Valutazione dei rischi aziendali

Il processo per la valutazione ed analisi dei rischi aziendali, è l’attività di valutazione che viene effettuata per definire quelli che siano i pericoli e gli impatti durante un processo o su un prodotto.

Tutti i requisiti obbligatori, salute e sicurezza, sicurezza alimentare e privacy, richiedono l’effettuazione di una valutazione ed analisi dei rischi. Il processo di valutazione è suddiviso in tre fasi principali:

• Identificazione di quelli che possono essere i pericoli aziendali sulla base dei processi da effettuare, delle materie prime, e dei prodotti finiti;
• Valutazione dei rischi aziendali, della loro gravità e probabilità di accadimento, in tutte le fasi di processo;
• Identificazione delle azioni di mitigazione dei rischi aziendali. Che possono essere preventive e di processo.
• Per poter trovare efficacia in questa fase, la valutazione ed analisi dei rischi aziendali, dovrà essere effettuata ricercando la partecipazione di un gruppo di figure competenti e con esperienza interdisciplinare. Per riuscire ad avere una valutazione veritiera e coerente.

Valutazione dei rischi: perché è importante la prevenzione dei rischi?

Il processo di valutazione, è importante perché permetterà di attuare attività di prevenzione dei rischi. Le più efficaci. In quanto la prevenzione, è sempre l’arma più importante che ha a disposizione un imprenditore.

Oltre ciò, la dove non si riuscisse nelle attività di prevenzione, a seguito della valutazione dei rischi aziendali, verranno definite la azioni di mitigazione dei rischi riscontrati. L’organizzazione dovrà mettere in atto, per eliminare o mitigare ad un livello accettabile le azioni di mitigazione dei rischi più efficaci.

L’analisi e valutazione dei rischi, può essere applicata a vari criteri e requisiti, che possono essere di natura obbligatoria, e strategica come richiesti dalle norme e standard di certificazione, contrattuali.

Saper effettuare una valutazione è un prerequisito fondamentale per ogni attività, così come avere le risorse necessarie e la competenza per attribuirgli delle azioni di mitigazione dei rischi aziendali riscontrati.

Non a caso, anche le più importanti norme di certificazione internazionale si basano sui principi del risk based thinking, o pensiero basato sul rischio, che abbiamo trattato in questo articolo.

Per effettuare una coerente ed esaustiva valutazione del rischio, non basta però avere competenze sui processi. E’ fondamentale utilizzare un approccio metodico. Per questo ci viene in aiuto la linea guida ISO 31000 specifica per il Risk Management.

Non aver valutato correttamente i rischi aziendali, può mettere a rischio il raggiungimento degli obiettivi. Possono esserci conseguenze economiche, di infortunio sul lavoro o di patologie dovute al consumo di alimenti non salubri per il consumatore. A seconda del contesto d’attuazione dell’analisi dei rischi.

Valutazione dei rischi aziendali: a cosa si applica?

Come abbiamo visto tutti i requisiti obbligatori e volontari richiesti dalle norme sui sistemi di gestione richiedono l’adozione di un sistema efficace per la valutazione ed analisi dei rischi. Vediamo alcuni esempi:

• Rischi per la Salute e Sicurezza sul Lavoro – Sono rischi che possono essere impattanti sulla salute e sulla sicurezza dei luoghi di lavoro. Lo scopo è la prevenzione di infortuni e malattie professionali;
• Rischi per la Sicurezza Alimentare – Inerenti ai rischi per la sicurezza alimentare in ambito europeo che prende il nome di HACCP o il sistema americano HARPC. Lo scopo è l’analisi e la valutazione dei rischi sulla frode alimentare o sulla difesa dei prodotti;
• Rischi Ambientali – Inerenti ai rischi relativi agli impatti ambientali dell’azienda;
• Rischi sulla Protezione dei dati – Inerenti ai rischi sulla gestione della privacy e della sicurezza dei dati e delle informazioni;
• Rischi ed opportunità – È l’analisi dei rischi e delle opportunità utilizzata dalle norme internazionali di certificazione. Si basa sull’evidenziare quali siano gli aspetti critici per il non raggiungimento degli obbiettivi e individuare le opportunità di miglioramento. In questo caso la valutazione del rischio tiene conto di fattori strategici, legalità, ambiente, economici, di mercato ecc;
• Rischi aziendali in genere – Si tratta di analisi trasversali che servono a valutare i punti di forza e di debolezza per intervenire in maniera più efficace.

Anche se riferitasi ed inerenti a requisiti sui pericoli aziendali differenti, tutte le tipologie di valutazione ed analisi dei rischi, terminano con la definizione di azioni a mitigazione dei rischi rilevati per la prevenzione ed abbattimento dei pericoli aziendali.

Nell’era odierna esistono molteplici strumenti utili per effettuare una valutazione aziendale. Tuttavia, per saper valutare un rischio, non si deve solamente saper conoscere il funzionamento di taluni software. Ma si deve essere competenti nelle materie per le quali dobbiamo effettuare la valutazione.

