Scribd Logo
Upload

Welcome to Scribd!

  • Uni Iso 31000 2010 Ita PDF

    Uploaded by

    Giuseppe
    266 views27 pages

    Original Title

    UNI-ISO-31000-2010-ITA.pdf

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    266 views27 pages

    Uni Iso 31000 2010 Ita PDF

    Uploaded by

    Giuseppe

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    of 27
    Unistore- 2015 - 380620 NORMA Gestione del rischio UNIIS0 31000 ITALIANA Principi e linee guida NOVENBRE 2010 Risk Management Prindes and guidelines La nama forisce principe tinee guida genera sulla gestione del Fiechio. Essa pub essere utilzzata da qualsiasiimpresa pubbloa, privata o sociale, associazione, gruppo 0 individu €, pertanto, non ® specitica per alcuna industria 0 settore, La norma pud essere applcata hingo. intera vital Uurorganizzazione © ad un'ampia gamma di ativta, incluse strategie © decision, operazioni, processi, funzioni, proget prodotti, seria e beni. Essa pud essere inoltre applicata a qualsiasi tipo di rischio, quale sia a.sva natura, sia che essi abbiamo conseguenze positive 0 negative La presente norma intemnazionale non 6 destnaia ad essere uilzzata a scopo di cerificazione TESTO ITALIANO La presente norma & fadozione nazionale in lingua italiana della, norma internazionaie ISO 31000 (edizione novembre 2009) Ios 03.1001 ww oun e Eno Nexonale alana Fiproduzan vt, Tut soo rseat Nessa pate dlprtoie dcuonto aUsitssone pub ester roecaa oWscontnezzo unlea ecepi, merlimo lt, nee Va Senn. 2 Meansergo sta def, zorsr Mian, aia swunicom wi Untis0 310002010 Pagina UNistore - 2015 - 380620 PREMESSA NAZIONALE La presente norma costituisce 'adozione nazionale,inlinguaitaliana, lla norma intemazionale ISO 31000 (edizione novembre 2009) cha assume cosi lo status di norma nazionale italiana. La norma internazionale ISO 31000 @ stata elaborata dal Comitato Tecnico ISO/TMB "Risk Management" La presente norma @ stata elaborata sotto la competenza della Commissione Tecnica UNI Sicurezza della societa o dol cittadino che ha gludicato la norma ISO 31000 rispondente, da un punto di Vista tecnico, alle esigenze nazionali e ne ha proposto alla Commissione Centrale Tecnica del'UNI V'adozione nella presente versione in lingua italiana. La Commissione Centrale Tecnica delUNI ha dato la sua approvazione il giorno 27 ottobre 2010. La presente norma @ stata raticata dal Presidente dal'UNI ed & tentrata a far parte del corpo normativo nazionale il 25 novembre 2010. |Lenorme UN sono elaborate carcando dl tenere conte de punt vista ute e part Interessate @ & conciire ogni aspeto conitusl, per rapoesentae il 2a stato Gel'arte della materia ed i nacessario grado dl consenso CChiunquerienesse, a seguio deleppicazion di questa norma, polerfornze suo ‘geiment per un suo mighorameatoo pet un suo aaguamena 2 uno stato salfaria in eolvaioneb pregato od iniare i propri conti aifUN, Ente Nazionale ltalano di Unifcazione, che torn onsiderazion per eventual rvisione dla ncrmasiessa Lonorme UN sno resonate, quando neessario,con a publcaine dl ruc eionio iaggiornamet importante prlano che gl vilzzatoridele sess si accetino essere in possesso dot una ealzone e ei eventual aggiornamert Sinvitane iol gi utizzatoriavrlicreosstonea dl nore UNIconispondent ale noime EN 0 180 ave cate nei eriment norma UNIIs0 310002010 ow agia i UNistore - 2015 - 380820, ina 42 4a 434 432 433 434 435 435 437 4a 444 442 45 46 5 54 ipa 52 53 531 532 533, 534 535 54 544 542, 543, 54a 55 554 552 553 58 57. ‘APPENDICE (informativa) AL AQ AB INDICE INTRODUZIONE etaznta prin dla gesione dl sci, la stra crerinento e¢ poces. ‘SCOPO & CAMPO DI APPLICAZIONE ‘TERMINI E DEFINIZIONI PRINCIPL ‘STRUTTURA DI RIFERIMENTO Genera ‘Rezo componen daa stutura deiner per geste Irschio ‘Nandato eimpegno Progetazione doa strutua di siferimento per gesti isco. CComprendee lorganizzazion eal sv conteto, ‘Stair apoltica pera gestion dl aslo Fesponsebia Interavone ne rocessicrganizzalvi Fisose ‘Staite meccais di comuricazone e reporting ner ‘Staite i moccaris di comurieazion e reporting ester ‘Altuae la gestione del rischio ‘Aware a stuturadefetmeto par geste #scho ‘vrei proesso digestion del sco Moritoraggoe resame dela stutura di iftorimento ‘Migioramerto continuo dela stutura i rferimento. PROCESO Generals Process digostone oe isio CComunicazione e consultazione Define it contesto General Define cores estrno Define cortesto interno Define contest dal process dl gesone de isctio Define cre isto. Valutazione del riscio. General ‘deriicazione dal ischio ‘ral del chia enderazion dl rschio “rattarento del ischio General ‘Selezone dole open ratamento de rissto Prodispoe e ature dol ini itattamonio dl ischio Monitoraggio rlesame Registrazione dal prooesso i gestone del rischio CARATTERISTICHE DI UNA GESTIONE DEL RISCHIO ROBUSTA Generalta Fisutat chiave Ati 10 10 " " 1" 2 2 2 2 18 19 13 13 13 4 4 4 4 4 6 8 6 16 16 ” 7 "7 7 7 18 18 18 19 19 2 2 2 2 wi UntIso 10002010 eu Pagina i Uunistore - 2015 - 380520 vi ustisostaca20%0 GUN Pognaiv UNistore - 2018 - 380820 INTRODUZIONE Le organizzazioni di tutti | tipi @ dimension’ si trovano ad affrontare fattorl ed influenze interi ed estemi che rendono incerto il raggiungimento dei propri obiettiv. I “rischio” & Hetfetto che questa incertezza ha sugli obieti delforganizzazione. Tutto le attvita di unvorganizzazione comportano doi rischi, Le organizzazioni gestiscono il rischio identiticandoto, analizzandolo e valutando se esso debba essere modilicato cal trattamento (det rischio) per soddisfare i prop criteri di rischio. Per tutta la durata di questo proceso, comunicano e consultano i portatori diinteresse © monitorano & riesaminano il rischio ed i controli che fo stanno modificando, per accertarsi che non sia Fichiestoalcun ulteriore tratlamento, La presente norma iniemazionale desctive dettagliatamente questo processo sistematico e logico. Sebbene tutte le organizzazioni gestiscano in qualche misurail rischio, la presente norma intemazionale stabilsce alcuni prineipl che devono essere sodaisfatl per tendere efficace la gestione del rischio. La. presente norma intemazionale raccomanda che le ‘organizzazioni svluppino, attuino e miglirino in continuo una struttura di rferimento il cui lo scopo ¢ integrare il proceso per geste il rischio nella governance complessiva delforganizzazione, nella strategia e nella pianificazione, nella gestione, nei processi di reporting, nell poliiche, nei valorie nella cutua. La gestione del rischio pud essere applicata, in qualunque momento, ad unintera organizzazione, alle sue numerose aree e lel, cosi come alle specitiche funzioni, progett ed aitvita ‘Anche se la pratica della gestione del rischio é stata sviluppata nel tempo ed alinterno di oli settori per soddisfare varie esigenze, fadozione di processi coerentialfinterno di tuna struttura di ilerimento generale pud contribuire ad assicurare che il rischio sia gestito. e'ficacemente, con efticienza e in maniera coerente in tutta Vorganizzazione. L'approccio generale descrito nella presente norma intemazionele fornisce i principe le linee guida er fa gestione ai qualsiasi forma di rischio in un modo sistematico,trasparente e credibila ed allinterno di qualunque campo di applicazione e contesto, Ogni specifica seitore od applicazione della gestione del rischio comporta particolari necesita, interlocutor, percezioni e criter. Pertanto, una caratteristica fondamentale della presente norma inlemazionale & inserimento dellativité di “definite il contesto” come attvita iniziale di questo processo, generale e non specitico, di gestione del isco. Define il contesto consente di cogliere gli obittivi delforganizzazione, ambiente in cul ‘essa persegue tal obietiv, i relativi portator dinteresse e