Dipartimento di Scienze Politiche
Corso di Laurea Magistrale in Comunicazione di
impresa e politica delle risorse umane (LM-59)
IL RISK BASED APPROACH SECONDO LA
NORMATIVA ISO 9001, ESEMPI DI CASI APPLICATIVI
Candidata: Teresa Fazzini Relatrice: Prof.ssa Laura Bonechi
2
Umiltà e Coraggio,
3
INDICE
INTRODUZIONE………...pag. 5
CAPITOLO 1
ISO 9001:2015
……….……...pag. 91. La normativa iso 9001:2015………...pag. 9
2. Approccio per processi………...…………...pag. 12
2.1 Definizione di processo………....…pag. 13
2.2 Rappresentare i processi………..…...pag. 17
3. BPR e il Miglioramento continuo………...…..pag. 21
3.1 Business process re-engineering……….….…pag. 22
3.2 Miglioramento continuo e PDCA...pag. 24
CAPITOLO 2
IL RISCHIO E LA NORMA ISO
9001:2015
………..…………..…………....pag. 29 1. Definizione di rischio………...…pag. 301.1 Classificazione dei rischi………...………..pag. 31
2. Il rischio e la norma………....…….pag. 35
2.1 Organizzazione e risk based thinking…...……….……..pag. 39
4
CAPITOLO 3
LA GESTIONE DEI RISCHI
…....pag. 491. Risk Assessment………..pag. 51
1.1 Identificazione dei rischi……….….pag. 52
1.2 Analisi dei rischi………...…….……….pag. 54
1.3 Ponderazione dei rischi………...………pag. 58
2. Risk Treatment………..…pag. 59
2.1 Le strategie………...…pag. 60
3. Il Reporting e il Monitoraggio……….……....….pag. 64
3.1 Il monitoraggio………..…….…pag. 65
CAPITOLO 4
CASI STUDIO
………....pag. 661. Le aziende……….…..………...pag. 66
2. Processi oggetto di studio……….…..…….………...pag. 70
2.1 Processo di Ordine cliente, negozio Decathlon di Figline e Incisa Valdarno……….…….pag. 70
2.2 Processo di Approvvigionamento, azienda F.lli Bernini Srl………..……....pag. 78
2.3 Processo di Ricerca e Selezione del Personale, Calvelli RSP...pag. 87
CONCLUSIONI……….………...………pag. 95
5
INTRODUZIONE
La crisi che negli anni recenti ha investito le PMI, patrimonio di ricchezza, conoscenza e qualità del nostro Paese, ha costretto molte di queste realtà a ridimensionare la loro presenza sul mercato o a chiudere. Rimandare tutto alla situazione di crisi economico finanziaria tuttavia sarebbe solo una lettura parziale, infatti molteplici sono le responsabilità interne alle aziende che non hanno saputo affrontare le sfide e le opportunità del nuovo millennio. Tra le cause si possono menzionare sicuramente gli scarsi investimenti in ricerca & sviluppo e innovazione, i ridotti investimenti nel personale e nelle nuove tecnologie, l’eccessivo focus sull’abbattimento dei costi, un management legato ad una vecchia visione di fare impresa, che privilegia la velocità sulla qualità, creando imprese incapaci di cambiare e rinnovarsi in base al nuovo mercato del lavoro, che mostrano resistenza al cambiamento.
Si rivela fondamentale per un’azienda stabilire obiettivi e strategie che possano renderla competitiva e sempre al passo con i tempi. Proprio a tal fine è la stessa normativa internazionale che con l’edizione del 2015 si aggiorna per rispondere ai cambiamenti del mondo che ci circonda. La finalità della norma è quella di dotare la Direzione di qualsiasi organizzazione delle competenze e conoscenze necessarie per affrontare un contesto economico notevolmente cambiato rispetto a qualche anno fa. In poche parole, la norma prevede che un’organizzazione debba impegnarsi nell’implementazione di un Sistema di Gestione per la Qualità, il quale necessita di una focalizzazione sul cliente, mirando alla soddisfazione dei suoi bisogni e aspettative; di un management impegnato nell’individuazione di strategie e politiche, che coinvolge tutti i livelli dell’organizzazione nel raggiungimento della qualità; della comprensione che la gestione delle relazioni con le parti interessate è fondamentale (mai dimenticare la loro capacità di influenzare l’andamento dell’organizzazione), ed infine, di fare del Miglioramento continuo la filosofia o il mantra su cui fondare ogni suo
6
processo, attività, livello e comportamento affinché l’organizzazione possa raggiungere e mantenere il successo.
“Affinché i Sistemi di Gestione possano trarre vantaggio dall’applicazione della nuova norma, essi dovranno essere, molto più che nel passato:
- caratterizzanti, secondo le specifiche di ogni organizzazione,
- adattivi, e perciò variabili, nel tempo in funzione del mutare delle condizioni del contesto esterno ed interno dell’organizzazione.1”
E’ dunque nella Gestione per la Qualità che la norma ISO 9001:2015 individua la soluzione ai problemi e alle difficoltà che caratterizzano le aziende negli anni recenti e sottolinea come, per una sua corretta implementazione, sia necessaria l’adozione di un approccio per processi, approccio che incorpora il metodo PDCA e il Risk Based Thinking.
“Il Risk Based Thinking, insieme con il PDCA, è complementare all'Approccio per Processi:
-L'Approccio per Processi è quello che consente all'organizzazione di pianificare i propri processi e le loro interazioni.
- Il Plan-Do-Check-Act (PDCA) fa sì che i processi siano adeguatamente alimentati e gestiti e che siano identificate le opportunità di miglioramento. -Il Risk Based Thinking permette all'organizzazione di determinare i fattori che potrebbero rendere inefficaci i processi e il Sistema di Gestione Qualità, e di porre preventivamente in atto i controlli necessari ad assicurare che questo non accada.2”
La novità più rilevante della normativa rispetto alla sua precedente edizione del 2008 riguarda proprio l’adozione del Risk Based Thinking.
1 Nicola Gigante “Incontro Ispettori e Funzionari Tecnici ACCREDIA sulla norma 9001:2015”.
Milano 10 settembre 2015. Consultato sul sito www.accredia.it in data 05.04.2018
7
“L’impresa deve individuare quei rischi che possono mettere in crisi seriamente la sua continuità operativa e condurre un processo continuo di resilienza, volto a garantire una solidità sia per i clienti che per gli azionisti. Un impresa resiliente continua a crescere e ad evolversi con lo scopo di andare incontro ai bisogni e alle aspettative dei portatori di interesse. Tali aziende si adattano con successo ai cambiamenti che ne mettono in pericolo la vita, anticipandone i rischi, riconoscendo le opportunità e configurando prodotti e processi solidi.3”
Dunque, quanto appena sostenuto a dimostrazione dell’importanza della Gestione per la Qualità, basata su una conduzione oculata dei rischi da parte del management, mi ha spronata nel voler approfondire lo studio di queste tematiche, studi che poi ho messo in pratica nell’analisi di tre casi aziendali.
Questo elaborato si suddivide in due parti: nella prima vengono introdotti gli argomenti teorici riguardanti la norma ISO 9001:2015, i processi, l’analisi e la gestione dei rischi il cui studio approfondito è stato necessario all’analisi dei casi applicativi, descritti nella seconda parte.
Punto di partenza dell’elaborato è la presentazione, nel primo capitolo, della norma ISO 9001:2015 con la finalità di sottolineare la rilevanza che essa attribuisce alla Gestione per la Qualità. La trattazione, dunque, prosegue con lo studio dei processi e delle loro caratteristiche, del Business Process Re-enigineering e del Miglioramento continuo. Il capitolo termina con la presentazione del PDCA o ruota di Deming, metodo di gestione impiegato per il controllo e il miglioramento dei processi.
