ISO 9001:2015 - RISK MANAGEMENT E
STRUMENTI

Il risk management secondo la ISO 9001:2015 e gli strumenti da utilizzare

ISO-9001-2015-risk-management-strumenti


Grandezza caratteri: piccoli | medi | grandi

La ISO 9001:2015 ci ha abituato al termine "risk management". Per cogliere meglio l'essenza di questa metodologia, possiamo consultare la ISO 31000:2018 "Gestione del rischio - Linee guida" che è stata pubblicata a cura del Comitato Tecnico ISO/TC 262 che si occupa di Gestione dei rischi.
Questo documento è destinato a chi nelle organizzazioni gestisce i rischi, cioè quei fattori e influenze esterne e interne che rendono incerto il raggiungimento degli obiettivi e fornisce un approccio comune alla gestione di qualsiasi tipo di rischio, non essendo specifico per uno specifico settore. Può essere utilizzato per tutta la vita dell'organizzazione e può essere applicato a qualsiasi attività.

Lo scopo della gestione del rischio è la creazione e la protezione del valore. Oltre a questo, gestire i rischi migliora le prestazioni, incoraggia l'innovazione e supporta il raggiungimento degli obiettivi.
Un ragionamento in termini di rischi dovrebbe essere alla base nella definizione della strategia, nel raggiungimento degli obiettivi e nel prendere decisioni informate perché fa parte della governance e della leadership ed è fondamentale per la gestione dell'organizzazione a tutti i livelli. Contribuisce, infatti, al miglioramento dei sistemi di gestione e fa parte di tutte le attività svolte da un'organizzazione, inclusa l'interazione con gli stakeholder.

Questa seconda edizione della ISO 31000 annulla e sostituisce la prima (ISO 31000:2009) che è stata rivista tecnicamente. Le modifiche apportate sono state:

  • revisione dei principi di gestione del rischio;
  • l'attenzione alla leadership da parte del top management e l'integrazione della gestione del rischio nel governo dell'organizzazione;
  • una maggiore enfasi sulla natura iterativa della gestione del rischio che porta a capire che nuove esperienze, conoscenze e analisi possono portare a una revisione degli elementi, delle azioni e dei controlli del processo in ogni fase;
  • una razionalizzazione dei contenuti con una maggiore attenzione al sostegno di un modello di sistemi aperti per adattarsi a molteplici esigenze e contesti

Nel modello di gestione del rischio presentato dalla ISO 31000:2018 ci sono dei principi che consentono a un'organizzazione di gestire gli effetti dell'incertezza sui propri obiettivi. Vediamoli:

  • la gestione del rischio deve essere parte integrante di tutte le attività dell'organizzazione;
  • per avere risultati coerenti e comparabili, i rischi vanno approcciati in modo strutturato e completo;
  • il modello e il processo di gestione del rischio sono personalizzabili e devono essere proporzionati al contesto esterno e interno dell'organizzazione, oltre che relazionati ai suoi obiettivi;
  • Per una maggiore consapevolezza e una gestione informata del rischio occorre il coinvolgimento appropriato e tempestivo delle parti interessate;
  • il risk management deve mantenersi dinamico perché i rischi possono emergere, cambiare o scomparire al variare del contesto esterno e interno di un'organizzazione e la gestione dei rischi deve anticipare, rilevare, riconoscere e rispondere a tali cambiamenti ed eventi in modo appropriato e tempestivo;
  • gli input per la gestione del rischio si devono basare su informazioni storiche e attuali ma anche sulle aspettative future. Queste informazioni dovrebbero essere tempestive, chiare e disponibili per le parti interessate;
  • Bisogna essere coscienti che il comportamento umano e la cultura possono influenzare in modo significativo tutti gli aspetti della gestione del rischio, a ogni livello e in ogni fase;
  • la gestione del rischio deve essere continuamente migliorata attraverso l'apprendimento e l'esperienza
Per costruire un modello di risk management che funzioni, la gestione del rischio va integrata nella governance dell'organizzazione, compreso il processo decisionale. Ciò richiede il supporto delle parti interessate e, in particolare del top management. L'alta direzione dovrebbe:
  • personalizzare tutte le componenti del modello prima di implementarle;
  • pensare una politica che stabilisca un approccio alla gestione del rischio;
  • assicurare che le risorse necessarie alla gestione dei rischi siano allocate;
  • assegnare a ogni fase della gestione dei rischi autorità e responsabilità

(L'articolo continua sotto al box in cui ti segnaliamo che alla collana di libri QualitiAmo si è aggiunto un nuovo titolo).

