Il concetto del risk-based thinking (Pensiero basato sul rischio) considera il rischio parte integrante dei processi, del sistema di gestione e del modo di prendere decisioni. La gestione del rischio perciò non è indipendente e separata dai processi e dalle attività, ma diventa un modo per gestire i processi, le attività, l’organizzazione. Con il pensiero basato sul rischio la gestione delle situazioni indesiderate diventa proattiva e non rimane reattiva.

Il risk-based thinking dovrebbe essere integrato nella struttura e nei processi di governance dell’organizzazione e, allo scopo di gestire ogni rischio, dovrebbe far parte del nucleo dei processi strategici, tattici e operativi. Quando il rischio è effettivamente radicato nel pensiero dei manager e integrato nei processi, allora l’organizzazione può essere veramente sicura che gli obiettivi stabiliti saranno raggiunti. L’evidenza che il rischio sia stato interiorizzato e integrato con i processi si può avere anche osservando il linguaggio dei manager nelle riunioni, nelle interviste e nei report. Se i termini “rischio” e “incertezza” non sono usati, allora il concetto del rischio è poco penetrato nell’organizzazione e nei processi del sistema di gestione.

Nell’introduzione della norma ISO 9001:2015 come anche nell’appendice A4 è stata inserita una breve spiegazione del risk-based thinking e, a tal fine, suggerisce di prendere a riferimento la norma UNI ISO 31000:2010 per capire bene come applicarlo e, soprattutto, come trarne dei vantaggi.

Qualsiasi processo o attività svolta da una azienda dipende dal contesto in cui l’azienda opera e per questo qui di seguito vogliamo analizzarlo nel dettaglio e suggerire come comportarsi operativamente.

Le norme sui Sistemi di Gestione che si basano sull’High Level Structure, come la ISO 9001:2015, ISO 14001:2015 e ISO 45001:2018, richiedono (requisiti 4.1, 4.2 e 4.3) che l’organizzazione analizzi il suo contesto interno ed esterno e tutti i requisiti applicabili, allo scopo di capire e determinare i fattori rilevanti per il business che possano nascondere rischi e opportunità.

L’impostazione dell’applicazione del risk-based thinking è basata sull’impegno promosso dall’alta direzione (requisito 5.1.1 d) e deve essere gestito (requisito 6.1) in modo da affrontare i rischi e le opportunità riscontrati in precedenza.

Uno degli scopi principali di un sistema di gestione è di agire come strumento preventivo; di conseguenza, le norme sui sistemi di gestione non dispongono di un requisito specifico per le “azioni preventive”.

Il concetto dell’azione preventiva, come è stato detto in precedenza, è inglobato nell’approccio basato sul rischio che fa parte integrante del sistema di gestione.

Il pensiero basato sul rischio, dunque, è un approccio essenziale per un efficace sistema di gestione. Si tratta di una impostazione mentale che deve caratterizzare e impegnare tutti i soggetti coinvolti nell’organizzazione, a partire dall’alta direzione. Il pensiero basato sul rischio, infatti, parte dalla leadership dell’alta direzione e si rende concreto, insieme con l’approccio per processi, come impegno dell’alta direzione stessa.

In generale, i fattori di rischio e di opportunità sono impliciti nel sistema di gestione laddove è richiesta un’azione “idonea”, “adeguata” o “appropriata”.

Il pensiero basato sul rischio, dunque, per rendere il sistema di gestione efficace, dovrebbe essere concretizzato attraverso un approccio strutturato e dovrebbe essere integrato nella governance e nei processi.

Comprendere l’organizzazione ed il suo contesto

L’organizzazione deve determinare i fattori esterni e interni rilevanti per le sue finalità, che sono influenzate o influenzano la sua capacità di conseguire gli esiti attesi per il proprio sistema di gestione.

Il contesto esterno e interno è quello nel quale l’organizzazione opera e affronta le sfide.

I fattori di rischio e di opportunità potrebbero condurre a risultati positivi o negativi. I fattori che portano a risultati positivi sono dovuti alle combinazioni favorevoli di condizioni o di eventi che aiutano a soddisfare gli obiettivi. Quelli negativi invece sono dovuti a combinazioni sfavorevoli di condizioni o di eventi. In quest’ultimo caso si nascondono vulnerabilità e agenti portatori di minacce capaci di creare incidenti e di conseguenza rischi per la soddisfazione degli obiettivi e verso i risultati attesi.

Il contesto (esterno e interno) di un’organizzazione, a prescindere dalla sua dimensione (grande o piccola), dalle sue attività, dai suoi prodotti o dalla sua tipologia (a scopo di lucro o non), è soggetto a cambiamenti in modo continuo; di conseguenza, esso dovrebbe essere monitorato costantemente. Tale monitoraggio dovrebbe permettere di analizzare le questioni e le situazioni per identificare, valutare e gestire i rischi che possono incombere sulle parti interessate e sulle loro necessità e aspettative.

La valutazione del contesto esterno può includere, ma non è limitato a:

  • l’ambiente sociale, culturale, politico, cogente, finanziario, economico, naturale e competitivo, a livello internazionale, nazionale e locale
  • elementi determinanti e tendenze fondamentali che hanno un impatto sugli obiettivi dell’organizzazione
  • relazioni con i portatori di interessi esterni, loro percezioni e valori

La valutazione del contesto interno può includere, ma non è limitato a:

  • governance, struttura operativa, ruoli e responsabilità
  • politiche, obiettivi e strategie in atto per il loro conseguimento
  • capacità, intese in termini di risorse e conoscenza (es. capitale, tempo, persone, processi, sistemi e tecnologie)
  • sistemi e flussi informativi, processi decisionali (sia formali che informali)
  • relazioni con i portatori di interessi interni, loro percezioni e valori
  • la cultura dell’organizzazione
  • norme, linee guida e modelli adottati dall’organizzazione
  • la forma e l’estensione delle relazioni contrattuali

La comprensione dell’organizzazione e del suo contesto è, come si vede nello schema, il primo punto della progettazione della struttura di riferimento.

Modello per la gestione del rischio

La gestione del rischio costituisce uno strumento per la definizione delle strategie di impresa ma anche strumento gestionale che deve essere incorporato nella cultura e nelle prassi dell’organizzazione.

Il modello per la gestione del rischio adottato si compone delle seguenti 4 fasi:

  • Fase 1 – Identificazione dei rischi
  • Fase 2 – Analisi dei rischi
  • Fase 3 – Valutazione (ponderazione) del rischio
  • Fase 4 – Trattamento del rischio

Analisi dei rischi

L’analisi del rischio implica lo sviluppo di una conoscenza del rischio. Essa fornisce i dati in ingresso alla ponderazione del rischio e alle decisioni circa la necessità o meno di trattamento del rischio, nonché riguardo le strategie ed i metodi di trattamento più appropriati.

L’analisi del rischio può anche fornire dei dati in ingresso al processo decisionale, dove devono essere effettuate delle scelte e le opzioni disponibili comportano differenti tipi e livelli di rischio.

L’analisi del rischio implica considerazioni sulle cause e fonti di rischio, le loro conseguenze positive o negative, e la verosimiglianza del loro accadimento.

Il rischio è analizzato mediante la determinazione delle conseguenze e la relativa verosimiglianza e altri attributi del rischio. Un evento può avere molteplici conseguenze e può avere influenza su più obiettivi. I controlli esistenti (misure in atto) e la loro efficacia ed efficienza dovrebbero anch’essi essere presi in considerazione.

Di Remo12

Lascia un commento

Follow by Email
LinkedIn
LinkedIn
Share