L’ultima versione della norma ISO 31000 intende facilitare l’applicazione dei principi del Risk Management in azienda.
Gli ultimi anni vedono avanzare rischi nuovi e in continuo mutamento, riconducibili all’attuale contesto geo-politico, ai grandi eventi metereologici e al rischio tecnologico. Compliance, danni reputazionali e cyber crime sono solo alcuni dei rischi che aziende ed enti di ogni genere e dimensione devono affrontare. Per salvaguardare le risorse e la sopravvivenza stessa dell’azienda, è fondamentale prevedere una consulenza dedicata per definire strategie e modalità di implementazione di un sistema di gestione del rischio integrato.
La gestione del rischio protegge la business continuity e sostiene la crescita
Il Risk Management o processo di gestione del rischio ha un ruolo chiave nello sviluppo e nella tenuta di un’attività. Si tratta, infatti, di un insieme di metodologie e risorse coordinate per la prevenzione dei rischi aziendali che possono minacciare la business continuity, in modo da preservare il conseguimento degli obiettivi aziendali. Il processo passa dall’identificazione dei rischi e dall’analisi delle cause, per arrivare alla definizione degli obiettivi strategici e di un sistema di gestione.
Implementare un processo di Risk Management aumenta la resilienza di un’azienda e incrementa il suo valore: secondo l’Osservatorio di Cineas, Consorzio universitario per l'ingegneria nelle assicurazioni del Politecnico di Milano, e Mediobanca, le medie imprese italiane che gestiscono i rischi ottengono un +31% di Roi. Le aziende provviste di un sistema integrato di gestione dei rischi sono solo il 25,3% del campione, mentre il 66% delle imprese intervistate intende avviare iniziative formative sulla gestione dei rischi, soprattutto sui concetti di base di gestione del rischio (39%), sugli strumenti per affrontare una situazione di crisi (21%) e sulla continuità operativa (16%). Oltre l’80% del campione ritiene che il trasferimento assicurativo abbia un ruolo di integrazione nell’ambito di un compiuto sistema di gestione del rischio.
Norma ISO 31000:2018: proteggere dai nuovi rischi e facilitare la compliance
Va ricordato però che i rischi cambiano, variano in termini di complessità, e così anche le soluzioni per affrontarli. Oggi le vecchie misure di gestione dei rischi aziendali non sono più sufficienti: il Risk Management deve evolversi per sostenere e proteggere le imprese nell’attuale contesto di incertezza economico-politica e di forte concorrenza a livello globale.
La norma ISO 31000 sulla Gestione del Rischio - Principi e linee guida, pubblicata per la prima volta il 3 novembre 2009, è stata revisionata a febbraio 2018, per adattarsi ai rischi emergenti e facilitare la comprensione e l’applicazione delle buone pratiche di gestione e prevenzione dei rischi aziendali.
Ne è risultata una guida maggiormente coincisa finalizzata a una gestione del rischio che supporti il processo decisionale a tutti i livelli dell’organizzazione. Interessa a titolo facoltativo qualsiasi organizzazione pubblica o privata, per mettere al riparo da rischi generali e specifici dei diversi settori. Può essere applicata durante l’intero ciclo di vita di un'organizzazione ed essere adottata per tutto l’insieme delle attività e dei processi, per la definizione di strategie, decisioni, operazioni, processi, funzioni, progetti, prodotti, beni e servizi.
La norma non contiene obblighi e non è finalizzata al rilascio di una certificazione: i manager sono pertanto liberi di implementare lo standard nel modo che più si addice ai bisogni e agli obiettivi della singola organizzazione.
La versione della norma aggiornata al 2018 rivede i principi del Risk Management e demanda alla direzione aziendale il compito di integrare la gestione del rischio con tutte le attività organizzative.
Nella prevenzione dei rischi aziendali sono infatti coinvolti la pianificazione strategica, il reparto IT, la governance corporativa, l’area delle risorse umane, la compliance, il controllo qualità, il piano di business continuity, la gestione delle crisi e la sicurezza.
Nel testo rivisto, si dà maggior enfasi alla necessità che le misure di Risk Management siano periodicamente aggiornate sulla base dell’esperienza e dell’analisi dei processi, delle azioni e delle misure di controllo in atto. Si delinea un modello di gestione dei rischi aperto, capace di trarre vantaggio dai feedback esterni alla realtà aziendale, per adattarsi ai mutevoli bisogni e contesti, mantenendo saldi gli obiettivi di business.
La creazione e protezione del valore aziendale diventa il principio chiave del Risk Management, accanto ad una necessaria continua revisione, al coinvolgimento degli stakeholder, alla personalizzazione rispetto alle specificità del settore e della singola realtà e alla considerazione di fattori umani e culturali importanti nella definizione dei rischi.
Il rischio compare come “l’effetto dell’incertezza sugli obiettivi”, nuova definizione che pone l’accento sulle conseguenze di una scarsa consapevolezza dell’ambiente in cui si colloca l’attività, togliendogli l’accezione di fattore per lo più esterno e imprevisto.
Da consultare insieme alla norma, è stata predisposta una Guida “ISO 73 Gestione del rischio - Vocabolario”, che raccoglie la terminologia del Risk Management e facilita ulteriormente la comprensione del tema. Entrambi i documenti sono scaricabili a pagamento al link https://www.iso.org/iso-31000-risk-management.html. Per una visione generale della norma è invece gratuitamente consultabile il paper ISO 31000 - Risk management.
“Fallire nella gestione del rischio significa intrinsecamente rischiare il fallimento.”
Jason Brown, Presidente del Comitato Tecnico ISO/TC 262 sul Risk Management
Gestione dei rischi aziendali: un approccio integrato
La gestione del rischio è una disciplina complessa, che richiede competenze specifiche ed esperienza nel settore.
Assiteca ha le competenze necessarie ad assicurare un supporto completo e personalizzato nella gestione dei rischi aziendali. Un approccio innovativo, dove la tradizionale attività di brokeraggio assicurativo viene arricchita con servizi specializzati di consulenza: si parte dalla mappatura dei rischi aziendali, identificando le principali aree critiche e le priorità di intervento, per disegnare la struttura ottimale di gestione dei rischi e affiancare il cliente nel percorso di prevenzione, mitigazione e protezione.