Procedure Qualità UNI EN ISO 9001:2015 · 2019-09-17 · Manuale di gestione Procedure Modulistica ed extra ANALISI DI RISCHI ED OPPORTUNITA’ PSQ 017 Edizione 0 Revisione 0 Data

Manuale di gestione

Procedure

Modulistica ed extra

ANALISI DI RISCHI ED OPPORTUNITA’ PSQ 017

Edizione 0 Revisione 0 Data 28 Marzo 2018 Pagina 1 di 14 Procedure 9001:2015 – PSQ 016

Organizzazione

Istituto "Giulio Natta" Via Europa, 15, 24125 Bergamo BG

035 319376 Email: [email protected]

Pec: [email protected]

Procedure Qualità UNI EN ISO 9001:2015 Procedure del sistema di gestione qualità

Master √

Copia controllata √

Copia non controllata ×

Numero della copia 01

Emissione DG

Data

Firma

Approvazione DG

Data

Firma

Stato delle revisioni

Versione Data Descrizione Autore

00 28/03/2018 Prima emissione Vincenzo Fabio Lauricella

Manuale di gestione

Procedure




Indice generale della sezione

Procedure del sistema di gestione qualità UNI EN ISO 9001:2015

0 Premessa

1 Approccio applicativo per l’individuazione e la valutazione dei rischi

2 Il processo di RISK Management lo standard ISO 31000

3 Identificazione, valutazione e mitigazione dei rischi

4 Risk Assessment & Management Plan

5 Approfondimenti

Manuale di gestione

Procedure




0 Premessa

Il Risk management è una disciplina molto ampia che abbraccia tutti i rischi aziendali e che, attraverso specifici

modelli procedurali e strumenti di gestione manageriale, favorisce il rispetto degli obblighi previsti dalle norme

in vigore.

Approcciare il Global Risk Management presuppone affrontare un percorso in tre fasi:

1. Risk Assessment, che consiste nell'analisi delle diverse aree o funzioni operative che compongono

l'attività aziendale, con lo scopo di individuare i fattori di rischio che possono incidere sul corretto

funzionamento dell'azienda;

2. Risk Management, processo che include la definizione delle necessarie azioni da intraprendere per

la gestione dei rischi aziendali con l'obiettivo di colmare il gap tra rischi percepiti e rischi effettivi.

Occorre pertanto procedere con la costruzione di presidi strutturali ed organizzativi idonei;

3. Risk Control, che consiste nella gestione del rischio residuo attraverso il monitoraggio della

situazione aziendale anche a fronte di eventi interni, come nel caso di cambiamenti organizzativi.

L'implementazione del modello di Global Risk Management presuppone il coinvolgimento dei vertici aziendali e

della funzione organizzazione dell'impresa, coadiuvata da professionisti qualificati e con un importante bagaglio

di esperienza sia sotto il profilo normativo che della specifica conoscenza dei processi aziendali e dei rischi

correlati.

Viene utilizzata la ISO 31000:2009 come riferimento per l’analisi dei rischi.

Tutte le attività di un'organizzazione comportano dei rischi: la loro gestione può essere applicata in

qualsiasi momento a un'intera organizzazione, alle sue numerose aree e livelli, così come alle specifiche

funzioni, progetti e attività.

1 Approccio applicativo per l’individuazione e la valutazione dei rischi

Vengono prese in considerazione le metodologie (tecniche) considerate valide ed esplicate nella ISO

31000:2009:

