Per utilizzare questa funzionalità di condivisione sui social network è necessario accettare i cookie della categoria 'Marketing'
Crea PDF

Valutazione dei rischi e risk based thinking

Valutazione dei rischi e risk based thinking

Il risk based thinking e la valutazione dei rischi dei processi secondo ISO 9001:2015: sono strumenti settoriali o hanno valore generale? Di Alessandro Mazzeranghi.

 
Con la pubblicazione della nuova edizione della ISO 9001, lo scorso anno, per la prima volta una norma di sistema di gestione, che non tratta di salute e sicurezza, ha introdotto al suo interno il concetto di valutazione dei rischi. Anzi, lo ha sistematizzato tanto da scegliere di parlare di risk based thinking; è una novità rilevante, e paradossalmente interessa anche chi, da tanti anni, ragiona in termini di valutazione dei rischi. Insomma, è una novità interessante.
 
Per capire meglio la questione probabilmente non basta la mera lettura della norma, per l’approccio estremamente sintetico adottato dalla stessa. È necessario uno sforzo immaginazione per capire come si potrà “interpretare” la questione nei prossimi anni, confidando in un approccio graduale dei nuovi contenuti della norma. Questo sforzo di immaginazione è proprio il contenuto di questo articolo.
 

Pubblicità
MegaItaliaMedia
 
La gestione di una azienda ( organizzazione) cosa deve considerare?
Noi tutti riteniamo che una azienda coincida con un business specifico, ovvero con una o più tipologie di prodotti che l’azienda vuole immettere sul mercato.
Potremmo dire quindi che una azienda nasce e vive per cogliere, cogliendo delle opportunità offertele dal mercato. Quindi la missione primaria della azienda è fare business (produrre utile) sfruttando le opportunità che le si presentano.
Questa è la base della visione capitalistica delle imprese. Ma è una visione che andava benissimo in altri tempi. Se non ci hanno pensato le aziende, ha provveduto la crisi iniziata nel 2007, a dimostrare che le aziende non possono basarsi solo sulla ricerca di opportunità, ma devono anche considerare i rischi a cui le azioni intraprese o progettate le espongono. La chiusura di tante aziende e la perdita di tanti posti di lavoro dimostrano chiaramente, alla fine (si spera) di questa disastrosa crisi, che i rischi a cui le aziende erano esposte non erano effettivamente noti. E stiamo vedendo che correre ai ripari dopo il disastro continua ancora oggi ad accumulare sofferenze sociali (in termini di perdita di posti di lavoro ritenuti “sicuri”) ed economiche (in termini di stagnazione della crescita del PIL).
 
Quindi se vogliamo parlare di lezioni che dovremmo avere imparato da quasi dieci anni di sofferenze, ci sono almeno due aspetti significativi:
-          Ogni azienda deve conoscere e gestire i rischi a cui è esposta
-          Ogni azienda deve identificare le relazioni reciproche di rischi che ha con l’esterno (contesto e parti interessate).
-           
La prima affermazione è più ovvia, specialmente per chi ha l’abitudine a valutare i rischi nell’ambito della salute e della sicurezza sul lavoro. Si tratta di effettuare una valutazione dei rischi più ampia, ovvero multidisciplinare, che consideri i possibili danni che l’azienda può subire qualora si verificassero eventi indesiderati e possibili (cioè che possono effettivamente accadere con una probabilità che naturalmente non è ancora nota, ma lo sarà a seguito della analisi).
In un contesto generale solido (quindi escludendo eventuali crisi generalizzate) immaginiamo una azienda che per il 70% fattura ad un solo cliente. È evidente che un cambio di strategia del cliente, o il ridimensionamento del cliente, o qualunque accidente spinga il cliente a comprare da altri, potrebbe essere fatale alla azienda. Che probabilità associamo all’evento indesiderato? E quali contromisure si devono, eventualmente, adottare se il rischio è elevato?
Stiamo proprio parlando di gravità (del danno alla azienda) e di probabilità che l’evento indesiderato si verifichi. Quindi dei concetti comunemente utilizzati nelle valutazioni dei rischi in materia di salute e sicurezza.
 
