Per utilizzare questa funzionalità di condivisione sui social network è necessario accettare i cookie della categoria 'Marketing'
Crea PDF

Come applicare il risk based thinking (non solo ai reati ex Dlgs 231)

Come applicare il risk based thinking (non solo ai reati ex Dlgs 231)

Un metodo pratico per valutare i rischi con il metodo risk based thinking: definizione della organizzazione e elencazione delle parti interessate e degli elementi di contesto. Di Alessandro Mazzeranghi.



Il modello di miglioramento continuo impostato dalle norme per i sistemi di gestione, il miglioramento continuo secondo il ciclo di Deming, si caratterizza come un procedimento ex post. Così come è ex post la gestione delle non conformità. In altri termini fino a che un fenomeno non si manifesta, non viene preso in considerazione (questa affermazione è eccessiva ma non è sbagliata concettualmente).

Il risk based thinking è invece un approccio ex ante, ovvero si impegna a ricercare i possibili problemi ancor prima che un evento li renda manifesti.

Come detto in un precedente articolo pochi sono abituati a ragionare in questo modo; è una semplice questione di esperienza, solo chi si è attivamente occupato di valutazione dei rischi in materia di salute e sicurezza (del lavoro o dei prodotti), e di altri argomenti simili, ha dimestichezza con questo approccio. Sebbene la stima delle conseguenze delle nostre azioni sia connaturata con il funzionamento della mente umana sin dalla preistoria. Però (questo è un passaggio importante) tale funzione viene esercitata più a livello istintivo che attraverso un procedimento razionale, quindi si tratta di una funzione difficile da formalizzare e oggettivare.

 

Pubblicità
MegaItaliaMedia

Ora finalmente alcune norme, a partire dalla ISO 9001:2015, cercano di mettere questo tipo di ragionamento al centro della gestione del business, insieme al suo speculare: la valutazione delle opportunità.

La mente imprenditoriale, in ogni sua forma, cerca le opportunità; nel modello capitalista cerca le opportunità di guadagno economico, ma in qualunque contesto cerca comunque l’opportunità di massimizzare i risultati desiderabili. Una onlus cercherà le opportunità di massimizzare il risultato per cui è nata (costruire asili per i bambini dei paesi dell’Africa centrale), ma si tratta sempre dello stesso iter di ragionamento. La mente imprenditoriale, invece, non cerca i rischi associati alle azioni che servono a sfruttare le opportunità; forse uno psicologo la considererebbe una naturale forma di autodifesa, comunque il meccanismo è chiaro. Se ci si concentra troppo sui rischi, si potrebbe scegliere di non fare niente; quindi l’imprenditore deve essere un po’ avventato e un po’ ingenuo, riguardo ai rischi.

Oggi si parla di start up quasi di continuo. La start up rischia un capitale e una idea, è giusto non porsi troppi pensieri sui rischi. Ma una azienda, o una organizzazione in genere, esistente, con dipendenti, beni e un mercato (o una funzione) è un bene che ha un proprio valore, e questo valore non deve svanire per effetto della sottovalutazione di un rischio prevedibile. Ciò che ha valore intrinseco deve essere tutelato, perché è un bene per la società tutta. Richiamo qui la profonda differenza fra tutela (prevenire il danno) e assicurazione (ricevere un corrispettivo in caso di danno). La seconda alternativa è una semplice ridistribuzione del danno (che comunque c’è), quindi è una alternativa comunque perdente.

 

Fortunatamente non bisogna essere imprenditori per applicare il risk based thinking. Se l’arte di comprendere le opportunità è la speculazione su ciò che non è ma si potrebbe fare avvenire, l’arte della valutazione del rischio è quella di indagare ciò che può essere (accadere), anche se con una probabilità bassissima. Quindi teoricamente non serve fantasia, dovrebbero bastare metodo e applicazione.

 

Il metodo e gli elementi che lo costituiscono

Le norme, per quanto in forma embrionale, danno delle indicazioni sul metodo, o meglio sugli elementi che, opportunamente combinati, possono andare a costituire il metodo. Eccoli:

-          Definizione / analisi del contesto

-          Identificazione delle parti interessate e delle rispettive aspettative / influenze

-          Identificazione dei processi e valutazione dei rischi

Da qui si procede come di consueto tramite la definizione di:

-          Politiche

-          Struttura organizzativa, compiti e responsabilità

-          Procedure di gestione dei processi

-          Procedure operative, istruzioni, registrazioni

-          Gestione delle non conformità ecc.

