti negativi,
d) promuovere il miglioramento continuo.
Per comprendere meglio il contesto operativo, lo Studio dovrebbe:
a) descrivere la propria situazione interna ed esterna, includendo clienti e altre parti interessate,
b) individuare punti di forza, criticità e opportunità che influenzano l’attività,
c) aggiornare periodicamente l’analisi del contesto e i fattori di rischio, considerando elementi come forma giuridica, dimensioni, sedi, fatturato, settori di attività, tipologia dei clienti, coperture assicurative e altri sistemi di gestione già adottati (es. qualità, sicurezza, privacy, Modello 231),
d) in caso di variazioni impreviste o eccezionali, riesaminare rapidamente i fattori critici e le nuove opportunità che possono incidere sull’attività dello Studio.
Vediamo degli esempi.
| Attività | Studio legale | Studio commercialista | Consulente del lavoro |
|---|---|---|---|
| a) Descrivere la situazione interna ed esterna | Compila una scheda con organico, aree di attività, sedi, clienti principali e collaboratori esterni. | Descrive struttura, specializzazioni, clienti (PMI, gruppi internazionali) e fornitori strategici. | Riporta il team, i clienti assistiti per settore e i professionisti esterni coinvolti (es. medici o avvocati). |
| b) Individuare punti di forza, criticità e opportunità | Punti di forza: specializzazione in diritto tributario. Criticità: scarsa digitalizzazione. Opportunità: sviluppo consulenze continuative alle imprese. |
Punti di forza: relazioni consolidate con clienti storici. Criticità: dipendenza da pochi clienti. Opportunità: nuovi servizi ESG e controllo di gestione. |
Punti di forza: gestione completa HR. Criticità: troppa manualità nei processi. Opportunità: piattaforme cloud e welfare aziendale. |
| c) Aggiornare periodicamente l’analisi del contesto | Rivede annualmente rischi legati a normativa, concorrenza e assicurazioni RC, aggiornando il documento di contesto. | Analizza trimestralmente redditività, coperture assicurative e concentrazione clienti, integrando modifiche nei sistemi ISO o privacy. | Aggiorna il contesto operativo dopo cambi normativi o tecnologici, verificando la preparazione del team. |
| d) Riesaminare rapidamente in caso di variazioni impreviste | In caso di uscita improvvisa di un socio, riorganizza la gestione pratiche e definisce un piano di continuità. | Rivaluta rischi e procedure a seguito di riforme fiscali o variazioni nel portafoglio clienti. | Aggiorna procedure e software dopo nuove regole su scadenze o contributi, informando subito i clienti. |
Lo Studio dovrebbe documentare i dati e le fonti consultate, così da poter verificare nel tempo l’adeguatezza e l’aggiornamento dei risultati ottenuti.
Il flusso di gestione dei rischi
il flusso del processo di gestione dei rischi descritto dalla norma UNI 11871:2022 è ispirato allo schema della norma UNI CEI EN IEC 31010:2019, che descrive in modo sequenziale le fasi del risk assessment e del risk management negli studi professionali.
Ecco il flusso spiegato in modo semplice ma rigoroso:
Si parte dal contesto.
Lo studio definisce il perimetro della valutazione: dove opera, quali sono i suoi obiettivi e quali tipi di rischi vuole considerare.
Ad esempio:
Studio legale: analizza le aree di attività (contenzioso, consulenza, arbitrati), le tipologie di clienti e il numero di collaboratori. Ad esempio, uno studio con sedi in più città valuterà rischi legati alla comunicazione e alla gestione coordinata delle pratiche.
Studio commercialista: considera i settori economici dei clienti, la complessità delle pratiche fiscali e il grado di digitalizzazione interna.
Consulente del lavoro: include nel contesto i volumi mensili di elaborazioni paghe, le normative in continua evoluzione e i tempi stretti di consegna.
Si individuano i rischi.
Si elencano le possibili cause o situazioni che potrebbero creare problemi — per esempio errori, ritardi, perdita di dati o danni reputazionali.
Ad esempio:
Studio legale: rischio di errore nel calcolo di una scadenza processuale, perdita di dati da un archivio digitale, o errata comunicazione con un cliente.
Studio commercialista: rischio di invio tardivo di una dichiarazione fiscale, errore contabile che genera sanzioni o mancato aggiornamento rispetto a una nuova normativa tributaria.
Consulente del lavoro: rischio di errori nell’elaborazione dei cedolini o mancata trasmissione telematica dei contributi per problemi di sistema o sovraccarico di lavoro.
Si analizzano i rischi.
Per ciascun rischio si valuta quanto è probabile che accada e quanto sarebbe grave se si verificasse.
Un piccolo errore di archiviazione potrebbe avere impatto basso, ma se riguarda dati sensibili di un cliente importante, la gravità diventa alta.
Gli studi possono usare una scala semplice (basso, medio, alto) o una matrice rischio-impatto per visualizzare le priorità.
Esempio: la perdita di un collaboratore chiave in periodo di picco fiscale o giudiziario è un rischio ad alta probabilità e ad alto impatto.
