A che punto sono ISO 31000 e la sua implementazione?

Da International Standards Organisation ha lanciato il progetto "ISO 31000 Risk management - Principles and guidelines" nel 2005, partendo dalla norma australiana e neozelandese "AS/NZS 4360 Risk management". L'approccio sistemico (Plan-Do-Check-Act) della serie ONR 49000, pubblicata per la prima volta nel 2004, è stato aggiunto come elemento chiave e si è affermato come "quadro di gestione del rischio".

La norma "ISO 31000 Risk management - Principles and guidelines", pubblicata alla fine del 2009, descrive i principi, il quadro e il processo di gestione dei rischi di ogni tipo per le aziende private e le organizzazioni pubbliche. L'applicazione di ISO 31000 ha lo scopo di aiutare le organizzazioni a raggiungere i loro obiettivi, identificando sistematicamente le opportunità e le minacce e allocando efficacemente le risorse per affrontare i rischi. Contribuisce così in modo importante a soddisfare i requisiti della governance aziendale e ad essere compreso e integrato come strumento di gestione.

L'ISO 31000 ha incontrato un grande interesse a livello internazionale, tanto che dopo poco tempo è al quinto posto nel mondo tra le norme ISO comparabili. Da un punto di vista globale, ISO 31000 è ora alla pari con la norma di revisione americana "COSO Enterprise Risk Management Framework". L'OCSE ha recentemente descritto ISO 31000 come uno "standard mondiale defacto". Tuttavia, lo standard non intende essere oggetto di una certificazione formale. Tuttavia, supporta lo svolgimento di valutazioni interne ed esterne di gestione del rischio. Le organizzazioni che usano ISO 31000 possono confrontare la loro gestione del rischio con le linee guida dello standard.

Revisione a breve e medio termine

L'ISO rivede i suoi standard ogni cinque anni. La revisione di ISO 31000 è stata decisa nel 2013 e ora è stata presa in mano da ISO TC 262 WG "Core Risk Management Standards". Quali sono le direzioni di sviluppo ora?

Il gruppo di lavoro "Core Risk Management Standards" ha due mandati: Da un lato, una "revisione limitata" deve essere effettuata. Questo riguarda l'ISO 31000 e la terminologia della Guida ISO 73. D'altra parte, una revisione tecnica fondamentale deve essere intrapresa.

La revisione limitata che ora è iniziata si basa sul presupposto che lo standard si è dimostrato così bene negli ultimi anni che non dovrebbe essere cambiato significativamente nella struttura e nel contenuto per il momento. Tuttavia, ci sono alcuni aggiustamenti che saranno fatti nel senso di un miglioramento continuo. Le questioni principali sono le seguenti:

• Considerazione delle esigenze di sicurezza: in Germania è sorta una discussione che ha portato a malintesi nell'applicazione della ISO 31000 alle aree della sicurezza sul lavoro e dell'ambiente in relazione alle opportunità e agli aspetti economici. Si temeva un conflitto con i requisiti legali. L'attuale revisione chiarirà questi malintesi e renderà la norma accessibile ai "safetyissues".
• L'esperienza passata mostra anche che un chiarimento della terminologia è utile in certi punti della norma. Il punto principale qui è che il doppio significato del rischio come opportunità e minaccia dovrebbe essere espresso più chiaramente.
• Inoltre, vengono apportati alcuni miglioramenti editoriali e chiarimenti che non influenzano il contenuto e la struttura di ISO 31000.

La revisione tecnica decisa per dopo sarà affrontata solo quando la revisione limitata sarà in una fase finale. La base per la revisione tecnica sarà la raccolta del feedback dei clienti esistenti e un sondaggio attuale che sarà pianificato e condotto dall'organizzazione ISO. La revisione tecnica di ISO 31000 non inizierà prima del 2016.

Integrazione di nuovi argomenti

Parallelamente alle revisioni in corso, ci sono nuove questioni che vengono già affrontate. Due sono in prima linea per l'estensione della famiglia di norme ISO 31000:

• Fattori umani: è noto che i rischi sono spesso causati dalle persone. Ora si deve creare un ulteriore standard che descriva e illumini questo importante aspetto della gestione del rischio sulla base di risultati scientifici e pratici.
• Modello di maturità del rischio: L'applicazione della gestione del rischio nelle organizzazioni e nelle aziende è ancora fatta in modi molto diversi, più o meno supportati dal top management. Oggi esistono già vari modelli di maturità. L'ISO sta ora cercando di armonizzare e svilupperà il proprio modello di maturità del rischio.

Questi due nuovi argomenti saranno specificati all'interno dell'ISO TC 262 e trattati più in dettaglio da nuovi gruppi di lavoro.

Applicazione nella pratica

ISO 31000 è uno standard generico che fornisce linee guida complete ma poche specifiche per l'attuazione della gestione del rischio nella pratica aziendale. Questo carattere generico della norma è anche la ragione più profonda per cui la gestione dei rischi secondo ISO 31000 non dovrebbe essere certificabile.

