Scheda informativa su nuove norme

TECNICHE DI VALUTAZIONE DEL RISCHIO

La Norma IEC 31010, Ed. 1.0-
Risk Management – Risk Assessment Techniques

Per conto di AICQ CN1 - Autore Giovanni Mattana - Consigliere di Giunta AICQ CN –Presidente
della Commissione UNI per i Sistemi di Qualità

La Norma IEC 31010, Ed. 1.0-

TECNICHE DI VALUTAZIONE DEL RISCHIO

La norma è intesa come un supporto per la Iso 31000 e fornisce una guida alla selezione e
applicazione delle tecniche sistematiche per la valutazione del rischio.
La valutazione del rischio aiuta a dare risposte ai seguenti quesiti fondamentali:
• che cosa può accadere e perché? (attraverso l’identificazione del rischio)
• quali potrebbero essere le conseguenze?
• quali le probabilità del loro accadimento futuro?
• ci sono dei fattori che possono mitigare le conseguenze del rischio o che possono
ridurre la probabilità del rischio?

L’INDICE DELLA NORMA

PREMESSA
INTRODUZIONE
1 Scopo
2 Riferimenti normativi
3 Termini e definizioni
4 Concetti di valutazione del Rischio
5 processi di valutazione del Rischio
6 Selezione delle tecniche di valutazione del Rischio
Annesso A (informativo) Confronto delle tecniche di valutazione del Rischio
Annesso B (informativo) Tecniche di valutazione del Rischio
Bibliografia

4. Concetti di “ valutazione del rischio”

4.1 Scopo e benefici

Lo scopo della valutazione del rischio è quello di fornire informazioni, basate sia su evidenze che su metodi
di analisi, per poter prendere decisioni informate su come trattare particolari rischi e come scegliere tra
differenti opzioni. Vengono esplicitati numerosi benefici ottenibili attraverso le tecniche di valutazione del
rischio, tra i quali:
• fornire informazioni a coloro che debbono prendere decisioni

1
marzo 2012 -RIPRODUZIONE VIETATA SENZA IL CONSENSO DI AICQ CENTRONORD E DELL’AUTORE

Pagina 1 di 9
 Scheda informativa su nuove norme

TECNICHE DI VALUTAZIONE DEL RISCHIO

La Norma IEC 31010, Ed. 1.0-
Risk Management – Risk Assessment Techniques

• contribuire alla comprensione dei rischi, allo scopo di assistere nella selezione tra le opzioni di
abbattimento dei rischi.
4.2 Valutazione del rischio (in quanto parte del processo di gestione del rischio e relativa struttura)

La norma parte dall’assunto che la valutazione del rischio venga effettuata nell’ambito dei processi di
gestione del rischio come descritti nella Iso 31000. L’ambito della gestione del rischio fornisce le politiche,
le procedure e le soluzioni organizzative che inglobano la gestione del rischio nell’organizzazione, a tutti i
livelli.
In tale ambito l’organizzazione dovrebbe avere una politica o una strategia per decidere quando e come i
rischi debbano essere valutati. In particolare, dovrebbe fornire chiare indicazioni circa:
- il contesto degli obiettivi dell’organizzazione
- l’estensione dei tipi di rischi intollerabili e come devono essere trattati i rischi non accettabili
- come la valutazione dei rischi viene integrata nei processi dell’organizzazione
- i metodi e le tecniche da usare per rotazione dei dischi e i loro contributi al processo di gestione dei
rischi
- responsabilità, autorità e accountability per effettuare la valutazione dei rischi
- le risorse disponibili
- come effettuare il reporting e il riesame della valutazione dei rischi.

4.3 La valutazione del rischio e il processo di gestione del rischio

La valutazione del rischio comprende gli elementi essenziali del processo di gestione del rischio, come
definiti nella Iso 31000 e considera i seguenti elementi:
4.3.2 Communication and consultation;
4.3.3 Establishing the context
4.3.4 Risk assessment (comprising risk identification, risk analysis and risk evaluation);
4.3.5 Risk treatment
4.3.6 Monitoring and review
La valutazione del rischio non è un’attività a sé stante e dovrebbe essere completamente integrata nelle
altre componenti del processo di gestione del rischio.

