NUOVE ISO 2015 e RISK MANAGEMENT -...

NUOVE ISO 2015 e RISK MANAGEMENT:

STRUMENTI DI GARANZIA PER LA BUSINESS CONTINUITY E PER LA SOLIDITÀ AZIENDALE

Giovedì 20 Ottobre 2016 ore 11,30

Dott. Ernesto VIETTI

ARGOMENTI

1. Sostenibilità e gestione del rischio: tra norme cogenti e modelli volontari

2. Lo stato dell’arte

3. Gli strumenti

NUOVE ISO 2015 E RISK MANAGEMENT: STRUMENTI DI GARANZIA PER LA BUSINESS CONTINUITY

E PER LA SOLIDITA’ AZIENDALE.

Il Sole 24 Ore del 27/09/2016

+ 38 % redditività

Sostenibilità e gestione del rischio

Principali rischi

considerati

Reputazione e qualità



Security e calamità

In Italia

La sostenibilità è la caratteristica di unprocesso o di uno stato che può esseremantenuto ad un certo livelloindefinitamente.

La sostenibilità è la garanzia nel tempo di continuità operativa efficacie edefficiente nel rispetto di norme e standard in materia di sicurezza sul lavoro, tuteladell’ambiente, conformità del prodotto/servizio, solidità finanziaria, tutela dellaprivacy, continuità del servizio, sicurezza degli asset e delle risorse, rispetto degliaccordi e delle leggi, etica del lavoro, …

Quali sono le situazioni che possono minare la sostenibilità diun’impresa?


• Commissione di reati• Risarcimenti per danni• Penali• Costi aggiuntivi non previsti• Interruzione del servizio• Ritardi• Obsolescenza• Qualità• Asset• Liquidità• Perdita di dati• Sabotaggi• Aggressioni• Terrorismo• Emergenze sanitarie

• Infortuni e incidenti• Inquinamento• Partnership• Immagine e reputazione• Rating di legalità• Perdita delle competenze• Rapporti con le banche• Perdita di clienti / mercato• Furti e spionaggio• Interruzione utility• Eventi ambientali e climatici• Guasti• Emergenze sociali• ……………


La gestione del rischio (risk management) è il processo mediante ilquale si misura il rischio e successivamente si sviluppanodelle strategie per governarlo.

Le fasi sono le seguenti:• Conoscenza interna ed esterna• Individuazione dei processi sensibili• Valutazione dei rischi• Attuazione di misure di prevenzione e protezione• Monitoraggio


Per essere efficace il Risk Management deve essere parte integrante di tutti iprocessi organizzativi; non può essere un’attività a sé stante separata dalleprincipali attività e processi di una organizzazione.

Inoltre deve far parte delle responsabilità del management e anche deiprocessi di pianificazione strategica, dei processi di gestione dei progetti e deicambiamenti.

Il processo di Risk Management deve essere adattato alla specificaorganizzazione e deve essere allineato con il suo profilo di rischio e con ilcontesto.


AGGIORNABILE

SPECIFICOModello RM

EFFETTIVO

Coerente con la realtà organizzativa e gestionale dell’ente e

con gli scenari di rischio individuati.

Il modello deve essere operativo

nella “quotidianità”.

La struttura del modello deve essere facilmente aggiornabile al fine di garantire la costante e continua adattabilità al

contesto.


Risk management e Business Continuity

Il Risk Management considera le probabilità di accadimento dideterminati eventi, mentre la Business Continuity si occupa delle possibiliconseguenze derivanti da un disastro grave per ampiezza e duratanel tempo, anche se non probabile.

Un vantaggio che la Business Continuity da al Risk Management è cheviene attentamente misurata la severità di un impatto e vengono rilevatetutte le risorse ed i beni necessari a garantire la continuità dell’operatività,e viene fornita una metodologia per la determinazione delle possibilisoluzioni di trattamento del rischio individuato.


