La versione 2015 della Norma UNI EN ISO 9001, obbligatoria da settembre 2018, ha diverse novità ma una su tutte: la gestione del rischio, un requisito già trasversale a tutti gli standard e attuabile con riferimento ai principi della ISO 31000:2010.
Quando parliamo di “rischio”, ci riferiamo a tutti quegli eventi che possono causare all’Organizzazione un mancato raggiungimento dei suoi obiettivi. Li distinguiamo in alcune macro-categorie:
Per l’evidente importanza che questi fattori possono avere per la crescita dell’Organizzazione, nel nuovo Sistema di Gestione ISO 9001 l’organizzazione aziendale non può prescindere da un corretto approccio al Processo di Gestione del rischio che sta a monte del suo sviluppo o della sua riprogettazione.
In cosa consiste il Processo di Gestione del rischio?
La normativa ISO 31000 ha identificato 7 passi metodologici da sviluppare a cura di un team di lavoro formato da almeno tre persone: una in rappresentanza del Management, dal consulente o comunque da una persona terza all’Azienda e, infine, da un dipendente in posizione di responsabilità.
Diamo di seguito alcune indicazioni operative che possono essere adottate per cominciare a modificare il Sistema di Gestione secondo l'approccio descritto.
Definizione del contesto
Significa includere i parametri dell’ambiente interno e di quello esterno nel quale l’Organizzazione cerca di conseguire i propri obiettivi. Da questo passo discende il Risk-Based Thinking e il nuovo Sistema Gestione Qualità nel suo complesso.
Nel definire il contesto interno bisogna aver chiaro il flusso di informazioni e il processo decisionale, la governance, le parti interessate interne, gli obiettivi e le strategie messe in atto per raggiungerli, le norme e i modelli di riferimento adottati dall’organizzazione, le strutture, i ruoli e i bilanci. Il contesto esterno è invece dato dai requisiti cogenti. Inoltre, dall’ambiente sociale, culturale, politico, finanziario, tecnologico, economico e competitivo, locale, nazionale e internazionale. Il suggerimento è quello di aiutarsi con una tabella per descrivere le attività relative alla gestione del rischio; alcuni elementi della tabella possono essere i seguenti:
Definire dei criteri implica decidere su natura, conseguenze e modalità con cui il livello di rischio verrà definito accettabile. Tali criteri possono essere basati su fonti quali:
La richiesta della Norma di documentare il contesto operativo può essere soddisfatta in vari modi, ad esempio in un capitolo del Manuale Qualità oppure in uno o più documenti correlati (dichiarazioni, verbali di riunione, relazione di bilancio del CdA, ecc.) o, infine, nel Riesame della Direzione. Ricordatevi di identificare l’ambito normativo di riferimento e il cliente “target”, stabilire i limiti geografici di diffusione del proprio prodotto/servizio, riconoscere limiti e peculiarità della propria organizzazione (es.: azienda familiare, multinazionale, struttura divisionale, ecc.).
Valutazione del rischio
E’ il processo complessivo fatto di 3 momenti: identificazione, analisi e ponderazione del rischio
La tabella riportata è un esempio di applicazione dell’analisi del rischio in una PMI manifatturiera, con l’identificazione dei processi principali, l’identificazione dei rischi a fronte di eventi significativi dei processi, la valutazione della loro gravità.
Trattamento del rischio
Il trattamento è legato innanzitutto alla probabilità di accadimento di un evento e quindi all’individuazione delle soluzioni per modificarne il livello di rischio.Nella logica PDCA, tale impostazione comporta poi un processo ciclico di valutazione, modifica e, dunque, di nuovo un trattamento. Le soluzioni possono contribuire ad evitare un rischio (non avviando l’attività che lo genera), assumere o aumentare il rischio (per cogliere un’opportunità), rimuovere la fonte del rischio, modificarne la probabilità o, infine, condividerlo con altre parti. In ogni caso il piano di trattamento da attuare va documentato, ad esempio con una tabella che contiene, per ogni soluzione: chi ha deciso, la motivazione, chi ha la responsabilità dell’attuazione, le risorse necessarie, i vincoli, i tempi e la programmazione.
Monitoraggio e riesame
Il processo di gestione dei rischi si completa con un monitoraggio e un riesame a cadenza regolare, per verificare che rimangano valide le ipotesi su cui la valutazione è basata. Per verificare, inoltre, che i risultati ottenuti siano quelli attesi, che i risultati della valutazione siano in linea con le esperienze effettive, che le tecniche di valutazione siano applicate in modo appropriato e che i trattamenti adottati siano efficaci. Anche monitoraggio e riesame vanno rendicontati.
Concludendo
In definitiva ci chiediamo: quanto "strutturata" deve essere la gestione del rischio secondo la Norma ISO 9001:2015?
Quanto sopra riportato, infatti, fa specifico riferimento a quanto previsto dalla ISO 31000:2010. Tuttavia, la ISO 9001 non richiede alle Organizzazioni di adottare un formale approccio alla gestione del rischio né di applicare tecniche o linee guida specifiche a tale riguardo (esiste solo un riferimento alla ISO 31001). Le Organizzazioni possono pertanto approcciare il rischio in maniera “libera”: il livello di approfondimento dipenderà dalla natura dei prodotti e servizi offerti, dalle caratteristiche del contesto e dalle effettive criticità che ogni organizzazione dovrà affrontare, ossia dal grado di complessità dell’Organizzazione stessa. Le PMI caratterizzate da organizzazioni semplici, di piccole dimensioni, con operatività consolidata e che operano in contesti stabili o prevedibili, non necessitano di strumenti "sofisticati" per mettere in pratica il Risk Based Thinking. Potrebbe essere sufficiente lavorare sugli atteggiamenti culturali delle persone.
Ma quante sono le PMI che si trovano ad operare in tali contesti?