Definizione delle Azioni di Mitigazione e Prevenzione

Il processo per la definizione dei pericoli aziendale e della valutazione ed analisi dei rischi può essere applicato come abbiamo visto a molti criteri. Per effettuare una efficace valutazione dobbiamo prima definire bene i seguenti fattori:

• Definizioni:
  • Rischio: fa riferimento alla pericolosità di un evento. È determinato dal prodotto tra P (probabilità dell’evento) e G (gravità), secondo la seguente formula: R = PxG.
  • Probabilità (P): si intende la probabilità che l’evento indesiderato si possa verificare tenendo conto delle misure precauzionali già in essere al momento della valutazione del rischio. In genere viene distinta in 3-4 classi.
  • Gravità (G): detta anche magnitudo (M), è intesa come la gravità delle conseguenze dell’evento indesiderato. In genere viene distinta in 3-4 classi.
  • Pericolo, sorgente di rischio: si intende l’entità o l’evento in grado di provocare i danni.
• Identificazione:
  • L’organizzazione dovrà definire, a seconda dello scopo della valutazione dei rischi, i pericoli che possono avere un impatto sui processi. Ovviamente questo dato sarà recuperato da storicità, pericolosità a seconda dell’ambito di valutazione;
• Processo:
  • L’organizzazione dovrà stilare dei flowchart di processo e collocare nelle varie fasi i pericoli individuati;
• Operatività:
  • Per ogni possibile rischio, dovranno quindi essere identificati la probabilità che accadano e la gravità o il danno dell’avvenimento in merito all’aspetto per il quale stiamo effettuando un’analisi del rischio. La seguente tabella è un esempio applicativo di “Matrice del Rischio” risultante dalla combinazione di tre classi di probabilità e tre di gravità. Esempio di matrice del rischio:

	1 Poco Probabile	2 Probabile	3 Molto Probabile
1 Poco Impattante	IRRILEVANTE	TOLLERABILE	MODERATO
2 Moderatamente Impattante	TOLLERABILE	MODERATO	EFFETTIVO
3 Molto Impattante	MODERATO	EFFETTIVO	INTOLLERABILE

Il processo per la valutazione prosegue con l’associazione alle 5 classi di un rischio. Alle qualità potrà essere attuata un’azione di mitigazione dei rischi qualora risultino non accettabili:

• Irrilevante (B):nessuna azione di mitigazione dei rischi e documentazione è richiesta, perché non sussiste nessun rischio rilevante.
• Tollerabile (B): non sono richieste ulteriori azioni di controllo, in quanto il rischio per i pericoli aziendali non risulta impattante. Si possono, tuttavia, cercare miglioramenti che non comportino l’impiego di risorse significative. Il monitoraggio è richiesto per garantire che i controlli siano mantenuti.
• Moderato (M): degli sforzi devono essere fatti per ridurre il rischio valutando nel contempo i costi della prevenzione. Le misure di mitigazione dei rischi per ridurre il rischio dovrebbero essere effettuate in un tempo determinato. Dove il rischio moderato è associato a conseguenze estremamente dannose, un’ulteriore stima è richiesta per stabilire più precisamente la probabilità di accadimento. Tale stima verrà utilizzata come base per fissare le necessarie azioni di controllo da intraprendere.
• Effettivo (A): il lavoro non dovrebbe essere svolto finché il rischio per i pericoli aziendali identificati non è stato ridotto. Devono essere impegnate con urgenza le risorse necessarie al fine di ridurre il rischio.
• Intollerabile (A): il lavoro non deve essere svolto finché il rischio non è stato ridotto. Se non è possibile ridurre il rischio per i pericoli aziendali identificati anche con l’impiego di risorse elevate, il lavoro deve essere proibito.

A seguito della valutazione l’azienda a questo punto dovrà mettere in atto una serie di azioni di mitigazione del rischio identificato, e definire dei monitoraggi per la verifica delle azioni intraprese.

Le azioni di mitigazione dei rischi possono essere comprendere, formazione delle risorse, utilizzo di specifiche attrezzature, strumentazioni, implementazione di procedure di prevenzione e o di abbattimento dei pericoli aziendali, monitoraggi e verifiche ed altri.

Ad ogni rischio, correlato a dei pericoli aziendali impattanti, dovrebbe avere correlato un obiettivo ed indicatore, volti alla verifica dell’efficacia dell’azione di mitigazione dei rischi attuata, ed al miglioramento delle sue performance.

Analisi dei rischi: andare oltre

È chiaro che saper effettuare una valutazione del rischio aziendale oggi giorno non basta. È un’importante prerequisito, ma le organizzazioni sono un entità in movimento e come tale i loro rischi e pericoli aziendali. Consigliamo quindi di avere famigliarità con la gestione dei rischi sistemica, tramite l’implementazione di sistemi di gestione.

Al fine di avere uno strumento snello e pro attivo, capace di mettere ordine a tutti i requisiti applicabili e rispondere alle criticità. Guidando il processo di miglioramento anche tramite le performance dei rischi e pericoli aziendali.

Di criticità ne riscontriamo molte. Una delle più frequenti, per esempio, è quella di non rischiare determinati pericoli. Convinti che non siano presenti. Oppure di non valutare il rischio residuo accettabile. Molte volte la parte di valutazione, con quella di monitoraggio e comunicazione del rischio sono scollegate.

Quindi, impariamo ad andare oltre, dei classici documenti. Perché i pericoli aziendali non stanno sui computer o negli uffici direzionali, ma nei reparti produttivi.