Veniamo alla seconda affermazione: il rischio per l’azienda non è solo legato al business, come nel caso sopra, o ad altri fattori ovvi come la tutela degli asset, la tutela del know how, la tutela della salute e sicurezza dei lavoratori (un infortunio rappresenta anche un rischio di danno per l’azienda, e non solo in virtù del D.lgs. 231/2001); esistono altri elementi che sono legati al contesto in cui l’azienda è inserita, contesto con il quale sono in essere rapporti che generano reciproche influenze (e rischi).
 
Faccio un esempio basato su fatti veri: un cantiere navale posizionato lungo la foce di un fiume è notoriamente esposto ad eventuali esondazioni. Fra l’altro la cosa è talmente conosciuta ed evidente che il piano di emergenza ne tiene debitamente conto. Anche sotto altri profili la questione sembra gestita, infatti esiste una assicurazione specifica per i danni materiali in caso di esondazione; inoltre nei contratti con i clienti sono esplicitamente escluse penali nel caso di ritardi di consegna o altri disservizi dovuti a calamità naturali, incluse le esondazioni. Cosa manca? Non sembra che sia stato tutto valutato? La risposta è negativa; mancano due cose fondamentali (ovvero non sono state valutate due conseguenze negative fra loro correlate): la insoddisfazione del cliente in caso di gravi ritardi derivanti da una esondazione (la prossima volta il cliente sceglierà un altro fornitore, e la questione sarà nota a tutto l’ambiente), e l’alterazione dei flussi di cassa per il corrispondente ritardo della fatturazione. Non sono cose da poco. E non basta la vaga percezione del rischio, deve essere quantificato (monetizzato) nei casi peggiori.
Quindi la distinzione fra un mero riconoscimento intuitivo dei possibili pericoli / rischi, e invece un risk assesment sistematico e completo, può comportare una differenziazione delle strategia di difesa della azienda e del business.
 
Attenzione: in certi settori questa non è una novità! Nel settore petrolifero (esplorazione e produzione), già da oltre dieci anni le principali compagnie tutelano le tempistiche di avviamento dei nuovi impianti chiedendo ai fornitori chiave garanzie sia su aspetti di salute, sicurezza e ambiente (a cui associano il rischio di sospensione della attività dei fornitori per il sequestro degli impianti), sia su aspetti legati al “disaster recovery”, ovvero alla capacità del fornitore di mantenere la produzione anche in caso di gravi disastri (dagli incendi ai terremoti, e per paesi diversi dal nostro, agli atti ostili da parte di soggetti terzi).
Concludendo queste poche considerazioni: il risbased thinking non solo è una necessità interna alla azienda, ma diventerà sempre di più una richiesta (e un requisito) del mercato.

Risk based thinking: siamo pronti?
Come si accennava, chi scrive si è trovato a lavorare su questi temi già dalla fine del secolo scorso, con fatica e con un approccio più qualitativo che semi oggettivo (come sottintende la norma); è sempre una questione di fortuna, si potrebbe dire. Quindi un po’ di esperienza maturata dovrebbe rendere facile la applicazione della ISO 9001:2015 così potrebbe sembrare. Invece anche chi ha avuto già esperienze sul tema della gestione aziendale basata (anche) sul rischio, e altrettanto chi viene da forti esperienze di valutazione dei rischi (tipicamente chi si è occupato di salute e sicurezza sul lavoro), trova difficoltà. In una parola sembra che nessuno sia veramente pronto a collegare tutti gli aspetti a cui fa riferimento la norma. Il rischio è quello di essere “più realisti del re”, cioè di esagerare presi da una ansia di completezza e dettaglio più formale che sostanziale.
 
In questo momento molti stanno lavorando sui metodi, e le proposte che possiamo conoscere sono molto varie, ma ancora piuttosto embrionali. Chi scrive a sua volta sta cercando di costruire un metodo, che vorrebbe presentare anche su queste pagine per proseguire la discussione che spera di avviare con questo articolino.
 
Alessandro Mazzeranghi
 
 


Creative Commons License Questo articolo è pubblicato sotto una Licenza Creative Commons.
 

I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.

