Risk Management secondo lo standard ISO 31000:2018

Risk Management secondo lo standard ISO 31000:2018

28 aprile 2025

di Fabio ACCARDI

Premessa 

Analizzare il profilo di rischio  relativo alla realizzazione  e gestione di un parcheggio  comparata con quella relativa ad un ospedale, realizzati  con il ricorso alla finanza di progetto. Verificare come muta la prospettiva in ragione degli attori tra i quali si ripartiscono i rischi  (PA, imprese, istituti finanziatori, etc). Ed ancora: quando ricorrere a strumenti  finanziari alternativi per il trasferimento dei rischi o perché/come creare una captive insurance company.

Sono tutti temi che affronteremo nella prima sessione del corso  – varato dalla piattaforma Risk & Compliance – su Gestione del Rischio, Compliance & Internal Auditing e che avrà luogo in data 16 maggio.

Ma  per poter affrontare questi temi è necessario porre solide basi conoscitive approfondendo bene i fondamentali relativi a questa materia e sui quali ci concentreremo  nella prima parte della sessione. In tale prospettiva si inquadra questo ulteriore contributo che esamina il  modello proposto dalla ISO in tema di Risk Management.

Perché  ritornare ai  fondamentali?

Perché, come ho avuto modo recentemente di rimarcare,

la vera conoscenza, soprattutto se legata alla sostenibilità a lungo termine, richiede tempo, metodologia rigorosa, trasparenza e dati di alta qualità”(cit).

Pensare che  in ambito GRC, come in altri campi,  il solo ricorso all’intelligenza artificiale sia la panacea per tutti i problemi è profondamente erroneo. Il tema cruciale, infatti, non è ottenere risposte a tutte le domande  ma porre i quesiti giusti.

E questo è possibile solo se hai maturato una solida preparazione di base, a partire dallo studio dei fondamentali delle tue materie.

I sistemi di gestione secondo le norme ISO (International Standard for Organization) – HIGH LIVEL STANDARD ISO ( HLS) 

ISO è un ente internazionale che ha origine negli anni successivi al dopoguerra creato con la finalità di definire norme tecniche di generale applicazione, quali la ISO 31 sulle unità di misura. L’organizzazione senza scopo di lucro sviluppa e pubblica standard praticamente di ogni tipo possibile, che vanno dagli standard per la tecnologia dell’informazione alla dinamica dei fluidi e all’energia nucleare. Con sede a Ginevra, in Svizzera, ISO è composta da 162 membri, ciascuno l’unico rappresentante per il proprio paese. In qualità di più grande sviluppatore ed editore di standard al mondo, ISO ricopre il ruolo vitale di un mezzo per l’accordo tra i singoli sviluppatori di standard, diffondendo i progressi compiuti dagli sviluppatori locali di un paese in tutto il mondo per promuovere l’obiettivo della standardizzazione

Con il tempo il campo di applicazione delle ISO si è esteso anche ai Sistemi di Gestione. Per Sistema di Gestione si intende un insieme standardizzato di norme e regole finalizzate al dominio su tutte le variabili dell’attività operativa di un’azienda, considerate critiche per l’attuazione degli obiettivi aziendali. 

Per comprendere cosa accomuna tutti i Sistemi di Gestione dobbiamo richiamare lo standard HLS – High Level Standard  (Struttura di Alto Livello). Questo è un documento elaborato dall’ISO con l’obiettivo di definire una terminologia, una struttura di base, con parti di testo comuni, valide per tutte le norme dei Sistemi di Gestione (MS), presenti e future come rappresentato nella figura successiva:

Figura 1: HIGH LEVEL STANDARD  ( HLS) ISO 

Tema comune a tutti gli SG (Sistemi di Gestione) sono le 4 fasi che costituiscono la parte centrale dello schema note come Ciclo di Deming. Il Ciclo di Deming prende il nome da William Edwards Deming, un ingegnere, statistico e fisico americano che è stato uno dei pionieri del concetto di gestione della qualità. Si tratta di un modello di quattro fasi progettato per migliorare continuamente i processi e i prodotti. Le fasi del ciclo sono: 

1. Pianificazione (Plan): In questa fase, si identificano e si analizzano i problemi o le opportunità di miglioramento. Si stabiliscono gli obiettivi e si pianificano le azioni necessarie per raggiungere tali obiettivi. Questa fase comprende l’identificazione delle risorse necessarie, la definizione degli indicatori di performance e l’elaborazione di un piano dettagliato.

