Risk Management e ISO 9001:2015: proposta ed applicazione di una metodologia originale

1

D

I

’E

S

,

T

C

RELAZIONE PER IL CONSEGUIMENTO DELLA LAUREA MAGISTRALE IN INGEGNERIA GESTIONALE

Risk Management e ISO 9001:2015

Proposta ed Applicazione di una Metodologia

Originale

RELATORE IL CANDIDATO

Prof. Ing. Gionata Carmignani Giorgia Guastini Dipartimento di Ingegneria dell'Energia, [email protected] dei Sistemi, del Territorio e delle Costruzioni

Sessione di Laurea del 03/12/2014 Anno Accademico 2013/2014

3

Risk Management e ISO 9001:2015: Proposta ed Applicazione di una Metodologia Originale

Giorgia Guastini

Sommario

Questo lavoro di tesi nasce dall’esigenza di applicare il processo e le tecniche di Risk Management di quelle organizzazioni che intendono implementare un Sistema di Gestione per la Qualità ISO 9001:2015. La nuova edizione della normativa include, fra i suoi requisiti, l’adozione di un approccio basato sul rischio che, per molte organizzazioni, può risultare una novità. Lo scopo del presente lavoro è quello di chiarire i concetti che stanno alla base della gestione del rischio, con riferimenti alle normative ISO 31000 e CEI EN 31010, e di proporre una metodologia originale che possa essere d’aiutonell’applicazione del processo di risk management ad un sistema di gestione per la qualità. Tale metodologia esamina le fasi di identificazione, analisi e trattamento dei rischi e delle opportunità ed è applicata a due esempi teorici, in particolare ad un’azienda di prodotti e ad una di servizi.

Abstract

This thesis comes from the necessity to apply the process and techniques of Risk Management of those organizations that want to implement a Quality Management System ISO 9001: 2015. The new edition of the standard includes, among its requirements, the adoption of a risk-based approach that may sound new to many organizations. The purpose of this work is to clarify the concepts that form the basis of risk management, with reference to ISO 31000 and CEI EN 31010, and propose an original methodology that can be helpful applying the process of risk management to a quality management system. This method examines the stages of identification, analysis and treatment of risks and opportunities, and it is applied to two theoretical examples, particularly to a company of products and a service company.

4

Sommario

1. Introduzione...

2. Il Rischio...

2.1 Il concetto di rischio ………. 8

2.2 Classificazione dei rischi………...………. 13

3. Il Risk Management……….

3.1 Il contesto………. 17

3.2 Lo sviluppo………. 18

3.3 Normative e standard internazionali ………... 21

3.4 Il Risk Management... 23

3.5 Le tecniche………. 30

3.6 Gli approcci ……… 33

3.7 L’organizzazione………...………. 34

4. Risk Management e Sistemi di Gestione per la

Qualità

4.1 La nuova edizione ISO 9001:2015...……….... 42

4.2 Risk-based thinking e PDCA…... 47

4.3 Applicazione del Risk Management in un Sistema di Gestione per la Qualità………. 50 4.4 Identificazione dei rischi e delle opportunità………... 51

4.5 Analisi e ponderazione……… 73

4.6 Trattamento e monitoraggio……….. 84

5

Appendice A:

Appendice B:

Appendice C:

opportunità………...………... 104

6

1. Introduzione

La Gestione del Rischio, o Risk Management, è un processo che, sebbene noto ed applicato principalmente in grandi aziende, diviene di fondamentale importanza in periodi di crisi economica come quella che le organizzazioni attraversano al giorno d’oggi. Esse devono confrontarsi con un ambiente dove gli eventi avversi ed i rischi sempre più numerosi a cui sono sottoposte possono influenzare la loro capacità di raggiungere gli obiettivi preposti. Tutta la teoria del Risk Management si fonda però su un concetto fondamentale: “La

conoscenza riduce il rischio”; la stessa strada verso su cui è indirizzata la futura

nuova edizione della normativa ISO 9001:2015 “Quality management systems”. L’efficacia e considerazione del processo di gestione del rischio è infatti tale da essere stato introdotto fra i suoi requisiti nei termini di approccio risk based: individuare, valutare e gestire rischi ed opportunità nell’implementazione di un Sistema di Gestione per la Qualità, dei suoi processi e delle sue attività.

Lo scopo di questo elaborato è quello di introdurre le organizzazioni alla gestione del rischio e ad alcune delle sue tecniche per poi guidarle nella sua applicazione ad un Sistema di Gestione per la Qualità. Poiché la versione ufficiale e definitiva della normativa non è ancora stata rilasciata il presente lavoro è stato basato sul Draft International Standard ISO/DIS 9001 che può essere considerato attendibile. In accordo con la normativa l’approccio che utilizzeremo sarà molto generale affinché risulti applicabile ad ogni tipo di organizzazione, indipendentemente dalla sua dimensione, natura o dalle attività svolte.

Per le organizzazioni nuove a questi argomenti si comincerà dall’approfondire nel primo capitolo il concetto di rischio, la sua natura e le sue principali classificazioni. Nel capitolo successivo si affronterà il tema del Risk Management: il contesto e le cause che hanno portato alla sua nascita, il suo sviluppo negli anni e nei diversi stati del mondo, le normative internazionali che trattano o hanno trattato tale argomento, la descrizione del processo e delle tecniche utilizzate, i diversi approcci con cui viene applicato nel vari contesti e il suo impatto organizzativo. Il quarto capitolo si concentrerà sulla normativa, e le principali novità introdotte rispetto all’edizione precedente, sul risk based

7 thinking e sulle fasi del processo di risk management applicate alla normativa: il processo sarà diviso e affrontato in tre parti ovvero identificazione dei rischi e delle opportunità, analisi e ponderazione e trattamento e monitoraggio; per ciascuna parte si mostreranno dei metodi utilizzabili in tale fase e due esempi di applicazione, uno riguardante un’azienda di prodotti ed uno relativo ad un’azienda di servizi.

8

2.

Il R

ischio

2.1 Il

concetto

di rischio

In letteratura non esiste una definizione di rischio univoca e universalmente riconosciuta poiché il concetto cambia sfumatura a seconda del contesto nel quale si opera e delle relative applicazioni.

Nel settore medico troviamo il cosiddetto “Rischio Clinico”, inteso come la possibilità che un paziente sia vittima di un evento avverso che possa provocargli danni o disagi imputabili alle cure mediche, anche se in modo involontario.

Si definisce “Rischio Biologico” il rischio derivante dalla trasmissione di agenti biologici in grado di provocare malattie infettive in soggetti umani.

Il “Rischio di Credito” (o rischio di insolvenza) è l’eventualità che una delle parti di un contratto non onori gli obblighi di natura finanziaria assunti, causando una perdita per la controparte creditrice.

In materia assicurativa il rischio è inteso come la possibilità di avveramento di un fatto futuro ed incerto generalmente dannoso per la salute o il patrimonio.

Il “Rischio Lavorativo” può essere direttamente o indirettamente ricollegabile al lavoro (intendendosi, per quest’ultimo, il rischio generico che incombe su tutti i cittadini) ed è la probabilità di raggiungimento del livello potenziale di danno nelle condizioni di impiego, o di esposizione, ad un determinato fattore, o agente, oppure alla loro combinazione; alcuni esempi sono i rischi chimici, fisici, ergonomici, di incendio o di esplosione.

In ambito ambientale abbiamo i “Rischi Antropici”, ovvero derivanti dalle attività dell’uomo, e suddivisi in rischio nucleare, rischio trasporti e rischio chimico-industriale.

Gli esempi sopra riportati sono solo una parte, non certo esaustiva, di tutte le possibili accezioni che il concetto di rischio può assumere in diversi contesti: nel testo faremo sempre riferimento alle definizioni di rischio e quelle ad esso collegate della normativa UNI 11230:2007 “Gestione del rischio – Vocabolario”

9 visibili anche in Figura 1 le quali, essendo più generali, risultano valide ed applicabili in qualsiasi campo.

