Verso una “cultura del rischio”
Nell’attuale contesto socio-economico globalizzato diventa sempre più fondamentale per le organizzazioni - siano esse imprese, amministrazioni pubbliche, associazioni imprenditoriali, organizzazioni non-governative - poter attuare dei processi gestionali che consentano di rispondere alla mutevolezza ed incertezza degli scenari, alla crescente richiesta di trasparenza e conoscenza di opinione pubblica e parti interessate, ai nuovi principi di sostenibilità e responsabilità sociale; processi che mirino, in definitiva, a garantire l’esistenza ed il successo delle organizzazioni medesime.
L’insieme delle tecniche e delle metodologie finalizzate a quella che si potrebbe definire la “gestione dei processi d’impresa” è senza dubbio assai complesso ed articolato, anche a livello normativo, data anche la spiccata trasversalità che spesso compete ai domini di conoscenza coinvolti.

Ad ogni modo, mai come oggi, è percepibile un’esigenza di maggiore consapevolezza circa i rischi che incombono sulle varie attività umane, nonché di una loro efficace gestione e pertanto va progressivamente affermandosi una vera e propria “cultura del rischio” basata, a sua volta, su una metodologia sistematica e formalizzata capace di individuare il contesto, valutare - qui da intendersi come traduzione di assess ovvero l'insieme delle fasi di: analisi e ponderazione - trattare, monitorare e comunicare i rischi, nota appunto come “Gestione del Rischio” (Risk Management).

L’importanza di questo nuovo approccio basato sul rischio (risk-based approach) è percepibile a più livelli ed ha portato un numero crescente di organizzazioni ad incorporare la gestione del rischio, al pari di altri consolidati processi di gestione, nella propria struttura e cultura, quale strumento di supporto al processo decisionale (decision-making).
In tal senso pare affermarsi anche la nuova figura professionale del “Risk Manager”.

La gestione del rischio: il quadro normativo e le attività dei gruppi di lavoro CEN/BT WG 160 “Risk assessment” ed ISO/TMB/WG “Risk management”
Alla luce di tale contesto il mondo della normazione ha approcciato la tematica, sapendo di partire da una solida, seppur eterogenea base formata da: regolamenti internazionali, direttive comunitarie, norme tecniche (ISO, IEC, CEN e nazionali), linee guida e codici di pratica settoriali.
Soffermandosi sulle norme tecniche volontarie, si può certamente notare come, a causa delle caratteristiche intrinseche e dei legami e/o vincoli di carattere legislativo di alcuni specifici settori - tipicamente: sicurezza, tecnologie dell’informazione, energetico, medicale, elettro-tecnico, ambientale - esistano situazioni già ben consolidate. Premessa la volontà di favorire la penetrazione dell' “approccio basato sul rischio” in settori storicamente meno sensibili a tali aspetti - con particolare riferimento alle piccole/medie imprese - la prima necessità, condivisa sia a livello ISO che CEN, è parsa pertanto essere quella di elaborare un documento generale, sotto forma di linee guida, capace di inquadrare efficacemente gli aspetti trasversali inter-settore della tematica (concetti e principi generali, terminologia fondamentale, guida per il supporto all’attuazione), armonizzare l’esistente e gettare contemporaneamente le basi per successive specifiche attività.

A livello CEN si è ritenuto di affrontare dapprima il tema della “Valutazione del rischio” ed è stato istituito un gruppo di lavoro alle dirette dipendenze del Bureau Tecnique (CEN BT/WG 160 “Risk assessment”) allo scopo di valutare lo stato dell’arte di settore (si riporta in proposito un’interessante schema elaborato dal Gruppo di lavoro). Il gruppo ha esaurito il suo primo mandato nel novembre 2004 ed ha elaborato un documento d’analisi ed indirizzo, dal quale emerge la volontà di un approccio progressivo che, partendo da una conferenza e relativo documento di accordo (CWA, CEN Workshop Agreement), nonché attraverso la promozione di best-practice (buona pratica) nazionali, porti, in un tempo stimato in due anni, all’inizio di una vera e propria attività normativa.
In base alle ultime decisioni del CEN/BT (riunione del 19-20 maggio 2005) il mandato del BT/WG 160 è stato rinnovato, anche nell’ottica di un coordinamento con le nuove attività ISO, ed è pertanto attesa l’organizzazione del workshop.

