La gestione del rischio a tutti i livelli
Transcript
La gestione del rischio a tutti i livelli
L’IMPRENDITORE UNICO GESTORE DEI RISCHI AZIENDALI? La gestione del rischio a tutti i livelli dell’organizzazione Legnano, 13 ottobre 2015 Incontro GIF – Gruppo Imprenditoria Femminile Incontro GIF RM 13 ottobre 2015 IL PROGRAMMA Obiettivi e contenuti Relatore Testimonianza Programma Presentare metodologie e soluzioni per la gestione del rischio Silvia Cerlesi Amministratore Unico di KEISDATA s.r.l. Pietro Guzzi Responsabile Sistemi di Gestione Qualità e Ambiente della Vito Rimoldi spa • • • • • • • • La metodologia di “Risk Base Thinking” ovvero la definizione di rischio come effetto dell'incertezza sul raggiungimento degli obiettivi aziendali. I principi guida La fase di individuazione La fase di analisi La fase di valutazione La fase di trattamento La soluzione KRC (Knowledge Risk Compliance) di KEISDATA s.r.l. La testimonianza della Vito Rimoldi S.p.A. Incontro GIF RM 13 ottobre 2015 RISK MANAGEMENT ISO 31000:2009 E ISO/TR 31004:2013 Principi e linee guida per la gestione di qualsiasi forma di rischio, che possano avere conseguenze positive o negative, in modo sistematico trasparente credibile e all’interno di qualunque campo di applicazione e contesto Applicata a qualsiasi settore Applicata all’intera vita dell’azienda E’ un framework di lavoro che non è destinato ad essere scopo di certificazione Incontro GIF RM 13 ottobre 2015 IL «RISK BASED THINKING» L’APPROCCIO SISTEMICO AL RISK MANAGEMENT: ISO 31000:2009 La Linea Guida ISO 31000 propone un modello di gestione del rischio e di integrazione dello stesso nel sistema di gestione aziendale, che è applicabile a tutte le tipologie di rischio (strategici, operativi, valutari, di mercato, di compliance, etc.). Le nuove ISO 27001:2014, ISO 9001:2015, ISO 14001:2015, ISO 45001: 2016, pubblicate o di prossima pubblicazione, rendono esplicito e incorporato il concetto di rischio in un approccio di sistema dove è necessario fare una analisi minacce-opportunità. L’approccio per processi, la loro gestione ed interazione, devono avere come obiettivo il raggiungimento dei risultati attesi in accordo con la politica della qualità e la direzione strategica dell’organizzazione. La gestione complessiva dei processi e del sistema di gestione può essere raggiunta tramite la metodologia del Plan-Do-Check-Act (PDCA) con un focus sul “Risk-based thinking” mirato a prevenire effetti indesiderati. Incontro GIF RM 13 ottobre 2015 APPROCCIO MENTALE AL RISK MANAGEMENT Processo a fasi: il passaggio ad una fase successiva richiede di chiudere la fase precedente. Processo ciclico: un evento positivo o negativo non deve essere l’unico innesco del processo, ma sono le azioni di miglioramento o adeguamento a valle della fase di VRM che attivano un nuovo ciclo di RM. Processo ripetitivo: devono essere definiti gli istanti temporali sulla base della probabilità di accadimento e gravità dell’impatto. Processo condiviso: il rischio è composto da elementi la cui conoscenza ed interpretazione è diffusa a tutti i livelli dell’Organizzazione. Richiede una attivazione selettiva e puntuale delle conoscenze possedute dalle persone. Processo culturale: è necessario affrontare e tenere in considerazione il rapporto psicologico che si è creato tra il rischio e la persona che lo ha in carico al fine di eseguire correttamente il processo di analisi e valutazione del rischio. Incontro GIF RM 13 ottobre 2015 “QUANDO LE COSE DIVENTANO DIFFICILI, È IL LAVORO GIUSTO PER UNA DONNA” MOLTE HANNO FRONTEGGIATO CON CORAGGIO LE AVVERSITÀ, ALCUNE HANNO PAGATO CON LA VITA, CON L’ESPATRIO, CON L’EMARGINAZIONE PER LE LORO IDEE E CONVINZIONI; E OGNUNA DI LORO HA LASCIATO UN SEGNO INDELEBILE SUL MONDO Incontro GIF RM 13 ottobre 2015 LA DONNA E LA PROPENSIONE ALLA GESTIONE DEL RISCHIO Esprime il proprio istinto all’analisi e valutazione dei rischi attraverso le diverse modalità che mette in pratica naturalmente Esprime la propria capacità per la definizione di responsabilità su cui attua diverse e articolate modalità di controllo