Sempre più spesso, all’interno delle gare di appalto, aventi per oggetto l’esecuzione di lavori, la fornitura di prodotti o la prestazione di servizi, la stazione appaltante definisce, tra i requisiti per la partecipazione alla gara oppure tra i requisiti che garantiscono un punteggio maggiore all’interno della stessa il possesso, da parte del potenziale appaltatore di un sistema di gestione dei rischi secondo lo standard ISO 31000:2018
DI CHE COSA SI TRATTA?
Lo standard ISO 31000:2018, ha l’obiettivo di facilitare il processo di individuazione, prevenzione e gestione di tutti i rischi al fine di creare e proteggere valore, migliorare le prestazioni, incoraggiare l’innovazione e supportare il raggiungimento degli obiettivi.
Entriamo all’interno delle linee guida dello standard…
I PRINCIPI
I principi delineati dalla ISO 31000, forniscono una guida sulle caratteristiche di una gestione del rischio efficace ed efficiente, comunicandone il valore e spiegandone l’intenzione e lo scopo. I principi sono la base per la gestione del rischio e dovrebbero essere presi in considerazione quando si stabiliscono il quadro e i processi di gestione del rischio dell’organizzazione. Questi principi dovrebbero consentire a un’organizzazione di gestire gli effetti dell’incertezza sui propri obiettivi.
Nel dettaglio, i principi:
- a) Integrato. La gestione del rischio è parte integrante di tutte le attività organizzative.
- b) Strutturato e completo. Un approccio strutturato e completo alla gestione del rischio contribuisce a risultati coerenti e comparabili.
- c) Personalizzato. Il quadro e il processo di gestione del rischio sono personalizzati e proporzionati al contesto esterno e interno dell’organizzazione in relazione ai suoi obiettivi.
- d) Inclusivo. Il coinvolgimento appropriato e tempestivo delle parti interessate consente di prendere in considerazione le loro conoscenze, opinioni e percezioni. Ciò si traduce in una maggiore consapevolezza e in una gestione informata del rischio.
- e) Dinamico. I rischi possono emergere, cambiare o scomparire quando cambia il contesto esterno e interno di un’organizzazione. La gestione del rischio anticipa, rileva, riconosce e risponde a tali cambiamenti ed eventi in modo appropriato e tempestivo.
- f) Migliori informazioni disponibili. Gli input per la gestione del rischio si basano su informazioni storiche e attuali, nonché su aspettative future. La gestione del rischio tiene esplicitamente conto di eventuali limitazioni e incertezze associate a tali informazioni e aspettative. Le informazioni dovrebbero essere tempestive, chiare e disponibili per le parti interessate.
- g) Fattori umani e culturali. Il comportamento e la cultura umana influenzano in modo significativo tutti gli aspetti della gestione del rischio a ogni livello e fase.
- h) Miglioramento continuo. La gestione del rischio viene continuamente migliorata attraverso l’apprendimento e l’esperienza.
IL FRAMEWORK
Lo scopo del framework di gestione del rischio è assistere l’organizzazione nell’integrazione della gestione del rischio in attività e funzioni significative. L’efficacia della gestione del rischio dipenderà dalla sua integrazione nella governance dell’organizzazione, compreso il processo decisionale. Ciò richiede il supporto delle parti interessate, in particolare del top management.
Lo sviluppo del framework comprende l’integrazione, la progettazione, l’implementazione, la valutazione e il miglioramento della gestione del rischio in tutta l’organizzazione.
L’organizzazione dovrebbe valutare le proprie pratiche e processi di gestione del rischio esistenti, valutare eventuali lacune e affrontare tali lacune all’interno del quadro.
I componenti del framework e il modo in cui lavorano insieme dovrebbero essere personalizzati in base alle esigenze dell’organizzazione.
Leadership e impegno
L’alta direzione e gli organi di supervisione, ove applicabile, dovrebbero garantire che la gestione del rischio sia integrata in tutte le attività organizzative e dovrebbero dimostrare leadership e impegno.
