nuove iso 2015 e risk management -...
TRANSCRIPT
NUOVE ISO 2015 e RISK MANAGEMENT:
STRUMENTI DI GARANZIA PER LA BUSINESS CONTINUITY E PER LA SOLIDITÀ AZIENDALE
Giovedì 20 Ottobre 2016 ore 11,30
Dott. Ernesto VIETTI
ARGOMENTI
1. Sostenibilità e gestione del rischio: tra norme cogenti e modelli volontari
2. Lo stato dell’arte
3. Gli strumenti
NUOVE ISO 2015 E RISK MANAGEMENT: STRUMENTI DI GARANZIA PER LA BUSINESS CONTINUITY
E PER LA SOLIDITA’ AZIENDALE.
La sostenibilità è la caratteristica di unprocesso o di uno stato che può esseremantenuto ad un certo livelloindefinitamente.
La sostenibilità è la garanzia nel tempo di continuità operativa efficacie edefficiente nel rispetto di norme e standard in materia di sicurezza sul lavoro, tuteladell’ambiente, conformità del prodotto/servizio, solidità finanziaria, tutela dellaprivacy, continuità del servizio, sicurezza degli asset e delle risorse, rispetto degliaccordi e delle leggi, etica del lavoro, …
Quali sono le situazioni che possono minare la sostenibilità diun’impresa?
Sostenibilità e gestione del rischio
• Commissione di reati• Risarcimenti per danni• Penali• Costi aggiuntivi non previsti• Interruzione del servizio• Ritardi• Obsolescenza• Qualità• Asset• Liquidità• Perdita di dati• Sabotaggi• Aggressioni• Terrorismo• Emergenze sanitarie
• Infortuni e incidenti• Inquinamento• Partnership• Immagine e reputazione• Rating di legalità• Perdita delle competenze• Rapporti con le banche• Perdita di clienti / mercato• Furti e spionaggio• Interruzione utility• Eventi ambientali e climatici• Guasti• Emergenze sociali• ……………
Sostenibilità e gestione del rischio
La gestione del rischio (risk management) è il processo mediante ilquale si misura il rischio e successivamente si sviluppanodelle strategie per governarlo.
Le fasi sono le seguenti:• Conoscenza interna ed esterna• Individuazione dei processi sensibili• Valutazione dei rischi• Attuazione di misure di prevenzione e protezione• Monitoraggio
Sostenibilità e gestione del rischio
Per essere efficace il Risk Management deve essere parte integrante di tutti iprocessi organizzativi; non può essere un’attività a sé stante separata dalleprincipali attività e processi di una organizzazione.
Inoltre deve far parte delle responsabilità del management e anche deiprocessi di pianificazione strategica, dei processi di gestione dei progetti e deicambiamenti.
Il processo di Risk Management deve essere adattato alla specificaorganizzazione e deve essere allineato con il suo profilo di rischio e con ilcontesto.
Sostenibilità e gestione del rischio
AGGIORNABILE
SPECIFICOModello RM
EFFETTIVO
Coerente con la realtà organizzativa e gestionale dell’ente e
con gli scenari di rischio individuati.
Il modello deve essere operativo
nella “quotidianità”.
La struttura del modello deve essere facilmente aggiornabile al fine di garantire la costante e continua adattabilità al
contesto.
Sostenibilità e gestione del rischio
Risk management e Business Continuity
Il Risk Management considera le probabilità di accadimento dideterminati eventi, mentre la Business Continuity si occupa delle possibiliconseguenze derivanti da un disastro grave per ampiezza e duratanel tempo, anche se non probabile.
Un vantaggio che la Business Continuity da al Risk Management è cheviene attentamente misurata la severità di un impatto e vengono rilevatetutte le risorse ed i beni necessari a garantire la continuità dell’operatività,e viene fornita una metodologia per la determinazione delle possibilisoluzioni di trattamento del rischio individuato.
