A settembre del 2015 è stata emessa la nuova norma ISO 9001:2015, la cui implementazione, obbligatoria da settembre 2018, è in corso per molte aziende certificate.
La struttura della norma è cambiata profondamente e l’attuale dibattito porta a chiarire se, a fronte di un rivoluzionamento del sistema di gestione, i vantaggi che si otterranno saranno significativi.
I pareri ovviamente come sempre sono molto contrastanti tra chi dice che la nuova norma faciliterà la semplificazione nelle aziende e chi invece vede l’analisi dei rischi, imposta dalla nuova norma, come un appesantimento delle attività.
Ma qual è la verità? La norma ISO 9001:2015 permetterà alle aziende di snellire la documentazione o realmente l’analisi dei rischi renderà tutto più pesante da gestire?
Di seguito i cambiamenti principali che aiuteranno a capire quali saranno i pro e i contro relativi all’applicazione di tale norma.
Definizione del contesto esterno e interno dell’azienda. Tale definizione, mutuata dalla norma ISO 31000, è relativa alla “individuazione, monitoraggio e analisi dei fattori esterni (es. nuove tecnologie, sviluppi del mercato di riferimento, ecc.) e interni (es. conoscenza e prestazione dell’impresa) rilevanti per le finalità dell’azienda e che influenzano la sua capacità di conseguire il risultato atteso per il proprio sistema di gestione per la qualità”. Cosa significa tutto ciò in termini pratici? Cosa deve fare l’azienda per poter rispondere a tale requisito? Semplice: l’azienda deve analizzare tutto ciò che la circonda e la ricomprende. Deve verificare quei fattori sia interni che esterni che in maniera diretta o indiretta possono influenzare la sua vita.
Definizione e determinazione delle esigenze e aspettative delle rilevanti parti interessate. Ma chi sono queste parti interessate? A differenza della precedente ISO 9001, la nuova norma tiene conto non solo delle esigenze e delle aspettative dei clienti, ma di tutti coloro i quali direttamente o indirettamente sono influenzati o influenzano la vita di un’azienda. Per dirla con termini ormai più diffusi, parliamo di tutti gli stakeholder dell’azienda. Quindi, quando si va a creare e ad implementare un SGQ secondo la nuova norma, l’azienda dovrà individuare tutti i suoi stakeholder (ad es. i clienti, la proprietà, i dipendenti, lo Stato, l’ambiente esterno, i fornitori, le banche, etc.).
Qual è la relazione tra analisi del contesto esterno ed interno e stakeholder di un’azienda? I fattori del contesto possono essere messi in relazione con le rilevanti parti interessate, associandoli ai processi aziendali. Ciò significa che l’attività si deve concretizzare con la determinazione delle esigenze ed aspettative di tutti gli stakeholder e dovrebbe considerare lo stato attuale e quello futuro.
Introduzione del concetto di leadership. Scompare la figura del Rappresentante della Direzione come figura obbligatoria, con l’obiettivo di aumentare il coinvolgimento del top management aziendale nell’implementazione del sistema stesso.
Informazioni documentate. Rappresentano le informazioni con le relative evidenze che un’organizzazione ritiene necessario gestire. Le aziende, quindi, non hanno più l’obbligo di definire una serie di documenti relativi al SGQ (es. procedure e moduli), alcuni dei quali non utili alla gestione del sistema stesso, ma sono libere di scegliere la profondità e il dettaglio che intendono utilizzare per la loro documentazione scritta.
Analisi dei rischi. Rappresenta sicuramente la novità principale (è poi così tanto vero che sia una novità?) della nuova ISO 9001. Prima di descrivere quali sono le attività da portare avanti in un’analisi dei rischi, varrebbe la pena prima definire che cosa intendiamo per rischio:
- secondo la ISO 9000: Effetto dell’incertezza
- secondo la ISO 31000: Effetto dell’incertezza sugli obiettivi
Dove per effetto si intende lo scostamento da quanto atteso sia in positivo che in negativo. Ecco dunque una prima grande novità: quando parliamo di rischi siamo naturalmente orientati a vederne solo l’accezione negativa. Il rischio non è solo negativo ma è anche, nella stessa misura di quello negativo, positivo: in questo caso parliamo di OPPORTUNITÀ. Rischiare di conseguire migliori obiettivi, rischiare di trovare una soluzione che ci faccia raggiungere maggiori clienti, eccetera, sono tutte opportunità. Dunque, nell’analisi dei rischi l’azienda dovrà non solo valutare il “rischio” negativo, ma anche il “rischio” positivo.
L’azienda e l’analisi dei rischi
Ma cosa può fare un’azienda che voglia analizzare i suoi rischi? La norma ISO 9001, come da prassi di tutte le norme di gestione, non ci dice come fare ma solo cosa fare e, inoltre, la ISO 9001:2015 non impone neanche di formalizzare l’analisi effettuata. Ed ecco che ci vengono in aiuto altre norme.
In generale, la norma che può aiutare la gran parte delle aziende dei diversi settori è la ISO 31000 che ci spiega quali debbano essere i passaggi per un’analisi dei rischi corretta (fig.1).