-          …

 

È ovvio, credo, che gli elementi operativi restino quelli di sempre; il nuovo approccio aggiunge una (fondamentale) analisi preliminare volta a capire cosa debba effettivamente essere gestito (e cosa non necessiti di gestione specifica). Quindi:

-          Identifico i pericoli (per la organizzazione), valuto i rischi e identifico (scelgo) le misure di controllo

-          Controllo i rischi

-          Correggo sia la valutazione che le misure di controllo se qualcosa cambia, o se mi accorgo di avere “sbagliato”

 

Una interpretazione pratica del metodo

Naturalmente ci interessa la prima parte dello sviluppo metodologico, sino alla valutazione dei rischi dei processi. Esistono, a nostro avviso, due approcci quasi equivalenti, per raggiungere i seguenti obiettivi:

-          Conoscere tutti i rischi a cui è esposta l’organizzazione

-          Allocare i rischi nei processi pertinenti (processi critici)

-          Regolamentare i processi critici in modo che i rischi corrispondenti possano essere tenuti sotto controllo

Distingueremo alcune fasi, alcune “inevitabili”, altre che presentano alternative, e le raccoglieremo in questo articolo e in uno successivo; la scelta è dettata dalla opportunità di inserire alcuni esempi per rendere un po’ più concreti temi che altrimenti sembrerebbero squisitamente filosofici.

 

Prima fase – definizione della organizzazione

Paradossalmente esiste un passaggio preliminare, particolarmente importante quando ragioniamo di organizzazioni complesse: capire “cosa è” la organizzazione a cui ci stiamo riferendo. Spesso porto questo esempio: una multinazionale con sede centrale fuori dall’Italia opera in Italia sia producendo che vendendo i propri prodotti destinati al consumo. In Italia ha costituito quattro società “operative” ad ognuna delle quali è affidato un compito specifico (produzione, marketing ecc.), oltre ad una società “Holding” che le controlla tutte. La società che si occupa di produzione gestisce un certo numero di stabilimenti produttivi, fra loro diversi per tipologia di prodotto, per dimensione, per organizzazione ecc. In questa organizzazione i direttori di stabilimento hanno ampia autonomia; anzi, nel gruppo stabilimenti che producono lo stesso bene sono di fatto in concorrenza fra loro sotto il profilo dei costi. Infine, ad ulteriore chiarezza: il direttore di stabilimento è anche datore di lavoro, responsabile ambientale e responsabile della qualità; quindi risponde in toto dei risultati, positivi o negativi, dello stabilimento. Peccato però che non sia un monarca assoluto, perché per esempio il gruppo entra profondamente nel merito degli investimenti, la gestione del personale è centralizzata a livello Italia … Quindi nello stabilimento possono essere presenti persone che non rispondono gerarchicamente al direttore.

Se noi ci concentriamo sul risk based thinking “per conto” del direttore, di cosa dobbiamo occuparci? Mi verrebbe da rispondere: di tutto ciò di cui il direttore è direttamente responsabile, nella totalità o in parte. Provo a spiegare con qualche esempio:

-          Il direttore è responsabile di tutte le persone che rispondono, direttamente o tramite la catena gerarchica, esclusivamente alla sua responsabilità; quelle persone per cui lui è il “monarca assoluto”. Se queste persone causano, volontariamente o meno, un danno alla azienda, quel danno rientrava fra ciò che il direttore doveva prevenire (tecnicamente o tramite la organizzazione).

-          Ma ci saranno persone, pur appartenenti al gruppo, che si trovano in una situazione intermedia: operano nello stabilimento ma il loro superiore funzionale appartiene ad altra parte della organizzazione. Per tali persone il direttore sarà, poniamo, datore di lavoro prevenzionistico e responsabile per eventuali danni ambientali che possono causare in stabilimento, ma non per il loro lavoro svolto a favore di altre funzioni del gruppo.

-          … ci sono tanti altri casi riguardanti le persone, che però non affronto per brevità …

-          Il direttore è responsabile della idoneità legale e della conservazione degli asset dello stabilimento (a meno che all’interno del perimetro dello stabilimento non vi siano altre strutture operative del gruppo, per esempio un laboratorio che serve tutte le fabbriche italiane). Anche questo non è sempre così ovvio.

-          Il direttore è sicuramente responsabile della qualità del prodotto e del rispetto delle consegne.

-          …

In un concetto di risk assesment ovviamente ogni soggetto “apicale” è responsabile di ciò e solo di ciò su cui può esercitare la propria autorità, limitatamente alla parte di autorità che può esercitare.

