INDICE

PREMESSA 1

INTRODUZIONE 2
figura 1 Principi, struttura di riferimento e processo ........................................................................................ 2

1 SCOPO E CAMPO DI APPLICAZIONE 3

2 RIFERIMENTI NORMATIVI 3

3 TERMINI E DEFINIZIONI 3

A
TAT
4 PRINCIPI 4
figura 2 Principi ............................................................................................................................................................. 4

VIE
5 STRUTTURA DI RIFERIMENTO 5

NE
5.1 Generalità...................................................................................................................................................... 5

O
figura 3 Struttura di riferimento ............................................................................................................................... 6

UZI
5.2 Leadership e impegno............................................................................................................................ 6
5.3 Integrazione ................................................................................................................................................. 7

OD
5.4 Progettazione ............................................................................................................................................. 7
5.4.1 Comprendere l’organizzazione e il suo contesto ............................................................................... 7
5.4.2
PR
Esprimere chiaramente l’impegno per la gestione del rischio ....................................................... 8
5.4.3
. RI
Assegnare ruoli, autorità, responsabilità e obbligo di rendere conto nell’organizzazione ... 8
5.4.4 Mettere a disposizione le risorse ............................................................................................................. 8
EW
5.4.5 Stabilire comunicazione e consultazione .............................................................................................. 8
5.5 Attuazione ..................................................................................................................................................... 9
EVI

5.6 Valutazione................................................................................................................................................... 9
PR

5.7 Miglioramento ............................................................................................................................................. 9

5.7.1 Adattare............................................................................................................................................................ 9
NA

5.7.2 Migliorare in modo continuo ...................................................................................................................... 9

ÈU

6 PROCESSO 10
6.1 Generalità ................................................................................................................................................. 10
NTO

figura 4 Processo ...................................................................................................................................................... 10

6.2 Comunicazione e consultazione .................................................................................................... 10
ME

6.3 Campo di applicazione, contesto e criteri ................................................................................. 11

6.3.1 Generalità .................................................................................................................................................... 11
U
OC

6.3.2 Definire il campo di applicazione .......................................................................................................... 11

6.3.3 Contesto esterno ed interno ................................................................................................................. 11
OD

6.3.4 Definire i criteri di rischio ......................................................................................................................... 12

6.4 Valutazione del rischio ....................................................................................................................... 12
EST

6.4.1 Generalità .................................................................................................................................................... 12

6.4.2 Identificazione del rischio ....................................................................................................................... 12
QU

6.4.3 Analisi del rischio (Risk analysis) ......................................................................................................... 13

6.4.4 Ponderazione del rischio ......................................................................................................................... 13
6.5 Trattamento del rischio ....................................................................................................................... 14
6.5.1 Generalità .................................................................................................................................................... 14
6.5.2 Selezione delle opzioni di trattamento del rischio ......................................................................... 14
6.5.3 Preparare ed attuare i piani di trattamento del rischio .................................................................. 15
6.6 Monitoraggio e riesame ...................................................................................................................... 15
6.7 Registrazione e reporting .................................................................................................................. 15

BIBLIOGRAFIA 16

UNI ISO 31000:2018 © UNI Pagina III

 QU
EST
OD
OC
UME

UNI ISO 31000:2018

NTO
ÈU
NA
PR
EVI
EW
. RI
PR
OD
UZI
O NE

© UNI
VIE
TAT
A

Pagina IV
 PREMESSA
L'ISO (Organizzazione Internazionale di Normazione) è la federazione mondiale degli
organismi di normazione nazionali (membri ISO). L'attività di stesura delle norme
internazionali è svolta generalmente attraverso comitati tecnici ISO. Ogni organismo
membro interessato ad un argomento per il quale è stato istituito un comitato tecnico ha
il diritto di essere rappresentato in tale comitato. Anche le organizzazioni internazionali,
governative e non-governative, in collaborazione con l'ISO, partecipano ai suddetti lavori.
L'ISO collabora strettamente con l'IEC (Commissione Elettrotecnica Internazionale) su
tutti gli argomenti della normazione elettrotecnica.
Le procedure seguite per sviluppare il presente documento, unitamente a quelle seguite
per il suo successivo aggiornamento, sono descritte nelle Direttive ISO/IEC, Parte 1.
Inoltre si dovrebbe prestare attenzione ai diversi criteri di approvazione necessari per i