Si valuta l’importanza dei rischi.
I rischi vengono confrontati con i criteri stabiliti dallo studio per capire quali sono accettabili e quali richiedono interventi.
Se il rischio è accettabile (es. ritardo occasionale di un giorno nella consegna di una pratica non urgente), viene solo monitorato.
Se invece è critico (es. violazione di dati personali o perdita di un termine processuale), lo studio deve intervenire con misure immediate e preventive.
Molti studi definiscono una soglia di rischio accettabile in base alla probabilità e all’impatto complessivo, documentandola nel registro dei rischi.
Si decide come gestirli.
Se il rischio è accettabile, si tiene sotto controllo.
Se è troppo alto, si pianificano azioni per ridurlo, trasferirlo (ad esempio con un’assicurazione) o eliminarlo.
Ad esempio:
Studio legale: introduce un sistema digitale di gestione delle scadenze e firma elettronica per ridurre il rischio di errori manuali.
Studio commercialista: attiva controlli incrociati sui dati fiscali e procedure di doppia verifica prima degli invii telematici.
Consulente del lavoro: stipula un’assicurazione professionale integrata con copertura per errori nella trasmissione di dati e adotta un gestionale con alert automatici.
In molti casi, il rischio non può essere eliminato del tutto, ma può essere contenuto con azioni concrete, formazione del personale e miglioramento dei processi.
Si documenta tutto.
Ogni fase (valutazioni, decisioni e azioni) deve essere registrata per poterla verificare in futuro.
Ad esempio:
Lo studio conserva un registro dei rischi con data di aggiornamento, responsabile, livello di gravità e azioni adottate.
I verbali delle riunioni, le checklist e i piani d’azione fanno parte delle “evidenze documentali” richieste anche ai fini di una futura certificazione UNI 11871.
Si comunica e si aggiorna.
Tutte le persone coinvolte devono essere informate, e il sistema va rivisto periodicamente per adattarlo ai cambiamenti interni o esterni.
Ad esempio:
Tutte le persone coinvolte devono essere informate sui rischi più rilevanti e sulle misure adottate.
Lo studio aggiorna periodicamente la valutazione, ad esempio ogni sei mesi o dopo eventi significativi: un cambio di normativa, una riorganizzazione interna o l’introduzione di nuove tecnologie.
La revisione costante trasforma la gestione dei rischi in uno strumento di miglioramento continuo, non in un semplice adempimento.
In sintesi per gestire in modo efficace i rischi, lo Studio deve definire o adottare un processo strutturato che permetta di:
a) identificare,
b) analizzare,
c) valutare e trattare i rischi, così da ottenere benefici concreti e duraturi in tutte le proprie attività.
Questo processo va pianificato e documentato con chiarezza.
Poiché la gestione dei rischi è un’attività continua, in caso di cambiamenti improvvisi o significativi nel contesto operativo lo Studio deve ripetere la valutazione seguendo lo stesso metodo.
Definizione degli obiettivi
I responsabili dello Studio dovrebbero definire in anticipo gli obiettivi della gestione dei rischi, in coerenza con la strategia e le politiche generali dello Studio.
Tra gli obiettivi principali ci possono essere:
a) gestire le attività in modo consapevole ed efficace;
b) proteggere e rafforzare il valore e la reputazione dello Studio;
c) prevenire o ridurre perdite economiche;
d) migliorare la pianificazione e le procedure operative;
e) ottimizzare le coperture assicurative e ridurne i costi;
f) diffondere una cultura della gestione dei rischi a tutti i livelli;
g) agevolare l’ottenimento di certificazioni che richiedono attività di risk assessment;
h) aumentare la fiducia di clienti e stakeholder nello Studio.
Definizione della responsabilità
Identificazione delle responsabilità
Lo Studio dovrebbe individuare chi gestisce i rischi e chi ne è titolare.
Esempio
Il socio amministrativo viene designato come “responsabile della gestione dei rischi”, con il compito di coordinare la valutazione e l’aggiornamento del registro rischi.
Ogni responsabile di area (es. contabile, legale, fiscale) è titolare del rischio relativo alle proprie attività operative.
Nomina di un responsabile o organo di controllo
In base alla struttura dello Studio, dovrebbe essere nominato un responsabile interno o un organo di controllo.
Esempio
In uno studio medio-grande, viene istituito un “Comitato Rischi e Qualità” composto da tre soci, che assicura la corretta applicazione del processo di gestione dei rischi.
In uno studio individuale, il professionista può assumere direttamente il ruolo di responsabile della gestione dei rischi.
Riesame periodico
Il responsabile o l’organo di controllo devono riesaminare almeno una volta l’anno il contesto e l’organizzazione.
Esempio
Ogni anno, a dicembre, viene redatto un verbale di riesame in cui si analizzano:
i rischi emersi nell’anno (es. ritardi, reclami, problemi di sicurezza informatica);
le azioni correttive intraprese;
le nuove opportunità (es. digitalizzazione di procedure, nuovi protocolli di sicurezza).
