L’approccio alla gestione del rischio non richiede in sé la predisposizione di una procedura ad hoc. Tra l’altro nella nuova norma UNI EN ISO 9001:2015 è evidente una riduzione dell’impatto dei sistemi documentali quali modalità esclusive per dare evidenza dell’applicazione corretta ed efficace dello standard. Al contrario, è proprio l’applicazione efficace – in questo caso – di un approccio alla gestione del rischio – che determina un sistema ben gestito. Pertanto è assolutamente possibile dimostrare di applicare il risk based thinking anche senza avere una procedura documentata ad hoc.
Fin qui il ragionamento per stare dentro al dettato normativo della nuova ISO. Ogni organizzazione deve tuttavia poter valutare l’opportunità nel proprio sistema di gestione di adottare le modalità più efficaci affinché si conseguano questi obiettivi. Nelle organizzazioni più complesse, pur non essendo ormai l’unica strategia da adottare, la cura e l’implementazione di un sistema documentale (sempre meno cartaceo e sempre più digitalizzato) è una modalità adeguata non solo per dimostrare certi requisiti, ma anche per sostenere l’organizzazione e le persone che vi lavorano nell’applicazione del sistema. In questo caso, da valutare è l’opportunità di una procedura che riprenda i diversi punti della norma in cui viene richiamato l’approccio alla gestione del rischio e descriva responsabilità ed azioni inerenti la gestione di questo processo.
Nei seguenti punti della nuova norma UNI EN ISO 9001:2015 è richiamata la gestione del rischio:
- 4.1 Comprensione dell’organizzazione e del contesto
- 4.2 Comprensione delle esigenze e aspettative delle parti interessate
- 6.1 Azioni per affrontare rischi e opportunità
- 6.2 Obiettivi e pianificazione per conseguirli
- 7.1 Risorse
- 7.3 Consapevolezza
- 7.4 Comunicazioni
- 7.5.1 Informazioni documentate
- 7.5.3 Controllo dell’informazione documentata
- 9.3 Riesame di Direzione
- 10.1 Non conformità e azioni correttive
La procedura sulla gestione del rischio potrebbe esplodere ciascuno di questi in un paragrafo, andando ad approfondire modalità e sequenza di azioni che si sviluppano sul punto. Ad esempio, nel caso della comprensione dell’organizzazione e del contesto (4.1) si può indicare:
- chi è responsabile di tale processo
- quali sono gli step che conducono alla comprensione
- quali sono le metodologie utilizzate per svolgere la comprensione del contesto
- quali le tempistiche di svolgimento
- quali infine i documenti in uscita che attestano lo svolgimento dell’azione