ISO TC184-SC4 le famiglie di standard per l’interoperabilità Anna Moreno.
La gestione del rischio: lo Standard ISO · PDF file– La Norma Internazionale è...
Transcript of La gestione del rischio: lo Standard ISO · PDF file– La Norma Internazionale è...
La gestione del rischio: lo Standard ISO 31000
Risk Management and Business Continuity: gli strumenti a disposizione
Antonio Moschitta
Università degli Studi di Perugia
Dipartimento di Ingegneria Elettronica e dell’Informazione
Perugia, 4/10/2013
Sommario
• Cenni introduttivi
• Struttura dello Standard ISO 31000• Struttura dello Standard ISO 31000
• Caso di studio
Cenni introduttivi
• Standard pubblicato il 13 Novembre 2009
• Recepisce ed evolve lo standard AS/NZS 4360:2004
• Versione Italiana: UNI ISO 31000:2010
• Completata da Guida ISO 73:2009 (Vocabolario), e da ISO/IEC 31010:2009 (Gestione dei rischi –Tecniche di valutazione dei rischi)
Cenni introduttivi
• Strutturato in modo analogo ad altre norme ISO (ISO 9000, ISO 14000…)
• Forte focus su responsabilità, comunicazione, documentazione, approccio per processi
Organizzazione dello Standard
Introduzione (Obiettivi)
1. Scopo e campo di applicazione
2. Terminologia e definizioni2. Terminologia e definizioni
3. Principi
4. Struttura di riferimento
5. Processo
Appendice A- Caratteristiche di una gestione del rischio robusta
Obiettivi• Aumentare la probabilità di raggiungere gli obiettivi
• Gestione proattiva
• Reporting
• Supporto alle decisioni
• Prestazioni in ambito salute, sicurezza, protezione • Prestazioni in ambito salute, sicurezza, protezione ambientale
• Apprendimento organizzativo
• …
Obiettivi
• Vantaggi:– Diminuzione premio polizze assicurative
– Soddisfacimento requisiti legislativi
– Migliore accesso al credito– Migliore accesso al credito
– Sfruttamento di rischi positivi
– Relazioni con le comunità locali
– …
Ambito
• Applicabilità– “Le organizzazioni di tutti i tipi e dimensioni si
trovano ad affrontare fattori ed influenzeinterni ed esterni che rendono incerto ilinterni ed esterni che rendono incerto ilraggiungimento dei propri obiettivi. Il rischio èl'effetto che questa incertezza ha sugli obiettividell'organizzazione.”
– Fonte: http://www.uni.com
Ambito
• Applicabilità– La Norma Internazionale è applicabile a
qualunque tipo di rischio
– Es: ambientale,finanziario,health& safety…– Es: ambientale,finanziario,health& safety…
– Coinvolge varie figure professionali (executivelevel stakeholders, risk analysts andmanagement officers, line managers andproject managers, compliance and internalauditors, independent practitioners…)
Definizioni
• Rischio: effetto dell’incertezza sugli obiettivi(negativoo positivo)
• Livello di rischio: dimensione di unrischio,espresso in termini di combinazioneespresso in termini di combinazionefra conseguenzee probabilità (2.1)
• Valutazione del rischio (Risk assessment):processo che include l’identificazione (2.15),l’analisi (2.21), e la ponderazione del rischio(2.24)
Definizioni
• Trattamento del rischio: processo di modificazionedel rischio
• Rischio residuo: rischio che rimane dopoil trattamentodel rischio. Il rischio residuopuòil trattamentodel rischio. Il rischio residuopuòcontenere rischi non identificati.
Approccio e principi Fonte immagine: [1]
Fonte immagine: [1]
Stabilire il contesto e la politica
• Contesto esterno: ambiente sociale, culturale,politico, cogente, finanziario, tecnologico,…
• Contesto interno: governance, strutturaorganizzativa, responsabilità, politiche,sistemi e flussi informativi,...sistemi e flussi informativi,...
