Gestione rischi con la ISO 9001:2015: uno strumento utile anche per le PMI. Il punto di vista di Omicron Sistemi
ASSINTEL REPORT 2020 - APPROFONDIMENTO DI PAG. 87
Il termine sicurezza, in azienda, è spesso sinonimo di “sicurezza sul lavoro”. In tal senso la gestione dei rischi si occupa della definizione dei rischi relativi a tale ambito, codificati nel Documento di Valutazione dei Rischi (DVR): uno strumento “statico”, che viene redatto una tantum e raramente aggiornato.
In realtà i concetti di sicurezza e di rischio hanno una valenza più ampia: qualunque attività aziendale comporta rischi di vario tipo (commerciali, finanziari, tecnici) che – se non attentamente gestiti – possono recare danni anche gravi.
La normativa ISO 9001:2015 introduce un approccio alla gestione del rischio “totalizzante” rispetto ai processi aziendali, promuovendo il risk-based thinking come atteggiamento fondamentale nella gestione d'impresa: non si può essere “di qualità” senza conoscere e gestire adeguatamente i propri rischi. Nel concreto la norma impone di definire i propri rischi a tutti i livelli e di monitorarne l'evoluzione con cadenza almeno annuale.
Omicron Sistemi, certificata dal 2001, ha aggiornato il proprio Sistema Qualità alla ISO 9001:2015 nel 2017. La definizione dei rischi è stato un momento prezioso di auto-analisi: sono stati coinvolti i responsabili di tutti i reparti, ciascuno con il compito di individuare i rischi legati all'attività del proprio ufficio. Abbiamo utilizzato il tradizionale metodo del PxD, definendo delle scale di probabilità e danno oggettive, arrivando a individuare 73 rischi complessivi. Il monitoraggio, operato semestralmente, ha evidenziato qualche miglioramento... ma il sistema, basato su documenti “statici” (definizione e monitoraggio), non ci sembrava all'altezza. Mancava la parte “dinamica”: perché è stato introdotto un nuovo rischio? Quali sono gli eventi che hanno portato ad abbassare la probabilità o il danno di un rischio?
Sulla base di questi requisiti abbiamo realizzato un software di gestione (Risk, attualmente anche commercializzato) che prevedesse i passaggi tradizionali della definizione e monitoraggio, ma che includesse anche la possibilità da parte dei responsabili di reparto di segnalare alla direzione rischi effettivi (legati ad eventi) o potenziali nel momento in cui si verificano o vengono percepiti: ciascuna di queste segnalazioni viene gestita dalla direzione che l'affronta in termini di soluzioni immediate e/o preventive, inserendo dove serve un nuovo rischio ed obbligandosi quindi a identificarne misure preventive e correttive anche per il futuro. Una sorta di “ticketing direzionale” che, oltre ad aver portato in due anni ad una riduzione del 17% dell'entità media dei rischi, ha reso la gestione dei rischi un processo condiviso tanto che estenderemo la possibilità di effettuare segnalazioni a tutti i lavoratori.
La nostra conclusione è che una gestione dei rischi attenta, anche grazie all'impiego di adeguati strumenti informatici, non solo consente di conformarsi alla norma ISO ma permette di migliorare l'efficacia e il controllo aziendali, anche per una PMI.