Questo consentirà una più facile integrazione durante il processo di implementazione di più sistemi di gestione

Transcript

1 Testo numero: CN 057 IL RISK MANAGEMENT NELLE NUOVE NORME S. Cerlesi, C. Körner - KEISDATA, Legnano SOMMARIO Introdurre in azienda un sistema di Enterprise Risk Management significa dotare l Alta Direzione di un sistema di controllo in grado di supportare le decisioni strategiche attraverso valutazioni sui rischi che potenzialmente possono compromettere il raggiungimento degli obiettivi di business. L introduzione in azienda di un processo di ERM implica anche la diffusione presso tutte le risorse di una cultura e di un modo di pensare cosiddetto risk based, chiave essenziale per assicurare il funzionamento dell intero sistema di Risk Management, il consolidamento e lo sviluppo dell impresa in linea con i requisiti delle nuove norme. L'ADOZIONE DELL' "HIGH LEVEL STRUCTURE" NELLE NORME Le strutture delle norme sono state modificate per rientrare nei parametri dettati dall HLS per l omogeneizzazione delle norme ISO. Allo scopo di garantire l omogeneità tra i diversi standard per i sistemi di gestione e quindi di migliorarne l integrazione e la fruibilità da parte degli utilizzatori, nel 2012, ISO ha stabilito uno schema unico a cui si stanno uniformando le future revisioni di tutte le norme. Questo consentirà una più facile integrazione durante il processo di implementazione di più sistemi di gestione Nuovo modello strutturale comune a tutti i nuovi standard per i sistemi di gestione Fig. 1 Le dieci sezioni (HLS) delle nuove norme uguali in tutti i Sistemi Pur rispettando questa struttura, identica per tutte le norme, il contenuto di ogni singola norma deve poi essere sviluppato in modo adeguato rispetto al contesto e agli aspetti specifici dello standard.

2 IL RISK BASED THINKING NELLE NORME La Linea Guida ISO 31000:2009 propone un modello di gestione del rischio e di integrazione dello stesso nel sistema di gestione aziendale. Applicabile a tutte le tipologie di rischio (strategici, operativi, valutari, di mercato, di compliance, etc.) Il processo di valutazione del rischio la Linea Guida ISO Fig. 2 Il Processo di Risk Management Le nuove ISO 27001:2014 Sicurezza Informazioni, ISO 9001:2015 Qualità, ISO14001:2015 Ambiente, pubblicate o di prossima pubblicazione (ISO 45001:2017 Salute e Sicurezza), rendono esplicito e incorporato il concetto di rischio in un approccio di sistema dove è necessario fare una analisi minacce-opportunità. L approccio per processi, la loro gestione ed interazione, devono avere come obiettivo il raggiungimento dei risultati attesi in accordo con la politica della qualità e la direzione strategica dell organizzazione. La gestione complessiva dei processi e del sistema di gestione può essere raggiunta tramite la metodologia del Plan-Do-Check-Act (PDCA) Focus sul Risk-based thinking mirato a prevenire effetti indesiderati APPROCCIO MENTALE AL RISK MANAGEMENT Processo a fasi: il passaggio ad una fase successiva richiede di chiudere la fase precedente. Processo ciclico: un evento positivo o negativo non deve essere l unico innesco del processo, ma sono le azioni di miglioramento o adeguamento a valle della fase di VRM che attivano un nuovo ciclo di RM. Processo ripetitivo: devono essere definiti gli istanti temporali sulla base della probabilità di accadimento e gravità dell impatto. Processo condiviso: il rischio è composto da elementi la cui conoscenza ed interpretazione è diffusa a tutti i livelli dell Organizzazione. Richiede una attivazione selettiva e puntuale delle conoscenze possedute dalle persone.