A
TAT
diversi tipi di documenti ISO. Il presente documento è stato redatto in conformità alle
regole editoriali contenute nelle Direttive ISO/IEC, Parte 2. (vedere:

VIE
www.iso.org/directives).
Si richiama l'attenzione sulla possibilità che alcuni degli elementi del presente documento

NE
possano essere oggetto di brevetti. L'ISO non deve essere ritenuto responsabile di aver
citato alcuni o tutti questi brevetti. I dettagli sui brevetti identificati durante lo sviluppo del

O
documento sono indicati nell'Introduzione e/o nell'elenco ISO delle dichiarazioni di

UZI
brevetto ricevute (vedere www.iso.org/patents).
Qualsiasi denominazione commerciale utilizzata nel presente documento costituisce

OD
un'informazione fornita a supporto degli utenti e non costituisce un'approvazione.

PR
Per una spiegazione sulla natura volontaria delle norme, sul significato di termini specifici
ISO e delle espressioni relative alla valutazione di conformità, nonché informazioni
. RI
sull'osservanza dell'ISO ai principi dell'Organizzazione Mondiale del Commercio (WTO)
nell'ambito delle barriere tecniche per il commercio (TBT) vedere il seguente URL:
EW
www.iso.org/iso/foreword.html.
EVI

Il presente documento è stato elaborato dal comitato tecnico ISO/TC 262, Risk
management.
PR

La presente seconda edizione annulla e sostituisce la prima edizione (ISO 31000:2009),

che è stata tecnicamente revisionata.
NA

Le modifiche principali rispetto all'edizione precedente sono le seguenti:

ÈU

— riesame dei principi della gestione del rischio, che sono i criteri chiave per il suo
successo;
NTO

— messa in evidenza della leadership da parte dell’alta direzione e l’integrazione della

gestione del rischio, a partire dalla governance dell’organizzazione;
ME

— maggiore enfasi sulla natura iterativa della gestione del rischio, sottolineando che
nuove esperienze, conoscenze e analisi possono portare ad una revisione degli
U

elementi del processo, azioni e controlli ad ogni stadio del processo;

OC

— snellimento del contenuto con una maggiore enfasi sul sostenere un modello a
OD

sistemi aperti per adattarsi a molteplici esigenze e contesti.

EST
QU

UNI ISO 31000:2018 © UNI Pagina 1

 INTRODUZIONE
Il presente documento è destinato ad essere utilizzato dalle persone che creano e
proteggono valore nelle organizzazioni avendo cura di gestire rischi, prendere decisioni,
fissare e conseguire obiettivi e migliorare le prestazioni.
Le organizzazioni di tutti i tipi e di tutte le dimensioni si trovano di fronte a fattori ed
influenze esterni ed interni che rendono incerto il conseguimento dei loro obiettivi.
Gestire il rischio è un’attività iterativa ed assiste le organizzazioni nello stabilire le
strategie, nel conseguire gli obiettivi e nel prendere decisioni consapevoli.
Gestire il rischio fa parte della governance e della leadership, ed è fondamentale per il
modo in cui l’organizzazione viene gestita a tutti i livelli. Questo contribuisce al
miglioramento del sistema di gestione.

A
TAT
Gestire il rischio fa parte di tutte le attività riconducibili ad un’organizzazione e comprende
l’interazione con le parti interessate.

VIE
Gestire il rischio prende in considerazione il contesto esterno ed interno
dell’organizzazione, compresi il comportamento umano ed i fattori culturali.