Campo di applicazione:

Ogni realtà è esposta ai rischi.

La grande impresa opera in un contesto ampio e quindi ha un profilo espositivomolto elevato, legato anche alla propria visibilità ed immagine.

La media e piccola impresa operano in un contesto più ristretto e quindi hanno unprofilo espositivo generalmente inferiore rispetto alle grandi organizzazioni.

Anche le attività commerciali, pur se inserite in un contesto limitato sono esposte arischi anche critici.




Se da un lato è vero chepassando dalle GrandiOrganizzazioni allepiccole realtà artigiane ecommerciali il livello dirischio pare ridursi ……..

Rischio




In realtà l’esposizione airischi è la medesimaanche perché piùl’organizzazione è piccolae meno riesce asopportare eventuali crisi.Inoltre difficilmente riescea mettere in atto misuredi gestione del rischio.

Rischio


Quali sono i passaggi da effettuare ?

• Innanzitutto capire gli obiettivi del Vertice aziendale• Quale è il contesto in cui opera l’organizzazione• Quali sono le minacce al business• Impostazione scenario e sviluppo ipotesi di soluzioni


Valutare il contesto interno ed esterno dell’Organizzazione

Identificazione del rischio

Analisi del rischio (conseguenze, probabilità di accadimento)

Valutazione del rischio (lo tratto o no, priorità)

Risk assessment

Trattamento del rischio

Informazioni sufficienti per decidere?


Gli obiettivi di un Modello di Risk Management

L’applicazione efficace di un Modello di Risk Management permette ad una aziendadi avere tutti i propri processi sotto controllo e quindi migliorare significativamentele proprie prestazioni e la propria immagine, anche in condizioni di emergenza.

Primo livello: gestione del rischio

Secondo livello: più efficienza


• Efficacia ed efficienza, grazie alla gestione integrata econtrollo dei processi;

• Garanzia di affidabilità e quindi maggiore fiducia da partedegli stakeholder (dipendenti, clienti, fornitori, investitori,banche, pubblico, comunità);

• Richieste di permessi e autorizzazioni più chiare e semplici;• Riduzione dei premi assicurativi;• Assenza di sanzioni e procedimenti penali: «compliance»

grazie al modello di prevenzione dei rischi ed alle attività dicontrollo;

• Maggior valore del marchio dell’impresa sul mercato;• Miglioramento del clima aziendale e dei rapporti con la

collettività e l’amministrazione locale;• Sostenibilità nel tempo del business;• Controllo di tutti gli elementi (interni ed esterni) che

possono intaccare il Business;• Standard qualitativi elevati;• Rapidità nella gestione del cambiamento;• Strumento di sviluppo strategico: aiuta a sviluppare la

capacità di «prevedere il futuro».

In sintesi:


… e soprattutto …

costituisce il Modello Organizzativo che tutela la Società dalla responsabilitàamministrativa (231) relativamente alle aree reato applicabili, previa nominadell’Organismo di Vigilanza.


Il Risk management è nato nei primi anni del 1900 nel mondo finanziario e delcredito.

1900

1950 1960 1990 2009 2015

In campo industriale si è sviluppato nelle società di engineering & constructionalla fine degli anni ’60.

Negli anni ’50 in USA il modello viene applicato per ridurre i costi assicurativi.

Dal 2015 il concetto di Risk management è incluso in tutte le norme di sistema di gestione aziendale (es. sistemi di gestione qualità, ambiente, sicurezza, …).

Nel 2009 è stato pubblicato lo standard ISO 31000 -Risk Management. Nel 2010 viene recepito dall’UNI.

Negli anni ’90 si amplia l’elaborazione dottrinale: nasce l’Enterprise Risk Management(ERM): non solo rischio finanziario ma visione globale.

Lo stato dell’arte

L’Italia è agli ultimi posti in Europa per maturità dei sistemi di gestione del rischio.