1. Brainstorming

2. Interviste strutturata o semi strutturata

3. Metodo Delphi

Manuale di gestione

Procedure




4. Metodo con le Checklist

5. Analisi preliminare dei rischi (PHA)

6. Hazard and operability study (HAZOP)

7. Hazard analysis and critical control points (HACCP)

8. Valutazione della tossicità

9. Tecnica strutturata “What If”

10. Analisi degli scenari

11. Analisi dell’impatto di business

12. Analisi della radice delle cause

13. Failure mode and effects analysis (FMEA)

14. Analisi dell’albero degli errori

15. Analisi dell’albero degli eventi

16. Analisi causa e conseguenze

17. Analisi causa ed effetto

18. Analisi degli strati di protezione (LOPA)

19. Albero delle decisioni

20. Analisi dell’affidabilità umana (HRA)

21. Analisi della cravatta a farfalla

22. Manutenzione dell’affidabilità centrata

23. Analisi dei circuiti nascosti

24. Analisi di Markov

L’obiettivo del risk management è quello di capire cosa e come prevenire in relazione ai possibili eventi

dannosi, ma anche cosa e come attenuare in termini di conseguenze e cosa eventualmente trasferire ad altri

soggetti mediante, per esempio, idonee coperture assicurative.

Manuale di gestione

Procedure




Ogni attività, essenziale per fare crescere il business delle imprese, porta con sé sia opportunità che rischi.

La norma ISO 31000 indica che il cosiddetto trattamento del rischio si può compiere:

Evitando i rischi, decidendo di non avviare o continuare attività che comportano l’insorgere del rischio;

Accettando o aumentando il rischio per raggiungere certe opportunità;

Eliminando la fonte di rischio;

Modificando la probabilità di rischio;

Modificando le conseguenze del rischio;

Condividendo il rischio con altra/e parte/i (incluso chi si occupa di rischio finanziario);

Mantenendo il rischio a seguito di decisioni informate.

Lo standard ISO 31000 indica una serie di principi a cui un’organizzazione dovrebbe ispirarsi per conseguire

un’efficace gestione del rischio. Secondo i principi forniti dall’ISO 31000, la gestione del rischio:

a) crea e protegge il valore;

b) è parte integrante di tutti i processi dell’organizzazione;

c) è parte del processo decisionale;

d) tratta esplicitamente l’incertezza;

e) è sistematica, strutturata e tempestiva; f) si basa sulle migliori informazioni disponibili;

g) è “su misura”;

h) tiene conto dei fattori umani e culturali;

i) è trasparente e inclusiva;

j) è dinamica, iterativa e reattiva al cambiamento;

k) favorisce il miglioramento continuo dell’organizzazione.

La gestione del rischio, effettuata con un approccio sistematico, tempestivo e strutturato:

Contribuisce in maniera dimostrabile al raggiungimento degli obiettivi e al miglioramento della prestazione;

Non è un’attività indipendente, separata dalle attività e dai processi principali dell’organizzazione; Aiuta a effettuare scelte consapevoli, determinare la scala di priorità delle azioni e distinguere tra linee

Manuale di gestione

Procedure




di azione alternative; Contribuisce all’efficienza ed a risultati coerenti, confrontabili ed affidabili; Favorisce il coinvolgimento appropriato e tempestivo dei portatori d’interesse e, in particolare, dei

responsabili delle decisioni, a tutti i livelli dell’organizzazione.

2 Il processo di Risk Management secondo lo standard ISO 31000 Il processo di gestione del rischio può essere rappresentato come un elenco di attività coordinate e con una

sequenzialità ciclica. Lo standard ISO 31000 ha concepito il processo di Risk Management prevedendo alcune

fasi principali – identificazione, analisi, ponderazione e trattamento del rischio – evidenziando altresì come la

preventiva definizione del contesto, il monitoraggio e la comunicazione siano comunque degli

elementi basilari per attuare correttamente le attività di Risk Management (Figura sottostante).

È importante evidenziare come il processo di gestione del rischio debba essere non solo parte integrante della

strategia e della gestione d’impresa, ma anche strumento gestionale incorporato nella cultura e nelle prassi

dell’organizzazione.

Nella rappresentazione del processo secondo lo standard ISO 31000, la comunicazione e la consultazione, così

come il monitoraggio e il riesame, dovrebbero essere attuate all’interno di ogni fase del processo e non solo

come elemento finale, in quanto essenziali per il buon andamento del processo stesso.

