Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Maurilio Savoldi
SV Cer'fica'on Sagl
Maurilio Savoldi -
Chi sono e
perché oggi vi
Lead auditor per SV Cer/fica/on,
parlo di analisi
di rischio oltre che docente e consulente.
Da sempre mi occupo di
miglioramento delle
organizzazioni e delle persone
www.linkedin.com/in/maurilio-savoldi/
msavoldi@svcert.ch 2
Chi sono e cosa faccio lo potrete, se vi interessa, leggerlo sul mio profilo LinkedIn, da
una tren:na d'anni, mi occupo di miglioramento delle organizzazioni e delle persone,
sono Lead auditor, sui principali schemi ges:onali per SV Cer:fica:on, oltre che
docente in SUPSI e consulente in diverse organizzazioni.
msavoldi@svcert.ch 2
Maurilio Savoldi -
⁃ La tolleranza al rischio
⁃ C'è rischio e rischio
⁃ Rischi ed opportunità
msavoldi@svcert.ch 3
Oggi farò sopraHuHo una chiacchierata sui temi del rischio e della ges:one del
rischio, senza alcuna pretesa accademica, in SUPSI abbiamo oJmi corsi su ques:
temi (hHps://www.supsi.ch/d:), ma con il semplice scopo di fissare alcuni pun: che
non sempre sono così eviden:, anzi, spesso trascura:.
msavoldi@svcert.ch 3
Maurilio Savoldi -
La
presentazione
si basa su
quanto
presentato
msavoldi@svcert.ch 4
msavoldi@svcert.ch 4
Maurilio Savoldi -
Rischio e
decisioni
Non possiamo non
decidere, perché, alla fin
fine, anche non decidere
rappresenta una decisione,
magari meno impegna6va,
ma pur sempre portatrice
di effe9.
msavoldi@svcert.ch 5
msavoldi@svcert.ch 5
Maurilio Savoldi -
VOLATILITÀ
INCERTEZZA
V.U.C.A. COMPLESSITÀ
AMBIGUITÀ
msavoldi@svcert.ch 6
Questo è tanto più vero che oggi, le organizzazioni navigano in un ambiente dove
vola:lità, incertezza, complessità e ambiguità (appunto, VUCA) sono sempre
presen:.
Già dal lontano 2011, Greg
Hutchins scrisse che "il Risk
Management sarebbe stato il futuro della qualità"
V = Vola'lity/Vola'lità
Il termine vola:lità fa riferimento a fenomeni in parte prevedibili ma con elevato
tasso di varianza nei valori minimi e massimi che può assumere, oltre alla frequenza
delle variazioni.
Vola:lità e turbolenza sono due facce della stessa medaglia nel mondo del business.
La natura dei cambiamen: economici è più ampia e avviene più rapidamente
rispeHo al passato. Quindi, le previsioni sono sempre più complesse. A contribuire
all’aumento della vola:lità vi è anche la crescita della digitalizzazione, nonché la
crescita esponenziale della liberalizzazione del commercio, della conneJvità e della
concorrenza a livello globale.
U = Uncertainty/Incertezza
In un contesto di incertezza vi è l’assenza di informazione o la presenza di
msavoldi@svcert.ch 6
L’analisi di rischio nei sistemi gestionali ISO e
non solo (LPD, sostenibilità,...)
C = Complexity/Complessità
Il contesto di globalizzazione e digitalizzazione porta ad una elevata
interconnessione del sistema economico globale. Questa rete e i fenomeni che si
sviluppano al suo interno hanno caraHere complesso in quanto il valore prodoHo
dall’interazione tra i diversi soggeJ è maggiore della somma dei singoli. In altre
parole mentre un fenomeno complicato può essere compreso e analizzato
aHraverso la scomposizione delle sue par: un fenomeno complesso necessità di
analisi più sofis:cate sulle connessioni del sistema.
