29 Aprile 2019

Lo standard ISO 31000, nove anni dopo

CHIARA ZACCARIOTTO

Immagine dell'articolo: <span>Lo standard ISO 31000, nove anni dopo</span>

Abstract

La norma ISO 31000 Risk Management – Guidelines è uno standard internazionale che fornisce principi e linee guida generali per la gestione del rischio. Redatto dall’ISO (International Organization for Standardization), è stato pubblicato nella sua prima versione nel 2009 e nel 2018 è stato aggiornato. Quali sono le principali modifiche?  

***

La nuova edizione della ISO 31000, pubblicata lo scorso anno, è l’esito di una riesamina tecnica le cui principali caratteristiche sono:

  • revisione dei principi di gestione del rischio, i criteri chiave alla base dello standard
  • evidenziazione del ruolo del top management e della necessità di integrare la gestione del rischio nella governance 
  • maggiore enfasi sulla natura iterativa della gestione del rischio, basata sull’evidenza che nuove esperienze, conoscenza e analisi possono condurre a una revisione della struttura, delle azioni e delle misure di controllo    
  • snellimento del contenuto, con maggior enfasi sulla necessità di mantenere un modello di sistema più aperto e quindi adattabile a diverse necessità e contesti 

Già nella parte introduttiva, ove si ribadisce che la norma va a beneficio di chi crea e protegge il valore nella propria organizzazione tramite la gestione del rischio, viene sottolineata la natura iterativa del processo, tale per cui il Risk Management deve diventare parte integrante della governance e posizionarsi a livello del top management. Una breve, ma significativa aggiunta, ricorda che è un processo che coinvolge tutti gli stakeholder ed è inevitabilmente influenzato anche dai comportamenti umani e dai fattori culturali. Nel proporre principi, strutture e processi, la norma ribadisce che si tratta di un modello standard, che per risultare davvero efficace deve essere adattato all’organizzazione. E’ cionondimeno modellabile su qualsiasi tipo di rischio, settore e tipologia aziendale.

PRINCIPI, STRUTTURA, PROCESSO

L’impianto della precedente versione è stato complessivamente mantenuto. Si può però notare come i Principi siano stati ora declinati in una ruota che pone al centro - dandogli così più importanza quale obiettivo primario - la creazione di valore e la sua protezione. Maggiore enfasi alla ciclicità e all’interconnessione tra le varie fasi è stata inserita nella Struttura, in cui al centro delle fasi di risk management viene posto il coinvolgimento e l’impegno da parte delle funzioni di leadership.

I PRINCIPI

Confermato dunque che lo scopo primario del RM è la creazione e protezione del valore aziendale, i principi che concorrono a questo scopo nella nuova ISO 31000 sono otto (non più undici come nel 2009). Essi prescrivono come dovrebbe essere un processo di RM: 

  1. integrato con le altre attività dell’organizzazione, a livello di governance
  2. strutturato e multidisciplinare, per poter dare risultati coerenti e confrontabili
  3. customizzato sull’organizzazione e sui suoi obiettivi
  4. inclusivo, che coinvolga gli stakeholder, per poter contare su una consapevolezza e una visione più ampie
  5. dinamico, tempestivo, per rispondere agilmente ai cambiamenti del contesto e/o dell’organizzazione
  6. fondato sulle informazioni qualitativamente migliori a disposizione, che si tratti di dati storici, evidenze correnti o previsioni future
  7. comprensivo dei comportamenti umani e dei fattori culturali, che influenzano l’organizzazione ad ogni livello
  8. costantemente revisionato in ottica di miglioramento

La creazione di valore, che prima compariva come uno dei principi, è diventata lo scopo primario a cui concorrono tutti gli altri. Tra i rimanenti due, il punto secondo cui il RM dev’essere “part of decision making” è divenuto superfluo nel momento in cui si sottolinea che la gestione del rischio deve necessariamente essere olistica e coinvolgere il top management. L’omissione del principio secondo cui il RMexplicitly addresses uncertainty” acquista invece senso nel momento in cui si comprende che non si limita a questo, ma contribuisce alla definizione dell’intera strategia dell’organizzazione.