Naturalmente la ISO 31000 non rappresenta l’unica guida nella creazione di un’analisi corretta dei rischi. In alcuni settori si analizzano da anni (prima ancora, dunque, dell’introduzione della nuova ISO 9001) i rischi che potrebbero verificarsi in una realtà aziendale. Basti pensare al settore ferroviario che prende come suo riferimento per l’analisi dei rischi due regolamenti europei: il Regolamento UE 1078/2012 e soprattutto il Regolamento UE 402/2013.
Ma torniamo al grafico precedente: come si evince da esso, un’azienda che voglia effettuare un’analisi dei rischi conforme alla norma ISO 31000 deve innanzitutto definire il contesto: eccoci quindi ritornare a quella che rappresenta la prima novità della norma UNI EN ISO 9001:2015. In figura 2 si trovano alcuni esempi di contesto esterno e di contesto interno.
Una volta definito il contesto, in relazione a ciascuno di tali fattori inizierà la vera e propria analisi dei rischi:
1. Il rischio va identificato, e quindi vanno individuate le fonti, le aree di impatto, gli eventi e le cause e potenziali conseguenza degli eventi
2. Il rischio identificato va analizzato, e quindi va descritta la significatività di ciascuna minaccia come combinazione della propria probabilità e degli impatti che può causare.
3. Il rischio identificato e analizzato va ponderato, e quindi va stabilito riguardo ai rischi individuati e valutati quali necessitano di un trattamento e le relative priorità di attuazione
4. Il rischio identificato, analizzato e ponderato va trattato, e quindi vanno selezionate una o più opzioni per modificare i rischi e vanno attuate tali opzioni: es. Evitare il rischio, Assumere o aumentare il rischio, Rimuovere la fonte di rischio, Modificare la probabilità, Modificare le conseguenze, Condividere il rischio, Ritenere il rischio
Ovviamente nel tempo tali rischi andranno misurati e analizzati nuovamente. Ed ecco che quando parliamo di misurazione abbiamo bisogno di definire degli indicatori per ciascuna classe di rischio, che ci diano una misura oggettiva di quanto siamo vicini o lontani dalla nostra analisi.
Non conformità e azioni preventive
Soffermiamoci un attimo sul significato negativo di rischio (tale ragionamento lo si può fare anche relativamente alle opportunità): probabilità che si verifichi un evento negativo. La probabilità esprime un qualcosa di futuribile: oggi non si è ancora verificato l’evento negativo ma potrebbe verificarsi nel futuro. Cosa potrebbe essere un evento negativo? Ad es. potrebbe essere una Non Conformità? Certo! Quindi potremmo dire che nel futuro potrebbe verificarsi una Non Conformità! Ma quest’affermazione ha un qualcosa di abbastanza familiare! Richiama tanto quelle che nella precedente edizione della norma ISO 9001 erano le azioni preventive: ovvero, quelle azioni volte a risolvere la causa di possibili future non conformità. Quindi: l’analisi dei rischi è davvero un’innovazione della norma ISO 9001? O è solo un modo diverso di definire un qualcosa già presente nelle edizioni precedenti? Le tanto odiate Azioni Preventive erano davvero così tanto inutili come ritenute da gran parte delle aziende?
A questo punto oseremmo dire di no: se l’ente normatore ha valutato di dare alle azioni preventive un rilievo nuovo e diverso, cambiando addirittura il loro nome e riportandole a un’analisi di rischi futuri, probabilmente non erano così tanto da sottovalutare. Ma l’ente normatore ha fatto addirittura di più: ha stabilito che le aziende debbano valutare non solo gli eventi negativi e, di conseguenza, le loro azioni preventive, ma anche gli eventi positivi, le opportunità e tutte quelle azioni preventive volte, in questo caso, a spingere l’azienda verso il verificarsi di tali opportunità.
In buona sostanza, la norma ISO 9001:2015, pur non definendone le modalità e pur non obbligando le aziende a formalizzare le valutazioni effettuate, non fa altro che aiutare le stesse aziende a dare una struttura chiara e definita a tali analisi.
Conclusioni
In conclusione, volendo rispondere alla domanda con la quale abbiamo iniziato, la prima risposta è: la nuova ISO 9001 se correttamente applicata da parte delle aziende potrebbe realmente consentire una facilitazione ed un alleggerimento rispetto alla versione precedente, in seguito allo snellimento delle documentazioni richieste. Ma può fare addirittura di più!!! Attraverso l’analisi dei rischi relativa a tutti i processi dell’azienda, può aiutare a individuare con sufficiente anticipo le minacce e le opportunità che potrebbero verificarsi nel futuro prossimo o remoto e potrebbe consentire di individuare quelle azioni che possano aiutare a prevenire gli eventi negativi o a spingere quelli positivi.
In sostanza, dunque, la nuova ISO 9001:2015 si può configurare come un ottimo strumento di gestione.
Carmen Mauri, Project Manager, Consuldream e A.C. Train
