Gestione del rischio standardizzata: ISO 31000

Il tema della gestione del rischio è così importante che nessuna impresa può permettersi di essere negligente. Rischi e opportunità sono presenti nelle aree più diverse dell’azienda e il management deve essere preparato al riguardo. Questo è l’unico modo per avviare processi di soluzione adeguati. Per istituire un ragionevole sistema di gestione del rischio (RMS) in azienda, la direzione dovrebbe attenersi alla norma ISO 31000.

Un’impresa comporta sempre delle incertezze economiche, tecniche, strategiche e di altro tipo. Non è possibile escludere tali rischi, ogni azienda deve saperli affrontare. Un sistema di gestione del rischio fornisce istruzioni e procedure su come reagire in situazioni di pericolo per limitare il più possibile eventuali danni. Tuttavia la norma ISO 31000 non considera i rischi come tutti negativi. Secondo tale norma esistono anche dei rischi positivi. Ogni volta che vi è incertezza sul fatto che un evento futuro provochi una deviazione negli obiettivi autoimposti, si parla di rischio.

L’Organizzazione internazionale per la normazione (ISO) ha fissato diversi standard per il management: ISO 9001 per la gestione della qualità, ISO 14001 per la gestione dell’ambiente e ISO 50001 per la gestione dell’energia. La norma ISO 31000 si concentra invece sulla gestione del rischio. In questo caso si tratta della gestione di una vasta gamma di rischi all’interno dell’azienda. La norma è progettata per gestire qualsiasi rischio e inoltre l’applicazione del sistema non è limitata a società specifiche. Sia le PMI che le multinazionali possono rendere più sicura la loro impresa con l’implementazione delle linee guida.

Contrariamente ad altri standard, la norma ISO 31000 non è nello specifico destinata alla certificazione. Con standard simili viene progettato un sistema in conformità con le linee guida fornite e, dopo aver superato l’audit, questo riceve un certificato corrispondente, valido a livello internazionale. Invece lo standard ISO 31000 va inteso come un’indicazione o una linea guida: se si desidera implementare un efficiente sistema di gestione del rischio nella propria azienda è possibile ricorrere alle regole definite dalla norma.

La norma è costituita oltre che da capitoli introduttivi e da un’appendice, da principi, da un quadro di riferimento e dalla spiegazione del processo.

La norma ISO 31000 si basa su undici principi che valgono anche per le versioni successive della norma. Essi chiariscono l’importanza della gestione del rischio e forniscono indicazioni fondamentali per la creazione di un sistema di gestione del rischio.

• Valori: un sistema di gestione del rischio garantisce il raggiungimento degli obiettivi aziendali e dunque la creazione di valori.
• Integrazione: se si decide di utilizzare un sistema di gestione del rischio in azienda, è necessario integrarlo in tutte le aree.
• Decisioni: quando si prendono decisioni che incidono sul futuro dell’azienda, occorre consultare sempre un sistema di gestione del rischio.
• Incertezza: un futuro incerto è una componente centrale di un sistema di gestione del rischio e viene valutato come una cosa ovvia.
• Sistematicità: una struttura sensata e tempestiva è essenziale per mantenere il sistema funzionante.
• Informazioni: le decisioni relative al sistema di gestione del rischio si basano su tutti i dati disponibili.
• Adeguamento: il sistema di gestione del rischio deve essere fatto su misura e deve adattarsi alla realtà dell’azienda.
• Essere umano: un buon sistema di gestione del rischio considera seriamente i fattori culturali e umani e si orienta su questi.
• Trasparenza: tutti i gruppi coinvolti hanno una visione completa del sistema di gestione del rischio.
• Dinamicità: un sistema di gestione del rischio si adatta facilmente a nuove condizioni.
• Miglioramento: un processo continuo consente al sistema di gestione del rischio di migliorarsi costantemente.

Il quarto capitolo della norma ISO 31000 descrive un quadro di riferimento del sistema di gestione del rischio, che si basa sui principi e formula a sua volta cinque diversi punti che un sistema deve seguire.