Aggiornamento in caso di variazioni eccezionali
In caso di cambiamenti imprevisti, il processo dovrebbe essere riesaminato e aggiornato.
Esempio
Se entra in vigore una nuova normativa fiscale o deontologica, il responsabile dei rischi rivede i protocolli interni per garantire la conformità.
Dopo una fusione con un altro studio, il comitato rischi aggiorna l’analisi del contesto e ridefinisce i titolari dei rischi.
In caso di cyberattacco o perdita di dati, il responsabile aggiorna il piano di sicurezza informatica e definisce nuove procedure di backup.
| Requisito | Ulteriori esempi applicativi | Evidenza documentale |
|---|---|---|
| Lo Studio dovrebbe individuare chi gestisce i rischi e chi ne è titolare. | Lo Studio nomina un Responsabile della gestione dei rischi (es. socio amministrativo) e assegna ai responsabili di area (legale, fiscale, amministrativa) il ruolo di titolare dei rischi specifici. |
— Nomina formale del responsabile dei rischi — Elenco/registro dei titolari di rischio per area — Organigramma funzionale aggiornato |
| In base alla struttura dello Studio, dovrebbe essere nominato un responsabile interno o un organo di controllo. | In uno studio associato si istituisce un Comitato Rischi e Qualità che supervisiona il processo e valida le azioni correttive. In uno studio individuale il titolare può assumere direttamente la funzione. |
— Verbale di nomina del Comitato/responsabile — Descrizione delle funzioni nel Manuale/Registro rischi — Procedura interna di gestione del rischio |
| Il responsabile o l’organo di controllo devono riesaminare almeno una volta l’anno il contesto e l’organizzazione. | A dicembre si svolge un riesame annuale: analisi dei rischi emersi, reclami, cambi normativi, risultati assicurativi e nuove opportunità (es. introduzione di strumenti digitali). |
— Verbale di riesame annuale — Registro rischi e azioni aggiornato — Piano di miglioramento per l’anno successivo |
| In caso di cambiamenti imprevisti, il processo dovrebbe essere riesaminato e aggiornato. | Dopo una nuova normativa privacy o un evento critico (es. data breach, cambio sede, ingresso di nuovi soci), il responsabile aggiorna il registro e definisce nuove misure di prevenzione. |
— Verbale straordinario di riesame — Versione aggiornata del registro rischi — Comunicazione interna delle modifiche operative |
Definizione della soglia di accettabilità del rischio
Lo Studio dovrebbe stabilire una soglia di riferimento per capire quali rischi sono tollerabili e quali dovrebbero essere trattati.
Esempio
Lo Studio definisce una matrice dei rischi che combina probabilità e impatto su una scala da 1 a 5.
Rischi con punteggio da 1 a 6 → accettabili, non richiedono azioni.
Rischi con punteggio da 7 a 15 → da monitorare.
Rischi con punteggio oltre 15 → non accettabili, richiedono intervento immediato.
Aggiornamento periodico
Lo Studio dovrebbe rivedere almeno una volta l’anno la soglia di accettabilità, per verificare che sia coerente con il contesto e con i cambiamenti organizzativi.
Esempio
Dopo l’adozione di un nuovo software gestionale o l’apertura di una seconda sede, il Comitato rischi rivede la soglia per includere i nuovi rischi informatici o organizzativi.
Rischi accettabili
I rischi potrebbero essere considerati accettabili quando il loro impatto è basso e le misure già adottate li rendono controllabili.
Esempio
Ritardi saltuari nell’invio di documenti non critici, con effetto minimo sul cliente.
Piccole variazioni nei costi di cancelleria o nelle spese ricorrenti.
🔹 Rischi non accettabili
I rischi dovrebbero essere trattati quando superano la soglia stabilita.
Esempio
Mancato rispetto delle scadenze fiscali o giudiziarie.
Violazioni della privacy o perdita di dati sensibili.
Reclami ripetuti da parte di clienti strategici.
Evidenze documentali possibili
Registro rischi con punteggi, soglia di accettabilità e azioni previste.
Verbale di riesame annuale in cui si aggiorna la soglia.
Procedura interna che definisce criteri e modalità di revisione della soglia.
Individuazione delle aree di rischio
Lo Studio dovrebbe individuare e analizzare le diverse aree di rischio considerando gli aspetti principali (già considerati nei punti precedenti della norma) che influenzano la propria attività.
A titolo di esempio, le aree di rischio potrebbero riguardare:
il contesto operativo e le parti interessate (clienti, collaboratori, fornitori, autorità);
la tipologia di clientela servita (privati, imprese, enti pubblici);
le caratteristiche dei componenti dello Studio (esperienza, competenze, ruoli);
le caratteristiche dei consulenti esterni e dei corrispondenti;
la struttura organizzativa e i principali processi di erogazione dei servizi;
gli strumenti utilizzati nei processi (software, sistemi di archiviazione, piattaforme digitali), per rilevare eventuali errori, inefficienze o carenze operative;
gli strumenti aggiuntivi che potrebbero essere necessari in caso di cambiamenti significativi, come il lavoro da remoto o l’uso di piattaforme per le udienze telematiche;
le norme cogenti applicabili: leggi, regolamenti, codici deontologici e procedure professionali.
