IL RISK ASSESSMENT E LA NORMA UNI ISO 31000

A partire dal settembre 2015, con transitorietà fino a settembre 2018, il risk assessment è diventato un requisito “cogente” a causa dell’emissione della nuova edizione della norma ISO 9001. La nuova norma introduce in modo rivoluzionario un concetto al quale si era abituati, in linea di principio, in ottica di valutazione dei rischi per la salute e la sicurezza sul lavoro, ma non in modo esteso a tutto quanto possa in qualche modo minare o, comunque, limitare la capacità dell’azienda di produrre beni o servizi. Con la nuova ISO 9001 il concetto di valutazione del rischio spazia senza misura lasciando libertà nelle modalità operative ma pretendendo che l’azienda affronti e prenda in considerazione tutto quello che impatta sulla continuità dei processi aziendali.

Lo strumento con il quale affrontare la gestione del rischio, però, è regolamentato da un’altra norma di riferimento, già presente da tempo, ma ancora poco utilizzata: la norma UNI ISO 31000 del 2010 dal titolo “Gestione del rischio – Principi e linee guida”.

Tale norma è rivolta alle risorse che hanno il compito di valutare il cosiddetto risk management e quindi alle figure con ruolo di gestione degli aspetti di rischio di qualsiasi attività, sia pubblica che privata, che abbiano bisogno di gestire tutti gli eventi. L’obiettivo di questa norma è offrire uno schema orientativo, che permetta di definire ed adottare una modalità completa ed efficace di valutazione dei rischi che possono impattare sui processi aziendali e di definire i corrispondenti interventi volti a prevenire o mitigare gli effetti di tutti gli eventi potenziali ed indesiderati.

La norma impronta la metodologia a partire da una definizione innovativa e molto più concettuale di rischio inteso come “l’effetto dell’incertezza sugli obiettivi”. Così adesso la valutazione del rischio diventa il “processo complessivo di identificazione del rischio, analisi del rischio e ponderazione del rischio” abbandonando così il concetto di rischio, a cui siamo più abituati, come derivante dalla identificazione dei pericoli e quindi dalla valutazione dei rischi correlati. In questa nuova ottica di analisi è importante evidenziare l’accezione diversa del datore di lavoro che assume il ruolo de “la persona con responsabilità e l’autorità per gestire un rischio”.

Inoltre, la norma UNI ISO 31000 afferma che “la gestione del rischio crea e protegge il valore” sottolineando come la gestione del rischio sia finalizzata a fare in modo che l’azienda continui a persistere e svilupparsi nel tempo e abbia la capacità di reagire al cambiamento (concetto questo fondamentale nelle norme inerenti i sistemi di gestione della Salute, Sicurezza, Ambiente e Qualità).

Per la norma “la gestione del rischio è parte integrante di tutti i processi dell’organizzazione” e, quindi, deve essere improntata come trasversale a tutti i processi della stessa. Per questo la valutazione e la gestione del rischio è considerata un’attività sistematica, strutturata e tempestiva che, solamente se continua e strutturata, diviene più efficace ed efficiente anche in termini di tempi di risposta.