L’analisi del Contesto e la gestione delle modifiche al sistema
Il primo paragrafo del capitolo 4 della ISO 9001:2015 è completamente nuovo come requisito rispetto alle edizioni precedenti della norma che rappresenta il modello per il Sistema di Gestione per la Qualità.
In effetti il concetto era presente nelle edizioni precedenti ma ora è chiaro ciò che deve fare un’organizzazione affinché siano analizzati i fattori esterni ed interni che possono avere un impatto sullo scopo e sulla sua strategia aziendale.
In sostanza, si tratta di un “invito” a riflettere attentamente per cogliere opportunità o ridurre il rischio che i vari fattori possono determinare sulla vita dell’impresa.
La direzione illuminata effettua l’analisi in modo appropriato e di conseguenza questo processo diventa una grande opportunità per migliorare il sistema e per ridurre i rischi per la propria organizzazione intesa come organismo che vive nel proprio “ecosistema”.
- 4 – contesto dell’organizzazione
- 4.1 – comprendere l’organizzazione e il suo contesto
- 4.2 – comprendere le necessità e le aspettative delle parti interessate
- 4.3 – determinare lo scopo del sistema di gestione
- 4.4 – determinare quali siano i processi relativi
QMS Structure ISO 9001:2015
Termini e definizioni
Definizioni tratte dalla ISO 9000:2015
Contesto dell’organizzazione: Combinazione di fattori interni ed esterni che possono avere influenza sull’approccio di un’organizzazione per sviluppare e conseguire i suoi obiettivi.
Rischio: Effetto dell’incertezza.
Nota 1: un effetto è uno scostamento da quanto atteso – positivo o negativo
Nota 2: l’incertezza è lo stato, anche parziale, di carenza di informazioni relative alla comprensione o conoscenza di un evento, delle sue conseguenze o della loro probabilità
Nota 3: il rischio è spesso caratterizzato dal riferimento a potenziali eventi e conseguenze o ad una loro combinazione
Nota 4: il rischio è frequentemente espresso in termini di combinazione delle conseguenze di un evento (compresi cambiamenti nelle circostanze) e della probabilità associata al suo verificarsi
Nota 5: il termine “Rischio” è a volte utilizzato quando ci sia la possibilità solo di conseguenze negative
Definizioni tratte dalla ISO 31000:2010
Gestione del Rischio: Attività coordinate per guidare e tenere sotto controllo una organizzazione con riferimento al rischio
Nota: per le altre definizioni utilizzate nel processo di gestione del rischio si veda il § 2 della ISO 31000:2010.
Il RISK-BASED THINKING
Il concetto del risk-based thinking (Pensiero basato sul rischio) considera il rischio parte integrante dei processi, del sistema di gestione e del modo di prendere decisioni. La gestione del rischio perciò non è indipendente e separata dai processi e dalle attività, ma diventa un modo per gestire i processi, le attività, l’organizzazione. Con il pensiero basato sul rischio la gestione delle situazioni indesiderate diventa proattiva e non rimane reattiva.
Il risk-based thinking dovrebbe essere integrato nella struttura e nei processi di governance dell’organizzazione e, allo scopo di gestire ogni rischio, dovrebbe far parte del nucleo dei processi strategici, tattici e operativi. Quando il rischio è effettivamente radicato nel pensiero dei manager e integrato nei processi, allora l’organizzazione può essere veramente sicura che gli obiettivi stabiliti saranno raggiunti. L’evidenza che il rischio sia stato interiorizzato e integrato con i processi si può avere anche osservando il linguaggio dei manager nelle riunioni, nelle interviste e nei report. Se i termini “rischio” e “incertezza” non sono usati, allora il concetto del rischio è poco penetrato nell’organizzazione e nei processi del sistema di gestione.
Nell’introduzione della norma ISO 9001:2015 come anche nell’appendice A4 è stata inserita una breve spiegazione del risk-based thinking e, a tal fine, suggerisce di prendere a riferimento la norma UNI ISO 31000:2010 per capire bene come applicarlo e, soprattutto, come trarne dei vantaggi.
