salta al contenuto

Il paragrafo 6.1 della ISO 9001:2026 - Azioni per affrontare rischi e opportunità: radiografia di un requisito

Cosa dice davvero il punto 6.1 della futura ISO 9001 quando lo si legge parola per parola e come ci è arrivato, dalla ISO 9004:2018 ai future concepts

Un uomo davanti alla scelta di due pulsanti da schiacciare: rischi e opportunità
Aggiornato l'8 luglio 2026
2 → 3i sottopunti: rischi e opportunità si separano e, per la prima volta, hanno un titolo
1 → 3i verbi della pianificazione: da "determinare" a "determinare, analizzare e valutare"
+1la soddisfazione del cliente entra nel metro di proporzionalità delle opportunità
0metodi formali di gestione del rischio richiesti: la flessibilità della versione della norma del 2015 resta intatta
Stai cercando il commento alla versione precedente? Questo articolo analizza il punto 6.1 della ISO 9001:2026. Il commento al 6.1 della ISO 9001:2015 lo trovi in questo articolo dedicato.

Nell'estate del 1654, c'è una lettera che viaggia tra Parigi e Tolosa. A scriverla è Blaise Pascal, trentun anni, già celebre per la macchina calcolatrice e per gli esperimenti sul vuoto; il destinatario è Pierre de Fermat, magistrato a Tolosa, che si diletta con la matematica. Sul tavolo c'è un problema: due giocatori di pari abilità disputano una partita a più mani; vince la posta chi arriva per primo a un certo numero di punti ma la partita viene interrotta prima della fine. Come si divide la posta in un modo giusto?

L'istinto direbbe: in proporzione ai punti già fatti ma è la risposta sbagliata, perché guarda nella direzione sbagliata. Pascal e Fermat, scambiandosi lettere per tutta l'estate, capiscono che la divisione giusta non dipende dal passato della partita ma dal suo futuro: bisogna contare tutte le continuazioni possibili del gioco interrotto, vedere in quante di esse vincerebbe l'uno e in quante l'altro e dividere la posta in quella proporzione.

Da quel carteggio nasce il calcolo delle probabilità e, con lui, qualcosa di più grande. Peter Bernstein, che a questa storia ha dedicato il suo libro più famoso, la mette giù così:

Il confine tra i tempi moderni e il passato è la padronanza del rischio.

Peter L. Bernstein, Against the Gods, 1996

Da due commi anonimi a tre sottopunti con il titolo ristrutturato

Il punto 6.1 — "Azioni per affrontare rischi e opportunità" — apre il capitolo 6 della norma, quello sulla pianificazione, e nel punto 6.1 della ISO 9001:2015 era costruito così: due sottopunti, 6.1.1 e 6.1.2, entrambi senza titolo. Il primo chiedeva di considerare i fattori del contesto (4.1) e i requisiti delle parti interessate (4.2) e di determinare i rischi e le opportunità da affrontare; il secondo chiedeva di pianificare le azioni per affrontare "questi rischi e opportunità", di integrarle nei processi del sistema di gestione per la qualità e di valutarne l'efficacia.

La nuova norma riorganizza tutto. I sottopunti diventano tre e, per la prima volta, hanno un titolo ciascuno: il 6.1.1 determina i rischi e le opportunità, il 6.1.2 si occupa delle azioni per affrontare i rischi, il 6.1.3 delle azioni per affrontare le opportunità. È la mossa strutturale più importante di questo punto e va guardata da vicino, perché i due nuovi sottopunti gemelli, 6.1.2 e 6.1.3, sono costruiti con una simmetria quasi perfetta: stessa frase di apertura (cambia solo la parola rischi/opportunità e il segno dell'effetto, indesiderato/desiderato), stesso obbligo di pianificare le azioni, stesso obbligo di integrarle nei processi e di valutarne l'efficacia, stessa clausola di proporzionalità.

Perché tanta cura nel separare ciò che per dieci anni è stato nella stessa frase? La risposta la dà l'allegato informativo della ISO 9001:2026 con una secchezza rara per un documento ISO: determinare e gestire i rischi e le opportunità sono processi separati e i rischi non sono opportunità. L'opportunità non è più un sottoprodotto dell'analisi dei rischi.

