ISO 9001:2015 - RISCHI E OPPORTUNITA'
- COSA FARE OPERATIVAMENTE?

Soddisfare i requisiti della ISO 9001:2015 relativi a rischi e opportunità: vi spieghiamo come

ISO-9001-2015-rischi-opportunita


Grandezza caratteri: piccoli | medi | grandi

Con la ISO 9001:2015 abbiamo visto rafforzarsi il tema della gestione dei rischi che, nelle versioni precedenti dello standard era stato semplicemente accennato con le azioni preventive che, infatti, sono scomprase nella versione del 2015 del documento.

Il rischio riguarda sempre ciò che non è ancora accaduto, si basa su una filosofia di anticipazione e prevenzione. E questo non per diffondere la paura di sbagliare che, tra l'altro, sarebbe anche contraria a uno dei 14 principi di Deming, ma perché la gestione della qualità funziona in modo preventivo. Del resto, chi è più bravo per la qualità: chi risolve i problemi o chi evita che nascano? E chi è più felice: i vigili del fuoco che hanno spento un incendio o quelli che sono riusciti a impedire che si sviluppasse?
Per questo motivo non solo la ISO 9001:2015 ma tutte le norme ISO si stanno adattando alla struttura HS, Harmonized Structure, che ha sostituito l'HLS, struttura di alto livello, che elevava il concetto di azione preventiva e correttiva in un processo di valutazione del rischio più completo che parte da una fase di pianificazione fatta bene.

Se siete a capo di un'azienda o siete un manager che non si occupa direttamente di qualità potreste pensare che tutta questa faccenda della gestione del rischio assomigli più a burocrazia non necessaria che non a qualcosa di davvero utile, soprattutto se un professionista della qualità vi dice che bisogna iniziare a pensare al rischio perché lo richiede ISO 9001:2015. In realtà, dovreste iniziare a pensare ai rischi in modo che la vostra vita non sia più dedicata a risolvere problemi e abbiate finalmente la possibilità di lavorare sui progetti pensati per migliorare i risultati aziendali!

L'introduzione della gestione dei rischi e delle opportunità deriva dalla riflessione che le organizzazioni di ogni tipo e dimensione devono affrontare influenze e fattori interni ed esterni che rendono incerto raggiungere gli obiettivi. Il risultato di questa incertezza è il rischio che, se evolve positivamente, si trasforma in un'opportunità da cogliere.
Qualunque azienda è esposta continuamente a incertezze e rischi e, anche se spesso non ci pensa, non significa che questi rischi non esistano. Pensate per un attimo ai rischi che un'organizzazione si assume quando decide di implementare un Sistema di Gestione per la Qualità. C'è il rischio che le persone non accettino l'idea e sabotino il progetto, il rischio che alcune tra le persone che prendono le decisioni non vedano i vantaggi del sistema e lo reputino un mero centro di costo, il rischio di non riuscire a progettare dei processi efficaci ed efficienti o, ancora, il rischio di non trovare gli indicatori migliori per guidare l'azienda nella giusta direzione. Se si iniziasse a mettere a fuoco tutto questo prima di implementare il progetto o un'azione correttiva o un miglioramento, non sarebbe più facile proteggersi dai rischi imprevisti?

Tendiamo a dare poca importanza alla gestione dei rischi perché ci accorgiamo delle cose che non vanno solo quando capitano ma, con una buon risk management, possiamo dimenticarci di tutto ciò che siamo riusciti a prevenire efficacemente. Purtroppo, però, ciò che non si vede sembra quasi non esistere e si sprecano molte risorse provando per riparare ciò che è andato storto invece di investirle per fare in modo che questo non accada. Spesso non siamo in grado di misurare il costo di ciò che non è accaduto ma, se vogliamo incoraggiare la gestione del rischio come cultura all'interno dell'organizzazione, dovremo spostarci in maniera radicale sulla prevenzione e celebrare più spesso i risultati che derivano dalle risorse investite in una prevenzione efficace. Questo ragionamento, ovviamente, non significa mettere in contrapposizione le azioni correttive e la gestione dei rischi che, in un sistema qualità che funzioni bene, devono coesistere per far ottenere all'organizzazione un risultato completo e soddisfacente, né che un'azienda che ha progettato un valido processo per la gestione del rischio non avrà mai una non conformità ma, semplicemente, che un'azienda che lavori efficacemente per prevenire i rischi avrà meno probabilità di riscontrare non conformità nel lavoro quotidiano.