L’ambito di valutazione dei rischi dovrebbe includere, in modo ricorrente, i seguenti processi:
l’analisi dei fattori di contesto;
la selezione delle risorse e dei componenti dello Studio;
l’aggiornamento professionale e tecnico dei componenti, incluse le regole di sicurezza sanitaria;
i sistemi di comunicazione interna, comprese le modalità di lavoro a distanza e i collegamenti da remoto;
i metodi di comunicazione esterna, incluse le comunicazioni telematiche con clienti e istituzioni;
la programmazione e gestione delle attività professionali, sia giudiziali che stragiudiziali, con i relativi adempimenti (es. udienze scritte per gli avvocati, invii telematici per i commercialisti);
la gestione delle scadenze e degli incarichi ricevuti;
la redazione, deposito e notifica di atti, anche per via telematica;
le attività amministrative e di fatturazione;
la verifica della soddisfazione dei clienti;
la conservazione e archiviazione della documentazione, sia cartacea che digitale, relativa agli incarichi in corso e conclusi.
La norma UNI 11871, richiede di individuare le aree di rischio (punto 9.5), che aiutano a delimitare il perimetro dell’analisi,
e i processi che servono per fare la valutazione concreta del rischio in ciascun punto operativo dello studio.
In pratica:
le aree sono il “dove guardare”;
i processi sono il “come accade”.
Le aree di rischio rappresentano i campi o ambiti in cui possono originarsi eventi o situazioni che mettono a rischio gli obiettivi dello studio.
Sono “zone sensibili” da osservare, non attività in sé, ma insiemi di fattori che generano potenziali minacce o opportunità.
Rispondono alla domanda: "Dove può verificarsi un problema?"
📘 Esempio pratico
Area tecnologica → rischio di perdita dati o accessi non autorizzati.
Area organizzativa → rischio di sovraccarico di lavoro o mancanza di sostituzioni.
Area legale/deontologica → rischio di conflitto di interessi o violazione di norme.
Area reputazionale → rischio di reclami o danni d’immagine.
Le aree servono a mappare dove si concentrano i rischi, per poi poterli valutare.
🔹 Processi
I processi sono invece le attività operative dello studio, cioè come lo studio funziona ogni giorno per raggiungere i suoi obiettivi.
Riguardano il flusso di lavoro: le sequenze di azioni, ruoli e strumenti che producono risultati misurabili.
📘 Esempio pratico
Processo di presa in carico del cliente → identificazione, verifica conflitti, lettera di incarico.
Processo di gestione delle scadenze → pianificazione, controllo, notifiche.
Processo di archiviazione → classificazione, salvataggio e conservazione digitale.
Processo di fatturazione → emissione, invio, controllo dei pagamenti.
I processi servono a capire come e in quali fasi i rischi possono manifestarsi.
Rispondono alla domanda: In quale attività può accadere?
| Area di rischio | Processo coinvolto | Esempio di rischio | Azione di trattamento |
|---|---|---|---|
| Organizzativa | Gestione incarichi e scadenze | Mancata assegnazione o monitoraggio di una scadenza importante | Calendario condiviso e alert automatici; assegnazione di un responsabile per ogni pratica |
| Tecnologica / informatica | Archiviazione e conservazione documenti | Perdita o accesso non autorizzato a dati riservati | Backup automatici giornalieri; permessi di accesso granulari; protocollo di sicurezza informatica |
| Legale / deontologica | Presa in carico del cliente | Accettazione di un incarico in conflitto di interessi | Verifica preventiva dei conflitti e tracciamento dell’esito nel gestionale |
| Reputazionale | Comunicazione esterna e rapporto con i clienti | Reclami o recensioni negative per ritardi o comunicazioni inefficaci | Protocollo di gestione reclami; questionario annuale di soddisfazione |
| Finanziaria / amministrativa | Parcellazione e fatturazione | Errori di calcolo o omissioni nella fatturazione | Controllo incrociato con pratiche chiuse; verifiche mensili del responsabile amministrativo |
| Compliance normativa | Tutela privacy e sicurezza dati | Trattamento non conforme al GDPR o data breach | Aggiornamento registro trattamenti; formazione periodica su privacy e sicurezza digitale |
| Risorse umane | Selezione e formazione dei componenti | Competenze non adeguate o carenze nella formazione obbligatoria | Piano formativo periodico; registro formazione aggiornato e verifica crediti professionali |
| Operativa / qualità del servizio | Gestione pratica e redazione atti | Errori o omissioni in documenti legali o fiscali | Revisione a due livelli (chi prepara e chi verifica) prima dell’invio |
Analisi dei rischi
Lo Studio dovrebbe mantenere costantemente aggiornata la valutazione dei rischi, stimando per ciascuno:
la probabilità che l’evento si verifichi,
l’impatto che potrebbe avere sull’organizzazione,
tenendo conto delle misure di prevenzione o trattamento già adottate.
