All’interno delle numerose novità introdotte dalla nuova revisione della ISO 9001, che dovrà essere obbligatoriamente recepita tra il 2015 (data prevista di pubblicazione) ed il 2018, basilare è la richiesta che il Sistema di Gestione per la Qualità (SGQ) diventi anche uno strumento efficace per la gestione dei rischi.
Uno dei principali scopi di un Sistema di Gestione per la Qualità è, infatti, quello di agire come strumento gestionale “preventivo” (Annex A.4), per questo motivo la norma ISO 9001:2015 non comprende più lo specifico requisito sulle "azioni preventive" poiché tale attività diventa l’approccio pervasivo che caratterizza tutta l’impostazione della Gestione del Sistema, richiedendo un modo di pensare basato sul rischio (Risk-based thinking).
Il concetto di “rischio” definito come “effetto dell’incertezza sugli obiettivi” nella ISO 31000:2009 e ISO Guide 73:2009 (Risk management – Vocabulary), viene ripreso dal §3.7.4. dell’ISO DIS 9000 e §3.09 dell’ISO DIS 9001 come “influenza dell’incertezza sul raggiungimento degli obiettivi per la qualità”, evidenziando come i rischi siano spesso generati dallo stato di incertezza causato a sua volta da una carenza, anche parziale, di informazioni relative alla comprensione o alla conoscenza di eventi (e cambiamenti delle circostanze che li determinano), delle loro conseguenze o della loro probabilità di accadimento.
La ISO 9001:2015 non fa che riprendere il concetto di rischio (§3.9) e di risk based thinking (§0.5), già di fatto impliciti nella ISO 9001:2008, e renderli più espliciti inserendoli come primi requisiti al fine di determinare, implementare, mantenere e migliorare continuamente il SGQ (Annex A4 Risk based Approach).
Nell’ambito di un SGQ, così come per ogni altro Sistema di Gestione, il risk management diventa, quindi, uno strumento fondamentale per consentire al management di orientarsi verso decisioni “consapevoli” conformemente al sesto principio di gestione per la qualità (ISO DIS 9001 - Annex B7 QMP6): Processo decisionale basato su evidenze “Le decisioni basate sull’analisi e sulla valutazione di dati e informazioni hanno più probabilità di produrre i risultati desiderati. Il processo decisionale può essere complesso e spesso comporta qualche incertezza. ... È importante comprendere le relazioni di causa ed effetto e le conseguenze potenziali …”.
Nel pianificare il Sistema di Gestione per la Qualità, (§1 ISO DIS 9001:2015) “finalizzato ad assicurare che l'organizzazione possa ottenere con regolarità un prodotto/servizio che soddisfa i bisogni del cliente ed i requisiti legislativi applicabili nonché ad aumentare la soddisfazione del cliente”, l'organizzazione deve (§6.1.1.) "determinare i rischi e le opportunità per
- assicurare che il SGQ possa raggiungere i risultati desiderati;
- prevenire, o ridurre, effetti indesiderati e
- conseguire il miglioramento continuo”
Per ottenere tali risultati (§6.1.1.) l’organizzazione deve:
- (§4.1. ISO DIS 9001 e HLS) comprendere l'organizzazione e il suo contesto attraverso una valutazione " dei fattori interni ed esterni all’organizzazione rilevanti per le sue finalità e che influenzano la sua capacità di ottenere i risultati attesi";
- (§4.2 ISO 9001e HLS) individuare le parti interessate e comprenderne requisiti nonchè bisogni ed aspettative;
La “Definizione del Contesto” diventa, allora, chiaramente centrale (vedi allegato 1 modello SGQ) quale prima fase su cui si basa l’approccio basato sul rischio (§Annex A4) richiesto dalla ISO 9001 a cui deve seguire la pianificazione e l’implementazione del SGQ.
L’ISO DIS 9001 sottolinea più volte l’importanza di definire il “Contesto dell’organizzazione” (o “business enviromental §3.24) partendo proprio dal primo punto della norma stessa (§0.1 Generalità)
“ … The design and implementation of an organization's quality management system is influenced by the context of the organisation and the changes in that context, particularly with respect to:
a) its specific objectives;
b) the risks associated with its context and objectives;
c) the needs and expectations of its customers and other relevant interested parties;
…
The context of an organization can include internal factors such as organizational culture, and external factors such as the socio-economic conditions under which it operates
…”
per poi ribadirlo nei requisiti 4, 4.1, 5.1.1, 5.2.1 e soprattutto nell Annex A.3 dove chiarisce che è proprio partendo dalla comprensione del contesto dell’organizzazione che, definendo:
- le parti interessate “rilevanti” e
- i requisiti “rilevanti” delle parti interessate
sarà forse finalmente possibile pianificare, implementare, mantenere e migliorare un SGQ modellato sulle reali esigenze delle imprese e del loro mercato “finalizzato ad assicurare che l'organizzazione possa ottenere con regolarità un prodotto/servizio che soddisfa i bisogni del cliente ed i requisiti legislativi applicabili nonché ad aumentare la soddisfazione del cliente”,
There is no requirement in this International Standard for the organization to consider interested parties which have been determined by the organization not to be relevant to its quality management system. Similarly, there is no requirement to address a particular requirement of a relevant interested party if the organization considers that the requirement is not relevant. Determining what is relevant or not relevant is dependent on whether or not it has an impact on the organization’s ability to consistently provide products and services that meet customer and applicable statutory and regulatory requirements or the organization’s aim to enhance customer satisfaction.
Per affrontare rischi ed opportunità individuati in base all’Analisi dei rischi e delle opportunità dell'organizzazione e del suo contesto competitivo effettuata secondo tali requisiti, l’azienda si potrebbe trovare facilmente di fronte alla necessità (o all’opportunità) prima di pianificare:
- innovazioni di prodotto e/o di processo;
- innovazioni organizzative;
- innovazioni del proprio modello di business;
- diversificazione dei mercati;
- …
e, successivamente, di definire le modalità per integrare (§6.1.2) e attuare le azioni pianificate nei processi del proprio SGQ (come richiesto da § 4.4).
Risulta, quindi, indispensabile che, prima di impegnare l’azienda in attività comunque onerose, ogni organizzazione formalizzi in maniera estremamente attenta chiara un’Analisi dei rischi e delle opportunità dell'organizzazione e del suo contesto competitivo analizzando tra gli altri fattori (vedi note §4.1) quali ad esempio:
- valori, cultura, conoscenze e performance dell’organizzazione;
- adeguatezza dei processi produttivi ed operativi interni;
- problematiche relativa all’ambiente e alla sicurezza;
- stato dell’arte ed evoluzione tecnologica, brevettuale e normativa di prodotti e processi;
- opportunità offerte da finanziamenti o da partecipazione a “cluster” / reti di imprese;
- scenari competitivi e di mercato;
- scenari culturali, sociali ed economici;
- ….
