I recenti report sui rischi, pubblicati all’inizio del 2025, evidenziano, ancora una volta, un futuro caratterizzato da crescente incertezza e pessimismo, da conflitti, da crisi economiche e geopolitiche, da problemi sanitari, da cyber attacchi, oltre che da un aumento degli eventi climatici estremi.

Ci troviamo, di fatto, di fronte a scenari che minacciano la stabilità sociale ed economica, impattando negativamente le organizzazioni. Pertanto, è quanto mai essenziale che le organizzazioni adottino i principi di Risk management per gestire i rischi in modo proattivo, puntando a prevenirli, mitigarli e persino trasformarli in opportunità.

ISO 31000 – “Risk management – Principles and guidelines” (Gestione del rischio – Principi e linee guida): cos’è e perché è importante

Il Risk management è un processo volto a gestire in modo olistico e integrato i rischi. Tale processo include attività strutturate per: identificare, quantificare, valutare e ridurre i rischi. È doveroso ricordare che la pratica del Risk management è regolata dalla norma ISO 31000 – “Risk management — Principles and guidelines” la cui ultima revisione è stata pubblicata nel febbraio 2018.

È doveroso evidenziare che la ISO 31000 contribuisce a: migliorare proattivamente l’efficienza gestionale e manageriale all’interno di un’organizzazione; fornire una serie completa di principi e linee guida; aiutare le organizzazioni nell’analisi e nella valutazione dei rischi.

Come indicato nel testo della ISO 31000:2018, «Le organizzazioni di tutti i tipi e di tutte le dimensioni si trovano di fronte a fattori ed influenze esterni ed interni che rendono incerto il conseguimento dei loro obiettivi». Ne consegue che il risk management si converte in un’attività reiterativa che supporta le organizzazioni nel: stabilire strategie; raggiungere obiettivi; prendere decisioni informate.

Di fatto, il risk management è parte integrante della governance e della leadership, oltre ad essere essenziale per la gestione dell’organizzazione a tutti i livelli, contribuendo al miglioramento del sistema di gestione. Inoltre, il risk management include l’interazione tra le parti interessate, considerando il contesto sia interno sia esterno sia il comportamento umano sia i fattori culturali.

La struttura della ISO 31000 e la sua implementazione – Lo standard ISO 31000 è così strutturato:

1. Introduzione
2. Ambito
3. Riferimenti normativi
4. Termini e definizioni
5. Principi
6. Struttura di riferimento (Framework)

I vari punti forniscono la guida per l’implementazione di un framework di gestione del rischio. Vediamo in dettaglio in cosa consistono.

Punto 0 – Introduzione – In questo punto viene evidenziato che la ISO 31000 si allinea alle altre norme riferite ai management system (i.e. sistemi di gestione) che seguono una struttura di approccio armonizzato (Harmonized Structure – HS).

È doveroso evidenziare che i management system incoraggiano:

• l’adozione di un processo continuo, graduale e proattivo;
• il coinvolgimento della strategia aziendale;
• l’integrazione dei principi di gestione del rischio nella cultura organizzativa, adottando un approccio globale e olistico.

Tra queste norme si trovano: la ISO 9001:2015 per i sistemi di gestione della qualità; la ISO 14001:2015 per i sistemi di gestione ambientale; la ISO 45001:2018 per i sistemi di gestione della salute e sicurezza sul lavoro; la ISO 27001:2022 per i sistemi di gestione della sicurezza delle informazioni; e la ISO 22301:2019 per i sistemi di gestione della continuità operativa.

Vediamo cosa prevedono i vari punti della ISO 31000.

Punto 1 – Ambito – La ISO 31000 è applicabile a qualsiasi tipo di rischio e offre linee guida per la gestione dei rischi che un’organizzazione può trovarsi ad affrontare. Di fatto, la metodologia del risk management è indipendente dal settore economico e dagli obiettivi dell’organizzazione, rendendola applicabile a qualsiasi tipo di azienda di qualsiasi settore e di qualsiasi dimensione.

Punto 2 – Riferimenti Normativi – Lo standard non fa riferimento ad alcuna norma.

Punto 3 – Termini & Definizioni – In questa sezione lo standard elenca i termini e le definizioni pertinenti, tra cui di seguito i principali:

Rischio – Effetto dell’incertezza in relazione agli obiettivi aziendali.

Gestione del Rischio – Attività coordinate per guidare e tenere sotto controllo una organizzazione con riferimento al rischio.

Fonte di rischio – Elemento che da solo o in combinazione possiede il potenziale di dare origine al rischio.

