ISO 31000 cos’è?

La ISO 31000 è lo standard internazionale che fornisce le linee guida ed i principi per la gestione del rischio, o risk management.

Lo standard non è certificabile, anche se viene richiamato in tutte le norme di sistema risk based thinking, e descrive l’approccio che dovrebbe avere un’organizzazione per la gestione del rischio.

Nell’articolo tratteremo i principi definiti della norma in linea generica, se vuoi approfondire delle metodiche di valutazione dei rischi, puoi visitare anche i seguenti articoli:

• Valutazione dei rischi aziendali;
• Valutazioni HARA;
• Valutazione Swot e Pest;
• Valutazione del contesto aziendale;
• Valutazione dei rischi e delle opportunità.

La gestione del rischio, rientra nello spettro della leadership e governance aziendale, ed è uno strumento fondamentale per evidenziare le necessità, e le attività di prevenzione e mitigazione, rispetto agli obiettivi, tenendo conto delle parti interessate interne ed esterne.

ISO 31000: perché è importante?

La linea guida ISO 31000 è fondamentale perché, negli ambienti lavorativi, come nella vita, ci saranno sempre da effettuate delle valutazioni utili per raggiungere i propri obiettivi.

E la pianificazione, lo dimostrano anche la struttura delle norme HLS, con i punti, 4 contesto dell’organizzazione, 5 leadership, 6 pianificazione, 7 attività di supporto, è e sarà sempre più fondamentale per la vita aziendale.

Un qualcosa che si da per scontato. Dare la giusta attenzione a questa attività potrà proteggere una organizzazione da accadimenti che possono mettere in discussione anche la propria vita.

Noi, gente di mare, per esempio, sappiamo bene quanto sia importante la gestione di un rischio su una nave. In rischio più grande, quello incendi. Perché la possibilità di fuga, dal mezzo al mare è molto molto remota, qualora fosse possibile.

Vari disastri parlano da soli. E così nella vita di tutti i giorni, anche nell’azienda, non è possibile pensare che un accadimento per nostra fortuna, non possa mai avvenire.

L’impatto, letteralmente metterebbe a rischio, l’azienda e le persone che ci lavorano. Quindi? Quindi è necessaria una gestione del rischio, che permetta, di proteggere gli investimenti, e tutto ciò che possa subire un impatto, da un rischio non gestito.

NOTA. E’ ben chiaro che il rischio 0 non esista, ma un conto è dimostrare, anche in sede legale, di avere fatto il possibile, per prevenire un accadimento, ed un conto, è non aver fatto nulla.

Risk management: alcune importanti definizioni

Ma che cosa è un rischio? Abbiamo trattato le differenze tra rischio, danno e probabilità nell’articolo che puoi leggere in questa pagina. Ma rinfreschiamoci la memoria.

Un rischio, in ambito aziendale, è la possibilità che un determinato risultato differisca rispetto ad un obiettivo fissato. Fino a poco tempo fa, questa deviazione, veniva valutata solamente con un impatto negativo.

Ma come avviene nella valutazione dei rischi ed opportunità, la considerazione, lascia aperte anche degli impatti che vengono definiti opportunità.

Un altro aspetto, che spesso sfugge a molti, è che in una organizzazione non basta effettuare una valutazione dei rischi, e mettere in atto alcune azioni di prevenzione e mitigazione.

La gestione del rischio è senza troppi giri di parole, un processo continuo di identificazione, valutazione e trattamento dei rischi.

Le 8 fasi importanti del risk management

La gestione del rischio è composta da 8 fasi importanti, che grazie allo standard ISO 31000 richiedono un approccio di sistema. Ovvero:

1. Identificazione del rischio. La fase dove si identificano i possibili rischi impattanti rispetto a requisiti, fattori ed obiettivi;
2. Analisi del rischio. La fase dove si definiscono i valori e le gravità del rischio, gli impatti, ed anche le opportunità;
3. Definire la priorità del rischio. In questa fase verranno definite le priorità di attività. Non tutti i rischi hanno bisogno della stessa celerità di intervento;
4. Trattamento del rischio. La fase dove si definiranno le attività che possono essere di prevenzione, mitigazione postuma, formazione, ecc;
5. Comunicazione del rischio. Comunicare il rischio agli stakeholder interessati, è importante tanto quanto valutarlo!!
6. Valutazione del rischio residuo. Ce lo vorremmo domandare, quale sia il rischio dopo l’attuazione delle attività?
7. Monitoraggio del rischio. Le modalità definite per il monitoraggio del rischio;
8. Miglioramento. Le attività di rivalutazione e miglioramento delle attività, che si basa su dati ed evidenze, e non sui programmini.

Queste 8 fasi spesso nei documenti aziendali non sono presenti, perché il pensiero è più improntato sulla presenza di un documento in quantità, e non in qualità.

Per esempio in ambito sicurezza sul lavoro, e se ne vedono i risultati, tutto è lasciato un poco al caso. Anche in ambito di food safety. Si mettono i dati dentro un programmino. Si sviluppa al materiale. Insomma l’azienda è contenta, la ASL non fa una piega, tutto ok. Decisamente NO!

