Strumenti per il pensiero basato sul rischio

C'è un nuovo capitolo importante nel catalogo dei requisiti delle norme rivedute ISO 9001:2015 e ISO 14001:2015. Sotto 6 "Pianificazione", la prima voce è 6.1 "Misure per affrontare i rischi legati ai pericoli e alle opportunità". Ciò significa che un'azienda che vuole rispettare le norme deve essere in grado di dimostrare processi che servono a identificare opportunità e pericoli, a valutare i loro rischi e a definire e attuare tutte le misure necessarie per l'uso ottimale delle opportunità o la prevenzione dei pericoli. Sia gli enti di standardizzazione che quelli di certificazione partono dal presupposto che questo pensiero basato sul rischio non è nuovo nelle aziende, ma è sempre stato implicitamente presente. Ciò che è nuovo, tuttavia, è che deve essere esplicitamente documentato come parte del sistema di gestione. Di seguito, vengono presentati alcuni strumenti che possono essere utilizzati in azienda per conformarsi al nuovo requisito.

L'analisi degli stakeholder

L'analisi degli stakeholder è essa stessa un nuovo requisito degli standard rivisti. Allo stesso tempo, è uno strumento per identificare le opportunità e i rischi rilevanti dalle aspettative delle parti interessate. La Fig. 1 mostra la struttura di una tale analisi degli stakeholder. Le parti interessate sono identificate linea per linea. Questo implica pensare a tutte le parti interessate che a) hanno particolari aspettative dall'organizzazione o b) hanno particolari opportunità di influenzare l'organizzazione. Questi includono di solito clienti, fornitori, impiegati, azionisti, alcune associazioni, gruppi d'interesse, ONG, autorità pubbliche, ecc. In due gruppi di colonne, gli interessi e l'influenza potenziale di ogni stakeholder identificato sono poi annotati e le opportunità e le minacce per l'organizzazione sono derivate da essi. In un ultimo gruppo di colonne, sono derivate le possibili linee d'azione verso questo stakeholder. Queste opzioni comportamentali sono misure nel senso del requisito standard. L'obiettivo è di influenzare lo stakeholder in modo tale che le opportunità identificate possano essere sfruttate e le minacce evitate.

L'analisi della rilevanza ambientale (nel quadro della ISO 14001)

La consolidata analisi di rilevanza ambientale (cfr. Fig. 2) identifica le aree dell'organizzazione con effetti rilevanti sull'ambiente e determina gli aspetti ambientali in cui si verificano gli effetti e la loro entità. Un grande impatto ambientale è sempre associato a opportunità e minacce. Il mancato controllo dell'impatto ambientale porta al rischio di violazioni della legge e alle corrispondenti reazioni governative e/o danni all'immagine dell'azienda. D'altra parte, una buona gestione degli impatti ambientali può rafforzare la reputazione dell'organizzazione. L'analisi dell'impatto ambientale dovrebbe essere presa in considerazione quando si sviluppano obiettivi e misure ambientali, e quindi anche come affrontare le opportunità e le minacce identificate in essa.

Il processo di gestione del rischio

Non è un requisito per avere e usare un processo formale di gestione del rischio, anche sotto gli standard ISO 9001 e ISO 14001 rivisti. Tuttavia, un processo formale di gestione del rischio assicura l'identificazione richiesta di opportunità e minacce e la derivazione di misure appropriate estremamente bene ed è quindi altamente raccomandato. La figura 3 mostra un processo di gestione del rischio conforme alla norma ISO 31000 che si è dimostrato molto efficace nella pratica. Il processo è adatto a qualsiasi tipo di rischio - il perimetro corrispondente e le categorie d'impatto appropriate devono essere definite in ogni caso nel passo "Define context". In generale, un'organizzazione dovrebbe applicare il processo alla sua strategia, ai suoi principali progetti d'investimento, ai suoi rischi che minacciano la sopravvivenza, e possibilmente al suo sviluppo del prodotto e all'approvvigionamento.

Un processo di gestione del rischio richiede che, oltre agli strumenti per identificare opportunità e minacce e metodi per valutare i rischi, l'organizzazione determini anche dove si trova il limite per accettare i rischi. I rischi non solo devono essere ridotti con misure, ma devono anche essere valutati in anticipo se sono accettabili o meno. Questo e anche il monitoraggio e la revisione dei rischi identificati e trattati rappresentano un surplus rispetto ai requisiti di ISO 9001 e ISO 14001. Tuttavia, ha grandi vantaggi per una gestione coerente delle opportunità e delle minacce, che include anche i processi decisionali.

Identificazione dei pericoli lungo la Balanced Scorecard (BSC)

Uno strumento raccomandato per identificare e documentare le opportunità e le minacce è una mappa mentale i cui quattro rami principali sono assegnati alle quattro aree centrali della BSC. In una sessione di brainstorming, queste quattro aree vengono sistematicamente esaminate e si cercano i fattori scatenanti o le ragioni delle opportunità e delle minacce. Il processo si affina dal generale allo specifico ponendo sempre la domanda "cosa potrebbe succedere lì". I risultati corrispondenti sono inseriti nella mappa mentale. Le più interessanti e potenzialmente più significative di queste opportunità e minacce possono poi essere valutate in termini di rischio e trattate con misure se il rischio non è tollerabile.

Il portafoglio dei rischi

Il portafoglio dei rischi è molto adatto per classificare le opportunità e le minacce, valutare i rischi corrispondenti e derivarne le misure. Il portafoglio dei rischi consiste semplicemente in una matrice, su un asse della quale si inserisce la probabilità che si verifichi o la frequenza di uno scenario di opportunità o minaccia. L'estensione/impatto dello scenario di opportunità o minaccia è inserito sull'altro asse. Il rischio di uno scenario di opportunità o di pericolo è derivato direttamente dalla posizione nel portafoglio secondo la formula Rischio = Probabilità volte Estensione. Le aree con rischio tollerabile, condizionatamente tollerabile e intollerabile possono essere contrassegnate come aree verdi, gialle e rosse nel portafoglio dei rischi. Gli scenari che si trovano nella gamma intollerabile devono essere trattati con misure.

"L'organizzazione determina i rischi associati ai pericoli e alle opportunità e assicura che il sistema di gestione raggiunga i risultati previsti e prevenga o riduca gli effetti indesiderati". Alla faccia degli standard. Gli strumenti che possono essere utilizzati a questo scopo provengono spesso dalla gestione tradizionale del rischio. L'assemblaggio di "settori specifici" (qualità, ambiente ...) in sistemi di gestione integrale che includono la gestione dei rischi è certamente incoraggiato da questo, il che ha perfettamente senso.