3 Alessandro Pavone, Alessandro Corbisiero e Alessio Pelusi, Risk Management e contesto di
un’organizzazione, la nuova ISO 9001:2015. Come definire il contesto di un’organizzazione ed analizzarne i rischi alla luce delle nuove norme ISO. Procedure e casi applicativi in aziende di servizi e di produzione. Edizioni Nuova Prhomos, Città Di Castello (Pg), 2016, p. 11
8
Il secondo capitolo introduce l’altro elemento fondamentale all’approccio per processi, ovvero la gestione del rischio. La norma introduce l’importanza del pensiero orientato alla gestione ponderata dei rischi e delle opportunità che si presentano alle organizzazione in quanto fattore intrinseco a qualsiasi attività economica.
Il terzo capitolo è incentrato sullo studio del Risk Management, che parte dal Risk Assessment, comprensivo di identificazione, analisi e ponderazione, per poi passare al Risk Treatment, inerente le possibili strategie attuabili nel prevenire o ridurre probabilità e impatto degli eventi rischiosi, e della rilevanza che assumono le attività di reporting e monitoraggio per la loro gestione.
Nel quarto capitolo gli argomenti teorici presentati nei capitoli precedenti vengono applicati per lo studio di tre processi, e dei rischi ad essi connessi, appartenenti a tre differenti realtà aziendali. Inizialmente vengono descritte le tre aziende prese in esame e i processi oggetto di studio, ovvero, il processo di Ordine Cliente presso il negozio Decathlon di Figline Valdarno, dove lavoro da quattro anni, il processo di approvvigionamento dell’azienda F.lli Bernini Srl, che si occupa di impianti elettrici, ed infine il processo di Ricerca e Selezione del Personale per la società Calvelli RSP di Arezzo, azienda presso la quale ho svolto il tirocinio curriculare. Ho presentato per ciascun processo il relativo diagramma di flusso, ed infine individuato i rischi per i quali sono presentate potenziali azioni di prevenzione e controllo.
9
CAPITOLO 1
ISO 9001:2015
1. La normativa ISO 9001:2015 – 2. Approccio per processi – 2.1 definizione di processo – 2.2 rappresentare i processi – 3.BPR e Miglioramento continuo – 3.1 business process re-engineering – 3.2 miglioramento continuo e PDCA
1. LA NORMATIVA ISO 9001:2015
“La presente norma internazionale specifica i requisiti di un sistema di gestione per la qualità quando un’organizzazione:
a) ha l’esigenza di dimostrare la propria capacità di fornire con regolarità prodotti o servizi che soddisfano i requisiti del cliente e i requisiti cogenti applicabili; e
b) mira ad accrescere la soddisfazione del cliente tramite l’applicazione efficace del sistema compresi i processi per migliorare il sistema stesso e assicurare la conformità ai requisiti del cliente e ai requisiti cogenti applicabili.
Tutti i requisiti della presente norma internazionale sono di carattere generale e previsti per essere applicabili a tutte le organizzazioni indipendentemente da tipo o dimensione, o dai prodotti forniti e servizi erogati”.4
Decidere se adottare un sistema di Gestione per la Qualità è per un’organizzazione una scelta strategica, scelta basata sulla comprensione che un tale sistema di gestione può apportare benefici in termini di efficacia dell’intera organizzazione e di continua soddisfazione dei clienti.
10
Gestire per la Qualità innanzitutto comporta necessariamente che la cultura della qualità sia ben permeata in tutta l’organizzazione perché sarà riferimento principale e l’obiettivo per qualsiasi attività che si svolgerà al suo interno. Gestire per la Qualità è infine necessario affinché le organizzazioni siano in grado di sostenere le sfide legate all’incertezza e alla complessità dell’attuale mercato.
Inoltre la normativa ritiene obiettivo fondamentale per ogni organizzazione la soddisfazione del cliente nei termini in cui deve essere capace di fornire con regolarità prodotti e servizi che ne soddisfino le esigenze. Attualmente il concetto di Qualità legato alla soddisfazione dei clienti ha assunto un’importanza particolare quando si parla di Qualità latente. “La Qualità Latente è la qualità che va al di là della qualità richiesta e di quella attesa.. il cliente ha infatti delle esigenze potenziali che non hanno limiti, che il più delle volte non è in grado di precisare e che dobbiamo cercare di scoprire. Si ha qualità latente quando al cliente viene dato qualcosa che non si aspettava, anche se il bisogno potenzialmente sussiste. La qualità latente viene anche chiamata qualità eccitante, perché quando la proviamo, essa ci entusiasma, proprio perché non ne riconosciamo l’esistenza. Il futuro di un’azienda si gioca tutto nella qualità latente: i nostri clienti desiderano sempre qualcosa di nuovo.5” E’ utile comprendere questo significato omnicomprensivo, olistico del
termine Qualità perché costituisce il fondamento delle normative internazionali ISO 9000 fino alla più recente e oggetto di studio e analisi di questo elaborato ovvero la ISO 9001:2015. Infatti tale norma richiama i principi per un sistema di gestione a cui le organizzazioni devono far riferimento se intenzionate a dimostrare di poter garantire con continuità prodotti e servizi conformi alle esigenze dei clienti e che, attraverso un’adozione efficiente del sistema di gestione stesso, aspirino ad un incremento della loro soddisfazione.
5 Alberto Galgano, La Qualità Totale, il metodo scientifico nella gestione aziendale. Guerini e
11
I principi di Gestione per la Qualità richiamati dalla normativa sono: ▪ l’attenzione al cliente, il cliente prima di tutto
▪ la leadership o direzione per le politiche ▪ l’approccio basato sui processi
▪ il miglioramento continuo
▪ il processo decisionale basato su verifiche di dati ▪ la gestione delle relazioni
▪ la partecipazione al sistema qualità di tutti gli operatori interni ed esterni all’azienda
L’attestazione di conformità rispetto a tali requisiti avviene attraverso la certificazione del SGQ di un’organizzazione da parte di un ente certificatore. La competizione che caratterizza il mercato globale rende tale certificazione per un’organizzazione requisito necessario di riferibilità e fondamentale strumento strategico che consente di incrementare immagine e credibilità. Un aspetto fondamentale è che la norma ISO 9001:2015 non stabilisce che tali principi generali debbano essere obbligatoriamente applicati. Elencati i requisiti della norma è possibile analizzare le novità di questa nuova edizione che rispetto alla precedente, datata 2008, sottolinea la necessità per le organizzazioni di comprendere le esigenze e le aspettative delle parti interessate all’attività dell’organizzazione. In realtà non è un argomento nuovo per la ISO 9001 ma solo con quest’ultima edizione viene richiamato di fatto tra i requisiti per una gestione per la Qualità. Inoltre non prevede più l’obbligo per le organizzazioni di predisporre il manuale della qualità e alcune procedure obbligatorie, di conseguenza decidere se redigere documenti di tipo descrittivo all’interno del sistema sarà a discrezione dell’organizzazione stessa. Forse l’aspetto più importante che questa nuova edizione della norma comporta è legato ad un aumento di discrezionalità e di libertà per le organizzazioni, oltre a stimolare un approccio proattivo sulla cultura della prevenzione e del miglioramento continuo. Proprio in riferimento a questo approccio dedicato alla prevenzione e al miglioramento la norma propone due metodologie che sono rispettivamente:
12
. il PDCA, metodo di analisi e gestione dei processi per stimolare il miglioramento continuo
. Il Risk Based Thinking a cui la norma fa riferimento al fine di implementare una cultura della prevenzione ritenendolo approccio necessario per la gestione dei rischi e delle opportunità.