E, al di la della gestione generalista dell’aspetto, molte aziende, si trovano a dover lottare, in caso di procedimenti legali, dove i documenti vengono veramente guardati. La situazione è migliorata con l’entrata in vigore della norma ISO 45001.

E soprattutto, una corretta gestione del rischio, la han compresa molto bene le organizzazioni alimentari che hanno implementato i requisiti degli standard GFSI, Global Food Safety Initiative, ovvero le certificazioni BRC, IFS ed FSSC 22000, dove il risk management è roba seria da anni!

La struttura della linea guida sul risk management

La struttura della ISO 31000 è composta con i punti che segue:

• Scopo
• referenze normative
• Termini e definizioni
• I principi
• Struttura
  • Generali
• Leadership e impegno
• Integrazione
• Design
  • Comprendere l’organizzazione e il suo contesto
  • Articolazione dell’impegno di gestione del rischio
  • Assegnazione di ruoli organizzativi, autorità, responsabilità e responsabilità
  • Allocazione delle risorse
  • Stabilire comunicazione e consultazione
• Attuazione
• Valutazione
• Miglioramento
  • Adattamento
  • Miglioramento continuo
• 6 Processo
  • Generale
  • Comunicazione e consultazione
  • Ambito, contesto e criteri
    • Generale
    • Definizione dell’ambito
    • Contesto esterno e interno
    • Definizione dei criteri di rischio
  • Valutazione del rischio
    • Generale
    • Identificazione del rischio
    • Analisi del rischio
    • Valutazione del rischio
  • Trattamento del rischio
    • Generale
    • Selezione delle opzioni di trattamento del rischio
    • Preparazione e attuazione di piani di trattamento dei rischi
  • Monitoraggio e revisione
  • Registrazione e resoconto

Ovviamente lo standard per il risk management, da appunto delle linee guida per una gestione standardizzata, fornendo consigli e nominando strumenti, che un’organizzazione dovrebbe saper utilizzare.

E che, oltre che per i requisiti obbligatori, sono utili anche per la pianificazione di un sistema di gestione come quello per la qualità, sicurezza sul lavoro, ambiente, energia, sicurezza alimentare, sicurezza dati, e tutti quelli che riportano la medesima struttura.

Principi di gestione del rischio, che si intersecano, con quelli della business continuity, definiti nella norma ISO 22301.

Gestione del rischio: i vantaggi aziendali

I vantaggi aziendali per un’organizzazione sono infiniti, partendo dal fatto, che il titolare, è, e sarà sempre responsabile della sua organizzazione.

C’è chi storcerà in naso sì, ma questa è la realtà, e se cari datori di lavoro, vi avessero raccontato che il vostro consulente, ha responsabilità civili e penali, vi sveliamo un piccolo segreto.

Se non ha capacità di spesa, indipendenza, e libertà di licenziare personale, con tanto di delega notarile sulle responsabilità e compiti, davanti al giudice, conterà quasi nulla.

Questo è uno dei motivi per i quali, formiamo i nostri clienti, e non li abbeveriamo di scorciatoie e documenti.

Riassumendo, la ISO 31000, consentirà all’organizzazione di avere piena coscienza di tutto il processo di gestione del rischio. Un esempio dei benefici attribuiti dalla sua piena leadership, possono essere riassunti:

• Capacità di identificare efficacemente e sistematicamente i rischi direzionali e rispetto ai processi aziendali;
• Definizione degli investimenti necessari alla gestione del rischio;
• Migliorare la capacità di raggiungere gli obiettivi e di essere in compliance con i requisiti obbligatori o definiti;
• Gestione proattiva al cambiamento ed ai rischi emergenti;
• Cogliere opportunità scaturite dalla valutazione, per esempio, pensiamo al mondo macchine, bandi INAL, per la prevenzione infortuni, agevolazioni per l’efficienza energetica in ottica di transizione ecologica, ecc;
• Consapevolezza del management e delle risorse umane impiegate nell’identificazione, segnalazione e comunicazione del rischio;
• Conformità ai requisiti obbligatori applicabili e nei confronti delle norme di certificazione volontaria;
• Migliorare la competenza, consapevolezza e la partecipazione delle parti interessate aziendali;
• Risparmio di risorse economiche, umane e tecniche, dovute, dalla prevenzione dei pericoli in tutti gli ambiti;
• Migliorare la comunicazione a tutti i livelli dell’organizzazione;
• Migliorare l’ambiente di lavoro e la collocazione aziendale;
• Migliorare la reputazione aziendale e la fiducia degli stakeholder;
• Mettere in atto dei sistemi sistemici di monitoraggio e miglioramento dei requisiti e delle performance sugli obiettivi definiti per i vari rischi;
• Adottare uno standard, che è la base per una gestione sistemica del rischio, comune anche a tutte le norme e standard di certificazione internazionale, oltre che adattabile a tutti i requisiti obbligatori;
• Proteggere i propri investimenti ed attirare investitori, e risorse lavorative;
• Godere di vantaggi fiscali ed assicurativi.

Lo standard è scaricabile presso questa pagina.