Per visualizzare questo banner informativo è necessario accettare i cookie della categoria 'Marketing'

Pubblica un commento

Rispondi Autore: Carlo Parducci - likes: 0
28/06/2016 (09:48:38)
Le considerazioni di Mazzeranghi, frutto di lunga meditazione sul tema del "risk assessment", sono un raro distillato di buon senso che stimolato, per quelle organizzazioni un po' "garibaldine" e non lungimiranti, dalla ed. 2015 della ISO 9001, coincidono con la visione "olistica" dell'agire aziendale che fatica a trovare gli spazi che merita, non tanto nel management, quanto nella media imprenditoria. La promozione infatti del "pensiero laterale" al tema dei collegamenti fra contesto attuale (nei tempi e luoghi presenti)- attività aziendali-rischi connessi, ha, e l'esperienza a sostegno c'è, effetti di salvaguardia anche in casi di medio pericolo preconizzato e per il quale sono state prese le convenienti misure di contrasto preventivo.
Rispondi Autore: pietro ferrari - likes: 0
28/06/2016 (10:58:00)
Molto interessante (per le interne sinapsi, quindi, già tutt'altro che un "articolino").
Attenderò gli sviluppi.
cordialmente
Rispondi Autore: alessandro mazzeranghi - likes: 0
29/06/2016 (10:01:36)
devo rimarcare una questione per me assolutamente assurda e contraddittoria: anche alcune grandissime aziende che parlano da anni di risk management sono incorse in errori banali di sottovalutazione delle conseguenze, che francamente non mi aspettavo; la questione della "mancanza" di risk based thinking è più estesa di quello che credevo!
Rispondi Autore: Francesco B. - likes: 0
30/06/2016 (11:44:16)
Sono fondamentalmente d'accordo con l'articolo, mi sembrano però doverose alcune considerazioni.
In campo automobilistico il concetto di risk based thinking è già di fatto applicato. La ISO TS 16949, infatti, porta a gestire, per conseguire l'Obiettivo principe, cioè la soddisfazione delle parti interessate, tutti quegli elementi che in qualche modo potrebbere interferire, quindi anche gli aspetti ambientali e la sicurezza sul lavoro.
E' un esempio di tale approccio il WCM, nato in Toyota e applicato con notevole successo in ambito FCA-IVECO (parlo pr esperienza diretta).

Le tre norme sistemiche (9001, 14001 e, speriamo, 45001) vanno nella direzione di integrarsi in un'ottica di RISK MANAGEMENT, che, se ben applicata, porterà a mio parere ad una crescita epocale della cultura della qualità, ma anche dell'ambiente e della sicurezza. Infatti tutti gli aspetti del processo potranno essere integrati, superando così l'eterno (falso) confilitto tra la necessità di fare produzione, proteggere l'ambiente e la sicurezza dei lavoratori.

C'è però una grande incognita: il punto di vista delle parti sociali.
Mi riferisco in particolare alle OO.SS., che, dimostrando una grandissima miopia e una ancor più grande ignoranza, stanno contestando la 45001 con argomentazioni quanto mai pretestuose e prive di fondamento.
Mi sembra che la critica fondamentale sia che non viene garantito il rispetto della legge, quando proprio l'approccio "risk based thinking" porta necessariamente l'impresa a dover considerare il contesto, quindi anche l'"ambiente" giuridico nel quale opera. Si è ingenerato l'equivoco che "approccio per processo" significhi "centralità", quindi obiettivo, del processo e non che se non si parte dal processo non si arriva in nessuna parte.
Rispondi Autore: alessandro mazzeranghi - likes: 0
30/06/2016 (17:12:06)
Condivido il giudizio sulle parti sociali, e sulle OO.SS. in particolare (precisiamo che si parla di livello europeo, e non solo di italia) Io la vedo così: la presunta perdita di potere (non viene citata adeguatamente la consultazione) spinge a leggere le norme con spirito negativo, e quindi ad attaccarle su altri fronti assolutamente impropri. Questo francamente non mi mette in condizione di considerare peggio le norme, di quanto non siano effettivamente (io credo che la 18001:1999 non sia stata una meraviglia!). La ISO/DIS 45001 è un ottimo progetto, davvero utile e innovativo!
Rispondi Autore: matteo - likes: 0
13/07/2016 (12:14:56)
forse si dovrebbe partire dalla conformità normativa, non sempre scontata (nè per le parti sociali....nè per le parti datoriali)

Pubblica un commento

Banca Dati di PuntoSicuro


Altri articoli sullo stesso argomento:


Forum di PuntoSicuro Entra

FORUM di PuntoSicuro

Quesiti o discussioni? Proponili nel FORUM!