LA COLLANA DEI LIBRI DI QUALITIAMO

"La nuova ISO 9001:2015 per riorganizzare, finalmente, l'azienda per processi" - Si aggiunge alla collana dei libri di QualitiAmo il primo testo che svela i segreti della futura norma.
Dalla teoria alla pratica: il secondo lavoro di Stefania Cordiani e Paolo Ruffatti spiega come migliorare la vostra organizzazione applicando la nuova norma attraverso i suggerimenti del loro primo libro
(Vai all'articolo che descrive il nuovo libro)

"Organizzazione per processi e pensiero snello - Le PMI alla conquista del mercato" - Da una collaborazione nata sulle nostre pagine, un libro per far uscire le PMI dalla crisi.
L’ideatrice di QualitiAmo e una delle sue firme storiche spiegano come usare con efficacia la Qualità.
(Vai all'articolo che descrive il primo libro)

(Vuoi restare aggiornato gratuitamente sulla nuova ISO 9001:2015? Visita ogni giorno la pagina che ti abbiamo linkato.
In calce all'articolo riporteremo quotidianamente un aggiornamento sulla norma)

Questo aiuterà l'organizzazione a:

  • allineare la gestione del rischio ai suoi obiettivi, alla strategia aziendale e alla cultura che vige nell'azienda;
  • riconoscere e far fronte a tutti gli obblighi, nonché agli impegni volontari;
  • stabilire la quantità e il tipo di rischio che può essere assunto o meno per decidere su quali criteri basare la gestione dei rischi, assicurando che siano comunicati all'organizzazione e ai suoi stakeholder;
  • comunicare il valore della gestione del rischio all'organizzazione e ai suoi stakeholder;
  • promuovere il monitoraggio sistematico dei rischi;
  • garantire che il modello per la gestione del rischio rimanga adeguato al contesto dell'organizzazione

Il modello da seguire si compone di:

  • integrazione - il rischio va gestito in ogni parte della struttura dell'organizzazione e tutti in un'organizzazione hanno la responsabilità di gestirlo.
    L'integrazione della gestione del rischio nella struttura dell'organizzazione si basa sulla comprensione del contesto, dello scopo, degli obiettivi e della complessità dell'azienda. Si tratta di un processo dinamico e iterativo e dovrebbe essere personalizzato in base alle esigenze e alla cultura dell'organizzazione;
  • progettazione - chiarito il contesto in cui opera l'organizzazione e l'impegno che la direzione si assume nei confronti del risk management, occorre garantire che le autorità e le responsabilità in relazione alla gestione del rischio siano assegnate e comunicate a tutti i livelli dell'organizzazione e che le risorse necessarie vengano allocate;
  • implementazione - l'organizzazione in questa fase deve sviluppare un piano adeguato che includa tempistiche e risorse, identificare dove, quando e come vengono presi i diversi tipi di decisioni all'interno dell'organizzazione e da chi, modificare - ove necessario - i processi decisionali applicabili, garantire che le disposizioni dell'organizzazione per la gestione del rischio siano chiaramente comprese e praticate.
    Una corretta attuazione del modello richiede il coinvolgimento e la consapevolezza delle parti interessate. Ciò consente alle organizzazioni di affrontare esplicitamente l'incertezza nel processo decisionale, garantendo al contempo che qualsiasi incertezza nuova o successiva possa essere presa in considerazione quando si presenta;
  • valutazione - al fine di valutare l'efficacia del modello di gestione del rischio adottato, l'organizzazione dovrebbe misurare periodicamente le performance rispetto agli indicatori e determinare se è idoneo a supportare il raggiungimento degli obiettivi dell'organizzazione o va aggiornato;
  • miglioramento della gestione del rischio in tutta l'organizzazione - l'organizzazione dovrebbe monitorare e adattare continuamente il modello di gestione del rischio per affrontare i cambiamenti interni ed esterni e migliorare continuamente l'adeguatezza e l'efficacia del framework e il modo in cui il processo di gestione del rischio è integrato.
    Quando vengono identificate lacune o opportunità di miglioramento rilevanti, l'organizzazione dovrebbe sviluppare piani e compiti e assegnarli a coloro che sono responsabili dell'attuazione. Una volta implementati, questi miglioramenti dovrebbero contribuire al miglioramento della gestione del rischio

