La norma UNI EN ISO ISO 9001:2015 ha introdotto alcune novità per la gestione del Sistema di Qualità nelle imprese; la più significativa afferisce al “Risk Based Thinking”.
Il “Risk Based Thinking” è un approccio sistemico alla gestione dei rischi a tutti i livelli dell’organizzazione; la sua connotazione innovativa riguarda la valutazione dei rischi con una logica “enterprise” non più dipartimentale, basata sui processi e che considera il rischio come possibile effetto sul mancato raggiungimento di obiettivi.
Le caratteristiche distintive dell’approccio “, Risk Based Thinking” sono principalmente 4 e vengono riportate nell’approfondimento omonimo. In sostanza l’approccio si traduce in una gestione strategica dei rischi che conduce ad identificarli anche come opportunità che coinvolgono una dimensione estesa dell’azienda, oltre i ruoli preposti, e che possono interessare azioni positive riguardanti le vendite, la finanza e molte altre e non solo azioni derivanti dalla presenza di leggi e decreti coercitivi.
Il metodo con cui arrivare a creare Valore partendo da un mero esercizio di conformità viene spiegato con un esempio di applicazione, suggerito dalle linee guida indicate nella UNI ISO 31000:2010 – Gestione del Rischio. Comprendere questo approccio è tanto più importante perché la generazione del valore determinata dall’approccio “Risk Based Thinking” è sicuramente oggi una necessità interna alle aziende e diventerà nel tempo sempre più una richiesta del mercato.
La prima fase di definizione del contesto porta a mappare i processi rilevanti e fornisce come output una prima classificazione delle famiglie di rischio: rischi esterni (rischi connessi all’ambiente esterno dell’organizzazione e difficilmente influenzabili dall’interno dell’organizzazione stessa), rischi strategici (rischi che possono impattare le decisioni strategiche e inficiare il modello di business), rischi finanziari (rischi legati ad una gestione non coerente con gli obiettivi e gli obblighi di liquidità, di disponibilità di capitali e del credito), rischi operativi (rischi relativi a processi di business inefficienti/inefficaci e a non conformità, con impatti negativi sulla creazione del valore).
Per ciascuna famiglia di rischio vengono identificate le aree di rischio:
| Famiglia di Rischio | Area di Rischio |
|
Rischi esterni |
Evoluzione della domanda |
| Concorrenza | |
| Contrazione dei consumi | |
| Evoluzione tecnologica | |
| Cambiamenti normativi | |
| Eventi naturali | |
|
Rischi strategici |
Mercato |
| Modello di business | |
| Innovazione | |
|
Rischi finanziari |
Credito |
| Interessi | |
| Liquidità | |
| Cambio | |
|
Rischi operativi |
Risorse umane |
| Produzione | |
| Catena di Fornitura | |
| Conformità | |
| Information Technology |
Per ogni area di rischio vengono identificati i rischi specifici; a titolo esemplificativo concentriamoci sulla famiglia dei Rischi Operativi, in particolare su 4 Aree di rischio: Risorse Umane, Produzione, Catena di fornitura, Information Technology e mappiamo i Rischi specifici. Lo stesso approccio può essere seguito su qualunque altra Famiglia/Area di Rischio.
|
Area di Rischio |
Rischi specifici |
|
Risorse umane |
Perdita di risorse aziendali chiave per managerialità e competenze |
| Formazione inefficace in relazione agli skill richiesti | |
| Piani di incentivazione inadeguati | |
| Eventi con potenziale impatto sulla salute e sicurezza dei lavoratori | |
|
Produzione |
Perdita/danni/malfunzionamenti di asset primari |
| Inefficienza produttiva: scarti, colli di bottiglia | |
| Errori nella pianificazione e allocazione risorse | |
| Qualità prodotto non in linea con i requisiti cliente | |
| Eventi di impatto ambientale: fuoriuscita inquinanti, contaminazione | |
|
Catena di fornitura |
Dipendenza da fornitori critici per l’approvvigionamento |
| Disponibilità, costo di materie prime essenziali | |
| Disponibilità, costo dei servizi logistici | |
| Adeguatezza del livello di servizio: ritardi consegne | |
| Criticità dei livelli di stock a magazzino | |
|
Information Technology |
Rischio violazione privacy dei dati |
| Inadeguatezza delle misure di sicurezza logica e fisica, delle logiche di accesso e degli schemi di “segregation of duties “ | |
| Indisponibilità di sistemi e dati | |
| Alterazione, manipolazione, perdita di dati |
La fase successiva del processo di gestione rischi prevede la definizione dei criteri di valutazione che verranno applicati sui rischi mappati. Ne esistono diversi in letteratura e applicati in funzione della complessità di valutazione richiesta; possono essere basati su algoritmi di calcolo, su matrici bidimensionali, su misurazioni strumentali. A titolo esemplificativo riportiamo il criterio a matrice bidimensionale a più livelli, dove gli elementi della matrice sono la probabilità di accadimento dell’evento e l’impatto:
Probabilità: espressa in % di accadimento dell’evento su un orizzonte temporale di 1 anno
Impatto: impatto finanziario su flussi di cassa e sul margine operativo netto
Definiti dunque i criteri di valutazione del rischio, si passa alla valutazione R = P x I dei rischi mappati il cui risultato complessivo è riproducibile in una “heat map” (sono riportati i rischi R >= 6):
Fig. 2 – Heat Map
Nell’esempio esposto, la valutazione del rischio con relativa “heat map” ha portato dunque in evidenza rischi fortemente impattanti sugli aspetti finanziari:
- nella gestione dei fornitori
- nella disponibilità di stock a magazzino
- nei tempi di consegna
- nella gestione delle risorse umane
E’ in questi ambiti che andranno indirizzati i piani di trattamento dei rischi e di miglioramento; un punto di attenzione, anche se meno rilevante, verso l’area dell’Information Technology in cui si è rilevato il rischio di alterazione, manipolazione, perdita dei dati.
Ecco quindi che la gestione dei rischi, affrontata con l’approccio sistemico del” Risk Based Thinking,” genera valore per l’impresa, ben oltre alle comuni prassi di conformità alle normative in quanto:
- Aumenta la consapevolezza delle persone nell’individuare e affrontare i rischi con una logica collaborativa; i lavoratori di ogni livello iniziano a riflettere sui possibili rischi delle loro attività quotidiane e a mettere a fattor comune il proprio know how.
- Individua i rischi maggiori e estrapola le opportunità migliori; il rischio visto dunque non solo come aspetto meramente negativo della vita dell’impresa ma anche come strumento di opportunità per il miglioramento continuo.
- Supporta le decisioni; consente un puntuale esame di ciò che può fare crescere l’impresa e di ciò che potrebbe creare problemi, supportando decisioni tempestive ed efficaci.
