Come è noto, con la versione 2015 dello standard ISO 9001, l’ISO ha introdotto la gestione del rischio come una componente del sistema di gestione qualità. Tuttavia, pur facendo riferimento ai principi generali di Risk Management definiti nello standard ISO 31000, non ha dato indicazioni precise sulla modalità di implementazione di un sistema di Gestione del rischio né sul perimetro dei rischi (e delle opportunità) da prendere in considerazione.
Per quanto riguarda il perimetro, sono tipicamente inclusi rischi e opportunità connesse alla value chain, quindi al prodotto, ai fornitori (a monte) e alla rete di vendita e ai clienti (a valle), mentre sono esclusi o trattati separatamente rischi strategici e rischi specifici come quelli connessi ai reati previsti dal Dlgs 231 o la DPIA (Data Protection Impact Assessment) prevista dal GDPR. E’ invece comune l’integrazione dei rischi del sistema qualità con quelli legati alla sicurezza (sia quella sul lavoro che quella IT) e all’ambiente, anche alla luce della frequente integrazione dei sistemi di gestione (ISO 9001, ISO 14001, ISO45001 – OHSAS 18001).
Sul tema metodologico di gestione, è opportuno prendere in considerazione sia un approccio di tipo proattivo, o top down, che uno di tipo reattivo, o bottom up.
L’approccio proattivo implica un’analisi “a tavolino”: le metodologie possono ispirarsi all’uso di FMECA (quindi definizione di potenziali “failure” e di probabilità, gravità e rilevabilità delle stesse), a un approccio per punti critici di controllo (CCP) e la stima di un indice di probabilità/gravità per ognuno di essi, o partire semplicemente da un elenco di rischi con il relativo indice. In ogni caso failure, CPP, rischi vanno analizzati per processo e per area organizzativa, business unit, unità produttiva. Una volta terminata l’analisi e la valutazione dei rischi, si tratta di definire le eventuali azioni di mitigazione/miglioramento, valutarne i costi benefici e monitorare l’esecuzione di quelle azioni che sono state approvate.
L’approccio reattivo è altrettanto importante: vanno tracciati gli eventi avversi con due obiettivi: porre immediato rimedio a eventi particolarmente gravi (nel fatto avvenuto o anche solo in potenza) e consentire in sede di revisione periodica delle valutazioni di tipo top down una verifica sul campo delle stime e quindi potenzialmente la definizione di nuove azioni di miglioramento.
Quello che emerge da quanto sopra è una considerazione non sempre evidente: la gestione del rischio non è un sistema statico che produce un sistema di regole, ma è un sistema dinamico che si adatta agli eventi e deve coinvolgere tutto il personale, perché la riduzione del rischio è nell’interesse comune dell’impresa, dei lavoratori ed in generale degli stakeholders.
Proprio perché è un sistema dinamico che coinvolge molte persone, il risk management trae grandi benefici dal supporto di un sistema informatico quale ProcessFrame, che si adatta alla metodologia adottata, consente l’accesso differenziato in base al ruolo a tutti gli utenti coinvolti, registra e traccia analisi ed eventi in modo da consentire analisi statistiche e reportistica.
Commenti recenti