Vediamo ora come procedere operativamente per gestire i rischi (e cogliere le opportunità). La ISO 9001 non menziona in nessun punto che la gestione dei rischi debba basarsi su un processo documentato ma parla semplicemente di pensiero basato sul rischio, spiegando in quasi tutti i requisiti che è importante considerare le "incertezze".
Questo significa che non avete bisogno di progettare un processo per la gestione del rischio?
Sì e no. "Sì", se sapete come implementare una cultura del pensiero basato sul rischio in modo diverso da ciò che potrebbe fare un processo monitorato e misurato. "No" se vi soffermate per un attimo sul fatto che una vera cultura della qualità deve fornire alla strategia e agli obiettivi aziendali tutto il supporto necessario e che, solitamente, lo fa tramite processi ben strutturati. Come si potrà sviluppare un pensiero basato sul rischio senza progettare un processo chiaro che possa essere compreso dai vostri collaboratori? Attraverso un processo, vi sarà più facile dimostrare i risultati ottenuti sia nella verifica dell'esecuzione che nell'ottenimento dei risultati finanziari.
E se l'azienda è piccola ed estremamente semplice nel suo funzionamento? Progettate un processo altrettanto semplice!

(L'articolo continua sotto al box in cui ti segnaliamo che alla collana di libri QualitiAmo si è aggiunto un nuovo titolo).

LA COLLANA DEI LIBRI DI QUALITIAMO

"La nuova ISO 9001:2015 per riorganizzare, finalmente, l'azienda per processi" - Si aggiunge alla collana dei libri di QualitiAmo il primo testo che svela i segreti della futura norma.
Dalla teoria alla pratica: il secondo lavoro di Stefania Cordiani e Paolo Ruffatti spiega come migliorare la vostra organizzazione applicando la nuova norma attraverso i suggerimenti del loro primo libro
(Vai all'articolo che descrive il nuovo libro)

"Organizzazione per processi e pensiero snello - Le PMI alla conquista del mercato" - Da una collaborazione nata sulle nostre pagine, un libro per far uscire le PMI dalla crisi.
L’ideatrice di QualitiAmo e una delle sue firme storiche spiegano come usare con efficacia la Qualità.
(Vai all'articolo che descrive il primo libro)

(Vuoi restare aggiornato gratuitamente sulla nuova ISO 9001:2015? Visita ogni giorno la pagina che ti abbiamo linkato.
In calce all'articolo riporteremo quotidianamente un aggiornamento sulla norma)

Partite da un processo, un progetto o un tema. Se non avete esperienza della gestione dei rischi e iniziate ad affrontare tutti i rischi in una volta, pensando a tutti i processi e ai progetti dell'organizzazione, tutto sarà confuso e poco produttivo. Quindi, per rendervi più facile il compito, separate l'organizzazione in "pezzi" che siano processi, progetti o temi e cercate di essere molto chiari su ciò che bisogna fare: ad esempio "individuare i rischi del processo di selezione del personale", oppure "parliamo di rischi del mercato", ecc. Dopodiché, organizzate un incontro con le persone coinvolte, in qualche modo, nell'argomento che avete scelto per discutere i rischi di questo processo, progetto o tema.
Non fate l'errore di cercare di individuare i rischi da soli o con il supporto di un consulente perché non è così che si promuove una cultura aziendale basata sulla gestione dei rischi!
Il metodo più comune per individuare i rischi all'interno di un'area è il brainstorming ma, affinché questo metodo sia davvero efficace, dobbiamo preparare i collaboratori a svolgere questo lavoro. Raccogliete i dati disponibili che derivano dagli audit interni ed esterni, dalle indagini sulla soddisfazione del cliente, dai riesami della direzione, dalla pianificazione strategica e da tutte le altre fonti che ritenete necessarie, in modo da poter sfruttare al meglio l'esperienza dei vostri collaboratori in materia e favorire la mentalità basata sulla gestione dei rischi. Inviate questi dati in anticipo affinché i partecipanti li possano visionare e possano portare il loro contributo al riguardo durante l'incontro.
Durante la riunione chiedete cosa potrebbe andare storto nel processo in esame e fate un elenco di tutti i suggerimenti, senza filtrarli o giudicarli in alcun modo. Fate la stessa cosa con le opportunità, chiedendo cosa potrebbe portare un risultato migliore del previsto. A questo punto, stabilite alcuni criteri per identificare ciò che dovrà essere monitorato, in modo pienamente coerente con la strategia dell'azienda. Volete che i vostri uomini si preoccupino che una meteora cada sull'azienda o che un prodotto esca dalla linea di produzione con un difetto? Se avete analizzato molto bene il contesto dell'organizzazione, decidere quali rischi richiedono la vostra attenzione non sarà così difficile.