Esprime l’interesse all’aggregazione di persone con caratteristiche complementari e le guida con attenzione Esprime la propria capacità di pianificare e conseguire il raggiungimento dei risultati ………………………………. Incontro GIF RM 13 ottobre 2015 LE DIFFERENZE TRA UOMINI E DONNE (TRATTO DA YAHOO) 27 MAGGIO 2013 Secondo una ricerca di Vanguard, le donne statisticamente spendono più soldi degli uomini senza grandi motivazioni, ma nel mondo degli investimenti sono più serie, equilibrate e misurate. Gli uomini, invece, ricercano in genere rendimenti più alti, sono più avventurosi, intrepidi e curiosi e tendono a sovrastimare le proprie capacità. I risultati sono confermati anche da Boston Consulting Group, una multinazionale che fornisce consulenza strategica di business: le donne sono più prudenti, lungimiranti, accurate nella comprensione del loro profilo di rischio e precise nel fissare i loro obiettivi finanziari. Incontro GIF RM 13 ottobre 2015 IL «RISK BASED THINKING» RISK Process DEFINIZIONE DEL CONTESTO ESTERNO DEFINIZIONE DEL CONTESTO INTERNO METODOLOGIE DI VALUTAZIONE DEL RISCHIO E CRITERI IDENTIFICAZIONE DEL RISCHIO MONITORAGGIO E ANALISI DEL RISCHIO VALUTAZIONE DEL RISCHIO TRATTAMENTO DEL RISCHIO COMUNICAZIONE DECISIONI E MIGLIORAMENTO CONTINUO Incontro GIF RM 13 ottobre 2015 RILEVANZA FASE CONTESTO INTERNO Definisce le caratteristiche specifiche dell’organizzazione: i prodotti e i servizi, la cultura e il patrimonio aziendale in termini di risorse umane, conoscenza, processi, sistemi, tecnologie, relazioni con gli stakeholders interni. Devono essere considerati in modo più dettagliato e soprattutto il loro rapporto con lo scopo del processo di gestione del particolare rischio. Il contesto del processo di gestione del rischio varia a seconda delle esigenze di un'organizzazione. Definizione delle Responsabilità Definizione dei vincoli e delle criticità (rischi) Definizione dell'ambito, così come la profondità e l'ampiezza delle attività di gestione dei rischi da effettuare IMPATTO Contribuisce a migliorare la Chiarezza organizzativa. ESEMPIO DI APPLICAZIONE Nella definizione delle relazioni tra un nuovo progetto, nuovo processo e altri progetti, processi esistenti Nella definizione di un obiettivo strategico il contesto aiuta a comprendere la situazione in sede di definizione dell’obiettivo e l’impatto a livello tecnico, organizzativo e economico Nella definizione dell’impatto normativo il contesto aiuta a stabilire quali vincoli debbono essere presi in carico in quanto oggetto di prescrizioni di legge o in quanto requisiti a cui l’Organizzazione decide volontariamente di aderire. RISK Process Incontro GIF RM 13 ottobre 2015 RILEVANZA FASE CONTESTO ESTERNO Definizione del contesto culturale, sociale, politico, economico il sociale e culturale, politico, giuridico, normativo, finanziario, tecnologico, economico, naturale ambiente competitivo, sia internazionale, nazionale, regionale o locale; gli indicatori e le tendenze che hanno impatto sugli obiettivi dell'organizzazione; rapporti con stakeholder esterni e le percezioni e valori degli stessi. • • Definizione dei contributi positivi o negativi degli Stakeholders Gli andamenti macroeconomici, sociali e politici IMPATTO Consente la verifica dell’allineamento tra ciò che l’organizzazione è in grado di fare e ciò che il mercato esprime in termini di bisogni espliciti e impliciti, attuali ed emergenti. ESEMPIO DI APPLICAZIONE Nella definizione delle attività di lancio di un nuovo prodotto/servizio o nell’ingresso di un nuovo paese. Nella definizione delle «condizioni ambientali» in grado di incidere sull’Organizzazione o che possono essere influenzate dalla medesima (clima, qualità dell’aria, delle acque, contaminazioni esistenti, disponibilità di risorse naturali, etc.) Nella definizione del processo di qualifica di un fornitore e sub fornitori. RISK Process Incontro GIF RM 13 ottobre 2015 RILEVANZA FASE METODOLOGIA DI VALUTAZIONE E CRITERI definire le metodologie di valutazione del rischio; definire il modo in cui le prestazioni e l'efficacia viene valutata nella