Evento – Il verificarsi o il modificarsi di un particolare insieme di circostanze.

Conseguenza – Esito di un evento che influenza gli obiettivi, può essere certa o incerta, positiva o negativa.

Parti interessate (i.e. Interested Party/Stakeholder) – Parte che può essere influenzata, o che percepisce di essere influenzata da una decisione o attività, tra cui a titolo esemplificativo: clienti, distributori/parti logistiche, fornitori, finanziatori (i.e. banche, Borsa in caso società quotata, fondi, ecc.), concorrenti, media, mercato, autorità, personale interno, organizzazioni sindacali, comunità locale, ecc…

La struttura della ISO 31000

I principi, la struttura ed il processo costituiscono l’impianto del modello gestionale del risk management che è così graficamente rappresentato:

Punto 4 – Principi – Il risk management dovrebbe garantire la creazione e la protezione del valore dell’organizzazione. Pertanto, il sistema di risk management deve essere:

Integrato con le altre attività dell’organizzazione, a livello di governance.

Strutturato& globale -e multidisciplinare – per poter dare risultati coerenti e confrontabili.

Personalizzato sull’organizzazione e sui suoi obiettivi.

Inclusivo, ovvero, coinvolgere le parti interessate, garantendo una maggiore consapevolezza e una visione più ampia.

Dinamico, ovvero, tempestivo per rispondere con agilità ai cambiamenti del contesto e/o dell’organizzazione.

Basato sulle informazioni che devono esserequalitativamente migliori in termini di dati storici, evidenze correnti, previsioni future, ecc…

Consapevole sia dei comportamenti umani sia dei fattori culturali che influenzano l’organizzazione ad ogni livello.

Basato su miglioramento continuo, attraverso una periodica revisione.

Punto 5 – Struttura di riferimento (Framework) – Si tratta integrare il risk management in tutte le attività e funzioni significative di un’organizzazione per garantirne per la sua efficacia.

È doveroso evidenziare che il processo dipende, in gran parte, dall’integrazione risk management nella governance aziendale, sostenuta dal supporto e dall’impegno della leadership. Ciò permette all’organizzazione di allineare e di mantenere coerente la struttura del risk management con gli obiettivi, con la strategia e con la cultura aziendale. Pertanto, la struttura si concentra su:

Integrazione – Si tratta di comprendere l’organizzazione, impostare una strategia e assegnare le responsabilità prima di implementare un sistema di risk management.

Progettazione – Si tratta di considerare il contesto interno ed esterno al fine di redigere una dichiarazione scritta (policy) in cui la leadership si impegna nel risk management e chiarisce la strategia e l’allocazione dei ruoli a tutti i dipendenti.

Attuazione (Implementazione) – L’implementazione di un sistema di risk management nell’organizzazione implica modifiche in termini di processi aziendali. Inoltre, è importante che la gestione del risk management sia accettata da tutti i dipendenti e che diventi parte integrante dell’operatività aziendale.

Valutazione – È necessario, per garantire l’efficienza a lungo termine, eseguire regolarmente delle verifiche del sistema di risk management, confrontando gli obiettivi prefissati con i risultati effettivi.

Miglioramento – È possibile effettuare revisioni periodiche per apportare miglioramenti costanti. Il sistema di risk management, di fatto, dovrebbe adattarsi dinamicamente ai cambiamenti nell’azienda ed essere quindi sempre più idoneo nel tempo.

Punto 6 – Processo – Il processo è il core della Iso 31000 e fornisce indicazioni su come gestire il rischio attraverso un approccio sistematico, razionale e tempestivo.

Esso prevede un’applicazione sistematica delle policy e delle procedure in termini di: comunicazione e consultazione; campo di applicazione, contesto e criteri; valutazione del rischio; trattamento del rischio; registrazione e reporting; monitoraggio e revisione.

Vediamo in dettaglio di cosa si tratta

1. Comunicazione e consultazione

Si tratta di attività fondamentali nel processo di risk management. In particolare: la comunicazione mira a promuovere la consapevolezza e la comprensione del rischio; mentre la consultazione si concentra sul raccogliere feedback completi per supportare il processo decisionale. Tali attività devono essere continue e richiedono lo sviluppo di piani e di procedure specifiche in termini di: canali e mezzi da utilizzare; designazione dei portavoce e dei destinatari; definizione dei contenuti, dei messaggi e delle tempistiche di comunicazione.

2. Campo di applicazione, contesto e criteri

Ilprocesso di risk management inizia con la definizione del campo di applicazione, del contesto e dei criteri per un’efficace valutazione e trattamento dei rischi.