A = Ambiguity/Ambiguità
Non sempre le minacce, provenien: da uno scenario in con:nua evoluzione, sono
semplici da individuare. Eppure, se non le si iden:fica in tempo, possono rivelarsi
letali per le sor: dell’impresa stessa. Nel caso dell’ambiguità si ha a che fare con un
fenomeno che non è prevedibile a causa dell’assenza di informazioni storiche.
msavoldi@svcert.ch 6
Maurilio Savoldi -
hHps://www.puntosicuro.it/ges:one-emergenza-ed-evacuazione-C-84/allenarsi-a-
decidere-una-strategia-per-la-sicurezza-il-cambiamento-AR-14002/
msavoldi@svcert.ch 7
Maurilio Savoldi -
⁃
L'analisi del rischio non è un
compi'no, ma uno strumento
basilare nei sistemi di ges'one
(e "assimila'")
msavoldi@svcert.ch 8
Per questo mo:vo, l'approccio all'analisi del rischio non deve essere quello,
purtroppo che si sta consolidato nel mondo dei Sistemi Ges:onali (che comprendono
anche la compliance, il GDPR/LPD), del "fare un compi:no", ma va affrontato con la
consapevolezza di svolgere un'aJvità basilare per la vita delle Vostre organizzazioni
msavoldi@svcert.ch 8
Maurilio Savoldi -
Di cosa s(amo
xxxx ⁃ parlando?
msavoldi@svcert.ch 9
msavoldi@svcert.ch 9
Maurilio Savoldi -
Definiamo il
rischio
1. Un effe7o è una
deviazione dal previsto –
Rischio: effe+o posi=vo o nega=vo.
2. Il rischio riguarda quello
dell’incertezza su un
che potrebbe accadere e
risultato previsto. l’eventuale effe7o di
- ISO 9001:2015 - Sistemi di ges4one questo avvenimento.
per la qualità - Requisi4
3. Il rischio è un elemento,
anche, probabilis=co.
msavoldi@svcert.ch 10
Dove:
1. Un effeHo è una deviazione dal previsto – notate bene che la variazione
può essere sia posi:va o nega:va. Anche le variazioni posi:ve portano a
possibili rischi, pensiamo, p.es. ad aumen: improvvisi di carichi di lavoro
sempre variazioni.
2. InfaJ, il rischio riguarda quello che potrebbe accadere e l’eventuale
effeHo (impaHo) di questo avvenimento.
3. Il rischio prende anche in considerazione la probabilità̀, infaJ, il faHore
di incertezza può essere misurato aHraverso la probabilità che un
determinato evento possa accadere.
msavoldi@svcert.ch 10
Maurilio Savoldi -
Il modello di
della ges'one
del rischio
Consultazione e condivisione
Registra-
Stabilire il Identificare Analizzare Valutare il Trattare il
zione e
contesto il rischio il rischio rischio rischio
reporting
Monitoraggio e revisione
msavoldi@svcert.ch 11
La ges:one del rischio "studia" come limitare i potenziali danni che even: incer:
possono causare.
Vi sono diversi modelli per la ges:one del rischio, questo, molto classico, è quello
introdoHo dalla norma Iso 31000 sulla Ges:one del rischio - Linee guida.
Senza entrare nel deHaglio del modello, vediamo che alcuni pun: chiave, quale:
⁃ Il contesto
⁃ La "misura del rischio"
⁃ Il traHamento del rischio, da cui deriva il principio di applicazione dei controlli
⁃ La condivisione, di quanto faHo e di quan: si vuole fare, e il monitoraggio
msavoldi@svcert.ch 11
Maurilio Savoldi -
xxxxal⁃ rischio
La tolleranza
msavoldi@svcert.ch 12
Maurilio Savoldi -
Tolleranza al
rischio
tolleranza al rischio
Zona di
probabilità
NON ACCETTAZIONE
del rischio
Zona di
ACCETTAZIONE
del rischio
impatto
msavoldi@svcert.ch 13
La tolleranza del rischio è una delle componen: della più generale aJtudine del
cliente nei confron: del rischio (risk aJtude). L’aJtudine al rischio è un termine
neutrale. Nei confron: del rischio l’aHeggiamento del cliente inves:tore può essere
di apprensione e ansia (risk aversion), di cauta apertura o indifferenza (risk
neutrality) ma anche, al contrario, di gradimento quando denota un appe:to verso il
rischio (risk appe'te) o addiriHura una neHa preferenza (risk lover o affinity).
