Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LO STANDARD

Il Risk Management e la nuova ISO 31000:2018: le linee guida

Cos’è il risk management, quali sono i cardini e i benefici e perché è importante accrescerne la cultura come elemento essenziale allo sviluppo di ogni organizzazione. Tutte le novità dell’ultima versione dello standard ISO 31000

26 Set 2018
D
Salvatore D'Emilio

Freelance information security advisor & trainer


Lo standard ISO 31000:2018 sul risk management si pone l’obiettivo di mettere ogni organizzazione nelle condizioni di individuare, prevenire e gestire tutti i rischi incombenti nell’ambito della propria attività, attraverso un approccio strutturato. Vediamo di quali rischi parliamo e in che modo la gestione del rischio è una funzione che, seppur conservativa, è in grado di offrire una forte spinta all’innovazione ed al cambiamento.

La gestione del rischio

Ogni organizzazione è concepita come una realtà dinamica, impegnata costantemente a migliorare e perfezionare i propri livelli di produttività e di qualità, al fine di acquisire dei vantaggi competitivi e di raggiungere i propri obiettivi. In un contesto in continua evoluzione è quindi fondamentale adattarsi ai cambiamenti e sapersi rinnovare (strategie, organizzazione e tecnologie) quando necessario; tale spinta al rinnovamento però non può esistere o essere efficace, senza una funzione conservativa, finalizzata a tutelare ciò che già esiste e a gestire in maniera controllata l’evoluzione sia pianificata sia spontanea.

Il risk management è nato come modello gestionale all’inizio del secolo scorso nel mondo finanziario (anche se nel 1100 i banchieri già gestivano il rischio di credito); con gli anni è stato introdotto nel mondo assicurativo e delle costruzioni, fino ad assumere un ruolo più centrale e globale all’inizio degli anni 90 con l’Entreprise Risk Management (ERM).

Ultimo caso è quello del General Data Privacy Regulation (GDPR): il Regolamento Europeo 679/2016 fonda la sua struttura sulla gestione del rischio: nel corpo del testo di legge, infatti, la parola rischio compare circa 70 volte.

Nel 2009 tutti i concetti inerenti al risk management sono stati formalizzati nello standard ISO 31000:2009 per poi evolversi dando luce l’ultima versione pubblicata a maggio 2018.

Scopo di questo articolo non è trattare la gestione dei rischi ma esporre in modo chiaro e sintetico le modifiche allo standard di riferimento. La sua stesura è basata sul presupposto che si abbia un minimo di conoscenza della precedente versione dello standard e dei temi del risk management in generale.

Di quali rischi parliamo

In generale il rischio è un fenomeno molto comune di cui ognuno ha un’idea intuitiva che, in qualche modo, si rivolge all’imprevedibilità degli eventi futuri su un bene di cui si conosce o se ne percepisce il valore; tale percezione può avere diverse sfumature, da quelle economiche a quelle emozionali. Per un’azienda la gestione del rischio si concentra su quegli eventi che impediscono o ostacolano il raggiungimento degli obiettivi prefissati (“l’effetto dell’incertezza sugli obiettivi”).

Ma di quali rischi parliamo? Oggi il panorama è molto vasto, di seguito una lista non esaustiva di alcune tipologie:

RischiPossibili eventi
NaturaliAlluvioni, uragani, terremoti
SocialiCriminalità, terrorismo
FinanziariAndamento del mercato, variazione delle condizioni praticate da clienti e fornitori
CompetitiviContraffazione, Sabotaggio
InformaticiFurto di informazioni, accesso non autorizzato ad un sistema informatico, malware
FisiciIncidenti sul lavoro, accessi non autorizzati ad aree protette
PrivacyFurto, perdita, divulgazione di informazioni
ComplianceViolazione di leggi o regolamenti

Tab. 1 – Tipologie di rischio e possibili eventi.

