Il processo di gestione del rischio in una PMI

La versione 2015 della Norma UNI EN ISO 9001, obbligatoria da settembre 2018, ha diverse novità ma una su tutte: la gestione del rischio, un requisito già trasversale a tutti gli standard e attuabile con riferimento ai principi della ISO 31000:2010.

Quando parliamo di “rischio”, ci riferiamo a tutti quegli eventi che possono causare all’Organizzazione un mancato raggiungimento dei suoi obiettivi. Li distinguiamo in alcune macro-categorie:

• strategici: legati al mercato di riferimento e alle sue variazioni
• finanziari: correlati agli investimenti, alle oscillazioni dei cambi, alla variazione della domanda
• operativi: legati al processo di produzione, distributivo o, in generale, al processo principale di una organizzazione
• tecnologici: sono quelli che si possono ricondurre alla tecnologia, alla sua obsolescenza e alla sua evoluzione
• compliance: sono i rischi legati al mancato rispetto delle normative di legge (dalla Sicurezza sul lavoro alle normative ambientali, dagli adempienti fiscali a quelli contribuitivi, fino al rispetto delle norme specifiche di settore)
• sicurezza e tutela del patrimonio: sono quelli correlati al mantenimento del patrimonio aziendale, in tutte le sue forme, mobiliare e immobiliare
• risorse umane: vi rientrano tutti i rischi riconducibili all’organizzazione delle persone in azienda (come delega di poteri, attribuzione di responsabilità e attività, percorsi professionali, età anagrafica, età in azienda)

Per l’evidente importanza che questi fattori possono avere per la crescita dell’Organizzazione, nel nuovo Sistema di Gestione ISO 9001 l’organizzazione aziendale non può prescindere da un corretto approccio al Processo di Gestione del rischio che sta a monte del suo sviluppo o della sua riprogettazione.

In cosa consiste il Processo di Gestione del rischio? 

La normativa ISO 31000 ha identificato 7 passi metodologici da sviluppare a cura di un team di lavoro formato da almeno tre persone: una in rappresentanza del Management, dal consulente o comunque da una persona terza all’Azienda e, infine, da un dipendente in posizione di responsabilità.

Diamo di seguito alcune indicazioni operative che possono essere adottate per cominciare a modificare il Sistema di Gestione secondo l'approccio descritto.

Definizione del contesto

Significa includere i parametri dell’ambiente interno e di quello esterno nel quale l’Organizzazione cerca di conseguire i propri obiettivi. Da questo passo discende il Risk-Based Thinking e il nuovo Sistema Gestione Qualità nel suo complesso.

Nel definire il contesto interno bisogna aver chiaro il flusso di informazioni e il processo decisionale, la governance, le parti interessate interne, gli obiettivi e le strategie messe in atto per raggiungerli, le norme e i modelli di riferimento adottati dall’organizzazione, le strutture, i ruoli e i bilanci.  Il contesto esterno è invece dato dai requisiti cogenti. Inoltre, dall’ambiente sociale, culturale, politico, finanziario, tecnologico, economico e competitivo, locale, nazionale e internazionale.  Il suggerimento è quello di aiutarsi con una tabella per descrivere le attività relative alla gestione del rischio; alcuni elementi della tabella possono essere i seguenti:

• campo di applicazione
• traguardi e obiettivi
• la responsabilità (a tutti i livelli)
• processi, funzioni, progetti, prodotti, servizi
• metodologie di valutazione del rischio
• modalità con cui sono valutate le prestazioni e l’efficacia della gestione del rischio.

Definire dei criteri implica decidere su natura, conseguenze e modalità con cui il livello di rischio verrà definito accettabile. Tali criteri possono essere basati su fonti quali:

• obiettivi dei processi
• criteri identificati nelle specifiche e definiti nella politica di gestione del rischio
• fonti generali di dati
• criteri generalmente adottati nell’industria quali livelli di integrità e sicurezza
• requisiti legali ed altri per specifici apparati o applicazioni.

La richiesta della Norma di documentare il contesto operativo può essere soddisfatta in vari modi, ad esempio in un capitolo del Manuale Qualità oppure in uno o più documenti correlati (dichiarazioni, verbali di riunione, relazione di bilancio del CdA, ecc.) o, infine, nel Riesame della Direzione. Ricordatevi di identificare l’ambito normativo di riferimento e il cliente “target”, stabilire i limiti geografici di diffusione del proprio prodotto/servizio, riconoscere limiti e peculiarità della propria organizzazione (es.: azienda familiare, multinazionale, struttura divisionale, ecc.).