Qualsiasi processo o attività svolta da una azienda dipende dal contesto in cui l’azienda opera e per questo qui di seguito vogliamo analizzarlo nel dettaglio e suggerire come comportarsi operativamente.
Le norme sui Sistemi di Gestione che si basano sull’High Level Structure, come la ISO 9001:2015, ISO 14001:2015 e ISO 45001:2018, richiedono (requisiti 4.1, 4.2 e 4.3) che l’organizzazione analizzi il suo contesto interno ed esterno e tutti i requisiti applicabili, allo scopo di capire e determinare i fattori rilevanti per il business che possano nascondere rischi e opportunità.
L’impostazione dell’applicazione del risk-based thinking è basata sull’impegno promosso dall’alta direzione (requisito 5.1.1 d) e deve essere gestito (requisito 6.1) in modo da affrontare i rischi e le opportunità riscontrati in precedenza.
Uno degli scopi principali di un sistema di gestione è di agire come strumento preventivo; di conseguenza, le norme sui sistemi di gestione non dispongono di un requisito specifico per le “azioni preventive”.
Il concetto dell’azione preventiva, come è stato detto in precedenza, è inglobato nell’approccio basato sul rischio che fa parte integrante del sistema di gestione.
Il pensiero basato sul rischio, dunque, è un approccio essenziale per un efficace sistema di gestione. Si tratta di una impostazione mentale che deve caratterizzare e impegnare tutti i soggetti coinvolti nell’organizzazione, a partire dall’alta direzione. Il pensiero basato sul rischio, infatti, parte dalla leadership dell’alta direzione e si rende concreto, insieme con l’approccio per processi, come impegno dell’alta direzione stessa.
In generale, i fattori di rischio e di opportunità sono impliciti nel sistema di gestione laddove è richiesta un’azione “idonea”, “adeguata” o “appropriata”.
Il pensiero basato sul rischio, dunque, per rendere il sistema di gestione efficace, dovrebbe essere concretizzato attraverso un approccio strutturato e dovrebbe essere integrato nella governance e nei processi.
Comprendere l’organizzazione ed il suo contesto
L’organizzazione deve determinare i fattori esterni e interni rilevanti per le sue finalità, che sono influenzate o influenzano la sua capacità di conseguire gli esiti attesi per il proprio sistema di gestione.
Il contesto esterno e interno è quello nel quale l’organizzazione opera e affronta le sfide.
I fattori di rischio e di opportunità potrebbero condurre a risultati positivi o negativi. I fattori che portano a risultati positivi sono dovuti alle combinazioni favorevoli di condizioni o di eventi che aiutano a soddisfare gli obiettivi. Quelli negativi invece sono dovuti a combinazioni sfavorevoli di condizioni o di eventi. In quest’ultimo caso si nascondono vulnerabilità e agenti portatori di minacce capaci di creare incidenti e di conseguenza rischi per la soddisfazione degli obiettivi e verso i risultati attesi.
Il contesto (esterno e interno) di un’organizzazione, a prescindere dalla sua dimensione (grande o piccola), dalle sue attività, dai suoi prodotti o dalla sua tipologia (a scopo di lucro o non), è soggetto a cambiamenti in modo continuo; di conseguenza, esso dovrebbe essere monitorato costantemente. Tale monitoraggio dovrebbe permettere di analizzare le questioni e le situazioni per identificare, valutare e gestire i rischi che possono incombere sulle parti interessate e sulle loro necessità e aspettative.
La valutazione del contesto esterno può includere, ma non è limitato a:
- l’ambiente sociale, culturale, politico, cogente, finanziario, economico, naturale e competitivo, a livello internazionale, nazionale e locale
- elementi determinanti e tendenze fondamentali che hanno un impatto sugli obiettivi dell’organizzazione
- relazioni con i portatori di interessi esterni, loro percezioni e valori
La valutazione del contesto interno può includere, ma non è limitato a:
- governance, struttura operativa, ruoli e responsabilità
- politiche, obiettivi e strategie in atto per il loro conseguimento
- capacità, intese in termini di risorse e conoscenza (es. capitale, tempo, persone, processi, sistemi e tecnologie)
- sistemi e flussi informativi, processi decisionali (sia formali che informali)
- relazioni con i portatori di interessi interni, loro percezioni e valori
- la cultura dell’organizzazione
- norme, linee guida e modelli adottati dall’organizzazione
- la forma e l’estensione delle relazioni contrattuali
La comprensione dell’organizzazione e del suo contesto è, come si vede nello schema, il primo punto della progettazione della struttura di riferimento.