I componenti del modello e il modo in cui lavorano insieme dovrebbero essere personalizzati in base alle esigenze dell'organizzazione. Come si scelgono gli indicatori da monitorare per aumentare i risultati della vostra azienda, occorre analizzare attentamente quali saranno i rischi rilevanti, perché alcuni rischi sono importanti e possono avere un impatto enorme, altri meno.
Quando si identifica un rischio, si deve seguire un processo per monitorarlo e trattarlo, quindi è bene mettere a fuoco solamente ciò che è rilevante. Ma come si fa a identificare ciò che è rilevante? Occorrono quattro passaggi:

  • iniziate partendo dalla fine: per capire quanto potrebbe valere un rischio, occorre ragionare in termini di valore per gli azionisti, di redditività, di sicurezza, di capacità delle persone, dei processi e dei sistemi, di reputazione e di sostenibilità;
  • il secondo passaggio è analizzare i rischi in base agli obiettivi strategici dell'azienda;
  • il terzo livello è quello degli obiettivi tattici e degli indicatori operativi;
  • l'ultimo passaggio richiede un'analisi degli scenari di rischio

In poche parole, si applica il principio di Pareto anche ai rischi per avere un quadro chiaro di quel 20% dei rischi che è davvero significativo perché potrebbe generare l'80% dei problemi.

Vediamo ora quali tecniche e strumenti pratici possono aiutarci a fare un buon risk management.

Il diagramma di Ishikawa

Il diagramma di Ishikawa, noto anche come diagramma di causa ed effetto o diagramma a lisca di pesce, è uno strumento della qualità che aiuta a organizzare il brainstorming necessario a identificare le possibili cause di un determinato problema e, per questo motivo, è così utilizzato nell'analisi delle cause delle non conformità. Ciò che qualcuno potrebbe non sapere ancora, però, è che questo stesso strumento può essere utilizzato per identificare rischi e pericoli nei processi e nei progetti.

Quando si ricerca la causa di un problema, si mette questo problema nella testa del pesce e poi si parte alla ricerca delle cause che l'hanno generato. Se stiamo facendo un'analisi dei rischi, si procederà nello stesso modo solo che ora ciò che verrà posizionato nella testa del pesce è il processo o il progetto e, invece di ricercare le cause, si cercheranno i rischi.

diagramma-ishikawa

Identificando i rischi, è possibile effettuare un'analisi ancora più completa calcolando la probabilità e l'impatto di ciascun rischio e segnalandone la criticità all'interno del diagramma.

La matrice della probabilità e dell'impatto

Per utilizzare questo strumento, bisogna valutare se si sta parlando di un rischio o di un'opportunità e poi posizionarlo nella matrice, in modo da capire quanto sia reale la possibilità dell'evento e il livello di impatto che avrà. La matrice della probabilità e dell'impatto aiuta a dare una priorità al rischio, il che è importante poiché non si vuole perdere tempo a inseguire un piccolo rischio, esaurendo tutte le risorse a disposizione. Questo strumento permette di combinare i punteggi dei due fattori "probabilità" e "impatto" dei singoli rischi e di classificarli in base alla loro gravità. In questo modo, ogni rischio è compreso nel contesto e si può pensare a un piano da mettere atto per rispondere.

La simulazione di diversi scenari

Come suggerisce il nome, nella simulazione degli scenari, vengono analizzati i possibili risultati negativi della pianificazione, verificando le variabili quantitative e qualitative che possono verificarsi e quali saranno i loro impatti per l'esecuzione di un determinato compito. L'analisi dei diversi scenari che potrebbero avverarsi aiuta l'azienda a identificare i rischi emergenti che ancora non si sono manifestati. Poiché non ci sono registrazioni passate di questa tipologia di rischi, solo gli esperti possono aiutare a identificarli e questo è il motivo per cui l'analisi di scenario viene eseguita principalmente con l'aiuto di un gruppo di esperti. Le aziende più grandi organizzano seminari strutturati in cui invitano molti esperti in vari campi relativi alla loro attività con lo scopo di esplorare i possibili rischi che un domani dovrà affrontare. L'obiettivo di questi seminari è quello di stimolare un dialogo tra i vari esperti che esprimono la loro opinione su diversi argomenti e, in questo processo, scoprono nuovi possibili rischi e scenari.

