ISO 9001 2015: Risk Based Approach, mappatura dei processi e strategia aziendale
- Febbraio 16, 2022
- Posted by: Federico Olivo
- Categoria: Sicurezza
Sappiamo che per tutti gli standard internazionali sono previste delle revisioni periodiche da parte dei comitati tecnici di riferimento. È vero che molte volte le norme non vengono aggiornate con la frequenza che ci si aspetterebbe ma per chi lavora con standard ISO 9001 da qualche anno, risulta evidente il grande cambiamento degli ultimi due decenni.
Probabilmente il cambiamento più impattante è stato quello della “VISION 2000”. L’evoluzione dalla norma a 20 punti del 1994 al nuovo standard pubblicato nel 2000 presenta tantissime novità e sancisce sostanzialmente il passaggio dal “controllo qualità” al “management della qualità”, dal focus sul controllo del prodotto al governo dei processi.
La revisione del 2008 ha portato poi solo dei piccoli aggiustamenti ma nulla di stravolgente. Un cambiamento di una certa portata lo troviamo invece con la versione del 2015.
Analisi dei rischi e visione strategica
Abbiamo già parlato dell’importanza dell’analisi del contesto in un precedente articolo ma nell’opinione di chi scrive anche il cosiddetto “Risk Based Approach” ha un impatto non trascurabile.
Il passaggio da una versione all’altra della norma è più o meno graduale e, guardando alla sola versione precedente, i cambiamenti sembrano spesso leggeri ma, volgendo lo sguardo all’intero percorso degli ultimi 20 anni, si nota un’attenzione sempre più pervasiva dallo standard agli aspetti strategici dell’organizzazione.
Sicuramente l’approccio basato sui rischi è uno degli elementi che mette l’accento verso una gestione strategica delle risorse. Beninteso: i risvolti sono spesso concreti ed operativi, anche nei controlli sui prodotti e sui processi, ma l’approccio parte da più in alto, ovvero da come investiamo le risorse (sempre limitate) per i controlli in funzione del rischio.
In questo senso un approccio che ho avuto modo di sperimentare sul campo e di condividere con partner e clienti si è dimostrato particolarmente efficace. Non si tratta di inventare nulla di nuovo, ma di combinare elementi che già conosciamo bene:
- matrici per la valutazione dei rischi;
- mappatura dei processi.
In realtà l’approccio è già molto utilizzato in determinati ambiti specifici, ad esempio nel settore automotive dove si ha familiarità con strumenti come APQP, PPAP, FMEA. Proprio quest’ultimo strumento, applicato ai processi, ci fornisce una possibile efficace chiave di lettura dei rischi nei processi aziendali.
L’innovazione di per sé sta forse nell’applicare questo metodo anche ai processi organizzativi ed ai macro processi invece che limitarlo ai processi produttivi o di progettazione.
La mappatura dei processi
Mappando i processi è possibile scomporli nelle azioni elementari ed utilizzarle come elementi da sottoporre a valutazione utilizzando uno FMEA di processo. In questo modo è possibile individuare gli aspetti critici per definire dei piani di controllo e, analizzando i risultati, aggiornare lo FMEA per un aggiornamento dinamico dei livelli di rischio, relativi piani di controllo e gestione delle risorse.
Potrebbe sorgere un dubbio su cosa individuare per primo: la valutazione del rischio mi aiuta ad individuare i processi critici, la mappatura dei processi mi aiuta ad individuare le azioni da valutare. Sembra il classico problema se venga prima l’uovo o la gallina. In realtà si tratta di procedere per gradi e, certamente, di implementare un circolo virtuoso di miglioramento e controllo dei processi basandosi sulla valutazione dei rischi.
Un percorso concreto
In un articolo precedente abbiamo descritto delle tecniche efficaci per individuare i processi critici per un’organizzazione, basandoci sul contributo che questi portano per il raggiungimento degli obiettivi aziendali. Per trovare i processi fondamentali partiamo quindi dagli obiettivi prima che dai rischi, i quali possono venirci in aiuto in un secondo momento per affinare i processi in termini di controllo ed ottimizzazione.
