Non ci eravamo ancora abituati a chiamare l'attuale ISO 9001 con la sua corretta estensione, 2008, (non più ISO 9001:2000, dunque) che già si iniziava a parlare della nuova revisione della norma che regola i Sistemi di Gestione per la Qualità e che sarà pubblicata, presumibilmente, alla fine del 2015.
La nuova ISO 9001 propone un nuovo approccio al concetto di valutazione e gestione del rischio. L’approccio per processi, il risk-based thinking, lo standard ISO 31000 e la definizione di rischio come effetto dell’incertezza sugli obiettivi.
In particolare la novità e il rafforzamento “stanno nell’integrazione tra approccio per processi, metodologia pdca e approccio al rischio. Dove la metodologia conosciuta come " plan-do-check-act" (pdca) è applicabile a tutti i processi:
- “plan: stabilire gli obiettivi ed i processi necessari per fornire risultati in conformità ai requisiti del cliente e alle politiche dell'organizzazione;
- do: attuare i processi;
- check: monitorare e misurare i processi ed il prodotto a fronte delle politiche, degli obiettivi e dei requisiti relativi al prodotto e riportarne i risultati;
- act: intraprendere azioni per migliorare in continuo le prestazioni dei processi”.
E la nuova norma “rende esplicito l’approccio basato sul rischio che era implicito” nella precedente norma 9001 e indica proprio lo standard ISO 31000 come “linea guida di riferimento per estendere le misure minime stabilite fino a stabilire un approccio formalizzato per la gestione del rischio relativo alla qualità dei propri prodotti/servizi e dei propri processi”.
L’intervento ricorda che lo scopo della ISO 9001 è di assicurare ai clienti di un’organizzazione/azienda che:
- “conosce i propri clienti;
- sa quello del quale hanno bisogno o che desiderano;
- è in grado di fornire in modo ripetitivo un prodotto/servizio che rispetta tali requisiti”.
Uno dei “cambiamenti cruciali” della nuova norma ISO9001:2015, attesa per settembre 2015, presentati nel documento, riguardano il fatto che ora “spetta all’organizzazione, sulla base del ‘risk-based thinking’, determinare quale sia il tipo, l’ampiezza e la profondità dei controlli per l’azienda ed il servizio”.
risk-based thinking.
Il Risk-based thinking “è il processo che dimostra che l’organizzazione comprende quali siano i rischi al proprio SGQ e ai processi che lo costituiscono che possono influenzare la capacità di raggiungere gli obiettivi previsti”.
È dunque necessario “produrre le evidenze che dimostrano che i rischi sono stati identificati e che sono state previste le azioni proporzionali alle conseguenze. I rischi sono dinamici e cambiano con il passare del tempo quindi questo approccio è continuativo e non si esegue una volta sola”.
E se il “risk-based thinking” è sempre stato implicito nella ISO9001 - come ricordato nel precedente intervento – ora viene esplicitato direttamente. Se il documento “non fornisce indicazioni su una o più metodologie” da adottare, è evidente che “la solidità dell’approccio al rischio deve essere proporzionata alle conseguenze che potrebbero nascere nel caso in cui l’incertezza diventasse realtà”.
Riguardo alle azioni per affrontare i rischi e le opportunità, la clausola 6.1.2 della futura ISO 9001:2015 è nuova. Indica che “quando l’organizzazione ha identificato rischi ed opportunità deve decidere come gestirli. C’è anche un’affermazione in merito alla proporzionalità tra le azioni da intraprendere e l’effetto atteso sulla conformità del prodotto/servizio e sulla soddisfazione del cliente”. Ed è chiaro che “una valutazione sbagliata non renderà adatto il SGQ e quindi non efficace”.
Commenti