Altre aziende potrebbero non avere il tempo o il budget necessari per ospitare una conferenza. In questi casi, vengono forniti agli esperti del settore questionari strutturati sempre con lo stesso obiettivo, ovvero ottenere risposte elaborate da esperti. Tuttavia, in questo caso, gli esperti daranno la loro opinione individuale poiché non saranno in grado di interagire con gli altri come avrebbero fatto in un workshop strutturato.

Infine, molte organizzazioni preferiscono fare delle interviste non strutturate agli esperti. In questo modo la discussione non viene guidata in alcun modo. Si può decidere, ad esempio, di intervistare un esperto mettendolo "contro" un altro che abbia un'idea differente o organizzarde una discussione di gruppo con più esperti.

Il risultato finale di ciascuno di questi momenti di valutazione dei rischi è che l'azienda dovrà disporre di un nuovo elenco di rischi che sono emersi durante il processo. La vera sfida sarà, però, il passaggio successivo in cui questi rischi dovranno essere convertiti in numeri. A tale scopo vengono utilizzate varie tecniche statistiche per stabilire la possibile frequenza di accadimento di questi rischi insieme al potenziale impatto.

L'analisi SWOT

L'analisi SWOT o analisi dei punti di forza, dei punti deboli, delle opportunità e delle minacce è un altro strumento per aiutare a identificare i rischi. Elencate i punti deboli o le cose che potrebbero essere migliorate o che mancano perché è proprio qui che c'è la probabilità che nasca un rischio. L'opportunità, invece, deriva dall'identificazione dei punti di forza.

Il brainstorming

Per iniziare il processo di brainstorming, occorre valutare i rischi che potrebbero avere un impatto sul vostro progetto, sul vostro sistema di gestione della qualità o su qualsiasi altra cosa per la quale vogliate valutare rischi e, naturalmente, anche le opportunità.
Si inizia riesaminando la documentazione del progetto, l'analisi dei dati storici dei processi, le lezioni apprese dal passato e di tuttto ciò che può fornire informazioni sui problemi che potrebbero verificarsi durante l'esecuzione del progetto, del sistema, ecc.. Una volta che avrete fatto questa ricerca, avviate il brainstorming coinvolgendo chiunque abbia informazioni dettagliate.

La rivalutazione dei rischi

Le rivalutazioni del rischio riguardano le seguenti attività:

  • individuazione dei nuovi rischi
  • valutazione dei rischi attuali
  • valutazione del processo per la gestione del rischio

e vanno fatte periodicamente perché, in alcuni ambienti, rischi e opportunità variano molto velocemente, esattamente come il contesto in cui operano le aziende.

Diagramma dell'albero decisionale

Gli alberi decisionali vengono utilizzati per prendere decisioni quando ci si trova di fronte a più opzioni. Permettono di valutare i valori dei risultati e le possibilità di raggiungerli e questo, a sua volta, aiuta a prendere una decisione migliore. Occorre procedere in questo modo:

  • identificare le decisioni e preparare un diagramma dell'albero decisionale basato su decisioni, costi e ricompense delle opzioni a vostra disposizione;
  • calcolare la probabilità che si verifichi un rischio e assegnarla;
  • identificare il valore monetario del rischio, ovvero quanto vi costerebbe se il rischio dovesse verificarsi;
  • calcolare il valore monetario atteso da ciascun percorso decisionale, moltiplicando la probabilità e l'impatto
PER SAPERNE DI PIU':
Tutti gli articoli sulla ISO 9001
Il paragrafo 6.1 della ISO 9001:2015 - Azioni per affrontare rischi e opportunità
ISO 9001:2015 e rischi - Cosa bisogna fare per adempiere a questi requisiti?
Gestire i rischi: cosa dice la ISO 9001:2015?
L'analisi dei rischi tramite SWOT
I grandi temi della ISO 9001:2015