Queste due metodologie, PDCA e Risk Based Thinking, vengono prese in considerazione dalla normativa all’interno di un approccio per processi ritenendolo metodo necessario da applicare affinché l’organizzazione possa implementare un Sistema di Gestione per la Qualità. Entrambe le metodologie saranno approfondite nei successivi capitoli.
L’adeguamento delle organizzazioni certificate alla norma UNI EN ISO 9001:2015 e ai suoi requisiti appena elencati ha scadenza settembre 2018.
2. APPROCCIO PER PROCESSI
La ISO 9001:2015 “norma internazionale promuove l’adozione di un approccio
per processi nello sviluppare, attuare e migliorare l’efficacia di un sistema di gestione per la qualità, al fine di accrescere la soddisfazione del cliente attraverso il soddisfacimento dei requisiti considerati essenziali per l’ adozione di un approccio per processi.6”
Le organizzazione attualmente sono soggette ad una crescente complessità interna dovuta a una non minore complessità che si riscontra nel contesto esterno. L’interazione tra interno ed esterno consente di definire le
13
organizzazioni come sistemi complessi ed eterogenei perché costituiti da numerosi attori e attività, fondati su strutture comunicative altrettanto articolate e soggette a continue perturbazioni derivanti da probabili eventi. Questa complessità appena descritta ha determinato la nascita di una nuova visione olistica delle organizzazioni come risposta alle difficoltà attuali; “per poter impostare in modo più efficace il problema dell’analisi delle attività e del miglioramento dell’efficienza ci si è resi conto che è necessaria una visione dell’azienda (e dei meccanismi che al suo fianco regolano l’avanzamento del lavoro) più ampia di quella fornita dall’architettura funzionale. Questa visione è fornita dal concetto di processo [..] il processo “ricuce” le attività [..] continua ad esistere la struttura dell’azienda basata su unità organizzative e funzioni ma su questa struttura si tende a far “emergere” la rete dei processi e di conseguenza a introdurre metodologie di gestione che della visione per processi fanno il loro punto di forza.7” Tale approccio consente quindi di
considerare le organizzazioni come sistemi costituiti da una rete di processi tra loro interdipendenti.
2.1 Definizione di Processo
Volendo dare una definizione di Processo può essere definito “come un’insieme di attività (controlli e azioni) tra loro interrelate per realizzare un risultato definito e misurabile, il prodotto o servizio che trasferisce valore al fruitore (il cliente) del prodotto o servizio stesso8”, oppure “come una
sequenza di attività tra loro interdipendenti e finalizzate al perseguimento di un obiettivo comune, il quale, per il singolo processo si identifica nella creazione di valore per il destinatario dell’output, ma, per la rete dei processi che compongono l’azienda, coincide in ultima analisi con gli obiettivi
7 Antonio Di Leva, La gestione dell’azienda basata sui processi e i sistemi informativi
aziendali, Torino, Celid, 2014, p.17
14
dell’azienda. Esso riceve degli input (materiali, istruzioni e richieste del
cliente), vi apporta delle trasformazioni che aggiungono valore utilizzando risorse aziendali, ossia persone, strumenti, macchine e strutture, e genera quindi un output, prodotto, servizio e/o informazioni, destinato al cliente9”.
Gli elementi costitutivi di un processo sono: ▪ INPUT: materiali e istruzioni del cliente ▪ VINCOLI: procedure, leggi e contesto ▪ RISORSE: persone, strutture e mezzi ▪ OUTPUT: prodotti, servizi e informazioni
Ogni processo quindi trasforma e coordina le risorse (input) in modo da orientare e ottenere prodotti/servizi (output) e lo fa collegando tra loro un’insieme di prestazioni chiamate a rispettare vincoli, standard ed esigenze del cliente. L’uso del temine prestazione non è casuale perché consente di individuare un’attività finalizzata, eseguita avendo in mente un obiettivo allo
scopo di ottenere un risultato prestabilito. L’obiettivo di qualsiasi processo per
essere efficace deve sempre essere: ▪ Specifico (Specific)
▪ Misurabile (Measurable) ▪ Accessibile (Achievable) ▪ Realistico (Realistic)
▪ Temporizzato (Time-Bound)
tutte caratteristiche che portano al famoso acronimo SMART.
Inoltre ogni processo si svolge secondo una procedura che stabilisce le sue modalità di esecuzione ed è collegata ad altri processi. Modalità e procedure non nascono da opere di teoria ma sono frutto della pratica, di fatto l’ideazione
9 Giovanni Padroni (a cura di), Organizzazione dei beni culturali: principi e riflessioni. Edizioni
15
di un business process avviene nell’ambito della Best Practice10 e del
Benchmarking11. Infine ogni processo deve essere dotato di un insieme di
proprietà collegate ad esigenze che i processi stessi sono chiamati a soddisfare. Dunque le caratteristiche fondamentali di un processo sono:
. svolge delle prestazioni in risposta ad un evento esterno . è finalizzato al raggiungimento di determinati obiettivi . deve garantire un esito
. necessita di risorse per il suo svolgimento . deve appagare le richieste dei clienti
. deve esistere una figura responsabile del processo
Conclusa la definizione di Processo appare evidente come possano esistere numerose tipologie di processi tanto da dover ritenere fondamentale una loro classificazione. Fra le possibili classificazioni dei processi le più importanti sono:
1.Distinguere un processo a seconda delle attività che svolge:
. Processi Primari: Definiti anche principali sono quei processi istituiti in riferimento al core business dell’organizzazione e per tale motivo hanno conseguenze dirette sui risultati della stessa.
. Processi di supporto: Sono processi che nascono allo scopo di sostenere i processi principali, fornendo ad essi input, materiali,
10
Best Practice: migliore pratica, tecnica della (best practice) Insieme delle attività (procedure, comportamenti, abitudini ecc.) che, organizzate in modo sistematico, possono essere prese come riferimento e riprodotte per favorire il raggiungimento dei risultati migliori in ambito aziendale, ingegneristico, sanitario, educativo, governativo e così via. L’espressione è stata inizialmente elaborata in ambito manageriale ai primi del Novecento in riferimento all’osservazione delle tecniche che si rivelavano in grado di ottenere i migliori risultati e che, quindi, opportunamente sistematizzate, potevano costituire un sistema di regole da rispettare per rendere più efficiente le modalità produttive. http://www.treccani.it/enciclopedia/migliore-pratica-tecnica-della_(Dizionario-di-Economia-e-Finanza)/, consultato in data 10/03/2018
11 Benchmarking: Camp ha ideato questa tecnica nel ’76 secondo la quale un’azienda per
migliorarsi nella speranza di arrivare ad eccellere deve confrontarsi con i concorrenti più forti ed imparare da questi.
16
risorse e molto altro al fine di ottenere i migliori risultati possibili. Essi dunque contribuiscono in modo indiretto alla creazione del valore e tra i più importanti è possibile elencare la gestione del personale, la manutenzione, il budgeting, la programmazione dei materiali etc.. . Processi di governo: Sono i processi gestiti dal vertice direzionale
dell’organizzazione tra i quali rientrano la pianificazione strategica, la revisione delle procedure e il controllo dei risultati.
2.Un’altra classificazione dei processi si basa sulle unità organizzative interessate dal processo:
. Processi interorganizzativi: è il tipico processo in caso di outsourcing ovvero quando un’organizzazione stabilisce che un’attività che ha inizio al suo interno venga poi completata da un’altra organizzazione ma anche il caso contrario, quando cioè una parte del processo viene affidata ad un’organizzazione esterna per poi essere completata all’interno dell’organizzazione principale. In entrambi i casi si parla di processi interorganizzativi in quanto considerano due o più organizzazioni.
