Valutazione dei rischi e risk based thinking

Il risk based thinking e la valutazione dei rischi dei processi secondo ISO 9001:2015: sono strumenti settoriali o hanno valore generale? Di Alessandro Mazzeranghi.
Con la pubblicazione della nuova edizione della ISO 9001, lo scorso anno, per la prima volta una norma di sistema di gestione, che non tratta di salute e sicurezza, ha introdotto al suo interno il concetto di valutazione dei rischi. Anzi, lo ha sistematizzato tanto da scegliere di parlare di risk based thinking; è una novità rilevante, e paradossalmente interessa anche chi, da tanti anni, ragiona in termini di valutazione dei rischi. Insomma, è una novità interessante.

Per capire meglio la questione probabilmente non basta la mera lettura della norma, per l’approccio estremamente sintetico adottato dalla stessa. È necessario uno sforzo immaginazione per capire come si potrà “interpretare” la questione nei prossimi anni, confidando in un approccio graduale dei nuovi contenuti della norma. Questo sforzo di immaginazione è proprio il contenuto di questo articolo.

La gestione di una azienda ( organizzazione) cosa deve considerare?

Noi tutti riteniamo che una azienda coincida con un business specifico, ovvero con una o più tipologie di prodotti che l’azienda vuole immettere sul mercato.

Potremmo dire quindi che una azienda nasce e vive per cogliere, cogliendo delle opportunità offertele dal mercato. Quindi la missione primaria della azienda è fare business (produrre utile) sfruttando le opportunità che le si presentano.

Questa è la base della visione capitalistica delle imprese. Ma è una visione che andava benissimo in altri tempi. Se non ci hanno pensato le aziende, ha provveduto la crisi iniziata nel 2007, a dimostrare che le aziende non possono basarsi solo sulla ricerca di opportunità, ma devono anche considerare i rischi a cui le azioni intraprese o progettate le espongono. La chiusura di tante aziende e la perdita di tanti posti di lavoro dimostrano chiaramente, alla fine (si spera) di questa disastrosa crisi, che i rischi a cui le aziende erano esposte non erano effettivamente noti. E stiamo vedendo che correre ai ripari dopo il disastro continua ancora oggi ad accumulare sofferenze sociali (in termini di perdita di posti di lavoro ritenuti “sicuri”) ed economiche (in termini di stagnazione della crescita del PIL).

Quindi se vogliamo parlare di lezioni che dovremmo avere imparato da quasi dieci anni di sofferenze, ci sono almeno due aspetti significativi:

–          Ogni azienda deve conoscere e gestire i rischi a cui è esposta

–          Ogni azienda deve identificare le relazioni reciproche di rischi che ha con l’esterno (contesto e parti interessate).

–

La prima affermazione è più ovvia, specialmente per chi ha l’abitudine a valutare i rischi nell’ambito della salute e della sicurezza sul lavoro. Si tratta di effettuare una valutazione dei rischi più ampia, ovvero multidisciplinare, che consideri i possibili danni che l’azienda può subire qualora si verificassero eventi indesiderati e possibili (cioè che possono effettivamente accadere con una probabilità che naturalmente non è ancora nota, ma lo sarà a seguito della analisi).

In un contesto generale solido (quindi escludendo eventuali crisi generalizzate) immaginiamo una azienda che per il 70% fattura ad un solo cliente. È evidente che un cambio di strategia del cliente, o il ridimensionamento del cliente, o qualunque accidente spinga il cliente a comprare da altri, potrebbe essere fatale alla azienda. Che probabilità associamo all’evento indesiderato? E quali contromisure si devono, eventualmente, adottare se il rischio è elevato?

Stiamo proprio parlando di gravità (del danno alla azienda) e di probabilità che l’evento indesiderato si verifichi. Quindi dei concetti comunemente utilizzati nelle valutazioni dei rischi in materia di salute e sicurezza.

