Post on 21-Dec-2018
transcript
TÜV SÜD TÜV SÜD
TÜV ItaliaRISCHIO DI IMPRESA
FOCUS ON STANDARDS
07/12/2012
www.tuv.it
ugo.massarenti@tuv.it
Management Service Division
IL RISCHIO DI IMPRESA
Il rischio complessivo dell‘IMPRESApuò essere scomposto in
economico finanziario patrimoniale da reato (dlgs 231) ambientale del bene / prodotto / servizio legato a comportamenti umani reputazionale, che si articola in:
rischi operativi (vendita, progettazione, distribuzione, approvvigionamento, produzione
i rischi legalirischi strategici
IL RISCHIO : VALUTIAMOLO IN TERMINI DI EBIT %
BLU: ORGANIZZAZIONE CON MEDIO BASSO APPETITO PER IL RISCHIO
ROSSO: ORGANIZZAZIONE AD ELEVATO APPETITO PER IL RISCHIO
Standard “in commercio” maggiormente diffusi di cuiuna Organizzazione dispone per progettare unagestione dei rischi di sistema di:
ISO 9001 qualità => si focalizza sul rischio di prodotto e processo
ISO 14001 ambientale => si focalizza sul rischio di prodotto e processo
OHSAS 18001 sicurezza dei lavoratori => rischio lavoratori (safety)
ISO 27000 sicurezza informatica => rischio di security dei dati
ISO 28000 logistica / supply chain => rischio di continuità fornitura
ISO 22301 businness continuity management => tutti rischi di una organizzazione che ne compromettano la continuità operativa del businness
GLI STANDARD CITATI :- Servono a identificare, analizzare e ridurre il rischio- Spingono a determinare indicatori di efficacia di questa riduzione
(=gestione), attraverso le performance di processi organizzativi- NON PRESCRIVONO l’esistenza di PROCESSO di gestione del rischio di
impresa
SOLO ISO 22301 di fatto richiede il principio SISTEMATICO di determinazione di un processo di gestione del rischio di impresa e quindi della
• ANALISI, VALUTAZIONE, TRATTAMENTO E CONTROLLO• GESTIONE (VALORIZZATA) DEL RISCHIO DI IMPRESA
ISO 22301: EDIZIONE MAGGIO 2012, deriva dalla linea guida ISO 31000- Poco nota- Spesso intesa ERRONEAMENTE come sinonimo della iso 27000 (rischio
IT – security dei dati)
Analisi SWOT schema : ISO 9001
STRENGHT
• Approccio sistemico alla gestione dei rischi di prodotto e processo
• Valutazione della conformità inerente il prodotto servizio
• Valutazione da parte di un organismo indipendente
• Coinvolgimento di tutta l’organizzazione
OPPORTUNITIES
• Integrazione con altri schemi PDCA based
• Riduzione dei costi (passività ambientali, interruzioni attività, assicurativi, due diligence ecc.)
• schema “generalista” e flessibile
WEAKNESSES• Coinvolgimento da parte dei soggetti
apicali non sempre adeguato• Oramai il mercato considera
certificazione iso 9k una commodity(oltre 100 ODC solo in Italia..)
THREAT • Nel 50% dei casi applicati è “fare carta” per
registrare il buon senso: ci si dimentica della 9004
• Scarso riconoscimento dal mercato: ovvero non da alcuna garanzia della qualità del prodotto e servizio (non è nello scopo) né nei rischi indiretti collegati al prodotto / servizio
• mercato inflazionato da parte di tutti gli attori (ODC/Consulenti)
• massiva Perdita di credibilità dello schema
Analisi SWOT schema : ISO 14001:2004
STRENGHT
• Approccio sistemico alla gestione della aspetti ambientali connessi ai processi/servizi aziendali
• Valutazione della conformità legislativa• Valutazione da parte di un organismo
indipendente• Coinvolgimento di tutta l’organizzazione
OPPORTUNITIES
• Fiducia delle parti interessate (es: investitori, clienti, ecc.)
• Riduzione dei costi (passività ambientali, interruzioni attività, assicurativi, due diligence ecc.)