. Processi interfunzionali: al contrario dei processi interorganizzativi appena richiamati i processi interfunzionali avvengono all’interno di una singola organizzazione ma attraversano più funzioni all’interno della stessa. Questa tipologia di processo è la più comune per le organizzazioni, come la progettazione e realizzazione di nuovi prodotti, e proprio l’analisi e lo studio di questi consente di ottenere risultati importanti sia dal punto di vista delle “criticità” rilevate sia per identificare occasioni di miglioramento.
. Processi interpersonali: sono i processi che attraversano una singola unità operativa o un singolo ufficio e per tale semplicità rispetto ai precedenti comportano meno difficoltà di tipo gestionale dato che prendono in considerazione piccoli gruppi di persone che svolgono lo stesso lavoro con gli stessi obiettivi.
17
2.2 Rappresentare i processi
Oltre alla classificazione delle tipologie di processo è necessario anche sottolineare l’importanza di una loro rappresentazione grafica. Una rappresentazione grafica nasce dallo studio e dall’osservazione dei legami e dei collegamenti tra i processi, comprende i dettagli di tutte le attività che l’organizzazione sviluppa che andranno poi a costituire la Mappa dei Processi. Non esiste uno standard per la sua raffigurazione ma la normativa internazionale ISO 9001:2008 detta ottime linee guida elencate all’interno di uno schema che determina i processi principali da dover raffigurare, che sono:
- Responsabilità della direzione (processi direzionali) - Gestione delle risorse (processi di supporto)
- Realizzazione del prodotto (processi principali) - Misurazioni, analisi e miglioramento
Sono processi presenti in qualsiasi organizzazione e una rappresentazione deve necessariamente analizzare ed evidenziare le loro connessioni e i loro rapporti.
Per la rappresentazione dei processi è consigliabile partire evidenziando gli elementi costitutivi ovvero Input, Risorse, Vincoli e Output che andranno a costituire la base per la costruzione del modello IDEF , Integrated
Definition for Function Modelling, modello che permette di rappresentare e
una scomporre i processi.
“La scomposizione in sottoprocessi è ottenuta integrando tra loro i seguenti criteri :
- Top - Down (“scomposizione dall’alto”)
Si scompone il processo individuando le fasi di direzione, esecuzione, supporto e controllo
18
- Bottom - Up (“aggregazione dal basso”)
Guidato dalle attività: si aggregano le attività che ricevono stessi input per produrre stessi output.
Guidato da input ed output: si enucleano eventuali input o output non attribuibili ai sottoprocessi già individuati, si aggregano per affinità e si identificano i sottoprocessi di appartenenza di ciascun gruppo di input o output (è da notare che ogni processo deve avere almeno un input ed un output)12”.
L’uso del criterio Top-Down è più idoneo se la finalità è quella di comprendere e analizzare l’organizzazione nel suo complesso, l’organizzazione in toto costituisce infatti il punto di partenza definito livello e che viene scomposta ai livelli successivi in sotto-sistemi, poi in processi, in sotto-processi, attività, con ogni livello caratterizzato da un progressivo aumento di dettagli. “Il processo di scomposizione viene interrotto quando i dettagli ottenuti sono ritenuti adeguati allo scopo che l’analisi si riprometteva di ottenere.13”
Per la raffigurazione del processo oggetto di analisi l’uso della metodologia IDEF prevede l’utilizzo di un rettangolo del quale vengono identificati input, risorse, vincoli e output. Al livello successivo vengono individuati e rappresentati tre/quattro sotto-processi del processo anch’essi come rettangoli e per ciascuno di essi elencati nuovamente input, risorse, vincoli e output. La scomposizione continua per ognuno dei sotto-processi individuati utilizzando la stessa metodologia di indagine.
Un’ulteriore metodologia di rappresentazione grafica dei processi è il
Diagramma di Flusso: esso rappresenta tutte le operazioni e le attività che
vengono svolte in sequenza nell’esecuzione di un dato processo. Le informazioni necessarie a tale raffigurazione possono essere ottenute
12 Piero De Risi, Università degli Studi di Pisa, Introduzione alla gestione per processi nelle
organizzazioni, http://www.bdp.it/ifts/crea/appendici1c.pdf, visitato in data 03/03/2018
19
tramite interviste, analisi, osservazioni dirette e questionari. Il diagramma di flusso consente all’organizzazione di acquisire un profondo livello di conoscenza della singola attività tant’è che consente di continuare l’indagine del processo laddove la metodologia IDEF si arresta non potendo rappresentare il livello successivo all’identificazione dell’attività. Il Flowchart è una rappresentazione molto semplice in cui la singola prestazione è l’elemento mentre per le correlazioni tra prestazioni vengono utilizzate delle frecce che collegano tra loro gli elementi. Tra le varie tipologie di flow chart lo standard più diffuso e sofisticato è il BPMN, Business Process Model Notation, è un “linguaggio comune” che permette ad ogni ruolo aziendale di comprendere una descrizione completa del comportamento di qualsivoglia processo aziendale. Il BPMN come standard (emesso dal gruppo di standardizzazione internazionale OMG Object Management Group) ha delle proprietà ben delimitate:
- prevede sempre un evento di inizio e uno di fine disegnato con un cerchio o un’ellisse.
- La successione di esecuzione delle prestazioni è la principale tra tutte le connessioni ed è disegnata con una freccia.
- Si distinguono due tipi di prestazioni, cioè l’operazione (con la quale si verifica e si esegue) e la verifica (si controlla l’esecuzione e si decide come agire) l’operazione è disegnata con un rettangolo e la verifica con un rombo.
Ovviamente perché un Sistema di Gestione per la Qualità possa funzionare in modo efficace ed efficiente occorre che sia sempre oggetto di continui controlli. Ogni organizzazione decide dunque criteri e metodi per monitorare, analizzare e valutare l’andamento dei propri processi e di conseguenza la percezione del cliente attraverso la scelta dei Key Performance Indicator o
KPI. Sono fondamentali strumenti di controllo manageriale e per un loro uso
efficiente la loro applicazione deve essere eseguita in modo attento e ponderato. Questi indicatori danno come risultato una misura che consente alle organizzazioni di stabilire se stanno centrando l’obiettivo, posto
20
antecedentemente in fase strategica, e nel caso non fosse ancora stato centrato, quanto manca per raggiungerlo. Detto ciò si comprende quanto questi indicatori e la loro scelta siano di fondamentale importanza per una gestione ottimale, inoltre consentono il confronto tra un’organizzazione e i suoi concorrenti e di allineare la strategia con l’operatività.
Innanzitutto gli indicatori sono informazioni: . Critiche
. Sintetiche . Significative . Prioritarie
. permettono di misurare l’andamento aziendale
Ad ogni indicatore è applicata la variabile che ne determina la misura.