4.3.2 Comunicazione e consultazione

Una valutazione del rischio riuscita dipende da un’efficace comunicazione e consultazione con le parti
interessate. Coinvolgere le parti interessate nel processo di gestione del rischio sarà di aiuto in varie attività
quali:
- sviluppare un piano di comunicazione,
- definire il contesto in modo appropriato,
- assicurare che vengano capiti e considerate gli interessi delle parti interessate,
- collegare insieme differenti aree di esperienza per identificare e analizzare I rischi,
- assicurare che differenti punti di vista ci hanno considerate in modo appropriato nella valutazione
dei rischi,
- assicurare che I rischi vengono identificati in modo adeguato
- assicurare la messa in atto e il supporto al piano di trattamento rischi.
- Le parti interessate dovrebbero contribuire ad interfacciare il processo di valutazione dei rischi con
l’utilizzo di altre discipline di management, tra le quali la gestione del cambiamento, il management
dei progetti e programmi, e anche il management finanziario.

Pagina 2 di 9
 Scheda informativa su nuove norme

TECNICHE DI VALUTAZIONE DEL RISCHIO

La Norma IEC 31010, Ed. 1.0-
Risk Management – Risk Assessment Techniques

4.3.3 Determinare il contesto

Determinare il contesto significa definire I parametri di base per gestire I rischi e fissare lo scopo e I
criteri per le fasi restanti del processo stesso. Determinare il contesto include il considerare i
parametri interni ed esterni significativi per l’organizzazione intesa come non tutto così com’è la
base per i rischi specifici che devono essere valutati. Nel determinare il contesto, devono essere
stabiliti e concordati gli obiettivi della valutazione del rischio, i criteri di rischio e il programma di
valutazione del rischio.
Per una valutazione di rischio specifica, determinare il contesto dovrebbe includere la definizione
dei contesti di gestione del rischio esterni ed interni e una classificazione dei criteri di rischio, tra
cui:
a) determinare il contesto esterno implica familiarità con l’ambiente in cui l’organizzazione opera,
nei suoi vari aspetti;
b) determinare il contesto interno implica conoscere e capire: le capacità, i flussi di informazione
e il processo decisionale, le parti interessate interne, gli obiettivi e le strategie messe in atto per
raggiungerli, le norme e i modelli di riferimento adottati dall’organizzazione, e le strutture, i
ruoli e le rendicontazioni.
c) determinare il contesto del processo di gestione del rischio le responsabilità definire
l’estensione delle attività che devono essere fatte, definire l’estensione dei progetti, processi,
funzioni l’attività in termini di tempo e di allocazione, definire le relazioni tra un particolare
progetto e altri progetti, definire i metodi per la valutazione del rischio, definire i criteri di
rischio, viene valutata la performance della Gestione del rischio,…
d) definire i criteri di rischio implica decidere su: la natura e i tipi di conseguenze da includere e
come, il modo in cui verrà determinato il livello di rischio.
I criteri possono essere basati su fonti quali:
• obiettivi dei processi,
• criteri identificati nelle specifiche,
• fonti generali di dati,
• criteri generalmente adottati nell’industria quali livelli di integrità e sicurezza,
• requisiti legali ed altri per specifici apparati o applicazioni
4.3.4 valutazione del rischio
La valutazione del rischio è il processo complessivo di: identificazione del rischio, analisi del rischio
e accertamento (in senso stretto) del rischio. I rischi possono essere valutati A livello di
organizzazione, di dipartimento, per singoli progetti, per attività individuali o per rischi specifici.
Differenti strumenti e tecniche possono essere appropriate in contesti diversi. La valutazione del
rischio fornisce una comprensione dei rischi, delle loro cause, delle conseguenze e connesse
probabilità. Ciò costituisce l’input a decisioni del tipo:

- se l’attività deve essere intrapresa, o no

- come massimizzare le opportunità
- se i rischi devono essere trattati
- scegliere tra opzioni con rischi differenti
- mettere in priorità le opzioni di trattamento dei rischi
- selezionare le strategie più appropriate per il trattamento dei dischi, che possono ridurre i
rischi a un livello tollerabile.

