Abbiamo fatto cenno, nell’articolo “La nuova norma ISO 9001:2015” della principale novità introdotta dal Comitato che sta provvedendo alla sua modifica e che vedrà la pubblicazione a settembre 2015: ovvero la necessità di creare un sistema di analisi e gestione del rischio per la qualità.
Avevamo anche detto che il punto di riferimento per chi si occupa di sistemi di gestione, da questo punto di vista, è un’altra norma la ISO 31000, che può rappresentare una linea guida per la creazione di strumenti di analisi e gestione del rischio, di fatto applicabili a qualsiasi situazione e anche allo standard ISO 9001.
Analizziamo di seguito cosa può insegnarci la ISO 31000 facendo una breve disamina del primo capitolo introduttivo alla gestione del rischio e come la ISO 31000 ci insegna di gestire questo aspetto.
Parte 1: Rischio, Gestione del Rischio e ISO 31000
Fornisce una panoramica di rischio e gestione del rischio con particolare riferimento alla ISO
31000.
Una sintesi della gestione del rischio e i requisiti che devono essere presenti per
garantire buoni standard di gestione dei rischi sono presenti nell’ elenco nell’Appendice A della norma.
Natura e l’impatto del rischio
I rischi possono influenzare l’organizzazione a breve, medio e lungo termine. Tali rischi sono legati rispettivamente alle operazioni, alla tattica e alla strategia aziendale.
La Strategia definisce gli obiettivi a lungo termine dell’ organizzazione, e l’orizzonte di pianificazione strategica per un’organizzazione sarà tipicamente 3, 5 o più
anni.
Le Tattiche definiscono come un’organizzazione intenda fare per ottenere un cambiamento.
Pertanto, i rischi tattici sono tipicamente associati ai progetti, fusioni, acquisizioni e sviluppo di prodotto.
Le operazioni sono le attività di routine dell’ organizzazione.
Definizione di rischio
Ci sono molte definizioni di rischio e gestione dello stesso. La definizione di cui nella Guida ISO
73 è che il rischio è “l’effetto dell’ incertezza nel centrare gli obiettivi “.
Per agevolare l’applicazione di questa definizione, la Guida 73 afferma anche che un effetto può essere positivo, negativo o una deviazione dal previsto, e che il rischio è spesso descritto da un evento, un cambiamento di condizioni o una conseguenza.
Questa definizione collega rischi agli obiettivi. Pertanto,questa definizione di rischio può essere più facilmente applicabile quando gli obiettivi dell’organizzazione sono
completamente e pienamente definiti .
Anche se completamente definiti, gli obiettivi stessi devono essere sfidati e le ipotesi su cui si
sono basati devono essere testate, come parte del processo di gestione del rischio.
Registrazione della valutazione del rischio
La valutazione del rischio comporta l’individuazione dei rischi e poi la loro valutazione o classificazione.
E’ importante avere un modello per la registrazione di informazioni appropriate su ogni rischio.
L’obiettivo di un modello è quello di consentire la registrazione dell’informazione in un file excel, in un registro dei rischi, o un software.
Sebbene una semplice descrizione di un rischio a volte sia sufficiente, ci sono circostanze
dove può essere richiesta una descrizione dettagliata del rischio per facilitare il completo processo di valutazione di un rischio.
Le conseguenze di un accadimento potrebbe essere negative (rischi di pericolo), positive (rischi di opportunità) o può provocare maggiore incertezza.
E’ necessario che le organizzazioni stabiliscano definizioni appropriate per i diversi livelli di probabilità e conseguenze associate con questi diversi rischi.
La classificazione del rischio può essere quantitativa, semi-quantitativa o qualitativa
in termini di probabilità di accadimento e di possibili conseguenze o impatto.
Le organizzazioni dovranno definire le proprie misure di probabilità di accadimento e
conseguenze.
Ad esempio, molte organizzazioni ritengono che valutazione del rischio e le conseguenze possano essere classificate in “alto, medio o basso”, con i risultati presentati in una matrice di rischio 3 x 3 e che questa sia adeguata.
Altre organizzazioni trovano che più opzioni che siano necessarie e provvedono a elaborare matrici di rischio 4 x 4 o 5x 5.
Considerando la probabilità e le conseguenze di ogni rischio, sarà possibile dare la priorità o classificare i principali rischi per l’ulteriore analisi.
Sistemi di classificazione del rischio
Una cosa importante per analizzare un rischio è quella di determinare la natura, origine o tipo di impatto del rischio.
La Valutazione dei rischi in questo modo può essere migliorata con l’uso di un sistema di classificazione dei rischi.
I Sistemi di classificazione del rischio sono importanti perché permettono di identificare nella stessa organizzazione accumulazioni di rischi simili.
Una classificazione del rischio
Il sistema consentirà inoltre ad un’organizzazione di identificare quali strategie, tattiche ed operazioni sono più vulnerabile.
I Sistemi di classificazione del rischio si basano solitamente sulla divisione dei rischi in quelli relativi al controllo finanziario-amministrativo, all’efficienza operativa, all’esposizione della reputazione aziendale, alle attività commerciali.
Tuttavia, non esiste un sistema di classificazione del rischio che sia universalmente applicabile a tutti i tipi di organizzazione.
Questo può essere particolarmente vero per le organizzazioni operanti nel settore pubblico e coloro che sono coinvolte nella fornitura di servizi al pubblico.
Ci sono molti sistemi di classificazione del rischio disposizione e quella selezionata dipenderà dalla dimensione, natura e complessità dell’organizzazione.
La ISO 31000 non raccomanda un sistema di classificazione del rischio specifico ed ogni organizzazione necessiterà di sviluppare il sistema più opportuno in base alla gamma dei rischi che deve affrontare.