3 Processo culturale: è necessario affrontare e tenere in considerazione il rapporto psicologico che si è creato tra il rischio e la persona che lo ha in carico al fine di eseguire correttamente il processo di analisi e valutazione del rischio. LA DEFINIZIONE DEL RISCHIO È CAMBIATA La gestione del rischio si è spostato dal rischio di accadimento di un evento al rischio come effetto di incertezza sugli obiettivi. Lo scopo della gestione del rischio è quello di aiutare i manager a considerare con più efficacia le decisioni sui rischi effettivi e ponderati al fine di raggiungere i propri obiettivi in un incerto ambiente. In ultima analisi, la gestione del rischio è strettamente legata alla gestione dell incertezza e di gestione delle prestazioni in quanto aiuta i manager a trovare la migliore allocazione delle risorse, tenendo conto dell'incertezza. Effetto dell incertezza rispetto ad un risultato atteso La gestione del rischio si è spostata da un sistema di gestione del rischio di compliance e controllo verso un framework di gestione dell'incertezza basato su obiettivi e performance. Il concetto di «rischio» nel contesto della ISO 9001:2015 è in relazione alla incertezza nel raggiungimento degli obiettivi definiti dall organizzazione. Il concetto di «opportunità» nel contesto della ISO 9001:2015 è in relazione al superamento delle aspettative del cliente e degli obiettivi definiti dall organizzazione. 11 PRINCIPI DEL RISK MANAGEMENT 1. crea valore 2. parte integrante dei processi organizzativi 3. parte del processo decisionale 4. affronta esplicitamente l incertezza 5. sistematico, strutturato e tempestivo 6. sulla base delle migliori informazioni disponibili 7. su misura 8. prende in considerazione fattori umani e culturali 9. trasparente e inclusivo 10. dinamico, iterativo e reattivo ai cambiamenti 11. facilita il miglioramento continuo e il potenziamento della struttura Uno dei 11 principi dice: "Per la gestione del rischio affinchè sia efficace, l'organizzazione dovrebbe a tutti i livelli essere conforme ai principi di seguito (...) c) Rischio di gestione è parte del processo decisionale. La gestione del rischio aiuta i decisori di fare scelte consapevoli, dare priorità alle azioni e distinguere i corsi d'azione alternativi." Enfatizzazione del modo di pensare basato sul «risk management» (ISO 31000:2009) UNA PIATTAFORMA INFORMATICA INTEGRATA KEISDATA ha sviluppato una metodologia che si basa sullo sviluppo di un modello univoco di valutazione dei rischi che applica il processo di Risk Management secondo lo standard ISO 31000:2009 alimentato dal processo di Knowledge Management che consente di mettere a sistema le conoscenze aziendali e delle persone.

4 Sulla base di questi presupposti, KEISDATA ha realizzato il Software Piattaforma Informatica di Knowledge Risk e Compliance (KRC), ad architettura modulare, per consentire alle Aziende del settore siderurgico e metallurgico di approcciarsi alle tematiche di Certificazione e di Compliance Normativa in maniera più agevole e strutturata e con un approccio graduale in funzione del percorso di sostenibilità da loro prescelto. La metodologia di Risk Management si applica in un ambiente tecnologico collaborativo ed innovativo attraverso un sistema di controllo univoco ed integrato Fig. 3 Sistema di Gestione Integrato di Risk Management e Compliance La Piattaforma KRC crea e alimenta un sistema aziendale che capitalizza le buone pratiche aziendali e il know-how delle Persone (Knowledge) a supporto della decisione di business (Rischio) per garantire la conformità legale e aziendale (Compliance). IL RISK MANAGEMENT NELLA ISO 27001:2014 SICUREZZA INFORMAZIONI I sistemi e i modelli per il governo delle imprese hanno incrementato le responsabilità e il numero dei soggetti tenuti ai controlli interni. La gestione del rischio aziendale è un processo, posto in essere dal Consiglio di amministrazione, dal management e da altri operatori della struttura aziendale per individuare eventi potenziali che possono influire sull attività aziendale, per gestire il rischio entro i limiti della accettabilità e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi. Per valutare correttamente i rischi aziendali occorre misurare l impatto che ogni singola azione (carenza, mitigazione, trasformazione) ha sugli asset aziendali e quindi in definitiva sul livello di rischio. Gestire i Rischi IT per garantire la continuità del business

5 Fig 4 Mappa dei rischi IT La Dichiarazione di Applicabilità contenuta nella norma definisce gli obiettivi di controllo e i controlli, e consente, una volta analizzato e valutato il rischio, di collegare ed attuare il piano dei controlli normati. Collegare i rischi ai controlli La Dichiarazione di Applicabilità Fig. 5 Estratto Dichiarazione di Applicabiltà

