La gestione dei rischi dei processi aziendali è un requisito che la norma tecnica ISO 13485 impone alle organizzazioni che operano nel settore medicale e che scelgono di adottarla come strumento per la costituzione del proprio Sistema di Gestione per la Qualità. A tale requisito la norma dedica giusto un paio di righe al punto 4.1.2: “L’organizzazione deve […] applicare un approccio basato sul rischio al controllo dei processi appropriati necessari per il Sistema di Gestione per la Qualità”.
Dietro a questa semplice frase, tuttavia, si cela un processo decisamente complesso, eppure fondamentale per la formulazione della strategia aziendale e il monitoraggio di tutte le attività svolte dall’organizzazione.
Il processo di gestione dei rischi dei processi aziendali può essere condotto seguendo quanto delineato nella norma ISO 31000 (Gestione del rischio – Linee guida) e, in generale, può essere schematizzato come segue:
L’attività di gestione del rischio dovrebbe essere affidata ad un team qualificato e costituito per lo scopo, composto – solitamente – almeno dalla Direzione e dai responsabili dei processi aziendali.
Definizione del contesto
Una costante comunicazione e consultazione con le parti interessate – interne ed esterne – è importante per assicurare che l’organizzazione abbia un quadro esaustivo dei rischi che deve affrontare.
Prima di intraprendere l’attività di gestione dei rischi dei processi, dunque, è importante valutare e comprendere il contesto interno e il contesto esterno dell’organizzazione: entrambi possono influenzare significativamente i parametri da prendere in considerazione nella gestione del rischio.
Il contesto interno è inteso come qualsiasi situazione “endogena” che può influenzare il modo in cui l’organizzazione stessa gestirà il rischio. Il processo di gestione del rischio dovrebbe essere allineato con la cultura, la struttura e la strategia aziendale.
Parametri che possono essere presi in considerazione in sede di analisi del contesto esterno includono l’ambito sociale e culturale, giuridico, normativo, tecnologico, nonché fattori e tendenze chiave che hanno o possono avere un impatto sugli obiettivi dell’organizzazione.
Processo di gestione dei rischi
Identificazione dei rischi
Scopo di questo primo passaggio è l’identificazione di eventi e situazioni – nonché delle loro cause – che potrebbero influenzare il raggiungimento degli obiettivi aziendali. È importante identificare tutti i processi (ed eventuali sotto-processi) più critici, e – per ciascuno di essi – individuare i singoli rischi a criticità maggiore in base al danno che possono provocare (es. disagio organizzativo, disagio economico, danno di immagine, danno alla sicurezza dell’uomo/dell’ambiente, …).
Analisi dei rischi
L’analisi dei rischi consiste nel determinare le conseguenze del verificarsi di ciascun evento pericoloso identificato nella fase precedente, sulla base della gravità del danno, della probabilità di accadimento e tenendo in considerazione anche eventuali misure di controllo già poste in essere.
Ad ogni evento pericoloso dovrebbero essere associati, dunque, un Indice di gravità (IG) e un Indice di probabilità (IP), nonché un Indice di efficacia (IE) delle misure di controllo già esistenti.
Combinando questi tre indici si determina il rischio associato al singolo evento pericoloso, in particolare:
Indice di rischio (IR) = IG × IP × IE
Valutazione dei rischi
In questa fase gli indici di rischio ottenuti dall’analisi descritta sopra vengono confrontati con i criteri di accettabilità stabiliti dall’organizzazione. I rischi valutati possono essere suddivisi in:
- trascurabili, e quindi accettabili
- da gestire
- intollerabili, e quindi inaccettabili
I rischi accettabili dovrebbero essere quelli già controllati adeguatamente, mentre quelli inaccettabili o da gestire necessitano un trattamento specifico per essere mitigati.
Trattamento dei rischi
I rischi valutati come inaccettabili o da gestire dovrebbero essere trattati mettendo in atto ulteriori azioni di mitigazione adeguate. Il piano di trattamento dei rischi dovrebbe descrivere almeno le azioni da compiere, i responsabili dell’attuazione e della verifica di efficacia, nonché i tempi previsti. A ciascuna azione dovrebbe corrispondere, poi, un Indice di ulteriore efficacia (IUE).
È possibile, quindi, calcolare l’Indice di rischio residuo (IRR):
IRR = IR × IUE
L’IRR dovrebbe ricadere all’interno della soglia di accettabilità o almeno nella soglia da gestire, altrimenti l’organizzazione dovrebbe attuare ulteriori azioni di mitigazione del rischio.
Monitoraggio e riesame
La gestione dei rischi dei processi aziendali deve essere opportunamente registrata all’interno di un documento del Sistema di Gestione per la Qualità. Tale documento dovrebbe essere riesaminato periodicamente e ogni qualvolta venga attuata una modifica ai processi dell’organizzazione.
In caso di modifica, questa dovrebbe essere valutata per il suo impatto sul Sistema di Gestione per la Qualità aziendale e sui prodotti e/o servizi che l’organizzazione offre. Per ciascuna modifica deve essere analizzata l’eventuale introduzione di nuovi rischi o il mutamento della probabilità di accadimento di un rischio già identificato e valutato in precedenza.
Se necessario, l’organizzazione dovrebbe attuare opportune azioni per il controllo dei rischi nuovi o modificati.
Benefici per l’organizzazione
Oltre al soddisfacimento di un requisito, la corretta applicazione di un’adeguata procedura per la gestione dei rischi dei processi aziendali consente di ottenere svariati benefici aziendali, quali ad esempio:
- aumento della probabilità di raggiungere con successo gli obiettivi prefissati
- miglioramento della governance aziendale
- determinazione di una base affidabile per il processo decisionale e la pianificazione delle attività
- utilizzo efficace delle risorse per il trattamento delle criticità
- protezione dei valori dell’azienda quali know-how e reputazione
- messa in atto di misure di controllo efficaci
- aumento delle prestazioni dell’efficienza aziendale
- soddisfazione dei requisiti dei clienti