• Elemento utile alla predisposizione di un modello organizzativo Dlgs 231/2001 per i reati ambientali
WEAKNESSES• Coinvolgimento da parte dei soggetti
apicali non sempre adeguato• Gestione dei frequenti
aggiornamenti legislazione ambientale e delle loro applicazioni giuridiche
THREAT • Pensare che il fine sia la certificazione e non la
tutela dell’ambiente• Scarso riconoscimento dell’impegno alla
certificazione da arte delle parti interessate(amministrazioni, enti controllo, enti finanziatori)
• Situazione economica esterna (risorse)e cessazione dei finanziamenti pubblici motore trainante della certificazione in alcune regioni di Italia
Pareto piu’ frequenti NC: schema : ISO 14001:2004
70%
10% 10% 5% 5%0%
10%
20%
30%
40%
50%
60%
70%
80%
mancato adempimentoprescrizioni legislative
cogenti;
osservazioni non gestitenei tempi del regolamento
non adeguato controllo etenuta delle registrazioni
requisito normativocompletamente disatteso
molteplici osservazioniinerenti lo stesso requisito
normativo oppure ilmedesimo processo /area
aziendale
CAUSALI NC - ISO 14K
Analisi SWOT schema : BS OHSAS 18001:2007
STRENGHT
• Approccio sistemico alla gestione della sicurezza (prevenzione)
• Valutazione della conformità legislativa• Valutazione da parte di un organismo
indipendente• Coinvolgimento di tutta
l’organizzazione• Sgravi INAIL (in Italia)
OPPORTUNITIES
• Fiducia delle parti interessate (es: investitori, clienti, ecc.)
• Riduzione dei costi (interruzioni attività, assicurativi, infortuni, malattie, ecc.)
• Elemento utile alla predisposizione di un modello 231/2001
WEAKNESSES
• Coinvolgimento da parte dei soggetti apicali non sempre adeguato
• Gestione dei frequenti mutamenti normativi
THREAT
• Pensare che il fine sia la certificazione e non la tutela della sicurezza e della salute dei lavoratori
• Situazione economica esterna (risorse)
Pareto piu’ frequenti NC : schema : BS OHSAS 18001:2007
45%40%
10%5%
0%
5%
10%
15%
20%
25%
30%
35%
40%
45%
50%
Conformitàlegislativa
Controllooperativo
Registrazioni Varie
Standards per Businness Continuity Management
AS/NZS 4360:2004:Risk Management
ISO27005 (ISO 27005) ISRM
COSA SIGNIFICA BUSINNESS CONTINUITY ?
12
Quando gestiamo un rischio c’è il Costo di opportunità: è il differenziale minimo tra i costi di (almeno) due differenti opportunità possibili per gestire uno stesso rischio.
E’ la misura diretta della efficienza di allocazione di risorse di gestione del rischio.
Tempo e risorse spese per la gestione del rischio potrebbero essere spese per attività più redditizie.
Nelle nostre analisi di rischio teniamo conto del costo di opportunità?
(lo PAGHIAMO sempre e SICURAMENTE)
5 i passi così descritti in iso 31000 (linea guida, non è certificabile)
1.Stabilire il contesto2.Identificare i rischi3.Analizzare i rischi4.Valutare5.Controllare i rischi
STRUTTURA DI GESTIONE PDCA ISO 31000
STRUTTURA DI GESTIONE PDCA ISO 22301
ISO 31010: CONTRIBUTO DELLA VALUTAZIONE DEL RISCHIO
• TOOLS PER VALUTAZIONE DEL RISCHIO
• (non tutti validi per la identificazione del rischio!)
Iso 31010- scelta della tecnica di assessment
conclusioni
• Il rischio dipende da tanti fattori: contesto, appetito, risorse sono elementi basici per caratterizzarlo, ma non sufficienti
• La gestione efficace ed efficiente del rischio impone approccio sistematico
• Il modello ISO 22301:2012 si integra con l’esistente modello di gestione 9001
• L’esistenza di un modello gestionale è corroborata da un modello tecnico esistente (iso 31010)
• E’ possibile fornire assessment di 2° e 3° parte di:- di conformità sistema gestione ai requisiti iso 22301- di efficacia ed efficienza del processo di risk management
Fine intervento – grazie per attenzione