Le specifiche per ISO 31000 sono fornite dalla serie ONR-49000 "Risk management for organizations and systems, Application of ISO 31000 in practice". È stato pubblicato nella sua quarta versione a partire dal 1° gennaio 2014 ed è invariato nella struttura dalla versione del 2010. Tuttavia, alcune aggiunte e chiarimenti sono stati fatti al contenuto, che sono elencati di seguito:

• Il concetto di rischio: ISO 31000 definisce il concetto di rischio come "Effetti dell'incertezza sugli obiettivi". Il nuovo ONR fa un passo avanti e definisce il rischio come "effetti dell'incertezza su obiettivi, attività e requisiti". Questo ha lo scopo di allineare il rischio non solo con il raggiungimento degli obiettivi (strategici), ma anche di includere la performance delle attività operative. Questo crea un ponte verso la gestione delle emergenze, delle crisi e della continuità, che sono parte integrante della gestione del rischio (cfr. ONR 49002-3 Guidance on emergency, crisis and continuity management). Inoltre, le implicazioni dell'incertezza si estendono ai "requisiti". Questo fa da ponte alla questione della "conformità", cioè la conformità con i requisiti nelle aree della sicurezza sul lavoro, del prodotto e dell'ambiente. La conformità si estende ad altre aree del diritto come la "gestione fedele", la protezione di beni o comportamenti che sono stabiliti dalla scienza e dall'esperienza pratica, per esempio nelle norme. Questi contengono spesso "buone" o "migliori pratiche". Questo include, per esempio, ISO 26000 (responsabilità sociale), il cui rispetto è più un obbligo morale che legale.
• L'ONR 49001 si basa sulla nuova struttura degli standard del sistema di gestione ISO (ISO MSS). La nuova ISO 9001 (gestione della qualità), la nuova ISO 14001 (gestione ambientale) o la ISO 27001 (gestione della sicurezza delle informazioni) sono strutturate allo stesso modo secondo questa "struttura di alto livello". Tuttavia, la struttura dell'ONR 49001 con il capitolo 4 come sistema di gestione dei rischi e con il capitolo 5 come processo di gestione dei rischi è mantenuta per corrispondere all'attuale ISO 31000 nella struttura di base.
• ISO 31000 è inteso come una raccomandazione ed è scritto nella forma "dovrebbe" (in contrasto con per esempio ISO 9001 come requisito nella forma "deve"). L'ONR ora adotta un terzo approccio scrivendo il verbo completo, ad esempio "l'organizzazione implementa il sistema di gestione dei rischi" (non "dovrebbe" e nemmeno "deve" implementare). In questo modo, l'ONR crea una forza vincolante, anche se come insieme di regole non impone alcun requisito rigido.
• L'allegato A (informativo) descrive l'"Audit del sistema di gestione dei rischi". Basato su ISO 19011 "Guida all'audit dei sistemi di gestione", l'ONR 49001 permette una valutazione del sistema. L'ONR 49001 afferma: "Molte organizzazioni hanno la necessità di avere l'efficacia del loro sistema di gestione dei rischi rivisto internamente o riconosciuto esternamente. A tal fine, è necessario un sistema che definisca gli elementi del sistema di gestione dei rischi in modo comprensibile e verificabile. Questi elementi del sistema di gestione dei rischi sono definiti e descritti in questo ONR" (ONR 2014, p. 3).
• Nel capitolo 4, l'ONR 49001 introduce il modello di maturità di James Reason come parte del "miglioramento del sistema di gestione dei rischi" (cfr. Fig. 1). Il top management di un'organizzazione dovrebbe sforzarsi di assicurare che tutti gli elementi del sistema di gestione dei rischi siano soddisfatti al massimo grado di maturità possibile (ONR 49001, sezione 4.10, pag. 16).
• Il capitolo 5 tratta in dettaglio i fattori umani nella gestione del rischio (cfr. Fig. 2). L'attenzione è sulla natura e la gestione degli errori umani (ONR 49001, sezione 5.5.3 "Gestione del rischio nelle organizzazioni").
• ONR 49002-1, Guidance for embedding the risk management system in the management system, è integrato con un capitolo su "Risk management in complex organisations". Questo mostra come i rischi sono consolidati e come i rischi trasversali sono trattati.
• Infine, nella ONR 49002-2 i metodi di valutazione del rischio sono completati con l'analisi degli eventi di perdita secondo il protocollo di Londra e altri supplementi che sono usati nella gestione del rischio clinico.
• L'allegato informativo sui metodi espande gli esempi di criteri di rischio, che è principalmente inteso come la parametrizzazione della probabilità di accadimento e l'impatto dei rischi.

Outlook

La serie ISO 31000 e anche la serie ONR 49000 possono essere considerate come due serie di regole mature, stabili e complementari che permettono alle aziende e alle organizzazioni di portare la gestione del rischio a un livello che soddisfa le loro esigenze individuali. Questo è particolarmente importante perché altri importanti standard, come ISO 9001, saranno basati sul rischio a partire dal 2015, il che significa che l'accesso agli standard di gestione del rischio e l'applicazione pratica delle tecniche di gestione del rischio incontreranno un bisogno crescente.

Riferimento alla letteratura: Brühwiler, Bruno: Risikomanagement als Führungsaufgabe, 3° ed.

Norme

• ISO 31000 Gestione del rischio - Principi e linee guida, 2009
• ISO 19011 Guida all'audit dei sistemi di gestione, 2011
• ONR-49000 serie Gestione del rischio per organizzazioni e sistemi, versione 2014
• Direttive ISO/IEC, Parte 1: Supplemento ISO consolidato Procedure specifiche per ISO, Allegato SL (normativo), Proposte di norme per sistemi di gestione, 2014, p. 115 e seguenti.