Risk Management e nuova ISO 31000:2018: le Linee Guida
Cos’è il risk management? Quali sono i cardini ed i benefici e perché è importante accrescerne la cultura come elemento essenziale allo sviluppo di ogni organizzazione? Tutte le novità introdotte dall'ultima versione dello standard ISO 31000.
La gestione del rischio
Ogni organizzazione è concepita come una realtà dinamica, impegnata costantemente a migliorare e perfezionare i propri livelli di produttività e di qualità, al fine di acquisire dei vantaggi competitivi e di raggiungere i propri obiettivi. In un contesto in continua evoluzione è quindi fondamentale adattarsi ai cambiamenti e sapersi rinnovare (strategie, organizzazione e tecnologie) quando necessario; tale spinta al rinnovamento però non può esistere o essere efficace, senza una funzione conservativa, finalizzata a tutelare ciò che già esiste e a gestire in maniera controllata l’evoluzione sia pianificata sia spontanea.
Di quali rischi parliamo?
In generale il rischio è un fenomeno molto comune di cui ognuno ha un’idea intuitiva che, in qualche modo, si rivolge all’imprevedibilità degli eventi futuri su un bene di cui si conosce o se ne percepisce il valore; tale percezione può avere diverse sfumature, da quelle economiche a quelle emozionali. Per un’azienda la gestione del rischio si concentra su quegli eventi che impediscono o ostacolano il raggiungimento degli obiettivi prefissati (“l’effetto dell’incertezza sugli obiettivi”).
Ma di quali rischi parliamo? Oggi il panorama è molto vasto, di seguito una lista non esaustiva di alcune tipologie:
Rischi e possibili eventi
- Naturali: Alluvioni, uragani, terremoti
- Sociali: Criminalità, terrorismo
- Finanziari: Andamento del mercato, variazione delle condizioni praticate da clienti e fornitori
- Competitivi: Contraffazione, Sabotaggio
- Informatici: Furto di informazioni, accesso non autorizzato ad un sistema informatico, malware
- Fisici: Incidenti sul lavoro, accessi non autorizzati ad aree protette
- Privacy: Furto, perdita, divulgazione di informazioni
- Compliance: Violazione di leggi o regolamenti
La struttura. Cardini e benefici del risk management
Anche la struttura, pur essendo stata semplificata, ha mantenuto i concetti base ben saldi. La revisione enfatizza l’importanza degli stakeholders, in particolare del top management, nell’organizzare un framework basato in primis sull’integrazione, e poi sulla progettazione, implementazione, sulla valutazione e sul miglioramento continuo.
Il top management diventa quindi il cardine del modello di Risk Management, garantendo leadership ed impegno. Per esso sono state mantenute responsabilità come la messa a disposizione delle risorse, la definizione di regole (statement or policy) per la gestione del rischio e l’assegnazione di ruoli e responsabilità (delegare l’applicazione). In questa sezione vengono esposte le motivazioni che dovrebbero indurre il top management ad agire secondo le linee guida (“this will help the organization to”); in particolare vengono citati alcuni benefici come l’allineamento degli obiettivi della gestione del rischio con quelli dell’organizzazione, con le strategie e con la propria cultura, il monitoraggio sistematico dei rischi e la garanzia che il modello di gestione dei rischi sia sempre adeguato alle esigenze ed al contesto dell’organizzazione.
Ove possibile (“where applicable”) viene stressata anche l’importanza degli organi di sorveglianza come entità a cui viene assegnata una responsabilità sugli aspetti pratici del risk management e cioè sulla sua attuazione, sull’utilizzo di strumenti adeguati, sulla comprensione dei rischi e sull’allineamento degli obiettivi.
I concetti inerenti all’integrazione assumono un tono più chiaro, con l’enfatizzazione della partecipazione di tutto il personale nella gestione dei rischi (“Everyone in an organization has responsibility for managing risk”) e specificando che tale processo deve essere dinamico, iterativo e su misura rispetto alle necessità ed alla cultura dell’organizzazione.
La restante parte del capitolo è stata sintetizzata ma senza stravolgimenti. Infatti rimangono assolutamente valide le attività analisi del contesto interno ed esterno (par. 5.4.1), la comunicazione e la chiara definizione di ruoli e responsabilità, per citarne alcuni.
La finalità di creare una struttura secondo le linee guida dello standard che si basi sull’impegno del top management, è garantire la sostenibilità nel tempo del modello gestione dei rischi. È assolutamente improduttivo per qualsiasi organizzazione dotarsi di un modello di gestione dei rischi che non garantisce nel tempo efficienza nella gestione delle risorse ed efficacia nel conseguire gli obiettivi prefissati.
In definitiva il corpo di tutta la norma è stato reso più fruibile; la forma più schematica rende il testo più comprensibile e più leggibile fugando ogni dubbio su come implementare un modello di gestione del rischio. Un’ulteriore semplificazione nell’applicazione delle linee guida è stata la cancellazione dell’allegato A (“Caratteristiche di una gestione del rischio robusta”), i cui temi sono stati inseriti nel corpo normativo.
Il normatore ha quindi fatto un ulteriore sforzo per consentire alle organizzazioni di impostare al proprio interno un’efficace gestione del rischio. Inoltre si evince un forte contributo per poter accrescerne la cultura come elemento essenziale allo sviluppo di ogni organizzazione. È uscendo dalla zona di comfort che si raggiungono i risultati migliori, ma per farlo è necessario capire e fronteggiare l’incertezza che naturalmente si genera.
Studio Bini Engineering è a vostra disposizione per implementare la Certificazione 31000:2018 nella vostra Azienda.