Inoltre un indicatore per essere significativo e rappresentativo occorre che sia: . pertinente
. pratico . economico
“Per la rappresentazione dell’indicatore può essere adottata la soluzione più semplice possibile, al fine di consentire una lettura immediata dei dati delle informazioni. Le modalità adottate dovranno essere tali da far risultare la rappresentazione sensibile alle modificazioni dei fenomeni tenuti sotto osservazione. La rappresentazione, quindi può assumere la forma di:
. prospetti e tabelle . istogrammi
. curve (che solitamente rappresentano andamenti nel tempo) . diagrammi (a settori, a segni grafici, e così via)
. simboli e pittogrammi ( ad es. le classiche faccine).14”
14 Fabrizio Di Crosta, Indicatori di performance aziendali. Come identificare gli indicatori più
adatti per misurare le performance: dagli obiettivi ai risultati. FrancoAngeli, Milano, 2015,
21
3. BPR E MIGLIORAMENTO CONTINUO
Ogni attività all’interno dell’organizzazione dovrà quindi essere oggetto di controlli e analisi al fine di migliorare i processi e incrementare in modo costante le performance dell’organizzazione. Per rendere tale obiettivo raggiungibile occorre che tutti i processi, sia quelli operativi che quelli di supporto, siano efficienti ed efficaci. A tale scopo possono essere messe in atto azioni come:
. rendere ogni processo stabile
. rafforzare ogni processo laddove presenti errori e non conformità . gestire nel modo pianificato le eccezioni
. monitorare ogni processo
. garantire per ogni processo le risorse di cui necessita . incrementare l’efficienza operativa di ogni processo
Si comprende dunque la logica sottostante la normativa che dimostra che, quando le attività dell’organizzazione sono gestibili come processi tra loro collegati all’interno di un sistema coerente allora gli obiettivi possono essere raggiunti in modo più efficace ed efficiente. In questa ottica per ogni organizzazione diviene fondamentale raggiungere l’obiettivo di un miglioramento consolidato attraverso un percorso strutturato che prevede due approcci diversi:
▪ la ricerca di un miglioramento incrementale dei processi già in atto nell’organizzazione
▪ la scelta di un intervento più radicale definito Business Process Re-engineering se i processi si dimostrano del tutto incapaci di raggiungere gli obiettivi.
22
3.1 Business Process Re-Engineering
Il BPR può essere definito come un approccio sistematico che ha come fine quello di migliorare le prestazioni dell’organizzazione ridefinendo in modo radicale i processi all’interno della stessa. Perché il processo di riprogettazione dei processi possa svolgersi in modo efficace occorre che determinati elementi siano già stati presi in considerazione e analizzati dall’organizzazione, come:
. individuazione di obiettivi strategici da parte della direzione
. diffusione del cambiamento e partecipazione attiva di tutta l’organizzazione
. adozione di un approccio per processi e di conseguenza orientamento al cliente
. individuazione di un team di lavoro dotato di adeguate risorse e strumenti
. considerazione di valori e cultura dell’organizzazione . sostegno di società di consulenza
. opportuni investimenti Il BPR può essere definito come:
“Fondamentale perché bisogna ripensare il processo dalle fondamenta.
Innovativo perché non si tiene conto del processo esistente.
Deciso perché punta a miglioramenti sostanziali e non marginali15”.
Gli stadi della riprogettazione di un processo possono essere raggruppate in tre fasi principali:
. Analisi As-Is: inizialmente per ogni attività vanno riunite tutte le informazioni (attraverso interviste, indagini sul campo e si controlla anche lo svolgimento di ciascuna attività) che compongono il processo,
15 Massimiliano Oleotto, La mappa dei processi aziendali operativi nelle PMI, come evitare di
23
le quali dovranno essere elaborate per poi andare a comporre la scheda processo.
. Modellazione To-Be: è più complesso e non esiste un'unica modalità di effettuazione, detto ciò le linee guida sono: l’eliminazione di attività inutili (non valore aggiunto), semplificazione (per ridurre gli errori) e informatizzazione delle attività ordinarie (consente una maggiore concentrazione su quelle considerate critiche). In poche parole la Best Practice.
. Individuazione dei gap: serve da un lato per ideare un piano d’azione al cambiamento, ciò dopo aver raccolto le informazioni su cosa cambierà nel processo, e dall’altro come migliorare il nuovo processo da implementare, considerando pro e contro dello stesso.
Ridisegnare un processo con il fine di operare un miglioramento delle prestazioni dell’organizzazione, in termini di qualità, costi ed efficienza è senz’altro un progetto ambizioso che può comportare effetti negativi come positivi. Tra gli effetti positivi del BPR si può riscontrare una maggiore focalizzazione sul cliente e sulla capacità dell’organizzazione di soddisfare le sue esigenze; un miglioramento della gestione del processo prevedendo maggiore tempestività nel suo svolgimento; più informazioni che corrispondono a decentramento e prontezza decisionale; e infine un incremento della qualità organizzativa che può comportare minori costi. In sostanza si avrà un progresso in termini di efficacia ed efficienza dell’intero processo. Tra gli effetti negativi che un’organizzazione può dover affrontare nel corso del business process re-engineering sicuramente è possibile elencare il caso di investimenti elevati che non per forza si tramuteranno in qualcosa di positivo, il dispendio di tempo e la possibilità di compromettere cultura e valori dell’intera organizzazione. Data la complessità del BPR occorre che un’organizzazione individui i processi per i quali ritiene necessario una riprogettazione radicale e programmi da quale iniziare considerando che la reingegnerizzazione debba essere svolta su un processo alla volta. Determinare quale processo avrà la priorità sugli altri
24
spetta al vertice dell’organizzazione che per operare tale scelta farà riferimento a specifici criteri come:
1. Inefficienza: ovvero tramite tale criterio viene individuato il processo che nel suo svolgimento presenta alterazioni rispetto a quanto determinato e, in parte o in toto, non è più capace di raggiungere l’obiettivo della creazione di valore.
2. Influenza: vengono individuati i processi che possono maggiormente condizionare il raggiungimento degli obiettivi dell’organizzazione 3. Fattibilità: dato che il BPR è un processo molto complesso le
organizzazione possono identificare quali processi rispetto ad altri possono mostrarsi più idonei, in termini di costi ma anche di apertura al cambiamento delle persone che operano in quel processo, a subire una riprogettazione radicale.
3.2 Miglioramento Continuo e PDCA
Nella realtà di qualsiasi organizzazione la gestione per processi determina una serie di problematiche da affrontare dato che attraversano molte funzioni aziendali e per tale motivo, nell’azione di analisi e ristrutturazione degli stessi, occorre prestare molta attenzione. Non sempre è necessario riprogettare radicalmente un processo alcune volte è sufficiente individuare il problema e adottare come approccio generale quello di gestire ogni processo mirando al suo miglioramento continuo. Si tratta infatti di una filosofia di gestione improntata al miglioramento continuo che un’organizzazione deve condurre in modo continuativo e costante attraverso un’analisi dei problemi e delle criticità che si presentano durante lo svolgimento di un dato processo. Tale analisi ha come punto di partenza l’individuazione del problema e delle sue cause e può essere svolta attraverso la scomposizione del processo che presenta delle criticità. Tra le
25
varie cause riscontrate sarà necessario selezionare quelle più rilevanti così da poter adottare le strategie più adeguate alla risoluzione del problema. Nella conduzione di questo tipo di analisi le organizzazioni possono far riferimento a strumenti e tecniche di problem solving che consentono di rintracciare le cause dei problemi e di individuare le possibili soluzioni applicabili nell’ottica del miglioramento continuo. E’ utile un approfondimento delle tecniche e degli strumenti più importanti.
Strumenti e tecniche:
Per poter comprendere le cause di un problema o per determinare le soluzioni più idonee vengono utilizzate sovente dai process owner tali strumenti o tecniche:
1.Diagramma causa-effetto: strumento noto anche con i nomi di “Diagramma Ishikawa”, dal nome del suo ideatore, o “Diagramma a lisca di pesce”, per il suo modo di essere raffigurato e viene utilizzato dalle organizzazioni per illustrare graficamente le cause di eventi capaci di generare effetti o problemi nel processo oggetto di indagine, cioè i legami esistenti tra le cause e i relativi effetti. La costruzione del diagramma parte dal presupposto che indagare sui sintomi di un problema sia il punto di partenza necessario per poter essere affrontato e risolto.
2.Legge di Pareto: Un criterio utilizzato per la scelta delle cause più rilevanti
è la Legge di Pareto secondo la quale la maggior parte degli effetti è dovuta ad un numero ristretto di cause e determina come criterio generale che l’80% dei risultati dipende dal 20% delle cause, per tale motivo è divenuta famosa anche con il nome di “Legge 80/20”.