Sostenibilità e gestione del rischio
Campo di applicazione:
Ogni realtà è esposta ai rischi.
La grande impresa opera in un contesto ampio e quindi ha un profilo espositivomolto elevato, legato anche alla propria visibilità ed immagine.
La media e piccola impresa operano in un contesto più ristretto e quindi hanno unprofilo espositivo generalmente inferiore rispetto alle grandi organizzazioni.
Anche le attività commerciali, pur se inserite in un contesto limitato sono esposte arischi anche critici.
Sostenibilità e gestione del rischio
Campo di applicazione:
Ogni realtà è esposta ai rischi.
Se da un lato è vero chepassando dalle GrandiOrganizzazioni allepiccole realtà artigiane ecommerciali il livello dirischio pare ridursi ……..
Rischio
Sostenibilità e gestione del rischio
Campo di applicazione:
Ogni realtà è esposta ai rischi.
In realtà l’esposizione airischi è la medesimaanche perché piùl’organizzazione è piccolae meno riesce asopportare eventuali crisi.Inoltre difficilmente riescea mettere in atto misuredi gestione del rischio.
Rischio
Sostenibilità e gestione del rischio
Quali sono i passaggi da effettuare ?
• Innanzitutto capire gli obiettivi del Vertice aziendale• Quale è il contesto in cui opera l’organizzazione• Quali sono le minacce al business• Impostazione scenario e sviluppo ipotesi di soluzioni
Sostenibilità e gestione del rischio
Valutare il contesto interno ed esterno dell’Organizzazione
Identificazione del rischio
Analisi del rischio (conseguenze, probabilità di accadimento)
Valutazione del rischio (lo tratto o no, priorità)
Risk assessment
Trattamento del rischio
Informazioni sufficienti per decidere?
Sostenibilità e gestione del rischio
Gli obiettivi di un Modello di Risk Management
L’applicazione efficace di un Modello di Risk Management permette ad una aziendadi avere tutti i propri processi sotto controllo e quindi migliorare significativamentele proprie prestazioni e la propria immagine, anche in condizioni di emergenza.
Primo livello: gestione del rischio
Secondo livello: più efficienza
Sostenibilità e gestione del rischio
• Efficacia ed efficienza, grazie alla gestione integrata econtrollo dei processi;
• Garanzia di affidabilità e quindi maggiore fiducia da partedegli stakeholder (dipendenti, clienti, fornitori, investitori,banche, pubblico, comunità);
• Richieste di permessi e autorizzazioni più chiare e semplici;• Riduzione dei premi assicurativi;• Assenza di sanzioni e procedimenti penali: «compliance»
grazie al modello di prevenzione dei rischi ed alle attività dicontrollo;
• Maggior valore del marchio dell’impresa sul mercato;• Miglioramento del clima aziendale e dei rapporti con la
collettività e l’amministrazione locale;• Sostenibilità nel tempo del business;• Controllo di tutti gli elementi (interni ed esterni) che
possono intaccare il Business;• Standard qualitativi elevati;• Rapidità nella gestione del cambiamento;• Strumento di sviluppo strategico: aiuta a sviluppare la
capacità di «prevedere il futuro».
In sintesi:
Sostenibilità e gestione del rischio
… e soprattutto …
costituisce il Modello Organizzativo che tutela la Società dalla responsabilitàamministrativa (231) relativamente alle aree reato applicabili, previa nominadell’Organismo di Vigilanza.
Sostenibilità e gestione del rischio
Il Risk management è nato nei primi anni del 1900 nel mondo finanziario e delcredito.
1900
1950 1960 1990 2009 2015
In campo industriale si è sviluppato nelle società di engineering & constructionalla fine degli anni ’60.
Negli anni ’50 in USA il modello viene applicato per ridurre i costi assicurativi.
