Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Manuale di gestione
Procedure
Modulistica ed extra
ANALISI DI RISCHI ED OPPORTUNITA’ PSQ 017
Edizione 0 Revisione 0 Data 28 Marzo 2018 Pagina 1 di 14 Procedure 9001:2015 – PSQ 016
Organizzazione
Istituto "Giulio Natta" Via Europa, 15, 24125 Bergamo BG
035 319376 Email: [email protected]
Pec: [email protected]
Procedure Qualità UNI EN ISO 9001:2015 Procedure del sistema di gestione qualità
Master √
Copia controllata √
Copia non controllata ×
Numero della copia 01
Emissione DG
Data
Firma
Approvazione DG
Data
Firma
Stato delle revisioni
Versione Data Descrizione Autore
00 28/03/2018 Prima emissione Vincenzo Fabio Lauricella
Manuale di gestione
Procedure
Modulistica ed extra
ANALISI DI RISCHI ED OPPORTUNITA’ PSQ 017
Edizione 0 Revisione 0 Data 28 Marzo 2018 Pagina 2 di 14 Procedure 9001:2015 – PSQ 016
Indice generale della sezione
Procedure del sistema di gestione qualità UNI EN ISO 9001:2015
0 Premessa
1 Approccio applicativo per l’individuazione e la valutazione dei rischi
2 Il processo di RISK Management lo standard ISO 31000
3 Identificazione, valutazione e mitigazione dei rischi
4 Risk Assessment & Management Plan
5 Approfondimenti
Manuale di gestione
Procedure
Modulistica ed extra
ANALISI DI RISCHI ED OPPORTUNITA’ PSQ 017
Edizione 0 Revisione 0 Data 28 Marzo 2018 Pagina 3 di 14 Procedure 9001:2015 – PSQ 016
0 Premessa
Il Risk management è una disciplina molto ampia che abbraccia tutti i rischi aziendali e che, attraverso specifici
modelli procedurali e strumenti di gestione manageriale, favorisce il rispetto degli obblighi previsti dalle norme
in vigore.
Approcciare il Global Risk Management presuppone affrontare un percorso in tre fasi:
1. Risk Assessment, che consiste nell'analisi delle diverse aree o funzioni operative che compongono
l'attività aziendale, con lo scopo di individuare i fattori di rischio che possono incidere sul corretto
funzionamento dell'azienda;
2. Risk Management, processo che include la definizione delle necessarie azioni da intraprendere per
la gestione dei rischi aziendali con l'obiettivo di colmare il gap tra rischi percepiti e rischi effettivi.
Occorre pertanto procedere con la costruzione di presidi strutturali ed organizzativi idonei;
3. Risk Control, che consiste nella gestione del rischio residuo attraverso il monitoraggio della
situazione aziendale anche a fronte di eventi interni, come nel caso di cambiamenti organizzativi.
L'implementazione del modello di Global Risk Management presuppone il coinvolgimento dei vertici aziendali e
della funzione organizzazione dell'impresa, coadiuvata da professionisti qualificati e con un importante bagaglio
di esperienza sia sotto il profilo normativo che della specifica conoscenza dei processi aziendali e dei rischi
correlati.
Viene utilizzata la ISO 31000:2009 come riferimento per l’analisi dei rischi.
Tutte le attività di un'organizzazione comportano dei rischi: la loro gestione può essere applicata in
qualsiasi momento a un'intera organizzazione, alle sue numerose aree e livelli, così come alle specifiche
funzioni, progetti e attività.
1 Approccio applicativo per l’individuazione e la valutazione dei rischi
Vengono prese in considerazione le metodologie (tecniche) considerate valide ed esplicate nella ISO
31000:2009:
1. Brainstorming
2. Interviste strutturata o semi strutturata
3. Metodo Delphi
Manuale di gestione
Procedure
Modulistica ed extra
ANALISI DI RISCHI ED OPPORTUNITA’ PSQ 017
Edizione 0 Revisione 0 Data 28 Marzo 2018 Pagina 4 di 14 Procedure 9001:2015 – PSQ 016
4. Metodo con le Checklist
5. Analisi preliminare dei rischi (PHA)
6. Hazard and operability study (HAZOP)
7. Hazard analysis and critical control points (HACCP)
8. Valutazione della tossicità
9. Tecnica strutturata “What If”
10. Analisi degli scenari
11. Analisi dell’impatto di business
12. Analisi della radice delle cause
13. Failure mode and effects analysis (FMEA)
14. Analisi dell’albero degli errori
15. Analisi dell’albero degli eventi
16. Analisi causa e conseguenze
17. Analisi causa ed effetto
18. Analisi degli strati di protezione (LOPA)
19. Albero delle decisioni
20. Analisi dell’affidabilità umana (HRA)
21. Analisi della cravatta a farfalla
22. Manutenzione dell’affidabilità centrata
23. Analisi dei circuiti nascosti
24. Analisi di Markov
L’obiettivo del risk management è quello di capire cosa e come prevenire in relazione ai possibili eventi
dannosi, ma anche cosa e come attenuare in termini di conseguenze e cosa eventualmente trasferire ad altri
soggetti mediante, per esempio, idonee coperture assicurative.
