L’approccio basato sul rischio nella ISO 9001:2015

L’approccio basato sulla gestione del rischio è l’insieme dei processi mediante i quali l’organizzazione individua, analizza e valuta i relativi rischi, sviluppando apposite strategie per governarli, in modo da minimizzare le perdite e massimizzare le opportunità. La norma ISO 9001:2015 al paragrafo 0 afferma che “Il Risk Based Thinking permette all’organizzazione di determinare i fattori che potrebbero fare deviare i suoi processi e il suo Sistema di Gestione per la Qualità dai risultati pianificati, di mettere in atto controlli preventivi per minimizzare gli effetti negativi e massimizzare opportunità, quando esse si presentano… Il Risk Based Thinking è volto a cogliere le opportunità e a prevenire risultati indesiderati” (UNI EN ISO 9001:2015). Il pensiero basato sul rischio, consente, pertanto, all’organizzazione di pianificare le azioni necessarie al raggiungimento dei propri obiettivi, anticipando e limitando le conseguenze negative di eventi indesiderati, potenziando gli effetti positivi di eventi favorevoli, raggiungendo cosi la qualità auspicata dall’organizzazione. Il concetto era già implicito nella precedente edizione della norma ISO 9001, attraverso l’uso delle azioni preventive per eliminare potenziali non conformità e prevenire il ripetersi delle stesse, ed attraverso i requisiti relativi a pianificazione, riesame e miglioramento. Nella ISO 9001:2015, la gestione dei rischi diventa un aspetto esplicito, rappresentando la novità più importante, poiché richiede un cambiamento completo della prospettiva adoperata nell’implementare un sistema qualità, basato su un atteggiamento mentale diffuso, grazie al quale l’azione preventiva non è più uno strumento isolato e citato in uno distinto punto dello standard, ma bensì distribuito nell’intero corpo del sistema, allo scopo di assicurare che i rischi siano riconosciuti, presi in esame e affrontati, in ogni fase dell’attuazione di un SGQ.

Si assiste ad una pervasività dell’azione preventiva, che è richiamata ovunque attraverso ripetuti riferimenti al rischio, nonché riassunta nella formula “Risk Based Thinking”, lo strumento gestionale preventivo che guida l’organizzazione in ogni processo decisionale inerente al Sistema di Gestione Qualità, ai fini della corretta identificazione e gestione dei rischi e delle opportunità associati al contesto e all’operatività della stessa. La ISO 9001:2015 non definisce un “dominio”, ossia, non delimita il campo entro cui proseguire alla definizione dei rischi che rappresentano una minaccia per l’organizzazione ma, la possibilità di arrivare ad una soluzione chiara ed efficace è data dalla considerazione dell'influenza che, in questo senso, assumono gli obiettivi.

A che cosa è riferito quindi il “rischio”?

A questa domanda risponde il paragrafo 0 della norma, citato in precedenza: “Il Risk Based Thinking permette all’organizzazione di determinare fattori che potrebbero fare deviare i suoi processi e il suo Sistema di Gestione per la Qualità dai risultati pianificati...” (UNI EN

191

ISO 9001:2015). L’elemento di partenza da considerare nella ricerca e determinazione dei rischi, è costituito, perciò, dai fattori che potrebbero compromettere il conseguimento degli obiettivi. Diventa, quindi, fondamentale che l’organizzazione abbia correttamente individuato, a fronte dei processi dai quali è composto il campo di applicazione del proprio sistema di gestione, i relativi target.

Ma che cosa intende, per rischio, il nuovo standard?

Il rischio viene inteso come l’incertezza associata al raggiungimento dei principali obiettivi, ossia il target di generare fiducia nella capacità delle organizzazioni di fornire con regolarità ai propri clienti prodotti-servizi conformi ai requisiti e quello di accrescere la soddisfazione dei clienti. Un rischio non solo negativo, ma che assume un’accezione anche positiva, cioè di opportunità, intesa come l’insieme di circostanze che rendono possibile fare qualcosa, e dalla scelta di coglierla o meno ne conseguono i livelli di rischio.

L’organizzazione deve programmare ed effettuare strategie che affrontino rischi ed opportunità, al fine di accrescere l’efficacia del SGQ, conseguendo risultati migliori e prevenendo gli effetti negativi. Non deve, solo, limitarsi ad adempiere ai requisiti della norma, ma occorre che identifichi e tenga sotto controllo i rischi e le opportunità che potrebbe incontrare nella quotidianità e specifici per la sua realtà, stabilendo inoltre il come valutare l’adeguatezza delle azioni pianificate per gestirli efficacemente. Il Risk Based Thinking, quindi si consolida in una gestione per la qualità basata, oltre che sulla precisa applicazione di prescrizioni codificate, sulla generale capacità, da parte di ognuno nell'organizzazione, di assumere, quando necessario, le decisioni di competenza e di intraprendere le azioni conseguenti per una corretta valutazione dei possibili effetti, positivi o negativi, delle circostanze considerate.

