Il forum sulla Qualità di QualitiAmo

marco87 · Nuova recluta del forum Registrato: 21/06/22 10:00 Messaggi: 10

Buongiorno, quando abbiamo avuto la visita da parte del TUV NORD per la ISO 9001-2015, tra i spunti di miglioramento ce questo punto che non saprei come fare:
"Si raccomanda di identificare nel modello di analisi dei rischi,
per tutti i rischi con evidenza di azione di mitigazione, il rischio residuo post mitigazione".
Noi su tale modulo abbiamo le seguenti voci " classe di rischio, identificazione del rischio, analisi del rischio, calcolo rischio, ponderazione del rischio, premio sul rischio (opportunità), eventuale trattamento del rischio", questi sono i campi creati dal consulente esterno che avevamo fino a due anni fa. Sempre su questo modulo sono stati creati altre voci che non sono mai state compilate quali " rischio residuo, rischio accettato, ulteriore trattamento, premio sul rischio (opportunità), responsabile".
Presumo che dovrei compilare questi campi, la mia domanda è come si riesce a compilare questi campi?
Sotto vi lascio il link al modulo che abbiamo.
Grazie a qualsiasi persona che mi risponderà.

https://ibb.co/7W20gwT

MikiMarru · Inviato: Mar Set 19, 2023 9:13 pm Oggetto:

Rispondo alla domanda:
In pratica il valutatore vi ha detto:
Per gestire alcuni rischi avete deciso di fare qualcosa (azioni di mitigazione); bene, una volta che l'azione è conclusa valutate se ha funzionato, ad esempio rivalutando il rischio per capire se si è ridotto o meno.

Sempre il maledetto PDCA:è la solita brutta abitudine della ISO 9001 che ti chiede di verificare l'efficacia di quanto hai fatto per raggiungere un determinato obiettivo.

Secondo me il vero problema è che una analisi condotta in questo modo, è sicuramente articolata e strutturata, ma non è particolarmente riferibile ad una situazione specifica (la vostra).
Molto fashion, se vogliamo, ma poco concreta.

Una analisi condotta in un modo differente vi permetterebbe di dire:
abbiamo rilevato queste situazioni che comportano un rischio per l'azienda, quanto sono rilevanti? e cosa possiamo fare per gestire i rischi significativi?
Possiamo fare A, B, C
Una volta che le azioni A, B, C sono concluse, hanno funzionato? ovvero si è ridotta a sufficienza la significatività del rischio?
Se sì bene, evviva, diversamente cos'altro è possibile fare?

Io "volerei più basso", ma cercherei di essere più concreto, in particolare nella parte che precede la valutazione dei rischi, ossia la fase in cui analizzate il contesto interno (processi compresi) ed esterno per individuare i fattori di rischio/opportunità reali.
Che qui non vedo, ma che la norma ti chiede esplicitamente.

Di letteratura in merito ne trovi parecchia, anche su questo sito
_________________
Credo fermamente nel detto: "Non ti do il pesce, ma la canna da pesca, e ti insegno a usarla, perché tu possa pescare da solo". E' possibile che la mia risposta sia da intendere in tal senso.

dario · Inviato: Gio Set 28, 2023 6:20 am Oggetto: analisi rischi

Ciao, il modulo che utilizzate è il classicissimo tabellone che usano moltissimi.
Va benissimo compilare le caselline di "rivalutazione" dopo l'implementazione delle misure di mitigazione, per fare contento il certificatore. Sarà contento.
Ma chiediti se a voi porta qualcosa. La valutazione di impatto e probabilità è più difficile dello scovare le cosette da scrivere nelle righe (i rischi).
Formalmente, ma solo esteticamente, il processo funziona e dopo un po' diventa prassi. Prendi il file, lo apri, lo modifichi un pochino, lo salvi.
Costa poco, quindi piace.
Ma nella realtà aziendale non porta nulla oltre a evitare raccomandazioni o non conformità, ch è almeno già qualcosa.
Un buon processo di analisi rischi, secondo la iso 31000, per iniziare, è qualcosa di molto performante, potente, ma solo se è integrato bene nel SGQ e se sentito e capito da tutti.
Buone analisi Wink

KK · King of Kuality Registrato: 23/04/09 14:36 Messaggi: 10264

Riferimendomi a quando detto da dario, ahimè seguo decide di aziende, alcune anche di un certo spessore o dimensione, ma in nessuna esiste una consapevolezza dell'utilità di questo strumento.
Per tutti l'aggiornamento del documento è una noiosa necessità da fare il giorno prima della verifica.
_________________
Konsulente Kualità

dario · Inviato: Ven Set 29, 2023 6:32 am Oggetto:

KK, sei un po' drastico col "nessuna", ma sei vicino alla realtà. Purtroppo il business del software, il business della certificazione e la cecità di molti management porta agli esercizi di stile e all'"ingessamento" di sistemi potenzialmente potenti. Voi consulenti, quelli bravi, quelli con esperienza, rimanete la "speranza" di far crescere, evolvere, rendere fertili i sistemi delle aziende.

KK · King of Kuality Registrato: 23/04/09 14:36 Messaggi: 10264

Purtroppo il mio essere drastico fotografa una realtà comunque non incoraggiante.
Non dico di non avere a che fare con realtà virtuose, anzi conosco esempi di aziende davvero di alto profilo e con una propensione alla crescita, all'innovazione e al cambiamento davvero alta.
Tuttavia la gestione del rischio, anche in quei casi, risulta più un esercizio di rendicontazione a posteriori che uno strumento strategico di pianificazione.
Anche in quei casi virtuosi, perde comunque di potenza.

Mi viene da pensare che forse, per come è concepito attualmente, non è la miglior soluzione a questo tema. Forse anche i sistemi di gestione potrebbero trovare soluzioni alternative alla richiesta di documentare quella mole di informazioni sul rischio, che portano a una rincorsa alla compilazione un po' onerosa.
_________________
Konsulente Kualità