Risk based thinking: la fase completa
Leggi gli articoli precedenti:
Valutazione dei rischi e risk based thinking
Come applicare il risk based thinking (non solo ai reati ex Dlgs 231)
Seconda fase (alternativa “completa”): identificazione delle parti interessate e degli elementi di contesto tramite l’approccio per processi
Abbiamo già detto nel precedente articolo quanto sia importante la identificazione corretta e completa delle parti interessate e del contesto, dando un approccio estremamente semplificato per svolgere tale attività.
Vogliamo qui dare una versione più completa e rigorosa del metodo, che però risulta concettualmente più complessa. Diciamo che in realtà relativamente semplici chi scrive ritiene che l’approccio semplificato sia sufficiente.
Prima di procedere ripetiamo una definizione della sommatoria fra parti interessate e elementi di contesto che già abbiamo utilizzato nel precedente articolo:
l’insieme dei soggetti degli elementi che possono avere mutue influenze dalla e con la organizzazione sotto il profilo dei rischi (reciprocamente indotti)
Con la definizione appena riportata si cerca di superare la distinzione (principalmente accademica) fra parti interessate e elementi di contesto. Sia ben chiaro che è una definizione “inventata” da chi scrive nel tentativo di schiarirsi le idee (purtroppo c’è una diffusa abitudine di dare poche definizioni e non sempre leggibilissime, cosa che chi scrive capisce bene, ma che non facilita il lavoro).
Prima di procedere vorremmo rimandare ad una nota (e ben consolidata) metodologia di descrizione dei processi denominata basate su IDEF0, che utilizzeremo per le elaborazioni grafiche che seguiranno. Chi voglia trovare informazioni generali può cercarle su https://en.wikipedia.org/wiki/IDEF0 .
Nella figura viene proposta una tipica descrizione di un processo, ad altissimo livello, secondo la metodologia richiamata. Il processo avrà, necessariamente, degli INPUT, sarà svolto utilizzando una certa quantità e tipologia di RISORSE, dovrà sottostare a determinati VINCOLI, e ovviamente produrrà degli OUTPUT. Ognuno di questi elementi può provenire oppure influire dalle / sulle parti interessare o dagli / sugli elementi di contesto.
Perché dunque ragionare per processi (anzi, per processo come vedremo fra poco) se alla fine non facciamo che mere elencazioni, solo tramite un cammino più tortuoso? Perché queste mere elencazioni nascono da una maggiore auto coscienza.
Mi spiego meglio: il processo da cui dobbiamo partire è uno solo ed è la vera ragione di vita della organizzazione. Proviamo a fare un esempio, altrimenti ci perdiamo di nuovo in filosofia.
Una azienda di produzione di carta tissue (igienica, cucina, tovaglioli e fazzoletti) è formata da tre macro settori:
- Vendite
- Produzione
- Servizi di supporto
Fisicamente la azienda produce in sei fabbriche distribuite sul territorio nazionale italiano, francese, tedesco e inglese. Data l’incidenza del costo del trasporto del prodotto finito sul costo complessivo, ogni fabbrica serve una zona abbastanza circoscritta, adiacente alla fabbrica stessa, e per questo la struttura di vendita è stata adattata, già in passato, a questo modello. L’azienda punta principalmente sulla vendita di prodotti a marchio proprio; cerca di minimizzare la produzione a marchio del distributore. Ovviamente questa scelta (strategica, che è a monte di tutto), comporta che il livello di qualità dei prodotti debba essere elevato, e la visibilità dei marchi notevole.
Se vogliamo descrivere la azienda, nella sua totalità, in termini di processo, nel rettangolo “PROCESSO” della schematizzazione precedente potremmo scrivere:
produzione e vendita di carta tissue a marchio proprio destinata alle aree geografiche vicine agli stabilimenti produttivi
naturalmente la attività è soggetta ad un primo vincolo fondamentale, ovvero agli obiettivi economici di business e al livello di remunerazione atteso dai soci.
Questo e solo questo è il processo della azienda, all’interno del quale trovano posto dei “sotto – processi” (quelli che siamo abitualmente abituati a chiamare processi), che nella loro totalità sono parte e costituiscono il processo aziendale.