Per esempio un direttore di stabilimento che conosco non è responsabile dell’organico (posizioni e numero di addetti sono stabiliti dalla corporate); i rischi conseguenti ad una insufficienza di organico saranno quindi della corporate e non entreranno nei rischi che il direttore deve considerare “propri”; caso mai sarà il caso di precisare che, appunto, alcuni specifici aspetti (scelte) sono esclusi dal risk assesment proprio perché non fanno parte della organizzazione esaminata. Ovviamente al direttore di cui parliamo spetterà di utilizzare al meglio le risorse che altri gli hanno messo a disposizione, anche se fossero inadatte o insufficienti, per fare il massimo bene della fabbrica, ivi compresa la parte di controllo dei rischi.

 

Seconda fase (alternativa semplificata): mera elencazione delle parti interessate e degli elementi di contesto

Definiamo prima cosa intendiamo con questi due termini:

-          Parti interessate (persone o gruppi di persone):

        • Tutti quei soggetti (persone e gruppi di persone) che possono subire danni per effetto della attività (o meglio della esistenza) della organizzazione. Quindi sono soggetti esposti a rischi generati dalla organizzazione. Fra i danni possiamo considerare anche la mancanza di benefici attesi.
        • Tutti quei soggetti che possono generare danni alla organizzazione.

-          Elementi di contesto (elementi diversi da persone o gruppi di persone):

        • Tutti gli elementi che possono essere danneggiati dalle attività della organizzazione (dalla flora ittica alle infrastrutture esterne, ai servizi).
        • Tutti gli elementi / eventi esterni che possono impattare negativamente sulla organizzazione.

Qualche esempio: gli abitanti delle case vicine allo stabilimento che di notte sono soggetti ad un rumore oltre i limiti sono parti interessate (secondo la distinzione che abbiamo fatto), il fiume che scorre vicino allo stabilimento e che potrebbe esondare allagando lo stabilimento è un elemento di contesto. Io credo che questa distinzione sia eccessiva e proporrei di unificare le parti interessate con gli elementi di contesto secondo una definizione che potrebbe essere la seguente:

l’insieme dei soggetti degli elementi che possono avere mutue influenze dalla e con la organizzazione sotto il profilo dei rischi (reciprocamente indotti)

avrei dovuto citare le opportunità ma in questi articoli preferisco concentrarmi sui rischi, sperando di trovare una successiva occasione per descrivere un approccio sistematico alla ricerca delle opportunità.

Venendo alla versione semplificata della identificazione di tali soggetti, alla fine si tratta di fare una sorta di elenco dei soggetti con cui la organizzazione (così come precedentemente definita e delimitata) ha un qualunque tipo di rapporto, anche involontario, e dall’elenco estrarre quei soggetti con i quali il rapporto può tramutarsi in rischio (nell’una e/o nell’altra direzione).

Un mero elenco, dunque, di soggetti e rischi, una sorta di tabella di tuti i soggetti, a fianco di ognuno dei quali troveremo scritto “nessun rischio associato”, oppure l’elenco dei rischi che a loro volta saranno suddivisi fra rischi che la organizzazione “esporta” verso il soggetto e rischi che l’organizzazione può “ricevere” dal soggetto.

Naturalmente in un secondo momento questi rischi, indotti o subiti, dovranno essere correlati con i processi della organizzazione all’interno dei quali (processi, quindi procedure) andranno inserite le misure di prevenzione e controllo. Ma questo è un aspetto che tratteremo nel prossimo articolo.

 

Una piccola conclusione

Pare inopportuno tirare delle conclusioni prima della fine di un articolo; in questo caso mi sento di farlo per evidenziare da subito l’importanza di un approccio sistematico, che raccolga gli esiti delle analisi in documenti scritti che possono essere semplici tabelle, organigramma, tabelle di correlazione temporale (fra procedure, per esempio) ecc.

Una organizzazione, o se preferite una azienda, è molto simile ad un essere vivente, a un essere umano di cui possiamo descrivere la morfologia, le patologie, l’ambente che lo circonda ecc. e per il quale vogliamo trovare le giuste contromisure per evitare che incorra in nuove malattie. Quindi la precisione in questa fase ancora “solo” descrittiva è essenziale per avere la base per le considerazioni successive che avranno invece una connotazione “curativa preventiva”. L’invito, dunque, è quello di non sottovalutare queste fasi appena descritte.

 

 

Alessandro Mazzeranghi

  

Creative Commons License Questo articolo è pubblicato sotto una Licenza Creative Commons.
Per visualizzare questo banner informativo è necessario accettare i cookie della categoria 'Marketing'

Pubblica un commento

Ad oggi, nessun commento è ancora stato inserito.

Pubblica un commento

Banca Dati di PuntoSicuro

Altri articoli sullo stesso argomento:

Forum di PuntoSicuro Entra

FORUM di PuntoSicuro

Quesiti o discussioni? Proponili nel FORUM!