Comprendere esigenze e aspettative delle parti interessate
Le necessità e aspettative degli stakeholder, nonché i requisiti per legge e regolamenti rilevanti per il sistema di gestione, possono contenere condizioni che l’organizzazione può trovarsi in difficoltà a soddisfarle.
Questo concetto è valido per tutti i requisiti, compreso quelli per legge e regolamenti.
Una conoscenza approfondita degli stakeholder e delle loro necessità, aspettative e requisiti è necessaria allo scopo di diminuire eventuali incertezze. Il pensiero basato sul rischio prende in considerazione esplicitamente le incertezze e la loro natura, individua le cause e le rimuove preventivamente con azioni commisurate ai rischi reali allo scopo di soddisfare le necessità, le aspettative e i requisiti.
Processo per la gestione dei rischi (ed opportunità)
Principi di gestione e modello
Il processo di gestione del rischio dovrebbe essere, secondo la norma UNI ISO 31000:2010:
- una parte integrante della gestione
- incorporato nella cultura e nella prassi dell’organizzazione
- adattato ai processi di business dell’organizzazione
Modello per la gestione del rischio
La gestione del rischio costituisce uno strumento per la definizione delle strategie di impresa ma anche strumento gestionale che deve essere incorporato nella cultura e nelle prassi dell’organizzazione.
Il modello per la gestione del rischio adottato si compone delle seguenti 4 fasi:
- Fase 1 – Identificazione dei rischi
- Fase 2 – Analisi dei rischi
- Fase 3 – Valutazione (ponderazione) del rischio
- Fase 4 – Trattamento del rischio
Identificazione dei rischi
Consiste nel selezionare ed evidenziare le fonti di rischio, gli eventi, le cause e i potenziali effetti degli avvenimenti che possono avere un impatto sui fattori critici di successo e sul raggiungimento degli obiettivi dell’organizzazione. L’obiettivo di tale fase è quello di generare un elenco completo dei rischi.
L’identificazione deve comprendere l’analisi degli effetti (conseguenze) di un evento inclusi gli effetti a cascata o cumulativi.
Le fonti da utilizzare per una corretta identificazione dei rischi sono:
- le precedenti esperienze
- la letteratura in materia
- lo stato della conoscenza (le informazioni valutate ed utilizzate per determinare i rischi devono essere attendibili, pertinenti ed aggiornate)
- coinvolgimento di persone con le necessarie conoscenze
Nella proposta Qualibus sono stati identificati i fattori collegati ai Fattori esterni, Fattori interni e le Parti interessate.
A titolo di esempio si evidenziano qui di seguito alcuni Fattori Esterni ed Interni:
ed alcune parti interessate:
Analisi dei rischi
L’analisi del rischio implica lo sviluppo di una conoscenza del rischio. Essa fornisce i dati in ingresso alla ponderazione del rischio e alle decisioni circa la necessità o meno di trattamento del rischio, nonché riguardo le strategie ed i metodi di trattamento più appropriati.
L’analisi del rischio può anche fornire dei dati in ingresso al processo decisionale, dove devono essere effettuate delle scelte e le opzioni disponibili comportano differenti tipi e livelli di rischio.
L’analisi del rischio implica considerazioni sulle cause e fonti di rischio, le loro conseguenze positive o negative, e la verosimiglianza del loro accadimento.
Il rischio è analizzato mediante la determinazione delle conseguenze e la relativa verosimiglianza e altri attributi del rischio. Un evento può avere molteplici conseguenze e può avere influenza su più obiettivi. I controlli esistenti (misure in atto) e la loro efficacia ed efficienza dovrebbero anch’essi essere presi in considerazione.