La scala dei tre verbi: determinare, analizzare e valutare nuovo

Dentro i due sottopunti gemelli c'è la seconda notizia, e sta in due verbi nuovi. La ISO 9001:2015 chiedeva di determinare i rischi e le opportunità, mentre la nuova ISO 9001 scrive:

L'organizzazione deve determinare, analizzare e valutare i rischi […]

ISO 9001:2026, punto 6.1.2

E lo stesso, specularmente, per le opportunità al punto 6.1.3. Da un verbo a tre, e i tre verbi non sono sinonimi messi in fila per solennità: sono una scala, e ogni gradino chiede qualcosa che il precedente non chiedeva. Determinare è fare l'elenco: individuare che cosa potrebbe deviare il sistema dai risultati attesi, o spingerlo oltre. Analizzare è aprire ogni voce dell'elenco: capirne le cause, la natura, le relazioni con le altre. Valutare è pesare e ordinare per decidere: quanto è probabile, quanto impatterebbe, quale viene prima, quale possiamo accettare così com'è. La norma del 2015 si fermava al primo gradino e infatti tanti registri dei rischi sono rimasti lì: dei semplici elenchi compilati per l'audit e aggiornati una volta l'anno. La scala dei tre verbi trasforma il registro da inventario a strumento di decisione che è esattamente ciò che Pascal e Fermat fecero con i futuri della partita interrotta: prima li elencarono, poi li analizzarono, poi li pesarono per dividere la posta.

Il riordino del 6.1.1 riposizionato

Il punto 6.1.1 conserva l'impianto: nel pianificare il sistema di gestione per la qualità, l'organizzazione considera i fattori del punto 4.1 e i requisiti del punto 4.2 e determina i rischi e le opportunità da affrontare per quattro finalità, elencate da a) a d). Le quattro finalità ci sono ancora tutte ma chi farà dei paragoni con la versione del 2015 scoprirà che tre lettere su quattro si sono mosse e una si è portata dietro una parola nuova.

a) fornire assicurazione che il sistema possa conseguire i risultati attesil'unica lettera che non si muove: l'ancora dell'elenco stabile
b) prevenire, o ridurre, gli effetti indesideratisale dalla terza alla seconda posizione: il pavimento prima del soffitto riposizionata
c) conseguire il miglioramento continuosale dall'ultima posizione e si porta dietro una parola nuova: "continuo" rafforzata
d) accrescere gli effetti desideratiscende dalla seconda all'ultima posizione e chiude l'elenco, al confine con il 6.1.3 riposizionata

Nella ISO 9001:2015 l'ordine era: assicurazione, accrescere gli effetti desiderati, prevenire quelli indesiderati, conseguire il miglioramento. Nella ISO 9001:2026 diventa: assicurazione, prevenire gli effetti indesiderati, conseguire il miglioramento continuo, accrescere gli effetti desiderati. Prima viene il pavimento, poi il soffitto: prima si impedisce al sistema di cadere (prevenire), poi lo si fa salire stabilmente (migliorare in modo continuo) e solo alla fine si insegue il di più (accrescere gli effetti desiderati).

E poi c'è la parola che fa la differenza: il miglioramento del 2015 diventa miglioramento continuo. Un aggettivo, ma con un mestiere preciso: aggancia esplicitamente la pianificazione del capitolo 6 al requisito del punto 10.1, dove il miglioramento continuo non è un'opzione ma un obbligo. La catena si salda: si pianificano rischi e opportunità per migliorare in modo continuo, e il miglioramento continuo si alimenta di ciò che la pianificazione ha determinato, analizzato e valutato.

La nota dell'interruzione nuovo

Il 6.1.2 porta con sé anche una novità più discreta, infilata in una nota. Tra i rischi da determinare, dice la ISO 9001.2026, possono rientrare quelli legati alla capacità di fornire prodotti e servizi conformi durante e dopo un'interruzione. Precisiamo subito il peso normativo, perché è importante: è una nota, non un requisito. Le note, nella grammatica ISO, sono una guida per comprendere o chiarire, non aggiungono obblighi; nessun auditor potrà chiedere conto di un "piano di disruption" citando il punto 6.1.2. Ma le note dicono dove guarda il comitato tecnico, e questa dice che il comitato, dopo una pandemia e una stagione di catene di fornitura saltate, vuole che il rischio smetta di essere pensato solo come il difetto, il reclamo, lo scostamento dal pianificato, e cominci a includere lo scenario in cui il pianificato si ferma del tutto. Non a caso la stessa parola, interruzione, rientra anche al punto 8.2.1 della nuova norma, tra le informazioni da scambiare con il cliente: le azioni di emergenza quando la fornitura si interrompe.

