salta al contenuto

Il pensiero basato sul rischio nella ISO 9001:2015

Approfondiamo il discorso sul risk based thinking nella norma sulla qualità

Una mano con una penna mentre scrive su un foglio
Aggiornato il 23 novembre 2025

di

Approccio per processi e pensiero basato sul rischio

Il concetto di approccio per processi che troviamo nella ISO 9001:2015 incorpora il pensiero basato sul rischio che si assicura che, nel momento in cui si progetta, si implementa e si mantiene nel tempo un sistema di gestione della qualità, si prendano in considerazione i rischi.

La stessa cosa, ovviamente, vale anche per qualsiasi processo e per qualsiasi attività del sistema.

Gestione dei rischi e azioni preventive

Come sappiamo, nella ISO 9001:2015 non è più previsto il concetto di azione preventiva perché agire come uno strumento preventivo è uno degli scopi del sistema qualità che deve prevenire eventuali rischi.

Di rischi, del resto, si parla in diversi punti dello standard, a partire dalla determinazione dei rischi nel punto 4.4 "Sistemi di gestione per la qualità e relativi processi", alle questioni riferite alla leadership del punto 5.1 "Leadership e impegno", fino al punto 6.1 "Azioni per affrontare rischi e opportunità", all'8.1 "Pianificazione e controllo operativi" e al 9.3 "Riesame di direzione".

Nessun risk management

In ogni caso possiamo vedere che, se c'è un'enfasi sulla necessità di identificare i rischi e di agire di conseguenza, in nessun punto della ISO 9001 viene mai richiesto di effettuare un vero e proprio risk management. Quello su cui si punta è, semplicemente, evitare la "sindrome della rana bollita" che si riferisce alla famosa storiella della rana messa in una pentola di acqua fredda e poi portata lentamente a bollore per fare in modo che non si accorgesse di essere in pericolo, fino a quando non diventa troppo tardi per saltare fuori dall'acqua.

Il rischio non è altro che il livello di esposizione a una situazione incerta che un'organizzazione deve comprendere e gestire in maniera efficace per evitare che un imprevisto possa impedire alla strategia che ha elaborato di farle raggiungere gli obiettivi.

Cos'è l'incertezza?

Ma cosa si intende esattamente per incertezza? Ricordate la storia dell'elefante e dei ciechi?

Le persone possono avere un'idea molto diversa sulle cose ed è per questo che è importante avere un metodo approvato e accettato da tutti che porti un'organizzaizone a fare dei ragionamenti validi e oggettivi.

Cosa dovrebbe comprendere un processo di gestione dei rischi

Un processo di gestione dei rischi dovrebbe comprendere:

  • l'identificazione dei rischi - pensate a tutti i possibili rischi che potrebbero avere effetti sulla capacità della vostra organizzazione di raggiungere gli obiettivi che si è posta e divideteli in categorie, differenziandoli. Ad esempio, ci saranno rischi strategici relativi alla pianificazione, alla crescita, ai nuovi mercati (o ai nuovi prodotti e servizi), alle fusioni tra aziende diverse, ecc. Ci saranno, poi, rischi legati all'operatività, cioè alla produzione, alla distribuzione, alla fornitura dei prodotti, ai problemi relativi all'ambiente, ecc. Altri rischi sono sicuramenti quelli legati alla sfera finanziaria, ad esempio al flusso di cassa, alle vendite e ai diversi contratti. Ancora abbiamo rischi legati al rispetto delle cogenze, ad eventuali incidenti sul lavoro, alla perdita dei dati, ecc.
  • la loro quantificazione - in questa fase bisogna capire qual è la probabilità che un rischio si verifichi e quale sarebbe il suo impatto sul lavoro. Pensiamo, ad esempio, ad eventuali impatti finanziari come i costi legati alla riparazione o alla sostituzione di un prodotto, all'aumento dei costi di lavorazione, ad eventuali penali da pagare, alla riduzione del margine ma anche alle questioni non direttamente finanziare come la perdita di credibilità, la pubblcità negativa, il morale basso dei lavoratori, ecc. Preparare una matrice die rischi vi aiuterà a dare un vero significato ad ognuno dei rischi individuati
  • l'ideazione delle apposite contromisure - le contromisure saranno commisurate al "peso" dei potenziali rischi. Sarà possibile decidere semplicemente di accettarli, oppure ridurli o eliminarli, gestendoli.
    Ad esempio, se le probabilità che si verifichi un rischio sono alte ma l'impatto si mantiene basso, si può gestire il rischio con la formazione, col monitoraggio e migliorando il processo. Quando, invece, probabilità e conseguenze sono alte (perdite finanziarie, danneggiamento della reputazione) è meglio intervenire con azioni strutturate come, ad esempio, un contingency plan che comprenda la gestione di un'eventuale crisi, la comunicazione con i clienti e con gli stakeholder, vie alternative per fornire e distribuire il prodotto, ecc.
  • l'implementazione di queste contromisure
  • il monitoraggio e il riesame continui del lavoro fatto

Perché individuare i rischi?

Ma perché utilizzare un approccio basato sull'individuazione dei rischi?

Potremmo rispondere semplicemente perché è il modo di pensare delle organizzazioni di successo, in quanto migliora la governance, stabilisce una cultura proattiva nei confronti del miglioramento, assicura che i prodotti e i servizi mantengano una qualità costante nel tempo e migliora la fiducia e la soddisfazione della clientela. Se ci pensate su per un attimo, in fondo, è probabile che applicaste già un pensiero basato sul rischio anche quando non lo richiedeva la norma perché, semplicemente, aumentava la vostra probabilità di raggiungere gli obiettivi.

Tutti gli articoli sulla ISO 9001
Tutti gli articoli sulla gestione dei rischi