Allora possiamo tentare di sviluppare lo schema andando a vedere, per esempio, cosa “esce dalla azienda” (i diversi OUTPUT) e chi in qualche modo viene “coinvolto” da ciò che esce.
Limitandomi agli OUTPUT provo a popolare meglio lo schema precedentemente mostrato.
Naturalmente abbiamo fatto vedere solo alcuni OUTPUT e chi potrebbero essere le rispettive parti interessate e / o elementi di contesto influenzati. Per esempio siamo abituati a ragionare del rumore esterno principalmente con riferimento alla popolazione residenziale che lo subisce; ma mi è capitato di avere lamentele da un allevatore che aveva una stalla vicino a una fabbrica e lamentava che il rumore disturbava il sonno delle sue mucche. Vero o falso che sia, è legittimo e doveroso porsi la domanda per capire se la azienda per questo è esposta a qualche rischio.
Naturalmente questo tipo di ragionamenti possiamo farlo per l’intera azienda, e poi ripeterlo per le singole fabbriche che avranno diverse specificità sia per le parti interessate (rispetto al processo della singola fabbrica) che per il contesto. Sulla singola fabbrica per esempio avranno grande rilevanza le regole locali in materia di tutela ambientale, oppure la legislazione del Paese (dove si trova la fabbrica) in materia di sicurezza e salute sul lavoro. Questi, per esempio, sono elementi di contesto che, nella sostanza, si trasformano in vincoli.
Risk assesment dei processi
Dovremmo essere arrivati, secondo un metodo o l’altro, ad avere ben chiare due cose:
- I limiti della organizzazione (o della parte di organizzazione) a cui stiamo applicando il risk based thinking
- Le parti interessate e gli elementi di contesto che si correlano mutuamente con tale organizzazione sotto il profilo dei rischi
Raccolta delle informazioni per il risk assesment
Ora quindi saremmo arrivati a quel risk assesment “di dettaglio” che, tramite la puntuale identificazione e valutazione dei rischi, ci consentirà di definire le misure di prevenzione e/o controllo dei rischi medesimi.
Il problema non è il risk assesment, io credo, ma la identificazione dei processi e dei pericoli ad essi associati. Ho usato qui termini tipici delle valutazioni dei rischi così come fatte da chi si occupa di sicurezza e salute sul lavoro, della sicurezza di prodotto o di altri argomenti simili. L’approccio è ben noto, in generale, e quindi non dovrebbe essere difficile seguire forme di ragionamento già tracciate. Qui accanto un classico esempio di flusso del processo di risk assesment, su cui eviterei di tornare.
Ma prima di valutare, come accennavo, bisognerà capire cosa dobbiamo valutare, cioè arrivare ad una definizione dei processi da sottoporre al risk assesment.
Partiamo da un tentativo di razionalizzazione rispetto ai rischi che ci “interessano”, che potremmo suddividere in tre gruppi:
- Rischi che l’azienda produce e subisce direttamente, nei quali non sono coinvolti elementi esterni quali parti interessate o elementi di contesto. Li chiameremo “RISCHI INTERNI”.
Provo a fare qualche esempio:
- per un errore di manovra si danneggia un impianto, cosa che comporta la temporanea sospensione della produzione e un ingente costo di manutenzione straordinaria;
- un errore nelle specifiche di produzione comporta la produzione di scarto;
- la rottura di un serbatoio che provoca esalazioni pericolose in un’area dello stabilimento
- Rischi che l’azienda subisce dall’esterno, ovvero derivanti da situazioni connesse con parti interessate o elementi di contesto che provocherebbero un danno all’interno della azienda (persone, asset ecc.). Li chiameremo “RISCHI DALL’ESTERNO”.
Qualche esempio:
- la esondazione di un corso d’acqua che provoca l’allagamento dello stabilimento;
- un incidente rilevante in una azienda adiacente soggetta a direttiva Seveso, che costringe alla evacuazione dello stabilimento;
- un attacco terroristico che prende di mira l’azienda per il fatto che è una multinazionale americana;
- Rischi che l’azienda, con le sue attività (inclusi eventuali incidenti, o comunque eventi non voluti), induce all’esterno, ovvero danneggiando delle parti interessate o degli elementi di contesto. Li chiameremo “RISCHI VERSO L’ESTERNO”.
