La gestione del rischio: lo Standard ISO 31000

Risk Management and Business Continuity: gli strumenti a disposizione

Antonio Moschitta

Università degli Studi di Perugia

Dipartimento di Ingegneria Elettronica e dell’Informazione

Perugia, 4/10/2013

Sommario

• Cenni introduttivi

• Struttura dello Standard ISO 31000• Struttura dello Standard ISO 31000

• Caso di studio

Cenni introduttivi

• Standard pubblicato il 13 Novembre 2009

• Recepisce ed evolve lo standard AS/NZS 4360:2004

• Versione Italiana: UNI ISO 31000:2010

• Completata da Guida ISO 73:2009 (Vocabolario), e da ISO/IEC 31010:2009 (Gestione dei rischi –Tecniche di valutazione dei rischi)

Cenni introduttivi

• Strutturato in modo analogo ad altre norme ISO (ISO 9000, ISO 14000…)

• Forte focus su responsabilità, comunicazione, documentazione, approccio per processi

Organizzazione dello Standard

Introduzione (Obiettivi)

1. Scopo e campo di applicazione

2. Terminologia e definizioni2. Terminologia e definizioni

3. Principi

4. Struttura di riferimento

5. Processo

Appendice A- Caratteristiche di una gestione del rischio robusta

Obiettivi• Aumentare la probabilità di raggiungere gli obiettivi

• Gestione proattiva

• Reporting

• Supporto alle decisioni

• Prestazioni in ambito salute, sicurezza, protezione • Prestazioni in ambito salute, sicurezza, protezione ambientale

• Apprendimento organizzativo

• …

Obiettivi

• Vantaggi:– Diminuzione premio polizze assicurative

– Soddisfacimento requisiti legislativi

– Migliore accesso al credito– Migliore accesso al credito

– Sfruttamento di rischi positivi

– Relazioni con le comunità locali

– …

Ambito

• Applicabilità– “Le organizzazioni di tutti i tipi e dimensioni si

trovano ad affrontare fattori ed influenzeinterni ed esterni che rendono incerto ilinterni ed esterni che rendono incerto ilraggiungimento dei propri obiettivi. Il rischio èl'effetto che questa incertezza ha sugli obiettividell'organizzazione.”

– Fonte: http://www.uni.com

Ambito

• Applicabilità– La Norma Internazionale è applicabile a

qualunque tipo di rischio

– Es: ambientale,finanziario,health& safety…– Es: ambientale,finanziario,health& safety…

– Coinvolge varie figure professionali (executivelevel stakeholders, risk analysts andmanagement officers, line managers andproject managers, compliance and internalauditors, independent practitioners…)

Definizioni

• Rischio: effetto dell’incertezza sugli obiettivi(negativoo positivo)

• Livello di rischio: dimensione di unrischio,espresso in termini di combinazioneespresso in termini di combinazionefra conseguenzee probabilità (2.1)

• Valutazione del rischio (Risk assessment):processo che include l’identificazione (2.15),l’analisi (2.21), e la ponderazione del rischio(2.24)

Definizioni

• Trattamento del rischio: processo di modificazionedel rischio

• Rischio residuo: rischio che rimane dopoil trattamentodel rischio. Il rischio residuopuòil trattamentodel rischio. Il rischio residuopuòcontenere rischi non identificati.

Approccio e principi Fonte immagine: [1]

Fonte immagine: [1]

Stabilire il contesto e la politica

• Contesto esterno: ambiente sociale, culturale,politico, cogente, finanziario, tecnologico,…

• Contesto interno: governance, strutturaorganizzativa, responsabilità, politiche,sistemi e flussi informativi,...sistemi e flussi informativi,...

• Politica per la gestione del rischio:dichiarazione degli orientamenti ed indirizzigenerali relativi alla gestione del rischio(legami tra obiettivi dell’organizzazione,politica e politica per la gestione del rischio,responsabilità, metriche prestazionali…)

Caso di Studio

• APPLYING THE ISO 31000 RISK ASSESSMENT FRAMEWORK TO COASTAL ZONE MANAGEMENT [2010]

• The NSW Government’s Sea Level Rise PolicyStatement, CoastalPlanningGuideline: Adaptingto SeaStatement, CoastalPlanningGuideline: Adaptingto SeaLevel Riseand Draft Guidelines for Preparing CoastalZone Management Plans (CZMP)have endorsed the useof a ‘risk assessment approach’ to coastal zonemanagement.

