La nuova norma UNI EN ISO 9001:2015 a differenza della precedente versione del 2008 non prevede che l’Alta direzione nomini un proprio ‘rappresentante’ per la qualità. Il buon responsabile qualità sembra così andare in pensione!
Tuttavia, la stessa norma prescrive che la Direzione stabilisca i ruoli, le autorità e le responsabilità pertinenti per il sistema di gestione per la qualità aziendale. Ciò significa che devono essere definiti ruoli e responsabilità di tutte le figure necessarie al funzionamento dei processi. Tra questi ruoli la Direzione può pertanto ritenere utile mantenere il Responsabile Qualità per assicurare il presidio del sistema di gestione.
A tale figura potrebbe inoltre essere associata quella di Risk Manager, ruolo da affidare alla stessa autorità oppure ad autorità differente.
In un precedente articolo sulla gestione documentale abbiamo già affrontato il tema della non obbligatorietà dell’adozione di un sistema documentale così come lo abbiamo conosciuto nella precedente versione della norma UNI EN ISO 9001:2008.
In particolare abbiamo visto come solo alcune aspetti sono prescritti in forma documentale.
- Lo scopo e campo di applicazione del SGQ
- La definizione dei processi e le interazioni tra processi
- La politica della qualità
- Gli obiettivi della qualità
Non vi è il Manuale Qualità, a differenza della precedente versione della norma. Questo non significa di non poterlo adottare. Si tratta di una scelta dell’organizzazione, sia per decidere ‘se’ adottarlo o meno, sia in quale forma.
Dal nostro punto di vista il Manuale Qualità, come alcune procedure documentate rappresenta una buona modalità di espressione da parte di un’organizzazione della sua modalità organizzativa. Si tratta di fermare in qualche modo alcuni aspetti fondamentali di organizzazione, di funzionamento e di attribuzione di responsabilità che diventa praticamente necessario per tutti i tipi di organizzazione.
No, la nuova norma UNI EN ISO 9001:2015, in termini generali non vincola l’organizzazione all’adozione – come per la precedente norma, del manuale qualità, di alcune specifiche procedure documentate e altra documentazione inerente il sistema qualità.
Sì, la nuova norma UNI EN ISO 9001:2015, più specificamente, conferma l’obbligo di alcune in particolare ‘informazioni documentate’ cosiddette di tipo prescrittivo. Pur lasciando libera l’organizzazione dal valutare se adottare ancora in forma scritta il manuale e le procedure, vincola a mantenere alcune particolari idonee informazioni documentate (leggi avere un documento prescrittivo in forma scritta).
Ma quali sono queste informazioni documentate da dimostrare in forma scritta?
- Lo scopo e campo di applicazione del SGQ
- La definizione dei processi e le interazioni tra processi
- La politica della qualità
- Gli obiettivi della qualità
Tuttavia la nuova norma indica come l’organizzazione debba includere nel sistema di gestione le informazioni documentate che l’organizzazione determina necessarie per l’efficacia del sistema di gestione per la qualità.
Ciò significa che l’impianto del sistema documentale, quali e quante informazioni documentate non solo includere tra quelle prescrittive (es. procedure, protocolli, lo stesso manuale qualità), ma anche su quale tipo di supporto renderle disponibili (cartaceo, digitale), è rimesso alla scelta dell’organizzazione. Questo implica un lavoro necessario ed importante sul piano della progettazione del sistema.
L’approccio alla gestione del rischio non richiede in sé la predisposizione di una procedura ad hoc. Tra l’altro nella nuova norma UNI EN ISO 9001:2015 è evidente una riduzione dell’impatto dei sistemi documentali quali modalità esclusive per dare evidenza dell’applicazione corretta ed efficace dello standard. Al contrario, è proprio l’applicazione efficace – in questo caso – di un approccio alla gestione del rischio – che determina un sistema ben gestito. Pertanto è assolutamente possibile dimostrare di applicare il risk based thinking anche senza avere una procedura documentata ad hoc.
Fin qui il ragionamento per stare dentro al dettato normativo della nuova ISO. Ogni organizzazione deve tuttavia poter valutare l’opportunità nel proprio sistema di gestione di adottare le modalità più efficaci affinché si conseguano questi obiettivi. Nelle organizzazioni più complesse, pur non essendo ormai l’unica strategia da adottare, la cura e l’implementazione di un sistema documentale (sempre meno cartaceo e sempre più digitalizzato) è una modalità adeguata non solo per dimostrare certi requisiti, ma anche per sostenere l’organizzazione e le persone che vi lavorano nell’applicazione del sistema. In questo caso, da valutare è l’opportunità di una procedura che riprenda i diversi punti della norma in cui viene richiamato l’approccio alla gestione del rischio e descriva responsabilità ed azioni inerenti la gestione di questo processo.