Qualche esempio:
- emissioni in atmosfera o nelle acque;
- emissione di rumore verso l’ambiente esterno;
- spedizione di rifiuti con errato codice CER
In modo molto poco etico si potrebbe dire che di tutte queste cose sarebbe necessario considerare solo quelle che possono comportare un danno per l’azienda (indipendentemente dal danno sociale generato all’esterno). Ometto di procedere con questo ragionamento richiamando, cinicamente, al danno di immagine che sempre è in agguato, specie per chi vende prodotti destinati ai consumatori.
Ora, catalogate le tipologie di rischio che ci interessa considerare, torniamo alla definizione dei processi da valutare. Chi scrive suggerisce di utilizzare una catalogazione, anche dei processi.
Esiste un macro-processo, di altissimo livello, di cui già abbiamo parlato al precedente paragrafo; il processo che racchiude la attività di business della azienda, e tutti i processi accessori necessari per svolgere tale business. Al di sotto esistono i processi principali che, solo in alcuni casi, si possono suddividere in sotto-processi. Infine, ancora a livello più basso, ci sono le attività. Procedendo dal basso verso l’alto possiamo dare le seguenti definizioni:
- ATTIVITÀ: insieme di azioni di responsabilità di un unico soggetto che deve garantirne individualmente, o con il supporto di altri, l’esecuzione. Una attività ha necessariamente uno o più INPUT, uno o più OUTPUT, un RESPONSABILE, e può essere soggetta a VINCOLI
- PROCESSO: insieme di ATTIVITÀ, normalmente svolte in successione, volte a conseguire un determinato OBIETTIVO
- SOTTO-PROCESSO: parte di un PROCESSO, costituita da ATTIVITA’, che viene scorporata quando rispetto ad un OBIETTIVO generale del PROCESSO, a sec onda dei casi si possono attivare alternativamente dei PROCESSI fra loro distinti (detti appunto SOTTO-PROCESSI
- MACRO-PROCESSO: processo generale di business della organizzazione che racchiude tutti i PROCESSI volti alla diretta realizzazione o accessori (inclusi i processi volti esclusivamente al controllo dei rischi)
Dopo questa serie di definizioni proviamo a capire come gestire la questione. Dopo avere bene identificato il MACRO-PROCESSO dobbiamo domandarci quali PROCESSI lo costituiscano al momento della effettuazione del risk assesment. La figura che segue cerca di illustrare la suddivisione del MACRO PROCESSO nell’insieme dei PROCESSI esistenti. Ovviamente l’elenco dei processi non è completo, sono molti molti di più anche in una organizzazione semplice. Ma già dall’esempio possiamo tentare di fare qualche considerazione:
- I processi non sono veramente indipendenti fra loro
- Alcuni processi sono indispensabili per il business (senza di quelli il business non sarebbe possibile) mentre altri potrebbero non esistere perché anche senza di essi il business potrebbe funzionare (ma con rischi elevatissimi)
Per cercare di dare evidenza di questo rimando alla figura con alcuni esempi tratti da essa:
- In una azienda industriale (come quella che ho in mente in questo esempio) senza un processo di vendite o senza un processo di produzione (quand’anche fosse terziarizzata) sarebbe evidentemente impossibile fare business
- Nella stessa azienda il processo di gestione della introduzione di nuovi impianti o infrastrutture potrebbe non essere definito e attivarsi “a vista” solo al momento della necessità (con gravi rischi di commettere errori estremamente onerosi anche solo economicamente)
- Nella stessa azienda il processo di valutazione dei rischi per la salute e la sicurezza dei lavoratori potrebbe essere completamente assente
Ovviamente al momento in cui eseguiamo la elencazione dei processi in essere ad un determinato momento temporale, alcuni di questi processi mirati fondamentalmente solo alla prevenzione dei rischi e non al business potrebbero essere assenti. Quindi attenzione a non lasciarci fuorviare!
