AUDIT ISO 9001:2015 - I REQUISITI
RELATIVI A RISCHI E OPPORTUNITA'
Come effettuare un audit secondo la ISO 9001:2015
che abbia per tema la gestione di rischi e opportunità?
Grandezza caratteri: piccoli | medi | grandi
Per poter svolgere in modo efficace un audit secondo la ISO 9001:2015 sui rischi, bisogna capire prima bene di cosa stiamo parlando.
Il rischio nella ISO 9000:2015 "Sistemi di gestione per la qualità - Fondamenti e vocabolario" è definito come "l'effetto dell'incertezza", uno scostamento, positivo o negativo, da ciò che ci si attenderebbe. Un rischio è, quindi, qualcosa per la quale non abbiamo informazioni relative all'evento, alla sua comprensione o alla conoscenza delle sue conseguenze o della loro probabilità. Se, invece, esaminiamo la definizione di rischio della ISO 31000:2009 "Risk management - Principles and guidelines", norma ritirata senza sostituzione, vediamo che è un po' più specifica perché si parla di effetto dell'incertezza sugli obiettivi. In particolare, la norma specifica che le organizzazioni di tutti i tipi e dimensioni devono affrontare fattori e influenze interni ed esterni che rendono incerto
se e quando raggiungeranno i loro obiettivi. L'effetto che questa incertezza ha sugli obiettivi di un'organizzazione
si chiama, appunto, “rischio”.
Nella ISO 9001:2015 rischi e opportunità vanno considerati nel loro insieme, come un'entità unica: ogni volta che nella norma si parla di "rischi", infatti, si parla anche di "opportunità". Una deviazione positiva rispetto alle attese, infatti, è un'opportunità.
All'interno della parte "normativa" dello standard ISO 9001:2015 le parole "rischi e opportunità" appaiono in sei punti, mentre le parole "risk-based thinking" appaiono solamente in uno.
- punto 4.4.1 "Sistema di gestione per la qualità e relativi processi" - "L'organizzazione deve determinare i processi necessari per il sistema di gestione per la qualità e la loro applicazione nell'ambito di tutta l'organizzazione e deve: (...) affrontare i rischi e le opportunità come determinati in conformità ai requisiti di cui al punto 6.1"
Relativamente a questo punto, l'auditor dovrà verificare che siano stati affrontati rischi e opportunità; - punto 5.1.1 "Leadership e impegno - Generalità" - "L'alta direzione deve dimostrare leadership e impegno nei riguardi del sistema di gestione per la qualità: (...) promuovendo l'utilizzo dell'approccio per processi e del risk-based thinking"
Andrà verificato se la direzione abbia promosso l'approccio basato sul rischio; - punto 5.1.2 "Focalizzazione sul cliente" - "L'alta direzione deve dimostrare leadership e impegno riguardo alla focalizzazione sul cliente, assicurando che: (...) siano determinati e affrontati i rischi e le opportunità che possono influenzare la confornità de prodotti e servizi e la capacità di accrescere la soddisfazione del cliente".
I rischi legati alla conformità di un prodotto o di un processo sono generici e possono essere davvero estesi. Nei loro confronti le organizzazioni possono avere un atteggiamento proattivo o un approccio analitico. Nel primo caso (approccio proattivo), le aziende progettano e implementano sistemi preventivi basati sulla gestione del rischio nella pianificazione dei progetti, nella progettazione dei prodotti, nella progettazione dei processi produttivi, durante la produzione e nella gestione della consegna dei prodotti. Nel secondo caso (approccio analitico), si analizzano i dati relativi alla mancata conformità dei prodotti e dei processi e si identificano i maggiori problemi. A questo punto, si azionano sistemi in grado di gestre i rischi e li si mette in funzione là dove possono dare i ritorni maggiori. Vi ricorda niente? Esatto! Si tratta dell'approccio FMEA.
Nella seconda parte del punto 5.1.2 si parla, invece, della gestione di rischi e opportunità relativamente alla soddisfazione dei clienti. Se ci si focalizza sulle esigenze delle parti interessate, la gestione dei rischi relativi a prodotti e processi migliorerà la loro soddisfazione; - punto 6.1 "Azioni per affrontare rischi e opportunità" - Tutto il punto, vedi punto 6.1 sulla norma ISO 9001:2015
L'auditor dovrà verificare se, durante la pianificazione del sistema qualità, l'organizzazione abbia determinato rischi e opportunità per assicurare che il sistema qualità raggiunga i risultati preventivati, possa ridurre gli effetti indesiderati e possa garantire il miglioramento; - punto 9.1.3 "Analisi e valutazione" - "L'organizzazione deve analizzare e valutare i dati e le informazioni appropriati che emergono dal monitoraggio e dalla misurazione. I risultati dell'analisi devono essere utilizzati per valutare: (...) l'efficacia delle azioni intraprese per affrontare i rischi e le opportunità (...)"