In pratica, lo Studio dovrebbe essere in grado di rivedere periodicamente questi valori per assicurarsi che la propria analisi dei rischi resti realistica e coerente con l’evoluzione del contesto e dell’organizzazione.
Valutazione ponderata dei rischi rispetto alla soglia di accettabilità
Una volta calcolato il livello di ciascun rischio, esso dovrebbe essere ponderato e confrontato con la soglia di accettabilità definita. I risultati dovrebbero essere documentati per supportare le decisioni successive.
🔹 Esempio 1 – Rischio informatico
Rischio: perdita di dati a causa di errore umano.
Analisi: probabilità 4, impatto 5 → punteggio 20.
Soglia di accettabilità: 15.
Esito: rischio non accettabile.
Azione: implementare backup automatici giornalieri, formazione obbligatoria sul corretto uso del gestionale e verifica dei permessi di accesso.
Documentazione: registro rischi aggiornato + verbale della riunione del comitato rischi.
🔹 Esempio 2 – Rischio operativo
Rischio: ritardo nella consegna di un parere legale.
Analisi: probabilità 3, impatto 3 → punteggio 9.
Soglia di accettabilità: 15.
Esito: rischio accettabile, ma da monitorare.
Azione: definire scadenze intermedie nel gestionale e comunicare al cliente eventuali proroghe.
Documentazione: nota di monitoraggio scadenze archiviata nel gestionale.
🔹 Esempio 3 – Rischio reputazionale
Rischio: comunicazione errata a un cliente.
Analisi: probabilità 2, impatto 4 → punteggio 8.
Soglia di accettabilità: 10.
Esito: rischio accettabile, non richiede azioni correttive.
Azione: mantenere il doppio controllo sui messaggi sensibili.
Documentazione: elenco dei controlli periodici sulla comunicazione esterna.
🔹 Esempio 4 – Rischio normativo
Rischio: mancato aggiornamento rispetto a una nuova norma fiscale.
Analisi: probabilità 3, impatto 5 → punteggio 15.
Soglia di accettabilità: 12.
Esito: rischio non accettabile.
Azione: aggiornamento formativo immediato per il team fiscale e revisione delle procedure interne.
Documentazione: verbale del riesame annuale + programma formativo aggiornato.
| Rischio identificato | Probabilità (1–5) | Impatto (1–5) | Punteggio (P×I) | Livello di rischio | Azione richiesta |
|---|---|---|---|---|---|
| Mancato rispetto di una scadenza processuale | 3 | 5 | 15 | Da monitorare | Rafforzare il controllo scadenze e verificare l’efficacia dei promemoria |
| Perdita di dati dal gestionale per errore umano | 4 | 5 | 20 | Non accettabile | Attivare backup automatico, formazione del personale e revisione permessi |
| Comunicazione errata a un cliente su un termine fiscale | 2 | 4 | 8 | Da monitorare | Revisione interna delle comunicazioni e doppio controllo prima dell’invio |
| Guasto temporaneo a stampante o scanner | 2 | 2 | 4 | Accettabile | Nessuna azione immediata; monitoraggio periodico dell’hardware |
| Ritardo nel pagamento di una fattura da parte di un cliente | 3 | 2 | 6 | Accettabile | Monitorare la situazione; sollecito se il ritardo si ripete |
| Violazione della privacy (invio errato di documenti sensibili) | 4 | 5 | 20 | Non accettabile | Segnalazione al DPO, revisione procedure email e adozione crittografia |
| Legenda soglia: 1–6 = Accettabile | 7–15 = Da monitorare | >15 = Non accettabile | |||||
I risultati possono essere visualizzati su un grafico che rappresenta la matrice di rischio.
Ecco il grafico della matrice dei rischi (Probabilità × Impatto), con i livelli colorati:
🟩 Accettabile (1-6) – nessuna azione immediata
🟨 Da monitorare (7-15) – azioni preventive consigliate
🟥 Non accettabile (>15) – intervento immediato richiesto
Stategie di gestione dei rischi non accettabili
Dopo la valutazione, lo Studio dovrebbe distinguere tra:
rischi accettabili, cioè al di sotto della soglia di tolleranza definita;
rischi non accettabili, per i quali occorre adottare misure di trattamento per ridurne l’impatto o la probabilità.
Le principali modalità di trattamento sono:
Trasferimento del rischio
Spostare le conseguenze economiche su terzi, ad esempio tramite un’assicurazione professionale o una polizza cyber risk.
Eliminazione del rischio
Rimuovere la causa del problema, come interrompere un servizio non sicuro o evitare collaborazioni con fornitori inaffidabili.
Riduzione del rischio
Introdurre misure preventive, ad esempio procedure di backup, formazione del personale o controllo degli accessi ai dati.
Assunzione del rischio
Accettare il rischio ma con un piano di risposta in caso di evento negativo, come prevedere protocolli d’emergenza per il blocco di un gestionale.