Il 6.1.3 e la mente preparata

Resta il sottopunto più nuovo di tutti, il 6.1.3, e per leggerlo bene serve un'altra scena: 7 dicembre 1854, Louis Pasteur inaugura la nuova facoltà di scienze e, parlando agli studenti delle grandi scoperte fatte "per caso", pronuncia la frase che lo accompagnerà per tutta la vita:

Nei campi dell'osservazione il caso favorisce soltanto le menti preparate.

Louis Pasteur, discorso di Lilla, 7 dicembre 1854

Le opportunità funzionano così, ed è la ragione profonda per cui il 6.1.3 esiste: non si trovano, si vedono e si vedono solo se l'occhio è stato allenato a vederle. Tradotto: tenere un processo che prepara la mente a chiedersi che cosa nel contesto, nei requisiti delle parti interessate, nei segnali deboli del mercato costituisca un'occasione e che cosa servirebbe per coglierla. È quello che la norma, nell'introduzione e nell'allegato, chiama opportunity-based thinking, un'espressione che avevamo già incontrato analizzando i capitoli introduttivi della ISO 9001:2026, dove affianca per la prima volta, alla pari, il risk-based thinking.

Dentro la simmetria perfetta dei due sottopunti gemelli, però, c'è un'asimmetria: la clausola di proporzionalità del 6.1.2 ricalca quella del 2015 che spiegava che le azioni sui rischi dovevano essere proporzionate all'impatto potenziale sulla conformità di prodotti e servizi. Quella del 6.1.3 aggiunge un metro: le azioni sulle opportunità devono essere proporzionate all'impatto potenziale sulla soddisfazione del cliente e sulla conformità. È la prima volta che la soddisfazione del cliente entra come unità di misura nella pianificazione del capitolo 6, e il fatto che entri solo sul lato delle opportunità disegna una filosofia: la difesa protegge il pavimento (la conformità, il minimo promesso) mentre l'opportunità alza il soffitto e il soffitto si misura in soddisfazione, non in assenza di difetti. Chi deve giustificare un investimento su un'opportunità ha qui il suo criterio normativo: quanto sposta la soddisfazione di chi ci paga.

Anche la nota esemplificativa sulle opportunità è stata riscritta: sono rimasti l'adozione di nuove prassi, il lancio di nuovi prodotti, la creazione di partnership, l'utilizzo di nuove tecnologie; è arrivata l'attuazione di iniziative. Sono spariti l'apertura di nuovi mercati e l'indirizzarsi a nuovi clienti e, soprattutto, è cambiata la formula finale: la ISO 9001:2015 chiudeva su possibilità desiderabili e praticabili per affrontare "le esigenze dell'organizzazione o dei relativi clienti"; la ISO 9001:2026 chiude su azioni per affrontare le esigenze e aspettative attuali e in evoluzione dei clienti e delle altre parti interessate rilevanti. L'organizzazione sparisce dall'elenco dei beneficiari (l'opportunità non si giustifica più con il proprio tornaconto ma con il valore per chi sta fuori) e e le esigenze diventano "in evoluzione", a ricordare che l'opportunità ha una data di scadenza: ciò che il cliente desidera oggi, domani lo pretende e dopodomani lo trova altrove. L'allegato aggiunge che anche l'opportunità porta con sé un rischio, e va determinato pure quello.

Da dove viene tutto questo: la ISO 9004:2018 e i future concepts

Anche per il punto 6.1, le scelte della nuova norma arrivano in fondo a un percorso che passa dalla ISO 9004:2018 e dai future concepts del comitato tecnico ISO/TC 176. Ricostruiamolo.

Il punto di partenza è la ISO 9001:2015, di cui abbiamo già richiamato l'impianto: la determinazione di rischi e opportunità a partire dal contesto e dalle parti interessate, la pianificazione delle azioni e della loro integrazione nei processi, la proporzionalità rispetto all'impatto sulla conformità, e il risk-based thinking come concetto portante, già implicito nelle edizioni precedenti attraverso le azioni preventive, e reso esplicito nel 2015 come strumento per mettere in atto controlli preventivi che minimizzino gli effetti negativi e massimizzino le opportunità.

