Tra i requisiti delle nuove norme ISO, sia quelle sui sistemi qualità, che quelle relative alla gestione ambientale, alla salute e sicurezza sul lavoro, alla sicurezza delle informazioni ecc. ne troviamo uno apparentemente nuovo: quello relativo ai rischi ed alle opportunità.
Vediamo in questo articolo qual'è l'impatto di questo requisito sull'approccio ai sistemi di gestione.
Più che un semplice requisito, si tratta di un vero e proprio approccio preventivo nella gestione dei processi e del sistema.
Dico apparentemente nuovo in quanto la versione ufficiale dell’International Organization for Standardization in merito, è che nelle versioni precedenti delle norme sui sistemi tale concetto fosse implicito ed attuato attraverso ad esempio: i requisiti della pianificazione, del riesame e del miglioramento.
È grazie all’introduzione di quest’approccio che le nuove norme risultano più flessibili delle edizioni precedenti, meno prescrittive e maggiormente orientate alle prestazioni dei processi e del sistema, meno documenti e più sostanza.
Parallelamente all’introduzione di questo nuovo requisito è scomparso quello relativo alle azioni preventive.
Effettivamente le cose stanno così, ma sarebbe riduttivo dire che un requisito sostituisce semplicemente l’altro, e che questo nuovo approccio basato sul rischio sia solo un altro modo per chiamare le azioni preventive.
Ma cosa si intende per “rischio"?
È definito nella norma ISO 9000 come l’”effetto dell’incertezza”.
L’effetto è lo scostamento, positivo o negativo, rispetto a quanto atteso.
Il concetto di rischio è legato direttamente al concetto di risultato e di conseguenza al concetto di obiettivo (definito nella stessa ISO 9000 come “risultato da conseguire)”
In pratica il rischio sta tra l’obiettivo ed il risultato, è l’effetto che può determinare il raggiungimento o il mancato raggiungimento del risultato rispetto all’obiettivo definito.
Facciamo un esempio.
Un azienda commerciale che ha come attuali clienti dei rivenditori ha definito come obiettivo quello di aumentare la propria clientela rivolgendosi anche direttamente a quei clienti finali che attualmente i rivenditori non riescono a servire.
La poca conoscenza però delle necessità e dei bisogni di questo nuovo tipo di clienti può costituire un rischio che potrebbe inficiare il raggiungimento del risultato.
Quindi cos’è che si deve fare?
Innanzitutto cambiare mentalità: un gioco da ragazzi.
Oppure fare una tabellina con dei rischi copiati da qualche guida sul risk management trovata su internet, con una bella matrice di valutazione a colori da mostrare all’auditor il giorno della certificazione.
Se stai considerando quest’ultima opzione, non serve continuare a leggere questo articolo.
Volendo fare le cose per bene, in modo che queste siano utili alla vostra azienda, è proprio l’approccio da cambiare: l’approccio basato sul rischio va attuato sin dalle fasi di progettazione del sistema di gestione.
Ogni fattore interno o esterno del contesto in cui operate, ogni parte interessata, ogni processo del sistema può comportare dei rischi o delle opportunità, il lavoro da fare è individuare tali rischi ed opportunità e definire azioni per eliminare o ridurre i rischi, o per perseguire le opportunità ed integrare tali azioni nel sistema di gestione.
Il lavoro non è poi così difficile.
Le norme non prescrivono l’adozione di modelli di risk management (ne li sconsigliano), non prescrivono metodi di indagine specifici, ne di analisi e valutazione dei rischi, nel caso della ISO 9001 in realtà non richiedono nemmeno di documentare le attività di analisi ne i risultati.
Siamo liberi quindi di considerare diversi metodi più o meno complessi in funzione delle reali necessità dell’azienda: dall’analisi SWOT o PESTLE, al brainstorming, alle matrici di valutazione conseguenze/probabilità.
Oltre che nella fase di progettazione del sistema di gestione, vi sono molte altre situazioni durante la gestione del sistema in cui tale approccio può essere applicato: riunioni della direzione per la definizione delle strategie, riesami del sistema di gestione, riunioni su aspetti di gestione, nella definizione e pianificazione degli obiettivi, nella progettazione di prodotti e servizi, nella pianificazione dei processi produttivi, nella selezione e valutazione di fornitori.
L’adozione di questo approccio comporta una maggior conoscenza dei rischi aziendali e di conseguenza migliora la capacità di prevenirli o di tenerli sotto controllo, aumenta la probabilità di raggiungere gli obiettivi, e riduce le probabilità di effetti negativi, rende veramente la prevenzione un abitudine.
A questo proposito posso dire come nella mia esperienza quello delle azioni preventive sia sempre stato il requisito meno attuato dalle aziende, mentre ora diventa parte integrante della normale gestione.
Con lo stesso approccio vanno considerate le opportunità, qualche volta (non sempre) l’altra faccia del rischio.
Una puntuale identificazione delle opportunità ed una loro valutazione in termini di benefici e costi da sostenere per perseguirle, costituisce sicuramente un potente strumento per la definizione di obiettivi e piani di miglioramento efficaci.
Cosa non si deve sicuramente fare?
Chi come me ha vissuto nel lontano 2000 l’introduzione, per la prima volta, del requisito relativo all’approccio per processi si ricorderà che per alcuni anni ci siamo dedicati solo ed esclusivamente ai diagrammi di flusso, e guai se nel manuale non c’era uno schema che identificasse graficamente le interazioni tra i processi.
Oggi l’”approccio per processi” è ancora il modello di riferimento nelle norme della serie ISO 9000, è tuttora un requisito che il sistema venga sviluppato secondo tale approccio, ma schemi, schemini e diagrammi di flusso sono spariti.
O meglio sono ancora impiegati da chi li ha ritenuti e li ritiene tutt’ora (il sottoscritto compreso) uno strumento per un efficace descrizione dei processi e delle loro interazioni, ma possono esserlo per un azienda e non per un altra.
Quello che vorrei sottolineare è come all’epoca siamo caduti nel tranello di banalizzare il requisito, guardando solo all’aspetto grafico, non considerando l’importanza invece dell’approccio per processi, un modello che mette al centro il cliente (interno ed esterno), che scardina in parte la logica delle funzioni, e che si basa sull’assicurare l’efficacia dei processi come strumento per la soddisfazione dei clienti.
Oggi corriamo lo stesso rischio con i rischi e le opportunità, passatemi il gioco di parole, tentando di uniformare anche questa volta.
Le norme non prescrivono elenchi o registri di rischi ed opportunità, ne matrici di valutazione, ne tabelle con l’assegnazione di valori o aggettivi, ecc.
Come già prima sottolineato ogni azienda può scegliere liberamente le modalità per considerare i propri rischi ed opportunità, scegliere di adottare metodi più o meno strutturati per fare le proprie valutazioni.
Metodi troppo complessi in aziende di piccole dimensioni potrebbero non essere un reale valore aggiunto.
Quello che io propongo nella mia consulenza è un elevata attenzione all’approccio alla gestione dei rischi ed opportunità proprio come modello di gestione a tutti i livelli aziendali, e parallelamente, l’assistenza nell’identificare quali siano gli strumenti più opportuni e semplici (anche più d’uno) per attuare facilmente questo fondamentale requisito.