3.Analisi FMEA: Un’altra tipologia di analisi è consentita dall’analisi FMEA,
Failure Modes and Effetc Analysis, importante per determinare l’affidabilità nei confronti dei clienti di quanto viene prodotto dall’organizzazione. “L’analisi FMEA è un approccio strutturato per:
26
. identificare i modi in cui un prodotto o un processo possono fallire nel raggiungere le prestazioni attese dal cliente;
. stimare il rischio relativo alle cause specifiche che provocano gli insuccessi.
L’analisi correla le cause dei difetti che possono presentarsi in una certa situazione con:
. gli effetti di tali difetti (i guasti) rispetto a ciò che il cliente si aspetta . i controlli (in uso o previsti) per rilevare preventivamente tali difetti e
ridurre la probabilità che ciascun potenziale guasto raggiunga il cliente.
Questa correlazione è valutata tramite un indice di rischio (calcolato per ciascuna sequenza Causa-Effetto-Guasto) che può essere visto come un indicatore delle potenziali criticità del processo, in tal modo è possibile determinare le priorità di intervento con le relative azioni correttive.16”
Gli strumenti descritti sopra fanno parte degli strumenti utilizzati nell’ambito del PDCA: “anche quando i risultati pianificati stanno per essere raggiunti e i requisiti soddisfatti, bisognerebbe cercare ancora di incrementare le performance del processo e la soddisfazione del cliente. Ciò può essere ottenuto con miglioramenti a piccoli passi, miglioramenti significativi o con innovazioni.17” Nella normativa ISO 9001:2015 il PDCA, insieme al
Risk-Based Thinking, viene richiamato come metodo necessario per un approccio per processi che consenta di affrontare i problemi e risolverli applicando strumenti e tecniche del Problem Solving. “Il ciclo PDCA permette
all’organizzazione di assicurare che i propri processi siano adeguatamente
16 Antonio Di Leva, La gestione dell’azienda basata sui processi e i sistemi informativi
aziendali. Celid, Torino, 2014 p.101
17 Massimo Riboldi, L’Approccio per Processi nella ISO 9001:2015. Available at sito
http://www.massimo-riboldi.it/lapproccio-per-processi-nella-iso-90012015/, consultato in data 13/02/2018
27
dotati di risorse, e gestiti e che le opportunità di miglioramento siano determinate e si agisca di conseguenza.18”
Il PDCA è costituito da quattro fasi:
1. PLAN: pianificare, già identificato il processo e il relativo problema oggetto di analisi, il pdca in questa fase iniziale analizza e documenta la situazione attraverso la raccolta di informazioni, dati e cause dopo di che definisce azioni e soluzioni (“cosa fare” e “come farlo”).
2. DO: eseguire quanto precedentemente pianificato individuando le persone incaricate e rendere operative le azioni predeterminate. Ogni azione viene implementata stabilendo un periodo di prova, in poche parole si tratta di un test delle soluzioni adottate in riferimento ai risultati desiderati.
3. CHECK: controllare quanto eseguito, verifica delle azioni messe in atto e analisi dei risultati ottenuti in rapporto agli obiettivi pianificati: questa comparazione consente di verificare se tutti i requisiti sono stati soddisfatti e dunque se il processo si è svolto in modo efficace secondo i piani dell’organizzazione. Per operare tale verifica di un processo occorre analizzare dati, risultato di attività di monitoraggio e controllo, prevedere audit, revisioni e analisi delle performance.
4. ACT: Agire in base a quanto appena controllato, cioè decidere se avanzare con quanto stabilito e dunque standardizzare la nuova situazione o modificare qualcosa nel piano e dunque ripetere il ciclo PDCA per comprendere le cause del fallimento.
Le organizzazione che mirano ad un miglioramento continuo dei loro processi mettono in pratica assiduamente il PDCA dato che una volta raggiunti i risultati stabiliti in fase di pianificazione si passa all’individuazione
28
di nuovi obiettivi da raggiungere per incrementare la Qualità e contrastare in modo tempestivo ed efficace le non-conformità riscontrate.
L’utilizzo sistematico del PDCA, dunque, consente all’organizzazione di mirare al miglioramento continuo e i potenziali benefici derivanti dall’adozione del PDCA sono:
. Incremento responsabilità e consapevolezza
. Incremento delle capacità di identificare e connettere processi chiave . Aumento della capacità di determinare e integrare processi
interdipendenti
. Più adeguata allocazione delle risorse . Maggiore fiducia dei clienti
. Più presa di coscienza riguardo i risultati che si possono ottenere attraverso una gestione oculata sulle performance dei processi.
29
CAPITOLO 2
IL RISCHIO E LA NORMA
ISO 9001:2015
1. Definizione del Rischio – 1.1 classificazione dei rischi – 2. Il rischio e la norma – 2.1 organizzazione e risk based thinking: rischi di business e ambientali – 2.2 processi e risk based thinking: rischi operativi.
La logica del pensiero basato sul rischio è un operazione che la mente umana è abituata a svolgere nella quotidianità di tutti i giorni. Agire valutando i rischi, è un’attività che il nostro cervello effettua partendo da una gestione delle informazioni di cui è in possesso. Consapevoli che il cervello è un organo con capacità limitata è possibile paragonare la mente umana ad un’organizzazione, infatti, anche le scelte gestionali di direzione vanno incontro a una serie di limitazioni, come il tempo a disposizione, le risorse utilizzabili e, inoltre, considerando che il rischio è un fattore intrinseco all’esercizio di qualsiasi attività. Sia mente umana che organizzazioni dunque scelgono, decidono analizzando gli aspetti che ritengono più importanti, in poche parole dove il rischio di commettere errori può portare ad eventi negativi o dove la probabilità che si manifesti un evento non desiderato è più ingente.
“Anche quando la razionalità sembra offrire il convincimento della
prevedibilità, il rischio è sempre considerato come una sorgente di disturbo delle capacità valutative e decisionali degli individui: questo aspetto emerge nella teoria delle decisioni. Il rischio, dunque, può essere definito come la potenzialità di un evento sfavorevole, intendendo per evento sfavorevole la
30
possibile variazione di segno negativo rispetto ad una data situazione prevista.19”
Questa definizione di rischio può essere considerata parziale o tradizionale dato che ne richiama la sola accezione negativa quando nella realtà economica il presentarsi di tali fenomeni può comportare sì una minaccia per l’organizzazione ma anche, in alcuni casi, un’opportunità. E’ in questa duplice valenza che è possibile riscontrare il vero valore del rischio e come questo possa essere oggetto di azioni messe in atto da parte del management al fine di un suo trattamento, mitigandone gli effetti negativi oppure cogliendone le opportunità.
1.DEFINIZIONE DI RISCHIO
Il rischio è fattore intrinseco a qualsiasi attività economica ed è la sempre maggiore instabilità del mercato economico globale a determinare l’accrescimento della sua valenza al fine di una gestione efficace. E’infatti nella capacità di risposta e di gestione da parte del management ai rischi connessi a determinare la sopravvivenza di un’organizzazione.
La normativa internazionale ISO 31000:2010 definisce il rischio come
“effetto dell’incertezza sugli obiettivi. Un effetto è uno scostamento da quanto atteso – positivo e/o negativo. Il rischio è spesso caratterizzato dal riferimento a eventi potenziali e conseguenze, o una combinazione di questi. 20”
19 Sergio Salomone, Il governo sistemico dei rischi nella gestione d’impresa, Una balanced
scorecard per il Risk Management, EGEA S.p.A., Milano,2013, p.6
31
Il rischio, dunque, è un concetto probabilistico ed è il risultato della combinazione tra una stima della sua probabilità di avvenimento e una stima dei danni potenziali subiti dall’organizzazione, il tutto sintetizzabile attraverso la formula:
R(rischio) = P(probabilità di avvenimento) x D(danni causati dall’evento) Questa formula consente di stabilire, in termini di priorità, quali rischi dovranno essere oggetto di analisi e studio.