Manuale di gestione
Procedure
Modulistica ed extra
ANALISI DI RISCHI ED OPPORTUNITA’ PSQ 017
Edizione 0 Revisione 0 Data 28 Marzo 2018 Pagina 5 di 14 Procedure 9001:2015 – PSQ 016
Ogni attività, essenziale per fare crescere il business delle imprese, porta con sé sia opportunità che rischi.
La norma ISO 31000 indica che il cosiddetto trattamento del rischio si può compiere:
Evitando i rischi, decidendo di non avviare o continuare attività che comportano l’insorgere del rischio;
Accettando o aumentando il rischio per raggiungere certe opportunità;
Eliminando la fonte di rischio;
Modificando la probabilità di rischio;
Modificando le conseguenze del rischio;
Condividendo il rischio con altra/e parte/i (incluso chi si occupa di rischio finanziario);
Mantenendo il rischio a seguito di decisioni informate.
Lo standard ISO 31000 indica una serie di principi a cui un’organizzazione dovrebbe ispirarsi per conseguire
un’efficace gestione del rischio. Secondo i principi forniti dall’ISO 31000, la gestione del rischio:
a) crea e protegge il valore;
b) è parte integrante di tutti i processi dell’organizzazione;
c) è parte del processo decisionale;
d) tratta esplicitamente l’incertezza;
e) è sistematica, strutturata e tempestiva; f) si basa sulle migliori informazioni disponibili;
g) è “su misura”;
h) tiene conto dei fattori umani e culturali;
i) è trasparente e inclusiva;
j) è dinamica, iterativa e reattiva al cambiamento;
k) favorisce il miglioramento continuo dell’organizzazione.
La gestione del rischio, effettuata con un approccio sistematico, tempestivo e strutturato:
Contribuisce in maniera dimostrabile al raggiungimento degli obiettivi e al miglioramento della prestazione;
Non è un’attività indipendente, separata dalle attività e dai processi principali dell’organizzazione; Aiuta a effettuare scelte consapevoli, determinare la scala di priorità delle azioni e distinguere tra linee
Manuale di gestione
Procedure
Modulistica ed extra
ANALISI DI RISCHI ED OPPORTUNITA’ PSQ 017
Edizione 0 Revisione 0 Data 28 Marzo 2018 Pagina 6 di 14 Procedure 9001:2015 – PSQ 016
di azione alternative; Contribuisce all’efficienza ed a risultati coerenti, confrontabili ed affidabili; Favorisce il coinvolgimento appropriato e tempestivo dei portatori d’interesse e, in particolare, dei
responsabili delle decisioni, a tutti i livelli dell’organizzazione.
2 Il processo di Risk Management secondo lo standard ISO 31000 Il processo di gestione del rischio può essere rappresentato come un elenco di attività coordinate e con una
sequenzialità ciclica. Lo standard ISO 31000 ha concepito il processo di Risk Management prevedendo alcune
fasi principali – identificazione, analisi, ponderazione e trattamento del rischio – evidenziando altresì come la
preventiva definizione del contesto, il monitoraggio e la comunicazione siano comunque degli
elementi basilari per attuare correttamente le attività di Risk Management (Figura sottostante).
È importante evidenziare come il processo di gestione del rischio debba essere non solo parte integrante della
strategia e della gestione d’impresa, ma anche strumento gestionale incorporato nella cultura e nelle prassi
dell’organizzazione.
Nella rappresentazione del processo secondo lo standard ISO 31000, la comunicazione e la consultazione, così
come il monitoraggio e il riesame, dovrebbero essere attuate all’interno di ogni fase del processo e non solo
come elemento finale, in quanto essenziali per il buon andamento del processo stesso.