Pagina 3 di 9
 Scheda informativa su nuove norme

TECNICHE DI VALUTAZIONE DEL RISCHIO

La Norma IEC 31010, Ed. 1.0-
Risk Management – Risk Assessment Techniques

4.3.5 trattamento dei rischi

Una volta completato la valutazione dei rischi, il trattamento dei rischi comporta il selezionare e
condividere una o più opzioni rilevanti per modificare le loro probabilità di accadimento, gli effetti
dei rischi o entrambi e mettere in atto queste opzioni. Ciò è seguito da un processo ciclico di
riassegnare il nuovo livello di rischio allo scopo di determinare la sua tollerabilità rispetto ai criteri
precedentemente stabiliti, in ordine a decidere se sono richiesti ulteriori trattamenti.
4.3.6 Monitoraggio e riesame.
In quanto parte del processo di gestione dei rischi, I rischi e il loro controllo dovrebbero essere
monitorati e riesaminati su una base regolare per verificare che: le ipotesi circa i rischi rimangano
valide, rimangano valide le ipotesi su cui la valutazione del rischio è basata, includendo il contesto
interno ed esterno, che siano ottenuti i risultati attesi, che i risultati della valutazione del rischio
siano in linea con le esperienze effettive, che le tecniche di valutazione siano applicate in modo
appropriato, che i trattamenti di rischio siano efficaci. Dovrebbero essere stabiliti i criteri di
rendicontazione per il monitoraggio ed il riesame.
5 il processo di valutazione del rischio
Questo capitolo costituisce il processo fondamentale della norma.
La valutazione del rischio fornisce, sia a coloro che devono prendere decisioni sia ai responsabili, una
miglior conoscenza dei rischi che potrebbero influenzare l’ottenimento degli obiettivi e l’adeguatezza e
l’efficacia dei controlli già in atto. Ciò fornisce una base per le decisioni circa gli approcci più appropriati da
usare per trattare i rischi. L’output della valutazione dei rischi è uno input ai processi decisionali
dell’organizzazione. La valutazione del rischio è il processo comprendente: l’identificazione del rischio,
l’analisi del rischio e la valutazione del rischio (vedi figura 1).

Figura 1-Contributo della valutazione del rischio al processo di gestione del rischio

Il modo in cui questo processo viene applicato, dipende non solo dal contesto del processo di gestione del
rischio, ma anche dai metodi e dalle tecniche utilizzate per effettuare la valutazione del rischio.
Pagina 4 di 9
 Scheda informativa su nuove norme

TECNICHE DI VALUTAZIONE DEL RISCHIO

La Norma IEC 31010, Ed. 1.0-
Risk Management – Risk Assessment Techniques

È articolato nei seguenti ulteriori argomenti:

5.2 Identificazione dei rischi

È il processo per individuare e riconoscere I rischi e tenerne registrazione. I metodi per identificare i
rischi possono includere:
- metodi basati su evidenze, esempi dei quali sono delle check list e il riesame di dati storici;
- approcci sistematici di chi, in cui un team di esperti segue un processo sistematico per
identificare i rischi per mezzo di uno strutturato gruppo di questioni e indagini
- tecniche induttive di ragionamento quali HAZOP.
5.3 analisi dei rischi

È l’attività che sviluppa la comprensione dei rischi. Essa fornisce un input alla valutazione dei rischi
e alle decisioni circa quali rischi necessitano di essere trattati e circa le strategie ed i metodi più
appropriate per il loro trattamento.
L’analisi dei rischi consiste nel determinare le conseguenze e le loro probabilità per identificare e 20
di discolo, tenendo in conto una presenza o meno e l’efficacia di ogni controllo esistente le cose e
gli dei loro probabilità sono allora combinate per determinare un livello di rischio.