Dotarsi di un modello di Risk Management permette quindi di spiccare rispetto a molti concorrenti, soprattutto su un mercato internazionale.

Una grande opportunità per differenziarsi

NEL MONDO

Il 91% dei manager di grandi aziende nel mondo valuta il Risk Management fondamentale per la crescita e per i profitti aziendali.Ricerca Accenture (2012) 91 %


Una grande opportunità per differenziarsi

IN ITALIA

• L’80% delle aziende tra € 50 – 250 Mil. percepisce un aumento delrischio;

• Meno del 50% delle imprese decidono di gestire il rischio diimpresa;

• 80% non prevede di introdurre una risorsa per il Risk Management.

Ricerca CINEAS in collaborazione con Politecnico di Milano sulle PMI italiane (2012)

20 %


Norme cogenti

Linee Guida Corporate

Modelli organizzativi ex D. Lgs. 231/01

Sistemi di gestione

Quanto sono efficaci nella prevenzione e gestione dei rischi?

Quale è il punto debole nella normale applicazione di queste norme?


Gli strumenti

Il primo strumento fondamentale è costituito dal binomio:

• Sappiamo chi siamo• Sappiamo dove andare

Suddividiamo gli strumenti in due diverse tipologie

Il secondo strumento è in realtà una cassetta degli attrezzi piena didiversi strumenti, da scegliere ed utilizzare in coerenza con lerisposte che ci siamo dati al punto precedente.

Obiettivi prestabiliti

Risultati ottenuti

Risorse impiegate

efficacia

sostenibilità

Mantenuta nel tempo

Organizzazione Misurazione

efficienza

Gli strumenti

• ISO 9001: 2015 Quality management systems (incluse specifiche di settore)

• ISO 22000: 2005 Management systems for food security• ISO 14001: 2015 Environmental management systems• OHSAS 18001: 2007 Occupational health and safety management

systems • ISO 22301: 2012 Business continuity management systems• ISO 55001: 2014 Asset management systems• ISO 27001: 2013 Information security management systems • ISO 20121: 2013 Event sustainability management systems • ISO 39001: 2012 Road traffic safety management systems• ISO 26000: 2010 / SA8000: 2014 Social Accountability• ………………..

UNI ISO 31000: 2010 Risk Management

Gli strumenti

UNI ISO 31000: 2010 Risk Management Definizione del contesto

Miglioramento continuo

Progettazione struttura gestione dei rischi

Attuazione della gestione dei rischi

Monitoraggio e riesame delle prestazioni

Processi

Identificazione del rischio

Analisi del rischio

Ponderazione del rischio

Valutazione del rischio

Definire il contesto

Trattamento del rischio

Com

unic

azi

one e

consu

ltazi

one

Monitora

ggio

e r

iesa

me

Gli strumenti


Gli strumenti


3: PRINCIPI4: STRUTTURA DI RIFERIMENTO

4.1 Generalità4.2 Mandato e impegno4.3 Progettazione della struttura di riferimento per gestire il rischio

4.3.1 Comprendere l’organizzazione ed il suo contesto4.3.2 Stabilire la politica per la gestione del rischio4.3.3 Responsabilità4.3.4 Integrazione nei processi organizzativi4.3.5 Risorse4.3.6 Meccanismi di comunicazione interni4.3.7 Meccanismi di comunicazione esterni

4.4 Attuare la gestione del rischio4.4.1 Attuare la struttura di riferimento per gestire il rischio4.4.2 Attuare il processo di gestione del rischio

4.5 Monitoraggio e riesame della struttura di riferimento4.6 Miglioramento continuo della struttura di riferimento

Gli strumenti


5: PROCESSO

5.1 Generalità5.2 Comunicazione e consultazione5.3 Definire il contesto

5.3.1 Generalità5.3.2 Definire il contesto esterno5.3.3 Definire il contesto interno5.3.3 Definire il contesto del processo di gestione del rischio5.3.4 Definire i criteri di rischio