Secondo la normativa, il rischio sarebbe costituito dall’insieme delle probabilità che una serie di circostanze (evento) si verifichi e degli esiti (conseguenze) che tali circostanze possono avere sugli obiettivi.

Senza dilungarsi troppo sulle definizioni e sul significato delle parole, bisogna tenere presente il concetto che sta dietro alla gestione del rischio e cioè che l’incertezza deve essere gestita, sia per difendersi da minacce che per cogliere opportunità.

Nonostante il termine ‘rischio’ possa richiamare alla mente aspetti perlopiù negativi, gli scenari che si possono manifestare possono essere in realtà sia sfavorevoli che favorevoli. Il termine inglese “risk”, più generico e ambiguo rispetto all’italiano, meglio rispecchia questo concetto: non si riferisce alle sole “minacce” (o hazards, che la UNI 11230 descrive come le cause di potenziali perdite o danni) ma include anche quegli eventi positivi comunemente intesi come “opportunità” (opportunities, cioè le cause di potenziali benefici).

L’introduzione dell’effetto positivo è avvenuta in anni piuttosto recenti dopo aver compreso che, con le stesse tecniche e procedure, è possibile gestire sia le

10 opportunità che le minacce. Tale approccio ci permette non solo di scongiurare eventuali danni ma anche di approfittare delle potenziali opportunità che si possono presentare.

In molti settori, come ad esempio quello finanziario, risulta difatti fondamentale, per la completezza dell’analisi, includere anche le potenziali conseguenze positive degli eventi: il rischio legato al tasso di cambio può avere sia un risvolto negativo che positivo e tale esito è tanto rilevante per chi effettua la valutazione quanto di notevole importanza per l’investitore.

Nel caso in cui l’evento si manifestasse, gli effetti provocati possono inoltre essere peggiori o migliori della situazione media o attesa: nel primo caso si parla di downside risks (o rischi al ribasso), altrimenti di upside risks (rischi al rialzo).

Per “situazione attesa” non intendiamo il risultato più probabile, né quello sperato, ma quello che mediamente si realizzerà, che si ottiene dalla media dei risultati di tutti scenari possibili ponderata per le rispettive probabilità. Se ad esempio un’impresa stimasse per il prossimo semestre due soli scenari di volumi di vendita (10.000 unità con il 70% di probabilità e 30.000 con il restante 30%) il risultato atteso sarebbe pari a:

(10.000 ∗ 0,7 + 30.000 ∗ 0,3) (0,7 + 0,3)⁄ = 16.000 unità

In generale, un evento può essere più o meno certo: ciò significa che la possibilità di conoscere come, quando e con quali conseguenze tale evento si manifesterà dipende dalla natura dell’evento stesso, dalle capacità intellettive e conoscitive del singolo individuo che conduce l’analisi e dagli strumenti di misurazione di cui egli dispone; un’ipotesi di base nella valutazione del rischio è la possibilità di misurare le situazioni di incertezza tramite indicatori statistico-probabilistici mediante l’associazione di probabilità di accadimento ai diversi scenari potenzialmente manifestabili.

In tutta la teoria del rischio, inclusi i casi esposti all’inizio del capitolo, l’obiettivo è quello di dare una valutazione per quanto più possibile oggettiva e quantitativa del rischio stesso, al fine di comprenderne l’entità o la gravità ed intraprendere adeguate misure di gestione; in un’organizzazione la gestione del

11 rischio può essere considerata come un processo che coinvolge tutti gli individui in modo trasversale e strettamente legato ai soggetti che ne sono responsabili. Secondo la chindinica, o scienza del pericolo, ogni individuo avrebbe una diversa percezione e, di conseguenza, una diversa propensione (risk appetite) o attitudine al rischio; per esempio, trattare sempre rischi con bassa probabilità di accadimento può portare nel tempo ad una riduzione della percezione del rischio e a comportarsi come se l’evento non si dovesse mai manifestare; tale propensione appare strettamente legata all’ambiente che circonda l’individuo, quale il contesto lavorativo, oltre a fattori individuali, sociali, culturali e legati all’esperienza personale oltre che alla vita comune.

Per i motivi sopra esposti il processo di valutazione non permette sempre di quantificare il rischio in maniera assoluta e necessita la presa in considerazione di variabili come il contesto, il riferimento temporale e gli obiettivi per cui la valutazione stessa viene svolta.

La valutazione è legata alla dimensione (o livello) del rischio, riskdimension, data dalla combinazione delle probabilità di accadimento di un evento ‘P’ e dall’impatto delle sue conseguenze ‘I’, negative o positive che siano. Ad esempio, la relazione più comune per calcolare la dimensione del rischio ‘R’ è data dal prodotto delle due grandezze (Figura 2).

Grazie a tale relazione è possibile fare una prima valutazione del rischio (o dell’opportunità) utilizzando la Matrice Probabilità-Impatto. Un esempio rappresentativo di tale matrice è riportato in Figura 3, per la quale si è scelta a priori una scala di probabilità che va da 1 per gli eventi poco probabili fino ad arrivare a 5 per gli eventi quasi certi; analogamente, l’impatto avrà un valore 1 per eventi poco significativi salendo fino al valore 5 per eventi con effetti

12 catastrofici. Si delineano in questo modo 5 categorie di rischio: molto basso, basso, moderato, alto e critico.

Figura 3 Matrice Probabilità-Impatto

Dopo una prima fase di identificazione dei rischi, ad ognuno di essi si assegna un valore da 1 a 5 in base alla loro probabilità di verificarsi ed un altro, sempre da 1 a 5, in base all’entità del loro impatto. Successivamente vengono inseriti nella matrice in corrispondenza dei rispettivi valori e, a seconda della categoria di rischio a cui appartengono, verranno differentemente trattati e gestiti. I rischi critici hanno un’alta probabilità di accadimento ed un impatto elevato e pertanto vengono trattati con la massima priorità; la gestione delle altre categorie di rischio può però essere altrettanto problematica e complessa, poiché risulta necessaria un’attenta analisi dei costi e dei benefici derivanti dalle strategie di trattamento: in generale, il costo sostenuto per minimizzare il rischio deve essere minore dell’eventuale perdita che la manifestazione dell’evento potrebbe causare. Proprio perquesto motivo vedremo che una delle possibili strategie adottabili da un’organizzazione può essere quella di andare incontro al rischio e di sostenerne gli eventuali effetti.

13

2.2 Classificazione dei rischi

Le modalità con cui un’organizzazione può gestire e fronteggiare i rischi (o le opportunità) non dipendono solo dalla loro dimensione ma anche da altre variabili che li caratterizzano quali la natura dell’evento scatenante, gli effetti generati e la diversificabilità dei rischi stessi (Fig. 4).

Figura 4 Classi di rischio

Queste tre variabili ci permettono di fare delle iniziali e generali distinzioni dei rischi, valide per ogni ambito di applicazione e per qualsiasi organizzazione. In particolare, la natura dell’evento si distingue fra interna ed esterna all’organizzazione, dividendo rispettivamente i rischi in interni ed esterni:

 Irischi esterni hanno origini riconducibili ad eventi generatisi al di fuori dell’organizzazione. Questo tipo di rischi è spesso difficilmente prevedibile ed influenzabile dal management, il quale si limita ad intervenire per mitigare gli effetti che si ripercuotono sull’organizzazione stessa. I rischi esterni sono in generale dovuti a cambiamenti del mercato o dell’ambiente, ad eventi naturali o a comportamenti di terzi. Possiamo pensare ad esempio all’andamento di variabili macroeconomiche, ad innovazioni tecnologiche, a modifiche legislative o a catastrofi ambientali.

14  I rischi interni sono invece influenzabili dal management e possono

riguardare carenze nella struttura organizzativa, nella disponibilità e adeguatezza delle risorse o anche responsabilità penali, civili e amministrative cui l’organizzazione può andare incontro.