la diversita dei citer di iscnio, celementi che contribuiscono tutta rivelare e valutare la natura e la complessita dei propri rischi, La relazione fra i principi per gestre il isch, fa strutura di rferimento in cui si attua ed il processo di gestione del rischio descritto nella presente norma Internazionale sono rappresentatiin figura 1 La gestione del rischio, quando attuata e mantenuta altiva in conformita alla presente norma internazionale, consente ad urvorganizzazione, per esempio, di ‘umentare la probabilita di ragglungere gi obietiv incoraggiare una gestione proattiva; essere consapevoli della necessité di identiticare e trattare il rischio neltintera organizzazione; = migliorare fidentificazione delle opportunita e delle minacce: = soddistare i requisiti cogentie le norme internazionaii pertinent; rmigliorare il reporting cogente e volontario; = migliorare la governance: ~ migliorare la conticenza e la fiducia dei portator dinteresse: - costituire una base affidabile peril processo decisionale © la pianificazione; + migliorare i control = assegnare ed utlizzare efficacemente risorse peril traltarnento dei rschi LUNI1S0 310002010 euN Peaginat UNistore - 2015 - 380820, rmigliorare l'fficacia Vefficienza operative; = accrescere le prestazioni in ambito di salute e sicurezza, cosi come di protezione ambientale; rmigliorare la gestione della prevenzione delle perdite e la gestione degiiincidenti; rminimizzare le perdite: - migliorare apprendimento organizzativo; rmigliorare la rosilienza organizzativa. La presente norma internazionale intende soddisfave le esigenze di una vasta gamma di portatori dinteresse, compresi a) { responsabili dello sviluppo della politica per la gestione del rischio allintemo della propria organizzazione; b) _coloro che devono render conto ai assicurare che il rischio sia gestito elticacemente nelintera organizzazione o in una specifica area, progetto o ativita; ©) coloro che hanno Vesigenza di valutare tetlicacia dell'oganizzazione nel gestire il rischio; 4d) gliestensori di norme, guide, procedure e codici di comportamento che, in tuto 0 in parte, mettono in evidenza come debba essere gestito il rischio nell'ambito del contesto specitico di tali document Le attuali pratiche di gestione ed I process! correnti di molte organizzaziont includono componenti di gestione del rischio @ motte organizzazioni gia hanno adottato un processo formale di gestione del rischio per particolar| tipi di rischio o di circostanze. In tali casi, un'organizzazione pud decidere di offetiuare un riesame critico delle proprie prassi e process! in essere alla luce della presente norma intemnazionale. In quest'ultima sono utiizzate entrambe le espressioni ‘gestione del rischio" e "gestire il rischio’. In generale, “gestione del rischio" si riferisce alarchitettura (princpi, struttura di filerimento e proceso) per gestite eflicacemente i rischi, mentre “gestire il rischio" si riterisce ad applicare quel'architettura a speciicirischi UUNI180 s10002010 oun Pagina2 UNIstore - 2015 - 380620 Relazion! ta principl della gestione del rischio, ta stuttura dl ierimento ed it proceso 7 inva (9's) 2uesu orsienopuo;y (soma) (69) op PP OSU ars) congoee op snersap og (EFS) orp EP SAY crs) ops top Suoymax 9p (9) expe ap sunemnp, (29) auoyzensuns 9 auoeexunn trong) ‘vasa p arn sy) peaminas amy cr ovapayy sypuossingp essa isp ung suovazaurduojop wss00u ‘pp s1urstoim oud (a mage Pagina’ eu LUNIIS0 sto0a2010 UN Istoro - 2015 300620 1 SCOPO E CAMPO DI APPLICAZIONE La presente norma intemazionale forisce principle linee guida general sulla gestione del rischio, La presente norma internazionale pud essere utlizata da qualsiasi impresa publica, privata o social, associazione, gruppo o indviduo e,pertanto, nan & specifca per alcuna industia o setore ea Per comodt, con termine goerle "orgarzzavone' li niisce aut divs zat dla presente norma intsmazerle La presente norma internazionale pud essere applicata lungo lintera vita di unforganizzazione @ ad un'ampla gamma di atv, incluse strategie & decision, ‘perazioni, process, tunzion, progot, prodotti, sovizie beri. La presente norma intorazionale pud essere applcata a quasias tipo di rischio, quale sia la sua natura, sia che essi abbiano conseguenze positive o negative Sebbene la presente norma internazionalefornisca nee guida di applicazione generale ‘ssa non intend promuovare Tuniformita della gestone del rschio ta le organizzazioni La progettazione e Vattuazione di pian e strutture di siterimento ai gestione del rischio richiedono di prendere in considerazione le diferent esigenze di una specitica oxganizzazione, | suoi partcolari obietivi, contesto, strutura, operazioni, process tunzion, progeti,prodoti, servizi, o beni le speciche prassiadottate Tra gli scopi della presente norma internazionale vi é quello ai essere ullizzata per armonizzare | process dela gestione del rischio nelle norme attual ¢ future. Essa fomisce un approccio comune a supporto di nore che riguardano rischi elo sotto specific e non sostituisce tai norme. La presente norma inlemnazionale non ® destinata ad essere ullizzata @ scopo di certiicazione 2 TERMINI E DEFINIZIONI A fini del presente documento si applicano i termini e le definzioni sequent 24 tischio: Effetto delincertezza sugli obiettivi. Nets _Un eft uo sostamento da quart ates - posto ef nega. Nota 2 Gli obiettivi possono presentare aspetti differenti (come scopi finanziai, di salute e sicurezza, ambiental) € posse interne & Wel ferent (come prog, prods © paces! stalogo, ngvardant fina oiganizzazione). wea Ihnscio® spesso caratizzao dal eimento a event (2.17) patna e consequenze (218), 0 una comainzione i quest Notas Il rischio @ spesso espresso in termini di combinazione delle consequenze di un evento (compresi cameiamant nal toastarze)¢ da vorsimigianza (2.19) él sv vers tetas Lincertezza lo lal, anche pare ciassena dl inormazior lative aa comprensone oconoscenza unevert, dll sus cnsequenzeo dla oro veresnighanza {Guida ISO 73:2008, definizione 1.1 22 gestione del rischio: Ativita coordinate per guidare @ tenere sotto controllo una organizzazione con rterimanto al rischio (2.1) (Guida ISO 73;2009, definizione 2.1) 23 struttura di riferimento per la gestione del rischio: Insieme di componenti che fornisce le fondamenta e gli assetti organizzativi per progettare, attuare, monitorare (2.28), rieseminare e miglorarein continuo la gestione del rischio (2.2) nll intera organizzazione. seat Lefondamenta comprendona apo, lta l mandate fimpeane gest ilrsehio (2.1) New? Glasstiegerizzalcomprendono pani, razon respersabilia, risose process eativila vca3 La stuta dh ierimento pela gestion dl ischio insert interne dele police eras strategie ed ‘operative complessive de oxganizzazione, [Guida ISO 73:2009, definizione 2.1.1] UUNTIs0 310002010 OUN Pagina 4 UNIstore - 2015 - 380620, 24 25 26 27 28 29 240 an ow Now? Not politica per la gestione del rischio: Dichiarazione degli orientamenti ed indirizzi general «dl un’organizzazione relaliv alla gestione del rischio (2.2). [Guida '$0 73:2009, detinizione 2.1.2] propensione al rischio: Approccio dellorganizzazione per valutare ed eventualmente ricercare, ritenere, assumere, o evitare il rischio (2.1). [Guida '$0 73:2009, detinizione 3.7.1.1] piano di gestione del rischio: Schema interno alla struttura di riferimento per la gestione del rischio (2.3) che specifica 'approccio, i component gestionalie le risorse da applicare alla gestione del rischio (2.1). | component gstional comprendono tipicamente procedure, passi,atibuzione di esponsabit, sequenza ce lemporzzazione dell tiv lipiano ct gestione det rischio pud essere appcato ad un partioolare prodatto, procasso e progetto, rote ad una parte oallintera orgaizzazione [Guida 180 73:2009, detinizione 2.1.3) titolare del rischio: Persona o entita con la responsabilité @ fautorita per gestire un rischio (2.1). {Guida ISO 73:2009, detinizione 3.5.1.5) processo di gestione del rischio: Applicazione sistematica delle poltiche, procedure @ prassi di gestione alle attivia di comunicazione, consultazione, definizione del contesto e Identiticazione, analisi, ponderazione, trattamento, monitoraggio (2,28) e riesame del rischio (2.1). [Guida 180 78:2009, detinizione 3.4] definire il contesto: Definizione dei parametri esterni ed interni da tenere in cconsiderazione quando si gestisce il rschio e si definiscono il campo di applicazione ed i criteri di rischio (2,22) per la politica per la gestione del rischio (2.4), [Guida 180 78:2009, definizione 3.3.1] contesto esterno: Ambiente estemo nel quale Forganizzazione cerca di conseguire i propri obiettivi ‘i contest esterno pub comprendere = ambiente culture, sociale, polio. cogente,finanzario, tecnolgico, economico, naturale @ ‘coinpetivo, siainternazionele,nazionle, regional olecele; = element determinanti @ tendenze fondamentat che hanno un impatto sugli cbiettvi dalforganizazione; © relazion’ con portator interesse (2 1) ester loro perceione valor [Guida ISO 73:2009, detfinizione 3.3.1.1), contesto interno: Ambiente interno nel quale lorganizzazione cerca di conseguire i propri obiettiv, 1 contesto interno pub comprerdere: (governance, stuituraorganizativa,ruo@ responsabita; poltiche, obit strategie che sono in ato per conseguti = lecapact ntesein termini isorsee conoscenca (per esempo, celle, tempo, persone, process ‘Satomi etecolgie) sistem ivormati, toss i informazioni e process decisional (sa formal sia normal relazioni coni portatorl dinteresse intern, loro percezinte valor la cultura del organizzazione: norme,lnee guide e madel adotaidalorganizzazione; © forma ed estensione dole relazioi contatual [Guida 180 78:2009, definizione 3.3.1.2] uniiso stoco2010 oun Pagina’ UNIstore 2:12 243 244 245 216 2a7 218 015 380620 tea tee? oa ont ow? Now Now ow? oma ows Now non Nona Noma ‘comunicazione ¢ consultazione: Procossi continui ed iterativi che un’organizzazione: altua per fornire, condividere od ollenere Informazioni © per coinvolgere i portal itorasse (2.13) in un dialogo riguardante la gostione del rischio (2. 1). Uinformazione oub riquardare Vesistenze, la natura, la forma, a verosimiglianza (2.18), a significa, la pponderaziona, Faccetabilla 2 tattamento dela gestion del isctio La conauttazione & un processo bidiezionale cl comuricazione informata tra un organizzazione ei prop pottaor dinteresse su una questione a monte dol processo decsionale o sulla determinazione di una slrezione su tale questione, La consutazione ‘un processo che impatta su una decisione eseritandoinfuenca putosto che autor; © ‘un elemento in ingresso al processo decsionale, non un processo decisionale congiunto. [Guida ISO 73:2009, detinizione 3.2.1] portatore d’interesse: Persona od organizzazione che pud intluenzare, essere influenzata dda, o percepire se stessa come influenzata da una decsione o altivita Un response delle decisioni pu essere un potatoe dintresse. [Guida 73:2009, detinizione 3.2.1.1] valutazione del rischio: Processo complessivo di identificazione del rischio (2.15), analisi del rischio (2.21) e ponderazione del rischio (2.24), [Guida ISO 73:2009, definizione 3.4.1] identificazione del rischio: Processo di ricerca, individuazione e descrizione dei rischi (21). Ldentcaztone dl sschio implica identicazone dele font dl rischio (216), degli eventl (2.17), retatve cause o del oro potenzial consequenze (2.1) Lidenttcazione del riscio pub implicare Fesame di dati stoic, analsi leoriche, opinion! basate su conascenze precise e su parer di espert, ed esigenze del portato interesse (213) [Guida 180 73:2009, definizione 3.5.1] fonte di rischio: Elemento che da solo o in combinazione con altri possiode t potenziale intrinseco di originave il rischio (2.1). Una fonte di rischio pud essere tango intangible, [Guida 1$0 73:2009, detiniziono 9.5.1.2] evento: 1! veriticarsi oil moditicarsi di un particolare insieme ai circostanze. Un evento aud consstere in una o pit episode pud avere diverse cause, Un evento pudconsisere ne non vetiicars di qualeos, ‘Avole 6 ci si pu rier adun evento come un “incident” o “evento stavorevole” ‘Ad un evento senza conseguenze (2.18) csi pub anche sere come un “near miss, ncidente’ “near Fit "chose cal [Guida ISO 73:2009, detinizione 3.5.1.3} conseguenza: Esito di un evento (2.17) che influenza gli obietiv Un evento pudporlaread una gamma di consequenze. Una conseguenca pud essere cera incerta @ pud avee elt positvio negatv sugt obiat Leconseguenze possono essere espresse in modo quantatve o quaitativo. ‘Le conseguenzeinizial possono aggravarsalrverso ete indrtt (per esempio eteto domino) [Guida ISO 73:2009, definizione 3.6.1.3), UNIIS0 310002010 UN Pagina 5 UNistore 219 220 221 222 2.23 2.24 225 2015 - 380620 Now Nowe oa Now? nowt nome ate ote? Nas ‘verosimiglianza; possibilita: Plausibilta di un accadimento ipotizabile. Nella terminologia della gestione del rischio, il termine ‘verosimiglianza” (possibilta) @ utilizzato per riterirsi ala plausbita di un accadment ipotzzabie sia essa della, misuaa,deteminta oggtivamente 0 soggetivamente, qualtatvamente © quanktavamente,e descita uizendotemii generico metematc {came pratt frequenza con rietineno ad un data intarvao tempo). 1 tormineanglosassone “ikelnood non ha un dretoequant in alte Hingue; none, 6 sposco ust i termine equivalenteoi“prbabilit’ Tutavia, in ingles, #torine ‘probate spessointerpetalo in senso testo come termine matomatco, Pertanto, nel terinologja dla gestone del sci, terine ‘athood" ampia, come a i termine “probaly in ala ingue dvrse dalinglese [Guida ISO 73:2009, definizione 3.6.1.1], uiizato con faccezione oid profilo di rischio: Descrizione di un qualsiastinsieme di risehi (2.1) Linsiome dei ischi pub contener quolirlati alinteraorgaizzazione, pare di ess, oaliment dein [Guida 180 79:2009, definizione 3.8.2.5] analisi del rischio: Processo di comprensione della natura del rischio (2.1) e di determinazione del livelto di rischio (2.2.3) {Lanai del rischiofornisce a base pela ponderazione del rischio (2.24) ele dacison cia i trattamento dol rischio (225), Ltanlsi del ischio comprende a misurezione del sce, [Guida 180 73:2009, definizione 3.6.1] Criteri di rischio: Termini di rterimento a tronte dei quali é valutata la signiicatvita del rischio (2.1) iter isch si basano sug obit dell oxganizzazioneesulcontastoesterno (2.10 od interno (211). Letter scho possono aver origine da narme, legal pliiche eal emus [Guida 180 79:2009, detinizione 3.9.1.9} livello di rischio: Espressione quantitativa di un rischio (2.1) 0 combinazione di rischi, espresso in termini di combinazione di consequenze (2.18) e della loro verosimiglianza (2.19). [Guida 180 73:2008, detinizione 3.6.1.8] ponderazione del rischio: Processo di comparazione dei rsultat dell'analisi del rischio (2.21) rispetto ai eriteri di rischio (2.22) per determinare se il rischio (2.1) e/o la sua espressione quantitativa sia acceitabile o tolerabile La ponderazine de rischio agevoa la decsione cca itrattamento del rschio (225), [Guida 180 73:2009, definizione 3.7.1) trattamento del rischio: Processo per modifcare il rischio (2.1) Wtratamento dl ischo pub impcare: ‘etre il riscio decidendo di non inane o non continua tiv che da oiine ad ess0, _assuinere oaumentare esposiion al rischio ane coger urtopporhnit; riuover la font ol rischio (2.16); rmodiicar la verosimiglianza (219); rmodiicare e conseguenze (2.18), concider il ischio con alte) parte( (compres conta efnanziamerto de shia; & fener il isch con una decision informata | Watamenti del rischio che afrontano corseguenze negative sono lalalta denominal ‘protezione dal ‘isco’, “eliminazione del ischio", "prevenzione del isto’, e “duzone del schio™ lvattamento del isco pub generare nucv sch o mosicar sch esstet [Guida ISO 73:2009, definizione 3.8.1} LUNI80 310002010 ‘oun Pagina? UNistore - 2015 - 380820 2.25 227 2.28 2.29 tow ow? Mots ow? es controllo: Misura cho sta modiicando il rischio (2.1), | controll comprendono qulsiasi processo, police, dispsivo, passioalteazion che modtcanoil isch. Non sempre i contol possano eserciae feta intoso o presunto, [Guida ISO 73:2009, definizione 3.8.1.1) rischio residuo: Rischio (2.1) rimanente a seguito del trattamento del rischio (2.25) I scho residue pv comprerder isch non dena. Ifiscioesduo pd anche essere noto come ischotenuta [Guida ISO 73:2009, detinizione 3.6.1.6] monitoraggio: Veritica, supervisione, osservazione eriica o determinazione in continuo dallo stato al fine didentiticare variazioni rispeto al livelo di prestazione riciesto o atteso. 