Manuale di gestione
Procedure
Modulistica ed extra
ANALISI DI RISCHI ED OPPORTUNITA’ PSQ 017
Edizione 0 Revisione 0 Data 28 Marzo 2018 Pagina 7 di 14 Procedure 9001:2015 – PSQ 016
Le fasi tipiche della gestione del rischio vengono migliorate grazie a procedure chiare e condivise, oltre che
mediante la continua interdipendenza tra attori e funzioni. I piani per la comunicazione e la consultazione
riguardano il rischio in sé, le sue cause, le conseguenze e le misure prese per il relativo trattamento. I piani di
comunicazione devono essere impostati in modo tale da mettere in condizione i portatori di interesse di
valutare le circostanze e prendere determinate decisioni.
Le attività di comunicazione e consultazione, pur tenendo conto degli aspetti di integrità personale e di
riservatezza, dovrebbero aver luogo durante tutte le fasi del processo di gestione del rischio, in quanto
indispensabili per l’efficacia e i risultati dell’intero processo.
L’approccio migliore per massimizzare gli effetti della consultazione è quello del “lavoro di squadra”: il
management deve definire il contesto in modo appropriato, assicurarsi che i rischi siano adeguatamente
identificati e che le esigenze degli stakeholder siano comprese e considerate. Deve, inoltre, essere in
grado di creare analisi specifiche unendo diverse aree di competenza, prendendo in considerazione in misura
appropriata differenti punti di vista nella definizione dei criteri di rischio e nella ponderazione dei rischi stessi.
Manuale di gestione
Procedure
Modulistica ed extra
ANALISI DI RISCHI ED OPPORTUNITA’ PSQ 017
Edizione 0 Revisione 0 Data 28 Marzo 2018 Pagina 8 di 14 Procedure 9001:2015 – PSQ 016
La comprensibilità e l’accuratezza nella redazione delle informazioni risulta inoltre essere fondamentale sia
per comunicare adeguatamente un piano di trattamento del rischio, sia per intensificare e far comprendere
agli stakeholders la necessaria azione di change management in atto per lo sviluppo del processo di Risk
Management.
Il processo di gestione del rischio non può prescindere dalla comprensione del contesto interno, dovendo
necessariamente integrarsi con la cultura, i processi, la struttura, la strategia e gli obiettivi dell’organizzazione.
Ciò implica conoscere e comprendere a fondo gli aspetti di governance, i ruoli e le responsabilità attribuiti
nell’organizzazione nonché le loro relazioni con i processi, le risorse a disposizione, le caratteristiche delle
relazioni con gli stakeholder, i sistemi, i flussi informativi, i processi decisionali, le norme, le linee guida e i
modelli adottati dall’azienda.
3 Identificazione, valutazione e mitigazione dei rischi
3. Identificazione, valutazione e mitigazione dei rischi
Nella tabella XYZ sono elencati e valutati tutti i rischi individuati. Sono specificate anche tutte le attività di
mitigazione per ridurre e minimizzare ogni rischio.
L’obiettivo è di ridurre i rischi intrinsechi nell’attività certificativa e relativo governo.
Rischio = Probabilità x Gravità
A = Alto
M = Medio
B = Basso
N = Nullo
Rischi generici:
Minacce derivanti da intimidazioni: minacce che provengono da una persona o da un organismo che ha la
percezione di essere oggetto di coercizione, aperta o nascosta, come la minaccia di essere sostituito o
denunciato ad un superiore
Manuale di gestione
Procedure
Modulistica ed extra
ANALISI DI RISCHI ED OPPORTUNITA’ PSQ 017
Edizione 0 Revisione 0 Data 28 Marzo 2018 Pagina 9 di 14 Procedure 9001:2015 – PSQ 016
Minacce derivanti da familiarità (o da fiducia): minacce che provengono da una persona o organismo che ha
troppa familiarità o fa troppo affidamento, su un'altra persona invece di cercare l’evidenza dell’audit;
Minacce derivanti da interessi propri: minacce che provengono da una persona o organismo che agisce nel suo
proprio interesse. Una preoccupazione legata alla certificazione, quale minaccia all’imparzialità, è costituita
dall’interesse proprio di natura finanziaria;
Minacce derivanti da auto-valutazione: minacce che provengono da una persona o organismo che riesamina il
proprio lavoro. Effettuare audit di sistemi di gestione di un cliente, al quale l’organismo di certificazione ha
fornito prestazioni di consulenza relative ai sistemi di gestione, dovrebbe essere considerata una minaccia di
auto-valutazione.