In merito agli effetti che un certo evento può generare, intesi come perdite o benefici, si è soliti individuare i cosiddetti rischi speculativi e rischi puri:

 I rischi speculativi,definiti dalla ISO 11230 come “rischi che possono dare luogo a perdite o benefici” sono talvolta chiamati anche “rischi imprenditoriali”. Essi possono generare sia effetti negativi che positivi ed è quindi fondamentale un loro costante monitoraggio. Alcuni esempi di rischi speculativi possono essere i prezzi delle materie prime, le oscillazioni dei gusti dei consumatori o rischi legati alle attività di ricerca e sviluppo.  I rischi puri o, sempre secondo la ISO 11230, “rischi che danno luogo

esclusivamente a perdite”, hanno scarsa probabilità di verificarsi ma, nel caso, un impatto anche molto negativo (come un terremoto, un’alluvione o un incendio); per gestire questo genere di rischi assume grande importanza un’accurata identificazione e prevenzione degli stessi. I rischi puri possono essere ulteriormente distinti in “rischi riguardanti le persone” (in casi di malattie o infortuni), “rischi riguardanti i beni” (come incendi o furti) e “rischi riguardanti le responsabilità” (per danni arrecati a persone, animali o a beni di terzi).

La diversificabilità di un rischio si riferisce alla possibilità di ridurre lo stesso, o eliminarlo completamente, tramite la compensazione degli effetti di più fonti di rischio: combinando fonti non correlate fra loro, qualcuna si realizzerà favorevolmente e qualcun’altra sfavorevolmente, permettendo in questo modo una parziale compensazione degli effetti.

 IRischi sistematici, o non diversificabili, sono quei rischi generati da fonti di rischio sistematiche come il PIL, l’andamento dei tassi di interesse o l’inflazione (spesso riunite nel concetto di Rischio di Mercato) e che quindi non possono essere ridotti né eliminati tramite il processo di diversificazione;

15  IRischi specifici,o diversificabili, derivano dalle peculiarità e specificità di

un’impresa o di un settore e godono pertanto dei vantaggi derivanti dalla diversificazione.

Nel campo della finanza la diversificazione consiste nella costituzione di un portafoglio formato da diverse azioni in modo tale da compensare e diversificare il rischio specifico legato all’impresa della singola azione; tuttavia il rischio sistematico non può essere diversificato ed avrà ripercussioni su tutte le imprese e, di conseguenza, sull’intero portafoglio.

La maggior parte dei rischi ha in generale sia una componente sistematica che diversificabile. Per esempio, il rischio associato alle vendite di un’impresa è sia sistematico, poiché dipendente dall’andamento dell’economia, ma anche diversificabile relativamente al posizionamento competitivo della singola impresa. La diversificazione ha poi una notevole importanza quando le fonti di rischio sono correlate negativamente, cioè ad uno scenario negativo di una corrisponde uno scenario positivo per un’altra, assicurando così un massimo bilanciamento degli effetti.

Riferendoci più specificatamente all’ambito aziendale è possibile fare un’ulteriore classificazione dei rischi speculativi che si distinguono fra rischi strategici, operativi e finanziari:

 I rischi strategici possono minacciare la posizione competitiva dell’azienda, il conseguimento dei suoi obiettivi strategici ed incidere in maniera rilevante sulla sua gestione; possono essere legati a variabili macroeconomiche, ad azioni messe in atto da clienti e fornitori o a nuove normative. Alcuni esempi sono il rischio di variazione della domanda, il rischio tecnologico (riconducibile all’incapacità del management di anticipare gli sviluppi della tecnologia) o il rischio normativo (dovuto a cambiamenti nella legislazione che possono limitare le attività dell’impresa).

 i rischi operativi sono insiti nelle attività dell’azienda e il loro verificarsi può determinare bassa efficacia o efficienza nei processi, livelli di

16 performance negativi nel soddisfacimento dei clienti o anche perdite dovute all’inadeguatezza delle procedure, delle risorse umane o del sistema; ne sono degli esempi il rischio di capacità (che può portare a non riuscire a fronteggiare aumenti di domanda), il rischio di performance (che impedisce il raggiungimento di livelli di performance soddisfacenti in termini di qualità, tempi, costi) ma anche il rischio di frode da parte degli amministratori, dei dipendenti e di terzi.

 infine i rischi finanziari sono quelli più spesso percepiti dalle imprese e sono legati alla struttura finanziaria e all’incapacità dell’impresa di gestire in modo efficiente ed efficace i rischi legati ai flussi di cassa: comprendono rischi come quello di liquidità (ovvero il caso in cui l’impresa non sia in grado di rispettare gli impegni di pagamento per la difficoltà nel reperire i fondi), il rischio di credito, il rischio di cambio o il rischio di mercato (dovuto all’insieme di variabili macroeconomiche come i tassi o l’inflazione).

Tutte queste variabili, in un contesto competitivo e turbolento come quello in cui operano oggi le imprese, possono influenzare le performance dell’organizzazione e la capacità di raggiungere gli obiettivi preposti. Da qui la nascita e la diffusione del Risk Management: una corretta e preventiva valutazione dei rischi a sostegno di decisioni consapevoli per mitigare gli effetti, o cogliere le opportunità, derivanti da possibili eventi.

17

3. Il Risk

Management

3.1 Il contesto

Il contesto nel quale le organizzazioni operano è divenuto negli anni sempre più complesso e dinamico e ha visto espandersi in modo considerevole il panorama dei rischi ai quali le organizzazioni stesse si trovano esposte.

Le cause che hanno portato a tale incertezza ed instabilità possono essere ricondotte a numerosi eventi e fattori, tra i quali:

 Il progresso tecnologico e il crescente utilizzo di tecnologia informatica tra le imprese; se da un lato ha offerto nuove opportunità alle imprese dall’altro ha creato una nuova area di rischi, come ad esempio la pirateria informatica e la sicurezza delle informazioni;

 L’accelerazione dei tempi di innovazione unita alla contrazione del ciclo di vita dei prodotti ed a crescenti aspettative dei consumatori per prodotti e servizi;

 La globalizzazione e liberalizzazione dei mercati, con una crescente competizione a livello internazionale e mondiale;

 I cambiamenti nel quadro normativo con nuovi e molteplici regolamenti che hanno portato ad un aumento dei rischi di responsabilità dell’impresa e del suo management;

 Un maggior ricorso a terzi come l’outsourcing, con conseguenti rischi operativi per la perdita di controllo sul processo di produzione, strategici per la difficoltà nel recuperare le competenze una volta esternalizzata l’attività ma anche organizzativi per le difficoltà di coordinamento e la possibile demotivazione dello staff interno;

 L’aumento dei rischi catastrofali, sia originati da eventi naturali, come alluvioni o terremoti, sia da eventi sociopolitici come il terrorismo, ma anche da errori umani.

Questo nuovo scenario ha accresciuto la complessità e l’interrelazione dei rischi portando così l’organizzazione alla necessità di gestire in modo adeguato le

18 proprie strategie, l’efficacia e l’efficienza dei processi operativi fino ai lanci dei prodotti.

I rischi che possono minacciare il raggiungimento degli obiettivi dell’impresa si possono trovare sia all’interno di essa, fra le funzioni e i processi, ma anche all’esterno nelle relazioni tra imprese, dove i processi superano i confini dell’organizzazione (come nel caso dell’outsourcing). In quest’ultimo caso la gestione del rischio diviene piuttosto complessa perché la manifestazione degli eventi avversi potrebbe avvenire al di fuori della funzione o dell’organizzazione, diventando così più difficile da prevedere e monitorare. L’effetto della “concatenazione dei rischi” rende il tutto ancora più articolato: le iniziali manifestazioni di un evento, ad esempio all’interno di una funzione, si riversano ed influenzano altri aspetti della gestione interna in una reazione a catena.