La norma ISO 31000:2018

La nuova versione non snatura i concetti chiave della precedente ma li semplifica rendendoli più chiari e quindi più fruibili. In particolare le principali modifiche sono riassumibili come segue:

  • Revisione ed aggiornamento dei principi di gestione del rischio come fattore critico di successo
  • Maggiore enfasi alla leadership del top management ed all’integrazione della gestione del rischio nella governance dell’organizzazione
  • Maggiore enfasi sull’importanza dell’iteratività nella gestione del rischio
  • Semplificazione dei contenuti per rendere il modello di gestione dei rischi adatto a qualsiasi realtà

Oltre a ciò questa edizione tende ad enfatizzare di più gli aspetti positivi del rischio (opportunità), connotando maggiormente il risk management come volano essenziale per l’innovazione e la crescita di ogni organizzazione.

Di seguito si riporta il modello di gestione del rischio nella versione del 2009 e nell’ultima, da cui si possono iniziare a dedurre alcune differenze.

Fig. 1 – Principi, struttura e processo, versione 2009.

Fig. 2 – Principi, struttura e processo, versione 2018.

È subito evidente che l’impianto del modello gestionale di risk management, principi-struttura-processo, è stato mantenuto ma, nell’ambito di ogni elemento, è stato focalizzato il punto di vista su temi quali l’iteratività del risk management, la leadership e la creazione del valore come obiettivo primario.

Da una prima analisi si evince come sia stata data maggiore enfasi alla ciclicità della gestione dei rischi ed al suo miglioramento continuo. Inoltre nella struttura (framework) sono stati maggiormente valorizzati i punti cardine (Integration, design, etc.) da mettere in campo e per ognuno sono stati rimarcati i concetti già presenti nella precedente versione.

Creazione e protezione del valore come finalità del Risk Management

I principi sono stati rivisti e condensati da 11 a 8 elementi; essi non sono stati snaturati ma il significato è molto più chiaro: per poter creare valore nell’organizzazione e per poter garantire l’adeguato livello di protezione (principio conservativo) è essenziale fondare tutto il modello di risk management su tali principi.

La differenza sta nel modo di gestire tale modello: si passa da “una gestione efficace del modello risk management deve tenere in considerazione la creazione e protezione del valore” a “per poter creare e proteggere il valore di un’organizzazione è essenziale gestire i rischi in modo strutturato e basandosi su principi ben definiti”.

La revisione del cardine e dei principi del Risk Management quindi punta in modo più evidente alla creazione di un modello che sia efficiente ed efficace.

I principi su cui basare il modello di risk management sono riportati in figura 2 (principles-clause 4); tra essi risaltano l’integrazione con la governance (integration) gli aspetti umani e culturali, la tempestività (dynamic) ed il coinvolgimento di tutte le parti interessate (inclusive).

La struttura. Cardini e benefici del risk management

Anche la struttura, pur essendo stata semplificata, ha mantenuto i concetti base ben saldi. La revisione enfatizza l’importanza degli stakeholders, in particolare del top management, nell’organizzare un framework basato in primis sull’integrazione, e poi sulla progettazione, implementazione, sulla valutazione e sul miglioramento continuo.

Il top management diventa quindi il cardine del modello di Risk Management, garantendo leadership ed impegno. Per esso sono state mantenute responsabilità come la messa a disposizione delle risorse, la definizione di regole (statement or policy) per la gestione del rischio e l’assegnazione di ruoli e responsabilità (delegare l’applicazione). In questa sezione vengono esposte le motivazioni che dovrebbero indurre il top management ad agire secondo le linee guida (“this will help the organization to”); in particolare vengono citati alcuni benefici come l’allineamento degli obiettivi della gestione del rischio con quelli dell’organizzazione, con le strategie e con la propria cultura, il monitoraggio sistematico dei rischi e la garanzia che il modello di gestione dei rischi sia sempre adeguato alle esigenze ed al contesto dell’organizzazione.

Ove possibile (“where applicable”) viene stressata anche l’importanza degli organi di sorveglianza come entità a cui viene assegnata una responsabilità sugli aspetti pratici del risk management e cioè sulla sua attuazione, sull’utilizzo di strumenti adeguati, sulla comprensione dei rischi e sull’allineamento degli obiettivi.

I concetti inerenti all’integrazione assumono un tono più chiaro, con l’enfatizzazione della partecipazione di tutto il personale nella gestione dei rischi (“Everyone in an organization has responsibility for managing risk”) e specificando che tale processo deve essere dinamico, iterativo e su misura rispetto alle necessità ed alla cultura dell’organizzazione.

