I danni alla reputazione o al brand, al crimine informatico, al rischio politico e al terrorismo sono solo alcuni dei rischi che le organizzazioni pubbliche e private di ogni tipo e dimensione in tutto il mondo devono affrontare con frequenza. Ogni attività, essenziale per fare crescere il business, porta con sé sia opportunità che rischi. La trasformazione di opportunità in valore è fare business. Gestire il rischio è proteggere il valore acquisito. Per questo è necessario che venga strutturato e consolidato un piano di reazione efficace da mettere in atto quando le circostanze lo richiedono.

Oggi le vecchie misure di gestione dei rischi aziendali non sono più sufficienti; per tali ragioni, tutte le nuove norme ISO sono strutturate secondo la nuova “Risked Based Thinking”, cioè sulla pianificazione e valutazione di rischi ed opportunità. La ISO 31000 è lo standard internazionale che consente di migliorare in modo proattivo l’efficienza gestionale e manageriale in azienda. È la prima norma realizzata al fine di garantire una corretta valutazione e gestione del rischio, inteso sia come opportunità e sia con il classico significato negativo.

Il GDPR abbraccia completamente un approccio di questo tipo, cioè “Risk Based”. Infatti, il GDPR, oltre alla tutela dei dati personali, può rappresentare un’opportunità per le aziende per mettere al sicuro anche altre informazioni strategiche. Quindi, i dati esposti ad un alto rischio, come la manipolazione con procedure automatiche, o i dati della video sorveglianza di aree pubbliche, devono essere valutati in termini di sicurezza mediante la Data Protection Impact Assessment (DPIA – per approfondimenti, consulta il nostro articolo Articoli\DPIA.docx ). L’analisi deve essere ripetuta periodicamente o ad ogni variazione nei trattamenti; deve essere ripetibile e misurabile. L’analisi per la DPIA, come per ogni altra valutazione dei rischi, deve coinvolgere più reparti aziendali, come l’ufficio tecnico, IT, l’unità legale, fino ad arrivare alla direzione. Valutare e gestire il rischio è parte della governance e della leadership ed è fondamentale; ma, negli ultimi anni, le tipologie di rischio sono mutate, per questo l’esigenza di evolversi e di revisionare la ISO 31000_2018 che offre una guida più chiara, più breve e più concisa che aiuterà le organizzazioni a utilizzare i principi di gestione del rischio per migliorare la pianificazione e prendere decisioni migliori. Ogni sezione della norma è stata rivista in uno spirito di maggiore chiarezza, utilizzando un linguaggio più semplice per facilitare la comprensione e renderla accessibile a tutti. La versione 2018 pone una maggiore attenzione alla creazione e alla protezione del valore come fattore chiave della gestione del rischio. Infatti, come indicato nell’introduzione alla norma ISO 31000, “le organizzazioni di tutti i tipi e dimensioni si trovano ad affrontare fattori di rischio, cause interne ed esterne che rendono incerto il raggiungimento degli obiettivi prefissati. Il rischio è l’effetto che questa incertezza ha sul raggiungimento degli obiettivi dell’organizzazione”.

Il rischio è ora definito, quindi, come l’effetto dell’incertezza sugli obiettivi, che si concentra sull’effetto di una conoscenza incompleta di eventi o circostanze sul processo decisionale di un’organizzazione. Ciò richiede un cambiamento nella comprensione tradizionale del rischio, costringendo le organizzazioni ad adattare la gestione del rischio alle loro esigenze e obiettivi. La ISO 31000 offre una struttura di gestione del rischio che supporta tutte le attività, compreso il processo decisionale a tutti i livelli dell’organizzazione; per questo la struttura e i suoi processi dovrebbero essere integrati con i sistemi di gestione per garantire sia coerenza sia efficacia del controllo di gestione in tutte le aree dell’organizzazione.

Perché è importante una corretta gestione del rischio? La versione aggiornata della ISO 31000

Nell’attuale contesto di incertezza economico-politica e di forte concorrenza a livello globale, il Risk Management deve evolversi per sostenere e proteggere le imprese. Per tali ragioni, la norma ISO 31000 è stata revisionata per adattarsi ai rischi emergenti e facilitare la comprensione e l’applicazione delle buone pratiche di gestione e prevenzione dei rischi aziendali. I rischi spesso non sono considerati o sono sottovalutati e questo può comportare un’errata considerazione delle priorità e delle responsabilità, oltre ad un rallentamento nel processo di comunicazione aziendale, sia verso l’esterno che verso l’interno. Nel peggiore delle ipotesi, la mancanza di consapevolezza dei rischi può mettere a repentaglio il futuro dell’intera organizzazione. La gestione del rischio è un obiettivo a cui ogni impresa dovrebbe tendere e che ogni cliente dovrebbe pretendere, in particolare in settori caratterizzati da alta variabilità. La valutazione del rischio, quindi, è condizione necessaria per l’adozione di un criterio razionale a supporto delle decisioni di impresa. Una decisione di Risk Management può essere definita come un’azione di trattamento dei rischi; si tratta, dunque, di interventi specificamente finalizzati a modificare il profilo di rischio dell’azienda coinvolta. Compliance, danni reputazionali e cyber crime sono solo alcuni dei rischi che le aziende devono affrontare. Per salvaguardare le risorse e la sopravvivenza stessa dell’azienda, è fondamentale prevedere una consulenza dedicata per definire strategie e modalità di implementazione di un sistema di gestione del rischio integrato. La gestione del rischio protegge la Business Continuity e sostiene la crescita. Quindi, il Risk Management ha un ruolo chiave nello sviluppo dell’organizzazione. Il processo passa dall’identificazione dei rischi e dall’analisi delle cause, per arrivare alla definizione degli obiettivi strategici e ad un sistema di gestione.

iso 31000_2018

Con l’implementazione dei principi e delle linee guida della ISO 31000, è possibile migliorare l’efficienza delle operazioni, la governance e la fiducia dei soggetti interessati, riducendo al contempo al minimo le perdite. Ricordiamo, però, che la ISO 31000, essendo una linea guida, dà solo indicazioni di massima, senza approfondire in dettaglio i concetti e senza fornire un supporto operativo e non è finalizzata al rilascio di una certificazione: i manager sono pertanto liberi di implementare lo standard nel modo che più si addice ai bisogni e agli obiettivi della singola organizzazione.

La versione della norma aggiornata al 2018 rivede i principi del Risk Management e demanda alla direzione aziendale il compito di integrare la gestione del rischio con tutte le attività organizzative. Nella prevenzione dei rischi aziendali sono infatti coinvolti la pianificazione strategica, il reparto IT, la governance corporativa, l’area delle risorse umane, la Compliance, il controllo qualità, il piano di Business Continuity, la gestione delle crisi e la sicurezza. Nel testo rivisto, si dà maggior enfasi alla necessità che le misure di Risk Management siano periodicamente aggiornate sulla base dell’esperienza e dell’analisi dei processi, delle azioni e delle misure di controllo in atto. Si delinea un modello di gestione dei rischi capace di trarre vantaggio dai feedback esterni alla realtà aziendale, per adattarsi ai mutevoli bisogni e contesti, mantenendo saldi gli obiettivi di business. La creazione e la protezione del valore aziendale diventa il principio chiave del Risk Management, accanto ad una necessaria continua revisione, al coinvolgimento degli stakeholder, alla personalizzazione rispetto alle specificità del settore e della singola realtà.

Iscriviti alla nostra newsletter e rimani sempre aggiornato sul GDPR.

Categorie: GDPR

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *