TÜV SÜD TÜV SÜD

TÜV ItaliaRISCHIO DI IMPRESA

FOCUS ON STANDARDS

07/12/2012

www.tuv.it

ugo.massarenti@tuv.it

Management Service Division

IL RISCHIO DI IMPRESA

Il rischio complessivo dell‘IMPRESApuò essere scomposto in

economico finanziario patrimoniale da reato (dlgs 231) ambientale del bene / prodotto / servizio legato a comportamenti umani reputazionale, che si articola in:

rischi operativi (vendita, progettazione, distribuzione, approvvigionamento, produzione

i rischi legalirischi strategici

IL RISCHIO : VALUTIAMOLO IN TERMINI DI EBIT %

BLU: ORGANIZZAZIONE CON MEDIO BASSO APPETITO PER IL RISCHIO

ROSSO: ORGANIZZAZIONE AD ELEVATO APPETITO PER IL RISCHIO

Standard “in commercio” maggiormente diffusi di cuiuna Organizzazione dispone per progettare unagestione dei rischi di sistema di:

ISO 9001 qualità => si focalizza sul rischio di prodotto e processo

ISO 14001 ambientale => si focalizza sul rischio di prodotto e processo

OHSAS 18001 sicurezza dei lavoratori => rischio lavoratori (safety)

ISO 27000 sicurezza informatica => rischio di security dei dati

ISO 28000 logistica / supply chain => rischio di continuità fornitura

ISO 22301 businness continuity management => tutti rischi di una organizzazione che ne compromettano la continuità operativa del businness

GLI STANDARD CITATI :- Servono a identificare, analizzare e ridurre il rischio- Spingono a determinare indicatori di efficacia di questa riduzione

(=gestione), attraverso le performance di processi organizzativi- NON PRESCRIVONO l’esistenza di PROCESSO di gestione del rischio di

impresa

SOLO ISO 22301 di fatto richiede il principio SISTEMATICO di determinazione di un processo di gestione del rischio di impresa e quindi della

• ANALISI, VALUTAZIONE, TRATTAMENTO E CONTROLLO• GESTIONE (VALORIZZATA) DEL RISCHIO DI IMPRESA

ISO 22301: EDIZIONE MAGGIO 2012, deriva dalla linea guida ISO 31000- Poco nota- Spesso intesa ERRONEAMENTE come sinonimo della iso 27000 (rischio

IT – security dei dati)

Analisi SWOT schema : ISO 9001

STRENGHT

• Approccio sistemico alla gestione dei rischi di prodotto e processo

• Valutazione della conformità inerente il prodotto servizio

• Valutazione da parte di un organismo indipendente

• Coinvolgimento di tutta l’organizzazione

OPPORTUNITIES

• Integrazione con altri schemi PDCA based

• Riduzione dei costi (passività ambientali, interruzioni attività, assicurativi, due diligence ecc.)

• schema “generalista” e flessibile

WEAKNESSES• Coinvolgimento da parte dei soggetti

apicali non sempre adeguato• Oramai il mercato considera

certificazione iso 9k una commodity(oltre 100 ODC solo in Italia..)

THREAT • Nel 50% dei casi applicati è “fare carta” per

registrare il buon senso: ci si dimentica della 9004

• Scarso riconoscimento dal mercato: ovvero non da alcuna garanzia della qualità del prodotto e servizio (non è nello scopo) né nei rischi indiretti collegati al prodotto / servizio

• mercato inflazionato da parte di tutti gli attori (ODC/Consulenti)

• massiva Perdita di credibilità dello schema

Analisi SWOT schema : ISO 14001:2004

STRENGHT

• Approccio sistemico alla gestione della aspetti ambientali connessi ai processi/servizi aziendali

• Valutazione della conformità legislativa• Valutazione da parte di un organismo

indipendente• Coinvolgimento di tutta l’organizzazione

OPPORTUNITIES

• Fiducia delle parti interessate (es: investitori, clienti, ecc.)

• Riduzione dei costi (passività ambientali, interruzioni attività, assicurativi, due diligence ecc.)