Tornando un attimo alla questione delle interrelazioni fra i processi chi scrive ritiene che l’unica soluzione praticabile sia quella di creare una matrice di correlazione (ovviamente dopo avere “costruito” l’elenco dei processi) fra processi due a due. Prendendo ancora a riferimento i processi citati in figura possiamo utilizzare una tabella di correlazione come quella che segue, dove le X stanno ad indicare quali processi sono fra loro correlati. L’importanza di questa ricerca delle correlazioni riguarda una questione di coerenza nella indicazione delle misure di prevenzione e/o controllo dei rischi (che vedremo più avanti), importante sia in sede di prima definizione delle procedure che di aggiornamento delle stesse.
CORRELAZIONE FRA PROCESSI | APPROVVIGIONAMENTI | PRODUZIONE | VENDITE | NUOVI IMPIANTI / INFRASTRUTTURE | VALUTAZIONE DEI RISCHI PER LA SALUTE E LA SICUREZZA |
APPROVVIGIONAMENTI |
| X |
|
|
|
PRODUZIONE |
|
| X |
| X |
VENDITE |
|
|
|
| X |
NUOVI IMPIANTI / INFRASTRUTTURE |
|
|
|
| X |
VALUTAZIONE DEI RISCHI PER LA SALUTE E LA SICUREZZA |
|
|
|
|
|
A questo punto, una volta che abbiamo tutte le informazioni sui processi, quelli da analizzare e quelli “mancanti”, è necessario prendere in considerazione ogni singolo processo fondamentalmente eseguendo due analisi:
- La prima, ancora a livello di processo (nel suo insieme) è quella di verificare per quel processo quali parti interessate ed elementi di contesto (fra quelli già identificati) sono collegati a quello specifico processo. Diciamo che è una fase di contestualizzazione del processo. Dobbiamo anche considerare che un processo normalmente coinvolge una parte della organizzazione in forma attiva per essere attuato, ma può avere conseguenze anche su altre parti della organizzazione generando quelli che abbiamo voluto chiamare RISCHI INTERNI; quindi dobbiamo avere chiaro chi, all’interno della organizzazione, esegue il processo, ma anche chi ne subisce le conseguenze.
- La seconda è la scomposizione del processo in singole attività. Poiché anche ogni attività potrà essere descritta come un box che ha INPUT, OUTPUT , subisce dei VINCOLI e viene eseguita utilizzando degli STRUMENTI, il livello di dettaglio nelle definizione delle singole attività che costituiscono un processo può apparire assolutamente arbitrario. Invece esiste un criterio di separazione (minima separazione fra attività distinte) che ha un preciso significato funzionale: il criterio della singola responsabilità. Secondo questo criterio dobbiamo come minimo suddividere le attività sino a che ognuna di esse non ha un singolo responsabile; resta inteso che il responsabile può essere aiutato materialmente, o può consultarsi con altri soggetti su determinate scelte, ma è comunque il soggetto che ha l’ultima parola sulle scelte, e quindi sulla generazione degli OUTPUT nel rispetto dei VINCOLI.
Se il primo passaggio è qualcosa che abbiamo già visto, sebbene ad un livello più generale, il secondo merita qualche riflessione. In particolare il concetto di responsabilità è spesso sfumato, nella realtà del funzionamento delle organizzazioni. Se seguirete questo approccio per il risk assesment dei processi esistenti in una organizzazione, e andrete quindi a suddividere le attività per poi capire chi ne è responsabile, a domanda diretta avrete spesso risposte ambigue. È il primo ostacolo da superare.
Il risk assement propriamente detto
Una volta suddivise le attività che costituiscono il processo, assegnato ad ognuna un responsabile, si tratterà di capire se fra le attività sono comprese le azioni necessarie a prevenire o controllare i rischi, quindi in sostanza se i rischi caratteristici di quel processo sono “incontrollati”, oppure sono già sotto controllo.
