Gestione del rischio stan­dar­diz­za­ta: ISO 31000

Il tema della gestione del rischio è così im­por­tan­te che nessuna impresa può per­met­ter­si di essere ne­gli­gen­te. Rischi e op­por­tu­ni­tà sono presenti nelle aree più diverse dell’azienda e il ma­na­ge­ment deve essere preparato al riguardo. Questo è l’unico modo per avviare processi di soluzione adeguati. Per istituire un ra­gio­ne­vo­le sistema di gestione del rischio (RMS) in azienda, la direzione dovrebbe attenersi alla norma ISO 31000.

Un’impresa comporta sempre delle in­cer­tez­ze eco­no­mi­che, tecniche, stra­te­gi­che e di altro tipo. Non è possibile escludere tali rischi, ogni azienda deve saperli af­fron­ta­re. Un sistema di gestione del rischio fornisce istru­zio­ni e procedure su come reagire in si­tua­zio­ni di pericolo per limitare il più possibile eventuali danni. Tuttavia la norma ISO 31000 non considera i rischi come tutti negativi. Secondo tale norma esistono anche dei rischi positivi. Ogni volta che vi è in­cer­tez­za sul fatto che un evento futuro provochi una de­via­zio­ne negli obiettivi au­toim­po­sti, si parla di rischio.

L’Or­ga­niz­za­zio­ne in­ter­na­zio­na­le per la nor­ma­zio­ne (ISO) ha fissato diversi standard per il ma­na­ge­ment: ISO 9001 per la gestione della qualità, ISO 14001 per la gestione dell’ambiente e ISO 50001 per la gestione dell’energia. La norma ISO 31000 si concentra invece sulla gestione del rischio. In questo caso si tratta della gestione di una vasta gamma di rischi all’interno dell’azienda. La norma è pro­get­ta­ta per gestire qualsiasi rischio e inoltre l’ap­pli­ca­zio­ne del sistema non è limitata a società spe­ci­fi­che. Sia le PMI che le mul­ti­na­zio­na­li possono rendere più sicura la loro impresa con l’im­ple­men­ta­zio­ne delle linee guida.

Con­tra­ria­men­te ad altri standard, la norma ISO 31000 non è nello specifico destinata alla cer­ti­fi­ca­zio­ne. Con standard simili viene pro­get­ta­to un sistema in con­for­mi­tà con le linee guida fornite e, dopo aver superato l’audit, questo riceve un cer­ti­fi­ca­to cor­ri­spon­den­te, valido a livello in­ter­na­zio­na­le. Invece lo standard ISO 31000 va inteso come un’in­di­ca­zio­ne o una linea guida: se si desidera im­ple­men­ta­re un ef­fi­cien­te sistema di gestione del rischio nella propria azienda è possibile ricorrere alle regole definite dalla norma.

La norma è co­sti­tui­ta oltre che da capitoli in­tro­dut­ti­vi e da un’appendice, da principi, da un quadro di ri­fe­ri­men­to e dalla spie­ga­zio­ne del processo.

La norma ISO 31000 si basa su undici principi che valgono anche per le versioni suc­ces­si­ve della norma. Essi chia­ri­sco­no l’im­por­tan­za della gestione del rischio e for­ni­sco­no in­di­ca­zio­ni fon­da­men­ta­li per la creazione di un sistema di gestione del rischio.

• Valori: un sistema di gestione del rischio ga­ran­ti­sce il rag­giun­gi­men­to degli obiettivi aziendali e dunque la creazione di valori.
• In­te­gra­zio­ne: se si decide di uti­liz­za­re un sistema di gestione del rischio in azienda, è ne­ces­sa­rio in­te­grar­lo in tutte le aree.
• Decisioni: quando si prendono decisioni che incidono sul futuro dell’azienda, occorre con­sul­ta­re sempre un sistema di gestione del rischio.
• In­cer­tez­za: un futuro incerto è una com­po­nen­te centrale di un sistema di gestione del rischio e viene valutato come una cosa ovvia.
• Si­ste­ma­ti­ci­tà: una struttura sensata e tem­pe­sti­va è es­sen­zia­le per mantenere il sistema fun­zio­nan­te.
• In­for­ma­zio­ni: le decisioni relative al sistema di gestione del rischio si basano su tutti i dati di­spo­ni­bi­li.
• Ade­gua­men­to: il sistema di gestione del rischio deve essere fatto su misura e deve adattarsi alla realtà dell’azienda.
• Essere umano: un buon sistema di gestione del rischio considera se­ria­men­te i fattori culturali e umani e si orienta su questi.
• Tra­spa­ren­za: tutti i gruppi coinvolti hanno una visione completa del sistema di gestione del rischio.
• Di­na­mi­ci­tà: un sistema di gestione del rischio si adatta fa­cil­men­te a nuove con­di­zio­ni.
• Mi­glio­ra­men­to: un processo continuo consente al sistema di gestione del rischio di mi­glio­rar­si co­stan­te­men­te.

Il quarto capitolo della norma ISO 31000 descrive un quadro di ri­fe­ri­men­to del sistema di gestione del rischio, che si basa sui principi e formula a sua volta cinque diversi punti che un sistema deve seguire.