• Integrazione: prima che un sistema di gestione del rischio possa essere implementato con successo occorre comprendere la struttura esatta dell’azienda. Il management imposta quindi una strategia e assegna le responsabilità.
• Progettazione: nella progettazione di un sistema di gestione del rischio vengono considerati fattori interni ed esterni. In una dichiarazione scritta la direzione si impegna nella gestione del rischio e chiarisce la strategia e l’allocazione dei ruoli a tutti i dipendenti.
• Implementazione: per implementare il sistema di gestione del rischio in azienda sono necessarie modifiche nei processi aziendali. L’obiettivo è che il sistema sia accettato da tutti i dipendenti e faccia parte del lavoro quotidiano.
• Valutazione: per garantire l’efficienza a lungo termine, occorre eseguire regolarmente delle verifiche del sistema di gestione del rischio, confrontando gli obiettivi prefissati con i risultati effettivi.
• Miglioramento: è inoltre possibile utilizzare revisioni periodiche per apportare miglioramenti costanti. Il sistema di gestione del rischio dovrebbe adattarsi dinamicamente ai cambiamenti nell’azienda ed essere quindi sempre più idoneo nel tempo.

Una volta implementato il quadro di riferimento nella propria azienda, è tempo di introdurre e implementare i processi di gestione dei rischi. A differenza del quadro di riferimento e dei principi di base, i processi sono azioni concrete adattate all’azienda. Dato che la norma ISO 31000 dovrebbe essere generalmente applicabile a tutte le aziende di qualsiasi settore, anche qui lo standard fornisce solo suggerimenti stimolanti, che devono quindi essere adattati nella loro realizzazione alla società.

Due fattori svolgono il ruolo più importante: comunicazione e valutazione dei rischi. I cosiddetti stakeholder (secondo lo standard ISO 31000 tutte le persone interessate dalla gestione del rischio) devono essere informati in merito alle fasi dell’attuazione. Attraverso discussioni con tutti i dipendenti, il sistema di gestione del rischio, nel tempo, può essere adattato sempre più alle esigenze dell’azienda.

Parte della valutazione del rischio consiste nell’identificare innanzitutto i rischi potenziali. Dopo aver compilato una panoramica dei rischi questi vengono messi a disposizione dei responsabili. Queste persone analizzano quindi i rischi e, sulla base di tale analisi, ne fanno una valutazione. A sua volta, la valutazione del rischio precisa in che misura e con quali mezzi questi potenziali eventi devono essere contrastati.

Una volta effettuata la valutazione può iniziare la gestione dei rischi. A questo proposito è possibile evitare completamente determinati rischi, ridurne soltanto l’entità o accettarne le conseguenze e non fare nulla. L’azienda può anche decidere di affidare la gestione a terzi esterni. Il monitoraggio dei rischi e la comunicazione dei risultati completano il processo.

Altre norme ISO relative alla gestione aziendale hanno il grande vantaggio di poter ambire a un’adeguata certificazione. Con un certificato si dimostra a livello internazionale l’implementazione di un sistema standardizzato. Lo standard ISO 31000 non offre questa opzione e tuttavia la realizzazione delle linee guida è conveniente.

Il successo o il fallimento di una gestione del rischio può comportare delle conseguenze critiche per l’azienda: se si implementa un sistema di gestione del rischio insufficiente, a volte i rischi non possono essere identificati affatto o solo troppo tardi. Inoltre, senza un sistema di gestione del rischio ragionevole non ci sono istruzioni appropriate per controllare i rischi. La norma ISO 31000 contiene invece istruzioni e suggerimenti preparati da esperti. Chiunque si attenga alle linee guida ha quindi implementato un ottimo sistema nella sua azienda.

Ma l’introduzione o la conversione di un sistema di gestione del rischio nella norma ISO 31000 comporta anche uno svantaggio: l’implementazione richiede tempo e talvolta è anche costosa. La norma richiede una profonda discussione sull’argomento. Le modifiche necessarie non possono essere programmate in una riunione e quindi eseguite entro pochi giorni. Occorre invece occuparsi intensamente della propria azienda, dei potenziali rischi e di un sistema per affrontarli. La pianificazione e l’implementazione comportano molti sforzi. Alle persone responsabili devono anche essere concessi dei mezzi al riguardo, con possibili costi aggiuntivi.

Vi preghiamo di osservare la nota legale relativa a questo articolo.