Attuazione di IS0 31000:2009

C'è stato uno sviluppo molto dinamico nella gestione del rischio negli ultimi dieci anni, specialmente negli ultimi cinque anni. Fino al 2009, non esisteva uno standard internazionale ISO nella gestione del rischio. Molto spesso, la gestione del rischio era

Standard GenericRM

In passato, la gestione del rischio nelle aziende era un paesaggio di soluzioni isolate: Oltre alle aree di rischio prescritte dalla legge, come la sicurezza sul lavoro, la sicurezza dei prodotti e la sicurezza dei processi, la gestione del rischio esisteva nell'area operativa, che di solito era una soluzione interna all'azienda. Nelle aziende più grandi, un approccio COSO è stato anche eseguito in parallelo. Questo ha reso molto difficile o impossibile registrare, valutare e aggregare i rischi aziendali in modo uniforme. L'integrazione dei diversi dati di rischio era spesso un desiderio, ma non la realtà. ISO 31000:2009 ha risolto con successo questo problema.

Problemi di implementazione

I benefici e l'importanza di integrare la gestione dei rischi basata su ISO 31000:2009 con altri sistemi di gestione (per esempio ISO 9000, ISO 14000, HSE [Health, Safety & Environment]) in un sistema di gestione globale sono stati rapidamente riconosciuti. Tuttavia, c'era una difficoltà: il delta tra l'originale, semplice gestione del rischio implementata nelle aziende e l'approccio globale di ISO 31000:2009 era spesso abbastanza grande. Questo problema ha portato ripetutamente a non implementare il nuovo standard. I modelli di maturità forniscono un importante approccio metodologico per risolvere questo problema nella gestione del rischio. Il

Direzione e altezza del passo

L'idea di base del Maturity Model è che i sistemi di gestione del rischio sono sviluppati e implementati in fasi. Così come è importante nella vita quotidiana che le scale aiutino a superare le differenze di altezza, lo stesso vale per i modelli di maturità: devono essere progettati nella giusta direzione e avere anche la giusta altezza dei gradini.

Modelli di maturità: vecchie conoscenze

Questo approccio metodologico può essere trovato in aree molto diverse, come la gestione della sicurezza e la gestione dei progetti e della qualità. I modelli di maturità sono anche molto comuni nel campo dell'audit interno ed esterno, per esempio nel sistema di controllo interno (ICS). Da questo punto di vista, si tratta di un approccio metodologico ben noto e provato.

Lo sviluppo di ISO 31000:2009 è stato molto influenzato dallo standard australiano/neozelandese AS/NZ 4360:2004. Lo standard nazionale era lo standard di riferimento nella gestione del rischio in tutta l'area anglosassone. Questa pista si trova ancora oggi nelle linee guida di implementazione nazionali per ISO 31000:2009 e soprattutto nell'uso di modelli di maturità nella gestione del rischio. Le seguenti "Linee guida di attuazione" nazionali sono rappresentative di questo:

- Regno Unito: BS 31100:2011: Gestione del rischio. Codice di pratica e guida per l'implementazione di BS ISO 31000.

- Canada: Q31001-11 - Guida all'implementazione di CAN/CSA-ISO 31000, Gestione del rischio - Principi e linee guida

- Australia: HB 158-2010: Fornire una garanzia basata su ISO 31000:2009 - Gestione del rischio - Principi e linee guida.

Poiché i modelli di maturità sono spesso le grandi "incognite conosciute" nella gestione del rischio, vale la pena considerare quali benefici concreti hanno i modelli di maturità nella gestione del rischio. Ci sono tre benefici potenziali in particolare che sono attivati dai modelli di maturità:

1. gestione del rischio su misura

Un principio importante di ISO 31000:2009 è che ogni sistema di gestione del rischio dovrebbe essere "su misura": "la gestione del rischio è su misura" (Principio 7, ISO 31000:2009). Da un lato, questo principio è soddisfatto dal fatto che la definizione del rischio secondo ISO 31000:2009 si concentra esplicitamente sugli obiettivi aziendali interni ed esterni. Il focus della valutazione del rischio include quindi anche le parti interessate con le loro aspettative talvolta divergenti.