Dal 2015 il concetto di Risk management è incluso in tutte le norme di sistema di gestione aziendale (es. sistemi di gestione qualità, ambiente, sicurezza, …).
Nel 2009 è stato pubblicato lo standard ISO 31000 -Risk Management. Nel 2010 viene recepito dall’UNI.
Negli anni ’90 si amplia l’elaborazione dottrinale: nasce l’Enterprise Risk Management(ERM): non solo rischio finanziario ma visione globale.
Lo stato dell’arte
L’Italia è agli ultimi posti in Europa per maturità dei sistemi di gestione del rischio.
Dotarsi di un modello di Risk Management permette quindi di spiccare rispetto a molti concorrenti, soprattutto su un mercato internazionale.
Una grande opportunità per differenziarsi
NEL MONDO
Il 91% dei manager di grandi aziende nel mondo valuta il Risk Management fondamentale per la crescita e per i profitti aziendali.Ricerca Accenture (2012) 91 %
Lo stato dell’arte
Una grande opportunità per differenziarsi
IN ITALIA
• L’80% delle aziende tra € 50 – 250 Mil. percepisce un aumento delrischio;
• Meno del 50% delle imprese decidono di gestire il rischio diimpresa;
• 80% non prevede di introdurre una risorsa per il Risk Management.
Ricerca CINEAS in collaborazione con Politecnico di Milano sulle PMI italiane (2012)
20 %
Lo stato dell’arte
Norme cogenti
Linee Guida Corporate
Modelli organizzativi ex D. Lgs. 231/01
Sistemi di gestione
Quanto sono efficaci nella prevenzione e gestione dei rischi?
Quale è il punto debole nella normale applicazione di queste norme?
Lo stato dell’arte
Gli strumenti
Il primo strumento fondamentale è costituito dal binomio:
• Sappiamo chi siamo• Sappiamo dove andare
Suddividiamo gli strumenti in due diverse tipologie
Il secondo strumento è in realtà una cassetta degli attrezzi piena didiversi strumenti, da scegliere ed utilizzare in coerenza con lerisposte che ci siamo dati al punto precedente.
Obiettivi prestabiliti
Risultati ottenuti
Risorse impiegate
efficacia
sostenibilità
Mantenuta nel tempo
Organizzazione Misurazione
efficienza
Gli strumenti
• ISO 9001: 2015 Quality management systems (incluse specifiche di settore)
• ISO 22000: 2005 Management systems for food security• ISO 14001: 2015 Environmental management systems• OHSAS 18001: 2007 Occupational health and safety management
systems • ISO 22301: 2012 Business continuity management systems• ISO 55001: 2014 Asset management systems• ISO 27001: 2013 Information security management systems • ISO 20121: 2013 Event sustainability management systems • ISO 39001: 2012 Road traffic safety management systems• ISO 26000: 2010 / SA8000: 2014 Social Accountability• ………………..