4. Risck ASSESSMENT Management Plan
Gestione del rischio PRINCIPI:
Creare valore - risorse impiegate per ridurre il rischio deve essere inferiore la conseguenza dell'inazione Essere parte integrante dei processi organizzativi Essere parte del processo decisionale Affrontano esplicitamente incertezze e assunzioni Essere sistematico, strutturato e tempestivo Essere basata sulle migliori informazioni disponibili Prendere fattori umani e culturali in considerazione Essere trasparente e inclusivo Essere dinamica, iterativa e reattiva ai cambiamenti Facilita continuo miglioramento e potenziamento della struttura Essere continuamente o periodicamente rivalutata
Gestione del rischio BENEFICI:
Aumentare la probabilità di raggiungimento degli obiettivi; Incoraggiare la gestione proattiva; Essere consapevoli della necessità di identificare e trattare rischio in tutta l'organizzazione; Migliorare l'individuazione delle opportunità e minacce; Raggiungere le pratiche di gestione del rischio compatibili tra le organizzazioni e le nazioni; Soddisfare i requisiti legali e normativi e le norme internazionali; Migliorare la governance; Migliorare la fiducia delle parti interessate e la fiducia; Stabilire una base affidabile per il processo decisionale e di pianificazione; Migliorare i controlli;
Manuale di gestione
Procedure
Modulistica ed extra
ANALISI DI RISCHI ED OPPORTUNITA’ PSQ 017
Edizione 0 Revisione 0 Data 28 Marzo 2018 Pagina 10 di 14 Procedure 9001:2015 – PSQ 016
Allocare ed utilizzare effettivamente le risorse per il trattamento del rischio; Migliorare l'efficacia e l'efficienza operativa; Migliorare le prestazioni di salute e sicurezza e di tutela ambientale; Migliorare la prevenzione delle perdite e la gestione degli incidenti; Ridurre al minimo le perdite; Migliorare l'apprendimento organizzativo; Migliorare la resilienza organizzativa.
La valutazione di rischi ed opportunità viene effettuata mediante la compilazione della tabella “Risk
Assessment”, che contiene le seguenti colonne:
IDENTIFICAZIONE
Rischio: quale è il rischio individuato; Origine del rischio: cosa è che potenzialmente può creare un problema / danno, quale è la causa del
rischio; Che cosa può accadere: quale/i è/sono la/le conseguenza/e connesse col rischio in esame; Come può accadere: quali sono le circostanze in cui si può verificare / manifestare; Quando e dove potrebbe verificarsi il rischio: quali sono le aree e con che tempistiche si può
manifestare il rischio; Quale è la causa: cosa può originare il rischio Azione di mitigazione / contenimento immediato: cosa viene fatto per contenere il rischio quando si
verifica (per ridurre l’impatto delle conseguenze); Eventuale parte interessata coinvolta: indicare se il rischio può coinvolgere una o più parti interessate; Processo coinvolto: quale è il processo aziendale coinvolto dal rischio; Controlli esistenti: specificare quali sono i controlli attualmente in essere per evitare o monitorare il
rischio.
VALUTAZIONE
Controlli esistenti: indicare come viene valutato l’attuale livello dei controlli in essere legati al rischio in analisi;
Conseguenza: quale è la conseguenza del verificarsi del rischio se dovesse by-passare i controlli esistenti; Costo della conseguenza: se possibile, quantificare quali sarebbero le ripercussioni economiche se si
dovesse verificare il rischio; Probabilità di accadimento: quale è la possibilità che il rischio si verifichi; Identificabilità del rischio: quale è la capacità dell’organizzazione di individuare il rischio quando si
verifica (accorgersi che sta avvenendo); Priorità del rischio: è il prodotto di conseguenza, probabilità e identificabilità, più elevato è il valore e
Manuale di gestione
Procedure
Modulistica ed extra
ANALISI DI RISCHI ED OPPORTUNITA’ PSQ 017
Edizione 0 Revisione 0 Data 28 Marzo 2018 Pagina 11 di 14 Procedure 9001:2015 – PSQ 016
più il rischio ha priorità elevata (ossia è necessario intervenire per prevenirlo / ridurlo).
TRATTAMENTO / PIANO D’AZIONE
Azioni adottate relative al rischio (prevenzione): quale è l’attività che viene eseguita per monitorare il rischio, prevenire il suo verificarsi, la sua riduzione / eliminazione, ecc.;
Tipologia di azione: a cosa porta l’azione definita relativamente al rischio; Responsabilità: chi ha in carico l’azione da eseguire; Scadenza: quale è il limite entro cui vanno attuate le azioni; Rischio residuo: che livello ha il rischio a seguito delle azioni definite; Opportunità: quali prospettive / opportunità si aprono all’organizzazione mantenendo / non eliminando
completamente il rischio.
