L’analisi del rischio nello standard ISO 9001:2015
In un articolo precedente ho descritto come gli standard ISO 22301 (Security and resilience – Business Continuity Management Systems) e ISO 27001 (sistemi di gestione della sicurezza delle informazioni) possano consentire alle aziende di affrontare situazioni complesse ed estreme. La capacità di reagire a situazioni complicate, è dovuta innanzitutto all’utilizzo corretto dell’analisi dei rischi, che rappresenta per entrambi gli standard un elemento fondamentale.
La predetta analisi, consente di individuare quegli eventi negativi che, se si dovessero verificare, potrebbero arrecare notevoli pregiudizi alla struttura organizzativa aziendale nella sua interezza, ma soprattutto danni in termini economici. Esistono diversi metodi di risk analisys (FMEA, SWOT etc.), applicabili ai processi produttivi e alla strategia aziendale, che consentono di individuare i rischi e quindi progettare e attuare un piano d’azione che riesca a mitigarli.
Anche la norma ISO 9001:2015 (sistema di gestione della qualità), prevede l’analisi del rischio, e introduce per la prima volta il concetto di “risk-based thinking” (approccio basato sul rischio) che, oltre alla classica rilevazione dei potenziali eventi negativi, prevede anche l’individuazione delle opportunità di miglioramento. Diversamente dalla ISO 27001, la ISO 9001 non è una norma settoriale ed è praticamente applicabile a qualsiasi tipo di attività aziendale (produzione, servizi, IT etc.), rendendo più complicato individuare la giusta metodologia da applicare a un determinato settore. Ovviamente, il consulente supporta l’organizzazione nell’identificare il metodo di risk analisys più adeguato, ma spetta sempre all’azienda cliente la scelta definitiva sul metodo ritenuto più idoneo. Un ausilio concreto per effettuare la predetta scelta è rappresentato dalla norma ISO 31000 (Gestione del rischio – linee guida), che fornisce un riferimento importante per un corretto approccio al rischio, in quanto i principi, la struttura di riferimento e i processi delineati in questo standard consentono di gestire il rischio in modo efficiente, efficace e sistematico.
La norma ISO 9001:2015, con l’introduzione del concetto di “risk-based thinking”, non fornisce metodologie specifiche da applicare, ma ci indica chiaramente che l’attenzione del management deve concentrarsi sul processo di gestione del rischio (pianificazione e design, implementazione e benchmarking, misurazione e monitoraggio, learning e reporting), che deve essere in sintonia con la cultura aziendale e con il livello di competenza tecnica del personale, proporzionata alle caratteristiche dell’organizzazione (dimensione, natura, complessità della medesima e stakeholder coinvolti), incorporata in tutte le attività aziendali e attenta alle mutevoli dinamiche di mercato.
Ha maturato oltre 15 anni di esperienza lavorativa nel settore della consulenza per la progettazione, realizzazione e manutenzione dei sistemi di gestione per la qualità (ISO 9001), dei sistemi di sicurezza delle informazioni (ISO 27001) e dei sistemi di business continuity (ISO22301). Svolge anche il ruolo di auditor di seconda e terza parte per i predetti schemi. Inoltre, ha maturato una notevole esperienza nell’adeguamento delle aziende al Regolamento Europeo 2016/679 (GDPR). Collabora con alcune delle più importanti società di consulenza italiane e internazionali, università e business school. Da 7 anni ha fondato la propria società di consulenza, Newconsulting Srl, con sede a Parma.