2. Esecuzione (Do): Durante l’esecuzione, si mettono in atto le azioni pianificate. Questo coinvolge la formazione del personale, la realizzazione delle attività previste nel piano e la raccolta dei dati per l’analisi successiva.

3. Verifica (Check): In questa fase, si monitorano e si valutano i risultati dell’esecuzione del piano, si confrontano i risultati ottenuti con gli obiettivi prefissati e si identificano le discrepanze. Questa fase consente di comprendere se il processo è sotto controllo e se sono necessari ulteriori miglioramenti.

4. Azione (Act): L’ultima fase del ciclo riguarda l’attuazione delle modifiche necessarie per migliorare il processo. Questo può includere modifiche ai processi stessi, alla formazione o ai sistemi di gestione. Una volta completata questa fase, il ciclo ricomincia con la fase di pianificazione, portando a un ciclo continuo di miglioramento.

Le ulteriori componenti del sistema le esamineremo direttamente con riferimento allo standard relativo al Risk Management  ISO 31000 – 2018.

Lo standard ISO 31000 – 2018

Lo standard ISO 31000-2018 è stato elaborato al fine di assistere le organizzazioni nello stabilire le strategie, nel conseguire gli obiettivi e nel prendere decisioni consapevoli nella gestione dei rischi. Secondo tale norma ”Gestire il rischio fa parte della governance e della leadership, ed è fondamentale per il modo in cui l’organizzazione viene gestita a tutti i livelli. Questo contribuisce al miglioramento del sistema di gestione”. Gestire il rischio fa parte di tutte le attività riconducibili ad un’organizzazione e comprende l’interazione con le parti interessate. Il sistema di gestione del rischio è basato su: 

A) principi;

B) struttura di riferimento;

C) processo.

così come sinteticamente riportato nella figura 2:

FIGURA 2: PRINCIPI, STRUTTURA DI RIFERIMENTO E PROCESSO – ISO 31000-2018

A) I principi della gestione del rischio

La norma elenca otto principi fondamentali che garantiscono l’efficacia della gestione del rischio. Essi richiedono che essa  sia:

  1. Integrata: la gestione del rischio è parte integrane dei processi decisionali e di tutte le attività dell’organizzazione.
  2. Strutturata e globale: l’approccio deve essere metodico per garantire che i risultati siano coerenti e completi.
  3. Personalizzata: il sistema di gestione del rischio deve essere adattato al contesto specifico dell’organizzazione, tenendo conto della sua mission, visione e strategia.
  4. Inclusiva: il coinvolgimento delle parti interessate è essenziale per comprendere al meglio i rischi e prendere decisioni più informate.
  5. Dinamica: deve rispondere in modo efficace ai cambiamenti, monitorando e adattandosi a nuovi rischi e contesti.
  6. Dotata di Informazioni disponibili: le decisioni devono basarsi su informazioni accurate, tempestive e disponibili, pur accettando eventuali limiti informativi.
  7. Con attenzione al fattore umano e culturale: è importante riconoscere l’influenza delle persone e della cultura organizzativa sulla gestione del rischio.
  8.  Mirata al miglioramento continuo: la gestione del rischio deve essere oggetto di revisione e miglioramento costante (vedi riferimento a Ciclo di Deming). 

B) La struttura di riferimento 

La finalità della struttura di riferimento per la gestione del rischio è di assistere l’organizzazione nell’incorporare  la gestione del rischio nelle attività e nelle funzioni significative. Affinché ciò avvenga in modo efficace è necessario  il supporto delle parti interessate, in particolare del Top Management. Lo sviluppo della struttura si  compone  dei seguenti  cinque elementi principali:

1) Leadership e impegno

  • Il top management deve essere coinvolto per garantire il supporto e l’allineamento della gestione del rischio agli obiettivi organizzativi.