Campo di applicazione e contesto – Per definire il campo di applicazione e il contesto, occorre considerare: il contesto interno ed esterno; gli obiettivi e le decisioni da prendere; i risultati attesi; gli strumenti e le tecniche di valutazione; le risorse, le responsabilità; i registri da conservare; le relazioni con altri progetti, processi e attività.

Criteri – I criteri di rischio rappresentano i termini di riferimento per determinare la significatività dei rischi all’interno di un’organizzazione e per stabilire se un determinato livello di rischio sia accettabile o tollerabile. Essi devono riflettere i valori, le politiche e gli obiettivi dell’organizzazione, basandosi sul contesto interno ed esterno e sulle opinioni degli stakeholder, oltre a far riferimento a standard, leggi, politiche e altri requisiti.

Inoltre, la definizione dei criteri di rischio implica specificare l’entità e il tipo di rischio che l’organizzazione è disposta ad affrontare rispetto ai suoi obiettivi aziendali, considerando i valori, gli obiettivi e le risorse dell’organizzazione. Ancora, devono essere presi in considerazione la natura e le tipologie di incertezza che possono influenzare i risultati e gli obiettivi, i metodi per misurare le conseguenze e le probabilità, i fattori temporali, la determinazione del livello di rischio, le combinazioni e la sequenza di più rischi, oltre alla capacità dell’organizzazione di reagire ad essi. In base a ciò, ogni organizzazione determinerà, in termini di livello di rischio:

Risk profile – Esso rappresenta il livello attuale di esposizione al rischio che un’organizzazione affronta in un dato momento.

Risk appetite – Esso indica il livello di rischio che un’azienda è disposta ad accettare per generare valore, ed è considerato un elemento essenziale nella gestione del rischio aziendale.

Risk tolerance – Esso definisce il massimo livello di rischio specifico che un’azienda è disposta ad accettare per ciascun tipo di rischio. La risk tolerance stabilisce i limiti entro i quali l’azienda si sente a suo agio nell’operare, in relazione alla sua generale propensione al rischio.

Risk capacity – Si riferisce alla quantità massima di rischio che un’organizzazione può sostenere senza compromettere i suoi vincoli, i requisiti normativi o la sua continuità operativa.

È doveroso evidenziare che l’esposizione al rischio deve essere gestita nel rispetto dei seguenti vincoli:

• Allineamento al risk appetite aziendale.
• Non superare mai la risk capacity.
• Operare all’interno della risk tolerance.

Inoltre, l’organizzazione dovrà eseguire un monitoraggio frequente di questi aspetti, coinvolgendo tutti i livelli gestionali sia strategici sia tattici sia operativi.

3. Valutazione del rischio

La valutazione del rischio implica:

Identificazione del rischio – Riconoscere, individuare e descrivere i rischi che potrebbero facilitare o ostacolare il raggiungimento degli obiettivi, considerando sia le conseguenze tangibili che intangibili.

Esistono diverse tipologie di rischi che possono impattare sull’organizzazione, tra cui:

Analisi del rischio – Comprendere la natura e le caratteristiche del rischio, incluso il suo livello, le fonti, le conseguenze, la probabilità, gli eventi, i possibili scenari, i controlli e la loro efficacia.

Ponderazione del rischio – Supportare le decisioni confrontando i risultati dell’analisi dei rischi con i criteri di rischio stabiliti, per determinare l’importanza del rischio e stabilire se sono necessarie ulteriori azioni.

Durante la fase di valutazione, è essenziale definire anche i parametri di rischio, ovvero valutare, classificare e dare priorità ai rischi in termini di:

• Probabilità del rischio (cioè, la probabilità che il rischio si verifichi).
• Impatto del rischio (cioè, le conseguenze e la gravità del rischio).
• Soglie del rischio per attivare le attività di gestione del rischio.

I parametri di rischio forniscono criteri comuni e coerenti per confrontare i vari rischi da gestire. Senza di essi, sarebbe molto difficile misurare la gravità delle modifiche indesiderate causate dal rischio ed assegnare priorità alle azioni necessarie per pianificare la mitigazione del rischio.

Identificazione del rischio – È importante sottolineare che la risk tolerance e il risk appetite devono sempre essere correlati per comprendere il profilo di rischio di un’organizzazione. Inoltre, la valutazione di ogni rischio individuato avviene in termini di probabilità di accadimento e magnitudo dell’impatto.

