Il draft della norma ISO 9001:2015 sta facendo discutere da tempo, soprattutto per l’introduzione del nuovo concetto di “Risk-Based Thinking”. In molti corsi di aggiornamento che in tanti hanno già provveduto a programmare e ad erogare, si dà erroneamente per scontato che tale concetto coincida con il Risk Management. Si sta facendo tanta confusione in merito, e le uniche certezze sono che:
- La commissione ISO TC 176 ha fatto una serie di affermazioni:
- “Risk-based thinking” è qualcosa che tutti noi facciamo in modo automatico e spesso inconsciamente;
- Il “Risk-based thinking” è già parte dell’approccio per processi
- Il “Risk-based thinking” rende le azioni preventive parte della routine
- Il concetto di rischio è sempre stato implicito nella ISO 9001, questa revisione rende più esplicito e costruisce in tutto il sistema di gestione
- “Risk-based thinking” significa inoltre considerare qualitativamente il rischio (e, a seconda del contesto dell’organizzazione, quantitativamente), al momento di definire il grado di formalità richiesto per pianificare e controllare il sistema di gestione per la Qualità, così come i processi e le attività che la compongono
- Nel draft si fa riferimento al rischio in vari punti del paragrafo 6.1 “Azioni per considerare rischi e opportunità”, dove i riferimento a elementi di risk management è molto marcato:
- 6.1.1: in fase di pianificazione del sistema di gestione per la qualità l’organizzazione deve considerare le questioni… e i requisiti… e determinare i rischi e le opportunità che hanno bisogno di essere considerati per:
- Assicurare che il sistema di gestione della qualità raggiunga il risultato previsto
- Prevenire o ridurre effetti indesiderati
- Conseguire il miglioramento continuo
- 6.1.2: L’organizzazione deve pianificare:
- Azioni per affrontare questi rischi e opportunità
- Come integrare e implementare le azioni nel suo sistema di gestione per la qualità e valutare l’efficacia di tali azioni
- Le azioni adottate per rivolgersi a rischi e opportunità devono essere proporzionate all’impatto potenziale sulle non conformità dei prodotti e servizi
- Nota. L’opzione di rivolgersi a rischi e opportunità può includere: evitare il rischio, assumere il rischio al fine di guadagnare un’opportunità, eliminare la fonte del rischio, intervenire sulla probabilità o entità del danno, oppure mantenere il rischio in maniera consapevole
Alla luce di quanto appena descritto, nonostante il comitato ISO TC 176 si sforzi di dichiarare che il RBT non coincide con a Risk Management, sembra evidente l’introduzione di una sorta di Risk Management “diluito”. Dato che non è lecito aspettarsi modifiche sostanziali con l’emissione della ISO 9001:2015 prevista per settembre 2015, la creazione di questa zona grigia lascerà molto all’interpretazione soggettiva di auditors e consulenti, e non si farà altro che alimentare lo smarrimento delle imprese certificate.
1) Ci sono e ci saranno coloro i quali interpreteranno la norma nel senso più restrittivo e vincolante, per cui reputeranno obbligatoria l’implementazione di un sistema di Risk Management. Se saranno gli enti di certificazione a dare questa interpretazione, ovviamente si alimenterà il business:
- Degli enti di certificazione in termini di corsi di formazione in materia di Risk Management
- Dei consulenti e delle società di consulenza, vedranno nuove opportunità di mercato nell’implementazione di sistemi di Risk Management; ovviamente sarà l’occasione per moltissimi improvvisati per spacciarsi come esperti di Risk Management
Da punto di vista delle imprese, in particolare delle piccole imprese, gli effetti potrebbero essere devastanti:
- Vedranno lievitare oltre misura i costi della consulenza;
- Vedranno appesantire i propri sistemi. Il Risk Management è una disciplina che richiede notevoli competenze trasversali e la cui implementazione presuppone un coinvolgimento del management che le piccole imprese, per limiti culturali, spesso non sono in grado di garantire. Il valore aggiunto di tale attività, per le imprese, potrebbe essere pari a zero.
2) Ci saranno coloro ne daranno un’interpretazione più elastica per cui sarà sufficiente poco o nulla per dare evidenza del “Risk-Based Thinking”: anzi, nulla dovrà essere fatto perché:
- Il Risk-Based Thinking è qualcosa che tutti facciamo automaticamente (cit. ISO TC 176)
- Il Risk-Based Thinking è sempre stato implicito nella ISO 9001 (cit. ISO TC 176)
Ma un auditor può verificare un requisito senza richiederne una evidenza? Un bel dilemma…
Rimaniamo tutti in attesa di sviluppi e soprattutto chiarimenti in merito. Ma al di là del significato del requisito della norma ISO 9001:2015, il buon senso suggerirebbe alle aziende che già adottano schemi di certificazione che presuppongono un’attività di valutazione e gestione del rischio (ISO 14001, OHSAS 18001, ISO 27001, ecc.) di riflettere circa l’opportunità dell’adozione di un sistema di Risk Management, al fine di considerare la gestione dei rischi all’interno di un unico sistema organico e integrato, migliorandone la capacità di monitoraggio, controllo e miglioramento, con l’opportunità ulteriore di estendere il Risk Management ad altri ambiti non ancora gestiti (rischio finanziario, creditizio, ecc.).
Articoli recenti
- L’Essenziale Ruolo del Quality Manager nell’Era Digitale con INTEGRA Food
- La Gestione della Qualità nel Settore Alimentare con INTEGRA FOOD
- Oltre Excel: Rivoluzionare la Gestione della Qualità con INTEGRA FOOD
- La sfida quotidiana dell’Assicuratore Qualità nell’industria alimentare
- Gestione Paperless nell’Industria Alimentare