1 moniraggio pub essere appcto ala stuttura di riferimento per la gestione del rischio (29), a processo di gostione del rischio (28), al rischio (2.1) oa contralto 2.26) [Guida ISO 78:2009, definizione 3.8.2.1) riesame: Atvitaeffettuata per riscontrare lidoneita, 'adeguatezza e Vetficacia di qualcosa a conseguice gli obittiv stabil Ilviesame pub essere epplicato ala struttura di itrimento per la gestlone del rschio (2.3), processo di gestione del rischio (22), rischio (21) o controlo (226). [Guida ISO 73:2009, definizione 3.8.2.2.) 3 PRINCIP! Per far si che la gestione del rischio sia efficace, un‘organizzazione dovrebbe, a tutt | livel, sequire i principiriportati nel seguito. a) La gestione del rischio crea e protegge il valore, La gestione del rischio contribuisce in maniera dimostrabile al raggiungimento degil obiettivi ed al miglioramento della prestazione, per esempio in termini di salute © sicurezza delle persone, security’, rispetto dei requisitl cogent, consenso presso opinion publica, protezione doti'ambiente, qualita del prodotto, gestione dei progett,elficienza nelle operazioni, governance e reputazione, b) La gostione de! rischio 8 parte intogrante di tutti i processi dell’organizzazione. La gestione del rischio non @ un’attvita indipendente, separata dalle aitivita e dai process! principali_del’organizzazione. La gestione del rischio fa parte delle Fesponsabilila della direzione ed @ parte integrante di tutii i processi doll organizzazione, inclusi la pianiticazione strategica e tutti processi di gestione det progetti e del cambiamento. ©) La gostione del rischio 6 parte dol proceso docisionale, La gestione del rischio aiuta i responsabili delle decisioni ad eifettuare scette consapevol, determinare la scala di priotita delle azioni e cislinguere tra linee di azione alternative. 4) Lagestione dot rischio tratta esplicitamente 'incertezza. La gestione del rischio tiene conto esplcitamente dellincertezza, della natura di tale incertezza e di come pud essere affrontata. ©) La gestione del rischio é sistematica, strutturata e tempestiva. Un approccio sistematico, tempestivo e stutturato alla gestione del ischio contibuisce all'eficienza ed a risultati coerent, confrontabili ed affidabil Noa Nazionale: per “Securiy’ i intnde la preverzione eprclezione per event in orevalenza di nara dolsa elo ‘coposa che posseno danmaggiare le rsorse material, material organzztve e umane d cul unorganizazione dspone o acu necessta per gatas: uadeguata capacta oparatia nel bree, rel mado nel lungo trmine (a0atiarero dla dotinone a secwiy ence dota UNI 10559-1995), LUNIISO 310002010 OW Pagina 8 UNistora - 2015 380620 La gestione del rischio si basa sulle migliori informazioni disponibili. Gli elementi in ingresso al processo per gestive il rischio si basano su fonti di informazione quali dati storici, esperienza, informazioni di ritorno dai portatori dinteresse, osservazioni, previsioni e parere di specialist. Tuttavia, i responsabil delle decision! dovrebbero informarsi, @ teneme conto, oi qualsias’ limitazione dei dati 0 del modello utilzzati o della possibiita di divergenza di opinione tra gli specialist 4g) La gestione del rischio é “su misura”. La gestione del rischio @ in linea con il contesto esterno ed interno e con il profilo di Fischio delorganizzazione. h) La gestione del rischio tiene conto dei fattori umani e cultural. Nel'ambito della gestione del rischio individua capacita, percezioni e aspettative dalle persone esterne ed interne che possono faciltare o impedire il raggiungimento degi obiettivi del organizzazione. i) Lagestione del rischio & trasparente e inclusiva. |i coinvolgimento appropriato e tempestivo dei portatori dinteresse @, in particolare, det responsabili delle decisioni, @ tutti vel del'organizzazione, assicura che la gestione del rischio rimanga pertinente ed aggiomata. II coinvolgimento, inottre, permette che i portatori 'interesse siano opportunamente rappresentall e che i loro punti di vista siano presi in considerazione nel definire i criteri di rischio, ji) Lagestione del rischio é dinamica, iterativa e reattiva al cambiamento, La gestione del rischio @ sensibile e risponde al cambiamento continuamente. Ogni qual volta accadono eventi estemi ed intemi, cambiano il contesto e la conoscenza, si attuano il monitoraggio ed il riesame, emergono nuovi rischi, alcuni rischi si moditicano ed altri scompaiono. k) La gestione del rischio favorisce il miglioramonto continuo dell’organizzazione. Le organizzazioni dovrebbero sviluppare ed altuare strategie per migliorare la maturita della propria gestione del rischio insieme a tutti gli altri aspetti della propria organizzazione. Lappendice A fornisce ulteriori consigli per le organizzazioni che desiderano gestive i rischio pls efficacemente. 4a STRUTTURA DI RIFERIMENTO Generalita II suecesso della gestione del rischio dipende dai'etticacia della struttura gestionale di ‘ifetimento che fornisce le fondamenta e gli asset per integrare la stessa gestione del rischio nel'ntera organizzazione a tutti livell La struttura di riferimento aluta nel gestire {rischi efficacemente mediante lapplicazione del processo di gestione del rischio (vedere punto 5) ai vari lvl e nel’ambito del contesti specific dellorganizzazione. La struttura di fiferimento agsicura che le informazioni relative al rischio, ottenute dal processo di gestione del rischio, siano adeguatamente riferite @ utilzzate quali base per il processo decisionale e la responsabilta a tut i livell pertinenti delforganizzazione. I presente punto descrive i component necessari della strutiura di riferimento per gestire il fischio e la modaiita con cui essi sono posti in relazione in maniera iterativa, come iMustrato in figura 2, UNTiso310002010 ‘OU! Pagina UNIstore - 2015 - 380620 42 Progettazione ella steuttura di iferlnento per gestive ischio (43) ‘ComprendereForganizzzzionee i suo camesto (43.1) Stabilize la politica per la pestone de ischio (42.2) Respossabiliti (43.3), \ Intograzione ne possssiorganizzativi (4.3.4) Risorse (1.35) Stabilize i maccanistn di comunieazione e reponting ite (4.36) ‘Stabe i mascanistn di comunieazione e reporting esterai 43.7) ‘Attuare a gestione del rischio (4.4) “Aare la siuttura di sifeimento per geste i isco 44.1) ‘uate il process di gestione del rischio (4.4.2) Monitoraggio resame della struttura i iferimento (45) La presente struttura di riterimento non @ concepita per imporre un sistema di gestione, {quanto piutiosto assistere l'organizzazione nellintegrare la gestione del rischio allinterno del suo sistema ci gestione complessivo. Pertanto, le organizzazioni dovrebbero adatiare i componenti della struttura di riferimento