LA STRUTTURA

Scopo del framework rimane, come nel 2009, quello di supportare l’organizzazione nell’integrare la gestione del rischio in tutte le attività più significative. Il livello di efficacia dipende infatti dal grado di penetrazione nella governance, con l’imprescindibile supporto delle figure apicali, poste anche visivamente al centro della struttura. Quando (e solo se) ciò avviene, l’organizzazione è in grado di allineare e mantenere coerente la struttura di RM con gli obiettivi, la strategia e la cultura aziendale, stabilire il livello di risk appetite più adatto e comunicarlo agli stakeholder.  

La parte rimanente del capitolo è stata sintetizzata, ma senza cambiamenti significativi. Tanto è puntuale il testo nel ribadire l’importanza del RM, altrettanto lo è nell’inserire, numerose volte, l’espressione “where applicable”, quasi a ricordare la sua funzione di standard che mira a fornire linee guida efficaci ma mai coercitive. Proseguendo, i suggerimenti per l’implementazione del framework appaiono come principi condivisibili e applicabili a qualsiasi tipo di progetto: dallo sviluppo di un piano con suddivisione di tempo e risorse, all’identificazione dei decision makers delle diverse fasi, alla necessità di mantenere un modello flessibile. La finalità di creare una struttura secondo le linee guida dello standard è infatti garantire la sua sostenibilità nel tempo, mantenendo efficienza nella gestione delle risorse ed efficacia nel conseguimento degli obiettivi prefissati.   

IL PROCESSO

Il processo di gestione del rischio prevede un’applicazione sistematica delle policy e delle procedure in tutte le sue attività di comunicazione, analisi e valutazione del contesto, trattamento, monitoraggio, revisione, documentazione e reporting. Questa sezione della norma – è evidente già dalle prime righe - è quella che ha subito meno modifiche rispetto al testo precedente, che però è stato reso più schematico. I Risk Criteria devono riflettere valori, obiettivi e risorse dell’organizzazione ed essere – ovviamente – compatibili con il processo, e vanno decisi a priori ma sottoposti a una continua revisione.

Il processo di Risk assessment si suddivide nelle fasi di identificazione, analisi e valutazione, e dovrebbe essere condotto in maniera sistematica, iterativa e con la collaborazione di tutti i soggetti coinvolti, ponendo attenzione alla qualità dei dati che si utilizzano. La versione 2018 della ISO 31000 propone un vero e proprio elenco dei fattori che devono essere considerati nella fase di identificazione dei rischi, ricordando che vanno considerati anche quelli che non sono pienamente sotto il controllo dell’organizzazione ma che potrebbero influenzarla. Fattori la cui natura e caratteristiche vengono indagate nella fase successiva, quella di analisi, che implica una dettagliata valutazione di elementi come la probabilità di accadimento, la magnitudo delle possibili conseguenze, il livello di complessità e interrelazione con altri rischi, l’efficacia dei controlli esistenti. Scopo della fase di valutazione è supportare le decisioni di trattamento dei rischi. Esse non sono universalmente valide: a seconda delle circostanze può essere più opportuno evitare del tutto il rischio (decidendo ad esempio di non intraprendere l’attività da cui esso è generato) o rimuoverne la fonte, accrescerlo nell’ottica di una più grande opportunità, lavorare sulla probabilità di accadimento e sulle conseguenze, trasferirlo oppure ritenerlo. Per la raccolta di documentazione, e il reporting in particolar modo, lo standard propone linee guida precise: è un momento che è parte integrante della governance dell’organizzazione, deve permettere un dialogo di qualità con gli stakeholder e il top management, e deve quindi riuscire a tradurre in un linguaggio a loro comprensibile le specificità tecniche della disciplina.

 

Altri Talks