• Elemento utile alla predisposizione di un modello organizzativo Dlgs 231/2001 per i reati ambientali

WEAKNESSES• Coinvolgimento da parte dei soggetti

apicali non sempre adeguato• Gestione dei frequenti

aggiornamenti legislazione ambientale e delle loro applicazioni giuridiche

THREAT • Pensare che il fine sia la certificazione e non la

tutela dell’ambiente• Scarso riconoscimento dell’impegno alla

certificazione da arte delle parti interessate(amministrazioni, enti controllo, enti finanziatori)

• Situazione economica esterna (risorse)e cessazione dei finanziamenti pubblici motore trainante della certificazione in alcune regioni di Italia

Pareto piu’ frequenti NC: schema : ISO 14001:2004

70%

10% 10% 5% 5%0%

10%

20%

30%

40%

50%

60%

70%

80%

mancato adempimentoprescrizioni legislative

cogenti;

osservazioni non gestitenei tempi del regolamento

non adeguato controllo etenuta delle registrazioni

requisito normativocompletamente disatteso

molteplici osservazioniinerenti lo stesso requisito

normativo oppure ilmedesimo processo /area

aziendale

CAUSALI NC - ISO 14K

Analisi SWOT schema : BS OHSAS 18001:2007

STRENGHT

• Approccio sistemico alla gestione della sicurezza (prevenzione)

• Valutazione della conformità legislativa• Valutazione da parte di un organismo

indipendente• Coinvolgimento di tutta

l’organizzazione• Sgravi INAIL (in Italia)

OPPORTUNITIES

• Fiducia delle parti interessate (es: investitori, clienti, ecc.)

• Riduzione dei costi (interruzioni attività, assicurativi, infortuni, malattie, ecc.)

• Elemento utile alla predisposizione di un modello 231/2001

WEAKNESSES

• Coinvolgimento da parte dei soggetti apicali non sempre adeguato

• Gestione dei frequenti mutamenti normativi

THREAT

• Pensare che il fine sia la certificazione e non la tutela della sicurezza e della salute dei lavoratori

• Situazione economica esterna (risorse)

Pareto piu’ frequenti NC : schema : BS OHSAS 18001:2007

45%40%

10%5%

0%

5%

10%

15%

20%

25%

30%

35%

40%

45%

50%

Conformitàlegislativa

Controllooperativo

Registrazioni Varie

Standards per Businness Continuity Management

AS/NZS 4360:2004:Risk Management

ISO27005 (ISO 27005) ISRM

COSA SIGNIFICA BUSINNESS CONTINUITY ?

12

Quando gestiamo un rischio c’è il Costo di opportunità: è il differenziale minimo tra i costi di (almeno) due differenti opportunità possibili per gestire uno stesso rischio.

E’ la misura diretta della efficienza di allocazione di risorse di gestione del rischio.

Tempo e risorse spese per la gestione del rischio potrebbero essere spese per attività più redditizie.

Nelle nostre analisi di rischio teniamo conto del costo di opportunità?

(lo PAGHIAMO sempre e SICURAMENTE)

5 i passi così descritti in iso 31000 (linea guida, non è certificabile)

1.Stabilire il contesto2.Identificare i rischi3.Analizzare i rischi4.Valutare5.Controllare i rischi

STRUTTURA DI GESTIONE PDCA ISO 31000

STRUTTURA DI GESTIONE PDCA ISO 22301

ISO 31010: CONTRIBUTO DELLA VALUTAZIONE DEL RISCHIO

• TOOLS PER VALUTAZIONE DEL RISCHIO

• (non tutti validi per la identificazione del rischio!)

Iso 31010- scelta della tecnica di assessment

conclusioni

• Il rischio dipende da tanti fattori: contesto, appetito, risorse sono elementi basici per caratterizzarlo, ma non sufficienti

• La gestione efficace ed efficiente del rischio impone approccio sistematico

• Il modello ISO 22301:2012 si integra con l’esistente modello di gestione 9001

• L’esistenza di un modello gestionale è corroborata da un modello tecnico esistente (iso 31010)

• E’ possibile fornire assessment di 2° e 3° parte di:- di conformità sistema gestione ai requisiti iso 22301- di efficacia ed efficienza del processo di risk management

Fine intervento – grazie per attenzione