Pertanto diviene sempre più importante che le imprese abbiano strategie efficaci ed efficienti di gestione del rischio, oltre ad adeguati strumenti e processi per fronteggiare le potenziali minacce, sfruttare le eventuali opportunità ed in tal modo mantenere, se non migliorare, la propria competitività.

3.2 Lo sviluppo

Le origini della gestione del rischio sono riconducibili agli inizi del 1900, quando gli economisti introdussero i primi concetti di rischio, pericolo ed incertezza. I principali padri e precursori di questa disciplina sono considerati l’economista americano Frank Knight (“Risk, uncertainty and profit”, 1922”) e l’ingegnere europeo Henri Fayol (“Administration industrielle et générale”, 1918). Fayol considerava la gestione del rischio come una delle funzioni primarie del management di un’impresa, chiamata “funzione della sicurezza”, la quale avrebbe avuto l’obiettivo di proteggere le risorse utilizzate dalle altre funzioni aziendali. I suoi studi non vennero però applicati ed il vecchio continente dovette attendere fino agli anni ’70 prima di vedere in atto la gestione del rischio.

19 Il Risk Management trovò invece consenso negli Stati Uniti dopo la seconda guerra mondiale, tra il 1955 e il 1960. Prima di allora non esistevano libri a riguardo né corsi universitari. I primi due libri accademici sull’argomento furono scritti da Mehr e Hedges (“Risk management in the business enterprise”1963) e Williams e Heins (“Risk management and insurance”, 1964). Nei successivi anni si diffusero le relative tecniche, nacquero le prime società di consulenza e vennero definite le prime posizioni ufficiale di responsabili per la gestione dei rischi (risk manager).

In quegli anni il risk management consisteva essenzialmente nel trasferimento del rischio a terzi tramite il mercato assicurativo ed era orientato prevalentemente alla copertura dei rischi puri, tra cui i rischi legati a sinistri che potessero danneggiare le risorse fisiche ed umane dell’impresa. Le motivazioni per cui i rischi puri erano presi in maggiore considerazione sono da ricollegarsi alle maggiori competenze della gestione del rischio nell’ambito assicurativo e al maggiore impatto economico-finanziario che a quell’epoca i rischi puri avevano rispetto ai rischi speculativi. La funzione “finanza” era la funzione responsabile e si occupava prevalentemente della selezione e gestione delle polizze assicurative (il cosiddetto insurance management). Nel corso degli anni emersero e si svilupparono nuove forme di gestione del rischio alternative a quella assicurativa, la quale risultava essere piuttosto costosa oltre e non dare garanzia di una copertura completa (non tutti i rischi infatti erano assicurabili). Meccanismi di identificazione, analisi e trattamento dei rischi vennero messi in atto in campo aeronautico, ambientale ed in settori riguardanti la sicurezza, l’energia, la finanza e, solo più recentemente, le tecnologie per l’informazione e la medicina.

In Europa i primi paesi ad accogliere il Risk Management furono quelli più sviluppati, come la Francia, la Germania, l’Inghilterra ed i paesi scandinavi. Negli anni ‘70 si cominciarono a distinguere, sia negli Stati Uniti che in Europa, i rischi puri dai rischi speculativi portando alla relativa nascita di due scuole di pensiero: quella secondo cui la figura del risk manager avrebbe dovuto occuparsi in modo integrato di entrambi i tipi di rischi e l’altra, secondo la quale avrebbe dovuto concentrarsi sui soli rischi puri lasciando alle singole funzioni la gestione dei rischi speculativi.

20 La crisi del mercato assicurativo degli anni ’80 (con il relativo aumento dei premi assicurativi) ha portato alla moderna accezione della gestione del rischio, segnando una netta separazione dalla precedente gestione assicurativa, la quale diviene solo una delle possibili strategie di trattamento dei rischi (detta trasferimento). Si svilupparono dunque numerosi e svariati approcci al fine di rispondere alle esigenze di differenti contesti applicativi. Alcuni di questi approcci verranno brevemente illustrati nel paragrafo “3.6. Approcci”.

Sul piano internazionale lo strumento di Risk Management è oggi ampiamente riconosciuto ed apprezzato tra i manager d’azienda, in particolar modo per fronteggiare la recente crisi economica: dati Accenture del 2012 riportano che oltre il 91% dei manager di 400 grandi aziende nel mondo considera il Risk Management come uno strumento fondamentale sia per la crescita che per i profitti. Nonostante ciò in Europa esso si applica prevalentemente in grandi aziende con strutture organizzative complesse.

Attualmente in Italia, oltre la metà delle aziende non ha una struttura dedicata alla gestione del rischio e la maggior parte di queste non dimostra l’intenzione di introdurla nel prossimo futuro. Da un’indagine pubblicata a Marzo 2014 da Cineas su un campione di 700 Piccole e Medie Imprese nazionali (realizzata dal Dipartimento di Ingegneria Gestionale del Politecnico di Milano in collaborazione con Confapi Industria) risultano ancora numerose le aziende immature nel campo della gestione del rischio, le quali percepiscono il rischio come una pura minaccia che può essere ignorata (47%), trascurando le possibili opportunità. Dall’intervista si evince che i rischi ai quali esse si sentono maggiormente esposte sono i rischi finanziari, per la gestione dei quali vengono assegnate, in percentuale, maggiori risorse rispetto ai rischi operativi.

Nello specifico, il 63% delle imprese intervistate dichiara di non adottare alcuna tecnica di gestione del rischio principalmente per motivi legati ai costi e a fattori collegabili alla crisi economica, mentre la maggior parte delle altre affida questa responsabilità a figure interne che ricoprono già altri ruoli, per lo più amministratori. Risulta inoltre carente la condivisione della cultura del rischio fra i dipendenti con comunicazioni interne trasmesse spesso “a voce”.

21 Non a caso, mentre all’estero l’area rischi viene considerata una funzione chiave per l’organizzazione, le imprese italiane risultano, secondo la Federazione Europea delle Associazioni di Risk Management (FERMA), all’ultimo posto in quanto a maturità dei loro sistemi di gestione del rischio: sono infatti le Piccole e Medie Imprese, oltre il 90% delle aziende italiane, che ne sottovalutano o ignorano il valore aggiunto.

La figura del Risk Manager è infatti ancora sottovalutata nel nostro Paese e per lo più presente nelle grandi aziende. Secondo Gianmario Vincis, Amministratore Delegato di Olimpia Broker PMI, sarebbe proprio la “criticità di questo periodo a

rendere indispensabile, soprattutto per le piccole e medie imprese, l’esperienza di professionisti del settore in grado di definire le linee guida per riuscire a competere, garantire posti di lavoro e creare nuove opportunità di sviluppo”.

3.3 Normative e standard internazionali

Gli standard relativi al risk management sono ormai numerosi e diffusi nel mondo: nascono in Australia e Nuova Zelanda nel 1995 e si evolvono con le varie edizioni della norma AS/NZS 4360 “Risk Management” (revisionate successivamente nelle edizioni del 1999 e nel 2004) e le HB436 “Risk

Management Guidelines”,una serie di altri documenti specifici di applicazione.

Si sviluppano normative anche in Austria (ONR 49000) e in Giappone (JIS Q 2001), nel Regno Unito abbiamo una serie di pubblicazioni informative BIP (Business Information Publication) e gli organismi di normazione internazionale e comunitaria ISO e CEN hanno creato due organi tecnici sul tema della gestione del rischio, rispettivamente ISO/TMB/WG “Risk Management” e CEN/BT/WG “Risk Assessment”.

Ad una prima pubblicazione nel 2002 della ISO Guide 73:2002 – “Risk

Management Vocabulary” – sono seguite due nuove guide, sviluppate

contemporaneamente nel 2009: la prima edizione della ISO 31000:2009 “Risk

22 ISO Guide 73 (la ISO Guide 73:2009). A supporto della ISO 31000:2009 nella fase centrale di risk assessment viene poi redatta la ISO IEC 31010:2009 “Risk

management - Risk assessment techniques”.