Assunzione consapevole per opportunità
Accettare un rischio maggiore se associato a un possibile vantaggio, per esempio adottare una nuova tecnologia innovativa dopo una valutazione costi-benefici.
Ecco una selezione di esempi concreti, calibrati sul contesto di uno studio professionale o di commercialisti, per ciascuna tipologia di trattamento del rischio prevista dalla UNI 11871:2022.
1. Trasferimento del rischio
L’obiettivo è spostare su terzi le conseguenze economiche di un evento negativo.
Esempi:
Attivare o ampliare una polizza RC professionale per coprire danni derivanti da errori di calcolo o omissioni.
Sottoscrivere una polizza cyber risk per coprire eventuali perdite di dati o attacchi informatici.
Affidare a un fornitore esterno certificato (in outsourcing) la conservazione digitale dei documenti, riducendo il rischio tecnico interno.
2. Eliminazione del rischio
Consiste nel rimuovere la causa o evitare l’attività che genera il rischio.
Esempi:
Rinunciare a gestire pratiche in settori troppo complessi o non coerenti con le competenze dello studio.
Disattivare un software obsoleto o privo di aggiornamenti di sicurezza.
Cessare collaborazioni con soggetti che non rispettano le procedure di riservatezza o protezione dati.
3. Riduzione del rischio
Mira a diminuire la probabilità che il rischio si verifichi o l’impatto che avrebbe.
Esempi:
Implementare procedure di controllo qualità sui documenti prima dell’invio ai clienti o agli enti.
Introdurre backup automatici e controlli di accesso per la protezione dei dati.
Formare periodicamente il personale su sicurezza informatica, privacy e aggiornamenti normativi.
Utilizzare checklist digitali o workflow condivisi per ridurre errori nelle scadenze fiscali.
4. Assunzione consapevole del rischio
Il rischio viene accettato perché gestibile o perché associato a una possibile opportunità.
Esempi:
Adottare una nuova piattaforma cloud ancora in fase iniziale di mercato, per migliorare efficienza operativa, accettando un rischio tecnologico controllato.
Partecipare a gare o progetti innovativi che comportano incertezza economica ma possono generare visibilità e nuovi clienti.
Avviare un progetto di automazione interna che può inizialmente ridurre la produttività ma porta benefici nel medio periodo.
| Tipo di trattamento | Esempio di rischio | Azione di trattamento | Responsabile | Tempistica | Evidenze / Documentazione |
|---|---|---|---|---|---|
| Trasferimento | Perdita di dati o attacchi informatici | Sottoscrizione di polizza cyber risk e servizio di backup gestito esterno | Responsabile IT / Titolare dello Studio | Entro 30 giorni dalla valutazione del rischio | Contratti assicurativi, attestazioni fornitore, registro rischi aggiornato |
| Eliminazione | Collaborazione con fornitori non conformi al GDPR | Interruzione del rapporto e selezione di nuovi fornitori certificati | Titolare dello Studio | Immediata dopo verifica di non conformità | Comunicazione formale, elenco fornitori aggiornato |
| Riduzione | Errori nella gestione delle scadenze fiscali | Introduzione di checklist digitali e doppia validazione delle pratiche | Responsabile Area Contabile | Entro 60 giorni | Procedure interne, registro formazione, report controlli |
| Assunzione consapevole | Implementazione di nuova piattaforma gestionale | Progetto pilota con monitoraggio costante e piani di backup | Responsabile Innovazione / Titolare | 3 mesi | Report di test, piano di miglioramento, registro rischi aggiornato |
Piano per il trattamento e l'analisi dei rischi
Dopo aver valutato i rischi, lo Studio definisce le azioni da intraprendere e pianifica come attuarle in modo strutturato.
Il piano deve indicare in modo chiaro:
chi è responsabile di ogni misura (in base all’organigramma);
quali risorse economiche, tecnologiche o umane vengono impiegate;
entro quando le azioni devono essere realizzate;
come e quando si verificano i risultati e si aggiornano le azioni correttive.
La gestione del rischio non è un’attività una tantum: è un processo continuo, che si rinnova ogni volta che cambiano le condizioni operative, normative o organizzative dello Studio.
Esempi pratici
Se lo Studio introduce un nuovo software gestionale, occorre aggiornare la valutazione dei rischi informatici, ridefinire le soglie di accettabilità e stabilire un piano di monitoraggio tecnico trimestrale.
In caso di riorganizzazione interna o ingresso di nuovi collaboratori, il piano di trattamento dovrà includere la formazione obbligatoria in materia di sicurezza e privacy.
Se un rischio precedentemente “basso” diventa “medio” per mutamenti del contesto (es. aumento attacchi phishing), si aggiorna la matrice dei rischi e si attiva un piano correttivo dedicato.