Veniamo alla seconda affermazione: il rischio per l’azienda non è solo legato al business, come nel caso sopra, o ad altri fattori ovvi come la tutela degli asset, la tutela del know how, la tutela della salute e sicurezza dei lavoratori (un infortunio rappresenta anche un rischio di danno per l’azienda, e non solo in virtù del D.lgs. 231/2001); esistono altri elementi che sono legati al contesto in cui l’azienda è inserita, contesto con il quale sono in essere rapporti che generano reciproche influenze (e rischi).

Faccio un esempio basato su fatti veri: un cantiere navale posizionato lungo la foce di un fiume è notoriamente esposto ad eventuali esondazioni. Fra l’altro la cosa è talmente conosciuta ed evidente che il piano di emergenza ne tiene debitamente conto. Anche sotto altri profili la questione sembra gestita, infatti esiste una assicurazione specifica per i danni materiali in caso di esondazione; inoltre nei contratti con i clienti sono esplicitamente escluse penali nel caso di ritardi di consegna o altri disservizi dovuti a calamità naturali, incluse le esondazioni. Cosa manca? Non sembra che sia stato tutto valutato? La risposta è negativa; mancano due cose fondamentali (ovvero non sono state valutate due conseguenze negative fra loro correlate): la insoddisfazione del cliente in caso di gravi ritardi derivanti da una esondazione (la prossima volta il cliente sceglierà un altro fornitore, e la questione sarà nota a tutto l’ambiente), e l’alterazione dei flussi di cassa per il corrispondente ritardo della fatturazione. Non sono cose da poco. E non basta la vaga percezione del rischio, deve essere quantificato (monetizzato) nei casi peggiori.

Quindi la distinzione fra un mero riconoscimento intuitivo dei possibili pericoli / rischi, e invece un risk assesment sistematico e completo, può comportare una differenziazione delle strategia di difesa della azienda e del business.

Attenzione: in certi settori questa non è una novità! Nel settore petrolifero (esplorazione e produzione), già da oltre dieci anni le principali compagnie tutelano le tempistiche di avviamento dei nuovi impianti chiedendo ai fornitori chiave garanzie sia su aspetti di salute, sicurezza e ambiente (a cui associano il rischio di sospensione della attività dei fornitori per il sequestro degli impianti), sia su aspetti legati al “disaster recovery”, ovvero alla capacità del fornitore di mantenere la produzione anche in caso di gravi disastri (dagli incendi ai terremoti, e per paesi diversi dal nostro, agli atti ostili da parte di soggetti terzi).

Concludendo queste poche considerazioni: il risbased thinking non solo è una necessità interna alla azienda, ma diventerà sempre di più una richiesta (e un requisito) del mercato.

Risk based thinking: siamo pronti?

Come si accennava, chi scrive si è trovato a lavorare su questi temi già dalla fine del secolo scorso, con fatica e con un approccio più qualitativo che semi oggettivo (come sottintende la norma); è sempre una questione di fortuna, si potrebbe dire. Quindi un po’ di esperienza maturata dovrebbe rendere facile la applicazione della ISO 9001:2015 così potrebbe sembrare. Invece anche chi ha avuto già esperienze sul tema della gestione aziendale basata (anche) sul rischio, e altrettanto chi viene da forti esperienze di valutazione dei rischi (tipicamente chi si è occupato di salute e sicurezza sul lavoro), trova difficoltà. In una parola sembra che nessuno sia veramente pronto a collegare tutti gli aspetti a cui fa riferimento la norma. Il rischio è quello di essere “più realisti del re”, cioè di esagerare presi da una ansia di completezza e dettaglio più formale che sostanziale.

In questo momento molti stanno lavorando sui metodi, e le proposte che possiamo conoscere sono molto varie, ma ancora piuttosto embrionali. Chi scrive a sua volta sta cercando di costruire un metodo, che vorrebbe presentare anche su queste pagine per proseguire la discussione che spera di avviare con questo articolino.

Alessandro Mazzeranghi

Fonte: puntosicuro.it

Questo articolo è pubblicato sotto una Licenza Creative Commons.