alle loro specttiche esigenze. Nel caso in cui le prassi ed i processi gestionali esistenti di un’organizzazione comprendano componenti di gostione dol rischio 0 se Torganizzazione avesse gia adotiato un proceso formale di gestione del rischio per alcune particolaritipologie di rischio o situazioni, questi dovrebbero essere riesaminati crticamente e valutatia fronte dolla presente norma intemazionale, compresi gi atibuti di cul al'appendice A, al fine di determinare la loro adeguatezza ed ettficacia. Mandato e impegno Lintroduzione della gestione del rischio e l'assicurazione della sua continua efficacia Fichiedono un impegno forte e costante da parte della direzione dell organizzazione, cos! ‘come una pianificazione strategica e rigorosa per ottenere tale impegno a tutti liveli La direzione dovrebbe: definite e sottoscrivere una politica per la gestione del rischio; = assicurare che la politica per la gestione del rischio sia in linea con la cultura dallorganizzazione; = determinare indicator’ di prestazione della gestione del rischio che siano in linea con gil indicator’ di prestazione del’organizzazioné allineare gli obiettvi della gostione dol rischio con gli obiettivi e le strategie dell organizzazione; assicurare il rispetto dei requisiti cogent; UNI 180 310002010, OUN Pagina to UNIstore 43 43.4 43.2 2015 - 380620 assegnare i vari gradi di responsabifté ai livelli appropriati allinterno delforganizzazione; agsicurare che alla gestione dol rischio siano allocate le risorse necessarie; comunicare ai portatori dinteresse i benefici della gestione del rischio; © = assicurare che la sirutiura di riferimento per gestire il rischio continu ad essere appropriata, Progettazione della struttura di riferimento per gestire il rischio ‘Comprendere lorganizzazione ed il suo contesto Prima d'iniziare la progettazione e Vattuazione della struttura di riferimento per gestre i Tischio, @ importante valutare e comprendere il contesto del'organizzazione, sia inter, sla esterno, poiché questi possono influenzare signlicativamente la progettazione della struttura medesima, La valutazione del contesto esterno all'organizzazione pu includere, ma non é limitato a! a) ambiente sociale, culturale, politico, cogente, finanziario, tecnologico, economico, naturale & competitvo, a livello intemazional, nazionale, regionale o locale; b) _elementi determinanti e tendenze fondamentali che hanno un impatto sugli obettivi dellorganizzazione; © ©) relazioni con i portatori d'nteresse ester, loro percezioni e valori. La valutazione del contesto interno alforganizzazione pud includere, ma non é limitato a: = governance, siruttura organizzativa, ruolle responsabilta; = politiche, obiettivie le strategie in atto per il loro conseguimento; + capacita, intese in termini di risorse e conoscenza (per esempio capitale, tempo, persone, processi, sistemi e tecnologia); sistomi e fluss!informativi, processi decisional (sia formal sia informal); = felazioni con | portatori d'interesse interni, loro percezioni e valori; ~ lacultura detorganizzazione; norme, linge guida © modell adottati dallorganizzazione; e la forma e Festensione dolle retazioni contrattual Stabilre la politica per la gestione del rischio La politica per la gestione del rischio dovrebbe definite chiaramente gli obiettiv, ed il relativo impegno, per la gestione del rischio e tipicamente tratta quanto segue’ ~ _ilfondamento logico deltorganizzazione per gestire il rischio: = ilegami tra gli obiettivi del organizzazione, le poiltiche e la politica per la gestione del rischio; + ivari gradi di responsabilita per gestie ilrischio; = modo in cui sono trattati i confit dinteresse; = Hmpegno di rendere disponibili 1 risorse necessatie per supportare color che hanno i vari gradi di responsabilta per gestie il ischio; = ilmado in cul viene misurata e rterita la prestazione relativa alla gestione del rischio; Vimpegno a riesaminare e migliorare periodicamente, @ in risposta ad un evento o ad un cambiamento di circostanze, la politica per la gestione del rischio e a struttura di riferimento, La politica per la gestione del rischio dovrebbe essere adeguatamente comunicata, UUNIISO s100a.2010 CUNT Pagaatt UNIstore 43.3 434 435 436 2015 380620 Responsabilita LLorganizzazione dovrebbe assicurare che vi slano responsabilita, aulorta e competenza appropriate per gestir il rischio, compresiattuazione e il mantenimento del processo di 4gestione del rischio e Vassicurazione della sua adeguatezza,elficacia ed efficienza di tutti i controll, Cid pud essere facilitato medianto: Videntiticazione dei titolati del rischio che detengono la responsabilita ¢ autor gostire | rischi, per Videntificazione di chi deve render conto dollo sviluppo, attuazione, e ‘mantenimento della struttura di riferimento per gestre il rischio; = identifieazione delle altre responsabilité, riguardanti il processo di gestione del rischio, per le persone a tutti iveli nelorganizzazione; = stabilendo processi per la misurazione delle prestazioni, peril reporting esterno eo interno ¢ per il coinvolgimento det lvelli gerarchicl; © ''assicurazione di approprat live di riconoscimento, Integrazione nei processi organizzativi La gestione del rischio dovrebbe essere incorporata in tutte le prassi © process! dellorganizzazione, in una maniera tale da essere pertinente, efficace ed efficient Iiprocesso di gestione del rischio dovrebbe diventare parte di tai processi organizzativi e non essere separato da essi. In particolare, la gestione del rischio dovrebbe essere Incorporata nello sviluppo della poltica, nella pianificazione strategica e commerciale, nel loro riesame, e nei processi di gestione del cambiamento. Dovrebbe esistere un piano di gestione del rischio riguardante 'intera organizzazione per assicurare che sia attuata la politica di gestione del rischio e che la gestione del rischio sia integrata in tutte la prassi e tutti processi dellorganizzazione. II piano di gestione del rischio puo essere integrato in altri piani dell organizzazione, come un plano strategico, Risorse Lorganizzazione dovrebbe assegnare risorse appropriate per la gestione del rischio. Dovrebbe essere preso in considerazione quanto segue. le persone @ le loro abilta, esperienza e competenza; lo risorse necessarie per ciascuna fase del proceso di gestione del rischi = I processi, 1 metodi e gli strumenti dellorganizzazione da utilizzare per gestire il rischio; - process! e le procedure documentat ~ {sistem di gestione deltinformazioni e della conoscenza; & = | programmi di formazione-addestramento. Stabilire i meccanisi Lorganizzazione dovrebbe stabilite i meccanismi di comunicazione e reporting intern al {ine di supportare e incoraggiare la tesponsabilita¢ la presa in carico del rischio. Questi ‘moccanismi dovrebbero assicurare che: i comunicazione e reporting intern = | componenti chiave della struttura di riterimento per la gestione det rischio, e qualsiasi successiva modifica, siano adeguatamente comunicati; vi sia un adeguato reporting interno circa la struttura di riferimento, la sua efficacia @ gliesiti; |e Informazioni pertinenti derivanti dall'applicazione della gestione del rischio siano disponibil al lvellie nei tempi appropriate = visiano processi di consultazione con | portatori dinteresse intern Questi mecanismi dovrebbero, ove appropriato, includere processi per consolidare le Informazioni relative al rischio provenienti da varie fonti, ed & probabile che sia necessario prendere in considerazione la dolicatezza delle informazioni UNIISO 310002010 UN Pagnat2 UNIstore - 2016 43.7 44 444 442 45 ‘380620 Stabilre | meccanismi di comunicazione e reporting esterni Lorganizzazione dovrebbe sviluppare a altuare un piano circa le modalita di comunicazione con