Come elaborare una procedura di gestione del rischio? La norma in sé non richiede espressamente la presenza formalizzata di una procedura ad hoc sulla gestione del rischio. Questa è piuttosto un approccio che attraversa i processi e si ritrova in vari punti della norma. Tuttavia può essere funzionale elaborare e mettere a sistema una procedura specifica sulla gestione del rischio. Questa anzitutto dovrebbe poter rappresentare ed illustrare in dettaglio alcuni aspetti fondamentali dell’enterprise risk management (ERM) che si è adottato:

• Identificazione dei rischi rilevanti che devono essere considerati
• Misurazione del livello di significatività di tali rischi per l’attività dell’organizzazione
• Il trattamento del rischio, attraverso le modalità di PDCA
• Identificazione delle autorità e responsabilità per la gestione dei rischi

Nella procedura pertanto occorre individuare come si intende anzitutto gestire il processo di identificazione dei rischi rilevanti, quali sono i punti di controllo, i metodi utilizzati, le tempistiche e le autorità coinvolte. In secondo luogo, rispetto alla misurazione e al monitoraggio del rischio (questo peraltro è anche un punto della norma che è richiesto di esplicitare) occorre individuare le metriche e gli strumenti che sono appropriati per tali obiettivi. Il trattamento del rischio deve poi entrare all’interno del funzionamento stesso del processo. La procedura pertanto potrà illustrare più in dettaglio come ciò avvenga all’interno dei diversi processi individuati. In ultima istanza l’individuazione di autorità e responsabilità definisce il quadro di coloro che all’interno dell’organizzazione assumono ruoli nella gestione del rischio e della specifica procedura.

Infine, ma non per ultimo, la procedura potrebbe entrare nel dettaglio della definizione dei diversi aspetti richiesti dalla norma in relazione alla gestione del rischio che si ritrovano ai seguenti punti della nuova UNI EN ISO 9001:2015:

• 4.1 Comprensione dell’organizzazione e del contesto
• 4.2 Comprensione delle esigenze e aspettative delle parti interessate
• 6.1 Azioni per affrontare rischi e opportunità
• 6.2 Obiettivi e pianificazione per conseguirli
• 7.1 Risorse
• 7.3 Consapevolezza
• 7.4 Comunicazioni
• 7.5.1 Informazioni documentate
• 7.5.3 Controllo dell’informazione documentata