Integrazione
L’integrazione della gestione del rischio si basa sulla comprensione delle strutture organizzative e del contesto. Le strutture differiscono a seconda dello scopo, degli obiettivi e della complessità dell’organizzazione. Il rischio è gestito in ogni parte della struttura dell’organizzazione. Tutti in un’organizzazione hanno la responsabilità di gestire il rischio.
Progettazione
Comprendere l’organizzazione e il suo contesto
Quando si progetta il quadro per la gestione del rischio, l’organizzazione dovrebbe esaminare e comprendere il suo contesto esterno e interno.
Articolazione dell’impegno nella gestione del rischio
L’alta direzione e gli organi di supervisione, ove applicabile, dovrebbero dimostrare e articolare il loro impegno continuo nella gestione del rischio attraverso una politica, una dichiarazione o altri moduli che trasmettano chiaramente gli obiettivi e l’impegno di un’organizzazione nella gestione del rischio.
Assegnazione di ruoli organizzativi, autorità, responsabilità e responsabilità
L’alta direzione e gli organi di supervisione, ove applicabile, dovrebbero garantire che le autorità, le responsabilità e le responsabilità per i ruoli rilevanti in relazione alla gestione del rischio siano assegnate e comunicate a tutti i livelli dell’organizzazione.
Allocazione delle risorse
L’alta direzione e gli organi di supervisione, ove applicabile, dovrebbero garantire l’allocazione di risorse adeguate per la gestione del rischio.
Stabilire comunicazione e consultazione
L’organizzazione dovrebbe stabilire un approccio approvato alla comunicazione e alla consultazione al fine di supportare il quadro e facilitare l’applicazione efficace della gestione del rischio. La comunicazione implica la condivisione di informazioni con un pubblico mirato. La consultazione coinvolge anche i partecipanti che forniscono un feedback con l’aspettativa che contribuirà e modellerà le decisioni o altre attività. I metodi e i contenuti di comunicazione e consultazione dovrebbero riflettere le aspettative delle parti interessate, se del caso.
Attuazione
L’organizzazione dovrebbe implementare il quadro di gestione del rischio
Valutazione
Al fine di valutare l’efficacia del framework di gestione del rischio
Miglioramento
Adattamento
L’organizzazione dovrebbe monitorare e adattare continuamente il quadro di gestione del rischio per affrontare i cambiamenti esterni e interni. In tal modo, l’organizzazione può migliorare il proprio valore.
Continuo miglioramento
L’organizzazione dovrebbe migliorare continuamente l’adeguatezza, l’adeguatezza e l’efficacia del quadro di gestione del rischio e il modo in cui il processo di gestione del rischio è integrato.
IL PROCESSO
Lo scopo di stabilire l’ambito, il contesto e i criteri è quello di personalizzare il processo di gestione del rischio, consentendo un’efficace valutazione del rischio e un adeguato trattamento del rischio. Ambito, contesto e criteri implicano la definizione dell’ambito del processo e la comprensione del contesto esterno e interno.
Definizione dell’ambito
L’organizzazione dovrebbe definire l’ambito delle proprie attività di gestione del rischio.
Poiché il processo di gestione del rischio può essere applicato a diversi livelli (ad es. attività strategiche, operative, di programma, di progetto o di altro tipo), è importante chiarire l’ambito in esame, gli obiettivi pertinenti da considerare e il loro allineamento con gli obiettivi organizzativi.
Contesto esterno e interno
Il contesto esterno e interno è l’ambiente in cui l’organizzazione cerca di definire e raggiungere i propri obiettivi. Il contesto del processo di gestione del rischio dovrebbe essere stabilito dalla comprensione dell’ambiente esterno e interno in cui opera l’organizzazione e dovrebbe riflettere l’ambiente specifico dell’attività a cui deve essere applicato il processo di gestione del rischio.