Se vogliamo dare una sequenza logica alle varie azioni:
- Identificazione del processo
- Identificazione delle parti interessate e degli elementi di contesto
- Identificazione dei rischi del processo DALL’ESTERNO e VERSO L’ESTERNO
- Identificazione dei rischi del processo INTERNI
- Suddivisione del processo nelle attività che effettivamente lo costituiscono al momento attuale
- Verifica che esistano attività adeguate di prevenzione e controllo dei rischi (risk assesment della situazione attuale effettuato secondo la logica consueta per cui il rischio è il prodotto della gravità del possibile danno e della probabilità che tale danno si manifesti)
- Eventuale correzione del processo con l’aggiunta o la modifica di attività di prevenzione e controllo dei rischi
- Valutazione dei rischi residui del processo (difficilmente delle misure organizzativa, quindi normalmente affidate ad azioni umane, possono eliminare totalmente tutti i rischi)
L’unica questione un po’ spinosa in questo ragionamento è che i rischi possono appartenere a categorie molto diverse fra loro, e quindi la gravità dovrà essere misurata con metriche che in prima battuta sono non omogenee. Vediamo alcune categorie:
- Rischi per l’azienda derivanti da problemi sui temi della salute e della sicurezza per le persone
- Rischi per l’azienda dovuti a perdita temporanea o definitiva di asset
- Rischi per l’azienda dovuti alla vendita di prodotti difettosi
- …
Se però ci ragioniamo meglio forse troviamo una chiave di lettura economica in tutti i casi, considerando che determinate situazioni (per esempio la indisponibilità di un impianto derivante da un sequestro giudiziario o derivante da un grave guasto) sono alla fine riconducibili ad una perdita economica in termini di mancato guadagno, altre invece (come una grave perdita di immagine) portano ancora ad una perdita economica, ma in termini di valorizzazione della azienda (come dimostra la reazione della borsa al dieselgate VW). Quindi quando parliamo di rischi per una organizzazione, fra cui le aziende, dovremmo essere in grado di trasformare la gravità sempre in una metrica misurabile in euro (o nella valuta che preferite).
La “centralità” delle procedure nella prevenzione e nel controllo dei rischiVorrei aggiungere un paragrafetto sul tema delle procedure: i processi si sviluppano anche in assenza di procedure formalizzate (tante aziende che non adottano procedure formalizzate funzionano comunque piuttosto bene). È però un errore per due motivi:
- Il primo è squisitamente interno: se non esiste una formalizzazione di come si deve operare è facile che non ci sia omogeneità di comportamenti fra soggetti diversi, e le responsabilità restano fortemente ambigue. Questa è una questione di efficacia e di efficienza di funzionamento della organizzazione.
- Senza procedure formalizzate è impossibile dimostrare ad una parte terza (un giudice?) come l’azienda opera. Questa è una considerazione formale che può diventare sostanziale al momento in cui si verifica un evento indesiderato, per dimostrare la diligenza della azienda.
Chi odia le procedure ritenendole una forma di irrigidimen to del funzionamento delle organizzazioni, che porterebbe a extra costi e a rallentamenti significativi, evidentemente ha visto procedure fatte male, che non prevedono i necessari meccanismi di sicurezza per cui in casi eccezionali, e con le opportune autorizzazioni, si può omettere il rispetto di parti di procedure, a patto di tenerne traccia (per eventuali future contestazioni).
Conclusioni
Spero di essere riuscito a trasmettere un po’ delle considerazioni che ho fatto, e dell’esperienza maturata in materia di risk based thinking. La prima volta che ho sentito parlare di queste cose è stata a fine anni ’90 in Finmeccanica; l’approccio era parziale, si consideravano solo certi rischi, ma più o meno era questo. Poi nei primi anni di questo secolo ho osservato l’evoluzione di General Electric e delle grandi società petrolifere, poi ancora altri casi. Ci sono stati fallimenti clamorosi, citavo prima VW, ma anche BP non ha fatto una bella riuscita con la questione del Golfo del Messico. Se per questo anche il famosissimo e famigerato fallimento di Lehman Brothers si può ricondurre a una immensa sottovalutazione dei rischi (e anche a tanta, ma tanta incosciente presunzione di alcuni manager).
Come vedete dagli esempi i rischi possibili sono tanti e molto molto diversificati; quindi è davvero necessaria una indagine a 360°, sistematica e completa. E per fare un buon lavoro è necessario un metodo solido che non lasci indietro informazioni. Le semplificazioni sono necessarie, e ciò che è descritto in queste pagine è già una versione semplificata di ragionamenti molto più complessi ma decisamente troppo accademici. Ognuno poi sceglierà quale livello di dettaglio gli conviene adottare.
Alessandro Mazzeranghi
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.