Come chiarito precedentemente, l'azione preventiva è menzionata ovunque nella nuova norma attraverso ripetuti riferimenti al rischio, ovvero:

Ø Nell’introduzione, dove è spiegato il concetto stesso di pensiero basato sul rischio. Ø Nel capitolo 4 “Contesto dell'organizzazione”, in cui l'organizzazione deve affrontare

i rischi e le opportunità relativi ai processi del suo sistema, dopo avere determinato il contesto, le esigenze e aspettative delle parti interessate, quindi il campo di applicazione del SGQ.

Ø Nel capitolo 5 “Leadership”, l’Alta Direzione deve promuovere la consapevolezza del Risk Based Thinking, individuare e affrontare i rischi, nonché le opportunità che potrebbero influenzare la conformità del prodotto-servizio.

Ø Nel capitolo 6 “Pianificazione”, l’organizzazione deve identificare i rischi e le opportunità relativi alle prestazioni del SGQ ed intraprendere azioni appropriate per affrontarli, come logica conseguenza del capitolo 4, dove è stato richiesto di

192

individuare rischi-opportunità che potrebbero mettere in forse o potenziare i risultati da raggiungere. In questo capitolo l’organizzazione stabilisce come gestire i rischi e cogliere le opportunità attraverso un’attenta pianificazione basata sulla definizione di: cosa, chi, come, dove quando, ovvero, quali rischi e opportunità andranno evitati o colti, da parte di chi, in quale modo, in quale ambito e quando. Quello che si richiede è di cambiare l’approccio delle azioni preventive che, nella nuova norma, scompaiono come tali, per diventare un vero e proprio fondamento della pianificazione del sistema qualità. Il punto 6, nello specifico si compone di tre paragrafi: azioni per affrontare rischi e opportunità; obiettivi per la qualità e pianificazione per il loro raggiungimento; pianificazione delle modifiche. I tre paragrafi affrontano tre aspetti importanti del SGQ, quello degli input dei processi con particolare attenzione a come affrontare i rischi e cogliere le opportunità nella fase di pianificazione; quello di definizione degli obiettivi del sistema; infine quello riferito ai passi concreti da compiere quando si stabilisce di modificare una parte del sistema. Le azioni intraprese per affrontare i rischi e le opportunità devono essere equilibrate all’impatto possibile sulla conformità dei prodotti-servizi e verranno scelte in base ad eventuali costi-benefici derivanti. Le azioni messe in atto per affrontare i rischi possono essere: evitare il rischio; assumersi il rischio in modo da perseguire un’opportunità; rimuovere la fonte del rischio; modificare la probabilità o le conseguenze; condividere il rischio; ritenere il rischio in base ad una decisione informata. Quelle per cogliere le opportunità possono includere: l’adozione di nuove prassi; il lancio di nuovi prodotti; l’apertura di nuovi mercati; orientarsi verso nuovi clienti; la creazione di nuove partnership; l’utilizzo di nuove tecnologie.

Lo scopo di un’attenta gestione dei rischi diventa quello di perseguire il miglioramento, ottenibile tramite un’accorta pianificazione del cambiamento: più l’organizzazione riesce a programmare gli output di un mutamento, mediante un’analisi approfondita delle problematiche interne ed esterne, e meno incorre nella possibilità di trovarsi a gestire rischi invece di cogliere opportunità. Diventa fondamentale, dato che i rischi e le opportunità, di solito, nascono come conseguenze del cambiamento, considerarne lo scopo, l’impatto, le possibili conseguenze, le risorse interessate, le autorità e le responsabilità ad esso collegate, quindi una gestione efficace ed adeguata del mutamento.

Ø Nel capitolo 7 “Supporto”, in cui si richiede all’organizzazione di definire e fornire idonee risorse.

Ø Nel capitolo 8 “Attività operative”, che chiede all’organizzazione di gestire i propri processi operativi in modo appropriato.

193

Ø Nel capitolo 9 “Valutazione delle prestazioni”, nel quale si stabilisce che l’organizzazione deve monitorare, misurare, analizzare e valutare l’efficacia delle azioni intraprese per affrontare i rischi e le opportunità.

Ø Nel capitolo 10 “Miglioramento”, in base al quale l’organizzazione deve correggere, prevenire o ridurre gli effetti indesiderati, migliorare il SGQ e aggiornare i rischi e le opportunità.

In definitiva il Risk Based Thinking, riferito alla gestione per la qualità, si esprime a tutti i livelli della struttura organizzativa e del processo decisionale, quindi a livello:

Ø Strategico, nella definizione del campo di applicazione del SGQ, a partire della comprensione del contesto e delle sue influenze sull’organizzazione.

Ø Manageriale, nella determinazione dei processi e degli strumenti gestionali da attivare nel SGQ, e della loro importanza, per il sistema stesso.

Ø Operativo, nell’identificazione dei punti critici nei processi, nelle funzioni, nelle attività, allo scopo di un adeguato controllo e miglioramento.