i porlatori dinteresse ester. Cid dowrebbe implicare: = il coinvolgimento di portatori dinteresse esterni appropriati @ 'assicurazione di uno cambio dinfarmazioniefficace; + laconformita det reporting estemo ai requisiti cogenti e di governance; = Facquisizione i informazioni di ritmo e rapporti sulla comunicazione consultaziono; + futiizzazione della comunicazione per oteare _fiducia_nei_contronti del'organizzazione; @ = la comunicazione con i portatori d’interesse nel caso di una crisi o di un'emergenza, uesti meccanismi dovrebbero includere, ove appropriato, processi per consolidare le Informazioni relative al rischio provenienti da varie fonti, ed & probabile che sia necessario prendere in considerazione la delicatezza della informazioni. Attuare la gestione del rischio Attuare fa struttura di riferimento per gestire il ischio ‘Noltattuazione della strutura ai rterimento delforganizzazione per gestie il rschio, essa dovrebbe: = define ta tempisticae la strategia appropriate per attuare la siruttura a iterimento; - _applicare la politica ¢ il processo di gestione del rischio ai processi organizzativi; + tispettare i requisiti cogenti: = assicurare che il processo decisionale, compresi fo sviluppo ¢ la definizione degli obiettivi, sia in linea con gli esit dei processi di gestione del rischio; - _svolgere session’ di informazione e formazione-addestramento; & = comunicare @ consultarsi con i portatorl dinteresse per assicurare che la propria struttura di iferimento por la gstione dol rischio rimanga adoguata, ‘Attuare il processo di gestione del rischio La gestione del rischio dovrebbe essere attuata mediante 'assicurazione che il processo «di gestione del rischio, detineato al punto 5, sia applicato attraverso un piano di gestione del rischio a tutt vel e funzioni pertinent delforganizzazione, come parte delle proprie prassi e processi Monitoraggio e riesame della struttura di riferimento A fine di assicurare che la gestione del rischio sia e'ficace e continui a supportare la prestazione dellorganizzazione, quest uitima dovrebbe: misurare la prestazione della gestione det rischio a fronte dincicatori, che siano petiodicamente riesaminati in termini di adeguatezza; misurare periodicamente | progressi a fronte del piano di gestione del rischio e gli eventual scostamenti da ess0; - accertare periodicamente se la struttura di riferimento, la politica e il piano di gestione del rischio siano ancora adeguati, dato il contesto esterno ed interno deV'organizzazione sierite circa I rschio, progress relativi al piano di gostione det rischio o il velo di adesione alla politica per la gestione del rischio; € riesaminare letticacia delta struttura i riterimento per la gestione del rischio. UNI1s0 310002010 UN Paginas UNIotore - 2015 - 380820 46 Miglioramento continuo della struttura di riferimento Le decisionl su come la stuttura di iterimento, la politica ei piano d gestione det rischio possano essere migliorali dovreblero essere prese sulla base dei risultat dimonitoraggio € riesame. Tall decisionidovrebbera portare a migloramenti da parte del oxganizzazione nla gestione del rischio e nella rolativa cultura 5 PROCESSO 5A Generalita Il processo di gestions del rischio dovrebbe essere: una parte integrante della gestione; incorporato nella cultura e nelle prassi (delorganizzaziono); © adattato ai processi di business delforganizzazione. Esso comprende le ativita descrite nei punti da 52 a 56. II pocesso di gestione del tischio@ ilustrato in figura 3 ine Processo di gestions dol rischio 1 -—-[_etnrenromenos3y | Vataarione del isco (5a) dewicazione del rihio (642), Connunicarione 1 rt : Ais dl isha (543) \+| 7 62) Go 1 Ponderezione ds isco Sty ]—fe| i J-—-[ Trananenwo detriscio ss) |-—a| T 52 ‘Comunicazione e consultazione La comunicazione e la consultazione con i portatordinteresse estemi e interni dovrebbe aver luogo durante tutte le fasi del proceso di gestione del rischio, Pertanto, i piani per la comunicazione e la consultazione dovrebbero essere sviluppatl in Una fase iniziale. Questi dovrebbero trattare question riguardant il rischio in sé, le sue cause, conseguenze (se note) e le misure prese per il relativo trattamento. UUNI180 310002010, UN Pagina 14 UNistore 53 53.1 53.2 2015 380820 Una comunicazione e consultazione esterne edinterne elficaci dovrebbero aver luago per assicurare che chi cleve rencere conto per atluazione del processo di gestione del rischio ed i portatori d'interesse comprendano su quali basi sono prese le decisioni ¢ le ragioni per cui sono richieste particolar azioni Un approceio ai squadra alla consultazione potrebbe: = aiutare a definite il contesto in modo appropriato; = _assicurare che le esigenze dei portatoriclinteresse siano comprese ¢ considerate; - alutare ad assicurare che | rischi siano adeguatamente identilicatl; ‘mottere insieme diverse arco di competenza per analizzare irischi; = assicurare che siano presi in considerazione in misura appropriata differenti punti di vista quando si detiniscono i criteri di rischio ¢ si ponderane | rischi; = garantire approvazione e supporto per un piano di trattamento; - Inlensificare un‘appropriata gestione del cambiamento durante i proceso di gestione del rschio; © = sviluppare un piano appropriato per la comunicazione @ la consultazione interne ed esteme, La comunicazions @ la consultazione con i portatori d'interesse sono importanti poiché essi emetiono giudizi sul rischio in base alle proprie percezioni. Queste percezioni possono variare per le differenze nei valor, esigenze, ipotesi, opinion e preoccupazion| dei portatori dinteresse. Le percezioni di quest'ultimi doveebbero essere identifcate, registrate e tenule in considerazione nel processo decisionale, dato che | loro punt di Vista possono avere un impatto significativo sulle decisioni prese. La comunicazione e la consultazione dovrebbero facilitare uno scambio di informazioni sincero, pertinente, accurato e comprensibile, tenendo conto degli aspetti di integrita personale e riservatezza, Definire il contesto Generalita [Nol define il contesto, 'organizzazione articola i propii obiettivi, identiica i parametr esteri ed intemi da tenere in considerazione quando si gestisce il rischio, e stabilisce il ‘campo i applicazione ed i crteri di rischio per il resto del processo. Mentre moltidi quest parametri sono simili a quelli considerati nella progettazione della strutura di riferimento per la gestione del rischio (vedere punto 4.3.1), quando si definisce il contesto per il proceso di gestione del rischio, € necessario considerarli con maggior detiaglio ed in modo particolare come essi sono in relazione con il campo di applicazione dello specitico processo di gestione del rischio. Definire il contesto esterno |i contesto estemo é ambiente estemo nel quale lorganizzazione cerca di conseguire | propti obiettivi La comprensione del contesto esterno é importante al fine di assicurare che gli obiettiv e le preoccupazioni dei portatori diinteresse ester! siano considera nelio sviluppo det citer di rischio. Essa si basa sul contesto relative a tutta lorganizzazione, ma con spectici dettagliiguardanti | requisiti cogent, le percezioni dei portatori diinteresse e alt aspettirelativi ai rischi propri de! campo di applicazione del processo di gestione de! tischio. H.contesto esterno pud comprendere, non limitandosi ad ess = ambiente sociale e culturale, politico, cogente, finanziario, tecnologico, econamico, naturale e competitiva, sia intemazionale, nazionale, regionale o locale; ~ _elementi determinanti e tendenze fondamentali che hanno un impatto sugli obiettvi del organizzazione; @ relazioni con i portator d'interesse estemi, loro percezioni e valori UUNI1s0 s1000:2010 UN Pagina 5 UNIstore - 2015 5.33 534 sa0620 Definie il contesto interno | contesto interno & ambiente interno nel quale Vorganizzazione cerca di conseguire i propri obiettv. i processo di gestione del rischio dovrebbe essere in linea con la cultura, i processi, la struttura e la strategia del’organizzazione. II contesto Intemo qualsiasi cosa, allinterno dalla stessa organizzazione, che pud influenzare il modo in cui un’organizzazione intende _gesiifeilrschio. Esso dovrebbe essere definito poiché: a} la gestione dol rischio avviene nel contesto dogi obiattivi delorganizzazione; b) gl obietivi ed i crter di un partcolere progetto, processo o altvita dovrebbero ‘essere considerati alla luce degli obietivi doll organizzazione nel suo complesso; & ¢) _alcune organizzazioni non riescono a riconascere le opportunité per conseguire i propri obiettivi strategici, progettuali o di business, e cid influenza continuamente impegno, la credibilita, la fiducia ed il valore dellorganizzazione. nevessario comprendere il contesto interno, Cid pub comprendere non limitandosi ad 35: governance, struttura organizzativa, ruoli e responsabilta; politche, obiettvi,¢ le strategie in atto per raggiungerli; capacita, intesa in termini di risorse @ conoscenza (per esempio capitale, tempo, persone, process, sistemi e tecnologie); le relazioni con i portatori dinteresse intern, le loro percezioni ed iloro valori; la cultura delorganizzazione; sistemi ¢ fluss! informativi, processi decisionali (sia formali sia informal); norte, linee guida e modell adottati dallorganizzazione; © forma ed estensione delle relazion| contrattual Definire il contesto del proceso di gestione del rischio Dovrebboro essere stabil gli obiettvi le strategie, i campo di applicazione ed i parametri delle attivita delforganizzazione, 0 quelle parti di essa ove & applicato il processo di gestione del rischio. La gestione del rischio dovrebbe essere Intrapresa con Il pieno ‘ispetto delle esigenze che servono a giustiticare le risorse impiegate nelletfettuare la gestione del rischio medesima. Dovrebbero essere specificate le risorse richieste, le responsabilité ed autorita, e le registrazioni da mantenere attive. Il contesto del processo di gestione del rischio varia in funzione delle esigenze dell organizzazione. Esso pud implicare, non limitandosi a: la detinizione di taguardi e obiettiv delle ativta relative alla gestione del rischio; la detinizione delle responsabilt a tutti lvellidel processo di gestione del rischio; la detinizione del campo di applicazione, cosi come la profondita e l'ampiezza delle altivita relative alla gestione del rischio da effettuare, comprese specifiche inclusioni ‘o esclusioni; la definizione di ativta, processi, funzioni, progett, prodotti, servizio beni in termini di tempo e ubicazione; = la definizione delle relazioni tra un particolare progetto, processo o altvta e altr progett, processio attivta delorganizzazione; + la definizione delle metodotogie di valutazione del rischio; = la definizione della modalita con cui sono valutate la prestazione e Vefficacia della gestione del rischio; + Tidentificazione e la specificazione delle decisioni che devono essere prese; e Tidentiicazione, la definizione dell'ambito di applicazione o la formulazione deg studi necessari la loro estensione ed obiettivi,e le risorse richieste per tali studi Prestare attenzione a questi ed altri tattori pertinenti dovrebbe aiutare ad assicurare che Vapproceio alla gestione del rischio adottato sia appropriato alle circostanze, allforganizzazione ed al rischi che influenzano la realizzazione dei propri obiettiv. LUNI1s0 sicen2010 OUN Pagina té UNIstore 2015 ‘380620 53.5 54 SAA 54.2 5.43 No Define i crteri di rischio Llorganizzazione doviebbe definite | criter da uliizzare per valutare la signiticativté det fischio. | criteri dovrebbero illettere i valor, gi obiettivi¢ le risorse delorganizzazione. Alcuni criteri potrebbero essere imposti o derivare da requisiti cogenti e da altri requisitt sottoscritti dallorganizzaziono. | criteri di rischio dovrebbero essere coerenti con la politica per la gestione del rischio (vedere punto 4.3.2), dovrebbero essere defini allnizio di qualsiasi processo di gostione dol rischio @ sottoposti a riesame in modo continuo. Nolla definizione dei criteri di rischio, | fattori da considerare dovrebbero comprendere quanto segue: Ja natura e i tipi di cause e conseguenze che possono accadere e come misurarle; = come viene definita la verosimiglianza; Vorizzonte temporale della verosimiglianza e/o delle conseguenze; come viene determinato il velo di rischio; | punti di vista det portatori d'interesse; iIlivollo al quale il rischio diviene accettabile 0 tollerabil; © ~ se sidebba tener conto della combinazione di rischi multiple, nel caso, come e quali ‘combinazioni dovrebbero essere considerate. Valutazione del rischio Goneralita La valutazione del rischio @ i proceso complessivo di identificazione, analisi € ponderazione del rischio. Le ISONEC 91010 forrisce una guide sulle tecrche oi valutezione del rischio, Identificazione del rischio Lorganizzazione dovrebbe identificare le fonti di rischio, le aree di impatio, gli event (comprese le modifiche nelle circostanze), le cause e le potenziali conseguenze di questi Lultim’. Lobiettivo di tale fase é quello di generare un elenco completo dei rischi basato su uegli eventi che possono creare, incrementare, prevenite, degradare, accelerare 0 ritardare il raggiungimento degli obiettiv, E importante identilcare i rischi associati al mancato perseguimento di un'opportunita. Lidentiicazione globale @ critica, poiché un rischio non identificato in questa fase non viene considerato nelle analisi successive. Il proceso di identificazione dovrebbe includere i rischi la cui fonte sia sotio il controllo dalla organizzazione 0 meno, anche se la fonte causa di rischio pud non essere manifesta. La identiicazione del rischio dovrebbe comprendere Tesame degli effetti indirett di particolari conseguenze, inclusi gli effet a cascata o cumulativi (per esempio “elfetto domino’), Essa dovrebbe inollre considerare un'ampia gamma di conseguenze anche se la fonte o causa di rischio pud non essere manifesta, Oltre a identticare cid che pud accadere, necessario considerare le possibill cause e scenari che mostrano quali ‘conseguenze possono aver !uogo. Dovrebbero essere considerate tutte le cause @ ‘conseguenze significative. Lorganizzazione dovrebbe applicare strumentie tecniche d'identiicazione adatti ai propri obiettivi e capacita ed ai rischi cui far fronte. NelVdentiticazione dei rischi sono importanti Informazioni pertinenti ed aggiornate. Queste, ave possibile, dovrebbero comprendere appropriate informazioni derivanti da conoscenze ed esperienze pregresse. Nelidentiicazione det rischi dovrebbero essere coinvolte persone con appropriate conoscenze. Analisi del rischio Lanalisi del rischio implica lo sviluppo di una conoscenza del rischio. Essa fornisce i dati in Ingrosso alla ponderazione del rischio e alle decisioni circa la necesita o meno di lrattamento del rischio, nonché riguardo le strategie ed | metodi di traltamento pit appropriati LN s0 st002010 UN Pagina 7 544 55 55.1 UNIstowo - 2016 - 380820 analisi del rischio pud anche fornire doi datt in ingresso al proceso decisionale, dove devono essere elfettuate delle scelte e le opzionl disponibil comportano different tipi € livel i rischio. Lanalisi del sischio implica considerazioni sulle cause e fonti di rischio, le loro conseguenze positive o negative, @ la verosimiglianza del loro accadimento. | fattori che influenzano conseguenze e verosimiglianza dovrebbero essere identiticat. II rischio & analizzato mediante la determinazione delle conseguonze e la telativa verosimiglianza