LA GESTIONE DEL RISCHIO E LA NORMA ISO 31000:2018
La gestione del rischio o risk management rappresenta una delle principali attività che una moderna azienda deve saper affrontare con lungimiranza e competenza per mantenere una posizione sul mercato. La gestione del rischio oggi è sempre più spesso utilizzata come strumento per identificare le attività che nel tempo possono assicurare uno sviluppo concreto delle aziende.
Al fine di sviluppare un approccio corretto alla gestione del rischio un’organizzazione può basarsi su uno degli standard meno conosciuti nel settore alimentare, la norma ISO 31000:2018. Se si parla infatti di schemi di certificazione nel settore alimentare e food packaging normalmente sono presi in esame BRC GSFS o BRC Packaging materials per il mercato anglosassone, lo schema IFS Food per il mercato tedesco, lo schema FSSC 22000 come standard internazionale. In questi schemi il concetto di risk management viene più volte richiamato anche indirettamente al fine di assicurare la sicurezza alimentare e di business.
Lo standard ISO 31000:2018 è invece una norma internazionale applicabile a tutte quelle aziende che vogliono effettuare un accurato risk management, richiede di eseguire uno studio specifico della propria struttura ed ha lo scopo di individuare, prevenire e gestire tutti i rischi che possono ragionevolmente impattare sulla continuazione e sviluppo del business.
Oggi infatti il concetto di azienda può essere definito come “il raggiungimento dei propri obiettivi attraverso l’acquisizione di vantaggi competitivi, con un costante impegno nel migliorare e perfezionare i propri standard qualitativi, livelli di efficienza e di produttività, attraverso processi dinamici ed in continua evoluzione”.
Questa definizione cela al suo interno importanti fattori quali il cambiamento continuo del contesto dell’Organizzazione, analisi dei risultati e storicità, organizzazione della crescita in modo da acquisire vantaggi competitivi.
Si percepisce subito che tali processi comportano rischi differenti ma correlati. La gestione del rischio o risk management presuppone quindi la presenza di un corretto approccio alla gestione dello stesso ovvero possedere la capacità di individuare le aree ed i processi che possono rappresentare un vantaggio competitivo se sfruttati nel modo corretto favorendo così cambiamenti positivi del business.
Che cosa è la gestione del rischio
Risk Management = (risk identification + risk analysis + risk evaluation) + risk treatment
L’approccio organizzato alla gestione del rischio nasce e si sviluppa dal settore finanziario dove la valutazione del rischio del credito rappresenta uno dei primi esempi di attività, culminata a livello di approccio globale nel ERM (Entreprise Risk Management) ad oggi ancora applicato.
L’ultimo esempio di EMR lo ritroviamo a livello del Regolamento UE 679/2016 General Data Privacy Regulation (GDPR). Il regolamento sulla privacy si basa infatti sulla gestione del rischio relativo alla gestione, tra cui anche la perdita, di dati sensibili. Molti dei concetti che ritroviamo nel Regolamento UE 679/2016, sono contenuti nello standard ISO 31000:2018 sul risk management.
A corredo della norma ISO 31000:2018 possiamo citare anche lo standard ISO 31010:2009 – Risk Management-Risk Assessment Techniques dove si riportano i concetti per una corretta gestione dei rischi e diverse tecniche per la loro valutazione. Tale standard può aiutare l’Organizzazione nell’implementazione corretta della norma ISO 31000:2018.
Quali sono i rischi e come individuarli.
Il rischio può essere definito comunemente come “l’imprevedibilità degli eventi futuri su un fattore dove è noto il suo valore”. Se applichiamo questa definizione ad un a moderna azienda, il rischio è “l’imprevedibilità degli eventi futuri sul raggiungimento degli obiettivi prefissati o su taluni processi di importanza strategica per la crescita”.
I maggiori rischi che possiamo considerare oggi se parliamo di aziende moderne sono legati sia alla sicurezza del prodotto (alimentare, verso l’utilizzatore, di immagine, ecc…) ma anche di business (solidità finanziaria, stabilità nella catena di fornitura, competenze interne, ecc…), di seguito una tabella riepilogative e non esaustiva dei principali fattori di rischio:
| CATEGORIA DI RISCHIO | DESCRIZIONE DEGLI EVENTI POTENZIALI |
| Naturali | |
| Sociali | |
| Finanziari | |
| Fisici | |
| Compliance | |
| Competitivi | |
| Informatici | |
| Privacy | |
| Religiosi |
Che cosa propone la norma ISO 31000:2018
La norma si rinnova introducendo miglioramenti nella sua struttura, oggi più semplice e chiara, mantenendo al contempo i concetti chiavi della precedente versione. Le maggiori modifiche sono riassunte nei seguenti punti:
- Cambiamento dei principi di gestione del rischio come fattore critico per il successo dell’organizzazione.