1.1 Classificazione Dei Rischi
Prima di passare alla rassegna delle varie tipologie è utile precisare che non è possibile pervenire ad un unico modello di rischio, cioè alla realizzazione di uno standard che risulti adeguato per qualsiasi organizzazione e come nel settore si parli sempre più spesso di Risk Profile, affermando la necessità per ogni organizzazione di dotarsi di un proprio modello. Dunque a comporre il risk profile possono essere numerose tipologie di rischio e proprio per il loro numero elevato che occorre far riferimento a delle classificazioni.
Considerando la natura interna o esterna all’organizzazione degli eventi rischiosi è possibile effettuare una prima classificazione distinguendo tra:
▪ rischi di fonte interna: connaturati con l’attività tipica di impresa, i principali sono:
. rischio efficacia/efficienza dei processi, . rischio di delega,
. rischio legato alle risorse umane, . il rischio di integrità,
. rischio di informativa, . rischio organizzativo, . rischio strategico,
32 . rischio operativo,
. rischio di business, . rischio di cause legali,
. rischio di attendibilità delle scritture contabili
▪ rischi di fonte esterna: legati alle attività di supporto dell’organizzazione e sono: . rischio di mercato, . di normativa, . rischio paese, . eventi catastrofici, . concorrenza, . contesto politico-sociale, . danni ambientali, . compliance, . reputazionale.
▪ rischi finanziari: legati alla gestione finanziaria dell’organizzazione e sono:
. rischio di investimento, . rischio di cambio, . tasso di interesse,
. prezzo delle attività finanziarie, . prezzo delle materie prime, . rischio di credito,
. rischio di debito, . di liquidità, . di informazione
Valutando l’influenza che le variabili di mercato esercitano sugli effetti economici del rischio è possibile richiamare un’ulteriore distinzione:
33
▪ rischi diversificabili: considera tutti quei rischi che possono essere elusi o contenuti negli effetti grazie al trattamento delle loro variabili aleatorie attraverso un processo definito di diversificazione. Definiti anche rischi specifici in quanto connaturati alla tipologia di attività svolta dall’organizzazione.
▪ Rischi sistematici: sono rischi legati all’andamento economico, all’inflazione, al mercato in poche parole a variabili macroeconomiche. Si tratta di rischi correlati all’aleatorietà del contesto di riferimento dell’organizzazione e per tale motivo non diversificabili e ineliminabili. In riferimento agli effetti e alle conseguenze che il presentarsi di tali rischi comportano per l’organizzazione si può distinguere tra:
▪ Rischi speculativi: il generarsi dell’evento può comportare effetti sia positivi che negativi, dunque sono rischi capaci di generare anche opportunità per un’organizzazione.
▪ Rischi puri: eventi il cui manifestarsi può solo avere conseguenze negative, in termini di perdite per l’organizzazione. Questa tipologia di rischi è connaturale a qualsiasi attività imprenditoriale.
La distinzione tra rischi speculativi e rischi puri è una tra le più importanti per una gestione efficace del rischio dato che consente al Management l’individuazione dei rischi per i quali è consigliabile prevedere misure preventive e di trasferimento (i rischi puri sono il più delle volte oggetto dei contratti di tipo assicurativo) da quelli per i quali risulta fondamentale lo studio o la messa in atto di pertinenti e adeguati sistemi di gestione.
Altre categorie di rischi:
I rischi essendo strettamente legati alla tipologia di attività svolta dall’organizzazione possono esserne elencati in numeri elevati. Volendo sintetizzare tra i rischi capaci di incidere su qualsiasi organizzazione i più importanti sono:
34
▪ Rischi operativi: “rischio di perdite dirette o indirette derivanti dall’inadeguatezza o dalla disfunzioni di procedure, risorse umane e sistemi interni, oppure da eventi esterni esogeni.21” Comprende tutte le
tipologie connaturali allo svolgimento di qualsiasi attività e per tale motivo ineliminabili dalle organizzazioni. I rischi operativi possono essere considerati rischi puri dal momento che nella maggior parte dei casi si tratta di rischi di natura endogena e comportano sempre delle perdite per le organizzazioni. Tra i principali rischi operativi è possibile elencare:
. procedure: l’organizzazione subisce delle perdite derivanti dall’andamento non conforme di uno o più processi.
. contesto esterno: sono perdite legate al manifestarsi di eventi nel contesto in cui opera l’organizzazione capaci di arrecarle dei danni, questi eventi possono avere natura politica, sociale etc. . risorse umane: si tratta di perdite da parte dell’organizzazione
derivanti da comportamenti da parte del personale come imperizia e negligenza ma anche casi più gravi come nel caso di frodi, violazioni, appropriazione indebita e attività non autorizzate.
. Tecnologia: i sistemi informativi e/o il sistema produttivo funzionano in modo non conforme determinando perdite per l’organizzazione.
▪ Rischi strategici: è la tipologia di rischio che considera i rischi legati agli andamenti macroeconomici e al livello di competitività del mercato di riferimento dell’impresa, dunque, possono determinare perdite immediate per l’organizzazione ma dilazionate nel tempo ovvero quando le scelte strategiche rivelano i propri effetti. Se il rischio operativo può essere considerato come appartenente alla categoria dei rischi puri i rischi
21Cfr. Basel Committee on Bank Supervision, Operational Risk, supporting document to the New Basel
35
strategici possono essere compresi tra i rischi di natura speculativa infatti le scelte strategiche operate possono portare ad effetti sia negativi che positivi per l’organizzazione. Tra i rischi strategici più importanti è possibile considerare il rischio capace di incidere sulla reputazione dell’organizzazione; oggigiorno immagine, valori ed etica aziendale sono tra gli aspetti più importanti da tenere in considerazione tanto che si parla sempre di più di danni di natura reputazionale.
▪ Rischi di compliance: considera i rischi che un’organizzazione corre in riferimento alla sua non conformità alle norme vigenti, può dunque incorrere in sanzioni di tipo economico o danni alla sua reputazione.
▪ Rischi marginali: rischi i cui effetti possono essere efficacemente coperti attraverso il ricorso a fondi e riserve dell’organizzazione.
2. IL RISCHIO E LA NORMA
La norma ISO 9001:2015 ritiene il Risk Based Thinking approccio necessario al fine di implementare all’interno di un’organizzazione un Sistema di Gestione per la Qualità.