e altri attributi del rischio. Un evento pud avere molteplici conseguenze ¢ pud avere Influenza su pid obiettivi. | controll esistenti e la loro elficacia ed efficienza dovrebbero anch’essi essere presi in considerazione. I modo in cui le conseguenze e la verosimiglianza sono espresse e la modalita in cui sono combinati per determinare iI lvello di rischio dovrebbero ritlettre II tipo ai rischio, le Informazioni disponibili elo scopo per cui I dati in uscita dalla valutazione del rischio devono essere utiizzati. Questi dovrebbero essere tutti coerenti con i criteri di rischio. E inoltre importante considerare linterdipendenza tra ditferenti rischi e relative font Lacontidenza nella determinazione del lvelio di rischio e la sua sensitvita a precondizioni ed ipotesi dovrebbero essere considerate nell’analisi e comunicate efficacemente ai esponsabili delle decision! e, quando appropriato, ad alti portatori diinteresse. Dovrebbero essere specificat, e possono essere evidenziati fattori quali divergenze di opinioni tra gli espert, incertezza, disponibiita, qualita, quantita e continua attualté delle informazioni, o limiti nella modellazione. Lanalisi del rischio pud essere intrapresa con vari livelli di dettaglio, in funzione del rischio, dello scopo del'analisi e delle informazioni, dei dati e delle risorse disponibil Lanalisi pud essere qualitativa, seri-quantitativa o quanttativa, 0 una combinazione di queste, in funzione delle circostanze. Le conseguenze € Ia loro verosimiglianza possono essere determinate mediante la modellazione degli esiti di un evento o di un insieme di event, 0 altraverso una estrapolazione da studi sperimentali 0 dai dati disponibil. Le conseguenze possono essere espresse in termini di impatti tangibill e intangibil. In alcuni casi, allo scopo di speciticare le conseguenze e la loro verosimiglianza in tempi, luoghi, gruppi 0 situazioni differenti @richiesto pit di un valore numerico o di un termine deseritvo. Ponderazione del rischio Lobiettivo della ponderazione del rischio é di agevolare, sulla base degli esti del'analisi del rischio, | processi decisional riguardo a quall rischi necessitano un trattamento e le relative priorita di attuazione, La ponderazione del rischio implica il confronto tra il livelo di ischio trovato durante it ‘processo di analisi od i criteri i rischio stabilt! durante 'esame del contesto, La necesita ditrattamento pud essere considerata sulla base di questo contronto. Le decisioni dovrebbero tenere conto del pit: ampio contesto riguardante il rischio & comprendere la considerazione della tolleranza dei rischi sopportata dalle parti, diverse dalVorganizzazione, che possono trarre benefici dal rischio. Le decision! dovrebbero essere prose nel rispetto dei requisiti cagenti e di altro tipo. In alcune circostanze, la ponderazione del rischio pud portare ad una decisione dintraprendere ulterior! analisi. La ponderazione del rischio pud anche portare ad una decisione di non sottoporre ad ulteriore trattamento il rischio, ma limitarsi a mantenere attivi | controll esistenti, Questa decisione @ influenzata dalla propensione al rischio delorganizzazione e dai criter di rischio stabil Trattamento del rischio Generalita 1 trattamento del rischio implica la selezione di una o pits opzioni per modificare irischi e Vattuazione ai tali opzioni Una volta attuatj, i trattamentiforniscono o modificano i controll UNiIsos10002010 OUN Pagna ts UNistore - 2015 55.2 553 380620 trattamento del rischio comporta un proceso cicico di valutazione di un tratlamento del rischio; = decisione circa la tollerabilit de tiveli di rischio residuo; se non tollerabile, gonerazione di un nuovo trattamento del rschio; © ~ valutazione delelficacta di tale trattamento, Lo opzioni di trattamonio dol rischio non sono necessariamente incompatibili tra loro 0 adaite a tutle le circostanze. Le opzioni possono comprendere quanto segue: a) evitare il rischio decidendo i non awviare 0 continuare altivita che comporta Vinsorgere del rischio; b)_assumere o aumentare il rischio al fine di perseguire une opportunita; €) rimuovere la fonte di rischio; 4) moditcare la probabitta; @)modificare le conseguenze; 1) condividere il rischio con altra parte o parti (compresi contratti o controlo finanziario del rischio); € 9) _titenere il rischio con una decisione informata, Selezione delle opzioni di trattamento del rischio La scelta delfopzione di trattamento del rischio piti appropriata implica il bilanclamento del costi e degli sforzi di attuazione a fronte dei benelici derivanti, tenendo conto dei requisiti cogent! ¢ di alira natura, come la responsabilita sociale © la protezione dell'ambiente. Le decisioni dovrebbero tenere conto dei rischi che comportano un trattamento non glustiicabile dal punto di vista economico, per esempio rischi severi (elevate conseguenze negative) ma rari (bassa probabilta) Un certo numero di opzioni di trattamento pud essere considerato © applicato sia singolarmente sia in combinazione. Llorganizzazione pud generalmente beneticiare delladozione di una combinazione di opzioni di traitamento. Quando si selezionano opzioni di trattamento del rischio, lorganizzazione dovrebbe ‘considerare i valori e le percezioni dei portatori dinteresse @ le modalita pit appropriate per comunicare con loro. Ove le opzioni di trattamento possano impattare sul rischio, altrove nollorganizzazione o sui portatori d'interesse, questi dowebbe essere coinvolti nella decisione. Benché altrettanto efficaci, alcuni trattamenti del rischio possono essere pit: accettabil per taluni portatorid'interesse piuttosto che per altri II piano ai trattamento dovrebbe identificare chiaramente Vordine di priori in cut | singoli ‘rattamenti del rischio dovrebbero essere attuat. II trattamento stesso del rischio pud introdurre rischi, Un rischio signiticativo pud essere ilfalimento o linetficacia delle misure di trattamento, E necessario che il monitoraggio sta una parte integrante del piano di trattamento del rischio per assicurare che le misure rimangano effica I tatamento del rischio pud anche introdurre rischi secondari che necessitano di essere valutat, trattat, monitorati e riesaminati. Questi rischi secondari dovrebbero essere Incorporati nel medesimo piano di trattamento del rischio originario e non essere trattal ‘come un nuovo rischio. Il egame tra i due rischi dovrebbe essere identiticato e mantenuto aggiomato, Predisporre e attuare dei piani di trattamento del rischio Lo scopo dei piani di tratiamento del rischio 6 di documentare come te opzioni di trattamento scelte sono attuate. Le informazioni fornite nei piani di trattamento domebbero comprendere’ le motivazioni per la scelta delle opzioni di trattamento, compresi i beneticiattesi da ottenere; ~ | soggetti che devono rendere conto dell'approvazione del piano e quelli responsabill dolla relativa attuazione; Uuntisosron02010 OU Pagnat UNIstore - 2015 56 87 380820 le azioni proposto; i requisit relativi alle risorse, incluse quelle necessarie a far fronte alle emergenze; le misure ed | vincoll riguardanti le prestazioni; | requisit di reporting © di monitoraggio; © la tempistica e la programmazione. | piani di trattamento dovrebbero essere integrati con i processi di gestione dallorganizzazione e discussi con i portatori d'interesse appropriat | responsabili delle decisioni e gli altr portator d'interesse doviebbero essere consapevoli della natura ed estensione del rischio residuo dopo Il tratlamento. 1 rischio residuo dovrebbe essere docunentato e soggelto a monitoraggio, a riesame e, ove appropriato, ad ulteriore trattamento. Monitoraggio e riesame Sia il monitoraggio sia il riesame dovrebbero essere una parte pianificata del processo di

    You might also like