Skip to content

La gestione dei rischi dei processi aziendali: istruzioni per l’uso

La gestione dei rischi dei processi è un’attività decisamente complessa, ma fondamentale per la formulazione della strategia aziendale e il monitoraggio di tutte le attività dell’organizzazione. Vediamo quali sono i passaggi chiave che la caratterizzano.

Picture of Veronica Grigio

Veronica Grigio

Quality Specialist

Dello stesso autore

come gestire i rischi dei processi aziendali

La gestione dei rischi dei processi aziendali è un requisito che la norma tecnica ISO 13485 impone alle organizzazioni che operano nel settore medicale e che scelgono di adottarla come strumento per la costituzione del proprio Sistema di Gestione per la Qualità. A tale requisito la norma dedica giusto un paio di righe al punto 4.1.2: “L’organizzazione deve […] applicare un approccio basato sul rischio al controllo dei processi appropriati necessari per il Sistema di Gestione per la Qualità”.

Dietro a questa semplice frase, tuttavia, si cela un processo decisamente complesso, eppure fondamentale per la formulazione della strategia aziendale e il monitoraggio di tutte le attività svolte dall’organizzazione.

Il processo di gestione dei rischi dei processi aziendali può essere condotto seguendo quanto delineato nella norma ISO 31000 (Gestione del rischio – Linee guida) e, in generale, può essere schematizzato come segue:

norma ISO 31000

L’attività di gestione del rischio dovrebbe essere affidata ad un team qualificato e costituito per lo scopo, composto – solitamente – almeno dalla Direzione e dai responsabili dei processi aziendali.

 

Definizione del contesto

Una costante comunicazione e consultazione con le parti interessate – interne ed esterne – è importante per assicurare che l’organizzazione abbia un quadro esaustivo dei rischi che deve affrontare.

Prima di intraprendere l’attività di gestione dei rischi dei processi, dunque, è importante valutare e comprendere il contesto interno e il contesto esterno dell’organizzazione: entrambi possono influenzare significativamente i parametri da prendere in considerazione nella gestione del rischio.

Il contesto interno è inteso come qualsiasi situazione “endogena” che può influenzare il modo in cui l’organizzazione stessa gestirà il rischio. Il processo di gestione del rischio dovrebbe essere allineato con la cultura, la struttura e la strategia aziendale.

Parametri che possono essere presi in considerazione in sede di analisi del contesto esterno includono l’ambito sociale e culturale, giuridico, normativo, tecnologico, nonché fattori e tendenze chiave che hanno o possono avere un impatto sugli obiettivi dell’organizzazione.

 

Processo di gestione dei rischi

 

Identificazione dei rischi

Scopo di questo primo passaggio è l’identificazione di eventi e situazioni – nonché delle loro cause – che potrebbero influenzare il raggiungimento degli obiettivi aziendali. È importante identificare tutti i processi (ed eventuali sotto-processi) più critici, e – per ciascuno di essi – individuare i singoli rischi a criticità maggiore in base al danno che possono provocare (es. disagio organizzativo, disagio economico, danno di immagine, danno alla sicurezza dell’uomo/dell’ambiente, …).

 

Analisi dei rischi

L’analisi dei rischi consiste nel determinare le conseguenze del verificarsi di ciascun evento pericoloso identificato nella fase precedente, sulla base della gravità del danno, della probabilità di accadimento e tenendo in considerazione anche eventuali misure di controllo già poste in essere.

Ad ogni evento pericoloso dovrebbero essere associati, dunque, un Indice di gravità (IG) e un Indice di probabilità (IP), nonché un Indice di efficacia (IE) delle misure di controllo già esistenti.

Combinando questi tre indici si determina il rischio associato al singolo evento pericoloso, in particolare:

Indice di rischio (IR) = IG × IP × IE

 

Valutazione dei rischi

In questa fase gli indici di rischio ottenuti dall’analisi descritta sopra vengono confrontati con i criteri di accettabilità stabiliti dall’organizzazione. I rischi valutati possono essere suddivisi in:

  • trascurabili, e quindi accettabili
  • da gestire
  • intollerabili, e quindi inaccettabili

I rischi accettabili dovrebbero essere quelli già controllati adeguatamente, mentre quelli inaccettabili o da gestire necessitano un trattamento specifico per essere mitigati.