5. Approfondimenti
Opportunità
Aumentare la probabilità di raggiungimento degli obiettivi; Incoraggiare la gestione proattiva; Essere consapevoli della necessità di identificare e trattare rischio in tutta l'organizzazione; Migliorare l'individuazione delle opportunità e minacce; Raggiungere le pratiche di gestione del rischio compatibili tra le organizzazioni e le nazioni; Soddisfare i requisiti legali e normativi e le norme internazionali; Migliorare la governance; Migliorare la fiducia delle parti interessate e la fiducia; Stabilire una base affidabile per il processo decisionale e di pianificazione; Migliorare i controlli; Allocare ed utilizzare effettivamente le risorse per il trattamento del rischio; Migliorare l'efficacia e l'efficienza operativa; Migliorare le prestazioni di salute e sicurezza e di tutela ambientale; Migliorare la prevenzione delle perdite e la gestione degli incidenti; Ridurre al minimo le perdite; Migliorare l'apprendimento organizzativo; Migliorare la resilienza organizzativa.
Manuale di gestione
Procedure
Modulistica ed extra
ANALISI DI RISCHI ED OPPORTUNITA’ PSQ 017
Edizione 0 Revisione 0 Data 28 Marzo 2018 Pagina 12 di 14 Procedure 9001:2015 – PSQ 016
Termine Definizione
Rischio
Effetto di incertezza sugli obiettivi (o deviazione positiva o negativa da quello
che ci si aspetta). Spesso espressa come combinazione delle conseguenze di un
evento e probabilità di accadimento
Controllo
Qualsiasi misura o azione che modifichi il rischio. Include qualsiasi politica,
procedure, prassi, processo, tecnologia, tecnica, metodo o dispositivo che
modificano o gestisce un rischio.
I trattamenti del rischio diventano controlli o modifiche dei controlli esistenti,
una volta che sono stati implementati.
Rischio residuo Il rischio che rimane dopo aver implementato un'opzione di trattamento del
rischio o dopo il trattamento del rischio
Pericolo
Fonte di danno potenziale. Condizione presente, evento, oggetto o circostanza
che potrebbero causare o contribuire ad un evento non pianificato o
indesiderato come un incidente.
Problema Rischio con probabilità del 100%.
Identificazione dei
rischi
Processo di ricerca, riconoscere e descrivere i rischi che comportano
l'identificazione delle fonti di rischio, eventi, cause e le potenziali conseguenze.
Analisi del rischio Processo di comprendere la natura del rischio e per determinare il livello di
rischio.
Valutazione del Rischio
Valutazione delle cause e delle conseguenze del rischio, determinandone la
probabilità di accadimento e l'impatto, al fine di definire le priorità di intervento
/ mitigazione.
Trattamento del rischio
Processo di modifica del rischio che può comportare:
- Prevenzione, affrontando o aumentando il rischio, la rimozione della fonte di
rischio, cambiarne la probabilità, cambiarne le conseguenze, la condivisione del
rischio (es. Contratti), mantenere il rischio con una decisione consapevole.
Manuale di gestione
Procedure
Modulistica ed extra
ANALISI DI RISCHI ED OPPORTUNITA’ PSQ 017
Edizione 0 Revisione 0 Data 28 Marzo 2018 Pagina 13 di 14 Procedure 9001:2015 – PSQ 016
Valutazione impatto conseguenza
1 Praticamente nullo
2 Bassissimo
3 Molto basso
4 Basso
5 Normale
6 Rilevante
7 Alto
8 Molto alto
9 Quasi catastrofico
10 Catastrofico
Valutazione probabilità di accadimento
1 Praticamente nulla
2 Bassissima
3 Molto bassa
4 Bassa
5 Normale
6 Rilevante
7 Alta
8 Molto alta
9 Quasi certa
10 Certa
Manuale di gestione
Procedure
Modulistica ed extra
ANALISI DI RISCHI ED OPPORTUNITA’ PSQ 017
Edizione 0 Revisione 0 Data 28 Marzo 2018 Pagina 14 di 14 Procedure 9001:2015 – PSQ 016
Valutazione identificabilità del rischio
1 Certa
2 Quasi certa
3 Molto alta
4 Alta
5 Rilevante
6 Normale
7 Bassa
8 Molto bassa
9 Bassissima
10 Praticamente nulla