Tabella operativa di piano di trattamento
| Rischio | Azione di trattamento | Responsabile | Risorse | Scadenza | Stato / Esito verifica |
|---|---|---|---|---|---|
| Perdita di dati a causa di malfunzionamenti del server | Implementazione sistema di backup automatico giornaliero su cloud certificato | Responsabile IT | Software backup + storage cloud | 30 giorni | In corso – verifica trimestrale |
| Errore umano nella gestione delle scadenze fiscali | Introduzione di checklist digitali e doppia validazione delle pratiche | Responsabile Area Contabile | Software gestione attività + formazione interna | 60 giorni | Attuato – nessuna anomalia rilevata |
| Violazione della privacy da parte di nuovo collaboratore | Formazione iniziale e firma accordo di riservatezza | Responsabile Risorse Umane | Tempo formazione + materiali didattici | Al momento dell’ingresso | Completato – documentazione archiviata |
| Aumento del rischio informatico (phishing e malware) | Campagna di sensibilizzazione interna e attivazione autenticazione a due fattori | Responsabile Sicurezza Informatica | Piattaforma e-learning + licenze software | 90 giorni | In attuazione – monitoraggio mensile |
Rischi come fonte di opportunità
Nel valutare i rischi, lo Studio considera non solo gli effetti negativi, ma anche le possibili conseguenze positive o le opportunità che possono emergere da un cambiamento o da un evento imprevisto.
Questo approccio consente di trasformare alcune criticità in occasioni di crescita, innovazione o miglioramento organizzativo.
Esempi pratici:
Nuove normative fiscali o contabili possono aprire spazi per offrire servizi di consulenza aggiornati o pacchetti specifici per le imprese.
Digitalizzazione e automazione dei processi possono ridurre errori e tempi di lavoro, migliorando la qualità del servizio al cliente.
Incidenti informatici gestiti correttamente possono rafforzare la sicurezza dei dati e la fiducia dei clienti.
Cambiamenti nel mercato professionale possono favorire collaborazioni o alleanze strategiche con altri studi.
| Rischio individuato | Potenziale opportunità | Azione per coglierla | Beneficio atteso |
|---|---|---|---|
| Introduzione di nuove norme fiscali o contabili | Offrire servizi di consulenza aggiornati e formazione ai clienti | Creazione di un pacchetto informativo o webinar dedicato | Nuove entrate e posizionamento come studio aggiornato e proattivo |
| Necessità di digitalizzare i processi interni | Riduzione degli errori e maggiore efficienza operativa | Implementazione di piattaforme cloud e workflow automatizzati | Più produttività e migliore esperienza cliente |
| Attacco informatico o perdita di dati | Rafforzamento delle misure di sicurezza e revisione dei protocolli | Introduzione di autenticazione a due fattori e formazione del personale | Aumento della sicurezza e della fiducia dei clienti |
| Turnover di personale qualificato | Possibilità di introdurre nuove competenze e approcci più digitali | Selezione di collaboratori con profili tecnologici o gestionali | Innovazione organizzativa e nuovi punti di vista |
| Cambiamenti del mercato o concorrenza crescente | Collaborazioni con altri studi o creazione di servizi integrati | Avvio di partnership o progetti di co-marketing | Maggiore visibilità e fidelizzazione dei clienti |
Le evidenze richieste in fase di certificazione
Pianificazione delle azioni
Lo Studio pianifica le azioni necessarie per gestire i rischi individuati, basandosi sull’analisi del contesto e sulla valutazione dei fattori di rischio.
Tutte le decisioni vengono documentate all’interno dell’analisi del contesto, che rappresenta il punto di partenza per l’intero processo di gestione.
Analisi di rischi e opportunità
In questa fase vengono identificati e valutati i principali rischi e le possibili opportunità connessi all’attività dello Studio.
Ogni rischio è descritto nel registro dei rischi e delle opportunità, che contiene le azioni pianificate, le verifiche periodiche e le evidenze delle attività svolte.
Definizione di obiettivi e responsabilità
Lo Studio assegna ruoli, poteri e responsabilità per la gestione dei rischi, definendo soglie di accettabilità e modalità di aggiornamento periodico dei processi.
Le attività e gli eventuali aggiornamenti sono tracciati attraverso evidenze e registrazioni che attestano la corretta attuazione delle procedure.
Piano per i rischi non accettabili
Per i rischi che superano la soglia di accettabilità, lo Studio adotta misure correttive e un piano d’azione dedicato, monitorandone nel tempo l’efficacia.
Le misure adottate e le relative verifiche sono raccolte nelle evidenze di trattamento, aggiornate periodicamente.