La restante parte del capitolo è stata sintetizzata ma senza stravolgimenti. Infatti rimangono assolutamente valide le attività analisi del contesto interno ed esterno (par. 5.4.1), la comunicazione e la chiara definizione di ruoli e responsabilità, per citarne alcuni.

La finalità di creare una struttura secondo le linee guida dello standard che si basi sull’impegno del top management, è garantire la sostenibilità nel tempo del modello gestione dei rischi. È assolutamente improduttivo per qualsiasi organizzazione dotarsi di un modello di gestione dei rischi che non garantisce nel tempo efficienza nella gestione delle risorse ed efficacia nel conseguire gli obiettivi prefissati.

Il Processo. Risk management disciplina quotidiana

Il processo è la parte che ha subito meno modifiche rispetto al resto; risulta difficile immaginare un processo di gestione dei rischi diverso da come è stato già disegnato. Il testo è stato reso più schematico rispetto alla versione precedente e sono stati aggiunti alcuni elementi che lo rendono più fruibile ai fini pratici. Questo è, a mio avviso, una delle finalità della nuova versione: far sì che la gestione dei rischi diventi effettivamente una disciplina di uso quotidiano, comprensibile sia alla Direzione sia al personale operativo su tutti i livelli. Tale asserto corrisponde perfettamente al concetto di “support to decision makers” in quanto questi sono presenti in tutti i gli strati dell’organizzazione, non solo ai vertici.

Tecnicamente non è stato modificato nulla. Ogni elemento è stato ripreso e reso più comprensibile dandone più spiegazioni e motivando più dettagliatamente ogni attività.

L’equazione:

Risk Management = (risk identification + risk analysis + risk evaluation) + risk treatment

è stata mantenuta ma la sua dimostrazione ora è notevolmente semplificata.

È opportuno ribadire che semplificare la comprensione dello standard non sempre si traduce nel semplificare l’applicazione di un modello di gestione dei rischi. La difficoltà o la facilità nell’applicare un modello ed i relativi processi può variare da azienda ad azienda e può dipendere anche dall’utilizzo degli strumenti o dei metodi più adatti.

A tal proposito è opportuno citare lo standard ISO 31010:2009 – Risk Management-Risk Assessment Techniques. In esso sono riportati i concetti della gestione dei rischi e diverse tecniche per la loro valutazione in diversi ambiti. Il comitato ISO/TC 262 ‘Risk Mangement’ sta lavorando sul suo aggiornamento, al momento si trova nello stage 40.40 (Enquiry). Interessante è anche l’operato di tale comitato nello sviluppo di standard sulla gestione del rischio da applicare a specifici settori (es. legale).

Conclusioni

In definitiva il corpo di tutta la norma è stato reso più fruibile; la forma più schematica rende il testo più comprensibile e più leggibile fugando ogni dubbio su come implementare un modello di gestione del rischio. Un’ulteriore semplificazione nell’applicazione delle linee guida è stata la cancellazione dell’allegato A (“Caratteristiche di una gestione del rischio robusta”), i cui temi sono stati inseriti nel corpo normativo.

L’aspetto che mi ha più colpito in questa versione è il conferimento di connotati maggiormente positivi alla gestione del rischio; si esce quindi in modo più marcato dal guscio della conservatività. Il concetto del rischio contrapposto all’opportunità è da tempo entrato nella quotidianità professionale, e non è da meno la ISO 31000:2018, ma trovare nello standard parole come “encourage innovation”, o “vulnerabilities and capabilities” consente al lettore di vedere in modo più esplicito entrambi i lati della medaglia: quello del pericolo e quello delle possibilità.

Il normatore ha quindi fatto un ulteriore sforzo per consentire alle organizzazioni di impostare al proprio interno un’efficace gestione del rischio. Inoltre si evince un forte contributo per poter accrescerne la cultura come elemento essenziale allo sviluppo di ogni organizzazione. È uscendo dalla zona di comfort che si raggiungono i risultati migliori, ma per farlo è necessario capire e fronteggiare l’incertezza che naturalmente si genera.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4