La futura ISO 9001, lo standard ISO 31000 e il risk-based thinking

Nei giorni scorsi PuntoSicuro ha presentato un interessante contributo di Davide Biasco sulla norma ISO 9001, una norma nata per la realizzazione di un sistema di gestione della qualità. Dove con qualità si fa riferimento, ad esempio, al miglioramento dell'efficacia e dell'efficienza nella realizzazione di un prodotto o nell'erogazione di un servizio.

Tuttavia questa norma, di cui si attende una prossima revisione, potrà avere ripercussioni anche sul mondo della salute e sicurezza perché – come ricordava Davide Biasco – la norma 9001 estende e ripropone secondo una nuova ottica il concetto di valutazione e gestione del rischio.

 

Per continuare ad approfondire l’argomento, presentiamo oggi gli atti di un convegno, dal titolo “ISO 9001:2015. Cosa cambia? Innovazioni e modifiche”, che si è tenuto a Genova il 27 febbraio 2015. Nell’incontro, organizzato dall’ Ordine Ingegneri Provincia di Genova e da Aicq Tosco-Ligure, sono stati affrontati i concetti, le novità, i cambiamenti previsti nella futura nuova versione della norma.

Ad esempio nell’intervento “La transizione alla nuova Norma ISO 9001:2015 come opportunità d’innovazione”, a cura dell’Ing. Valerio Teta (Presidente del Comitato AICQ Qualità del Software e dei Servizi IT) si  sottolinea, tra gli altri, il tema dell’approccio per processi.

Infatti il “conseguimento di risultati consistenti e prevedibili diventa più efficace ed efficiente quando le attività sono inquadrate e gestite come processi tra loro interrelati che funzionano come un sistema coerente”. In questo senso il Sistema Gestione Qualità (SGQ) è “composto di processi tra loro interrelati”. E capire come il Sistema (inteso come insieme organico di processi, risorse, controlli e interazioni) “produce i risultati per la qualità”, permette all’organizzazione “di ottimizzare le sue prestazioni”. 

In particolare la novità e il rafforzamento “stanno nell’integrazione tra approccio per processi, metodologia pdca e approccio al rischio.  Dove la metodologia conosciuta come " plan-do-check-act" (pdca) è applicabile a tutti i processi:

- “plan: stabilire gli obiettivi ed i processi necessari per fornire risultati in conformità ai requisiti del cliente e alle politiche dell'organizzazione;

- do: attuare i processi;

- check: monitorare e misurare i processi ed il prodotto a fronte delle politiche, degli obiettivi e dei requisiti relativi al prodotto e riportarne i risultati;

- act: intraprendere azioni per migliorare in continuo le prestazioni dei processi”.

 

E la nuova norma “rende esplicito l’approccio basato sul rischio che era implicito” nella precedente norma 9001 e indica proprio lo standard ISO 31000 come “linea guida di riferimento per estendere le misure minime stabilite fino a stabilire un approccio formalizzato per la gestione del rischio relativo alla qualità dei propri prodotti/servizi e dei propri processi”. 

 

Per dare ulteriori informazioni su questo importante standard internazionale di riferimento per la gestione dei rischi, possiamo soffermarci su un secondo intervento dal titolo “L'introduzione della gestione del rischio della ISO 9001:2015. Collegamenti con ISO 31000 e ISO 31010”, a cura di Carlo Muzzarelli (WeRISK).

 

L’intervento ricorda che lo scopo della ISO 9001 è di assicurare ai clienti di un’organizzazione/azienda che:

- “conosce i propri clienti;

- sa quello del quale hanno bisogno o che desiderano;

- è in grado di fornire in modo ripetitivo un prodotto/servizio che rispetta tali requisiti”. 

 

Uno dei “cambiamenti cruciali” della nuova norma ISO9001:2015, attesa per settembre 2015, presentati nel documento, riguardano il fatto che ora “spetta all’organizzazione, sulla base del ‘risk-based thinking’, determinare quale sia il tipo, l’ampiezza e la profondità dei controlli per l’azienda ed il servizio”.

 

Veniamo dunque al risk-based thinking.

 

Il Risk-based thinking “è il processo che dimostra che l’organizzazione comprende quali siano i rischi al proprio SGQ e ai processi che lo costituiscono che possono influenzare la capacità di raggiungere gli obiettivi previsti”.

È dunque necessario “produrre le evidenze che dimostrano che i rischi sono stati identificati e che sono state previste le azioni proporzionali alle conseguenze. I rischi sono dinamici e cambiano con il passare del tempo quindi questo approccio è continuativo e non si esegue una volta sola”.

 

E se il “risk-based thinking” è sempre stato implicito nella ISO9001 - come ricordato nel precedente intervento – ora viene esplicitato direttamente. Se il documento “non fornisce indicazioni su una o più metodologie” da adottare, è evidente che “la solidità dell’approccio al rischio deve essere proporzionata alle conseguenze che potrebbero nascere nel caso in cui l’incertezza diventasse realtà”.

Riguardo alle azioni per affrontare i rischi e le opportunità, la clausola 6.1.2 della futura ISO 9001:2015 è nuova. Indica che “quando l’organizzazione ha identificato rischi ed opportunità deve decidere come gestirli. C’è anche un’affermazione in merito alla proporzionalità tra le azioni da intraprendere e l’effetto atteso sulla conformità del prodotto/servizio e sulla soddisfazione del cliente”. Ed è chiaro che “una valutazione sbagliata non renderà adatto il SGQ e quindi non efficace”.

 

Arriviamo infine alla definizione di rischio ISO 31000 come “l’effetto dell’incertezza sugli obiettivi”, con una valutazione del rischio che ora è il processo complessivo di identificazione, analisi e ponderazione del rischio.

 

L’intervento ricorda, a questo proposito, che i fattori umani ed organizzativi “devono essere presi in considerazione quando si valutano i rischi”. Le persone costituiscono infatti “importanti fonti di incertezza a seconda delle attitudini, del comportamento, percezioni, cultura, bisogni, competenze, abilità di comprensione ed esperienza”.

Insomma – continua il relatore – “la possibilità che i comportamenti umani siano diversi da quanto previsto dalla ‘norma’ deve essere presa in considerazione in modo evidente”. 

 

In definitiva le attività di risk assessment “devono essere sistematiche, logiche e condotte in modo strutturato per produrre risultati adeguati e massimizzare efficacia, efficienza, ripetibilità e ‘difendibilità’. Le attività devono anche essere intraprese al livello adeguato alla decisione da prendere e al tipo di risultato desiderato”.

 

E ricorda, infine, che un singolo rischio “può avere implicazioni in altre parti del processo ed impatti su altre attività. Tutte le correlazioni devono essere prese in considerazione per assicurare che la gestione di un rischio non produca conseguenze indesiderate o intollerabili altrove”.

 

 

Gli atti del convegno “ISO 9001:2015. Cosa cambia? Innovazioni e modifiche” (formato ZIP, 8.4 MB).

 

 

RTM

 

 

Questo articolo è pubblicato sotto una Licenza Creative Commons.