Di fatto, ogni organizzazione, nel processo di valutazione, determinerà se il rischio identificato e analizzato rappresenti una minaccia, richiedendo quindi interventi di mitigazione per proteggere il valore dell’organizzazione, oppure un’opportunità, capace di generare valore per l’organizzazione, come illustrato nella figura successiva.

RISCHIO = f (Magnitudo dell’impatto x Probabilità di accadimento)

L’obiettivo della valutazione del rischio è supportare le decisioni e confrontare i risultati dell’analisi del rischio con i criteri di rischio stabiliti, al fine di determinare dove sia necessaria un’azione aggiuntiva.

Tale processo può portare a diverse decisioni, quali:

• non intraprendere ulteriori azioni;
• considerare altre opzioni di trattamento del rischio;
• effettuare ulteriori analisi per comprendere meglio il rischio;
• mantenere i controlli esistenti; riconsiderare gli obiettivi.

Analisi del rischio – L’analisi del rischio rappresenta un elemento fondamentale nel risk management, permettendo di identificare, di valutare e dare priorità ai rischi cui sono esposte le organizzazioni. Tale processo facilita decisioni informate su come allocare al meglio le risorse per minimizzare, monitorare e controllare la probabilità e/o l’impatto di eventi avversi, oppure per massimizzare le opportunità.

L’analisi del rischio può essere condotta in modo sia qualitativo sia quantitativo. Esaminiamo di cosa si tratta.

Analisi qualitativa – L’analisi qualitativa del rischio consiste nel valutare e categorizzare i rischi in base alla loro natura e al potenziale impatto che possono avere sull’organizzazione. Tale tipo di analisi impiega diverse tecniche, quali: il brainstorming per identificare i rischi attraverso sessioni di gruppo, l’uso di checklist basate su esperienze passate; metodi come FEMEA (Failure Mode and Effects Analysis) per determinare l’impatto di potenziali guasti su prodotti o processi.

Nell’analisi qualitativa si possono impiegare, altresì:

• le analisi HAZOP (Hazard and Operability Study) che consentono l’individuazione e la valutazione di possibili rischi e malfunzionamenti di singole parti del sistema e le conseguenze per l’intero;
• la matrice di probabilità e di impatto per classificare i rischi in base alla loro probabilità di occorrenza e impatto potenziale;
• la tecnica SWOT (Strengths, Weaknesses, Opportunities, and Threats) che aiuta a identificare le forze, debolezze, opportunità e minacce nel contesto interno ed esterno.

Di fatto, l’obiettivo dell’analisi qualitativa è di dare priorità ai rischi in base alla loro gravità e probabilità di occorrenza, determinando quali richiedono ulteriori analisi quantitative o azioni immediate.

Analisi quantitativa – L’analisi quantitativa del rischio, invece, mira ad assegnare valori numerici ai rischi per valutarne il potenziale impatto finanziario o operativo sull’organizzazione. Tale analisi utilizza tecniche, quali:

• l’analisi del valore atteso, che calcola l’impatto medio di un rischio moltiplicando la probabilità di ogni esito per il suo impatto finanziario;
• la simulazione Monte Carlo che modella migliaia di scenari possibili per valutare le distribuzioni di probabilità degli esiti;
• l’analisi degli alberi di decisione (Decision Tree Analysis) che è una tecnica visiva e analitica per prendere decisioni in condizioni di incertezza, valutando alternative decisionali e probabilità associate.

È doveroso evidenziare che l’analisi quantitativa è particolarmente utile per i rischi esprimibili in termini numerici e per i quali sono disponibili dati sufficienti, aiutando a comprendere l’entità del rischio in termini finanziari e a stabilire un ordine di priorità per le azioni di mitigazione basate su un’analisi costi-benefici.

Si raccomanda di consultare l’ISO/IEC 31010:2019 – “Risk assessment techniques” che offre indicazioni dettagliate sulla selezione e sull’applicazione delle tecniche per la valutazione del rischio in diverse situazioni.

Inoltre, è importante sottolineare che l’analisi del rischio spesso richiede un equilibrio tra analisi qualitativa e quantitativa.

Inoltre, è importante ricordare che l’analisi del rischio non è un evento isolato, ma un processo continuo che deve essere regolarmente aggiornato per riflettere i cambiamenti nel contesto operativo e strategico dell’organizzazione.

