La gestione del rischio: lo Standard ISO 31000

Transcript

1 Risk Management and Business Continuity: gli strumenti a disposizione La gestione del rischio: lo Standard ISO Antonio Moschitta Università degli Studi di Perugia Dipartimento di Ingegneria Elettronica e dell Informazione Perugia, 4/10/2013

2 Sommario Cenni introduttivi Struttura dello Standard ISO Caso di studio

3 Cenni introduttivi Standard pubblicato il 13 Novembre 2009 Recepisce ed evolve lo standard AS/NZS 4360:2004 Versione Italiana: UNI ISO 31000:2010 Completata da Guida ISO 73:2009 (Vocabolario), e da ISO/IEC 31010:2009 (Gestione dei rischi Tecniche di valutazione dei rischi)

4 Cenni introduttivi Strutturato in modo analogo ad altre norme ISO (ISO 9000, ISO ) Forte focus su responsabilità, comunicazione, documentazione, approccio per processi

5 Organizzazione dello Standard Introduzione (Obiettivi) 1. Scopo e campo di applicazione 2. Terminologia e definizioni 3. Principi 4. Struttura di riferimento 5. Processo Appendice A- Caratteristiche di una gestione del rischio robusta

6 Obiettivi Aumentare la probabilità di raggiungere gli obiettivi Gestione proattiva Reporting Supporto alle decisioni Prestazioni in ambito salute, sicurezza, protezione ambientale Apprendimento organizzativo

7 Obiettivi Vantaggi: Diminuzione premio polizze assicurative Soddisfacimento requisiti legislativi Migliore accesso al credito Sfruttamento di rischi positivi Relazioni con le comunità locali

8 Ambito Applicabilità Le organizzazioni di tutti i tipi e dimensioni si trovano ad affrontare fattori ed influenze interni ed esterni che rendono incerto il raggiungimento dei propri obiettivi. Il rischio è l'effetto che questa incertezza ha sugli obiettivi dell'organizzazione. Fonte:

9 Ambito Applicabilità La Norma Internazionale è applicabile a qualunque tipo di rischio Es: ambientale, finanziario, health & safety Coinvolge varie figure professionali (executive level stakeholders, risk analysts and management officers, line managers and project managers, compliance and internal auditors, independent practitioners )

10 Definizioni Rischio: effetto dell incertezza sugli obiettivi (negativo o positivo) Livello di rischio: dimensione di un rischio, espresso in termini di combinazione fra conseguenze e probabilità (2.1) Valutazione del rischio (Risk assessment): processo che include l identificazione (2.15), l analisi (2.21), e la ponderazione del rischio (2.24)

11 Definizioni Trattamento del rischio: processo di modificazione del rischio Rischio residuo: rischio che rimane dopo il trattamento del rischio. Il rischio residuo può contenere rischi non identificati.

12 Approccio e principi Fonte immagine: [1]

13 Fonte immagine: [1]

14 Stabilire il contesto e la politica Contesto esterno: ambiente sociale, culturale, politico, cogente, finanziario, tecnologico, Contesto interno: governance, struttura organizzativa, responsabilità, politiche, sistemi e flussi informativi,... Politica per la gestione del rischio: dichiarazione degli orientamenti ed indirizzi generali relativi alla gestione del rischio (legami tra obiettivi dell organizzazione, politica e politica per la gestione del rischio, responsabilità, metriche prestazionali )

15 Caso di Studio APPLYING THE ISO RISK ASSESSMENT FRAMEWORK TO COASTAL ZONE MANAGEMENT [2010] The NSW Government s Sea Level Rise Policy Statement, Coastal Planning Guideline: Adapting to Sea Level Rise and Draft Guidelines for Preparing Coastal Zone Management Plans (CZMP) have endorsed the use of a risk assessment approach to coastal zone management.

16 Caso di studio Fonte immagine: [2] Objective: minimize risks from coastal hazards (natural coastal processes) to public and private assets As of New SouthWales Coastal Policy 1997 Separate coastline in geomorphic subgroups Risk levels: acceptable, tolerable, intolerable

17 Identificazione del rischio Fonti di rischio Aree di impatto Eventi Circostanze Conseguenze Obiettivo: elenco completo di eventi che possono influenzare il conseguimento degli obiettivi Include effetti a cascata

18 Analisi e ponderazione del rischio L analisi (determinazione delle conseguenze e di attributi come la verosimiglianza) fornisce gli input alla fase di ponderazione, come il livello di rischio. Ponderazione: confronto tra il livello di rischio e i criteri di rischio

19 Caso di studio Identify the risks: Fonte immagine: [2] Beach erosion Shoreline recession (including due to sea level rise) Coastal (oceanic) inundation Coastal entrance or watercourse instability Coastal cliff or slope instability Sand drift

20 Caso di studio Analyze the risks ( ): Verosimiglianza cresce avvicinandosi alla linea costiera e con il trascorrere del tempo (livello del mare in aumento). Livelli: «almost certain», «likely», «possible», «unlikely», «rare» Fonte immagine: [2] Consequences: «catastrophic», «major», «moderate», «minor», «insignificant» Risk levels: «extreme», «high», «medium», «low»

21 Fonte immagine: [2]

22 Livelli non tollerabili: «high», «extreme» Fonte immagini: [2]

23 Trattamento del rischio a) Evitarlo, decidendo di non avviare o continuare l attività che comporta l insorgere del rischio b) Assumere o aumentare il rischio al fine di perseguire una opportunità c) Rimuovere la fonte di rischio d) Modificarne la probabilità e) Modificarne le conseguenze f) Condividere il rischio con altra/e parte/i (include controllo finanziario) g) Ritenere il rischio con decisione informata

24 Caso di Studio Fonte immagine: [2] Riduzione della probabilità del rischio Identificazione di «trigger» che anticipano l insorgenza di fenomeni erosivi (recession/erosion) Mitigazione delle conseguenze Acquisition/rental

25 Certificazione? ISO non è destinata a scopo di certificazione (2009) Tuttavia Mercato in espansione Nel 2013 risultano tuttavia erogati diversi corsi di formazione (accreditamento e certificazione consulenti)

26 Grazie per l attenzione!

27 Riferimenti bibliografici [1] International Standard ISO 31000, Final Draft 2009 [2] V. Rollason, G. Fisk, P.Haines, «APPLYING THE ISO RISK ASSESSMENT FRAMEWORK TO COASTAL ZONE MANAGEMENT,» available on the internet at the web address %20paper%202.pdf

28 Beach Erosion and Shoreline Recession Hazard Probability Zones, Coffs Harbour Fonte immagine: [2]

29 Fonte immagine: [2]

30 Overlaps World Association of Nuclear Operators (WANO) International Atomic Energy Agency (IAEA) ISO Risk Management (Medical Devices) ISO 27001: Information technology Security techniques Information security management systems Requirements Committee of Sponsoring Organizations of the Treadway Commission (COSO) Balanced Scorecard (BSC) Federation of European Risk Management Associations (FERMA) British Standard BS 31100:2008, BSI