gestione del rischio; individuare e specificare le decisioni che devono essere fatte; identificare, lo scopo o l’insieme degli studi necessari, la loro dimensione e obiettivi, e le risorse necessarie per tali studi. Criteri di rischio dovrebbero essere coerenti con la politica di gestione del rischio dell'organizzazione, essere definite all'inizio di qualsiasi processo di gestione del rischio e essere continuamente rivisti. I fattori da prendere in considerazione: la natura e il tipo di cause e delle conseguenze che possono verificarsi e come saranno misurati; le opinioni delle parti interessate; devono essere presi in considerazione le combinazioni di molteplici rischi Mettere in evidenza lo stato dell’arte tecnico-scientifico Applicare la metodologia idonea all’area di rischio individuata il livello al quale rischio diventa accettabile o tollerabile IMPATTO Consente l’applicazione della metodologia di valutazione a istanti temporali predefiniti producendo serie statistiche di dati (trend e alert). L'organizzazione deve definire i criteri da utilizzare per valutare la significatività di rischio. I criteri dovrebbero riflettere i valori, gli obiettivi e le risorse dell'organizzazione. ESEMPIO DI APPLICAZIONE Nella definizione della Valutazione dei rischi di salute e sicurezza (D.Lgs.81), degli aspetti ambientali Nella valutazione delle attività sensibili a rischio di reato (probabilità X danno e costo della sanzione) Nella valutazione dei rischi operazionali (realizzazione del prodotto/servizio, tutela del consumatore, etc.) RISK Process Incontro GIF RM 13 ottobre 2015 RILEVANZA FASE IDENTIFICAZIONE DEL RISCHIO L'organizzazione deve identificare le fonti di rischio, aree di impatto, eventi (inclusi i cambiamenti) e le loro cause e le loro possibili conseguenze. Identificazione dovrebbe includere rischi la cui origine è sotto il controllo dell'organizzazione oppure no, anche se la sorgente rischio o la causa non possono essere evidenti. Identificazione dei rischi dovrebbe includere l'esame degli effetti a catena di particolari conseguenze, anche a cascata ed effetti cumulativi. Oltre a individuare quello che potrebbe accadere, è necessario considerare le possibili cause e scenari che mostrano le conseguenze. L'organizzazione dovrebbe applicare strumenti di identificazione dei rischi e le tecniche adatti ai suoi obiettivi e capacità. Le persone con conoscenze adeguate dovrebbero essere coinvolte nella identificazione dei rischi. L’elenco completo dei rischi sulla base di quegli eventi che potrebbero creare, migliorare, prevenire, degradare, accelerare o ritardare il raggiungimento degli obiettivi. IMPATTO Consente la verifica dell’allineamento tra ciò che l’organizzazione è in grado di fare e ciò che il mercato esprime in termini di bisogni espliciti e impliciti, attuali ed emergenti. ESEMPIO DI APPLICAZIONE Nella definizione delle attività di lancio di un nuovo prodotto servizio o nell’ingresso di un nuovo paese Nella definizione delle «condizioni ambientali» in grado di incidere sull’Organizzazione o che possono essere influenzate dalla medesima (clima, qualità dell’aria, delle acque, contaminazioni esistenti, disponibilità di risorse naturali, etc.) Nella definizione del processo di qualifica di un fornitore e sub fornitori Nell’individuare i fattori sul luogo di lavoro che sono potenzialmente in grado di arrecare danno e identificare i lavoratori che possono essere esposti ai rischi. RISK Process Incontro GIF RM 13 ottobre 2015 RILEVANZA FASE MONITORAGGIO E ANALISI DEL RISCHIO L'analisi del rischio: comporta lo sviluppo di una comprensione del rischio. fornisce l’input alla valutazione del rischio e alle decisioni riguardanti i rischi devono essere trattati, e sul trattamento del rischio più appropriate. comporta la considerazione delle cause e fonti di rischio, determinando le conseguenze e la loro probabilità, e altri attributi del rischio. Questi dovrebbero essere coerenti con i criteri di rischio. può essere effettuata con vari gradi di dettaglio; può essere qualitativa, quantitativa, misurata, modellizzata o una