Manuale di gestione

Procedure




Le fasi tipiche della gestione del rischio vengono migliorate grazie a procedure chiare e condivise, oltre che

mediante la continua interdipendenza tra attori e funzioni. I piani per la comunicazione e la consultazione

riguardano il rischio in sé, le sue cause, le conseguenze e le misure prese per il relativo trattamento. I piani di

comunicazione devono essere impostati in modo tale da mettere in condizione i portatori di interesse di

valutare le circostanze e prendere determinate decisioni.

Le attività di comunicazione e consultazione, pur tenendo conto degli aspetti di integrità personale e di

riservatezza, dovrebbero aver luogo durante tutte le fasi del processo di gestione del rischio, in quanto

indispensabili per l’efficacia e i risultati dell’intero processo.

L’approccio migliore per massimizzare gli effetti della consultazione è quello del “lavoro di squadra”: il

management deve definire il contesto in modo appropriato, assicurarsi che i rischi siano adeguatamente

identificati e che le esigenze degli stakeholder siano comprese e considerate. Deve, inoltre, essere in

grado di creare analisi specifiche unendo diverse aree di competenza, prendendo in considerazione in misura

appropriata differenti punti di vista nella definizione dei criteri di rischio e nella ponderazione dei rischi stessi.

Manuale di gestione

Procedure




La comprensibilità e l’accuratezza nella redazione delle informazioni risulta inoltre essere fondamentale sia

per comunicare adeguatamente un piano di trattamento del rischio, sia per intensificare e far comprendere

agli stakeholders la necessaria azione di change management in atto per lo sviluppo del processo di Risk

Management.

Il processo di gestione del rischio non può prescindere dalla comprensione del contesto interno, dovendo

necessariamente integrarsi con la cultura, i processi, la struttura, la strategia e gli obiettivi dell’organizzazione.

Ciò implica conoscere e comprendere a fondo gli aspetti di governance, i ruoli e le responsabilità attribuiti

nell’organizzazione nonché le loro relazioni con i processi, le risorse a disposizione, le caratteristiche delle

relazioni con gli stakeholder, i sistemi, i flussi informativi, i processi decisionali, le norme, le linee guida e i

modelli adottati dall’azienda.

3 Identificazione, valutazione e mitigazione dei rischi

3. Identificazione, valutazione e mitigazione dei rischi

Nella tabella XYZ sono elencati e valutati tutti i rischi individuati. Sono specificate anche tutte le attività di

mitigazione per ridurre e minimizzare ogni rischio.

L’obiettivo è di ridurre i rischi intrinsechi nell’attività certificativa e relativo governo.

Rischio = Probabilità x Gravità

A = Alto

M = Medio

B = Basso

N = Nullo

Rischi generici:

Minacce derivanti da intimidazioni: minacce che provengono da una persona o da un organismo che ha la

percezione di essere oggetto di coercizione, aperta o nascosta, come la minaccia di essere sostituito o

denunciato ad un superiore

Manuale di gestione

Procedure




Minacce derivanti da familiarità (o da fiducia): minacce che provengono da una persona o organismo che ha

troppa familiarità o fa troppo affidamento, su un'altra persona invece di cercare l’evidenza dell’audit;

Minacce derivanti da interessi propri: minacce che provengono da una persona o organismo che agisce nel suo

proprio interesse. Una preoccupazione legata alla certificazione, quale minaccia all’imparzialità, è costituita

dall’interesse proprio di natura finanziaria;

Minacce derivanti da auto-valutazione: minacce che provengono da una persona o organismo che riesamina il

proprio lavoro. Effettuare audit di sistemi di gestione di un cliente, al quale l’organismo di certificazione ha

fornito prestazioni di consulenza relative ai sistemi di gestione, dovrebbe essere considerata una minaccia di

auto-valutazione.