Per quanto concerne l’Italia l’UNI, oltre a partecipare alle attività ISO e CEN sopra citate, ha elaborato una Norma nazionale che recepisce la ISO Guide 73:2002, la UNI 11230:2007 – “Vocabolario per la gestione del rischio”, ed ha adottato le norme ISO creando la UNI ISO 31000:2010 – “Risk management,

Gestione del Rischio Principi e linee guida” ed infine la CEI EN 31010 “Gestione del rischio – Tecniche di valutazione del rischio”.

Questo elaborato prenderà principalmente a riferimento le seguenti normative (Fig. 5) applicandole alla nuova edizione della ISO 9001:2015 che verrà pubblicata a breve:

 UNI 11230:2007 per i vocaboli;

 UNI ISO 31000:2010 per il processo di gestione del rischio;  CEI EN 31010 per le tecniche di valutazione del rischio;

23

3.4 Il Risk Management

Il prossimo passo è quello di chiarire in cosa consista operativamente il Risk Management seguendo l’approccio della normativa UNI ISO 31000:2010 e i vocaboli della UNI 1230:2007.

Si definisce “gestione del rischio”:

L’ “insieme di attività, metodologie e risorse coordinate per guidare e tenere sotto

controllo un'organizzazione con riferimento ai rischi”; essa è finalizzata alla

prevenzione e protezione dell’organizzazione ottimizzando i benefici.

Secondo la Linea Guida UNI ISO 31000:2010 questo processo include le seguenti fasi (visibili anche in Figura 6):

 Definizione del contesto;

 Valutazione del rischio, o Risk Assessment, che comprende - Identificazione dei rischi, o Risk Identification;

- Analisi, o Risk Analysis;

- Ponderazione, o Risk Evaluation;  Trattamento, o Risk Treatment;  Comunicazione e consultazione;  Monitoraggio e Riesame.

24 Finora si è parlato della gestione del rischio come di un processo perché di questo si tratta: un sistema di attività tra loro collegate e volte al conseguimento di un obiettivo, ovvero proteggere l’impresa da eventi avversi (ma anche cogliere opportunità). Questo processo è trasversale e dovrebbe superare i confini delle singole funzioni, e coinvolgere ogni area organizzativa.

Secondo la normativa, una corretta gestione dei rischi permette ad un’organizzazione di:

 Aumentare la probabilità di raggiugere gli obiettivi;  Incoraggiare una gestione proattiva;

 Soddisfare i requisiti cogenti e le norme internazionali pertinenti;  Aumentare la confidenza dei portatori di interesse;

 Avere una base affidabile per il processo decisionale e la pianificazione;  Accrescere le prestazioni in ambito salute e sicurezza-ambientale;  Migliorare la gestione della prevenzione delle perdite e degli incidenti.

Sono inoltre riportati i Principi di cui, in accordo con la norma, un’organizzazione dovrebbe tenere conto per far sì che la gestione del rischio risulti efficace:

1. La gestione del rischio crea e protegge valore;

2. … è parte integrante di tutti i processi dell’organizzazione; 3. … è parte del processo decisionale;

4. … tratta esplicitamente l’incertezza; 5. … è sistematica, strutturata e tempestiva; 6. … si basa sulle migliori informazioni disponibili; 7. … è “su misura”;

8. … tiene conto di fattori umani e culturali; 9. … è trasparente e inclusiva;

10. … è dinamica, iterativa e reattiva al cambiamento;

11. … favorisce il miglioramento continuo dell’organizzazione.

Affinché il processo sia efficace è inoltre necessaria una “Struttura di

25 che le informazioni in uscita relative al rischio siano adeguatamente comunicate al fine dello svolgimento del processo decisionale.

La struttura gestionale di riferimento è definita come “l’insieme di componenti

che fornisce le fondamenta e gli assetti organizzativi per progettare, attuare, monitorare, riesaminare e migliorare in continuo la gestione del rischio nell’intera organizzazione”: queste fondamenta comprendono la politica, gli obiettivi, il

mandato e l’impegno di gestire l’organizzazione mentre gli assetti organizzativi sono costituiti da piani, relazioni, responsabilità, risorse, processi e attività. Tale struttura dovrebbe chiaramente essere adattata alle specifiche necessità e caratteristiche dell’organizzazione.

Partendo dall’assunzione di un impegno forte e costante da parte della direzione e da una pianificazione strategica si applica il ciclo del PDCA (Plan-Do-Check-Act) che consiste nella:

 Progettazione della struttura gestionale;  Attuazione della gestione del rischio;  Monitoraggio e riesame della struttura;  Miglioramento continuo della struttura;

26 Poiché ogni settore od applicazione presenta delle particolari necessità, la progettazione della struttura di riferimento (design of framework) parte da una fase preliminare di definizione del contesto, interno ed esterno all’organizzazione: essa risulta di fondamentale importanza per cogliere gli obiettivi dell’organizzazione, i suoi portatori di interesse ed identificare i fattori che possono influenzare la progettazione della struttura di riferimento.

Come ogni normativa che tratta sistemi di gestione, anche la UNI ISO 31000 introduce il concetto di politica, in questo caso per la gestione del rischio. Essa dovrebbe indicare gli obiettivi dell’organizzazione in merito alla gestione del rischio, gli impegni necessari per conseguirli ed essere adeguatamente comunicata all’interno di tutta l’organizzazione. Una politica in linea con la cultura dell’organizzazione, con la politica generale e con gli altri obiettivi permette di porre le basi per tutti gli elementi che compongono la struttura di riferimento e di attuare un processo efficace di gestione del rischio.

Successivamente è necessario definire le responsabilità, autorità e competenze del processo, integrare il processo con le attività ed i processi preesistenti nell’organizzazione, assegnare le adeguate risorse (in termini ad esempio di persone, competenze o strumenti) e determinare gli opportuni sistemi di comunicazione e reporting interni ed esterni.

Alla progettazione segue la fase di attuazione, distinta fra attuazione della struttura di riferimento e attuazione del processo di gestione del rischio. Nel primo caso si concretizzano tutti gli elementi che erano stati precedentemente progettati mentre nel secondo l’organizzazione si assicura, attraverso un piano di gestione del rischio (indicante tempi, attività e risorse) che tutti i livelli aziendali abbiano attuato ed integrato il processo come parte delle loro prassi e attività.

Nelle fasi di monitoraggio e miglioramento ci si accerta periodicamente che il processo, la struttura di riferimento, la politica e il piano di gestione del rischio siano sempre efficaci ed adeguati misurandone le prestazioni, i progressi, riesaminando gli indicatori di prestazione ed il contesto. Sulla base dei risultati del monitoraggio e dei riesami si dovrebbe poi impostare il processo decisionale

27 per attuare i necessari miglioramenti atti a garantire la continua efficacia del processo.

Tornando al processo vero e proprio di gestione del rischio bisogna tenere conto che la fase di comunicazionee consultazione si sviluppa lungo tutte le fasi del processo, sia internamente che verso i portatori di interesse esterni; questo permette a tutti i soggetti interessati di capire e comprendere le motivazioni che hanno portato ad intraprendere determinate azioni. Un approccio così integrato permette, durante il processo, di aiutare a definire il contesto in modo più corretto, di tenere conto delle aspettative ed esigenze delle parti interessate e di identificare, analizzare, ponderare e trattare i rischi in modo appropriato, tenendo in considerazione i punti di vista e le competenze di tutti i soggetti interessati.

La fase successiva, ovvero la definizione del contesto, consiste nell’identificazione di obiettivi, parametri interni ed esterni da tenere in considerazione, campo d’applicazione del processo e criteri di rischio. Molti di questi elementi assomigliano a quelli già individuati nella progettazione della struttura di riferimento ma a questo livello vengono analizzati in maggior dettaglio, essenzialmente nella loro relazione con il campo di applicazione specifico del processo. Si considera l’ambiente esterno all’organizzazione (da quello sociale a quello politico, da quello locale a quello internazionale), le principali tendenze che possono influenzare gli obiettivi e le percezioni e valori delle parti interessate. Si analizza poi l’ambiente interno e, in particolare, quelle parti dell’organizzazione interessate dal processo di gestione del rischio: dalla struttura organizzativa alla capacità produttiva, dalla cultura alle norme e linee guida adottate.