Gestione dei rischi – Sintesi operativa
La gestione dei rischi nello Studio comprende la pianificazione, l’analisi, l’assegnazione di responsabilità e la definizione di piani di trattamento, con l’obiettivo di ridurre gli impatti negativi e valorizzare le opportunità.
| Attività | Descrizione sintetica | Documentazione / Evidenze |
|---|---|---|
| Pianificazione delle azioni | Definizione delle misure per la gestione dei rischi individuati, sulla base dell’analisi del contesto e della valutazione dei rischi. | Documento di analisi del contesto. |
| Analisi di rischi e opportunità | Identificazione e valutazione dei rischi e delle opportunità, con registrazione delle azioni e delle verifiche effettuate. | Registro dei rischi e delle opportunità con evidenze delle azioni. |
| Obiettivi e responsabilità | Assegnazione di ruoli e soglie di accettabilità, riesame periodico e aggiornamento dei processi. | Evidenze e registrazioni aggiornate dei processi. |
| Piano per rischi non accettabili | Definizione e monitoraggio delle misure correttive per i rischi oltre la soglia di accettabilità, con aggiornamento del piano d’azione. | Evidenze delle misure di trattamento e del piano di azione. |
ESEMPIO DI REGISTRO DEI RISCHI
| ID | Nome e descrizione del rischio | Categoria | Probabilità (1-5) | Impatto (1-5) | Valutazione iniziale (P × I) | Mitigazione / Azioni di trattamento | Responsabile / Titolare del rischio | Scadenza | Data di manifestazione | Stato | Valutazione residua | Note / Evidenze |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| R001 | Ritardi nelle scadenze fiscali Possibili ritardi nell’invio di dichiarazioni o adempimenti per sovraccarico del team contabile. |
Operativo / Programmazione | 4 | 5 | 20 | Implementare una checklist digitale condivisa e assegnare un referente per il controllo settimanale delle scadenze. | Responsabile Area Contabile | 30/11/2025 | – | In corso | 10 | Checklist approvata e in fase di test operativo. |
| R002 | Errore nella redazione di atti legali Rischio di imprecisioni o omissioni in contratti e pareri legali per revisioni insufficienti. |
Professionale / Qualità | 3 | 4 | 12 | Introdurre doppia revisione obbligatoria e uso di modelli standard approvati dallo Studio. | Avv. Responsabile Pratiche | 15/12/2025 | – | In corso | 6 | Verifiche interne in corso; prime revisioni completate. |
| R003 | Violazione della privacy Accesso non autorizzato ai dati dei clienti o errata gestione dei documenti sensibili. |
Sicurezza / Privacy | 2 | 5 | 10 | Abilitare autenticazione a due fattori, aggiornare policy GDPR e condurre formazione obbligatoria annuale. | Responsabile Privacy | 31/10/2025 | – | In attuazione | 5 | Audit GDPR pianificato; piattaforma MFA attiva. |
| R004 | Assenza improvvisa di un professionista chiave Interruzione nella gestione dei clienti per indisponibilità del referente principale. |
Organizzativo / HR | 3 | 3 | 9 | Definire piano di sostituzione interna e condividere procedure e contatti dei clienti nel gestionale. | Titolare dello Studio | 15/01/2026 | – | In corso | 6 | Documentazione clienti caricata; piano di backup in revisione. |
| R005 | Perdita di dati informatici Guasto ai server o errore umano che comporta cancellazione o corruzione dei file. |
IT / Sicurezza | 4 | 5 | 20 | Attivare backup giornalieri automatici in cloud e test di ripristino trimestrali. | Responsabile IT | 30/09/2025 | 10/10/2025 | Attuato | 5 | Backup automatizzati verificati; report di test archiviato. |
Il passo successivo
Hai appena concluso l’analisi del principio dedicato alla gestione dei rischi.
Si tratta di un principio centrale della norma: ti suggerisco di affrontarlo per gradi, partendo dagli elementi obbligatori (indicati dalla formula “lo studio deve”), poi da quelli raccomandati (“lo studio dovrebbe”), e infine dagli aspetti facoltativi o di miglioramento.
Ora cosa succede?
Nelle prossime settimane pubblicherò progressivamente l'analisi di tutti gli altri requisiti della norma.
Ma c'è un problema: seguire ogni aggiornamento, organizzare le informazioni e applicarle alla tua realtà richiede tempo che probabilmente non hai.
Registrati ora e a partire dalle prossime settimane riceverai:
✓ Le checklist operative pronte all'uso per verificare subito la tua conformità
✓ Guide pratiche per ogni requisito (niente teoria inutile, solo azioni concrete), ad esempio come si crea un organigramma, approfondimento sui tool per realizzarlo, linee guida per redigere un codice etico dello studio e tanto altro.
✓ Accesso anticipato a tutti i nuovi contenuti, direttamente nella tua email
✓ Un percorso strutturato che ti fa risparmiare ore di lavoro
Perché questo approccio è diverso?
Ho eliminato il superfluo. Ogni risorsa è pensata per chi deve ottenere risultati velocemente, anche con poco tempo a disposizione: leggi, scarichi, applichi, verifichi.
CONDIVIDI
Registrati (gratis) per sbloccare tutte le nostre guide pratiche e tool utili e rimanere aggiornato sulle novità
Guarda le guide, i tool e gli articoli di compliance pratica UNI 11871:2022 e rimani aggiornato quando ne aggiungeremo di nuovi.
LINK VELOCI
ARTICOLI GRATUITI
Articoli riservati (Accedi)
Registrati (gratis) per sbloccare tutti gli articoli, le nostre guide pratiche e materiali utili.
Creato con ©systeme.io•