4. Risck ASSESSMENT Management Plan

Gestione del rischio PRINCIPI:

Creare valore - risorse impiegate per ridurre il rischio deve essere inferiore la conseguenza dell'inazione Essere parte integrante dei processi organizzativi Essere parte del processo decisionale Affrontano esplicitamente incertezze e assunzioni Essere sistematico, strutturato e tempestivo Essere basata sulle migliori informazioni disponibili Prendere fattori umani e culturali in considerazione Essere trasparente e inclusivo Essere dinamica, iterativa e reattiva ai cambiamenti Facilita continuo miglioramento e potenziamento della struttura Essere continuamente o periodicamente rivalutata

Gestione del rischio BENEFICI:

Aumentare la probabilità di raggiungimento degli obiettivi; Incoraggiare la gestione proattiva; Essere consapevoli della necessità di identificare e trattare rischio in tutta l'organizzazione; Migliorare l'individuazione delle opportunità e minacce; Raggiungere le pratiche di gestione del rischio compatibili tra le organizzazioni e le nazioni; Soddisfare i requisiti legali e normativi e le norme internazionali; Migliorare la governance; Migliorare la fiducia delle parti interessate e la fiducia; Stabilire una base affidabile per il processo decisionale e di pianificazione; Migliorare i controlli;

Manuale di gestione

Procedure




Allocare ed utilizzare effettivamente le risorse per il trattamento del rischio; Migliorare l'efficacia e l'efficienza operativa; Migliorare le prestazioni di salute e sicurezza e di tutela ambientale; Migliorare la prevenzione delle perdite e la gestione degli incidenti; Ridurre al minimo le perdite; Migliorare l'apprendimento organizzativo; Migliorare la resilienza organizzativa.

La valutazione di rischi ed opportunità viene effettuata mediante la compilazione della tabella “Risk

Assessment”, che contiene le seguenti colonne:

IDENTIFICAZIONE

Rischio: quale è il rischio individuato; Origine del rischio: cosa è che potenzialmente può creare un problema / danno, quale è la causa del

rischio; Che cosa può accadere: quale/i è/sono la/le conseguenza/e connesse col rischio in esame; Come può accadere: quali sono le circostanze in cui si può verificare / manifestare; Quando e dove potrebbe verificarsi il rischio: quali sono le aree e con che tempistiche si può

manifestare il rischio; Quale è la causa: cosa può originare il rischio Azione di mitigazione / contenimento immediato: cosa viene fatto per contenere il rischio quando si

verifica (per ridurre l’impatto delle conseguenze); Eventuale parte interessata coinvolta: indicare se il rischio può coinvolgere una o più parti interessate; Processo coinvolto: quale è il processo aziendale coinvolto dal rischio; Controlli esistenti: specificare quali sono i controlli attualmente in essere per evitare o monitorare il

rischio.

VALUTAZIONE

Controlli esistenti: indicare come viene valutato l’attuale livello dei controlli in essere legati al rischio in analisi;

Conseguenza: quale è la conseguenza del verificarsi del rischio se dovesse by-passare i controlli esistenti; Costo della conseguenza: se possibile, quantificare quali sarebbero le ripercussioni economiche se si

dovesse verificare il rischio; Probabilità di accadimento: quale è la possibilità che il rischio si verifichi; Identificabilità del rischio: quale è la capacità dell’organizzazione di individuare il rischio quando si

verifica (accorgersi che sta avvenendo); Priorità del rischio: è il prodotto di conseguenza, probabilità e identificabilità, più elevato è il valore e

Manuale di gestione

Procedure




più il rischio ha priorità elevata (ossia è necessario intervenire per prevenirlo / ridurlo).

TRATTAMENTO / PIANO D’AZIONE

Azioni adottate relative al rischio (prevenzione): quale è l’attività che viene eseguita per monitorare il rischio, prevenire il suo verificarsi, la sua riduzione / eliminazione, ecc.;

Tipologia di azione: a cosa porta l’azione definita relativamente al rischio; Responsabilità: chi ha in carico l’azione da eseguire; Scadenza: quale è il limite entro cui vanno attuate le azioni; Rischio residuo: che livello ha il rischio a seguito delle azioni definite; Opportunità: quali prospettive / opportunità si aprono all’organizzazione mantenendo / non eliminando

completamente il rischio.