- Focalizzazione della gestione del rischio come opportunità per una crescita sostenibile
- Maggiore attenzione sul ruolo dell’alta direzione come elemento portante fra la gestione del rischio e la governance dell’impresa.
- Maggiore importanza sulla comunicazione ed interattività dei processi nella gestione del rischio
- Semplificazione generale dei contenuti al fine di renderli maggiormente applicabili anche da Organizzazioni meno strutturate.
Uno dei maggiori cambiamenti della nuova versione della norma ISO 31000:2018 è la caratteristica della ciclicità del risk management, aspetto comune anche alla norma ISO 9001:2015 fa parte del concetto di miglioramento continuo attraverso un’analisi continua dei dati e dei processi. Tale aspetto implica che una corretta gestione del rischio si basi su una analisi specifica dei singoli processi, portando alla valorizzazione del singolo come parte integrante di un processo generale, ovvero l’azienda stessa.
La struttura della norma ISO 31000:2018
Molti dei processi legati alla gestione del rischio richiamano gli stakeholders, l’alta direzione e la gestione dei processi come principale elemento da tenere in considerazione. In particolare un corretto approccio al miglioramento continuo non può esimersi dal una logica di sviluppo basata su:
- sull’integrazione dei fattori
- una corretta progettazione
- l’implementazione eseguita sotto un controllo costante
- una valutazione continua dei risultati ottenuti.
Da questo punto di vista l’importanza maggiore viene dall’alta direzione come elemento di imput e revisione del modello di gestione del rischio, garantendo in primis leadership ed impegno. La norma richiede ancora una definizione di regole e linee guida (statement or policy), la definizione di obiettivi chiari e condivisi, la messa a disposizione di risorse nonché una chiara assegnazione di ruoli e responsabilità a cui poter delegare processi e decisioni (concetto di coivolgimento).
Proprio il coinvolgimento rappresenta un importante elemento del sistema di gestione del rischio in quanto può sviluppare un pensiero comune basato sul detto “this will help the organization to”, con le condivisione di strategie, il monitoraggio sistematico dei processi e la garanzia che il modello di gestione dei rischi sia sempre adeguato alle esigenze ed al contesto dell’organizzazione.
In questa logica il coinvolgimento di tutto il personale rappresenta quindi un vantaggio nella gestione del rischio: “Everyone in an organization has responsibility for managing risk”
Perché adottare uno standard ISO 31000:2018
La nuova norma si pone l’obiettivo di rendere la gestione del rischio uno strumento di crescita attraverso la creazione di un modello efficiente ed efficacie per l’Organizzazione. Questo obiettivo è riassunto nei principi cardine della norma:
- Intragration (governance): aspetti umani e culturali dell’organizzazione
- Dynamic (tempetività): capacità di affrontare i rischi e le opportunità in modo tempestivo
- Incluvive (coivolgimento): il valore si costruisce attraverso il contributo di tutte le parti interessate
della norma che affermano in concreto che per la creazione di valore per l’organizzazione con un livello adeguato di protezione, è necessaria l’applicazione di un modello di gestione del rischio sui processi.
La norma cita “una gestione efficace del modello risk management deve tenere in considerazione la creazione e protezione del valore” a “per poter creare e proteggere il valore di un’organizzazione è essenziale gestire i rischi in modo strutturato e basandosi su principi ben definiti”.
La norma ISO 31000:2018 si pone quindi come possibile approccio per aiutare l’azienda a sviluppare una mentalità dove la gestione dei rischi sia effettivamente una disciplina di uso quotidiano, comprensibile a tutti i livelli aziendali.
MV CONSULTING Srl è una società di consulenza specializzata nel settore alimentare e dei materiali a contatto alimentare a livello internazionale. L’esperienza e la competenza dei suoi consulenti, maturata in contesti industriali, può aiutarti ad affrontare in modo professionale ogni progetto.
MV CONSULTING Srl è già la scelta di importanti realtà industriali del mondo produttivo e distributivo alimentare e di materiali a contatto alimentare. Confrontati con un nostro consulente e scopri il nostro valore.
Fonti e riferimenti per gli aggiornamenti:
Informazioni sull’autore: Marco Valerio Francone
© MV CONSULTING srl – Diritti Riservati