6 IL RISK MANAGEMENT NELLA ISO 9001:2015 QUALITA E responsabilità della organizzazione decidere in che misura approfondire il risk management nell ambito del proprio sistema di gestione per la qualità tenendo conto della complessità e criticità dei propri prodotti, servizi, processi e contesto in cui opera ed il livello di maturità dello stesso sistema di gestione per la qualità attuato. Una delle novità più significative della nuova norma è il cosiddetto approccio basato sul Rischio che impone la formale analisi dei rischi per ogni processo organizzativo. Rischio inteso quale probabilità che ci sia, all interno di uno dei tanti processi aziendali, uno scostamento con quanto pianificato. Scostamento che potrebbe portare ad una interruzione di business e quindi a costi. Una corretta gestione dei rischi avrà conseguenze positive, in termini di opportunità e competitività delle aziende. La nuova ISO indica i requisiti normativi per garantire che una buona gestione del rischio sia parte integrante dell organizzazione aziendale (dal punto di vista dei processi e della loro interazione) e le prassi da adottare per mitigare i rischi di impresa sotto il profilo della tutela legale e contrattualistica da parte delle imprese. Carattere prescrittivo che specifica i requisiti ritenuti essenziali per l adozione di un approccio per processi (vademecum di 8 punti) tra cui la determinazione: dei rischi e opportunità per la conformità dei beni e servizi e per la soddisfazione del cliente (Requisito 6.1) di criteri, metodi e correlati indicatori di prestazione per la valutazione e controllo dell efficacia dei processi stessi. Valutazione indicatori di processo Fig. 6 Prospetto di valutazione degli indicatori di processo e giudizio di accettabilità.

7 IL RISK MANAGEMENT NELLA ISO 14001:2015 AMBIENTE Nell ambito del SGA il rischio è legato all affrontare in maniera pianificata minacce e opportunità in maniera da prevenire o ridurre gli effetti generati da rischi ambientali, rischi per la sicurezza interni e da-verso l esterno. I «Rischi» associati a Minacce e Opportunità è un «nuovo» elemento da considerare nella fase di pianificazione (cfr ) per: assicurare che il SGA raggiunga gli obiettivi prestabiliti prevenire, o almeno ridurre, conseguenze impreviste e indesiderate, comprese le «condizioni ambientali» che sono potenzialmente in grado di danneggiare l organizzazione. assicurare il miglioramento continuo. Attraverso un approccio globale di gestione integrata dei rischi, le aziende possono affrontare efficacemente le incertezze e i conseguenti rischi/opportunità, accrescendo la propria capacità di generare valore. Comunicando a tutto il personale l importanza del SGA e della conformità ai suoi requisiti creando un clima aziendale nel quale tutti, e non soltanto coloro che rivestono ruoli di responsabilità, contribuiscano attivamente alla corretta applicazione del SGA e al raggiungimento degli obiettivi di miglioramento. Gli obiettivi strategici devono prevedere, allineare e integrare gli obiettivi di performance ambientale. Cruscotto Aspetti Ambientali Fig. 7 Cruscotto degli Aspetti Ambientali dalla definizione della scheda con i riferimenti normativi e i limiti di legge, alla tracciatura delle relazioni tecniche con allerta sulle scadenze, al flusso specifico di gestione dei dati, alla scheda degli indicatori.

8 COSA PREOCCUPA LE AZIENDE Si riporta una recente mappa della percezione dei rischi effettuata da BSI nel 2015, in particolare, per il comparto metallurgico, si evidenziano l interruzione alla fornitura di risorse energetiche (4 posto), l interruzione della catena di fornitura (5 posto), agli incendi (9 posto), agli incedenti di salute e sicurezza (11 posto) e solo a metà della classifica ci sono gli eventi relativi alla qualità del prodotto. Percentuale della percezione dei rischi in funzione dell impatto Fig. 8 Fonte BSI Horizon Scan Aziende IL RISK MANAGEMENT SU TUTTI I RISCHI Il processo di Risk Management è applicato alle diverse tipologie di rischio secondo lo standard ISO 31000:2009, in funzione degli obiettivi, strategici ed operativi, definiti dal vertice aziendale. Il Risk Model dell Azienda si ottiene attraverso la valutazione dei possibili eventi di rischio/opportunità traguardando gli impegni strategici di medio e lungo termine. La Valutazione del Rischio è un processo dinamico di identificazione e previsione delle aree critiche, che permette alle imprese di mettere in atto politiche proattive di organizzazione, gestione e controllo attraverso: la costante mappatura del rischio e delle aree critiche; la riorganizzazione dinamica delle risorse disponibili; la pianificazione di misure preventive e lo sviluppo di sinergie con le azioni in corso.

