ISO 31000: cos'è la gestione del rischio (e perché non ci si certifica)
La ISO 31000 è la linea guida internazionale che spiega come un'organizzazione dovrebbe gestire il rischio. Non parla di un rischio specifico, ma del rischio in generale: finanziario, operativo, informatico, ambientale, di sicurezza, reputazionale. L'edizione in vigore è la ISO 31000:2018 e il suo scopo è dare un linguaggio e un metodo comuni perché chiunque, dalla piccola impresa alla multinazionale, possa decidere tenendo conto dell'incertezza invece di subirla.
Funziona un po' come il manuale di un buon magazziniere: non ti dice quale singola merce ordinare, ti insegna il criterio per non restare mai senza scorte e per non riempire gli scaffali di roba che non serve. La ISO 31000 fa lo stesso con i rischi: dà il criterio, non la risposta preconfezionata.
Cosa NON è la ISO 31000
Qui sta l'equivoco più diffuso, ed è bene toglierlo subito. La ISO 31000 non è certificabile. Non è una norma di requisiti come la ISO 9001 o la ISO 27001: è una linea guida, scritta con verbi come "dovrebbe" e non con obblighi verificabili a cui un organismo di certificazione possa dire conforme o non conforme. Per questo un'azienda non può fregiarsi di un certificato ISO 31000, e nessun ente accreditato ne rilascia uno.
Se qualcuno ti propone di certificare l'azienda secondo la ISO 31000, sta vendendo fumo: nel migliore dei casi ti offre un attestato privo di valore riconosciuto, nel peggiore un documento che genera confusione con i clienti. Esiste invece la certificazione delle persone come risk manager, basata su altri schemi: ma lì a essere valutato è l'individuo, non il sistema dell'organizzazione. Tenere distinte le due cose evita di pagare per un bollino che non esiste.
Cosa chiede davvero: principi, framework, processo
La ISO 31000 si regge su tre pilastri. I principi dicono com'è fatta una buona gestione del rischio: integrata nelle decisioni, su misura per l'organizzazione, dinamica, basata sulle migliori informazioni disponibili e capace di migliorare nel tempo. Il framework è l'impalcatura organizzativa: il coinvolgimento della direzione, i ruoli, le risorse e il modo in cui la gestione del rischio entra nei processi reali invece di restare un esercizio teorico.
Il processo è la parte operativa, la più riconoscibile, e si articola in passi che si ripetono nel tempo:
- Identificazione: si individuano i rischi, cioè gli eventi che possono far deviare l'organizzazione dai suoi obiettivi.
- Analisi: si studia ciascun rischio per capirne cause, conseguenze e probabilità che si verifichi.
- Ponderazione: si confrontano i rischi con i criteri che l'organizzazione ha deciso, per stabilire quali sono accettabili e con quale priorità affrontare gli altri.
- Trattamento: si scelgono le azioni, evitare, ridurre, trasferire (per esempio assicurando) o accettare consapevolmente il rischio.
- Monitoraggio e riesame: si verifica che le azioni funzionino e si aggiorna il quadro, perché i rischi cambiano insieme al contesto.
Tutto poggia su due attività continue: la comunicazione e consultazione con chi è coinvolto, e la definizione di scopo e contesto, cioè capire entro quali confini si sta lavorando.
A cosa serve nella pratica
Proprio perché non è certificabile, la ISO 31000 dà il meglio come metodo trasversale: è il vocabolario condiviso con cui un'organizzazione ragiona sui rischi in qualsiasi area, e diventa concreta quando si applica a un ambito specifico. La valutazione del rischio è infatti il cuore di molte norme di sistema certificabili: lì la ISO 31000 fornisce l'impostazione, mentre la norma di settore fornisce i requisiti e l'audit che li verifica. Anche senza puntare a un certificato, adottarne i principi serve a decidere con un metodo ripetibile, che lascia traccia e si può spiegare a un cliente o a un finanziatore, invece che a sensazione.
