Come ormai è noto ai frequentatori del settore, l’edizione 2015 della norma ISO 9001 ha introdotto alcune significative novità, tra le quali il Risk Based Thinking, che alcuni traducono in italiano con “atteggiamento mentale orientato al rischio”. Ma in pratica cosa devono fare le organizzazioni per adeguarsi a questo requisito, e soprattutto come?
Chiariamo subito che nella novità c’è una seconda novità: il concetto di rischio che, in accordo con la definizione di “effetto dell’incertezza sugli obiettivi”, perde la connotazione prettamente negativa del linguaggio comune per distinguere effetti negativi (minacce) ed effetti positivi (opportunità).
Il rischio richiama la necessità di gestirlo. Il Risk Management classico (per esempio come illustrato dalla norma ISO31000) è suddiviso in diverse fasi: identificare, valutare, trattare, comunicare, monitorare. Fermiamoci alla prima, identificare, e vediamo quali rischi dobbiamo individuare e come.
Esistono in letteratura diverse tassonomie dei rischi, spesso legate agli ambienti finanziari o assicurativi, o alla disciplina della gestione del rischio aziendale (Enterprise Risk Management – ERM). Qui cerchiamo però una classificazione più semplice. Anche se la norma non ne fa esplicita menzione, è in uso suddividere i rischi su tre livelli: strategico, gestionale e operativo.
I rischi strategici sono quelli legati al contesto in cui l’organizzazione opera e che hanno influenza – positiva se ben gestiti, negativa se subiti – sulla capacità di raggiungere gli obiettivi strategici di business. La gestione dei rischi strategici comprende la definizione del campo di applicazione del SGQ, che deve essere adeguato a supportare lo sviluppo dell’organizzazione all’interno del suo contesto di riferimento.
I rischi gestionali riguardano l’impianto del sistema di gestione, l’organizzazione interna in processi e la definizione e il controllo del loro funzionamento, sempre nell’ottica di preservare gli obiettivi aziendali. In particolare, con questa gestione si identificano gli elementi da tenere sotto controllo tra i processi del sistema di gestione.
I rischi operativi infine sono tipici dell’esecuzione dei processi, sia primari che di supporto. La loro gestione riguarda come gli elementi individuati come fonte di incertezza sono da tenere sotto controllo.
La logica richiede che si parta dal livello gerarchicamente più alto di questa semplice classificazione. L’identificazione dei rischi strategici è compito dell’alta direzione, per esempio in una seduta di riesame della direzione. Lo strumento più semplice per questa identificazione è l’analisi SWOT, che può dare anche utili indicazioni – quando rivolta agli aspetti interni all’organizzazione – sui rischi gestionali. Un modo di arricchire la valutazione del rischio gestionale, come indicato dalla norma al par. 10.2.1.f, consiste nell’associare a ogni non-conformità l’analisi dei possibili riverberi su sistema di gestione. I più inclini all’approccio metodologico possono poi utilizzare la nuova ISO9004:2018 come guida all’analisi completa dei rischi gestionali. Per il terzo livello, i rischi operativi, alla luce delle analisi precedenti occorre rivedere i processi che hanno impatto più significativo sul raggiungimento degli obiettivi, utilizzando strumenti del Risk Management, per esempio la FMEA.
Nei prossimi articoli svilupperemo in dettaglio l’uso di semplici strumenti da applicare a questa fase di identificazione dei tre tipi di rischio.