Andrà verificato se i risultati delle analisi fatte vengano o meno utilizzati per verificare l'efficacia delle azioni intraprese per gestire rischi e opportunità; - punto 9.3.2 "Input al riesame di direzione" - "Il riesame di direzione deve essere pianificato e condotto prendendo in considerazione: (...) l'efficacia delle azioni intraprese per affrontare i rischi e le opportunità (...)"
Verificare che il riesame del sistema qualità sia stato pianificato e si sia svolto tenendo conto dell'efficacia delle azioni intraprese per la gestione di rischi e opportunità; - punto 10.2.1 "Non conformità e azioni correttive" - "Quando si verifica una non conformità, comprese quelle che emergono dai reclami, l'organizzazione deve: (...) aggiornare, se necessario, i rischi e le opportunità determinati nel corso della pianificazione (...)"
Accertarsi che, nel caso sia avvenuta una non conformità, siano stai aggiornati, se necessario, i rischi e le opportunità
(L'articolo continua sotto al box in cui ti segnaliamo che alla collana di libri QualitiAmo si è aggiunto un nuovo titolo).
LA COLLANA DEI LIBRI DI QUALITIAMO -
"La nuova ISO 9001:2015 per riorganizzare, finalmente, l'azienda per processi" - Si aggiunge alla collana dei libri di QualitiAmo il primo testo che svela i segreti della futura norma.
Dalla teoria alla pratica: il secondo lavoro di Stefania Cordiani e Paolo Ruffatti spiega come migliorare la vostra organizzazione applicando la nuova norma attraverso i suggerimenti del loro primo libro
(Vai all'articolo che descrive il nuovo libro)"Organizzazione per processi e pensiero snello - Le PMI alla conquista del mercato" - Da una collaborazione nata sulle nostre pagine, un libro per far uscire le PMI dalla crisi.
L’ideatrice di QualitiAmo e una delle sue firme storiche spiegano come usare con efficacia la Qualità.
(Vai all'articolo che descrive il primo libro)
(Vuoi restare aggiornato gratuitamente sulla nuova ISO 9001:2015? Visita ogni giorno la pagina che ti abbiamo linkato.
In calce all'articolo riporteremo quotidianamente un aggiornamento sulla norma)
Per ciò che riguarda la parte informativa della ISO 9001:2015, quella in cui non sono presenti requisiti, i tre termini appaiono molto di più. Vediamo dove:
- punto 0.1 "Introduzione - Generalità" - "I benefici potenziali per un'organizzazione, derivanti dall'attuazione di un sistema di gestione per la qualità basato sulla presente norma internazionale sono (...) affrontare rischi e opportunità associati al suo contesto e ai suoi obiettivi (...)"
"La presente norma internazionale utilizza l'approccio per processi che incorpora il ciclo Plan-Do-Check-Act (PDCA) e il risk-based thinking" - punto 0.3.1 "Approccio per processi - Generalità" - "I punti di monitoraggio e di misurazione, che sono necessari per il controllo, sono specifici per ogni processo e variano a seconda dei rischi connessi"
- punto 0.3.2 "Ciclo Plan-Do-Check-Act" - "Plan - stabilire gli obiettivi del sistema e i suoi processi, e le risorse necessarie per fornire risultati in conformità ai requisiti del cliente e alle politiche dell'organizzazione, e identificare e affrontare i rischi e le opportunità"
- punto 0.3.3 "Risk-based thinking" - "Per essere conforme ai requisiti della presente norma internazionale, un'organizzazione ha l'esigenza di pianifiacre e attuare azioni che affrontino rischi e opportunità. Affrontare sia i rischi sia le opportunità costutuisce una base per accrescere l'efficacia del sistema di gestione per la qualità, conseguendo risultati migliori e prevenendo effetti negativi" (continua, vedi punto 0.3.3 sulla norma ISO 9001:2015)
- punto 0.4 "Relazione con altre norme di sistemi di gestione" - "La presente norma internazionale consente a un'organizzazione di utilizzare l'approccio per processi, associato al ciclo PDCA e al risk-based thinking, al fine di allineare o integrare il proprio sistema di gestione per la qualità con i requisiti di altre norme di sistemi di gestione."