combinazione di questi. Definizione dei modelli dati di misurazione del rischio Definizione delle modalità di acquisizione dati IMPATTO Definisce il livello di rischio condiviso e validato e consente l’analisi delle cause alla radice (root cause analysis). ESEMPIO DI APPLICAZIONE Nelle analisi di difettosità di prodotto/servizio Nelle analisi a supporto della partecipazione a gare (Risk Matrix) RISK Process Incontro GIF RM 13 ottobre 2015 RILEVANZA FASE VALUTAZIONE DEL RISCHIO La valutazione del rischio comporta il confronto del livello di rischio rilevato durante il processo di analisi con i criteri di rischio stabiliti . In base a questo confronto, viene considerata la necessità di trattamento. Le decisioni dovrebbero tener conto del più ampio contesto del rischio e includere la considerazione della tolleranza del rischio. RISCHIO : Effetto dell’incertezza rispetto ad un risultato atteso Il concetto di «rischio» nel contesto della ISO 9001 è in relazione alla incertezza nel raggiungimento degli obiettivi definiti dall’organizzazione In alcune circostanze, la valutazione del rischio può portare a una decisione di effettuare ulteriori analisi. La valutazione del rischio può anche portare ad una decisione di non trattare il rischio in un modo diverso mantenendo i controlli esistenti. Questa decisione sarà influenzata dalla cultura al rischio dell'organizzazione e dei criteri di rischio che sono stati stabiliti. La presa di decisone basata su dati oggettivi e in conformità con i requisiti legali, normativi e altri. Focus su quei rischi che hanno bisogno di trattamento e la loro priorità per l'attuazione del trattamento. IMPATTO Miglioramento della redditività aziendale e dello sviluppo del business. ESEMPIO DI APPLICAZIONE Nella valutazione dei ritorni di un investimento Nella valutazione della redditività di un cliente/prodotto/servizio/mercato RISK Process Incontro GIF RM 13 ottobre 2015 RILEVANZA FASE TRATTAMENTO DEL RISCHIO Trattamento del rischio comporta un processo ciclico di: valutare un trattamento del rischio; decidere se i livelli di rischio residuo sono tollerabili; se non tollerabile, generare un nuovo trattamento del rischio; valutare l'efficacia di tale trattamento. Si possono introdurre rischi in seguito all’inefficacia delle misure di trattamento. Trattamento del rischio può anche presentare rischi secondari che devono essere valutati, trattati, monitorati e esaminati. La selezione delle opzioni di trattamento di rischio più appropriato che comporta bilanciare i costi e gli sforzi di attuazione verso i benefici derivati, per quanto riguarda i requisiti di legge, regolamentari, ed altri, come la responsabilità sociale e la protezione dell'ambiente naturale. IMPATTO Minimizzare le perdite e massimizzare i vantaggi. ESEMPIO DI APPLICAZIONE per evitare il rischio non iniziare o continuare con l'attività che dà origine al rischio; prendere o aumentare il rischio al fine di perseguire un’opportunità; rimuovere la fonte di rischio; modificare la probabilità; modificare le conseguenze; condividere il rischio con un altra parte (compresi i contratti e finanziamento dei rischi); mantenere il rischio con decisione informata RISK Process Incontro GIF RM 13 ottobre 2015 RILEVANZA FASE COMUNICAZIONE DECISIONI MIGLIORAMENTO CONTINUO Lo scopo di piani di trattamento dei rischi è quello di documentare come saranno attuate le opzioni di trattamento scelte. Le informazioni fornite nei piani di trattamento dovrebbe includere: le ragioni per la selezione di opzioni di trattamento, tra cui i benefici attesi; i responsabili dell'approvazione del piano e i responsabili dell'attuazione del programma; le azioni proposte; il fabbisogno di risorse tra cui contingenze; le misure di performance e dei vincoli; la rendicontazione e monitoraggio requisiti; i tempi e il calendario. Piani di trattamento dovrebbero essere integrati con i processi di gestione dell'organizzazione e discussi con le parti interessate. Decisori e altri soggetti interessati devono essere consapevoli della natura e della portata del rischio residuo dopo