9 Fig. 9 Il diagramma del Modello di Rischi Incorporare le valutazioni del rischio nelle attività di tutti i giorni presso la propria organizzazione Il Risk Model è organizzato su più livelli al fine di permettere una classificazione del rischio di maggiore dettaglio. Il modulo di Risk Management della Piattaforma KRC consente di definire i rischi potenziali a cui l Azienda è esposta e facilita le attività di identificazione e selezione dei rischi, garantendo inoltre un linguaggio comune in materia di rischi all interno dell Azienda. La valutazione del rischio gli eventi percepiti è calcolata attraverso la rilevazione e analisi degli eventi, la misurazione ed il monitoraggio degli elementi di rischio, l analisi e la percezione degli Stakeholders e la gestione delle azioni di trattamento per la determinazione del rischio residuo ed accettabile. La segnalazione degli eventi/incidenti è gestita dall Osservatorio Integrato, che applica una modalità strutturata di raccolta informazioni, si basa su: segnalazione degli eventi, modalità strutturata di raccolta informazioni; analisi, classificazione di eventi, Non Conformità, Azioni Correttive/Preventive; presa di decisione e azioni di miglioramento. Rilevazione e investigazione degli eventi consente di imparare adottando un approccio root cause analisys, e di individuare le occasioni per operare nella direzione del miglioramento. La valutazione dei rischi è finalizzata a gestire i rischi in grado di compromettere il conseguimento degli obiettivi del Piano Strategico in un dato periodo.

10 Fig.10 Rappresentazione dell appartenenza dei rischi alle diverse classificazione del Risk Model. Collegare i rischi agli obiettivi strategici L organizzazione deve stabilire gli obiettivi per la qualità per le funzioni, livelli e processi rilevanti. Gli obiettivi devono: essere coerenti con la politica per la qualità essere misurabili tenere conto dei requisiti applicabili essere monitorati e comunicati essere aggiornati per quanto appropriato L organizzazione deve conservare informazioni documentate sugli obiettivi per la qualità. Heat Map Fig.11 Heat Map è la rappresentazione grafica di una matrice a 4 costruita secondo la probabilità di accadimento degli eventi (ascisse) e l impatto quantitativo e/o qualitativo (ordinate) che questi possono causare.

11 Confronto Fig.12 Heat Map di confronto consente di visualizzare i cambiamenti relativi allo stato degli eventi di rischio intervenuti nell arco di un periodo selezionato. Profilo di rischio Fig.13 Rappresentazione a radar dei diversi rischi in funzione dell impatto del Conto Economico. AZIONI DI MITIGAZIONE E PIANI D AZIONE La fase del processo di gestione del rischio consiste nella selezione delle opzioni di trattamento, l ordine di priorità e nella definizione dei Piani di Trattamento per gli eventi di rischio. I Piani di Trattamento indicano il dettaglio delle azioni di trattamento proposte, i responsabili dello svolgimento e i tempi di attuazione. I responsabili sono allertati da notifiche che possono consultare nel loro scadenzario.

12 Fig. 14 Prospetto delle azioni di mitigazione e relativo piano d Azione con indicato la percentuale delle attività svolte. CONCLUSIONI Un elemento caratteristico rispetto ad altri approcci è dato proprio dalla gestione della conoscenza come un cespite strategico e dall incoraggiamento della condivisione di conoscenza. Chi cede conoscenza in realtà non se ne priva e consente di valutare e diminuire i rischi In una azienda lo sviluppo e il mantenimento di un prodotto comporta la generazione di una gran quantità di informazioni. Tutti i documenti e le norme ovvero la formalizzazione sulla base dell esperienza di criteri guida nello svolgimento di specifiche attività, insieme alle competenze ed esperienze dei singoli, rappresentano il bagaglio di conoscenza aziendale che, debitamente conservata e organizzata, costituisce lo strumento più importante per migliorare l efficacia e efficienza dei processi. KRC garantisce che la capitalizzazione delle informazioni nelle strutture delle norme ingegnerizzate con l esperienza e il know-how di settore, consenta il rapido reperimento delle informazioni di interesse nella operatività e nelle decisioni che devono essere quotidianamente assunte. RIFERIMENTI BIBLIOGRAFICI [1] ISO 31000:2009 Risk Management Principles and guidelines [2] OHSAS 18001:2007 Occupational health and safety management systems - Requirements [3] UNI EN ISO 14001:2015 Sistemi di gestione ambientale. Requisiti e guida per l uso [4] UNI EN ISO 9001:2015 Sistemi di gestione per la qualità. Requisiti [5] UNI CEI ISO/IEC 27001:2014 Tecniche per la sicurezza - Sistemi di gestione per la sicurezza delle informazioni [6] BSI Horizon Scan Aziende