I “criteri di rischio” sono dei “termini di riferimento, prefissati in base agli

obiettivi dell’organizzazione ed al contesto” (UNI ISO 11230), utilizzati per

valutare la significatività di un rischio, ovvero la soglia al di sotto della quale si decide di sopportare il rischio (risk tolerance). Alcuni di essi riflettono i valori e gli obiettivi dell’organizzazione mentre altri possono venire imposti da normative, leggi, politiche o altri requisiti.

28  Delle fonti di rischio (elementi con il potenziale intrinseco di originare

un rischio);

 Delle aree di impatto;  Dei possibili eventi;  Degli impatti;

 Dei rischi associati al mancato perseguimento di un’opportunità.

Bisogna considerare tuttavia anche i possibili effetti domino, ovvero effetti indiretti che si ripercuotono e possono provocare ulteriori conseguenze, ed ipotizzare diversi scenari alternativi. L’output, o risultato, di questa fase è una lista di tutti quei rischi che possono influenzare in qualche modo il raggiungimento degli obiettivi dell’organizzazione.

L’analisi dei rischi ha in input l’elenco di possibili rischi ed opportunità precedentemente identificato e fornisce dati in ingresso al processo decisionale e alla scelta dei metodi per l’eventuale trattamento dei rischi. In questa fase si valutano le possibili conseguenze (quelle che abbiamo chiamato impatti nel capitolo 1) e verosimiglianze della loro manifestazione (le probabilità). Sempre nel primo capitolo abbiamo combinato questi due parametri con una moltiplicazione per ottenere la dimensione del rischio, detta anche livello di

rischio (espressione quantitativa di un rischio o combinazione di rischi), ma il tipo

di relazione, la scala di valori assegnata e il livello di dettaglio dipenderanno dal tipo di rischio e dalla disponibilità di informazioni e risorse.

La ponderazione del rischio compara il livello di rischio precedentemente individuato con i criteri di rischio stabiliti nella fase di definizione del contesto. In base a questi criteri e alla propensione al rischio dell’organizzazione questa può decidere di non sottoporre ad alcun trattamento i rischi oppure di procedere alla fase seguente.

Il trattamento del rischio è costituito da una serie di strategie con cui è possibile affrontare un determinato rischio:

 RISK REDUCTION: azioni mirate ad influenzare la probabilità o le

29  RISK INCREASING: in questo caso si cerca invece di aumentare

probabilità e/o l’impatto perché stiamo parlando di opportunità;

 RISK ELIMINATION: si riduce a zero la frequenza di un evento

sfavorevole o la sua gravità;

 RISK PREVENTION: insieme di misure volte a ridurre la probabilità di

una minaccia;

 RISK PROTECTION: insieme di misure volte a ridurre la magnitudine di

una minaccia;

 RISK TRANSFER: trasferimento del rischio ad una o più terze parti,

come le assicurazioni (il rischio resta immutato, ciò che muta è il soggetto che sostiene le conseguenze);

 RISK RETENTION: assunzione del rischio e delle conseguenze in modo

consapevole, per scelta o per necessità (ad esempio nel caso in cui non sia possibile attuare nessuna delle altre strategie);

 RISK SHARING: condivisione di determinati rischi tra più soggetti (come

società create all’occorrenza o assicurazioni con franchigia);

 RISK DIVERSIFICATION: selezione di differenti entità esposte al rischio

per ridurre la perdita complessiva (come la già nominata diversificazione del portafoglio);

 RISK AVOIDANCE: interruzione o non avviamento di attività che

possono portare all’insorgere dei rischi (tale strategia può però far perdere delle opportunità all’organizzazione);

Il processo è ciclico e passa dalla valutazione della soluzione, o della combinazione di più soluzioni, maggiormente appropriata alla situazione alla valutazione dell’efficacia del trattamento in considerazione dei livelli di rischio

residuo tollerati fino alla generazione di una nuova azione di trattamento qualora il rischio non fosse ancora tollerabile. Per rischio tollerabile si intende quel livello di rischio accettato dall’organizzazione che non dovrebbe richiedere ulteriori trattamenti.

La strategia più opportuna viene scelta in base ad un bilanciamento dei costi sostenuti per attuare l’azione di trattamento e dei benefici ottenibili, tenendo ovviamente conto di eventuali requisiti cogenti e responsabilità sociali.

30 Tali trattamenti sono riassunti nel Piano di trattamento del rischio, ove sono indicati gli ordini di priorità dei singoli trattamenti, le motivazioni e i benefici che hanno portato alla scelta di tali trattamenti, la documentazione di come dovrebbero essere attuati, i soggetti che sono responsabili di tale attuazione, requisiti ed eventuali vincoli. Tale piano di trattamento dovrebbe essere integrato con i processi di gestione dell’organizzazione e discusso con tutti i soggetti che ne sono interessati. Essi dovranno inoltre essere consapevoli del rischio residuo dopo il trattamento, rischio che dovrebbe essere documentato, monitorato e riesaminato.

Il monitoraggioed il riesameassicurano l’efficacia e l’efficienza dei controlli e sono attività che dovrebbero essere pianificate. Aiutano ad ottenere maggiori informazioni che migliorano il processo di valutazione del rischio, analizzano e apprendono dagli eventi, sia successi che fallimenti, rilevano cambiamenti del contesto ed eventuali rischi emergenti. I risultati di questi processi dovrebbero essere registrati ed utilizzati come input al riesame della struttura di riferimento oltre che partecipare alla prestazione complessiva dell’organizzazione.

3.5 Le tecniche

La fase del processo di valutazione del rischio può avvalersi di molteplici metodi e tecniche a supporto dell’identificazione, dell’analisi e della ponderazione, qualitativa ma anche quantitativa, dei rischi e delle opportunità individuati. La normativa ISO IEC 31010:2009 “Risk management - Risk assessment

techniques” risulta particolarmente utile al fine di fornire un sostegno nella

scelta di alcune fra le tecniche più appropriate da utilizzare lungo le diverse fasi del processo: in corrispondenza di tutte le combinazioni fra le singole tecniche e le varie fasi del processo viene suggerita una sigla che ne rappresenta il grado di applicabilità (FA- fortemente applicabile, A- applicabile, NA- non applicabile). La fase di analisi del rischio viene, inoltre, suddivisa in ulteriori sotto-fasi quali

31 l’analisi delle conseguenze, la stima della probabilità di accadimento e la stima del livello di rischio.

Nell’elenco visibile in Figura 8 si trovano alcune delle tecniche più diffuse nell’ambito tecnico-ingegneristico e nel campo della Qualità: dalle più comuni, come la Check-list e alcuni dei famosi sette strumenti di Ishikawa, alle più complesse e strutturate (HAZOP o FMEA); oltre al grado di applicabilità, nella scelta della tecnica da utilizzare bisognerebbe considerare anche fattori importanti quali:

 La complessità del problema e dei metodi necessari per analizzarlo;  La natura ed il grado di incertezza della valutazione dovuta alla

disponibilità delle informazioni;

 Le risorse in termini monetari, temporali e di competenze.

Può talvolta essere necessario, a seconda del caso, un team di lavoro ben organizzato con competenze specialistiche nel settore e nell’utilizzo delle tecniche. In generale, perché una tecnica possa essere considerata adeguata dovrebbe:

 Essere appropriata al contesto organizzativo considerato;

 Fornire informazioni rilevanti riguardo al rischio e a come esso possa essere gestito e trattato;

 Essere documentata ed applicata in maniera sistematica in modo da risultare tracciabile, ripetibile e verificabile.