NE
Gestire il rischio si basa sui principi, la struttura di riferimento e il processo delineati in
questo documento come illustrato nella figura 1. Queste componenti potrebbero già

O
essere presenti per intero o in parte all’interno dell’organizzazione, ma potrebbero,

UZI
tuttavia, richiedere di essere adeguate o migliorate per far sì che gestire il rischio sia
efficiente, efficace e sistematico.

OD
figura 1 Principi, struttura di riferimento e processo

PR
. RI
EW
EVI
PR
NA
ÈU
NTO
U ME
OC
OD
EST
QU

UNI ISO 31000:2018 © UNI Pagina 2

1 SCOPO E CAMPO DI APPLICAZIONE
Il presente documento fornisce linee guida per gestire i rischi che si presentano alle
organizzazioni. L’applicazione delle presenti linee guida può essere adattata a qualunque
organizzazione e al suo contesto.
Il presente documento fornisce inoltre un approccio comune per gestire qualsiasi tipo di
rischio e non è dedicato ad un particolare settore o industria.
Il presente documento può essere utilizzato durante tutta la vita dell’organizzazione e può
essere applicato a qualsiasi attività, compreso il processo decisionale a tutti i livelli.

2 RIFERIMENTI NORMATIVI

A
TAT
Nel presente documento non ci sono riferimenti normativi.

VIE
3 TERMINI E DEFINIZIONI

NE
Ai fini del presente documento, si applicano i termini e le definizioni seguenti.

O
ISO e IEC mantengono database terminologici a supporto della normazione ai seguenti

UZI
indirizzi:

OD
— ISO Online browsing platform: accessibile all’indirizzo http://www.iso.org/obp
— IEC Electropedia: accessibile all’indirizzo http://www.electropedia.org/

3.1
PR
rischio: Effetto dell’incertezza in relazione agli obiettivi
. RI
Nota 1 Un effetto riguarda ciò che potrebbe essere diverso da quanto atteso. Può essere positivo, negativo o di
EW
entrambi i segni e può affrontare, creare o avere come risultato in cascata successive nuove opportunità e
minacce.
EVI

Nota 2 Gli obiettivi possono presentare aspetti e categorie differenti, e possono essere stabiliti per livelli differenti.
PR

Nota 3 Il rischio è di solito espresso in termini di fonti di rischio (3.4), eventi (3.5) potenziali, loro conseguenze (3.6)
e loro probabilità (3.7).
NA

3.2 gestione del rischio: Attività coordinate per guidare e tenere sotto controllo una
ÈU

organizzazione con riferimento al rischio (3.1)

NTO

3.3 parte interessata: Persona od organizzazione che può influenzare, essere influenzata, o
percepire se stessa come influenzata, da una decisione o attività
Il termine “interested party” può essere utilizzato come un’alternativa a “stakeholder”. *)
ME

Nota 1
U

3.4 fonte di rischio: Elemento che da solo o in combinazione possiede il potenziale di dare
OC

origine al rischio (3.1).

OD

3.5 evento: Il verificarsi o il modificarsi di un particolare insieme di circostanze.

Nota 1 Un evento può consistere in uno o più episodi e può avere una pluralità di cause e di conseguenze (3.6).
EST

Nota 2 Un evento può essere anche qualcosa che ci si attende che non accada, oppure qualcosa che non ci si
attende che accada.
QU

Nota 3 Un evento può essere una fonte di rischio.

3.6 conseguenza: Esito di un evento (3.5) che influenza gli obiettivi

Nota 1 Una conseguenza può essere certa o incerta e può avere effetti positivi o negativi, diretti o indiretti, sugli
obiettivi.
Nota 2 Le conseguenze possono essere espresse qualitativamente o quantitativamente.
Nota 3 Qualunque conseguenza può amplificarsi attraverso effetti in cascata e di tipo cumulativo.

*) Nota Nazionale - Tenuto conto che i due termini sono sinonimi ed in linea con le norme sui sistemi di gestione in cui il
termine preferito è “interested party” nella versione in italiano della presente norma si è deciso di utilizzare l’espressione
italiana “parte interessata”

UNI ISO 31000:2018 © UNI Pagina 3