A livello ISO invece, a seguito del rifiuto di adozione diretta (Procedura ISO Fast-Track) della norma australiana/neo-zelandese AS/NSZ 4360 “Risk management”, è stata affidata al JISC - l’Ente di normazione giapponese - la segreteria del nuovo gruppo di lavoro ISO/TMB/WG “Risk management”, il quale ha elaborato un nuovo progetto di norma riguardante “linee guida generali su principi ed attuazione della gestione del rischio”. In base ai risultati dell’inchiesta, recentemente circolati, la proposta ha avuto esito positivo ed è recente la circolazione di una primissima bozza di norma, dalla quale si evince la volontà di affrontare la tematica della gestione del rischio nel suo complesso senza limitarsi, come invece deciso a livello comunitario, al solo processo di valutazione dei rischi.
Tale bozza costituisce una prima base di partenza per l’apertura ufficiale dei lavori (Giappone, Tokyo dal 5 al 7 settembre 2005).

In entrambi i casi per quanto concerne gli aspetti terminologici si sono identificati quali riferimenti la ISO/IEC Guide 73 “Risk management - Vocabulary - Guidelines for use in standards” e la ISO/IEC Guide 51 “Safety aspects - Guidelines for their inclusion in standards” in ambito sicurezza.

Non mancano infine, come già accennato, alcune significative iniziative nazionali, alcune delle quali sono riportate nella tabella che segue.

UNI: mandato ed attività del GL “Terminologia della gestione del rischio”
Percependo l’importanza ed il crescente interesse verso il tema, la prima iniziativa UNI è stata l’attivazione della Commissione Centrale Tecnica (CCT) e la creazione, nel novembre 2002, di un gruppo di studio, coordinato dal vice presidente Elio Tolle, avente come scopo la individuazione e la valutazione dello “stato dell’arte” internazionale (a livello di iniziative e documenti di carattere normativo o paranormativo), delle esigenze delle parti interessate in ambito nazionale e delle eventuali iniziative di carattere normativo.
Dopo un anno di lavoro (Decisione n. 21, 20 novembre 2003), in attesa di conoscere gli indirizzi europei in materia, il gruppo di studio viene trasformato in organo tecnico con un mandato temporaneamente limitato alla elaborazione di una norma terminologica: nasce così il Gruppo di lavoro “Terminologia della gestione del rischio”.
Il Gruppo di lavoro dipende direttamente dalla CCT, il coordinamento è affidato al prof. Antonio Borghesi (Università degli Studi di Verona e Presidente del Comitato Scientifico di ARIMAS “Academic Risk Management Association”) ed, a garanzia di un corretto bilanciamento tra le parti interessate, si segnala la partecipazione di: ABI, AICQ, ANIA, ANRA, Assolombarda, Bureau Veritas, CESI, INAIL, ISPESL, Politecnico di Milano, SINCERT, UNICHIM, Unione Industriale Torino.
Il gruppo si è riunito per la prima volta il 13 Maggio 2004 e la stesura del documento terminologico è tuttora in corso; le riunioni si succedono con cadenza mensile e si prevede di giungere ad una prima bozza entro la fine dell’anno.
La presenza del mondo bancario ed assicurativo, oltre a rappresentare una gradita peculiarità della iniziativa italiana, ha senza dubbio contribuito ad arricchire il dibattito che, partendo comunque dalla documentazione raccolta dal gruppo di studio e dai riferimenti delle ISO/IEC Guide 73 e 51, prosegue non privo di spunti di originalità ed interesse.

Il GL segue ovviamente con estrema attenzione l’evoluzione dei progetti CEN ed ISO e, pur non ritenendo che nell’immediato questi possano rappresentare un limite o un vincolo per l’attività nazionale in corso, è impegnato nella definizione di una posizione nazionale nel merito e nella creazione di un’autorevole delegazione in vista di una partecipazione attiva ai lavori.
Opinione condivisa all’interno del gruppo è che il tema della gestione del rischio non possa essere affrontato secondo la logica propria dei sistemi di gestione, bensì nel rispetto della pluralità dei possibili approcci, in funzione delle specifiche situazioni nazionali o regionali (e del relativo quadro in ambito cogente), dei differenti settori e del tipo di organizzazione. L’obiettivo principale rimane, come già indicato, favorire la diffusione di una “cultura del rischio” e portare a conoscenza di un crescente numero di organizzazioni, piccole/medie imprese in special modo, “best practice” ormai consolidate tuttavia non ancora entrate nella prassi quotidiana di svariate realtà del tessuto socio-economico nazionale.

Marco Cibien
Funzionario Tecnico Comparto Impresa e società UNI