La ISO 9004:2018 amplia questi concetti in un'ottica di successo durevole dell'organizzazione. Sul fronte del contesto e della strategia, chiede al vertice di monitorare, analizzare, valutare e riesaminare regolarmente il contesto per identificare le parti interessate e determinarne i potenziali impatti, e di determinare i rischi e le opportunità sia a breve sia a lungo termine. Sul fronte delle parti interessate, invita a identificare quelle che rappresentano un rischio se le loro esigenze non sono soddisfatte e quelle che possono offrire opportunità per accrescere il successo duraturo. Ne discendono implicazioni gestionali precise: valutare quali fattori esterni e interni possano comportare rischi od opportunità per un successo in grado di durare, decidere quali affrontare e avviare i processi necessari e un collegamento esplicito tra la valutazione dei rischi e delle opportunità e l'innovazione. Si noti la sequenza di verbi della 9004: monitorare, analizzare, valutare, riesaminare. La scala dei tre verbi che la ISO 9001:2026 porta nel punto 6.1.2 e nel 6.1.3 viene da qui.

I future concepts che influenzano la pianificazione dei rischi e delle opportunità sono almeno tre. La gestione del cambiamento: il cambiamento, pianificato o non pianificato, è continuo e può avere conseguenze inattese, e gestirlo significa mitigare l'impatto delle "forze frenanti" e sfruttare le opportunità che il cambiamento stesso apre — dal risparmio di risorse all'adattamento di identità e strategia. Le tecnologie emergenti: l'intelligenza artificiale, la blockchain, l'IoT portano enormi opportunità di trasformazione digitale e miglioramento dei processi, ma introducono anche nuovi rischi (perdita di dati, cyber security) che devono essere gestiti. E la gestione della conoscenza: la conoscenza, interna e acquisita, è essenziale per il successo sostenibile, e gestirla aiuta a mitigare il rischio di perdita di know-how dovuto all'avvicendamento del personale e a cogliere le opportunità di crescita e di vantaggio competitivo, un principio che la ISO 9001:2026 rafforza al 7.1.6, dove chiede di considerare come acquisire o accedere a conoscenze aggiuntive in caso di cambiamenti.

Nel punto 6.1 della ISO 9001:2026 possiamo vedere che cosa, di questo percorso, è stato recepito. Sono rimasti intatti i pilastri della versione del 2015: l'obbligo di considerare i fattori del contesto e i requisiti delle parti interessate nella pianificazione, l'obbligo di determinare rischi e opportunità per garantire i risultati attesi del sistema e il miglioramento, il requisito di pianificare le azioni, integrarle nei processi e valutarne l'efficacia, la proporzionalità delle azioni. Dalla ISO 9004:2018 arrivano l'inclusione esplicita di determinare, analizzare e valutare i rischi e le opportunità, con l'approccio più strategico e di valutazione delle prestazioni promosso dalla linea guida; la forte enfasi sull'obiettivo di accrescere la soddisfazione del cliente nel contesto delle opportunità, che riflette la focalizzazione della 9004 sul successo durevole; e la formalizzazione dell'opportunity-based thinking come orientamento proattivo all'opportunità. Dai future concepts arrivano l'attenzione ai rischi legati alla capacità di fornire prodotti conformi durante e dopo un'interruzione (che la nuova norma, come abbiamo visto, colloca in una nota) recependo l'importanza della gestione del cambiamento e della resilienza organizzativa, e la considerazione del cambiamento climatico come potenziale fattore rilevante: non è una richiesta del punto 6.1, ma il sistema qualità deve determinare al 4.1 se il clima sia un fattore rilevante del contesto, e questo influenza direttamente la pianificazione (anche alla luce dei concetti futuri su etica e integrità e tecnologie emergenti).

E c'è infine ciò che la ISO 9001.2026 ha scelto di non recepire come requisito stringente del 6.1, ed è istruttivo quanto il resto. Niente metodi formali di risk management né processo documentato di gestione del rischio: la flessibilità del 2015 resta intatta. Niente etica e integrità come input di pianificazione separati: i concetti di cultura della qualità e comportamento etico sono entrati esplicitamente al 5.1.1 e al 7.3 (ne abbiamo parlato nella radiografia del punto 5.1) ma il 6.1 resta concentrato sull'interazione tra contesto, parti interessate e sistema di gestione. E niente tassonomia dettagliata del cambiamento (adattamento, ricostruzione, evoluzione, rivoluzione) discussa nel future concept della gestione del cambiamento.

