Aziende

B&P Assicurazioni

ISO 31000 per PMI: come le grandi imprese decidono sui rischi (e come puoi farlo anche tu)

Le medie imprese che portano la ISO 31000 nelle decisioni fanno più utili e più ricavi. Ecco il metodo in 3 elementi e 5 fasi, spiegato per l'imprenditore.

Quando un’azienda si ferma, il conto vero comincia dopo il guasto. Gli incassi si bloccano, ma stipendi, leasing e fornitori continuano a chiedere il loro. Le imprese che fatturano decine di milioni hanno smesso da tempo di affidarsi al “finora è andata bene”: leggono i propri rischi con un metodo preciso e decidono di conseguenza. Quel metodo si chiama ISO 31000, è lo standard internazionale di gestione del rischio, e funziona benissimo anche in una PMI da qualche milione di fatturato. Anzi, è lì che rende di più.

In questa guida vediamo cos’è la ISO 31000, i tre elementi da cui parte e le cinque fasi con cui si applica. Non in gergo tecnico, ma nella lingua che usi ogni giorno per decidere: quella dei soldi. Se preferisci partire da un numero concreto, puoi anche cominciare dal numero di sopravvivenza della tua azienda.

In sintesi

  • Le medie imprese familiari che usano la gestione del rischio per decidere fanno più utili e più ricavi (ricerca Mediobanca-CINEAS).
  • La ISO 31000 parte da tre elementi sulla tua azienda (contesto, obiettivi, appetito al rischio), non da una polizza.
  • Si concentra sul 20% dei rischi che genera l’80% delle conseguenze, così investi dove conta.
  • È una leva, non un costo. Un caso reale: oltre 400.000 € l’anno di margine recuperato con circa 30.000 € di manutenzione preventiva.

Cos’è davvero la ISO 31000 (e cosa non è)

La ISO 31000 non è un faldone da compilare né l’ennesimo adempimento. È il modo strutturato di fare una cosa che già fai ogni giorno: valutare cosa può andare storto e decidere dove vale la pena investire. La differenza sta nel come. Lo fa in modo oggettivo e ripetibile, invece che a sensazione, così i risultati diventano leggibili, confrontabili anno su anno e delegabili, senza che tutto debba passare ogni volta dalla tua testa.

Il principio di fondo sta in una frase che vale la pena tenere a mente: fare impresa significa gestire rischi per prendere decisioni. La ISO 31000 dà a quelle decisioni una base solida al posto di un istinto. Non nasce nel mondo assicurativo e non finisce in una polizza: è una logica di governo dell’azienda, di cui l’assicurazione è semmai l’ultimo anello, non il primo.

Perché dovrebbe interessarti: fa fare più utili

Vale la pena partire da qui, perché ribalta un pregiudizio comune. Le medie aziende familiari italiane che portano la gestione del rischio dentro le decisioni di governo dell’impresa fanno più utili e più ricavi: lo mostra una ricerca di Mediobanca con CINEAS. Non perché spendano di più in assicurazioni, ma perché vedono prima dove l’azienda perde efficienza e intervengono dove conta. Spesso, anzi, spendono meglio.

È il motivo per cui conviene smettere di pensare alla gestione dei rischi come a un centro di costo prudenziale. Fatta con metodo, è uno dei modi più concreti per rendere l’azienda più solida e più redditizia allo stesso tempo. Due obiettivi che di solito si danno per alternativi, e che qui camminano nella stessa direzione.

E non è un tema di nicchia. Nel 2026 il fermo attività resta il terzo rischio più temuto dalle imprese di tutto il mondo, con il 29% delle segnalazioni, secondo l’Allianz Risk Barometer 2026, un sondaggio tra 3.338 risk manager di quasi 100 paesi. Davanti ci sono solo gli attacchi informatici (42%) e l’intelligenza artificiale (32%). Le grandi organizzazioni questi rischi non li subiscono: li mappano e li gestiscono, ed è esattamente il compito della ISO 31000.

Da dove parte il metodo: i tre elementi

La ISO 31000 non comincia da un preventivo. Comincia da tre domande sulla tua azienda, e sono domande che molti imprenditori non si sono mai posti con calma.

Il primo elemento è il contesto: come funziona davvero la tua impresa. Dal bilancio si legge molto più di quanto sembri, cioè l’efficienza, la gestione della cassa, il valore reale dell’azienda e quanto ancora dipende da te. Il secondo è gli obiettivi: dove vuoi portare l’azienda e qual è il vincolo che oggi la frena, perché i rischi che contano sono quelli capaci di impedirti di arrivarci. Il terzo è l’appetito al rischio: quanto sei disposto a investire per quegli obiettivi e, all’opposto, cosa non sei disposto a perdere.

Quest’ultimo punto non è un’opinione, si quantifica. Si parte dal patrimonio netto e dal margine di contribuzione per definire la soglia entro cui, di fatto, oggi la tua azienda è già “autoassicurata” con le proprie risorse. Metterla in un numero, invece che a intuito, è il momento in cui smetti di subire i rischi e cominci a governarli. Ti sei mai chiesto quale sia quella soglia, per la tua azienda?

Come funziona in pratica: le cinque fasi

Definiti i tre elementi, il processo procede per fasi ordinate. Sono quattro più una, e il cuore è semplice da raccontare.