Ponderazione del rischio/opportunità (Rilevanza residua)
L’obiettivo della ponderazione del rischio è di agevolare, sulla base degli esiti dell’analisi del rischio, i processi decisionali riguardo a quali rischi necessitano un trattamento e le relative priorità di attuazione.
La ponderazione del rischio implica il confronto tra il livello di rischio trovato durante il processo di analisi ed i criteri di rischio stabiliti durante l’esame del contesto. La necessità di trattamento può essere considerata sulla base di questo confronto.
Le decisioni dovrebbero tenere conto del più ampio contesto riguardante il rischio e comprendere la considerazione della tolleranza dei rischi sopportata dalle parti, diverse dall’organizzazione, che possono trarre benefici dal rischio. Le decisioni dovrebbero essere prese nel rispetto dei requisiti cogenti e di altro tipo.
In alcune circostanze, la ponderazione del rischio può portare ad una decisione d’intraprendere ulteriori analisi. La ponderazione del rischio può anche portare ad una decisione di non sottoporre ad ulteriore trattamento il rischio, ma limitarsi a mantenere attivi i controlli esistenti (misure in atto). Questa decisione è influenzata dalla propensione al rischio dell’organizzazione e dai criteri di rischio stabiliti.
La ponderazione del rischio/opportunità è effettuata quindi considerando le misure in atto (Rilevanza residua).
Può essere effettuata in modi diversi.
Con Qualibus si utilizza il metodo più semplice che consente di assegnare la rilevanza residua di un rischio/opportunità per ciascun fattore analizzato, scegliendo uno dei seguenti valori:
Trattamento
In funzione della rilevanza residua deve essere deciso il tipo di azione da avviare che può essere ad esempio:
- Azione Correttiva
- Obiettivo Personale
- Obiettivo Aziendale / Modifica al Sistema
- Mantenere le misure in atto
- Altro tipo di azione
- Nessuna azione.
Di seguito uno schema per definire le azioni da avviare in funzione della rilevanza residua:
Per ogni azione avviata devono essere definiti:
- obiettivo da conseguire
- risorse assegnate, compiti e responsabilità
- disposizioni, esecutori e tempi di attuazione.
Le azioni stabilite sono costantemente monitorate in merito a tempi di attuazione ed efficacia dei risultati attesi.
Il trattamento del rischio implica la selezione di una o più opzioni per modificare i rischi e l’attuazione di tali opzioni. Una volta attuati, i trattamenti forniscono o modificano i controlli.
Le opzioni di trattamento del rischio non sono necessariamente incompatibili tra loro o adatte a tutte le circostanze. Le opzioni possono comprendere quanto segue:
- evitare il rischio decidendo di non avviare o continuare l’attività che comporta l’insorgere del rischio
- assumere o aumentare il rischio al fine di perseguire una opportunità
- rimuovere la fonte di rischio
- modificare la probabilità
- modificare le conseguenze
- condividere il rischio con altra parte o parti (compresi contratti o controllo finanziario del rischio)
- ritenere il rischio accettabile con una decisione informata.
Pianificazione delle modifiche al sistema
Come indicato al § precedente, un tipo di azione può riguardare anche una modifica al sistema e di norma è di grande portata.
Quando l’Organizzazione determina l’esigenza di modifiche al sistema di gestione, queste devono essere effettuate in modo pianificato.
L’Organizzazione deve considerare:
a) le finalità delle modifiche e le loro potenziali conseguenze
b) l’integrità del sistema di gestione per la qualità
c) la disponibilità di risorse
d) l’allocazione o la riallocazione delle responsabilità e autorità.
Conclusioni
Qualibus offre alla Direzione pieno supporto nell’analisi del Contesto e nella gestione del trattamento dei rischi ed opportunità, in modo da garantire che il miglioramento auspicato avvenga in modo controllato.
La Direzione deve essere coinvolta e supportata, ricorrendo quando necessario anche a risorse esterne, nella individuazione, analisi e sviluppo delle azioni di miglioramento, in particolare quelle che determinano la modifica del sistema affinché avvengano in modo pianificato e si considerino: finalità, potenziali conseguenze, integrità del sistema, le risorse, responsabilità e autorità.