msavoldi@svcert.ch 13
L’analisi di rischio nei sistemi gestionali ISO e
non solo (LPD, sostenibilità,...)
www.ansa.it/sito/no:zie/economia/ofc/abc_inves:men:/2018/02/16/consulenza-
finanziaria-tolleranza-al-rischio-vs-capacita-di-sostenere-le-perdite_a0124c2c-f2c4-
4271-a3ab-c7b5027634a7.html
msavoldi@svcert.ch 13
Maurilio Savoldi -
msavoldi@svcert.ch 14
msavoldi@svcert.ch 14
Maurilio Savoldi -
msavoldi@svcert.ch 15
Ho presentato ques: rischi come collega: con loro, non necessariamente un ciclo,
perché ogni forma di rischio può essere interconnesso con gli altri.
P.es. il rischio di alluvione, per un'azienda che ha sede in un'ansa di un fiume, è
sicuramente un rischio esterno, ma, almeno parzialmente controllabile, cioè
preven:vabile.
Oppure, fino al febbraio 2020, il rischio pandemia era un rischio, non solo esterno,
ma anche lontano, oggi, visto quello che è successo, non possiamo farci trovare
imprepara:, anche in questo caso, con una "buon" margine di prevedibilità.
msavoldi@svcert.ch 15
Maurilio Savoldi -
Abbiamo dato la definizione di rischio, abbiamo visto che il rischio può essere visto
su un livello che definirei orizzontale (o meglio piaHo), però posso anche vederlo in
una logica piramidale (o ver:cale).
Vi faccio un esempio che arriva dal mondo della compliance bancaria, almeno come
definizioni, dove:
⁃ Il Rischio Inerente è la combinazione tra il livello della potenziale sanzione
con il potenziale danno reputazionale.
⁃ Il Rischio Potenziale è oHenuto come combinazione del livello di Rischio
Inerente e dei “FaHori dimensionali” (rilevanza rispe-o al business, rilevanza
organizza3va, stakeholder coinvol3,…)
⁃ Il Rischio Residuo è l'applicazione al Rischio Potenziale della valutazione di
adeguatezza e/o efficacia dei presidi di prevenzione e/o mi:gazione del
rischio di non conformità
Quello su cui vi chiedo di prestare aHenzione, è che il rischio zero non esiste,
esistono però diverse gradazioni di rischio, che risultano da diversi livelli di analisi ma
anche conseguen: ad azioni di mi:gazione.
msavoldi@svcert.ch 16
Maurilio Savoldi -
⁃
L'analisi di rischio
non è un
SICUREZZA DI DATI
compi'no!
ED INFORMAZIONI
GDPR/LPD
SOSTENIBILITÀ
CONTINUITÀ
QUALITÀ
OPERATIVA
COMPLIANCE
msavoldi@svcert.ch 17
msavoldi@svcert.ch 17
L’analisi di rischio nei sistemi gestionali ISO e
non solo (LPD, sostenibilità,...)
Ora, visto che l'analisi e la ges:one del rischio rappresentano la base di partenza per
costruire molteplici sistemi di ges:one, e non solo (p. es. l'LPD/GDPR), ho pensato di
proporvi questo webinar, dove NON traHeremo di approcci al rischio (in 40' non ne
avremmo proprio il tempo) ma di alcuni pun: cardini, che non possono essere
trascura: per una aHenta, e correHa, ges:one del rischio…
msavoldi@svcert.ch 17
Maurilio Savoldi -
Rischi ed opportunità
msavoldi@svcert.ch 18
Abbiamo visto, che i Rischi Strategici sono rischi che se affronta: deliberatamente
portano uno o più vantaggi.
Se sono un'azienda manifaHuriera, e se, per paradosso, se non facessi nessun
controllo, avrei processi più snelli, maggiori volumi, cos: più bassi, insomma, potrei
far conten: mol:, l'importante è conoscere i cosiddeJ pro e contro.
I framework e gli standard internazionali (in primis COSO ERM e ISO 31000), in
maniera diversa ma similare, partendo dallo stesso presupposto e arrivando alle
medesime conclusioni, chiariscono esplicitamente che il rischio non va più
considerato esclusivamente nella sua accezione nega'va, bensì allargano la
prospeJva del suo significato, ricomprendendo l’incognita, ovvero l’incertezza.
