Società del rischio? Parola ai sociologi...
Due tra i più autorevoli sociologi contemporanei, Z. Buaman e U. Beck, hanno rispettivamente teorizzato la nascita di una “società dell’incertezza” e di una “società mondiale del rischio”. Correndo il rischio di semplificare, la prima consiste fondamentalmente in una reazione post-moderna agli ideali positivisti di sicurezza e di ordine sociale e nel riaffermarsi della centralità della libertà individuale a scapito delle istituzioni e degli ideali propri dell’era moderna. La seconda è invece riconducibile alle conseguenze non prevedibili, non controllabili, talvolta addirittura non comunicabili, derivanti dal progresso scientifico-tecnologico ed al delicato, conseguente equilibrio tra sicurezza e rischio che la società è chiamata ad accettare.
Senza eccedere in digressioni filosofiche è innegabile che paradossalmente, nell’attuale contesto, proprio la dinamicità e la mutevolezza degli scenari paiono essere l’unica certezza per le organizzazioni, siano esse imprese, autorità o pubbliche amministrazioni, associazioni di categoria od organizzazioni non-governative.
Siamo dunque, come sostiene Beck, verso una “cultura dell’insicurezza” od una “cultura del rischio”? Non è questa forse la sede per rispondere a tale domanda; più cautelativamente si può affermare che, mai come oggi, poter attuare dei processi gestionali che consentano di rispondere alla incertezza degli scenari, alla crescente richiesta di trasparenza e conoscenza da parte di opinione pubblica e parti interessate, ai nuovi principi di sostenibilità e responsabilità sociale, paiono essere utili strumenti per la stessa esistenza ed il successo di una qualsiasi organizzazione.
Anche per queste ragioni, è evidente il crescente interesse verso il dominio di conoscenza noto come “gestione del rischio” (risk management).

Rischio e gestione del rischio: due definizioni complesse
Grazie al successo riscosso, nell’ultimo ventennio, dai sistemi di gestione per la qualità prima (serie ISO 9000) e per la gestione ambientale (serie ISO 14000, EMAS) poi, il concetto di gestione (management) è ormai chiaro e definito.
Per arrivare allora ad una definizione convincente di gestione del rischio parrebbe sufficiente definire il termine rischio. Facile? Non proprio.
In ambito normativo volontario sono infatti emerse due insidie, di non immediata soluzione, che si possono sintetizzare attraverso le seguenti domande: come si esplicita il legame tra rischio, evento e conseguenza/e dell’evento? Il rischio è bilaterale, ovvero esistono rischi positivi?
Alla prima domanda ha risposto la Guida ISO/IEC 73, definendo il rischio come “combinazione della probabilità di un evento e delle sue conseguenze”. Una definizione tipicamente anglosassone, improntata più alla pratica che all’ontologia, che ha il pregio di creare un legame logico, seppur implicito, con i concetti di pericolo (causa di un evento) e di danno (conseguenza di un evento) e di introdurre il metodo di calcolo associato alla dimensione del rischio di quest’ultimo (prodotto di probabilità e severità stimate).
Rimane ora da capire se il rischio è associabile unicamente ai pericoli e alle minacce, come accade tipicamente in ambito sicurezza o, come invece sostenuto in ambito finanziario (in particolare dopo Basilea), ad una situazione d’incertezza circa l’esito di un evento e quindi anche a potenziali opportunità, a loro volta causa di eventuali conseguenze positive o benefici. Il dibattito sui cosiddetti rischi positivi è ancora in corso ma pare che ai vari livelli nazionale (UNI) ed internazionale (CEN/ISO), la visione bilaterale stia prendendo piede.

In ogni caso, la definizione della ISO/IEC 73 pare convincere più o meno tutti e, non a caso, anche l’altro riferimento normativo in materia (sempre volontario, s’intende), la norma australiana/neo-zelandese AN/NSZ 4360, adotta grossomodo tale soluzione, definendo il rischio come “possibilità che possa accadere qualcosa avente un impatto sugli obiettivi”, ma specificando in nota che “il rischio è generalmente misurato in termini di combinazione tra la verosimiglianza o probabilità di un evento e le sue conseguenze”. Sorvolando sulla sottigliezza “verosimiglianza vs probabilità” (likelihood vs probability) e sull’introduzione degli “obiettivi” (la norma australiana è concepita ai fini della certificazione del sistema di gestione del rischio), pare che ci siamo.
Allora tutti d’accordo quando la Guida 73 definisce la gestione del rischio come: “attività coordinate per dirigere e controllare un’organizzazione con riferimento ai rischi”? Gli australiani preferiscono invero spingersi un po’ oltre, mettendo in gioco, oltre ai processi, anche la cultura e le strutture finalizzate al conseguimento di opportunità ed alla contemporanea gestione delle avversità. Al di là di eventuali imprecisioni nella traduzione, come si vedrà nel seguito, sarà il dibattito in sede ISO a dirimere la questione.

