Praticamente in tutti i settori, la gestione del rischio sta diventando una vera e propria disciplina legata al management che si integra all’interno dell’organizzazione talora anche con figure specifiche che vengono assunte nei ruoli chiave di risk manager appunto.
Quando si parla di rischi, il pensiero va naturalmente ai rischi connessi con le attività lavorative e duque alla normativa a tutela della salute e sicurezza nei luoghi di lavoro, alla valutazione dei rischi e al DVR ecc. ecc. Tuttavia, qui il concetto e l’applicazione della gestione dei rischi è ben più ampia e investe trasversalmente le attività umane, dunque appunto tutti i settori. Nel tempo, peraltro, si sono sviluppate, anche sul piano delle norme volontarie oltre che di quelle cogenti, specifici standard inerenti la sicurezza delle informazioni, la sicurezza delle attività alimentari, la tutela della riservatezza e il trattamento in sicurezza dei dati ecc. Tutte norme che approcciano bene o male specifici rischi connessi a particolari attività o al trattamento di dati e informazioni, proprio nell’ottica della gestione del rischio.
La stessa ISO ha intrapreso delle linee guida per la gestione del rischio (la ISO 31000:2010) e ha appunto ispirato il nuovo standard sia della UNI EN ISO 9001:2015 che della UNI EN ISO 14001:2015 in materia ambientale.
Il risk based thinking, l’approccio basato sulla gestione del rischio, diventa uno degli approcci cardine che informa – così come l’approccio per processi – l’intero standard normativo. Nel Glossario potete trovare approfondimenti relativi al risk based thinking e al concetto di rischio.
Con l’applicazione della nuova norma UNI EN ISO 9001:2015, tale approccio diventa sistemico e attraversa ogni processo organizzativo. Le organizzazioni sono chiamate ad assumere appieno tale approccio, considerandolo strategicamente funzionale al conseguimento dei propri obiettivi aziendali e capace di rafforzare la capacità dell’intera organizzazione di mitigare situazioni di rischio e prevenendo così effetti negativi, cogliere al meglio le opportunità e, in definitiva, migliorando la propria capacità di produrre risultati migliori e maggiormente soddisfacenti per il cliente.
Il rischio è interpretato come ‘effetto dell’incertezza’ e dunque nella sua duplice accezione, negativa da un lato (minaccia), positiva dall’altro (opportunità). La novità della ISO 9001 versione 2015 è l’approccio sistemico – si diceva; approccio che implica una sua applicazione in tutti i processi e non semplicemente come una procedura a sé o nel senso che era proprio delle cosiddette azioni preventive presenti nel vecchio standard del 2008. Mentre l’azione preventiva necessitava di essere ‘azionata’ per poter funzionare, l’approccio alla gestione del rischio implica il suo inserimento nel ciclo PDCA, laddove la pianificazione deve discendere da una analisi e valutazione dei rischi, la realizzazione deve considerare i rischi accettabili e trattare quelli non accettabili, il controllo implica un monitoraggio del rischio residuo e la correzione interviene per valutare eventuali modifiche andando a chiudere il ciclo.