Pra:camente viene data una nuova interpretazione al rischio, enfa:zzando gli aspeJ
posi:vi del rischio, in termini di opportunità per le organizzazioni.
h-ps://www.riskcompliance.it/news/il-rischio-come-opportunita-per-ges3re-lincertezza/
msavoldi@svcert.ch 18
Maurilio Savoldi -
opportunità
msavoldi@svcert.ch 19
Maurilio Savoldi -
msavoldi@svcert.ch 20
Quali sono gli errori ricorren: a cui andiamo incontro quando affron:amo un'analisi
o una ges:one di uno o più rischi?
msavoldi@svcert.ch 20
Maurilio Savoldi -
msavoldi@svcert.ch 21
msavoldi@svcert.ch 21
Maurilio Savoldi -
5. Non acceYamo che similitudini dal punto di vista matema4co non siano
considerate tali anche dal punto di vista psicologico
⁃ p.es: “cade 1 aereo ogni mille anni, se vola 1 volta all'anno” vs “cade 1 aereo
ogni 1000”
msavoldi@svcert.ch 22
msavoldi@svcert.ch 22
Maurilio Savoldi -
msavoldi@svcert.ch 23
In sintesi, attenzione a:
⁃ non essere ECCESSIVAMENTE CONFIDENTI, preferendo un pensiero
positivo.
⁃ prestare maggiore attenzione alle INFORMAZIONI POSITIVE, specie se
confermano quello che desideriamo.
⁃ analizzare i rischi, assumemdo un'EVOLUZIONE LINEARE, o
semplicistica, dei fatti (ricordate che siamo in un mondo VUCA).
⁃ avere l'ESPERIENZA e l'ADDESTRAMENTO appropriato al riconoscimento
e alla gestione dei rischi presenti nella propria organizzazione
⁃ di fronte ad un accadimento negativo, non AUMENTARE LO SFORZO per
ricondurlo nel percorso atteso, ma riproporre una più attenta ANALISI del
rischio e una più ̀ appropriata GESTIONE
⁃ Non affrontare i rischi con la cultura del “CAN DO”, del MEGLIO-SUBITO e
del NON-PERFETTO, e la concentrazione di risorse ed energie sugli
obiettivi strategici, spinge verso la sottovalutazione del rischio e della sua
gestione
msavoldi@svcert.ch 23
Maurilio Savoldi -
msavoldi@svcert.ch 24
msavoldi@svcert.ch 24
Maurilio Savoldi -
Un 'pico
errore è il puro
approccio
R=PxD
matema'co
Impa%o
p io
E sem
msavoldi@svcert.ch Probabilità 25
Approccio sicuramente u:le per dare delle priorità, anche di fronte ad una norma:va
cogente
msavoldi@svcert.ch 25
Maurilio Savoldi -
Mappa della ⁃
struKura di
rischio
msavoldi@svcert.ch 26
Dall'altro:
⁃ Il calcolo del rischi
⁃ La matrice di rischio, u:le per iden:ficare le priorità
Un approccio mul:livello, tornerà più tardi questo conceHo, per non trascurare nulla,
rischio, scusate il gioco di parole, che spesso si corre nell'analisi dei rischi.
msavoldi@svcert.ch 26
Maurilio Savoldi -
msavoldi@svcert.ch 27
msavoldi@svcert.ch 27
Maurilio Savoldi -
Il modello
emmental della Un evento di rischio, si manifesta quando, una
ges'one degli linea (pericolo) riesce ad oltrepassare una serie di
inciden' buchi (errori nel sistema) presen/ su diverse feCe
(rischi) (sistemi di protezione) messe in fila, allo stesso
livello.
msavoldi@svcert.ch 28
msavoldi@svcert.ch 28
L’analisi di rischio nei sistemi gestionali ISO e
non solo (LPD, sostenibilità,...)
msavoldi@svcert.ch 28
Maurilio Savoldi -
msavoldi@svcert.ch 29
Questa vigneHa, presenta il modello Emmental applicato alla difesa dal COVID-19
(COVID che in qualche modo ha riportato in auge il modello).
