Nella ISO 9001:2015 e più in particolare nel punto 6 dedicato alla pianificazione, l’azienda deve individuare i rischi e le opportunità presenti lungo il percorso che permette di dare compimento alla propria finalità strategica che, ricordiamo, è quella di fornire prodotti e servizi con regolarità soddisfacendo le richieste e le aspettative del cliente.
Quando si parla di rischio nell’ambito di un sistema di gestione come quello per la qualità in realtà non ci si riferisce ad un sinistro, ad un incidente oppure ad un evento che genera danni in generale ma ci si riferisce ad un ostacolo verso l’obiettivo.
Analogamente accade per le opportunità. Questa, contrariamente a quanto pone il rischio, offre un vantaggio non generico ma funzionale al raggiungimento della finalità strategica.
Questa modalità di concepire il rischio, come ostacolo al raggiungimento di un obiettivo, si definisce “risk based thinking” che tradotto assume il significato di “pianificare tenendo conto di cosa possa generare ostacoli”.
Se il risk management è il processo grazie al quale, una volta individuati e misurati i rischi si procede a governarli attraverso delle strategie allora anche il sistema di gestione per la qualità, di fatto, contempla, al suo interno, il risk management.
Nell’introduzione alla norma ISO 9001:2015, il testo riporta che i benefici potenziali per un’azienda che adotta il sistema di gestione per la qualità sono:
- Capacità di fornire con regolarità prodotti e servizi che soddisfino i requisiti del cliente e quelli cogenti
- Facilitare le opportunità per accrescere la soddisfazione del cliente
- Affrontare rischi ed opportunità associati al suo contesto e ai suoi obiettivi
- Capacità di dimostrare la conformità ai requisiti specificati nel sistema di gestione.
Ben due benefici potenziali si basano sulla gestione delle opportunità e dei rischi come vediamo. E a tale proposito va specificato che, nel risk management, opportunità e rischio sono facce opposte della stessa medaglia.
L’azienda che implementa il processo di risk management nell’ambito del sistema di gestione per la qualità affronta le fasi operative che sono previste nella ISO 31000 di cui abbiamo l’ultima versione che è quella del 2018:
- Risk identification
- Risk analysis
- Risk evaluation
- Risk teatment
L’identificazione del rischio, nella fase di sviluppo del sistema di gestione per la qualità, parte dai fattori che sono stati identificati in fase di analisi di contesto.
Dall’analisi infatti può emergere che alcuni fattori possono incidere negativamente sulle attività aziendali compromettendo il suo regolare funzionamento. Considerando i fattori in esame, l’azienda deve esaminare le possibili cause di eventuali disagi e le corrispondenti conseguenze.
L’analisi del rischio si basa fondamentalmente sulle cause dell’evento negativo. Si ricercano le possibili cause tentando di comprendere qual è la migliore maniera per scongiurarlo.
All’analisi delle cause segue l’analisi delle conseguenze. Ecco che a questo punto il rischio identificato (e inquadrato in un contesto di eventi grazie all’analisi) viene misurato attraverso due fattori che sono:
- La probabilità che l’evento negativo si manifesti
- Il danno (in termini funzionali) che questo può comportare al perseguimento degli obiettivi.
La misurazione dei rischi presenti in azienda (in riferimento alla qualità) permette di creare un elenco nel quale le criticità devono essere affrontate a seconda del grado di gravità del rischio. La pianificazione delle azioni con le quali affrontare il rischio terrà conto infatti delle priorità.
Il trattamento del rischio nella ISO 9001:2015
A fronte di eventi che possono compromettere il regolare funzionamento aziendale, l’azienda deve concepire delle azioni. Il punto 6.1.2 della ISO 9001 è chiaro:
- Si devono concepire delle azioni per affrontare i rischi e le opportunità
- Queste azioni poi non devono rimanere escluse dal sistema e gestite a parte ma devono essere integrate nei processi aziendali
ecco perché quando si programmano le attività operative del punto 8 diventa fondamentale progettare i processi aziendali in maniera tale che questi gestiscano anche i rischi.
La norma, nelle note relative al punto 6.1.2, fa un elenco di opzioni per affrontare i rischi che sono:
- Evitare il rischio
- Assumersi il rischio per perseguire un’opportunità
- Rimuovere la fonte del rischio
- modificare la probabilità o le conseguenze
- Condividere il rischio
- Ritenere il rischio sulla base di una decisione informata.
La nota del requisito continua, riferendosi questa volta alle opportunità, dicendo che l’azienda in tal senso può:
- Adottare nuove prassi
- Lanciare nuovi prodotti
- Entrare in nuovi mercati
- Indirizzarsi verso nuovi clienti
- Creare rapporti di partnership
- utilizzare nuove tecnologie
Anche le azioni concepite per la gestione delle opportunità devono essere integrate nei processi.
Per il trattamento del rischio il Kit documentale 9001 di Winple in una apposita procedura riporta per ogni rischio considerato la descrizione, le eventuali cause e le azioni da intraprendere per gestirlo e la relativa modulistica per il calcolo del rischio e delle opportunità.