Dalla teoria al certificato: ISO 22301 e ISO 27001
Se l'obiettivo è un certificato riconosciuto, la strada non è la ISO 31000 ma una norma di requisiti che ne applica il metodo a un ambito preciso. Due tra le più richieste:
La ISO 22301 è la norma sulla continuità operativa: usa la logica della gestione del rischio per prepararsi alle interruzioni, da un guasto informatico a un evento che ferma la produzione, e definire come tornare operativi in tempi accettabili. È certificabile, e il certificato dimostra a clienti e partner che l'azienda non si ferma al primo imprevisto.
La ISO 27001 è la norma sulla sicurezza delle informazioni: il suo sistema di gestione si fonda proprio su una valutazione del rischio, applicata però a dati e sistemi informatici. Anche questa è certificabile, ed è spesso richiesta nei contratti e nelle gare quando in gioco ci sono dati sensibili. In entrambi i casi i principi della ISO 31000 lavorano sotto il cofano: padroneggiare la linea guida rende molto più semplice costruire il sistema certificabile, perché il metodo per ragionare sui rischi è già chiaro.
Domande frequenti
Posso certificare la mia azienda ISO 31000? No. È una linea guida, non una norma di requisiti: nessun organismo accreditato rilascia un certificato di sistema ISO 31000. Se te lo propongono, diffida.
Allora a cosa serve, se non posso esibirla? Come metodo: ti dà principi, framework e processo per gestire qualsiasi rischio. È la base su cui costruisci sistemi certificabili come ISO 22301 e ISO 27001, e uno strumento per decidere meglio anche solo all'interno.
Esiste una certificazione delle persone sul rischio? Sì, ma riguarda l'individuo (il risk manager) e si basa su altri schemi, non sulla ISO 31000 come sistema aziendale. Sono due piani diversi: la competenza della persona e il metodo dell'organizzazione.
Qual è la differenza con la ISO 27001? La ISO 31000 spiega come gestire il rischio in generale; la ISO 27001 applica quella logica alla sola sicurezza delle informazioni e, a differenza della ISO 31000, è certificabile.
In sostanza la ISO 31000:2018 è la cassetta degli attrezzi, non il bollino. Se cerchi un metodo per ragionare sui rischi, parti da qui. Se cerchi un certificato da mostrare a clienti e gare, guarda alle norme che quel metodo lo trasformano in requisiti: la ISO 22301 per la continuità operativa e la ISO 27001 per la sicurezza delle informazioni.
Ti interessa questo argomento?
Parla con Evidy per approfondire o richiedere un preventivo per le certificazioni.
🔗 Se ti serve una certificazione
Questo tema non è una certificazione accreditata. Per ottenere un certificato, guarda alle norme certificabili correlate:
ISO 22301 — Sistema di gestione della continuità operativa ISO/IEC 27001 — Sistema di gestione per la sicurezza delle informazioniArticoli Correlati
ISO 37001:2025: la guida alla certificazione anticorruzione
Cos'è la ISO 37001:2025, cosa chiede il sistema di gestione anticorruzione, come ci si certifica passo dopo passo, quanto tempo serve, perché conviene in gare e rapporti con la PA, e come si integra con ISO 37301, ISO 9001 e ISO/IEC 27001.
Certificazione ISO/IEC 20000-1, come funziona la gestione dei servizi IT
Cos'è la ISO/IEC 20000-1:2018, la norma che certifica il sistema di gestione dei servizi IT (ITSM), come ci si certifica passo dopo passo, che rapporto ha con ITIL e perché spesso si certifica insieme alla ISO/IEC 27001. Guida evergreen e indipendente.
Continuità operativa: come ottenere la certificazione ISO 22301
Cos'è la ISO 22301:2019, come si ottiene la certificazione della continuità operativa passo dopo passo (analisi d'impatto, piani, esercitazioni, audit in due fasi), quanto tempo serve e perché clienti, gare, NIS 2 e DORA la chiedono.