ISO 9001:2015, Valutazione dei Rischi e Risk Based Thinking

ISO 9001:2015, Valutazione dei Rischi e Risk Based Thinking

 

Con la pubblicazione della nuova edizione della ISO 9001 per la prima volta una norma di sistema di gestione, che non tratta di salute e sicurezza, ha introdotto al suo interno una novità interessante, il concetto di valutazione dei rischi. Anzi, lo ha sistematizzato tanto da scegliere di parlare di risk based thinking; paradossalmente interessa anche chi, da tanti anni, ragiona in termini di valutazione dei rischi.

Nelle versioni precedenti della ISO 9001, i rischi venivano affrontati solamente tramite le azioni preventive. Nella versione del 2015, però, il rischio viene trattato diffusamente in tutto lo standard al fine di sottolineare l'importanza di valutarlo e di analizzarlo su base continua.

ISO 9001:2015, Risk Based Thinking

Se l’arte di comprendere le opportunità è la speculazione su ciò che non è ma si potrebbe fare avvenire, l’arte della valutazione del rischio è quella di indagare ciò che può essere (accadere), anche se con una probabilità bassissima.

Analisi dei rischi, un’attività quotidiana

Quello che sta a cuore alla ISO 9001:2015 è soprattutto il fatto che tutti finalmente capiscano che mettere in piedi un Sistema Qualità non significa affiancare al lavoro quotidiano qualcosa di artificioso scandito da procedure che non leggerà mai nessuno perché il modo di lavorare di tutti i giorni e il Sistema Qualità devono essere la stessa cosa.

È vero, infatti, che il Risk Management può essere considerato come l’ossatura del nuovo documento ma non è forse corretto affermare che le organizzazioni più avvedute valutano e analizzano i rischi su base giornaliera?

Quante volte, infatti, ci si chiede se sia o meno il caso di portare avanti un progetto (facendo una semplice analisi dei costi e dei benefici) o quali siano i rischi associati all'acquisto di un nuovo strumento o di un nuovo macchinario, soprattutto nel caso di una formazione non ottimale degli operatori che dovranno utilizzarli?

Chi, cambiando il proprio software, non si è soffermato a pensare a come affrontare il periodo della sua introduzione per gestire al meglio quel lasso di tempo in cui non tutti sono ancora in grado di padroneggiare il nuovo programma?

I rischi legati alla consegna di un prodotto particolare non vengono forse considerati?

Che dire dei Commerciali che devono decidere se tentare di penetrare in un nuovo mercato oppure no? Non fanno forse un’analisi dei rischi?

Anche un fornitore che consegna i materiali in ritardo, infine, può comportare dei rischi che andranno valutati prima di decidere se acquistare da lui.

Cosa deve considerare un’azienda in termini di rischi?

Ci sono almeno due aspetti significativi da tenere in considerazione:

  • Ogni azienda deve conoscere e gestire i rischi a cui è esposta;
  • Ogni azienda deve identificare le relazioni reciproche di rischi che ha con l’esterno (contesto e parti interessate).

La prima affermazione è più ovvia, specialmente per chi ha l’abitudine a valutare i rischi nell’ambito della salute e della sicurezza sul lavoro. Si tratta di effettuare una valutazione dei rischi più ampia, ovvero multidisciplinare, che consideri i possibili danni che l’azienda può subire qualora si verificassero eventi indesiderati e possibili (cioè che possono effettivamente accadere con una probabilità che naturalmente non è ancora nota, ma lo sarà a seguito della analisi).

In un contesto generale solido (quindi escludendo eventuali crisi generalizzate) immaginiamo un’azienda che per il 70% fattura ad un solo cliente. È evidente che un cambio di strategia del cliente, o il ridimensionamento del cliente, o qualunque accidente spinga il cliente a comprare da altri, potrebbe essere fatale alla azienda. Che probabilità associamo all’evento indesiderato? E quali contromisure si devono, eventualmente, adottare se il rischio è elevato?

Stiamo proprio parlando di gravità (del danno alla azienda) e di probabilità che l’evento indesiderato si verifichi. Quindi dei concetti comunemente utilizzati nelle valutazioni dei rischi in materia di salute e sicurezza.

Il rischio per l’azienda non è solo legato al business o ad altri fattori ovvi come la tutela degli asset, la tutela del know how, la tutela della salute e sicurezza dei lavoratori (un infortunio rappresenta anche un rischio di danno per l’azienda, e non solo in virtù del D.lgs. 231/2001); esistono altri elementi che sono legati al contesto in cui l’azienda è inserita, contesto con il quale sono in essere rapporti che generano reciproche influenze (e rischi).

Non basta la vaga percezione del rischio, deve essere quantificato (monetizzato) nei casi peggiori. Quindi la distinzione fra un mero riconoscimento intuitivo dei possibili pericoli / rischi, e invece un risk assesment sistematico e completo, può comportare una differenziazione delle strategia di difesa della azienda e del business.

Attenzione: in certi settori questa non è una novità! Nel settore petrolifero ad esempio (esplorazione e produzione), già da oltre dieci anni le principali compagnie tutelano le tempistiche di avviamento dei nuovi impianti chiedendo ai fornitori chiave garanzie sia su aspetti di salute, sicurezza e ambiente (a cui associano il rischio di sospensione dell’attività dei fornitori per il sequestro degli impianti), sia su aspetti legati al “disaster recovery”, ovvero alla capacità del fornitore di mantenere la produzione anche in caso di gravi disastri (dagli incendi ai terremoti, e per paesi diversi dal nostro, agli atti ostili da parte di soggetti terzi).

Concludendo, il risbased thinking non solo è una necessità interna alla azienda, ma diventerà sempre di più una richiesta (e un requisito) del mercato.

 

Image

 

 



POTREBBE INTERESSARTI


Cookie Privacy

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.