La ISO 31000 è la linea guida internazionale che spiega come un'organizzazione dovrebbe gestire il rischio. Non parla di un rischio specifico, ma del rischio in generale: finanziario, operativo, informatico, ambientale, di sicurezza, reputazionale. L'edizione in vigore è la ISO 31000:2018 e il suo scopo è dare un linguaggio e un metodo comuni perché chiunque, dalla piccola impresa alla multinazionale, possa decidere tenendo conto dell'incertezza invece di subirla.

Funziona un po' come il manuale di un buon magazziniere: non ti dice quale singola merce ordinare, ti insegna il criterio per non restare mai senza scorte e per non riempire gli scaffali di roba che non serve. La ISO 31000 fa lo stesso con i rischi: dà il criterio, non la risposta preconfezionata.

Cosa NON è la ISO 31000

Qui sta l'equivoco più diffuso, ed è bene toglierlo subito. La ISO 31000 non è certificabile. Non è una norma di requisiti come la ISO 9001 o la ISO 27001: è una linea guida, scritta con verbi come "dovrebbe" e non con obblighi verificabili a cui un organismo di certificazione possa dire conforme o non conforme. Per questo un'azienda non può fregiarsi di un certificato ISO 31000, e nessun ente accreditato ne rilascia uno.

Se qualcuno ti propone di certificare l'azienda secondo la ISO 31000, sta vendendo fumo: nel migliore dei casi ti offre un attestato privo di valore riconosciuto, nel peggiore un documento che genera confusione con i clienti. Esiste invece la certificazione delle persone come risk manager, basata su altri schemi: ma lì a essere valutato è l'individuo, non il sistema dell'organizzazione. Tenere distinte le due cose evita di pagare per un bollino che non esiste.

Cosa chiede davvero: principi, framework, processo

La ISO 31000 si regge su tre pilastri. I principi dicono com'è fatta una buona gestione del rischio: integrata nelle decisioni, su misura per l'organizzazione, dinamica, basata sulle migliori informazioni disponibili e capace di migliorare nel tempo. Il framework è l'impalcatura organizzativa: il coinvolgimento della direzione, i ruoli, le risorse e il modo in cui la gestione del rischio entra nei processi reali invece di restare un esercizio teorico.

Il processo è la parte operativa, la più riconoscibile, e si articola in passi che si ripetono nel tempo:

  1. Identificazione: si individuano i rischi, cioè gli eventi che possono far deviare l'organizzazione dai suoi obiettivi.
  2. Analisi: si studia ciascun rischio per capirne cause, conseguenze e probabilità che si verifichi.
  3. Ponderazione: si confrontano i rischi con i criteri che l'organizzazione ha deciso, per stabilire quali sono accettabili e con quale priorità affrontare gli altri.
  4. Trattamento: si scelgono le azioni, evitare, ridurre, trasferire (per esempio assicurando) o accettare consapevolmente il rischio.
  5. Monitoraggio e riesame: si verifica che le azioni funzionino e si aggiorna il quadro, perché i rischi cambiano insieme al contesto.

Tutto poggia su due attività continue: la comunicazione e consultazione con chi è coinvolto, e la definizione di scopo e contesto, cioè capire entro quali confini si sta lavorando.

A cosa serve nella pratica

Proprio perché non è certificabile, la ISO 31000 dà il meglio come metodo trasversale: è il vocabolario condiviso con cui un'organizzazione ragiona sui rischi in qualsiasi area, e diventa concreta quando si applica a un ambito specifico. La valutazione del rischio è infatti il cuore di molte norme di sistema certificabili: lì la ISO 31000 fornisce l'impostazione, mentre la norma di settore fornisce i requisiti e l'audit che li verifica. Anche senza puntare a un certificato, adottarne i principi serve a decidere con un metodo ripetibile, che lascia traccia e si può spiegare a un cliente o a un finanziatore, invece che a sensazione.

Dalla teoria al certificato: ISO 22301 e ISO 27001

Se l'obiettivo è un certificato riconosciuto, la strada non è la ISO 31000 ma una norma di requisiti che ne applica il metodo a un ambito preciso. Due tra le più richieste:

La ISO 22301 è la norma sulla continuità operativa: usa la logica della gestione del rischio per prepararsi alle interruzioni, da un guasto informatico a un evento che ferma la produzione, e definire come tornare operativi in tempi accettabili. È certificabile, e il certificato dimostra a clienti e partner che l'azienda non si ferma al primo imprevisto.

La ISO 27001 è la norma sulla sicurezza delle informazioni: il suo sistema di gestione si fonda proprio su una valutazione del rischio, applicata però a dati e sistemi informatici. Anche questa è certificabile, ed è spesso richiesta nei contratti e nelle gare quando in gioco ci sono dati sensibili. In entrambi i casi i principi della ISO 31000 lavorano sotto il cofano: padroneggiare la linea guida rende molto più semplice costruire il sistema certificabile, perché il metodo per ragionare sui rischi è già chiaro.

Domande frequenti

Posso certificare la mia azienda ISO 31000? No. È una linea guida, non una norma di requisiti: nessun organismo accreditato rilascia un certificato di sistema ISO 31000. Se te lo propongono, diffida.

Allora a cosa serve, se non posso esibirla? Come metodo: ti dà principi, framework e processo per gestire qualsiasi rischio. È la base su cui costruisci sistemi certificabili come ISO 22301 e ISO 27001, e uno strumento per decidere meglio anche solo all'interno.

Esiste una certificazione delle persone sul rischio? Sì, ma riguarda l'individuo (il risk manager) e si basa su altri schemi, non sulla ISO 31000 come sistema aziendale. Sono due piani diversi: la competenza della persona e il metodo dell'organizzazione.

Qual è la differenza con la ISO 27001? La ISO 31000 spiega come gestire il rischio in generale; la ISO 27001 applica quella logica alla sola sicurezza delle informazioni e, a differenza della ISO 31000, è certificabile.

In sostanza la ISO 31000:2018 è la cassetta degli attrezzi, non il bollino. Se cerchi un metodo per ragionare sui rischi, parti da qui. Se cerchi un certificato da mostrare a clienti e gare, guarda alle norme che quel metodo lo trasformano in requisiti: la ISO 22301 per la continuità operativa e la ISO 27001 per la sicurezza delle informazioni.