Vorremmo ora attirare la vostra attenzione sulle opportunità che sono importanti quanto i rischi, anche se - a volte - ci si concentra solo sulle minacce e si perdono opportunità che potrebbero aggiungere valore all'azienda e aumentare i risultati. Per questo motivo, la stessa ISO 9001:2015 ha unito i due temi.
La guida per l'applicazione della ISO 9001, la ISO 9002:2017 "Sistemi di gestione per la qualità - Linee guida per l'applicazione della ISO 9001:2015", al punto 6.1.1 spiega che nell'analisi delle opportunità l'organizzazione deve prima determinare e valutare i potenziali rischi per il sistema di gestione della qualità associati all'opportunità e che i risultati di questa analisi dovrebbero essere usati per decidere quale strategia adottare. Pertanto, non si tratta solo di individuare diverse opportunità e di provare a metterle in pratica perché occorre prima analizzare quali rischi questa opportunità può comportare per l'organizzazione, sia nel caso si decida di coglierla, sia in quello in cui si decida di trascurarla.
Questa analisi può essere tranquillamente condotta con un semplice ciclo PDCA:

  • Plan - identificazione e valutazione dell'opportunità. L'opportunità può essere individuata tramite un'analisi del rischio, una riunione, il miglioramento dei processi, un brainstorming, la cassetta dei suggerimenti, ecc. In questa prima fase andrà fatta anche una valutazione dell'opportunità: si analizzano le idee per entrare nell'ambito dei costi, delle tempistiche, dei benefici e dei rischi legati all'opportunità;
  • Do - in questa fase ai vertici aziendali occorre fornire input sufficienti perché decidano se sfruttare una certa opportunità, rifiutarla o metterla a confronto con altre per decidere quale sia meglio cogliere;
  • Check - nella fase di monitoraggio si fa attenzione ai cambiamenti rilevanti che possono impedire il raggiungimento del risultato atteso;
  • Act - mediante l'apprendimento generato in questo ciclo, si riuscirà ad agire in un modo sempre più coerente e a implementare una cultura proattiva e preventiva, con l'obiettivo di fare le cose meglio e migliorare il lavoro in generale

Ci sono diversi altri metodi per affrontare i rischi che possono essere integrati nel vostro processo: l'FMEA, l'FMECA, l'HAZOP, ecc. Uno dei più semplici è la matrice dei rischi, nota anche come matrice di probabilità e impatto, che viene utilizzata durante l'analisi del rischio. Si tratta di uno strumento visivo che consente di vedere rapidamente quali rischi dovrebbero ricevere maggiore attenzione, il che rende molto più facile per le persone impegnarsi nel processo.

matrice rischi

Nella matrice dei rischi, un rischio viene considerato in base a due criteri: la sua probabilità di verificarsi e l'impatto che potrebbe avere sull'organizzazione. Attraverso delle semplici righe e colonne si determinerà la criticità del rischio che può essere "basso" (di solito indicato col colore verde), "medio" (colore giallo) o "alto" (colore rosso). La matrice permette anche di affrontare le opportunità seguendo la stessa logica: verde se l'opportunità è alta, giallo se è media e rosso se è bassa.
La valutazione per classificare la probabilità e l'impatto dei rischi dipenderà dal contesto della vostra organizzazione, dalla tipologia di rischio e dal livello di conoscenza che il vostro team ha sul rischio. Ogni organizzazione può definire nel proprio processo i l livello di priorità che vuole attribuire ai rischi. Ci sono aziende che cercano strategie anche per i rischi moderatamente critici, cioè quelli nella fascia gialla della matrice, ma questo dipenderà molto dal contesto di ogni organizzazione e da cosa ha senso trattare o non trattare.

La gestione del rischio è un modo di lavorare preventivamente. Se qualcosa che voi e il vostro team fate e funziona bene può andare storto, questo è un rischio! Si può trattare di processi, istruzioni di lavoro, comportamenti e qualsiasi altro problema che ritenete possa influire sui risultati che intendete raggiungere. La gestione del rischio consiste nel creare una sorta di mappa di tutte queste cose per decidere cosa farne. Questo è il primo grande vantaggio della gestione dei rischi: essere consapevoli di cosa può andare storto.
Ora dovete prendere ogni elemento dell'elenco e dire quanto è probabile che accada. Pensate a quante volte è già successo o, se non è mai successo, perché pensate che potrebbe succedere in futuro. Farete la stessa riflessione su come questo rischio potrebbe impattare sul vostro lavoro. Ad esempio, ci saranno situazioni che, se si verificano, possono fermare il lavoro di tutti, altre che interromperanno alcune attività, altre ancora che permetteranno comunque di lavorare, seppure con condizioni differenti. Incrociando questi dati, capirete su cosa dovrete lavorare a livello di prevenzione.
Per chiudere il cerchio di una gestione dei rischi fatta bene, occorre capire come valutare l'efficacia delle azioni pensate per affrontare rischi e opportunità. E' possibile valutare se un'azione è stata efficace o meno solo se precedentemente si è stabilito un risultato atteso. Conosciuta la probabilità di accadimento di un rischio e la sua criticità occorre prendere la decisione più importante nella gestione dei rischi: quale strategia utilizzare per affrontare il rischio. Sono possibili quattro tipologie di decisioni:

  • eliminare (prevenire, evitare) - eliminare completamente il rischio non è sempre possibile ma, quando lo è, questa opzione va assolutamente considerata;
  • ridurre (mitigare) - questa è a strategia più comune: si fanno tutte le cose necessarie per ridurre la probabilità che quel rischio si verifichi e, quando possibile, anche per ridurne l'impatto;
  • esternalizzare (trasferire) - a volte i rischi si possono dividere con un fornitore o con un cliente, per ridurne la portata, a volte si può affidare totalmente il lavoro all'esterno per non averne in carico eventuali rischi. Vanno presi in considerazione pro e contro di ogni possibilità;
  • accettare - alcuni rischi vanno semplicemente accettati perché, svolgendo un certo tipo di lavoro, non si possono eliminare, mitigare o condividere. In questo caso, però, meglio avere un piano B

Per quanto riguarda, invece, le strategie per affrontare le opportunità abbiamo:

  • sfruttare (inseguire) - si tratta di una strategia che cerca di cogliere l'opportunità perché interessa davvero. Di solito si tratta di progetti strategici in cui si mobilita l'intera azienda per cogliere le opportunità del mercato;
  • migliorare - adottando questa strategia si intraprendono azioni per avvicinarsi a un'opportunità senza grandi sforzi ma che andranno prolungati nel tempo per rendere possibile l'ottenimento di un vantaggio;
  • condividere - con questa strategia si trasferisce tutta o parte di un'opportunità a una terza parte tramite, ad esempio, una partnership;
  • accettare - come per i rischi, si decide di non intraprendere alcuna azione per cogliere un'opportunità o per definire azioni in futuro qualora si verificasse.
    Quando utilizzare questo tipo di strategia? Ad esempio quando, esaminato il rischio, valutata la probabilità di accadimento e il suo impatto sull'azienda, il risultato ha restituito una criticità bassa. Accettare questo tipo di rischio significa che la gravità è così bassa che non intraprenderete alcuna azione a meno che non accada. Nella vostra procedura potete, ad esempio fissare un "livello di tolleranza" per i rischi per discriminare fino a che punto si possono accettare e quando, invece, vano gestiti.
    Ci sono due modi per accettare un rischio: attivo e passivo. Se si sceglie la strada dell'accettazione attiva, si identifica il rischio come accettabile ma si è deciso di elaborare un piano di emergenza: se il rischio si verifica, c'è un piano B che spiega quali sono le azioni principali da intraprendere in questa situazione. Nell'accettazione passiva, invece, non viene fatto nulla perché ci sono dei rischi che possono essere accettati passivamente. Questi rischi sono semplicemente troppo piccoli per essere motivo di preoccupazione e il costo di una loro gestione sarebbe maggiore del costo per affrontare il rischio, qualora si verificasse, anche senza preparazione. Questi sono quei rischi che avranno un impatto trascurabile se si verificano

Tutto questo lavoro non va fatto una volta ogni tanto ma va reso quotidiano nel senso che, ogni volta che succede qualcosa di nuovo, si prenderà coscienza di ciò che è successo per vedere se la probabilità e l'impatto rimangono gli stessi o se è necessario cambiare strategia. Forse qualcosa che avete "accettato", infatti, sta accadendo con una grande frequenza e vale la pena fare un piccolo sforzo per "ridurre" quel rischio ma queste nuove decisioni deriveranno solo da un monitoraggio periodico. Non è un lavoro così complicato, bisogna solamente prestare attenzione alle cose che dovete risolvere ogni giorno.

Quando si definisce la strategia, è come se si definisse l'obiettivo che si ha relativamente a un certo rischio e quale sarà il proprio comportamento in relazione ad esso. Se la strategia per un rischio è mitigare, i piani d'azione che si devono definire devono ridurre la probabilità che il rischio si verifichi o il suo eventuale impatto. Le strategie per affrontare i rischi possono trasformarsi in progetti, azioni o persino compiti, questo dipenderà dalla complessità dell'argomento e dall'impatto che avrà sull'azienda.

PER SAPERNE DI PIU':
Tutti gli articoli sulla ISO 9001
Il paragrafo 6.1 della ISO 9001:2015 - Azioni per affrontare rischi e opportunità
ISO 9001:2015 e rischi - Cosa bisogna fare per adempiere a questi requisiti?
Gestire i rischi: cosa dice la ISO 9001:2015?
L'analisi dei rischi tramite SWOT
I grandi temi della ISO 9001:2015