trattamento del rischio. Comunicare le decisioni contenute nel Piano di trattamento del rischio e nel piano delle azioni di miglioramento definendo le priorità. IMPATTO Miglioramento dell’immagine e del rapporto con lavoratori, fornitori, clienti e stakeholders. ESEMPIO DI APPLICAZIONE Nei processi di comunicazione interni Nei processi di comunicazione esterni RISK Process Incontro GIF RM 13 ottobre 2015 INTEGRAZIONE TRA RM E KM KNOWLEDGE MANAGEMENT Principles RISK Process CHECK-LIST ESTABLISH THE EXTERNAL CONTEXT KNOWLEDGE ENGINEERING ESTABLISH THE INTERNAL CONTEXT STANDARD, GUIDELINES AND MODELS RISK ASSESSMENT METHODOLOGY KNOW-HOW RESPONSABILITY AND HUMAN RESOURCES CAPABILITIES INCIDENT REPORTING IDENTIFICATION LEVEL OF RISK RELATIONSHIP RISK MONITORING AND RISK ANALYSIS STANDARD, LAW, POLICIES, OTHER REQUIREMENTS RISK EVALUATION EXPERIENCED KNOW-HOW BENCHMARKING RISK TREATMENT PROPOSAL ACTIVITIES SYSTEMATIC, STRUCTURED AND TIMELY DATA REPORTING PRIORITIZATION DECISION COMUNICATION CONTINUAL IMPROVEMENT Incontro GIF RM 13 ottobre 2015 PIATTAFORMA INFORMATICA INTEGRATA Knowledge Risk Compliance Incontro GIF RM 13 ottobre 2015 I CLIENTI Incontro GIF RM 13 ottobre 2015 IL PROGETTO IN VITO RIMOLDI Un percorso di sostenibilità e di partecipazione • • • • • Area Sistema di Gestione Qualità Area Salute e Sicurezza Area Sistema di Gestione Ambiente Area Risorse Umane Prescrizioni Legali Incontro GIF RM 13 ottobre 2015 PROCESSO DI AUDIT Dalla programmazione annuale all’esecuzione del processo • • • • redazione documentazione automatica, registrazione evidenze, integrazione con NC, consuntivo Per ciascun Audit le evidenze della gestione delle Osservazioni/NC rilevate • • • Integrazione con il flusso delle NC di sistema Prospetto di sintesi Supporto in fase di riesame e/o di Visite Ispettive Incontro GIF RM 13 ottobre 2015 ASPETTI AMBIENTALI Risk Management applicato all’Analisi Ambientale • • • • • Processo Risk Management e flusso Aspetti Ambientali BAT Best Available Techniques integrazione con NC (analisi dell’esperienza) e obiettivi misurazione e monitoraggio, esempio rifiuti generazione report Analisi Ambientale Incontro GIF RM 13 ottobre 2015 MISURAZIONE MONITORAGGIO PROCESSI Dalla Business Intelligence agli obiettivi di miglioramento • interazione con Tool di Business Intelligence, • Storicizzazione e trend indicatori di processo • Analisi a consuntivo e generazione degli obiettivi di miglioramento • Supporto in fase di riesame e/o di Visite Ispettive Incontro GIF RM 13 ottobre 2015 RISCHIO MANUTENZIONE – APPROCCIO STRUTTURATO I processi coinvolti Incontro GIF RM 13 ottobre 2015 MANUTENZIONE DISPOSITIVI DI EMERGENZA Da singole attività a gestione per processo a sistema di gestione di processi integrati • diminuzione del rischio di: • • discrezionalità in fase di taratura (modello dati con elaborazione) Ritardo nell’esecuzione della taratura/manutenzione/attività (generazione in automatico delle scadenze) • generazione di schede di strumento o di attrezzatura dettagliate e rispondenti alla normativa • coinvolgimento persone non direttamente coinvolte nei SG, • interazione con sicurezza per la valutazione dei rischi di attrezzatura • generazione dei registri delle attività Incontro GIF RM 13 ottobre 2015 RISORSE UMANE Dalla esigenza di formazione obbligatoria di Salute e Sicurezza, Qualità e Ambiente all’esigenza aziendale di integrare e completare il flusso di formazione della piattaforma anche con altri corsi che derivano da esigenze organizzative (ruolo) Inoltre un’azienda certificata deve dimostrare: • l’effettiva efficacia dei corsi a cura dei responsabili, • la compilazione del Profilo di Ruolo esteso gestita o sia con dati di input: attività, competenze manageriali e tecnicospecialistiche, o sia con contenuti provenienti da altri flussi: scheda dei rischi (DVR), procedure, istruzioni di Qualità, di Ambiente e di Sicurezza • Schede delle persone o Libretto formativo convalida il percorso formativo coerente al ruolo Incontro GIF RM 13 ottobre 2015 GRAZIE A TUTTI PER LA PARTECIPAZIONE Incontro GIF RM 13 ottobre 2015