Il tema della gestione del rischio è così importante che nessuna impresa può permettersi di essere negligente. Rischi e opportunità sono presenti nelle aree più diverse dell’azienda e il management deve essere preparato al riguardo. Questo è l’unico modo per avviare processi di soluzione adeguati. Per istituire un ragionevole sistema di gestione del rischio (RMS) in azienda, la direzione dovrebbe attenersi alla norma ISO 31000.
Un’impresa comporta sempre delle incertezze economiche, tecniche, strategiche e di altro tipo. Non è possibile escludere tali rischi, ogni azienda deve saperli affrontare. Un sistema di gestione del rischio fornisce istruzioni e procedure su come reagire in situazioni di pericolo per limitare il più possibile eventuali danni. Tuttavia la norma ISO 31000 non considera i rischi come tutti negativi. Secondo tale norma esistono anche dei rischi positivi. Ogni volta che vi è incertezza sul fatto che un evento futuro provochi una deviazione negli obiettivi autoimposti, si parla di rischio.
ISO 31000: la norma internazionale ISO 31000 fornisce linee guida per un sistema di gestione del rischio. Lo standard è concepito in modo tale da poter essere applicato a ogni impresa, indipendentemente dalle dimensioni e dal settore. A differenza di molte altre norme dell’Organizzazione internazionale per la normazione, lo standard ISO 31000 non è destinato alla certificazione.
L’Organizzazione internazionale per la normazione (ISO) ha fissato diversi standard per il management: ISO 9001 per la gestione della qualità, ISO 14001 per la gestione dell’ambiente e ISO 50001 per la gestione dell’energia. La norma ISO 31000 si concentra invece sulla gestione del rischio. In questo caso si tratta della gestione di una vasta gamma di rischi all’interno dell’azienda. La norma è progettata per gestire qualsiasi rischio e inoltre l’applicazione del sistema non è limitata a società specifiche. Sia le PMI che le multinazionali possono rendere più sicura la loro impresa con l’implementazione delle linee guida.
La norma ISO 31000 prevede un processo di miglioramento continuo. Grazie al ciclo di Deming il sistema può perfezionarsi costantemente.
Contrariamente ad altri standard, la norma ISO 31000 non è nello specifico destinata allacertificazione. Con standard simili viene progettato un sistema in conformità con le linee guida fornite e, dopo aver superato l’audit, questo riceve un certificato corrispondente, valido a livello internazionale. Invece lo standard ISO 31000 va inteso come un’indicazione o una linea guida: se si desidera implementare un efficiente sistema di gestione del rischio nella propria azienda è possibile ricorrere alle regole definite dalla norma.
La norma è costituita oltre che da capitoli introduttivi e da un’appendice, da principi, da un quadro di riferimento e dalla spiegazione del processo.
La norma ISO 31000 si basa su undici principi che valgono anche per le versioni successive della norma. Essi chiariscono l’importanza della gestione del rischio e forniscono indicazioni fondamentali per la creazione di un sistema di gestione del rischio.
Il quarto capitolo della norma ISO 31000 descrive un quadro di riferimento del sistema di gestione del rischio, che si basa sui principi e formula a sua volta cinque diversi punti che un sistema deve seguire.
La gestione del rischio prevede un approccio top-down. Il management prende dunque l’iniziativa e organizza il sistema dall’alto.
Una volta implementato il quadro di riferimento nella propria azienda, è tempo di introdurre e implementare i processi di gestione dei rischi. A differenza del quadro di riferimento e dei principi di base, i processi sono azioni concrete adattate all’azienda. Dato che la norma ISO 31000 dovrebbe essere generalmente applicabile a tutte le aziende di qualsiasi settore, anche qui lo standard fornisce solo suggerimenti stimolanti, che devono quindi essere adattati nella loro realizzazione alla società.
Due fattori svolgono il ruolo più importante: comunicazione e valutazione dei rischi. I cosiddetti stakeholder (secondo lo standard ISO 31000 tutte le persone interessate dalla gestione del rischio) devono essere informati in merito alle fasi dell’attuazione. Attraverso discussioni con tutti i dipendenti, il sistema di gestione del rischio, nel tempo, può essere adattato sempre più alle esigenze dell’azienda.
Parte della valutazione del rischio consiste nell’identificare innanzitutto i rischi potenziali. Dopo aver compilato una panoramica dei rischi questi vengono messi a disposizione dei responsabili. Queste persone analizzano quindi i rischi e, sulla base di tale analisi, ne fanno una valutazione. A sua volta, la valutazione del rischio precisa in che misura e con quali mezzi questi potenziali eventi devono essere contrastati.
Una volta effettuata la valutazione può iniziare la gestione dei rischi. A questo proposito è possibile evitare completamente determinati rischi, ridurne soltanto l’entità o accettarne le conseguenze e non fare nulla. L’azienda può anche decidere di affidare la gestione a terzi esterni. Il monitoraggio dei rischi e la comunicazione dei risultati completano il processo.
Altre norme ISO relative alla gestione aziendale hanno il grande vantaggio di poter ambire a un’adeguata certificazione. Con un certificato si dimostra a livello internazionale l’implementazione di un sistema standardizzato. Lo standard ISO 31000 non offre questa opzione e tuttavia la realizzazione delle linee guida è conveniente.
Il successo o il fallimento di una gestione del rischio può comportare delle conseguenze critiche per l’azienda: se si implementa un sistema di gestione del rischio insufficiente, a volte i rischi non possono essere identificati affatto o solo troppo tardi. Inoltre, senza un sistema di gestione del rischio ragionevole non ci sono istruzioni appropriate per controllare i rischi. La norma ISO 31000 contiene invece istruzioni e suggerimenti preparati da esperti. Chiunque si attenga alle linee guida ha quindi implementato un ottimo sistema nella sua azienda.
Ma l’introduzione o la conversione di un sistema di gestione del rischio nella norma ISO 31000 comporta anche uno svantaggio: l’implementazione richiede tempo e talvolta è anche costosa. La norma richiede una profonda discussione sull’argomento. Le modifiche necessarie non possono essere programmate in una riunione e quindi eseguite entro pochi giorni. Occorre invece occuparsi intensamente della propria azienda, dei potenziali rischi e di un sistema per affrontarli. La pianificazione e l’implementazione comportano molti sforzi. Alle persone responsabili devono anche essere concessi dei mezzi al riguardo, con possibili costi aggiuntivi.
La gestione del rischio secondo la norma ISO 31000 fa progredire ogni azienda, ma per essere efficace il sistema deve essere gestito con molta disciplina e anche motivazione.
Vi preghiamo di osservare la nota legale relativa a questo articolo.
Chi pone particolare attenzione nel tema dei sistemi di gestione per la salute e sicurezza sul lavoro fino al 2017 si affidava al certificato OHSAS-18001. Dal 2018 è subentrato il successore ufficiale ISO 45001, che obbliga i piani dirigenziali e i gruppi di interesse esterni all’azienda a garantire ai dipendenti una routine lavorativa sicura e salutare, tanto fisicamente quanto psicologiamente.
Praticamente ogni decisione aziendale presenta dei rischi. Quello che conta è sapere quando i dirigenti possono sostenere in modo responsabile un rischio e quando invece sarebbe avventato. La gestione del rischio mette a disposizione dei metodi che consentono di individuare i possibili rischi derivanti dalle vostre decisioni, ma anche le possibilità di contenere il rischio presente.
Offri ai tuoi clienti servizi professionali e affidabili con l'hosting di IONOS.
Dominio omaggio per un anno