Per una più chiara comprensione dell’applicazione delle tecniche si rimanda all’Appendice A mentre, per un maggiore approfondimento sulle tecniche, alla normativa CEI EN 31010 la quale descrive, in modo breve e coinciso, ciascuna tecnica ed il processo per applicarla, con relativi input e output, punti di forza e limiti.

32

33

3.6 Gli approcci

Sebbene le fasi del processo restino essenzialmente quelle precedentemente esposte, il processo di gestione del rischio varia a seconda dello specifico problema o contesto e, pertanto, alcune variabili cambiano fra gli approcci alternativi più diffusi.

I principali elementi che differenziano un aspetto rispetto ad un altro sono:  Gli obiettivi;

 Il concetto di rischio considerato;  Le tipologie di rischi ritenuti rilevanti;

 Il grado di importanza delle fasi del processo;  Gli strumenti utilizzati.

Alcuni approcci di risk management che è quindi possibile distinguere sono:  Enterprise risk management - ERM;

 Project risk management - PRM;  Financial risk management – FRM.

cui se ne aggiungono tanti altri quali:  Risk control – RC;

 Corporate risk management – CRM;  Strategic risk management – SRM;  Engineering risk management – EnRM;  Supply chain risk management – ScRM;  Disaster risk management – DRM;  Clinical Risk Management – CRM;  Insurance risk management – IRM;

L’Enterprise Risk Management è “un’attività strategica di supporto al processo

direzionale d’impresa volta a creare valore aziendale a favore dei portatori di capitale di rischio attraverso un processo integrato di identificazione, stima, valutazione, trattamento e controllo di tutti i rischi aziendali” (Floreani 2005).

L’obiettivo è dunque quello di minimizzare gli effetti del rischio sui capitali e sugli utili dell’impresa. La creazione del valore è il principio su cui si basa il

34 processo decisionale (con tecniche quali il Valore Attuale Netto VAN e il Valore Attuale Netto Modificato VAM) e fra le varie fasi la stima quantitativa del rischio assume particolare importanza.

Il Project Risk Managementidentifica, valuta e reagisce ai rischi che si possono manifestare lungo la vita del progetto. Poiché l’obiettivo principale è il successo del progetto i rischi sono visti prevalentemente come minacce e la fase più rilevante del processo è quella di identificazione. Il successo del progetto dipende sostanzialmente da tre variabili quali i tempi ed i costi di realizzazione del progetto e la performance del progetto realizzato. Si tratta solitamente di opere di ingegneria civile (ponti, edifici...) ma anche meccanica (come un aeroplano od un impianto industriale) ed informatica (ad esempio l’installazione di un nuovo e complesso sistema informativo).

Il Financial Risk Management tratta fondamentalmente i rischi finanziari, (come il rischio di credito, di mercato, di cambio, di inflazione e via dicendo) e gli strumenti finanziari utilizzati per coprire l’eventuale esposizione al rischio dell’azienda. Se pensiamo ai mercati finanziari e ai loro andamenti, è facile intuire quanto sia particolarmente importante e delicata la fase di monitoraggio dei risultati ma soprattutto del contesto.

Poiché una delle caratteristiche della norma ISO 9001 è quella di essere applicabile ad ogni tipo di organizzazione che produce qualunque tipo di bene o servizio, gli approcci sopra esposti sono stati citati per questione di completezza ma non verranno da noi utilizzati: manterremo un tono generale e adotteremo un metodo valido ed applicabile ad ogni circostanza.

3.7 L’organizzazione

In organizzazioni complesse e di grandi dimensioni è di fondamentale importanza, al fine di garantire l’efficacia del processo, affrontare la questione

35 anche dal punto di vista dell’impatto organizzativo. La gestione dei rischi ha un’importante valenza strategica per l’impresa e si basa su:

 La promozione di una cultura del rischio e di un linguaggio comune;  Sui principi della politica di assunzione del rischio;

 Sulla gestione del rischio all’interno delle diverse funzioni;  Sul controllo e monitoraggio dei rischi e delle azioni intraprese;

 Sulla creazione di un’unità organizzativa che coordini, gestisca e supervisioni il processo di risk management;

La funzione di risk management è solitamene un’unità di staff a supporto di soggetti con poteri esecutivi. Nelle PMI è invece possibile notare una collocazione differente, spesso subordinata.

I principali soggetti coinvolti nel processo sono (qualora presenti):  Il Consiglio di Amministrazione e gli amministratori esecutivi;  Le singole funzioni;

 La funzione di risk management;  La funzione di internal auditing;

Ai primi spetta la definizione delle strategie dell’organizzazione, delle risorse da stanziare per il raggiungimento di tali scopi e degli obiettivi generali di assunzione dei rischi.

Le varie funzioni aziendali dovrebbero essere strettamente coinvolte nel processo, con il supporto della funzione di risk management, ed essere direttamente responsabili della gestione strettamente operativa del processo, oltre che della diffusione della cultura del rischio al loro interno.

Alla funzione di risk management spetta lo svolgimento della fase centrale del processo. La figura del risk manager (o Chief Risk Officer) è responsabile del coordinamento dell’intero processo (ma non della gestione operativa dei singoli rischi). La funzione di internal auditing è invece predisposta al controllo e monitoraggio delle operazioni.

La diffusione all’interno dell’organizzazione di una cultura di gestione dei rischi e l’uso di un linguaggio comune determinano l’efficacia del processo e delle

36 tecniche utilizzate. Per “cultura” si intende quell’insieme di valori e norme comuni nel rispetto dei quali i membri dell’organizzazione presentano determinati atteggiamenti verso il rischio e comportamenti per fronteggiarlo. Lo sviluppo della cultura di gestione del rischio è pertanto di grande importanza per permettere a persone appartenenti a diversi livelli dell’organizzazione di acquisire consapevolezza dei rischi, di comunicare e scambiarsi informazioni e di contribuire al processo in modo efficiente ed efficace.

La cultura della gestione del rischio dipende da vari fattori caratteristici dell’organizzazione quali lo stile direzionale, la formazione del personale, i sistemi di comunicazione interni, l’atteggiamento verso il rischio dei singoli membri appartenenti all’organizzazione e l’orientamento generale dell’impresa sul controllo del rischio.

L. Selleri (L’impresa e il rischio, 2006) riporta queste ultime due variabili in una matrice che chiama “Matrice della Cultura del Rischio” (Fig. 9) e le scinde in due valori, alto e basso.

Dalle combinazioni di queste variabili si possono definire quattro tipologie di cultura del rischio:

 “Propensione al rischio” quando l’attitudine è alta ma il controllo è limitato;

37  “Esposizione controllata” quando l’attitudine rimane alta ma il controllo è

più approfondito; questa tipologia rappresenta il modello ideale a cui tutte le organizzazioni dovrebbero tendere perché caratterizzato dal giusto equilibrio;

 “Esposizione non controllata” quando vi è poca attitudine al rischio ma anche basso controllo;

 “Avversione al rischio” quando la poca attitudine è associata ad un elevato controllo.

La politica di assunzione dei rischi o, come chiamata dalla UNI ISO 31000, “politica per la gestione del rischio”, è costituita dagli obiettivi, dagli indirizzi generali e dall’impegno per la gestione del rischio e dovrebbe essere adeguatamente comunicata all’interno dell’organizzazione. È importante che essa venga comunicata anche verso l’esterno, ovvero ai portatori di interesse dell’organizzazione, sia per motivi di coinvolgimento e ritorno delle informazioni, quanto per creare fiducia nei confronti dell’organizzazione stessa. Si pensi al caso in cui l’organizzazione fosse una banca: i fattori immagine e fiducia sono due elementi di vitale importanza ed è infatti facile reperire informazioni sulla politica di gestione del rischio (finanziario) e degli strumenti utilizzati già sul sito web delle banche più importanti.