“Per essere conforme ai requisiti della presente norma internazionale,
un’organizzazione ha l’esigenza di pianificare e attuare azioni che affrontino rischi ed opportunità. Affrontare sia i rischi sia le opportunità costituisce una base per accrescere l’efficacia del sistema di gestione per la qualità, conseguendo risultati migliori e prevenendo gli effetti negativi.22”
36
La normativa internazionale associa al termine rischio l’incertezza collegata al conseguimento dei risultati ritenuti fondamentali per un Sistema di Gestione per la Qualità, ovvero:
• l’organizzazione deve essere in grado di fornire ai propri clienti con regolarità prodotti/servizi conformi alle aspettative
• incrementare in modo continuo la soddisfazione dei propri clienti. L’incertezza è determinata dalla penuria di conoscenze e informazioni in riferimento al possibile evento e di conseguenza all’impossibilità di comprendere in modo anticipato le sue conseguenze e probabilità di accadimento. Elemento ulteriore riguarda il collegamento tra il termine “effetto” e quello di rischio, collegamento che all’interno della suddetta norma assume il significato di una possibile deviazione rispetto a quanto programmato, deviazione che può essere sia positiva che negativa. Incertezza, effetto e rischio sono aspetti che la norma sottolinea per affermare come solo l’azione preventiva, cioè lo studio e l’analisi del rischio, sia l’unico strumento in mano alle organizzazioni al fine di attuare una gestione efficace improntata alla qualità. Come sottolineato nel precedente capitolo la norma non elenca requisiti a cui le organizzazioni devono attenersi obbligatoriamente e anche per quanto riguarda la gestione dei rischi richiama principi generali lasciando libertà e autonomia alle organizzazioni nella definizione delle procedure per il conseguimento degli effetti desiderati. L’importanza del permeare di questa mentalità viene richiamata dalla norma con il termine Risk Based Thinking e da un suo studio più approfondito emerge come questa mentalità associata al rischio sia ritenuta fondamentale sia per un’efficace gestione complessiva dell’organizzazione sia come approccio di analisi al singolo processo. La norma fa riferimento al Risk Based Thinking nei seguenti punti:
Nell’introduzione: il Risk Based Thinking viene ritenuto elemento
37
punto 4 Contesto dell’organizzazione: in riferimento al pensiero basato sul rischio collegato al contesto in cui opera l’organizzazione la norma suggerisce di identificare e analizzare in modo ponderato qualsiasi fattore, sia esso di natura interna o esterna, capace di condizionare gli obiettivi prefissati in fase di pianificazione strategica. Possono avere influenza di tipo negativo o al contrario anche positiva e la loro totalità costituisce l’ambiente operativo in cui l’organizzazione opera. I principali fattori sono: sociale, economico, legale, tecnologico, culturale, di mercato, competitivo e molti altri ancora. L’altro aspetto legato al contesto e al rischio fa riferimento alle parti interessate e come l’organizzazione debba comprendere le loro aspettative ed esigenze. La norma riconosce a tali parti interessate il potere di influenzare andamento e risultati di un’organizzazione e per tale motivo devono essere oggetto di analisi e studio. Principalmente la norma riscontra la loro capacità di condizionare la soddisfazione dei clienti intervenendo sulla possibilità dell’organizzazione di fornire prodotti/servizi conformi a quanto richiesto. I soggetti che rientrano nella categoria delle parti interessate sono: azionisti, dipendenti, fornitori e utilizzatori finali. In sintesi si fa riferimento alla tipologia dei rischi strategici, cioè ai rischi legati alle scelte operate in fase di pianificazione i cui effetti si rivelano successivamente e sulle quali il presentarsi di determinati eventi ne influenza l’andamento.
Punto 5 Leadership: la norma sostiene l’importanza che sia il vertice operativo che il top management rivestono nell’implementazione di un Sistema di Gestione per la Qualità. Di conseguenza precisa come la Direzione debba promuovere l’adozione del Risk Based Thinking con la finalità di ottenere un miglioramento continuo e la trasmissione di una cultura orientata alla qualità per tutti i livelli dell’organizzazione.
L’indagine riguardante i rischi connessi all’organizzazione nel suo complesso deve prevedere:
38
- l’identificazione di cosa potrebbe non funzionare come previsto nella fase di attuazione, incluso il mantenimento delle performance del sistema e dei suoi elementi.
- definire cosa deve essere oggetto di continuo controllo in riferimento a quanto emerso dalla fase di attuazione in termini di priorità.
- dove e in che modo è possibile migliorare.
Punto 6 Pianificazione: E’ possibile affermare che è il capitolo della norma in cui il Risk Based Thinking viene affrontato in modo più analitico in riferimento al paragrafo 6.1 “azioni per affrontare rischi ed opportunità”. Il termine pianificazione è strettamente indirizzato al Sistema di Gestione per la Qualità per il quale sono elementi necessari l’analisi del contesto (richiamo ai punti 4.1 e 4.2 della norma) e la determinazione di rischi e delle opportunità. La norma sostiene la necessità di pianificare sia le azioni per affrontare i rischi , sia le modalità con cui prevedere l’inserimento di tali azioni nello svolgimento dell’attività dell’organizzazione e successivamente una valutazione della loro efficacia.
Il Sistema di Gestione per la Qualità integra al suo interno l’approccio basato sul rischio con il fine di fornire all’organizzazione uno strumento di azione preventiva grazie al quale saper gestire nel modo più efficace ed efficiente il presentarsi di eventuali rischi così come di opportunità da cogliere.
Punto 8 Attività Operative: l’organizzazione deve prevedere processi in grado di indicare rischi e opportunità. “L’organizzazione deve tenere sotto controllo le modifiche pianificate e riesaminare le conseguenze dei cambiamenti involontari, intraprendendo azioni per mitigare ogni effetto negativo, per quanto necessario.23”
Punto 9 Valutazione Delle Prestazioni: l’organizzazione è tenuta a controllare, monitorare per infine valutare se la scelta delle azioni messe in
39
campo per la gestione dei rischi e delle opportunità è risultata la più adeguata.
Punto 10 Miglioramento: in base ai risultati ottenuti dalla valutazione delle prestazioni l’organizzazione stabilire se sono stati riscontrati effetti indesiderati, come correggerli o nel caso di opportunità che si sono presentate come gestirle al fine di un miglioramento del sistema.
La Gestione per la Qualità deve quindi prevede l’assunzione del Risk Based Thinking sia a livello strategico, quando viene stabilito l’ambiente operativo esterno e interno in cui l’organizzazione si trova ad operare, sia a livello tattico, quando vengono stabilite le azioni e le procedure per implementare un Sistema di Gestione per la Qualità e infine a livello operativo in riferimento all’individuazione di punti critici del sistema e la loro valutazione continua.
Più nello specifico è possibile prendere in considerazione i rischi in riferimento all’organizzazione (livello strategico), ai processi (livello tattico) e infine al controllo delle criticità (livello operativo):
2.1 Organizzazione e Risk Based Thinking:
Il Risk Based Thinking come approccio di gestione deve pervadere l’organizzazione nel suo complesso ed è la stessa normativa ISO del 2015 a sottolineare come a livello strategico si debba far riferimento ai rischi tipici del settore di attività di un’organizzazione, ai rischi legati al contesto nel quale opera e alle esigenze delle parti interessate (considerati rischi variabili del settore). “La considerazione dei rischi appena richiamati consentirà la determinazione del perimetro del sistema di gestione per la qualità, nel quale ricadranno i processi (come elemento del campo di applicazione) e gli
40
elementi del sistema qualità, con il relativo grado di rilevanza, per la specifica organizzazione (e conseguenti determinazioni di applicabilità): sarà in altri termini possibile definire un profilo caratteristico del sistema qualità di ogni organizzazione, nel quale i diversi elementi/requisiti di norma potranno essere considerati con il loro peso relativo, considerati i rischi e le opportunità tipici del settore e della specifica organizzazione. Questo profilo del sistema qualità aziendale dipende in altri termini dai rischi/opportunità correlati al contesto e ai requisiti delle parti interessate, ed è perciò specifico dell’organizzazione e della sua politica per la qualità. Per tale motivo è destinato a cambiare nel tempo, dovendosi adattare ai mutamenti del contesto […] E’ bene sottolineare che poiché ogni azienda adotta propri criteri per delineare una specifica gerarchizzazione dei requisiti di sistema, il suo profilo caratteristico non è confrontabile con quello di un’altra organizzazione, anche se dello stesso settore.24”
Fig.2 Livelli del Risk Based Thinking nel sistema di Gestione per la Qualità25
Il Risk Management:
Le organizzazioni oggigiorno si trovano a far parte di un ambiente economico caratterizzato da un’intensificazione della variabilità e da una
24 Nicola Gigante, Quaderno 3 – Risk Based Thinking. Collana I Quaderni della Qualità,
febbraio 2016, pp. 5-6.