L’analisi dei rischi che comporta considerazioni sulle cause e sulle fonti di rischio, sulle loro
conseguenze e sulla probabilità che tali conseguenze possano accadere. Dovrebbero essere
identificati i fattori che influenzano le conseguenze e le probabilità. Vari metodi per tali analisi sono
descritti in appendici IV. L’analisi dei rischi normalmente include una stima del campo di
conseguenze potenziali che possono insorgere da un evento, data o circostanze e le loro associate
probabilità, allo scopo di misurare il livello di rischio.
6 -Selezione delle tecniche di valutazione del rischio
Questo capitolo descrive come possono essere selezionate le tecniche per la valutazione del rischio.
L’indice di questo capitolo contiene
6.1 Generalità
6.2 Selezione delle tecniche
6.2.1 Disponibilità di risorse
6.2.2 La natura del grado di incertezza
6.2.3 La complessità
6.3 L’Applicazione della valutazione del Rischio durante le fasi del ciclo di vita
6.4 Tipi di tecniche di valutazione del Rischio

Tecniche di risk assessment

• L’allegato A (informativo) presenta un confronto delle tecniche di valutazione del rischio e della
loro applicabilità nelle varie fasi della valutazione del rischio.

• L’allegato B elenca e illustra una varietà di strumenti e di tecniche che possono essere usate per
effettuare una valutazione del rischio durante il processo di valutazione del rischio. Può essere
talvolta necessario impiegare più di un metodo di valutazione.

Pagina 5 di 9
 Scheda informativa su nuove norme

TECNICHE DI VALUTAZIONE DEL RISCHIO

La Norma IEC 31010, Ed. 1.0-
Risk Management – Risk Assessment Techniques

Pagina 6 di 9
 Scheda informativa su nuove norme

TECNICHE DI VALUTAZIONE DEL RISCHIO

La Norma IEC 31010, Ed. 1.0-
Risk Management – Risk Assessment Techniques

• Per ciascuna tecnica viene indicato il grado di applicabilità nelle principali fasi di valutazione del
Rischio (vedi figura 2). Di ciascuna tecnica vengono poi richiamati i tratti salienti, l’uso d’elezione, il
processo per applicarla con input ed output, i punti di forza e i limiti intrinseci. Mentre per lo
specialista costituisce solo una estrema sintesi di elementi noti, per il non esperto può essere
quanto basta per orientarsi in un mondo non familiare.

• Segue una classificazione delle tecniche rispetto all’impegno che richiede (risorse e capacità), alla
natura e grado di incertezza che lascia all’analisi, e infine alla capacità o meno di dare risultati
quantitativi (non si conosce ciò che non si sa misurare…)
• Questa ricchissima tabella sinottica è particolarmente preziosa nell’aiutare a scegliere
oculatamente quali delle molte tecniche disponibili siano adatte alle analisi di nostro interesse, e
alle nostre capacità di lavoro e di spesa.
• Scorrendo la lista saltano all’occhio tecniche molto familiari a chi si occupa di qualità, compresi
alcuni dei famosi 7 strumenti di Ishikawa, ma anche strumenti più sofisticati.

Pagina 7 di 9
 Scheda informativa su nuove norme

TECNICHE DI VALUTAZIONE DEL RISCHIO

La Norma IEC 31010, Ed. 1.0-
Risk Management – Risk Assessment Techniques

Pagina 8 di 9
 Scheda informativa su nuove norme

TECNICHE DI VALUTAZIONE DEL RISCHIO

La Norma IEC 31010, Ed. 1.0-
Risk Management – Risk Assessment Techniques

• CONCLUSIONI

Una volta deciso l’approccio alla gestione dei rischi, usare la norma come supporto alla valutazione
aiuta a districarsi tra le tante opzioni di analisi strutturata disponibili, non sempre adatte a ogni realtà, e
a usare un linguaggio e un metodo di lavoro adatto a una valutazione complessiva e multidisciplinare
dei rischi di tipo più disparato. È interessante vedere come tecniche nate in un contesto siano utili ed
efficaci anche in altri, la diffusione di analisi di rischio sistematiche sarà sicuramente facilitata dal
ricorso a modi di ragionare e formati di analisi abituali e ben compresi da gran parte del personale. Il
risk assessment potrà fare un uso potenziato di molte tecniche già diffuse in ambito qualità, e da
queste analisi arricchite dallo “scopo allargato” si otterrà un utilizzo migliore e più efficace delle
informazioni, e una maggior capacità di sopravvivenza alle avversità.

Pagina 9 di 9