Con la nuova ISO 9001, si richiede di identificare e
"affrontare" i rischi, senza però fornire ulteriori dettagli.
Ho avuto l'occasione di raccogliere alcune indicazioni da
Nicola Gigante, rappresentante italiano presso il ISO/TC176/SC2/WG24 (ossia il
gruppo che ha elaborato la ISO 9001:2015), basate sulle indicazioni fornite da
ISO e maturate nel corso della scrittura della norma stessa.
Si premette che la norma non richiede esplicitamente di
documentare i rischi e le opportunità individuate; in altre parole, non è
richiesto che le organizzazioni predispongano un'analisi dei rischi, ma che lo
sviluppo, mantenimento e valutazione del sistema di gestione sia orientato da
un approccio che metta la valutazione dei rischi al primo posto.
La norma non impone alcun approccio strutturato per
affrontare rischi e opportunità: saranno le organizzazioni a decidere, con il
rischio (!) che vi possa essere una generale banalizzazione del requisito.
Tuttavia va considerato che, come spesso accade a causa
della natura "sistemica" della norma, anche in questo caso esiste una
"circolarità": in altri termini, stabilire, da parte
dell'organizzazione, con quale livello di approfondimento debba essere
affrontata la gestione del rischio è essa stessa una operazione "risk-based",
come tale soggetta a giustificazione e a valutazione di efficacia. Questo
dovrebbe essere il primo effetto di un corretto orientamento al rischio.
In generale, organizzazioni semplici, di piccole
dimensioni, con tecnologie consolidate e caratterizzate da un contesto stabile,
non avranno effettivamente bisogno di strumenti sofisticati per mettere in
pratica il "risk-based thinking". In tali realtà potrebbe essere
sufficiente "lavorare" sugli atteggiamenti mentali di ciascuno, affinché
ogni decisione - a livello strategico, tattico, e operativo - sia determinata
da una sia pure intuitiva valutazione della concatenazione dei possibili
eventi.
Nelle organizzazioni più grandi e complesse, invece,
l'approccio al rischio dovrà verosimilmente essere di tipo più strutturato e
potrebbe comportare la messa in atto di metodi, infrastrutture e competenze
mirate. In caso contrario, cioè in presenza di un approccio riduttivo al tema
del rischio, l'auditor chiederà ragione di ciò all'organizzazione, che dovrà
fornire spiegazioni convincenti (cioè oggettivamente sostenibili).
In ogni caso l'efficacia dell'approccio dovrà essere
dimostrata dall'organizzazione (vedere per esempio, al riguardo, il p.to 9.3.2
e, relativo al riesame di Direzione) e all'auditor spetterà valutare
l'adeguatezza delle dimostrazioni (anche se rappresentate solo da
argomentazioni).
E' evidente che questo "gioco" è possibile se
vi sono competenze adeguate da entrambe le parti (organizzazione e auditor).
Mio (di Cesare Gallotti) parere personale: forse qualche
indicazione in più sarebbe stata utile. Ora correremo il rischio (!) di vedere
auditor imporre valutazioni del rischio molto dettagliate, altri accontentarsi
di un'analisi SWOT generale e poi chissà che altro, con il risultato che le aziende,
ancora una volta, non capiranno le motivazioni della ISO 9001, non ne
coglieranno i benefici e, anzi, la rifiuteranno ancora di più.
Nessun commento:
Posta un commento