UNI ISO 31000: 2010 Risk Management
Gli strumenti
UNI ISO 31000: 2010 Risk Management Definizione del contesto
Miglioramento continuo
Progettazione struttura gestione dei rischi
Attuazione della gestione dei rischi
Monitoraggio e riesame delle prestazioni
Processi
Identificazione del rischio
Analisi del rischio
Ponderazione del rischio
Valutazione del rischio
Definire il contesto
Trattamento del rischio
Com
unic
azi
one e
consu
ltazi
one
Monitora
ggio
e r
iesa
me
Gli strumenti
UNI ISO 31000: 2010 Risk Management
3: PRINCIPI4: STRUTTURA DI RIFERIMENTO
4.1 Generalità4.2 Mandato e impegno4.3 Progettazione della struttura di riferimento per gestire il rischio
4.3.1 Comprendere l’organizzazione ed il suo contesto4.3.2 Stabilire la politica per la gestione del rischio4.3.3 Responsabilità4.3.4 Integrazione nei processi organizzativi4.3.5 Risorse4.3.6 Meccanismi di comunicazione interni4.3.7 Meccanismi di comunicazione esterni
4.4 Attuare la gestione del rischio4.4.1 Attuare la struttura di riferimento per gestire il rischio4.4.2 Attuare il processo di gestione del rischio
4.5 Monitoraggio e riesame della struttura di riferimento4.6 Miglioramento continuo della struttura di riferimento
Gli strumenti
UNI ISO 31000: 2010 Risk Management
5: PROCESSO
5.1 Generalità5.2 Comunicazione e consultazione5.3 Definire il contesto
5.3.1 Generalità5.3.2 Definire il contesto esterno5.3.3 Definire il contesto interno5.3.3 Definire il contesto del processo di gestione del rischio5.3.4 Definire i criteri di rischio
5.4 Valutazione del rischio5.4.1 Generalità5.4.2 Identificazione del rischio5.4.3 Analisi del rischio5.4.4 Ponderazione del rischio
Gli strumenti
UNI ISO 31000: 2010 Risk Management
5: PROCESSO
5.5 Trattamento del rischio5.5.1 Generalità5.5.2 Selezione delle opzioni di trattamento del rischio5.4.3 Predisporre ed attuare piani di trattamento del rischio
5.6 Monitoraggio e riesame
5.7 Registrazione del processo di gestione del rischio
Gli strumenti
LE NUOVE NORME DELLA SERIE 2015
ISO 9001: 2015 Quality management systems
ISO 14001: 2015 Environmental management systems
Draft ISO 45001: 2017 Occupational health and safety management systems
Gli strumenti
LE NUOVE NORME DELLA SERIE 2015
HIGH LEVEL STRUCTURE (HLS)
Un’unica struttura, valida per tutti gli standard sui sistemi di gestione, in dieci articoli(clauses), aventi i medesimi titoli di base, definizioni e terminologia.
Compatibilità
Integrazione
Gli strumenti
Valutazione dei rischi
LE NUOVE NORME DELLA SERIE 2015
HIGH LEVEL STRUCTURE (HLS)
Premessa
0. Introduzione
1. Scopo e campo di applicazione
2. Riferimenti normativi
3. Termini e definizioni
4. Contesto dell’organizzazione
5. Leadership
6. Pianificazione
7. Supporto
8. Attività operative
9. Valutazione delle prestazioni
10. Miglioramento
Gli strumenti
ANALISI DEL CONTESTO
L’analisi del contesto è un processo conoscitivo per valutare il proprio impattosull’ambiente socio-economico e territoriale di riferimento nonché sul propriocontesto organizzativo, dai quali dipende il risultato strategico che organizzazionesi pone.L’analisi del contesto di riferimento consiste quindi in un processo conoscitivo cheha lo scopo di:
o fornire una visione integrata della situazione in cui l’azienda va ad operareo stimare preliminarmente le potenziali interazioni e sinergie con le parti
interessateo verificare i punti di forza e i punti di debolezza che caratterizzano la propria
organizzazione rispetto al progetto da realizzareo verificare i vincoli e le opportunità offerte dall’ambiente di riferimento
Gli strumenti
ANALISI DEL CONTESTO
Il contesto è quindi: “l’ambiente generale all’interno del quale l’impresa è
chiamata a svolgere le sue funzioni, definito da una serie di condizioni politiche,
legislative, sociali, culturali ed economiche, che determinano il sistema di vincoli-
opportunità entro cui dovrà trovare sviluppo la gestione aziendale”.
Gli strumenti
ANALISI DEL CONTESTO
L’analisi del proprio contesto è quindi finalizzata ad identificare le
questioni, esterne ed interne, rilevanti per gli scopi dell’azienda e che
influenzano la sua capacità di raggiungere i “risultati attesi del Sistema di
Governance”.