- A.4 - "Risk-based thinking" - "La presente norma internazionale specifica requisiti che richiedono all'organizzazione di comprendere il proprio contesto e di determinare i rischi, come base per la pianificazione" Continua, vedi appendice A.4 sulla norma ISO 9001:2015
- A.5 - "Applicabilità" - "Tuttavia, un'organizzazione può riesaminare l'applicabilità dei requisiti in funzione della propria dimensione o complessità, del modello di gestione che adotta, della gamma delle proprie attività e della natura dei rischi e delle opportunità che essa incontra."
- A.8 "Controllo dei processi, prodotti e servizi forniti dall'esterno" - "L'organizzazione può applicare il risk-based thinking per determinare il tipo e l'estensione dei controlli appropriati a specifici fornitori esterni e ai processi prodotti e servizi forniti dall'esterno."
Un auditor deve prestare attenzione anche al fatto che di applicazione (fasi "Plan" e "Do" del ciclo PDCA) dei rischi e delle opportunità nella ISO 9001:2015 si parla in tre punti:
- punto 4.4 "Sistema di gestione per la qualità e relativi processi"
- punto 6.1 "Azioni per affrontare rischi e opportunità"
- punto 5.1.2 "Focalizzazione sul cliente"
Le fasi "Check" e "Act" del ciclo PDCA appaiono, invece, nei tre punti:
- punto 9.1.3 "Analisi e valutazione"
- punto 9.3.2 "Input al riesame di direzione"
- punto 10.2.1 "Non conformità e azioni correttive"
La ISO 9001:2015 suggerisce diverse alternative su come gestire i rischi come, ad esempio, evitarli totalmente, affrontarli perché potrebbero rivelarsi un'opportunità, eliminarli alla fonte, cambiarne la probabilità di accadimento o le ripercussioni, condividerli con altre parti interessate, gestirli con decisioni basate su informazioni documentate. La norma ci parla anche delle opportunità, spiegandoci che possono consistere nel seguire nuove pratiche, nell'apertura di nuovi mercati, nella gestione di nuovi clienti, nella costruzione di partnership, nell'uso di nuove tecnologie e nello sviluppo di nuovi modi di occuparsi delle necessità della clientela.
Per gestire rischi e opportunità servono piani che devono essere integrati nei processi del sistema qualità aziendale. I processi, quindi, durante un audit vanno valutati anche relativamente ai rischi e alla pianificazione del sistema qualità per raggiungere i risultati pianificati (la conformità del prodotto e del servizio, la soddisfazione del cliente, il miglioramento, il raggiungimento degli obiettivi).
L'auditor che si trovi a valutare come un'organizzazione abbia affrontato rischi e opportunità dovrà verificare, in sostanza che:
- il processo progettato e implementato per la gestione dei rischi e delle opportunità e per sostenere il pensiero basato sull'approccio ai rischi sia in grado di gestire a dovere rischi e opportunità che si relazionano con i processi del sistema qualità (punto 4.1), con la pianificazione (punto 6.1) e con i rischi legati a prodotti e processi (punto 5.2);
- l'organizzazione abbia identificato i rischi legati al processo che possono avere riflessi sulla pianificazione;
- l'organizzazione sia capace di gestire rischi e opportunità nelle aree che possono avere riflessi sulla conformità dei prodotti e dei servizi, incluso il raggiungimento della soddisfazione dei clienti (punto 5.1.2).
In particolare, per ciò che riguarda il punto 6.1, rischi e opportunità devono essere considerati insieme alle problematiche interne ed esterne identificate nel contesto e ai requisiti delle parti interessate per ciò che riguarda la loro influenza sul raggiungimento dei risultati attesi; - ci sia efficacia nell'individuazione di rischi e opportunità (9.1.3). Va verificata anche l'efficacia delle azioni associate con gli obiettivi o la necessità di pianificare un riesame della direzione (punto 9.3.2);
- rischi e opportunità vengano regolarmente aggiornati ogni volta che si verifi ca una non conformità (punto 10.2.1);
- le azioni intraprese siano efficaci (punto 9.1.3) sia che derivino da un processo (punto 4.4.1), dalla pianificazione (punto 6.1.2) o dalla conformità di prodotti e servizi o dalla soddisfazione del cliente (punto 5.1.2);
- all'atto del riesame della direzione venga valutata l'efficacia delle azioni intraprese di cui ai punti 6.1, 4.4.1 e 6.1.2;
- rischi e opportunità durante la fase di pianificazione siano stati aggiornati (punto 10.2.1)
Per ciò che riguarda, infine, il pensiero basato sul rischio che, come abbiamo accennato, viene citato una sola volta nella norma, il top management può utilizzare il metodo che preferisce per promuoverlo. Compito dell'auditor sarà di valutare l'efficacia di questo metodo.
PER SAPERNE DI PIU':
Tutti gli articoli sugli auditTutti gli articoli sulla ISO 9001