In sintesi: il paragrafo 6.1 della ISO 9001:2026 si evolve in maniera significativa rispetto alla versione del 2015, integrando concetti chiave dalla ISO 9004:2018 e dai future concepts. L'enfasi su determinare, analizzare e valutare, la separazione architettonica tra rischi e opportunità con la formalizzazione dell'opportunity-based thinking, l'attenzione alle interruzioni e al cambiamento climatico e l'ingresso della soddisfazione del cliente tra i metri della pianificazione dimostrano un approccio più maturo e strategico, quello che la 9004 predicava da anni alle organizzazioni che volevano andare oltre i requisiti e che ora comincia a entrare nei requisiti stessi.

Come si verifica, in pratica

Trasformiamo questa analisi in strumenti, per chi i rischi e le opportunità deve pianificarli o verificarli.

Il primo è il test della simmetria, per la nuova architettura: aprite il vostro registro e contate le righe. Quaranta rischi e due opportunità non sono una fotografia del vostro contesto. Con il 6.1.3 promosso a sottopunto autonomo, un registro strutturalmente sbilanciato è un requisito scoperto e la domanda d'audit che prima non esisteva ("mi mostri come determinate, analizzate e valutate le opportunità") ora ha un numero di paragrafo tutto suo.

Il secondo è il test della scala, per i tre verbi: prendete cinque voci a caso del registro e chiedetevi, per ciascuna, se è stata solo determinata o anche analizzata e valutata. L'analisi lascia tracce (cause, relazioni, scenari); la valutazione pure (un peso, una priorità, una decisione: trattare, accettare, condividere). Se le tracce non ci sono, avete un inventario, non una pianificazione e si tratta del primo gradino di una scala da tre.

Il terzo è il test dell'interruzione, per la nota sulla disruption: scegliete il vostro processo più critico e fermatelo, sulla carta, per quattro settimane. Quali impegni verso i clienti restano in piedi, con quali alternative, a quale costo? Se la risposta è "non lo sappiamo", la nota del 6.1.2 vi ha appena indicato il primo rischio da mettere a registro.

✅ I tre test del 6.1, in breve

Test della simmetria: quante righe di opportunità ci sono nel registro, accanto a quelle dei rischi?

Test della scala: ogni voce è stata determinata, analizzata e valutata o solo elencata?

Test dell'interruzione: se il processo critico si ferma quattro settimane, quali impegni restano in piedi?

Lo specchio

E ora la parte scomoda, come da tradizione di questa serie.

Abbiamo detto che un registro con quaranta rischi e due opportunità fotografa uno sguardo, non un contesto. Ma di chi è quello sguardo? Di noi che i sistemi li progettiamo, li gestiamo e li verifichiamo. La sproporzione che il 6.1.3 viene a correggere non l'ha scritta la norma e non l'ha scritta il mercato: l'abbiamo scritta noi, una riga alla volta, per anni. E per ragioni che ci conviene guardare in faccia, perché sono due, e nessuna delle due è tecnica.

La prima è che il rischio ci assolve e l'opportunità ci espone. Segnalare un rischio che poi non si avvera si chiama prudenza, e nessuno è mai stato rimproverato per un rischio di troppo a registro. Proporre un'opportunità che poi fallisce si chiama errore, e ha un nome e un cognome accanto. Tra un gesto che non costa mai niente e uno che può costare caro, abbiamo scelto per anni il primo.

⚠️ L'asimmetria che la norma non può correggere

Il rischio segnalato che non si avvera si chiama prudenza; l'opportunità proposta che fallisce si chiama errore e ha un nome accanto. Finché in azienda vale questa contabilità, nessun sottopunto 6.1.3 riempirà la colonna delle opportunità.

La seconda ragione è quella di Pasteur, rovesciata. Il caso favorisce le menti preparate ma le nostre menti, noi, le abbiamo preparate per dieci anni a una cosa sola. FMEA, analisi delle non conformità, azioni correttive, audit: tutta la nostra cassetta degli attrezzi allena l'occhio a vedere ciò che può andare male. E l'occhio allenato vede: rischi ovunque, opportunità da nessuna parte. Non perché non ci siano, ma perché nessuno ci ha mai chiesto di prepararci a vederle. La mente preparata di Pasteur funziona in entrambe le direzioni: vede ciò per cui si è preparata, ed è cieca al resto.

Tutti gli articoli sulla ISO 9001