5.4 Valutazione del rischio5.4.1 Generalità5.4.2 Identificazione del rischio5.4.3 Analisi del rischio5.4.4 Ponderazione del rischio

Gli strumenti


5: PROCESSO

5.5 Trattamento del rischio5.5.1 Generalità5.5.2 Selezione delle opzioni di trattamento del rischio5.4.3 Predisporre ed attuare piani di trattamento del rischio

5.6 Monitoraggio e riesame

5.7 Registrazione del processo di gestione del rischio

Gli strumenti

LE NUOVE NORME DELLA SERIE 2015

ISO 9001: 2015 Quality management systems

ISO 14001: 2015 Environmental management systems

Draft ISO 45001: 2017 Occupational health and safety management systems

Gli strumenti


HIGH LEVEL STRUCTURE (HLS)

Un’unica struttura, valida per tutti gli standard sui sistemi di gestione, in dieci articoli(clauses), aventi i medesimi titoli di base, definizioni e terminologia.

Compatibilità

Integrazione

Gli strumenti

Valutazione dei rischi


HIGH LEVEL STRUCTURE (HLS)

Premessa

0. Introduzione

1. Scopo e campo di applicazione

2. Riferimenti normativi

3. Termini e definizioni

4. Contesto dell’organizzazione

5. Leadership

6. Pianificazione

7. Supporto

8. Attività operative

9. Valutazione delle prestazioni

10. Miglioramento

Gli strumenti

LE NORME DI RIFERIMENTO

ISO 9001:2015 ISO 14001:2015

Gli strumenti

LE NORME DI RIFERIMENTO

OHSAS 18001:2007 ISO 45001

Gli strumenti

ANALISI DEL CONTESTO

L’analisi del contesto è un processo conoscitivo per valutare il proprio impattosull’ambiente socio-economico e territoriale di riferimento nonché sul propriocontesto organizzativo, dai quali dipende il risultato strategico che organizzazionesi pone.L’analisi del contesto di riferimento consiste quindi in un processo conoscitivo cheha lo scopo di:

o fornire una visione integrata della situazione in cui l’azienda va ad operareo stimare preliminarmente le potenziali interazioni e sinergie con le parti

interessateo verificare i punti di forza e i punti di debolezza che caratterizzano la propria

organizzazione rispetto al progetto da realizzareo verificare i vincoli e le opportunità offerte dall’ambiente di riferimento

Gli strumenti


Il contesto è quindi: “l’ambiente generale all’interno del quale l’impresa è

chiamata a svolgere le sue funzioni, definito da una serie di condizioni politiche,

legislative, sociali, culturali ed economiche, che determinano il sistema di vincoli-

opportunità entro cui dovrà trovare sviluppo la gestione aziendale”.

Gli strumenti


Immagine tratta dalla dispensa 04/2015 di Assolombarda

Gli strumenti


L’analisi del proprio contesto è quindi finalizzata ad identificare le

questioni, esterne ed interne, rilevanti per gli scopi dell’azienda e che

influenzano la sua capacità di raggiungere i “risultati attesi del Sistema di

Governance”.

Gli strumenti

CRITERI DI SCELTA

Una scelta importante

Da dove partiamo ?

Gli strumenti

Attività singola

• Qualità, Ambiente, Safety

• Security

• Finance

• Reputation

• Privacy

• MOG

Nuovi processi o aree di rischio

• Riparto da zero

Livello base: gestione del rischio singolo.