• Politica per la gestione del rischio:dichiarazione degli orientamenti ed indirizzigenerali relativi alla gestione del rischio(legami tra obiettivi dell’organizzazione,politica e politica per la gestione del rischio,responsabilità, metriche prestazionali…)
Caso di Studio
• APPLYING THE ISO 31000 RISK ASSESSMENT FRAMEWORK TO COASTAL ZONE MANAGEMENT [2010]
• The NSW Government’s Sea Level Rise PolicyStatement, CoastalPlanningGuideline: Adaptingto SeaStatement, CoastalPlanningGuideline: Adaptingto SeaLevel Riseand Draft Guidelines for Preparing CoastalZone Management Plans (CZMP)have endorsed the useof a ‘risk assessment approach’ to coastal zonemanagement.
Caso di studio
Fonte immagine: [2]
• Objective: minimize risks fromcoastal hazards(natural coastal processes) to public and privateassets
• As of NewSouthWales Coastal Policy 1997…• Separate coastline in geomorphic subgroups• Risk levels:acceptable, tolerable, intolerable
Identificazione del rischio
• Fonti di rischio• Aree di impatto• Eventi• Circostanze• Conseguenze• Obiettivo: elenco completo di eventi che
possono influenzare il conseguimento degli obiettivi
• Include effetti a cascata
Analisi e ponderazione del rischio
• L’analisi (determinazione delle conseguenze e di attributi come la verosimiglianza) fornisce gli input alla fase di ponderazione, come il livello di rischio.
• Ponderazione: confronto tra il livello di rischio e i criteri di rischio
Caso di studio
• Identify the risks:
Fonte immagine: [2]
• Identify the risks:– Beach erosion– Shoreline recession (including due to sea level
rise)– Coastal (oceanic) inundation – Coastal entrance or watercourse instability– Coastal cliff or slope instability– Sand drift
Caso di studio
• Analyze the risks (2050-2100):Fonte immagine: [2]
• Analyze the risks (2050-2100):– Verosimiglianza cresce avvicinandosi alla linea
costiera e con il trascorrere del tempo (livello del mare in aumento). Livelli: «almost certain», «likely», «possible», «unlikely», «rare»
– Consequences: «catastrophic», «major», «moderate», «minor», «insignificant»
– Risk levels: «extreme», «high», «medium», «low»
Fonte immagine: [2]
Livelli non tollerabili: «high», «extreme»
Fonte immagini: [2]
Trattamento del rischio
a) Evitarlo, decidendo di non avviare o continuare l’attività che comporta l’insorgere del rischio
b) Assumere o aumentare il rischio al fine di perseguire una opportunitàperseguire una opportunità
c) Rimuovere la fonte di rischiod) Modificarne la probabilitàe) Modificarne le conseguenzef) Condividere il rischio con altra/e parte/i
(include controllo finanziario)g) Ritenere il rischio con decisione informata
Caso di Studio
Fonte immagine: [2]
• Riduzione della probabilità del rischio
– Identificazione di «trigger» che anticipano l’insorgenza di fenomeni erosivi (recession/erosion)
• Mitigazione delle conseguenze
– Acquisition/rental
Fonte immagine: [2]
Certificazione?
• ISO 31000 non è destinata a scopo di certificazione (2009)
Tuttavia…• Mercato in espansione• Mercato in espansione• Nel 2013 risultano tuttavia erogati diversi corsi di
formazione (accreditamento e certificazione consulenti)
Grazie per l’attenzione! ☺
[1] International Standard ISO 31000, Final Draft 2009
[2] V. Rollason, G. Fisk, P.Haines, «APPLYING THE ISO 31000 RISK ASSESSMENT FRAMEWORK TO COASTAL ZONE MANAGEMENT,» available on the internet at the web addresshttp://www.coastalconference.com/2010/papers2010/Verity%20Rollason%20full%20paper%202.pdf
Riferimenti bibliografici
Beach Erosion and Shoreline Recession Hazard Probability Zones, Coffs Harbour
Fonte immagine: [2]
Fonte immagine: [2]
Overlaps• World Association of Nuclear Operators (WANO)
• International Atomic Energy Agency (IAEA)
• ISO 14971 Risk Management (Medical Devices)
• ISO 27001:2013 - Information technology – Security techniques – Information security management systems –RequirementsRequirements
• Committee of Sponsoring Organizations of the TreadwayCommission (COSO)
• Balanced Scorecard (BSC)
• Federation of European Risk Management Associations(FERMA)
• British Standard BS 31100:2008, BSI