2) Progettazione

  • integrare il processo nella cultura dell’ organizzazione dopo aver ben analizzato il contesto del contesto interno ed esterno per  garantire  che la gestione del rischio sia integrata nelle attività operative e decisionali.
  • Esprimere chiaramente l’impegno per la gestione del rischio
  • Assegnare ruoli, autorità, responsabilità e obbligo di rendere conto nell’organizzazione
  • Mettere a disposizione le risorse

3) Attuazione

L’organizzazione dovrebbe attuare la struttura di riferimento per la gestione del rischio:

  • sviluppando un piano adeguato comprensivo di tempistica e risorse;
  • identificando dove, quando e come le diverse tipologie di decisioni siano prese in tutta l’organizzazione e da chi;
  • modificando il processo decisionale applicabile laddove necessario;
  • assicurando che le disposizioni dell’organizzazione per gestire il rischio siano chiaramente comprese e messe in pratica.

4) Valutazione

  • Monitorare e riesaminare l’efficacia del framework per assicurarsi che sia allineato agli obiettivi organizzativi e continui a essere adeguato nel tempo.

5) Miglioramento continuo

  • Adattare e migliorare il sistema sulla base dei feedback e delle lezioni apprese.

C) Il processo di gestione del rischio

Il processo operativo della gestione del rischio descritto nella ISO 31000:2018 si articola nel modo seguente: 

1) Definizione di Campo di applicazione  – Contesto – Criteri 

Ogni volta che si affrontano tematiche relative alla gestione dei rischi va definito preliminarmente  a quale campo di applicazione ci riferiamo se all’intera azienda o ad un suo processo o unità organizzativa. Chiariti anche i relativi obiettivi è necessario operare una adeguata pianificazione di tutte le fasi in cui articolare il processo, delle risorse e skills da coinvolgere degli strumenti da utilizzare.

Tra le valutazioni preliminari da operare  non posso prescindere dal  contesto e quindi dall’ambiente esterno ed interno in cui l’azienda opera essendo i fattori ambientali determinanti per l’organizzazione e quindi ai fini della gestione del rischi. 

Quanto evidenziato è il presupposto perché si possano definire i criteri  in base ai quali i rischi possono essere assunti. Essi dovrebbero essere allineati con il disegno strategico che l’organizzazione persegue, con i suoi obiettivi, con principi e valori di riferimento. Dal punto di visto applicativo sono  da considerare: 

— la natura e le tipologie di incertezza che possono influenzare i risultati e gli obiettivi (sia materiali che immateriali);

— come le conseguenze (sia positive che negative) e la probabilità saranno definite e misurate  fattori correlati al tempo;

— coerenza nell’uso delle misure”.

2) Valutazione del Rischio

Questa fase si articola nelle seguenti  3 sottofasi:

  • Identificazione dei rischi: individuare cosa potrebbe accadere e quali fattori potrebbero influire sugli obiettivi.
  • Analisi dei rischi: valutare la probabilità e l’impatto dei rischi identificati.
  • Ponderazione  dei rischi: decidere quali rischi gestire, trasferire, mitigare o accettare.

3) Trattamento del rischio

  • Sviluppare ed attuare misure per modificare i rischi, riducendoli o gestendoli in modo adeguato.

4) Monitoraggio e revisione

  • Verificare continuamente l’efficacia delle misure adottate e l’evoluzione del contesto.

5) Comunicazione e consultazione

  • Coinvolgere le parti interessate per condividere informazioni sui rischi e garantire una comprensione comune del contesto.

Completata la descrizione sintetica di questo sistema, nel prossimo contributo verranno confrontati i diversi approcci  proposti dagli enti  CoSO  ed  ISO  per evidenziarne comunanze, peculiarità e criteri di scelta in base agli obiettivi da perseguire.

Percorso formativo “Gestione del Rischio, Compliance e Internal Auditing“. Qui tutti i dettagli

(3/4)

to be continued

LEGGI QUI l’articolo precedente  1/4,   Modelli e Standard Internazionali per il Risk Management – Come orientarsi e quali utilizzare? Focus su ERM 2004

LEGGI QUI l’articolo precedente 2/4, ERM 2017: Integrare ERM con Strategia e Performance

Related Items

Risk Management spina dorsale della Strategia aziendaleRisk Management spina dorsale della Strategia aziendale
Continua a leggere
Modelli-AI-ComplianceNuovi modelli di AI di tipo LLM e il loro possibile ruolo nelle attività di Compliance
Continua a leggere
Compliance-IntegrazioneSpunti e pratiche per l'integrazione dei sistemi di gestione (CMS)
Continua a leggere

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *