Il mondo delle norme ISO in movimento
Un sistema di gestione standardizzato dovrebbe affrontare sia gli obiettivi aziendali che gli impegni politici, rispettivamente, portando a una performance aziendale appropriata. Questi obiettivi e impegni coprono molte dimensioni: Qualità e ambiente, finanziario, sicurezza e sociale. Tuttavia, tutte queste aree devono essere allineate tra loro.
Con una crescente ricchezza di informazioni e un aumento dei requisiti, la progettazione di processi efficienti e un approccio strutturato ai rischi non stanno diventando più facili; ciò che è necessario è una base coordinata. L'ISO ha reagito - gli standard di gestione vengono successivamente standardizzati con una maggiore inclusione della gestione del rischio secondo l'ISO 31000 - un rapporto intermedio sullo stato dei lavori.
Unificazioni
Il numero crescente di standard di sistema di gestione (MSS) con diverse strutture ed elementi di sistema ha posto problemi alle aziende che applicano diversi standard in modo integrato.
Pertanto, nel 2012, l'ISO ha deciso che in futuro tutte le norme del sistema di gestione ISO saranno basate sulla stessa struttura ed elementi, così come su una serie di requisiti di base identici. Questo è indicato come la struttura di alto livello (HLS) per gli standard del sistema di gestione.
La struttura di alto livello specificata nelle linee guida ISO (vedi Riferimenti 1) rende più facile per le aziende creare un sistema di gestione integrato multiaspetto e olistico. Anche se i singoli chiarimenti dei termini e delle procedure devono ancora essere fatti, tutti i recenti standard ISO per i sistemi di gestione sono basati sul concetto di pensiero basato sul rischio. Un'offerta di "sistema ISO-MSS" coordinato in questo modo è ora disponibile per l'uso pratico.
Linee guida ISO aggiornate
Le revisioni del 2018 alle linee guida ISO stabiliscono ora che ogni nuovo documento ISO deve fare riferimento a ISO 31000 che contiene requisiti di gestione del rischio o linee guida per un prodotto, processo o settore specifico (2). L'ISO ha così fatto un ulteriore passo verso il superamento delle duplicazioni stabilite e verso strutture e concetti coordinati. I sistemi di gestione di diversi tipi, basati sulle rispettive norme dei sistemi di gestione ISO come ISO 9001, ISO 14001 o ISO 45001 sono basati sulla struttura di alto livello (3).
Il concetto di gestione dei rischi secondo ISO 31000 può essere integrato nei singoli sistemi di gestione sulla base di queste norme o utilizzato in modo ottimale in un sistema olistico di gestione integrata, i cui benefici sono noti per essere notevoli e numerosi. Per ulteriori informazioni, si fa riferimento al manuale ISO "The Integrated Use of Management Systems Standards (IUMSS)" (4). Le numerose e varie norme ISO vengono costantemente sviluppate nei comitati internazionali indipendentemente l'una dall'altra nel corso del tempo, e vengono aggiunte altre norme settoriali, cfr. grafico 1.
In pratica, l'integrazione richiesta della gestione dei rischi secondo ISO 31000 in un sistema di gestione storicamente cresciuto porta anche alcune sfide. Anche come creatore dello standard, a volte è difficile tenere traccia della ricchezza di informazioni esistenti e separare le considerazioni strutturali fondamentali dalle innovazioni specifiche del settore, così come raccomandare agli utenti implementazioni pratiche specifiche.
Per semplificare le attività di integrazione richieste, gli esperti di vari comitati tecnici ISO e i rappresentanti delle imprese interessate stanno lavorando insieme su un "International Workshop Agreement IWA 31". Al di là delle differenze linguistiche e culturali e dei divergenti interessi commerciali, c'è una lotta per ottenere termini uniformi e un accordo sulle procedure raccomandate per l'ampia attuazione dei requisiti ISO.
Il documento IWA 31 mira a permettere alle organizzazioni di beneficiare dell'uso di ISO 31000 nei loro sistemi di gestione esistenti, così come di assistere gli utenti nella pianificazione dell'implementazione di un sistema di gestione ISO 31000 nella loro organizzazione. La pubblicazione di IWA 31 è prevista nel corso del 2019.
Elementi di ISO 31000
ISO 31000 fornisce un approccio comune e sistematico alla gestione di tutti i tipi di rischi che le organizzazioni affrontano durante la vita del business. Applicando le linee guida per la determinazione dei rischi, assicura che i sistemi di gestione raggiungano i risultati desiderati, migliorino gli effetti desiderabili, riducano gli effetti indesiderati e attuino un miglioramento continuo.
L'integrazione di ISO 31000 nei sistemi di gestione può essere fatta attraverso la struttura di alto livello. Per ottenere un'integrazione e un'implementazione efficace ed efficiente del quadro e del processo ISO 31000 in altre organizzazioni MSS, i principi ISO 31000 dovrebbero essere usati come base.
Il quadro ISO 3100 deve essere fuso con altri sistemi di gestione MSS applicando un'analisi dei gap per incorporare tutti gli elementi del quadro ISO 3100 nelle funzioni del sistema di gestione MSS ed evitare duplicazioni e/o conflitti tra loro.
Il processo ISO-31000 deve essere adattato al contesto esterno e interno dell'azienda in modo tale che diventi parte integrante del sistema di gestione, integrato nella struttura, nelle procedure e nei processi dell'azienda.
Elementi del sistema HLS
La struttura di alto livello con i suoi elementi (diagramma 2) offre buone possibilità per una cosiddetta integrazione orizzontale e verticale degli aspetti di gestione e una gestione dei rischi conforme alla ISO 31000 come una delle caratteristiche più importanti di un sistema di gestione integrato.
L'integrazione verticale è il legame tra la strategia di un'azienda e le sue operazioni. L'integrazione orizzontale implica un approccio integrato per valutare e affrontare gli aspetti critici per il successo delle operazioni aziendali, cioè i rischi con una visione delle questioni e degli sviluppi nel contesto dell'azienda e delle esigenze e delle aspettative dei suoi stakeholder.
La gestione del rischio nel sistema HLS include l'analisi del contesto (problemi, stakeholder), la valutazione del rischio strategico e operativo, il controllo operativo (trattamento del rischio), il monitoraggio dell'efficacia dei controlli e l'adozione di azioni correttive.
L'analisi del contesto si riferisce alle strategie e agli obiettivi dell'azienda, che forniscono il quadro delle attività operative. Nei riesami della direzione, il top management valuta se le operazioni a livello operativo sono efficaci e contribuiscono al successo e al raggiungimento degli obiettivi strategici dell'azienda. Il ciclo a livello operativo è guidato dall'attuazione della politica, cioè la traduzione della politica in obiettivi operativi. Come base per stabilire i controlli del rischio nei processi operativi, l'analisi del contesto strategico è completata da una valutazione del rischio operativo. Le deviazioni dal previsto, positive, negative o entrambe sono prese in considerazione in questo, seguendo ISO 31000.
Quando ci sono nuove informazioni o sviluppi che iniziano o contribuiscono a un processo o attività rilevante, un'azienda dovrebbe iniziare immediatamente l'identificazione del rischio. Inoltre, la valutazione strutturata dei rischi permette un trattamento appropriato e fornisce una base per aumentare l'efficacia del sistema di gestione dell'azienda, ottenere risultati migliori e prevenire esiti negativi.
Con un sistema di gestione nella struttura di alto livello e le linee guida di ISO 31000, lo studio ha a disposizione gli strumenti per una gestione olistica e integrata del rischio.