CRITERI DI SCELTA

Gli strumenti

Sistemi di gestione

integrati e non

• Qualità, ambiente, Safety

MOG


•Riparto da zero

Livello medio: MOG 231 basato su sistemi

CRITERI DI SCELTA

Gli strumenti

Modello di gestione dei

rischi• Costituisce il MOG

Sistema di gestione integrato

•Costituisce i protocolli di prevenzione del MOG


•In caso di nuove attivitàsensibili il modellostabilisce già ruoli emodalità operative

Livello TOP: progetto integrato di Risk Management

CRITERI DI SCELTA

Gli strumenti

METODOLOGIA

FASE 1: Definizione del perimetro del progetto

Si stabiliscono in via preliminare i seguenti elementi:

• Tipologie di rischio da gestire ed eventuale priorità.• Definizione degli obiettivi puntuali di progetto per ogni tipologia di rischio.• Tempistiche di implementazione.• Referenti aziendali del progetto.• Tempistiche di aggiornamento sull’avanzamento del progetto.

Gli strumenti

METODOLOGIAFASE 2: Assessment iniziale

Analisi dell’organizzazione aziendale, nell’ambito del perimetro definito nella fase1. Si considerano gli aspetti gestionali e operativi.Ad esempio:

• Organigrammi, procure, deleghe, nomine• Esame preliminare del contesto in cui opera l’organizzazione• Gestione del Change Management• Documenti autorizzativi• Requisiti cogenti• Procedure aziendali, prassi documentate e non• Modulistica aziendale e registrazioni• Gestione partners e fornitori• Flussi di comunicazione• Controllo ed auditing• ……………

Gli strumenti

Gli strumenti

METODOLOGIA

FASE 2: Assessment iniziale

La fase 1 si conclude con l’elaborazione di un report contenente la descrizione deipunti di forza e dei punti di debolezza rispetto alla gestione del rischio, semprenell’ambito del perimetro stabilito.

Il report viene presentato alla Direzione aziendale, al fine di poter procedere inmodo condiviso alla progettazione operativa.

METODOLOGIA

FASE 3: Progettazione operativa

ELABORAZIONE DEL PROGETTO OPERATIVO

PRESENTAZIONE ALLA DIREZIONE

o Struttura organizzativa, ruoli, autorità e responsabilità

o Modello gestionale

o Tempi di sviluppo e implementazione

VALIDAZIONE DEL PROGETTO

Gli strumenti

METODOLOGIA

FASE 4: Avvio del progetto

In questa fase si organizza la struttura aziendale per la gestione del rischio:

• Analisi del contesto interno ed esterno (azienda, stakeholder, mercato)

• Compliance obligations

• Individuazione dei processi aziendali

• Ruoli e responsabilità

• Risorse

• Definizione dei meccanismi di comunicazione e reporting

OUTPUT:

• Manuale di Risk Management

• Analisi del contesto

• Analisi dei processi e valutazione dei rischi

• Struttura organizzativa del Risk management (organigrammi-deleghe-mansionari)

Gli strumenti

METODOLOGIA

FASE 4: Avvio del progetto

Analisi dei processi. Ad esempio (elenco non esaustivo):

o Qualità, Ambiente, Salute e sicurezza

o Travel security

o Business continuity

o Sicurezza dei dati

o Finance

o ……………….

Per ogni processo vengono definiti strumenti di misurazione e controllo

Gli strumenti

METODOLOGIA

FASE 5: Verifica efficacia

Ultimata la fase di sviluppo ed implementazione del Modello di Risk

Management è opportuno svolgere una serie di verifiche di attuazione ed

efficacia dello stesso.

Gli strumenti

LE NON CONFORMITA’ CI AIUTANO A MIGLIORARE

Gli strumenti

GRAZIE.

Il presente documento e i contenuti in esso riportati sono di proprietà di:

Area Torino: Strada del Casas, 6/2 - 10090 Rosta (TO), Tel. 011 95.41.201- Fax 011 01.33.199Area Milano: Via Giovanni XXIII, 2/A - 20866 Carnate (MB), Tel. 039 9630734 - Fax 011 01.33.199www.ecosafe.it

NUOVE ISO 2015 e RISK MANAGEMENT -...

Documents

Transcript of NUOVE ISO 2015 e RISK MANAGEMENT -...