Attuare la gestione del rischio
Riprendendo le precedenti definizioni di risk management (gestione del rischio) è evidente un punto comune: la gestione del rischio consiste in un insieme di processi, logicamente distinti ma interagenti, che danno origine ad una metodologia sistematica e formalizzata, al punto da potersi definire una cultura o, più cautelativamente, un dominio di conoscenza emergente.
Del resto un nuovo approccio basato sul rischio (risk-based approach), che va ormai ben oltre il concetto primigenio di insurance management - ovverosia il trasferimento finanziario attraverso copertura assicurativa di specifici rischi - è percepibile a più livelli ed ha portato un crescente numero di organizzazioni ad incorporare la gestione del rischio all’interno della propria struttura organizzativa, nonché ad una crescente attenzione verso la figura del risk manager (responsabile della gestione del rischio).
È altresì accettato che la gestione del rischio, date le sue intrinseche caratteristiche di trasversalità, in special modo la sua funzione di supporto al processo decisionale (decision-making), si presti a svariati impieghi, spesso sinergici, con gli altri consolidati processi di governance (direzione), sposandosi perfettamente con lo schema concettuale PDCA (Plan, Do Check, Act) e configurandosi quale strumento utile al miglioramento continuo.
Ma allora, come sostengono gli australiani, il risk management (gestione del rischio) può essere considerato un sistema di gestione al pari di quelli per la qualità e per l’ambiente? È dunque possibile certificare un sistema di gestione dei rischi? Nonostante qualche voce fuori dal coro (Svizzera ed Austria, ad esempio) la posizione consolidatasi in ISO e in CEN è, quanto meno al momento, negativa. Il motivo è da ricercarsi nel fatto che se da un lato i processi della gestione del rischio sono ben definiti e condivisi, dall’altro la loro applicazione è fortemente influenzata dalle peculiarità dello specifico settore, oltre che dal quadro legislativo pertinente. Non è peraltro mistero che in determinati ambiti quali sicurezza, tecnologie dell’informazione, energie, medicale, elettro-tecnico, ambientale, esistano situazioni già ben consolidate per quanto concerne i rischi e la relativa gestione.
Per queste ragioni pare prematuro parlare di un sistema di gestione dei rischi e gli sforzi sono focalizzati piuttosto verso la definizione ed il corretto inquadramento dei suddetti processi, l’individuazione di linee guida generali per l’attuazione e, non per ultima, la definizione di una terminologia di base condivisa.

ISO, CEN ed UNI al lavoro
Sia l’ISO che il CEN, come già anticipato, hanno rifiutato l’impostazione propria dei sistemi di gestione e si sono indirizzati verso l’elaborazione di documenti quadro generali, sotto forma di linee guida. Sapendo infatti di partire da una solida seppur eterogenea base, formata da regolamenti internazionali, direttive comunitarie, norme tecniche (ISO, IEC, CEN e nazionali), linee guida e codici di pratica settoriali, è parso prioritario armonizzare l’esistente, ponendo solide basi per successive specifiche attività.
A livello comunitario si è ritenuto di affrontare dapprima il tema della valutazione del rischio (Risk Assessment) ponendosi in un’ottica di approccio progressivo ed è stato istituito un gruppo di lavoro (CEN BT/WG 160 Risk Assessment) allo scopo di valutare lo stato dell’arte di settore.
Il gruppo ha esaurito il suo primo mandato nel novembre 2004 ed ha elaborato un documento d’analisi e di indirizzo al quale è seguita l’organizzazione della conferenza CEN Conference on standards and best practices in Risk Assessment (Bruxelles, 16 giugno u.s.).
Attraverso tali iniziative e la promozione di best-practice nazionali, si prevede, in un tempo stimato in due anni, l’inizio di una vera e propria attività normativa. Il mandato del gruppo è stato esteso ai fini di un coordinamento con le attività ISO.
In ambito internazionale invece, a seguito del rifiuto di adozione diretta della già citata AS/NSZ 4360, l’ISO ha costituito un nuovo gruppo di lavoro (ISO/TMB/WG Risk Management) alle dirette dipendenze dell’organo tecnico superiore dell’ISO stessa (TMB - Technical Managment Boad), affidando la segreteria al JISC, ossia l’Ente di normazione nipponico.

Si è ancora nella fase di elaborazione di una prima bozza di norma (WD - working draft) della futura ISO 25700, dalla quale si evince la volontà di affrontare la tematica della gestione del rischio nel suo complesso, senza limitarsi al solo processo di valutazione. Il progetto, che vede sempre nella Guida ISO/IEC 73 e nella AS/NZS4360 i riferimenti fondamentali, sembra decisamente improntato a fornire principi, linee guida e best practice per l’attuazione, validi per qualsiasi tipo di organizzazione.
Obiettivo dell’ISO è arrivare alla pubblicazione della norma entro il 2008, rispettando i tempi di elaborazione previsti, pari a tre anni; sin dalle prime riunioni (Tokyo, 5-7 settembre 2005, Sidney, 20-23 febbraio u.s. e Vienna 11-15 settembre u.s.) si sono evidenziati l’estremo interesse e l’attualità della tematica, come testimoniato dalla nutrita presenza e dal vivace dibattito.
L’Italia segue direttamente le attività ISO e CEN, attraverso il gruppo di lavoro UNI Terminologia della gestione del rischio. A tale organo tecnico, istituito già sul finire del 2003 a seguito di un’indagine preliminare svolta dall’Ente, compete il coordinamento della delegazione italiana e l’elaborazione di una norma terminologica nazionale.
Sotto la conduzione dell’on. prof. Antonio Borghesi, tra i maggiori esperti nazionali sul tema (presidente del Comitato Scientifico di ARIMAS Academic Risk Management Association), e forte di una rappresentanza bilanciata tra tutte le parti interessate - tra cui spicca la presenza del mondo bancario (ABI), una gradita peculiarità dell’iniziativa nazionale - la norma, dal titolo “Gestione del rischio - Vocabolario” è giunta alla fase di inchiesta pubblica. La bozza definitiva del documento è pertanto attualmente disponibile sul sito dell’UNI e la pubblicazione è prevista per i primi mesi del prossimo anno.

Marco Cibien
Funzionario Tecnico UNI