Gli strumenti
Attività singola
• Qualità, Ambiente, Safety
• Security
• Finance
• Reputation
• Privacy
• MOG
Nuovi processi o aree di rischio
• Riparto da zero
Livello base: gestione del rischio singolo.
CRITERI DI SCELTA
Gli strumenti
Sistemi di gestione
integrati e non
• Qualità, ambiente, Safety
MOG
Nuovi processi o aree di rischio
•Riparto da zero
Livello medio: MOG 231 basato su sistemi
CRITERI DI SCELTA
Gli strumenti
Modello di gestione dei
rischi• Costituisce il MOG
Sistema di gestione integrato
•Costituisce i protocolli di prevenzione del MOG
Nuovi processi o aree di rischio
•In caso di nuove attivitàsensibili il modellostabilisce già ruoli emodalità operative
Livello TOP: progetto integrato di Risk Management
CRITERI DI SCELTA
Gli strumenti
METODOLOGIA
FASE 1: Definizione del perimetro del progetto
Si stabiliscono in via preliminare i seguenti elementi:
• Tipologie di rischio da gestire ed eventuale priorità.• Definizione degli obiettivi puntuali di progetto per ogni tipologia di rischio.• Tempistiche di implementazione.• Referenti aziendali del progetto.• Tempistiche di aggiornamento sull’avanzamento del progetto.
Gli strumenti
METODOLOGIAFASE 2: Assessment iniziale
Analisi dell’organizzazione aziendale, nell’ambito del perimetro definito nella fase1. Si considerano gli aspetti gestionali e operativi.Ad esempio:
• Organigrammi, procure, deleghe, nomine• Esame preliminare del contesto in cui opera l’organizzazione• Gestione del Change Management• Documenti autorizzativi• Requisiti cogenti• Procedure aziendali, prassi documentate e non• Modulistica aziendale e registrazioni• Gestione partners e fornitori• Flussi di comunicazione• Controllo ed auditing• ……………
Gli strumenti
Gli strumenti
METODOLOGIA
FASE 2: Assessment iniziale
La fase 1 si conclude con l’elaborazione di un report contenente la descrizione deipunti di forza e dei punti di debolezza rispetto alla gestione del rischio, semprenell’ambito del perimetro stabilito.
Il report viene presentato alla Direzione aziendale, al fine di poter procedere inmodo condiviso alla progettazione operativa.
METODOLOGIA
FASE 3: Progettazione operativa
ELABORAZIONE DEL PROGETTO OPERATIVO
PRESENTAZIONE ALLA DIREZIONE
o Struttura organizzativa, ruoli, autorità e responsabilità
o Modello gestionale
o Tempi di sviluppo e implementazione
VALIDAZIONE DEL PROGETTO
Gli strumenti
METODOLOGIA
FASE 4: Avvio del progetto
In questa fase si organizza la struttura aziendale per la gestione del rischio:
• Analisi del contesto interno ed esterno (azienda, stakeholder, mercato)
• Compliance obligations
• Individuazione dei processi aziendali
• Ruoli e responsabilità
• Risorse
• Definizione dei meccanismi di comunicazione e reporting
OUTPUT:
• Manuale di Risk Management
• Analisi del contesto
• Analisi dei processi e valutazione dei rischi
• Struttura organizzativa del Risk management (organigrammi-deleghe-mansionari)
Gli strumenti
METODOLOGIA
FASE 4: Avvio del progetto
Analisi dei processi. Ad esempio (elenco non esaustivo):
o Qualità, Ambiente, Salute e sicurezza
o Travel security
o Business continuity
o Sicurezza dei dati
o Finance
o ……………….
Per ogni processo vengono definiti strumenti di misurazione e controllo
Gli strumenti
METODOLOGIA
FASE 5: Verifica efficacia
Ultimata la fase di sviluppo ed implementazione del Modello di Risk
Management è opportuno svolgere una serie di verifiche di attuazione ed
efficacia dello stesso.
Gli strumenti