La norma UNI EN ISO ISO 9001:2015 ha introdotto alcune novità per la gestione del Sistema di Qualità nelle imprese; la più significativa afferisce al “Risk Based Thinking”.
Il “Risk Based Thinking” è un approccio sistemico alla gestione dei rischi a tutti i livelli dell’organizzazione; la sua connotazione innovativa riguarda la valutazione dei rischi con una logica “enterprise” non più dipartimentale, basata sui processi e che considera il rischio come possibile effetto sul mancato raggiungimento di obiettivi.

Le caratteristiche distintive dell’approccio “, Risk Based Thinking” sono principalmente 4 e vengono riportate nell’approfondimento omonimo. In sostanza l’approccio si traduce in una gestione strategica dei rischi che conduce ad identificarli anche come opportunità che coinvolgono una dimensione estesa dell’azienda, oltre i ruoli preposti, e che possono interessare azioni positive riguardanti le vendite, la finanza e molte altre e non solo azioni derivanti dalla presenza di leggi e decreti coercitivi.

Il metodo con cui arrivare a creare Valore partendo da un mero esercizio di conformità viene spiegato con un esempio di applicazione, suggerito dalle linee guida indicate nella UNI ISO 31000:2010 – Gestione del Rischio. Comprendere questo approccio è tanto più importante perché la generazione del valore determinata dall’approccio “Risk Based Thinking” è sicuramente oggi una necessità interna alle aziende e diventerà nel tempo sempre più una richiesta del mercato.

La prima fase di definizione del contesto porta a mappare i processi rilevanti e fornisce come output una prima classificazione delle famiglie di rischio: rischi esterni (rischi connessi all’ambiente esterno dell’organizzazione e difficilmente influenzabili dall’interno dell’organizzazione stessa), rischi strategici (rischi che possono impattare le decisioni strategiche e inficiare il modello di business), rischi finanziari (rischi legati ad una gestione non coerente con gli obiettivi e gli obblighi di liquidità, di disponibilità di capitali e del credito), rischi operativi (rischi relativi a processi di business inefficienti/inefficaci e a non conformità, con impatti negativi sulla creazione del valore).

Per ciascuna famiglia di rischio vengono identificate le aree di rischio:

Famiglia di Rischio Area di Rischio

Rischi esterni

Evoluzione della domanda
Concorrenza
Contrazione dei consumi
Evoluzione tecnologica
Cambiamenti normativi
Eventi naturali

Rischi strategici

Mercato
Modello di business
Innovazione

Rischi finanziari

Credito
Interessi
Liquidità
Cambio

Rischi operativi

Risorse umane
Produzione
Catena di Fornitura
Conformità
Information Technology

Per ogni area di rischio vengono identificati i rischi specifici; a titolo esemplificativo concentriamoci sulla famiglia dei Rischi Operativi, in particolare su 4 Aree di rischio: Risorse Umane, Produzione, Catena di fornitura, Information Technology e mappiamo i Rischi specifici. Lo stesso approccio può essere seguito su qualunque altra Famiglia/Area di Rischio.

Area di Rischio

Rischi specifici

Risorse umane

Perdita di risorse aziendali chiave per managerialità e competenze
Formazione inefficace in relazione agli skill richiesti
Piani di incentivazione inadeguati
Eventi con potenziale impatto sulla salute e sicurezza dei lavoratori

Produzione

Perdita/danni/malfunzionamenti di asset primari
Inefficienza produttiva: scarti, colli di bottiglia
Errori nella pianificazione e allocazione risorse
Qualità prodotto non in linea con i requisiti cliente
Eventi di impatto ambientale: fuoriuscita inquinanti, contaminazione

Catena di fornitura

Dipendenza da fornitori critici per l’approvvigionamento
Disponibilità, costo di materie prime essenziali
Disponibilità, costo dei servizi logistici
Adeguatezza del livello di servizio: ritardi consegne
Criticità dei livelli di stock a magazzino

Information Technology

Rischio violazione privacy dei dati
Inadeguatezza delle misure di sicurezza logica e fisica, delle logiche di accesso e degli schemi di “segregation of duties “
Indisponibilità di sistemi e dati
Alterazione, manipolazione, perdita di dati

La fase successiva del processo di gestione rischi prevede la definizione dei criteri di valutazione che verranno applicati sui rischi mappati. Ne esistono diversi in letteratura e applicati in funzione della complessità di valutazione richiesta; possono essere basati su algoritmi di calcolo, su matrici bidimensionali, su misurazioni strumentali. A titolo esemplificativo riportiamo il criterio a matrice bidimensionale a più livelli, dove gli elementi della matrice sono la probabilità di accadimento dell’evento e l’impatto:

Probabilità: espressa in % di accadimento dell’evento su un orizzonte temporale di 1 anno

Impatto: impatto finanziario su flussi di cassa e sul margine operativo netto

Definiti dunque i criteri di valutazione del rischio, si passa alla valutazione R = P x I dei rischi mappati il cui risultato complessivo è riproducibile in una “heat map” (sono riportati i rischi R >= 6):

Fig. 2 – Heat Map

Nell’esempio esposto, la valutazione del rischio con relativa “heat map” ha portato dunque in evidenza rischi fortemente impattanti sugli aspetti finanziari:

  • nella gestione dei fornitori
  • nella disponibilità di stock a magazzino
  • nei tempi di consegna
  • nella gestione delle risorse umane

E’ in questi ambiti che andranno indirizzati i piani di trattamento dei rischi e di miglioramento; un punto di attenzione, anche se meno rilevante, verso l’area dell’Information Technology in cui si è rilevato il rischio di alterazione, manipolazione, perdita dei dati.

Ecco quindi che la gestione dei rischi, affrontata con l’approccio sistemico del” Risk Based Thinking,” genera valore per l’impresa, ben oltre alle comuni prassi di conformità alle normative in quanto:

  1. Aumenta la consapevolezza delle persone nell’individuare e affrontare i rischi con una logica collaborativa; i lavoratori di ogni livello iniziano a riflettere sui possibili rischi delle loro attività quotidiane e a mettere a fattor comune il proprio know how.
  2. Individua i rischi maggiori e estrapola le opportunità migliori; il rischio visto dunque non solo come aspetto meramente negativo della vita dell’impresa ma anche come strumento di opportunità per il miglioramento continuo.
  3. Supporta le decisioni; consente un puntuale esame di ciò che può fare crescere l’impresa e di ciò che potrebbe creare problemi, supportando decisioni tempestive ed efficaci.