Caso di studio

Fonte immagine: [2]

• Objective: minimize risks fromcoastal hazards(natural coastal processes) to public and privateassets

• As of NewSouthWales Coastal Policy 1997…• Separate coastline in geomorphic subgroups• Risk levels:acceptable, tolerable, intolerable

Identificazione del rischio

• Fonti di rischio• Aree di impatto• Eventi• Circostanze• Conseguenze• Obiettivo: elenco completo di eventi che

possono influenzare il conseguimento degli obiettivi

• Include effetti a cascata

Analisi e ponderazione del rischio

• L’analisi (determinazione delle conseguenze e di attributi come la verosimiglianza) fornisce gli input alla fase di ponderazione, come il livello di rischio.

• Ponderazione: confronto tra il livello di rischio e i criteri di rischio

Caso di studio

• Identify the risks:

Fonte immagine: [2]

• Identify the risks:– Beach erosion– Shoreline recession (including due to sea level

rise)– Coastal (oceanic) inundation – Coastal entrance or watercourse instability– Coastal cliff or slope instability– Sand drift

Caso di studio

• Analyze the risks (2050-2100):Fonte immagine: [2]

• Analyze the risks (2050-2100):– Verosimiglianza cresce avvicinandosi alla linea

costiera e con il trascorrere del tempo (livello del mare in aumento). Livelli: «almost certain», «likely», «possible», «unlikely», «rare»

– Consequences: «catastrophic», «major», «moderate», «minor», «insignificant»

– Risk levels: «extreme», «high», «medium», «low»

Fonte immagine: [2]

Livelli non tollerabili: «high», «extreme»

Fonte immagini: [2]

Trattamento del rischio

a) Evitarlo, decidendo di non avviare o continuare l’attività che comporta l’insorgere del rischio

b) Assumere o aumentare il rischio al fine di perseguire una opportunitàperseguire una opportunità

c) Rimuovere la fonte di rischiod) Modificarne la probabilitàe) Modificarne le conseguenzef) Condividere il rischio con altra/e parte/i

(include controllo finanziario)g) Ritenere il rischio con decisione informata

Caso di Studio

Fonte immagine: [2]

• Riduzione della probabilità del rischio

– Identificazione di «trigger» che anticipano l’insorgenza di fenomeni erosivi (recession/erosion)

• Mitigazione delle conseguenze

– Acquisition/rental

Fonte immagine: [2]

Certificazione?

• ISO 31000 non è destinata a scopo di certificazione (2009)

Tuttavia…• Mercato in espansione• Mercato in espansione• Nel 2013 risultano tuttavia erogati diversi corsi di

formazione (accreditamento e certificazione consulenti)

Grazie per l’attenzione! ☺

[1] International Standard ISO 31000, Final Draft 2009

[2] V. Rollason, G. Fisk, P.Haines, «APPLYING THE ISO 31000 RISK ASSESSMENT FRAMEWORK TO COASTAL ZONE MANAGEMENT,» available on the internet at the web addresshttp://www.coastalconference.com/2010/papers2010/Verity%20Rollason%20full%20paper%202.pdf

Riferimenti bibliografici

Beach Erosion and Shoreline Recession Hazard Probability Zones, Coffs Harbour

Fonte immagine: [2]

Fonte immagine: [2]

Overlaps• World Association of Nuclear Operators (WANO)

• International Atomic Energy Agency (IAEA)

• ISO 14971 Risk Management (Medical Devices)

• ISO 27001:2013 - Information technology – Security techniques – Information security management systems –RequirementsRequirements

• Committee of Sponsoring Organizations of the TreadwayCommission (COSO)

• Balanced Scorecard (BSC)

• Federation of European Risk Management Associations(FERMA)

• British Standard BS 31100:2008, BSI