Definizione dei criteri di rischio
L’organizzazione dovrebbe specificare la quantità e il tipo di rischio che può o non può assumere, in relazione agli obiettivi. Dovrebbe inoltre definire criteri per valutare la significatività del rischio e supportare i processi decisionali. I criteri di rischio dovrebbero essere allineati con il quadro di gestione del rischio e personalizzati in base allo scopo specifico e all’ambito dell’attività in esame. I criteri di rischio dovrebbero riflettere i valori, gli obiettivi e le risorse dell’organizzazione ed essere coerenti con le politiche e le dichiarazioni sulla gestione del rischio. I criteri dovrebbero essere definiti prendendo in considerazione gli obblighi dell’organizzazione e le opinioni delle parti interessate.
Valutazione del rischio
La valutazione del rischio è il processo complessivo di identificazione del rischio, analisi del rischio e valutazione del rischio.
La valutazione del rischio dovrebbe essere condotta in modo sistematico, iterativo e collaborativo, attingendo alle conoscenze e ai punti di vista delle parti interessate. Dovrebbe utilizzare le migliori informazioni disponibili, integrate da ulteriori indagini, se necessario.
Identificazione del rischio
Lo scopo dell’identificazione dei rischi è trovare, riconoscere e descrivere i rischi che potrebbero aiutare o impedire a un’organizzazione di raggiungere i propri obiettivi. Informazioni pertinenti, appropriate e aggiornate sono importanti per identificare i rischi.
Analisi dei rischi
Lo scopo dell’analisi del rischio è quello di comprendere la natura del rischio e le sue caratteristiche compreso, ove appropriato, il livello di rischio. L’analisi del rischio implica una considerazione dettagliata delle incertezze, delle fonti di rischio, delle conseguenze, della probabilità, degli eventi, degli scenari, dei controlli e della loro efficacia. Un evento può avere molteplici cause e conseguenze e può influire su più obiettivi.
Valutazione del rischio
Lo scopo della valutazione del rischio è supportare le decisioni. La valutazione del rischio comporta il confronto dei risultati dell’analisi del rischio con i criteri di rischio stabiliti per determinare dove è necessaria un’azione aggiuntiva
Trattamento del rischio
Lo scopo del trattamento del rischio è selezionare e implementare le opzioni per affrontare il rischio.
Selezione delle opzioni di trattamento del rischio
La selezione dell’opzione o delle opzioni di trattamento del rischio più appropriate comporta un bilanciamento tra i potenziali benefici derivanti dal raggiungimento degli obiettivi rispetto ai costi, allo sforzo o agli svantaggi dell’attuazione.
Preparazione e attuazione dei piani di trattamento dei rischi
Lo scopo dei piani di trattamento del rischio è specificare come verranno implementate le opzioni di trattamento scelte, in modo che le disposizioni siano comprese da coloro che sono coinvolti e che i progressi rispetto al piano possano essere monitorati. Il piano di trattamento dovrebbe identificare chiaramente l’ordine in cui il trattamento del rischio dovrebbe essere attuato.
Monitoraggio e revisione
Lo scopo del monitoraggio e della revisione è assicurare e migliorare la qualità e l’efficacia della progettazione, dell’implementazione e dei risultati del processo. Il monitoraggio continuo e la revisione periodica del processo di gestione del rischio e dei suoi risultati dovrebbero essere una parte pianificata del processo di gestione del rischio, con responsabilità chiaramente definite
Registrazione e rendicontazione
Il processo di gestione del rischio ei suoi risultati dovrebbero essere documentati e segnalati attraverso meccanismi appropriati
COME POSSO DIMOSTRARE L’APPLICAZIONE DEI PRINCIPI SECONDO LO STANDARD ISO 31000:2018 PER LA MIA ORGANIZZAZIONE?
E’possibile richiedere una ispezione finalizzata a valutare eventuali gap tra il metodo adottato in azienda per la gestione dei rischi e la ISO 31000.
Il certificato di ispezione rimanda a un rapporto di ispezione dettagliato e «fotografa» una situazione in un momento ben preciso
La ISO 31000: 2018 non può tuttavia essere certificata come un sistema di gestione, in quanto trattasi di linee guida e principi.