La trovo, una bella rappresentazione del conceHo di "difesa in profondità", per cui un
solo livello di protezione non è sufficiente.
msavoldi@svcert.ch 29
L’analisi di rischio nei sistemi gestionali ISO e
non solo (LPD, sostenibilità,...)
- difese inadeguate;
- comportamen: scorreJ;
- precursori psicologici per i comportamen: scorreJ;
- carenze organizza:ve (line management deficencies);
- decisioni errate della Direzione.
msavoldi@svcert.ch 29
Maurilio Savoldi -
Il modello
emmental della
ges'one degli
inciden'
(rischi)
msavoldi@svcert.ch 30
msavoldi@svcert.ch 30
Maurilio Savoldi -
Tassonomia
degli aY
pericolosi.
msavoldi@svcert.ch 31
hHps://www.teknoring.com/news/sicurezza-sul-lavoro/ges:one-del-rischio-genesi-
errore-umano-james-t-reason/
msavoldi@svcert.ch 31
Maurilio Savoldi -
⁃
La sicurezza, prodo%o o processo?
msavoldi@svcert.ch 32
La sicurezza, intesa come protezione dai rischi, non deve assolutamente essere
considerato un prodo5o, cioè il risultato una singola azione, o peggio qualche
cosa che si possa "comperare" sul mercato, ma è un processo, ossia un insieme
di a:vità, coadiuvate da opportune risorse, che, se ben organizzate, possono
portare enormi benefici all’azienda in termini di efficienza come è evidente
dalla “teoria del formaggio svizzero”, teoria spesso uClizzata da molCssimi
professionisC in a:vità di analisi del rischio aziendale:
msavoldi@svcert.ch 32
Maurilio Savoldi -
msavoldi@svcert.ch 33
msavoldi@svcert.ch 33
Maurilio Savoldi -
xxxx
msavoldi@svcert.ch 34
msavoldi@svcert.ch 34
Maurilio Savoldi -
L'approccio Identificare e
PDCA nella valutare i rischi Implementare i
ges'one del controlli
rischio
Monitorare, raccogliere
dati, eseguire audit,…
Analizzare, regolare,
migliorare
Originally published at h1p://www.bulsuk.com/2009/02/taking-first-step-with-pdca.html
msavoldi@svcert.ch 35
Abbiamo già visto come il principio di miglioramento con:nuo sia intrinseco alla
definizione che la Iso 31000 da alla ges:one di rischio, per rendere ulteriormente
"semplice" l'approccio, non posso non ragionare
hHps://www.qualitysystems.com/blog/full-cycle-of-risk-management/
msavoldi@svcert.ch 35
Maurilio Savoldi -
In chiusura
msavoldi@svcert.ch 36
msavoldi@svcert.ch 36
Maurilio Savoldi -
La ges'one di
rischio
(aziendale) L'efficacia di un approccio
aziendale alla ges=one di rischio è
tanto più alta, tanto più se
ognuna delle 8 componen= è
aGva e funzionante
corre7amente in relazione alle 4
categorie di obieGvi, e ai 4 livelli
(en=tà, divisione, business unity,
sussidiaria)
msavoldi@svcert.ch 37
msavoldi@svcert.ch 37
L’analisi di rischio nei sistemi gestionali ISO e
non solo (LPD, sostenibilità,...)
msavoldi@svcert.ch 37
Maurilio Savoldi -
msavoldi@svcert.ch 38
msavoldi@svcert.ch 38
Maurilio Savoldi -
Rimaniamo in conta*o
Maurilio Savoldi
www.linkedin.com/in/maurilio-savoldi/
Maurilio Savoldi
www.linkedin.com/in/maurilio-savoldi//
SUPSI
Dipar;mento tecnologie innova;ve (DTI)
Via la Santa 1,
6962 Viganello, Svizzera
hIp://www.supsi.ch/d;
* d;@supsi.ch
( +41 (0)58 666 65 11
SV Cer:fica:on Sagl
Via Pascolet 41B
6537 Grono (GR)
hHps://www.svcer:fica:on.com/
* msavoldi@svcert.ch
( +41 (0)91 840 22 97
( +41 (0)76 812 13 09
39