Si parte dall’appetito al rischio (la fase 1: quale danno è per te irrisorio, quale sostenibile, quale devastante). Poi si costruisce il Risk Register, l’elenco dei rischi che ha senso analizzare per un’azienda come la tua. Cambia molto col settore: attorno a 25-30 voci per una manifatturiera, 40-50 per chi lavora con la chimica. Segue il Risk Assessment: per ogni area, chi la conosce davvero (il responsabile, il risk owner) stima probabilità e impatto e dichiara cosa è già in atto tra prevenzione, protezione e trasferimento. Da qui emerge il rischio netto, quello che resta dopo le difese che hai già messo in campo.

A questo punto si agisce, ed entra in gioco il principio di Pareto. Non si rincorre tutto: ci si concentra sul 20% dei rischi che genera l’80% delle conseguenze. Si interviene lì, con prevenzione, protezione o, solo per ciò che resta davvero rilevante, trasferendo il rischio a un’assicurazione. È lo stesso ragionamento che porta a coprire prima il danno indiretto, il peso vero, e poi il dettaglio. Infine si monitora, anno su anno: è il cruscotto di comando dell’imprenditore, che in ogni momento ti dice dove sei forte e dove conviene rinforzare.

Non è teoria: cosa cambia sui numeri

Che tutto questo produca soldi veri, e non solo tranquillità, lo racconta un caso documentato. Un intervento di manutenzione preventiva da circa 30.000 € su un guasto ricorrente ha permesso a un’azienda di recuperare oltre 400.000 € l’anno di margine di contribuzione. Un rischio trasformato in efficienza, e quindi in utile: la stessa cosa che la ricerca Mediobanca-CINEAS conferma su scala più ampia.

È qui che sta il senso del metodo. Trovare i punti in cui un piccolo investimento previene una grande perdita, e farne margine. Chi conosce agisce, chi non conosce subisce: la ISO 31000 serve a tenerti dalla parte di chi conosce, con un cruscotto in mano invece che con la speranza.

Manutenzione preventiva: 30k spesi, 400k recuperatiInvestimento: circa 30.000 € (una tantum)Margine recuperato: oltre 400.000 € ogni annoFonte interna B&P, caso reale. Barre non in scala esatta.
Il ritorno del risk management applicato: un intervento mirato sul rischio giusto.

La ISO 31000 vale per una PMI o solo per le grandi?

Vale per entrambe. La ISO 31000 nasce nelle grandi imprese, ma la sua logica si applica benissimo a una PMI da 1-10 milioni di fatturato: cambiano le dimensioni, non il metodo. Ed è nelle aziende che stanno crescendo, con patrimonio e persone da proteggere ma senza una funzione rischi strutturata, che rende di più, perché parte da una base quasi mai analizzata prima.

Nella pratica la struttura della ISO 31000 non lavora da sola, si appoggia ad altri due strumenti. Il principio di Pareto (80/20) dice dove concentrare l’azione; la Teoria dei Vincoli individua il collo di bottiglia che frena la crescita. Insieme trasformano uno standard nato per i grandi in qualcosa di maneggevole per chi ogni mattina apre l’azienda e deve decidere in fretta. Per i rischi dove non conviene investire subentra invece la logica della continuità operativa (business continuity).

Come si comincia

Il modo più semplice per capire se la ISO 31000 fa per te è provarla su un caso reale: il tuo. È quello che facciamo nella consulenza gratuita, un’analisi del rischio basata sul metodo ISO 31000 e tradotta nella lingua dell’imprenditore. Partiamo dal tuo contesto, mettiamo a fuoco obiettivi e appetito al rischio, e guardiamo insieme dove sei già ben coperto e dove puoi rafforzarti. Nessuna polizza da firmare, nessun preventivo: solo il metodo delle grandi imprese, applicato alla tua.

Prenota una consulenza gratuita e scopri come decidono le aziende che non lasciano i rischi al caso.

Domande frequenti

Cos'è la ISO 31000 in parole semplici?

È lo standard internazionale di gestione del rischio: un modo strutturato e ripetibile di valutare cosa può andare storto in azienda e decidere dove intervenire. Parte da tre elementi (contesto, obiettivi e appetito al rischio) e non da una polizza. È la logica con cui le grandi imprese prendono le decisioni.

La ISO 31000 serve alle PMI o solo alle grandi aziende?

Serve a entrambe. La ricerca Mediobanca-CINEAS ha mostrato che le medie imprese familiari che la usano per decidere fanno più utili e più ricavi. La stessa logica si applica a una PMI da 1-10 milioni: cambia la scala, non il metodo, ed è dove il patrimonio da proteggere è più esposto a rischi mai analizzati.

Quali sono le fasi del processo di risk management ISO 31000?

Sono quattro più una: definizione dell'appetito al rischio, costruzione del Risk Register (l'elenco dei rischi da analizzare, 25-30 per una manifatturiera), Risk Assessment con i risk owner, trattamento dei rischi prioritari secondo Pareto (il 20% che genera l'80% delle conseguenze) e monitoraggio anno su anno.

La ISO 31000 significa comprare più assicurazioni?

No. L'assicurazione è solo l'ultima delle tre risposte, dopo prevenzione e protezione, e si usa solo per i rischi che restano davvero rilevanti. Spesso il metodo porta a spendere meglio, non di più: un caso reale ha recuperato oltre 400.000 € l'anno di margine con circa 30.000 € di manutenzione preventiva.

Partiamo dai tuoi rischi.

La consulenza è gratuita e senza impegno. Un primo passo per conoscerci.