 

Trattamento dei rischi

I rischi valutati come inaccettabili o da gestire dovrebbero essere trattati mettendo in atto ulteriori azioni di mitigazione adeguate. Il piano di trattamento dei rischi dovrebbe descrivere almeno le azioni da compiere, i responsabili dell’attuazione e della verifica di efficacia, nonché i tempi previsti. A ciascuna azione dovrebbe corrispondere, poi, un Indice di ulteriore efficacia (IUE).

È possibile, quindi, calcolare l’Indice di rischio residuo (IRR):

IRR = IR × IUE

 

L’IRR dovrebbe ricadere all’interno della soglia di accettabilità o almeno nella soglia da gestire, altrimenti l’organizzazione dovrebbe attuare ulteriori azioni di mitigazione del rischio.

 

Monitoraggio e riesame

La gestione dei rischi dei processi aziendali deve essere opportunamente registrata all’interno di un documento del Sistema di Gestione per la Qualità. Tale documento dovrebbe essere riesaminato periodicamente e ogni qualvolta venga attuata una modifica ai processi dell’organizzazione.

In caso di modifica, questa dovrebbe essere valutata per il suo impatto sul Sistema di Gestione per la Qualità aziendale e sui prodotti e/o servizi che l’organizzazione offre. Per ciascuna modifica deve essere analizzata l’eventuale introduzione di nuovi rischi o il mutamento della probabilità di accadimento di un rischio già identificato e valutato in precedenza.

Se necessario, l’organizzazione dovrebbe attuare opportune azioni per il controllo dei rischi nuovi o modificati.

 

Benefici per l’organizzazione

Oltre al soddisfacimento di un requisito, la corretta applicazione di un’adeguata procedura per la gestione dei rischi dei processi aziendali consente di ottenere svariati benefici aziendali, quali ad esempio:

  • aumento della probabilità di raggiungere con successo gli obiettivi prefissati
  • miglioramento della governance aziendale
  • determinazione di una base affidabile per il processo decisionale e la pianificazione delle attività
  • utilizzo efficace delle risorse per il trattamento delle criticità
  • protezione dei valori dell’azienda quali know-how e reputazione
  • messa in atto di misure di controllo efficaci
  • aumento delle prestazioni dell’efficienza aziendale
  • soddisfazione dei requisiti dei clienti
Picture of Veronica Grigio

Veronica Grigio

Quality Specialist

I nostri servizi associati a questo tema

Iscriviti alla newsletter di Clariscience

Articoli consigliati

Gli strumenti di misura necessari a fornire evidenza della conformità dei prodotti ai requisiti determinati dall’organizzazione dovrebbero essere tenuti sotto…
Gli audit MDSAP vengono condotti da organismi accreditati e designati dal Consiglio delle Autorità Competenti.
La gestione dell’infrastruttura è un tema particolarmente rilevante per le aziende che operano nel settore medicale.
La gestione dei rischi dei processi aziendali è un requisito imposto dalla norma ISO 13485: “L’organizzazione deve […] applicare un…

Desideri avere maggiori informazioni sui nostri servizi?

SERVIZI

Desideri avere maggiori informazioni sui nostri servizi.

ABOUT US

Corporate

Scopri quali sono i valori alla base della nostra azienda, l’ecosistema all’interno del quale operano le persone che lavorano con noi, l’approccio che adottiamo nel rapporto con il cliente e le iniziative liberali selezionate e sostenute negli anni.

Work with us

Informati su eventuali posizioni aperte, invia la tua candidatura spontanea e scopri quali sono le caratteristiche dei profili professionali di chi già lavora con noi.

Programma segnalatori

Se operi nel settore life science, c’è una nuova opportunità che ti aspetta. Partecipando al Clariscience Referral Program potrai mettere a frutto economicamente la tua esperienza e la tua rete di contatti.

Desideri avere maggiori informazioni sui nostri servizi?