5. Approfondimenti

Opportunità

Aumentare la probabilità di raggiungimento degli obiettivi; Incoraggiare la gestione proattiva; Essere consapevoli della necessità di identificare e trattare rischio in tutta l'organizzazione; Migliorare l'individuazione delle opportunità e minacce; Raggiungere le pratiche di gestione del rischio compatibili tra le organizzazioni e le nazioni; Soddisfare i requisiti legali e normativi e le norme internazionali; Migliorare la governance; Migliorare la fiducia delle parti interessate e la fiducia; Stabilire una base affidabile per il processo decisionale e di pianificazione; Migliorare i controlli; Allocare ed utilizzare effettivamente le risorse per il trattamento del rischio; Migliorare l'efficacia e l'efficienza operativa; Migliorare le prestazioni di salute e sicurezza e di tutela ambientale; Migliorare la prevenzione delle perdite e la gestione degli incidenti; Ridurre al minimo le perdite; Migliorare l'apprendimento organizzativo; Migliorare la resilienza organizzativa.

Manuale di gestione

Procedure




Termine Definizione

Rischio

Effetto di incertezza sugli obiettivi (o deviazione positiva o negativa da quello

che ci si aspetta). Spesso espressa come combinazione delle conseguenze di un

evento e probabilità di accadimento

Controllo

Qualsiasi misura o azione che modifichi il rischio. Include qualsiasi politica,

procedure, prassi, processo, tecnologia, tecnica, metodo o dispositivo che

modificano o gestisce un rischio.

I trattamenti del rischio diventano controlli o modifiche dei controlli esistenti,

una volta che sono stati implementati.

Rischio residuo Il rischio che rimane dopo aver implementato un'opzione di trattamento del

rischio o dopo il trattamento del rischio

Pericolo

Fonte di danno potenziale. Condizione presente, evento, oggetto o circostanza

che potrebbero causare o contribuire ad un evento non pianificato o

indesiderato come un incidente.

Problema Rischio con probabilità del 100%.

Identificazione dei

rischi

Processo di ricerca, riconoscere e descrivere i rischi che comportano

l'identificazione delle fonti di rischio, eventi, cause e le potenziali conseguenze.

Analisi del rischio Processo di comprendere la natura del rischio e per determinare il livello di

rischio.

Valutazione del Rischio

Valutazione delle cause e delle conseguenze del rischio, determinandone la

probabilità di accadimento e l'impatto, al fine di definire le priorità di intervento

/ mitigazione.

Trattamento del rischio

Processo di modifica del rischio che può comportare:

- Prevenzione, affrontando o aumentando il rischio, la rimozione della fonte di

rischio, cambiarne la probabilità, cambiarne le conseguenze, la condivisione del

rischio (es. Contratti), mantenere il rischio con una decisione consapevole.

Manuale di gestione

Procedure




Valutazione impatto conseguenza

1 Praticamente nullo

2 Bassissimo

3 Molto basso

4 Basso

5 Normale

6 Rilevante

7 Alto

8 Molto alto

9 Quasi catastrofico

10 Catastrofico

Valutazione probabilità di accadimento

1 Praticamente nulla

2 Bassissima

3 Molto bassa

4 Bassa

5 Normale

6 Rilevante

7 Alta

8 Molto alta

9 Quasi certa

10 Certa

Manuale di gestione

Procedure




Valutazione identificabilità del rischio

1 Certa

2 Quasi certa

3 Molto alta

4 Alta

5 Rilevante

6 Normale

7 Bassa

8 Molto bassa

9 Bassissima

10 Praticamente nulla

Documents

Procedure Qualità UNI EN ISO 9001:2015 · 2019-09-17 · Manuale di gestione Procedure Modulistica ed extra ANALISI DI RISCHI ED OPPORTUNITA’ PSQ 017 Edizione 0 Revisione 0 Data