L’impostazione che permette di integrare il processo di Risk Management in modo efficace nel sistema di gestione aziendale è un framework tipicamente basato sull’approccio PDCA (Plan, Do, Check, Act). 

Sebbene la norma ISO 31000:2018 non richiami espressamente questo approccio, è evidente il vantaggio dell’utilizzo di questo approccio PDCA, in cui l’Alta Direzione dovrebbe essere caratterizzata da una forte leadership riguardo al Risk Management ed incentivare questa postura alla sicurezza attraverso la crescita delle persone e del team. Questo impegno a tutti i livelli è perciò un punto centrale che assicura l’efficacia e l’efficienza del processo di risk management e dovrebbe essere dimostrato attraverso una rigorosa pianificazione strategica, tattica e operativa.

In questo senso, la leadership aziendale dovrebbe stabilire ed approvare la policy per il Risk Management e assicurarsi che sia compatibile con la direzione strategica dell’organizzazione ed allineata alla cultura dell’organizzazione stessa. Inoltre, deve assegnare ruoli responsabilità e autorità ai livelli più appropriati dell’organizzazione ed assicurare l’integrazione del processo di Risk Management con i processi strategici, tattici e operativi dell’organizzazione. Infine, ma non meno importante, deve mettere a disposizione le risorse adeguate a svolgere questa attività e stabilire indicatori per misurare le prestazioni e per assicurare la loro integrazione con gli altri KPI dell’organizzazione. È, inoltre, importante anche che sia in grado di comunicare i benefici ottenuti dal management a tutte le parti interessate – interne ed esterne – all’azienda e promuovere il continuo miglioramento del framework di risk management. La leadership aziendale, infine, deve definire i criteri ed i livelli di accettazione dei rischi e condurre audit periodici per valutare l’idoneità, l’adeguatezza, l’efficacia e l’efficienza del processo di risk management in modo da dimostrare il suo impegno verso il miglioramento continuo.

Come si è più volte richiamato in queste newsletter, allo scopo di assicurare la completa integrazione e interiorizzazione del risk management con tutti i processi aziendali, è necessario conoscere molto bene la struttura dell’organizzazione e i suoi contesti. Infatti, i rischi esistono ovunque nell’organizzazione, in qualsiasi punto dei processi dell’azienda, e ogni persona dovrebbe essere sensibilizzata e responsabilizzata a identificare e segnalare ogni fattore di rischio quanto prima possibile.

Perché il framework e il processo di gestione del rischio non siano un insieme di procedure o un manuale calato dall’alto nell’organizzazione, completamente estraneo all’operatività quotidiana e alle persone che sono coinvolte in ogni fase, è opportuno definire una formazione idonea a tutte le risorse, a qualsiasi livello.

In un certo senso, ogni dipendente  di un’organizzazione è un “guardiano della sicurezza” e deve essere formato per cogliere qualsiasi segnale di rischio e minimizzarlo in tempo reale.

L’importanza della formazione e della sensibilizzazione al Risk Management a tutti i livelli è forse esemplificata nel modo migliore nella sicurezza in aviazione nel trasporto civile dei passeggeri, in cui le compagnie aeree e le autorità di regolamentazione investono tempo e risorse per minimizzare i rischi e assicurare che i passeggeri siano preparati a reagire correttamente a situazioni di emergenza. Come tutti sapete, infatti, prima di ogni decollo, l’equipaggio – che è un po’ il nostro Security Team – fornisce informazioni fondamentali attraverso una dimostrazione di sicurezza o un video che solitamente includono l’ubicazione delle uscite di emergenza, l’uso delle maschere per l’ossigeno e l’indicazione sulle luci di emergenza che guidano i passeggeri verso le uscite. Di fatto, l’equipaggio dell’aeromobile ci addestra alla mitigazione del rischio insegnandoci procedure chiare e protocolli per affrontare un incidente.

Tutti noi solitamente siamo poco attenti e distratti quando sono illustrate queste procedure, e purtroppo sappiamo bene che la maggior parte delle persone cambia le proprie cattive abitudini o negligenti solo dopo un incidente di sicurezza, perché solo allora riconosce una minaccia reale e le sue conseguenze.

Per apprendere le migliori procedure in modo semplice e interattivo negli ultimi anni si è utilizzata anche la gamification come strategia efficacia per migliorare la consapevolezza e le competenze in materia di sicurezza aziendale. Negli Stati Uniti diverse organizzazioni hanno implementato con successo programmi di gamification per rafforzare la sicurezza interna.

Come illustrato nell’articolo “Using Gamification to Improve the Security Awareness of Users: The Security Awareness Escape Room”, i dipendenti spesso rappresentano un rischio di alto livello in tutte le organizzazioni perché sono l’anello più debole nella catena della sicurezza. Mitigare questo rischio non è facile e l’unica contromisura efficace è migliorare i livelli di consapevolezza dei dipendenti in materia di sicurezza e sostenerne le loro conoscenze.

Gli specialisti della sicurezza hanno molte opzioni che comportano anche l’implementazione di campagne di sensibilizzazione che possono essere mensili o annuali. I tradizionali programmi di miglioramento della sicurezza solitamente utilizzano poster o fumetti (ricordate la scheda che trovate nella tasca del sedile di fronte a voi in aereo?) sulle regole della sicurezza o istruzioni stampate e affisse, magari in bacheca, che sono poco efficaci. In aula si ricorre a lezioni frontali tenute da esperti di sicurezza o moduli di formazione a distanza (e-learning).

È stato però dimostrato che la formazione è tanto più efficace quanto la presentazione include esempi di vita reale o quando viene introdotta la gamification, cioè tipici elementi e dinamiche di gioco per aumentare il coinvolgimento dell’audience. Gli elementi che fanno parte del gioco possono includere badge, distintivi, classifiche e punteggi, livelli e sfide; ad esempio, in azienda i dipendenti possono accumulare punti segnalando fattori di rischio.

Per creare un gioco di sicurezza che possano veramente migliorare le conoscenze degli utenti è necessario anzitutto valutare lo stato attuale di consapevolezza e identificare le cattive abitudini e quindi definire regole basate sull’esperienza. La progettazione ragionata di programmi e la creatività sono necessarie per il successo; è anche importante che il gioco fornisca qualcosa di valore ai dipendenti perché i giocatori piace vincere, anche se il premio è solo un badge virtuale o un attestato.

Il modo più efficace per migliorare la consapevolezza della sicurezza è quello di lasciare che i partecipanti sperimentino ciò che loro o i colleghi fanno di sbagliato. Nel gioco i dipendenti assumono il ruolo di “guardiani della sicurezza”. L’obiettivo è proteggere l’azienda da diversi tipi di minacce attraverso missioni, sfide e quiz che mettono alla prova la loro conoscenza e abilità in ambito di corporate security.

Per concludere, anche la gamification può essere applicata efficacemente alla sicurezza aziendale per coinvolgere i dipendenti, migliorare la consapevolezza e rafforzare le difese organizzative contro le minacce.