Poiché questa prospettiva più ampia può essere complessa e impegnativa, è imperativo considerare come la gestione del rischio può essere implementata in modo orientato agli obiettivi. I modelli di maturità permettono di realizzare bene questo compito.

In una tale implementazione, non si tratta di portare tutte le divisioni aziendali al più alto livello di RM, ma piuttosto che la gestione del rischio dovrebbe essere "fatta su misura" anche qui. Nel caso di un modello di maturità a cinque stadi, è possibile

TripleBenefit

può darsi che certe divisioni possano rimanere al livello 4, e in certi casi anche al livello 3.

2. misurabilità, comparabilità e coerenza

Il Maturity Model permette di misurare e confrontare l'implementazione di un sistema di gestione dei rischi. Nel processo RM di ISO 31000, il processo parallelo "Monitoraggio e revisione" è quindi molto importante. Solo con questo approccio la gestione del rischio nell'azienda può mantenere la sua importanza e legittimità a lungo termine. Infine, ma non meno importante, un modello di maturità permette di valutare se un sistema di gestione dei rischi è coerente internamente. Si evita così che la gestione del rischio diventi un patchwork nel tempo, come spesso accadeva in passato.

3. implementazione e investimento

La gestione del rischio è sempre un investimento per ogni azienda. In tempi di scarse risorse finanziarie e di tempo, è particolarmente importante lavorare con un concetto che ha fasi di attuazione ragionevoli e praticabili.

In primo luogo, per esempio, i rischi che sono urgenti e anche importanti possono essere registrati e gestiti. Sulla base di questi "quick wins", diventa chiaro quale sia il beneficio concreto della gestione del rischio. Questo favorisce il rilascio per i livelli successivi del modello di maturità.

Metodologia

I modelli di maturità perseguono l'obiettivo di mostrare, sulla base di punti focali RM definiti, come questi possono essere implementati passo dopo passo. Questi punti focali sono caratterizzati in modo più dettagliato per mezzo di attributi di rischio. È importante per questi modelli di maturità che la scelta di questi attributi di rischio e la scelta del modello di maturità, di solito con tre fino a un massimo di dieci livelli, è un lavoro concettuale del responsabile del rischio. Solo se gli attributi di rischio sono allineati in modo ottimale con i requisiti e gli obiettivi specifici di un'azienda, il modello di maturità è uno strumento orientato all'obiettivo.

Molte linee guida di implementazione nazionali per ISO 31000:2009 contengono modelli di maturità, che devono essere adattati in ogni caso. Un semplice esempio di un tale modello di maturità può essere trovato nella bozza dello standard canadese "Q31001-11 - Guida all'implementazione di CAN/ CSA-ISO 31000, Gestione del rischio - Principi e linee guida" (vedi Figura 1).

Questo esempio con tre livelli di maturità è la concretizzazione più semplice possibile. In molti casi, viene utilizzato un modello a cinque fasi. Questo modello esteso permette una dichiarazione più precisa riguardo al livello di maturità grazie alla maggiore granularità. I cinque livelli sono definiti come segue:

1. iniziale

2. ripetibile

3. definito

4. gestito

5. ottimizzato

Come per ISO 31000:2009 in generale, per un modello di maturità vale in particolare quanto segue: la gestione del rischio è fatta su misura. Solo allora è anche orientato all'impatto.

Tendenze nella gestione del rischio

Negli ultimi anni, l'Institute of Internal Auditors (IIA) ha pubblicato pubblicazioni molto interessanti sulla gestione del rischio, che mostrano come la gestione del rischio secondo ISO 31000:2009 e l'auditing interno possono essere coordinati. I modelli di maturità giocano un ruolo centrale in questo. Questo riferimento reciproco rafforza chiaramente la rilevanza di ISO 31000:2009.

Dal 2012, un gran numero di standard in BCM (Business Continuity Management) sono stati pubblicati, come ISO 22301:2012. Questo nuovo standard BCM è stato completamente allineato con ISO 31000:2009. Questo è evidente non solo nelle definizioni e nelle interfacce importanti, ma anche nell'uso dei modelli di maturità.

In sintesi, si può affermare che in futuro, sia nella gestione dei rischi che nel BCM e nel Sistema di Controllo Interno (SCI), l'approccio metodologico dei Modelli di Maturità diventerà sempre più un fattore decisivo di successo nell'implementazione.