Ponderazione del rischio – La ponderazione del rischio consiste nell’assegnare un punteggio o un “peso” a ciascun rischio in base alla valutazione dello stesso, in modo tale che i rischi che combinano un’alta probabilità con un alto impatto ricevano la massima priorità. Tale processo aiuta a stabilire un ordine di priorità tra i vari rischi, orientando l’allocazione delle risorse verso le aree di maggiore preoccupazione. Pertanto, attraverso un processo sistematico di identificazione, di valutazione e di ponderazione dei rischi, le organizzazioni possono migliorare la loro resilienza e la capacità di raggiungere gli obiettivi strategici, nonostante l’incertezza.

4. Trattamento del rischio

In questa fase è necessario selezionare il trattamento del rischio più adeguato e progettare i piani per la sua attuazione, stabilendo come verranno implementate le varie opzioni di trattamento.

È fondamentale formulare e selezionare le opzioni di trattamento, pianificare e attuare il trattamento scelto, e decidere se il rischio residuo sia accettabile. Se il rischio residuo non risulta accettabile, è necessario intraprendere un nuovo trattamento. Inoltre, è importante sottolineare che ogni scelta di trattamento del rischio dovrebbe basarsi sul rapporto costi/benefici in relazione agli obiettivi stabiliti, ai costi o agli eventuali svantaggi.

Il piano di trattamento del rischio deve specificare la logica alla base della scelta delle opzioni – inclusi i benefici attesi – oltre a identificare chi è responsabile per l’attuazione. Inoltre, il piano deve anche:

• definire le competenze necessarie;
• prevedere la pianificazione della formazione o altre azioni per soddisfare queste esigenze;
• elencare sia le azioni da eseguire sia le misure, sia le risorse e i vincoli;
• stabilire le modalità di registrazione e reporting;
• indicare la data di inizio e di fine delle attività.

5. Registrazione e rendicontazione

Il processo implica la comunicazione delle attività e dei risultati della gestione del rischio all’interno dell’organizzazione, fornendo informazioni utili per interagire con le parti interessate, per migliorare il processo decisionale e le attività di risk management. Inoltre, l’organizzazione dovrà redigere un registro dei rischi, che documenti i rischi affrontati e le risposte adottate.

Ogni rischio documentato nel registro dovrebbe includere, almeno, una descrizione, la probabilità, il potenziale impatto, la priorità rispetto agli altri rischi, le azioni di mitigazione e il responsabile del rischio (risk owner).

6. Monitoraggio & Revisione

L’obiettivo di questa fase è di migliorare la qualità e l’efficacia della progettazione e dell’attuazione del sistema di risk management. Ovvero, si tratta di monitorare il processo di risk management e i relativi risultati, identificando opportunità di miglioramento.

È necessario pianificare, raccogliere e analizzare le informazioni, registrando i risultati ottenuti, oltre a fornire feedback sulle attività svolte e incorporare – ove necessario – i risultati del monitoraggio, delle misurazioni e del reporting per facilitare azioni correttive.

Risk management: quali vantaggi per l’impresa

L’adozione dei principi di risk management, in un momento di grandi incertezze come quello attuale, è importante perché consente di affrontare i rischi in modo sistematico, efficace ed efficiente. Inoltre, grazie al risk management, l’organizzazione è in grado di effettuare una valutazione accurata dei rischi e di intraprendere il trattamento dei rischi, che può essere ricondotto a quattro tipi di risposta: accettare, evitare, ridurre o condividere il rischio.

Ancora, il risk management permette di cogliere nuove possibilità, oltre a contribuire al contenimento dei danni. Senza dimenticare che è fondamentale per garantire la conformità ai requisiti legali e normativi pertinenti e alle norme internazionali, migliorando la rendicontazione sia obbligatoria sia volontaria delle organizzazioni.

Pertanto, l’organizzazione, grazie all’adozione dei principi del risk management è in grado di:

• migliorare la governance;
• aumentare la fiducia delle parti interessate, sia interne sia esterne;
• migliorare il processo decisionale e la pianificazione;
• garantire l’ottimizzazione dei controlli;
• permettere un’allocazione e un utilizzo più efficace delle risorse destinate al trattamento del rischio.

Di seguito un recap del ciclo di vita del risk management che evidenzia l’approccio Plan-Do-Check-Act (PDCA) nell’ottica di miglioramento continuo.

Concludendo, ogni fase del processo di gestione del rischio è interconnessa e iterativa. Inoltre, un’efficace gestione del rischio richiede un impegno continuo, con l’obiettivo di migliorare continuamente la capacità dell’organizzazione di affrontare i rischi in modo proattivo e sistematico per affrontare gli scenari di permacrisi e policrisi che stiamo vivendo.

Cybsec-news.it vi invita alla seconda edizione della CYBSEC EXPO, in programma a Piacenza dal 21 al 23 Maggio 2025.