Valutazione del rischio

E’ il processo complessivo fatto di 3 momenti: identificazione, analisi e ponderazione del rischio

• Identificazione del rischio: ossia la redazione di un elenco completo dei rischi considerando gli eventi che possono causare all’Organizzazione un ritardo o una mancanza nel raggiungimento dei suoi obiettivi. L’identificazione completa ed esaustiva è critica perché un rischio non identificato in questa fase non viene poi considerato in quelle successive. È importante far riferimento a tipologie di rischi standardizzate come, per esempio, quella di AssoGestioni con 8 macro tipologie e 35 micro.
• Analisi del rischio: è l’attività che fornisce dati di input alla fase successiva di ponderazione ma anche alle decisioni conseguenti di trattamento e può fornire indicazioni per i processi decisionali. L’analisi, che può essere qualitativa, quantitativa o mista, può avere vari livelli di dettaglio in funzione del rischio, scopo dell’analisi, informazioni, dati e risorse disponibili. Le conseguenze e la loro verosimiglianza possono essere determinate mediante simulazione di uno o più eventi oppure da studi sperimentali.
• Ponderazione del rischio: occorre attribuire, ad ogni rischio identificato, un "peso" per determinarne le priorità fornendo così ai processi decisionali un preciso riferimento per la fase di attuazione. L’attribuzione del peso avviene attraverso il confronto tra il livello di rischio stabilito nell’esame del contesto e quello trovato durante il processo di analisi.

La tabella riportata è un esempio di applicazione dell’analisi del rischio in una PMI manifatturiera, con l’identificazione dei processi principali, l’identificazione dei rischi a fronte di eventi significativi dei processi, la valutazione della loro gravità.

Trattamento del rischio

Il trattamento è legato innanzitutto alla probabilità di accadimento di un evento e quindi all’individuazione delle soluzioni per modificarne il livello di rischio.Nella logica PDCA, tale impostazione comporta poi un processo ciclico di valutazione, modifica e, dunque, di nuovo un trattamento. Le soluzioni possono contribuire ad evitare un rischio (non avviando l’attività che lo genera), assumere o aumentare il rischio (per cogliere un’opportunità), rimuovere la fonte del rischio, modificarne la probabilità o, infine, condividerlo con altre parti. In ogni caso il piano di trattamento da attuare va documentato, ad esempio con una tabella che contiene, per ogni soluzione: chi ha deciso, la motivazione, chi ha la responsabilità dell’attuazione, le risorse necessarie, i vincoli, i tempi e la programmazione.

Monitoraggio e riesame

Il processo di gestione dei rischi si completa con un monitoraggio e un riesame a cadenza regolare, per verificare che rimangano valide le ipotesi su cui la valutazione è basata. Per verificare, inoltre, che i risultati ottenuti siano quelli attesi, che i risultati della valutazione siano in linea con le esperienze effettive, che le tecniche di valutazione siano applicate in modo appropriato e che i trattamenti adottati siano efficaci. Anche monitoraggio e riesame vanno rendicontati.

Concludendo

In definitiva ci chiediamo: quanto "strutturata" deve essere la gestione del rischio secondo la Norma ISO 9001:2015?

Quanto sopra riportato, infatti, fa specifico riferimento a quanto previsto dalla ISO 31000:2010. Tuttavia, la ISO 9001 non richiede alle Organizzazioni di adottare un formale approccio alla gestione del rischio né di applicare tecniche o linee guida specifiche a tale riguardo (esiste solo un riferimento alla ISO 31001).  Le Organizzazioni possono pertanto approcciare il rischio in maniera “libera”: il livello di approfondimento dipenderà dalla natura dei prodotti e servizi offerti, dalle caratteristiche del contesto e dalle effettive criticità che ogni organizzazione dovrà affrontare, ossia dal grado di complessità dell’Organizzazione stessa.  Le PMI caratterizzate da organizzazioni semplici, di piccole dimensioni, con operatività consolidata e che operano in contesti stabili o prevedibili, non necessitano di strumenti "sofisticati" per mettere in pratica il Risk Based Thinking. Potrebbe essere sufficiente lavorare sugli atteggiamenti culturali delle persone.

Ma quante sono le PMI che si trovano ad operare in tali contesti?