Dovendo quindi immaginare un possibile percorso per arrivare a una mappatura basata sul Risk Based Approach i passi potrebbero essere i seguenti:
- Fare l’analisi del contesto;
- identificare gli obiettivi strategici;
- individuare i processi che portano il maggior contributo al raggiungimento di tali obiettivi;
- definire una prima priorità nella mappatura in funzione della valutazione precedente, di obblighi normativi, legislativi o contrattuali e delle considerazioni di opportunità da parte della direzione;
- mappare i processi e individuare le azioni elementari che li compongono;
- impostare una FMEA con tali azioni elementari;
- indirizzare le risorse al fine di modificare i processi o introdurre i controlli per ridurre i rischi individuati;
- analizzare i dati per aggiornare le FMEA (punto 6) e ripetere il punto 7 per un miglioramento continuo.
La fase che presenta una maggiore discrezionalità è forse la 4, dove la direzione prende delle decisioni basandosi anche sulla propria esperienza e sul proprio sentiment per individuare le criticità che rendono consigliabile la mappatura dei processi.
Il peso della soggettività è ben supportato però da un approccio analitico: abbiamo creato precedentemente, attraverso i passi 1, 2 e 3, una base di dati oggettivi che preparano bene il campo a questa prima valutazione di criticità. Sicuramente la direzione è il ruolo con la visuale più appropriata, ovvero di alto livello, per indirizzare le risorse in questa prima fase.
Nei passi successivi, operando a un maggior livello di dettaglio nell’analisi, possono comunque emergere tutti i fattori utili per riconsiderare livelli di rischio e criticità dei processi.
La mappatura dei processi aziendali connessa alla valutazione del rischio
La novità sostanziale sta nel considerare strettamente correlate le operazioni di mappatura e quella di valutazione del rischio. So che da un punto di vista logico può sembrare scontato ma mi è capitato spesso di vedere le due cose gestite in modo separato e indipendente: la valutazione dei rischi e la descrizione dei processi.
Questo deriva probabilmente da un approccio “incrementale” all’innovazione proposta dalla norma, invece di coglierla nella sua interezza. Alcune organizzazioni al momento del passaggio dalla versione precedente allo standard ISO 9001:2015 non hanno rivisto l’intero sistema ma si sono limitate a integrare le novità, come se non avessero nessuna correlazione con tutto il resto:
- “Quali sono le principali novità?”
- “Analisi del contesto, Valutazione dei rischi, …”
- “Ok, allora le procedure ce le abbiamo già e non si toccano, basta aggiungere l’analisi de contesto e la valutazione dei rischi e siamo a posto…”.
Come se le procedure, che descrivono i processi, fossero indipendenti dal contesto e dai rischi.
Pensaci bene: le procedure, se sono ben fatte, cosa descrivono e definiscono nella tua organizzazione? Dovrebbero descrivere proprio i processi, le responsabilità, chi fa cosa, come e perché.
E dunque se devi valutare i rischi, non dovrebbe risultare naturale che il primo supporto da cui partire sia proprio la mappa dei processi, assieme all’analisi del contesto e agli obiettivi dell’organizzazione?
Se poi lavorando sulla valutazione dei rischi scopri delle criticità: non sarà forse naturale che vengano introdotti dei controlli o delle modifiche per ridurre quanto possibile il grado di rischio?
Risk Management: un tool interessante
Il collegamento è strategico: ci sono addirittura degli strumenti molto interessanti che aiutano a gestire le risorse dedicate al Risk Management. Ad esempio il tool PYX4®, che adotta il metodo QUALIGRAM® per la rappresentazione grafica dei processi, ha creato un apposito modulo aggiuntivo per la gestione dei rischi, proprio basandosi sulla descrizione dei processi. L’approccio interessante in questo caso è il focus non tanto sul metodo di valutazione, quanto sulla gestione delle risorse disponibili per ottimizzare il risk management aziendale. Anche nella gestione dei rischi, infatti, le risorse sono limitate. Risulta quindi molto intelligente l’uso di un tool in grado di supportare le organizzazioni nell’ottimizzazione delle stesse in ottica di risk management.
Per impostare nel modo corretto un’analisi dei rischi che ti permetta di diminuire l’insorgere di potenziali problemi e al tempo stesso introdurre una metodologia di mappatura dei processi aziendali connessa alla visione strategica dell’azienda, puoi contare sull’esperienza di Vistra.
Un saluto