• In­te­gra­zio­ne: prima che un sistema di gestione del rischio possa essere im­ple­men­ta­to con successo occorre com­pren­de­re la struttura esatta dell’azienda. Il ma­na­ge­ment imposta quindi una strategia e assegna le re­spon­sa­bi­li­tà.
• Pro­get­ta­zio­ne: nella pro­get­ta­zio­ne di un sistema di gestione del rischio vengono con­si­de­ra­ti fattori interni ed esterni. In una di­chia­ra­zio­ne scritta la direzione si impegna nella gestione del rischio e chiarisce la strategia e l’al­lo­ca­zio­ne dei ruoli a tutti i di­pen­den­ti.
• Im­ple­men­ta­zio­ne: per im­ple­men­ta­re il sistema di gestione del rischio in azienda sono ne­ces­sa­rie modifiche nei processi aziendali. L’obiettivo è che il sistema sia accettato da tutti i di­pen­den­ti e faccia parte del lavoro quo­ti­dia­no.
• Va­lu­ta­zio­ne: per garantire l’ef­fi­cien­za a lungo termine, occorre eseguire re­go­lar­men­te delle verifiche del sistema di gestione del rischio, con­fron­tan­do gli obiettivi pre­fis­sa­ti con i risultati effettivi.
• Mi­glio­ra­men­to: è inoltre possibile uti­liz­za­re revisioni pe­rio­di­che per apportare mi­glio­ra­men­ti costanti. Il sistema di gestione del rischio dovrebbe adattarsi di­na­mi­ca­men­te ai cam­bia­men­ti nell’azienda ed essere quindi sempre più idoneo nel tempo.

Una volta im­ple­men­ta­to il quadro di ri­fe­ri­men­to nella propria azienda, è tempo di in­tro­dur­re e im­ple­men­ta­re i processi di gestione dei rischi. A dif­fe­ren­za del quadro di ri­fe­ri­men­to e dei principi di base, i processi sono azioni concrete adattate all’azienda. Dato che la norma ISO 31000 dovrebbe essere ge­ne­ral­men­te ap­pli­ca­bi­le a tutte le aziende di qualsiasi settore, anche qui lo standard fornisce solo sug­ge­ri­men­ti sti­mo­lan­ti, che devono quindi essere adattati nella loro rea­liz­za­zio­ne alla società.

Due fattori svolgono il ruolo più im­por­tan­te: co­mu­ni­ca­zio­ne e va­lu­ta­zio­ne dei rischi. I co­sid­det­ti sta­ke­hol­der (secondo lo standard ISO 31000 tutte le persone in­te­res­sa­te dalla gestione del rischio) devono essere informati in merito alle fasi dell’at­tua­zio­ne. At­tra­ver­so di­scus­sio­ni con tutti i di­pen­den­ti, il sistema di gestione del rischio, nel tempo, può essere adattato sempre più alle esigenze dell’azienda.

Parte della va­lu­ta­zio­ne del rischio consiste nell’iden­ti­fi­ca­re in­nan­zi­tut­to i rischi po­ten­zia­li. Dopo aver compilato una pa­no­ra­mi­ca dei rischi questi vengono messi a di­spo­si­zio­ne dei re­spon­sa­bi­li. Queste persone ana­liz­za­no quindi i rischi e, sulla base di tale analisi, ne fanno una va­lu­ta­zio­ne. A sua volta, la va­lu­ta­zio­ne del rischio precisa in che misura e con quali mezzi questi po­ten­zia­li eventi devono essere con­tra­sta­ti.

Una volta ef­fet­tua­ta la va­lu­ta­zio­ne può iniziare la gestione dei rischi. A questo proposito è possibile evitare com­ple­ta­men­te de­ter­mi­na­ti rischi, ridurne soltanto l’entità o ac­cet­tar­ne le con­se­guen­ze e non fare nulla. L’azienda può anche decidere di affidare la gestione a terzi esterni. Il mo­ni­to­rag­gio dei rischi e la co­mu­ni­ca­zio­ne dei risultati com­ple­ta­no il processo.

Altre norme ISO relative alla gestione aziendale hanno il grande vantaggio di poter ambire a un’adeguata cer­ti­fi­ca­zio­ne. Con un cer­ti­fi­ca­to si dimostra a livello in­ter­na­zio­na­le l’im­ple­men­ta­zio­ne di un sistema stan­dar­diz­za­to. Lo standard ISO 31000 non offre questa opzione e tuttavia la rea­liz­za­zio­ne delle linee guida è con­ve­nien­te.

Il successo o il fal­li­men­to di una gestione del rischio può com­por­ta­re delle con­se­guen­ze critiche per l’azienda: se si im­ple­men­ta un sistema di gestione del rischio in­suf­fi­cien­te, a volte i rischi non possono essere iden­ti­fi­ca­ti affatto o solo troppo tardi. Inoltre, senza un sistema di gestione del rischio ra­gio­ne­vo­le non ci sono istru­zio­ni ap­pro­pria­te per con­trol­la­re i rischi. La norma ISO 31000 contiene invece istru­zio­ni e sug­ge­ri­men­ti preparati da esperti. Chiunque si attenga alle linee guida ha quindi im­ple­men­ta­to un ottimo sistema nella sua azienda.

Ma l’in­tro­du­zio­ne o la con­ver­sio­ne di un sistema di gestione del rischio nella norma ISO 31000 comporta anche uno svan­tag­gio: l’im­ple­men­ta­zio­ne richiede tempo e talvolta è anche costosa. La norma richiede una profonda di­scus­sio­ne sull’argomento. Le modifiche ne­ces­sa­rie non possono essere pro­gram­ma­te in una riunione e quindi eseguite entro pochi giorni. Occorre invece occuparsi in­ten­sa­men­te della propria azienda, dei po­ten­zia­li rischi e di un sistema per af­fron­tar­li. La pia­ni­fi­ca­zio­ne e l’im­ple­men­ta­zio­ne com­por­ta­no molti sforzi. Alle persone re­spon­sa­bi­li devono anche essere concessi dei mezzi al riguardo, con possibili costi ag­giun­ti­vi.

Vi preghiamo di osservare la nota legale relativa a questo articolo.