Perché il processo sia efficace e continui ad esserlo nel tempo si richiede un grande impegno e coinvolgimento da parte della direzione, la quale dovrebbe anche (Fig.10):

 Formulare la politica di gestione del rischio;

 Assicurarsi che la politica sopra definita sia in linea con la cultura dell’organizzazione;

 Definire degli opportuni indicatori di prestazione, per monitore l’andamento del processo, in linea con gli indicatori di prestazione generali dell’impresa;

 Far sì che gli obiettivi della gestione del rischio e dell’organizzazione siano compatibili e allineati;

38  Definire responsabilità, autorità e competenze all’interno

dell’organizzazione ma anche adeguati riconoscimenti;  Allocare le necessarie risorse al processo;

Figura 10 Doveri della direzione

È inoltre consigliabile che la direzione coinvolga preliminarmente i responsabili delle diverse funzioni e dei vari livelli organizzativi affinché possa dimostrare il proprio coinvolgimento e l’importanza data alla gestione del rischio; dovrebbe inoltre considerare seriamente un processo di sensibilizzazione del personale a questo tema, tenendo conto degli atteggiamenti di tutti i membri per far sì che tali principi non siano solo imposti ma compresi ed accettati.

Analogamente alla figura del Quality Manager presente nei sistemi di gestione per la qualità, è possibile qui identificare il Risk Manager, una figura ancora poco nota nelle piccole realtà ma che sta invece prendendo piede in contesti più complessi che già hanno a che fare con la gestione de rischio. Nella UNI ISO 31000 non si parla mai di un responsabile della gestione del rischio ma solo di “titolari del rischio” che detengono la responsabilità e autorità per gestire i

39 rischi. Per tutto il resto del processo nella normativa seguono solo una serie di “l’organizzazione dovrebbe”; ciò permette di rendere la normativa applicabile ad ogni tipo e dimensione di organizzazione ma può comunque risultare consigliabile identificare una figura responsabile dell’intero processo con buone capacità di coordinamento. È solitamente una figura interna con un grado di responsabilità e autonomia decisionale piuttosto elevato che lavora a stretto contatto con tutti i reparti aziendali (marketing, vendite ma anche logistica) e che necessita quindi di grandi capacità relazionali e di una ricca base di competenze per poter analizzare nel dettaglio le varie fasi delle attività per individuare eventuali criticità. Il risk manager è quindi colui che gestisce il processo di gestione dei rischi, dall’identificazione alla definizione delle strategie di trattamento e si assume la responsabilità del corretto funzionamento del programma di gestione del rischio

Nelle organizzazioni di piccole dimensioni parliamo solitamente di un singolo individuo che, spesso e volentieri, ricopre anche altri ruoli; in realtà più importanti possiamo trovare anche interi team di persone ma anche consulenti esterni specializzati in una determinata area di rischio. Tale scelta non dipende solo dalla dimensione dell’impresa ma anche dai suoi obiettivi e dal livello di implementazione del sistema di gestione.

Tenendo conto delle peculiari caratteristiche dell’organizzazione, tra le principali responsabilità del risk manager, o della funzione di Risk Management, troviamo (Fig. 11):

 Gestire le comunicazioni interne (in particolar modo le informazioni di ritorno necessarie al processo decisionale) ed esterne (come un cliente, un fornitore o un’autorità giudiziaria) all’organizzazione in materia di gestione del rischio;

 Definire il contesto interno ed esterno all’organizzazione per tenere conto di eventuali parametri che possono influenzare il raggiungimento dei propri obiettivi e stabilire i dovuti criteri di rischio (che ricordiamo essere i termini di riferimento rispetto ai quali è valutata la significatività del rischio);

 Proporre alla direzione un “Piano di gestione del rischio” specificante l’approccio, i componenti gestionali (procedure, prassi, attribuzione di

40 responsabilità e schedulazione delle attività) e le risorse da applicare alla gestione del rischio di un particolare prodotto, processo, progetto od organizzazione;

 Promuovere e far applicare il piano di gestione del rischio a tutti i livelli e funzioni pertinenti in termini di prassi e processi supportando e responsabilizzando il personale;

 Identificare le fonti rischio, valutare i rischi identificati, predisporre (insieme al management) e attuare i “Piani di trattamento del rischio”;  Misurare le prestazioni del processo a fronte di indicatori periodicamente

riesaminati;

Data la continuità delle operazioni all’interno dell’organizzazione, si dimostra inoltre d’aiuto il supporto di un adeguato sistema informativo che raccolga tutte le informazioni sui rischi per conseguire una stabilità dei risultati nel tempo.

Il risk manager dovrebbe possedere competenze trasversali che vanno dall’ambito assicurativo alla gestione d’impresa alla conoscenza del settore

41 specifico dell’impresa. Occorre che abbia buone capacità di coordinamento, programmazione ma anche spiccate doti relazionali, di dialogo e di leadership. Egli dovrebbe essere in grado di incoraggiare i membri dell’organizzazione a migliorare continuamente le proprie prestazioni.

Sarebbe poi necessaria una buona conoscenza dei processi aziendali, degli impianti, dell’organizzazione del lavoro e delle procedure amministrative per svolgere in modo efficace ed efficiente il processo, in particolar modo per quanto riguarda le fasi di identificazione e valutazione del rischio. Per gestire il rischio, in previsione degli sviluppi futuri del contesto e dell’organizzazione, sarebbe poi opportuna una base di conoscenze relativamente a strumenti e metodologie di previsione e di analisi probabilistiche.

L’acquisizione di queste competenze non richiede necessariamente una formazione pregressa specifica ma può basarsi su diversi percorsi formativi uniti ad esperienze personali sviluppate all’interno del contesto organizzativo. Il Risk Manager dovrà inoltre mantenersi costantemente aggiornato su leggi e normative, sull’evoluzione del mercato e sui prodotti.

Si apre una piccola parentesi per sottolineare come talvolta la figura del risk manager sia stata confusa con quella dell’Insurance Manager. Quest’ultima è una figura aziendale designata alla gestione del programma assicurativo, quindi finalizzata puramente al trasferimento dei rischi ad una compagnia di assicurazione: egli imposta le polizze e definisce e negozia le coperture assicurative idonee. Il Risk Manager svolge pertanto funzioni più ampie e ha a disposizione più strategie di trattamento dei rischi.

42

4.

Risk Management e Sistemi di Gestione

per la Qualità

4.1 La nuova edizione ISO 9001:2015

Pubblicato per la prima volta nel 1994, lo standard internazionale ISO 9001 ha subìto diverse rivisitazioni e cambiamenti nelle differenti versioni del 2000, del 2008 ed, infine, nel DIS ISO 9001:2015 (Draft international Standard), testo su cui principalmente si basa questo elaborato. Una volta che il DIS e, successivamente, il FDIS (Final Draft international Standard) saranno approvati la pubblicazione ufficiale della nuova normativa è stimata entro la fine del 2015. A partire da questa data le organizzazioni certificate avranno a disposizione un periodo di transizione pari a tre anni per l’implementazione dei requisiti del nuovo Sistema di Gestione per la Qualità.

Tra i principali obiettivi di questa revisione (sintetizzati in Figura 12) troviamo:  Una maggiore coerenza e integrazione fra diverse normative;

 Una semplificazione della burocrazia;

 Un attento riguardo non solo ai clienti ma a tutte le parti interessate;  Una più facile applicazione ad imprese che erogano servizi;

 Un incremento dell’importanza data alla Gestione del Rischio.

Questi obiettivi vengono raggiunti con una serie di modifiche fatte alla struttura e ai contenuti della norma, parzialmente ma non esaurientemente, riassumibili nei seguenti punti:

o La struttura per capitoli viene rivisitata per allineare lo standard a tutte le altre norme sui Sistemi di Gestione, come ad esempio la nuova ISO 14001:2015, facilitandone l'integrazione; vi è di conseguenza un incremento nel numero dei capitoli, il quale aumenta da otto, nell’edizione del 2008, a dieci;