La ISO 9001: 2015 tratta il concetto di rischio e lo fa sotto forma di definizione, guida e requisiti.
Le edizioni precedenti della norma si limitavano a includere una clausola sull'azione preventiva che mirava a prevenire la presenza di non conformità e, in una certa misura, questo riferimento può essere letto come il primo timido approccio alla mitigazione di un possibile rischio anche se non figurava allora nessun requisito per determinare la probabilità di accadimento, per valutare le conseguenze basandosi sull'impatto previsto e per decidere se evitarlo o se gestirlo in qualche modo. Ma come vengono prese queste decisioni? Sulla base di una regola empirica o di un'analisi del rischio basata su solide basi metodologiche?
Se guardassimo la ISO 9001 utilizzando la lente del rischio, vedremmo che tutti i suoi requisiti possono essere letti come dei trattamenti di risk management, quindi non si può dire che quella della ISO 9001 e della gestione dei rischi sia una novità anche se nell'ultima versione dello standard il concetto è stato illustrato meglio.
Leggendo nello specifico ciò che si richiedeva nella vecchia versione del documento, però, vediamo che la decisione se intraprendere le attività elencate sopra in presenza di un rischio potenziale non era basata su un'analisi del rischio, sul calcolo della probabilità di accadimento e sulla stima dell'importanza di eventuali perdite, ma sul semplice fatto che occorresse rispettare dei requisiti ai quali l'organizzazione doveva conformarsi per ottenere la certificazione.
Nella versione del 2015, invece, non esistono solo requisiti per identificare e gestire i rischi come base per la pianificazione ma anche richieste ben specifiche di determinare l'efficacia delle azioni intraprese per affrontare i rischi, il che implica una qualche forma di misurazione. E sebbene non sia richiesto alcun metodo formale per la gestione dei rischi e alcun processo documentato di gestione dei rischi, è difficile immaginare un'organizzazione che sia in grado di dimostrare che i rischi siano stati identificati e affrontati e che è stata determinata l'efficacia delle azioni intraprese senza l'utilizzo di metodi solidi.
Ma vediamo cosa si definisce comunemente come “rischio”. Se cerchiamo il termine in un comune dizionario lo troveremo illustrato in termini abbastanza semplici e utilizzato per esprimere la possibilità che accada qualcosa di brutto; per esempio, "esposizione al rischio di una perdita, di lesioni o di altre circostanze avverse o indesiderate”. Non esiste un dizionario in cui il termine venga usato per esprimere la possibilità che accada qualcosa di buono. La definizione di rischio che troviamo, invece, nella ISO 9001:2015 pesca direttamente nel vocabolario del risk management, esprimendo il concetto di rischio come l'effetto dell'incertezza sugli obiettivi, ponendo la possibilità che l'incertezza possa essere qualcosa di buono o qualcosa di negativo.
Ma cos'è esattamente l'incertezza?
Con parole estremamente semplici possiamo definirla come qualcosa su cui c'è un dubbio ma non tutto ciò di cui non siamo sicuri è importante per noi. Il rischio potrebbe essere definito come quell'incertezza che risulta importante in quanto le incertezze che non presentino né rischi né opportunità relativamente alla realizzazione degli obiettivi sono semplicemente incertezze irrilevanti. Quelle che ci interessano, infatti, sono solamente le incertezze che possono causare perdite o guadagni.
Individuato cosa si intenda per rischio, resta da capire quali tipologie di incertezze dovremmo cercare. La norma lascia questa decisione alla nostra capacità di immaginazione. Ma se non riusciamo a immaginare cosa potrebbe andare storto o cosa potrebbe succedere in futuro, da dove iniziamo? Innanzitutto, ricordiamo che i rischi e le incertezze cui ci si riferisce sono strategici e non tattici, quindi in questa sede non siamo interessati a incidenti isolati come l'utilizzo di un documento obsoleto o la consegna di un ordine errato a un cliente ma a quei rischi e a quelle opportunità che possono influire sulla nostra capacità di soddisfare costantemente i nostri clienti.
Quando parliamo di rischi, il più delle volte ci riferiamo agli eventi, se qualcosa accadrà oppure no, ma ci sono altre circostanze alle quali siamo esposti e che potrebbero influenzare il nostro successo e, per aiutarci, gli studiosi della materia hanno identificato quattro tipologie di incertezze. Vediamole insieme:
- Incertezza stocastica: è l'incertezza relativa agli eventi che riguarda, cioè, il fatto che un evento accada oppure no. Per esempio si parla di incertezza stocastica quando non si sa se la fornitura di una risorsa critica cesserà o quando un improvviso attacco informatico causerà un'interruzione significativa del lavoro.
- Incertezza aleatoria: questa è l'incertezza dovuta alle variabili, cioè dipendente dal fatto che i risultati siano sempre uguali oppure diversi da quelli osservati in precedenza. Non sappiamo quale risultato di una gamma di risultati possibili otterremo, per esempio, quanto costerà qualcosa o di quanto materiale avremo bisogno.
- Incertezza epistemica - questa è l'incertezza relativa alla conoscenza. Ad esempio, se la conoscenza che abbiamo sia completa oppure no. Può riguardare, ad esempio, la conoscenza di ciò che vuole il cliente o di cosa impareremo da un'indagine.
- Incertezza ontologica - questa è l'incertezza relativa all'ignoto, cioè riguardante tutto ciò che influenza i risultati sia all'interno che all'esterno del nostro quadro di riferimento, cose alle quali non abbiamo pensato. Riflettere su queste incertezze è davvero utile per identificare più rischi e opportunità.
Esistono diversi tipi di rischio e non tutti possono essere gestiti dal sistema qualità ma vanno sempre considerati quando le potenziali perdite subite potrebbero influenzare le prestazioni del SGQ.