Nei seguenti punti della nuova norma UNI EN ISO 9001:2015 è richiamata la gestione del rischio:
- 4.1 Comprensione dell’organizzazione e del contesto
- 4.2 Comprensione delle esigenze e aspettative delle parti interessate
- 6.1 Azioni per affrontare rischi e opportunità
- 6.2 Obiettivi e pianificazione per conseguirli
- 7.1 Risorse
- 7.3 Consapevolezza
- 7.4 Comunicazioni
- 7.5.1 Informazioni documentate
- 7.5.3 Controllo dell’informazione documentata
- 9.3 Riesame di Direzione
- 10.1 Non conformità e azioni correttive
La procedura sulla gestione del rischio potrebbe esplodere ciascuno di questi in un paragrafo, andando ad approfondire modalità e sequenza di azioni che si sviluppano sul punto. Ad esempio, nel caso della comprensione dell’organizzazione e del contesto (4.1) si può indicare:
- chi è responsabile di tale processo
- quali sono gli step che conducono alla comprensione
- quali sono le metodologie utilizzate per svolgere la comprensione del contesto
- quali le tempistiche di svolgimento
- quali infine i documenti in uscita che attestano lo svolgimento dell’azione
La nuova norma UNI EN ISO 9001:2015 conferma l’approccio per processi che fa proprio il Ciclo di Deming come strategia per assicurare il miglioramento continuo verso livelli via via maggiori di qualità. L’approccio per processi è caratterizzato dalla sequenza che vede un input come base per l’avvio del processo, la fase trasformativa e un output, la fase in uscita. I processi poi sono tra loro interrelati e il sistema identifica tali relazioni reciproche.
L’approccio alla gestione del rischio non identifica un ‘super processo’ o un processo in sé separato dagli altri, ma si innesta, fin dalla progettazione del sistema, innervando tutti i processi. La stessa identificazione dei processi procede dall’analisi del contesto e dalla comprensione delle esigenze e delle aspettative delle parti interessate, due elementi che diventano centrali.
I punti della nuova norma che investono l’approccio alla gestione del rischio sono trasverali ai vari capitoli della norma:
- 4.1 Comprensione dell’organizzazione e del contesto
- 4.2 Comprensione delle esigenze e aspettative delle parti interessate
- 6.1 Azioni per affrontare rischi e opportunità
- 6.2 Obiettivi e pianificazione per conseguirli
- 7.1 Risorse
- 7.3 Consapevolezza
- 7.4 Comunicazioni
- 7.5.1 Informazioni documentate
- 7.5.3 Controllo dell’informazione documentata
Per questo, ogni processo è interessato da questo approccio e dovrebbe prevedere al proprio interno una valutazione e un trattamento del rischio. Per fare un esempio, il processo di gestione delle risorse umane, dovrebbe identificare i rischi connessi con la gestione stessa (es. rischi di inadeguatezza delle competenze rispetto ai fabbisogni dell’azienda, rischi di scarsa qualificazione, rischi di non sufficiente efficacia degli apprendimenti, rischi legali sul piano giuslavoristico, rischi di discriminazione nel trattamento delle persone ecc.). E, in base alla valutazione dei rischi, prevedere un trattamento adeguato, anche in termini di mitigazione di tali rischi. Alcuni di questi sono generici, altri specifici per l’azienda che dovrà tuttavia approntare le proprie strategie per rispondere all’esigenza di assicurare al cliente il pieno soddisfacimento delle proprie aspettative.
Le principali differenze terminologiche tra la UNI EN ISO 9001:2008 e la UNI EN ISO 9001:2015 sono riassunte in una tabella riportata in appendice dalla stessa norma internazionale e di cui ne riportiamo qui di seguito il contenuto.
UNI EN ISO 9001:2008 | UNI EN ISO 9001:2015 |
Prodotti | Prodotti e servizi |
Esclusioni | Non utilizzato |
Rappresentante della direzione | Non utilizzato (analoghe autorità e responsabilità vengono assegnate, ma non necessariamente a tale figura) |
Documentazione, Manuale della Qualità, Procedure documentate, Registrazioni | Informazioni documentate |
Ambiente di lavoro | Ambiente per il funzionamento dei processi |
Apparecchiature di monitoraggio e misurazione | Risorse per il monitoraggio e la misurazione |
Prodotto approvvigionato | Prodotti e servizi forniti dall’esterno |
Fornitore | Fornitore esterno |
Sappiamo che i cambiamenti che subiscono le norme internazionali non sono spesso significativi, ma in questo caso il passaggio alla nuova UNI EN ISO 9001:2015 (a differenza di quanto ad esempio era accaduto con la versione precedente della norma, la 2008) sembra contraddire questo assunto.
In effetti due sono a nostro avviso i principali elementi di novità che potremmo definire ‘strutturali’. Il primo è dato dall’architettura stessa della norma, che si ispira alla nuova High Level Structure, ossia la struttura di alto livello che ormai tutte le norme internazionali hanno assunto o assumeranno nella nuova configurazione. Questo permetterà in definitiva di avere sistemi maggiormente integrabili. Pensiamo ad un vantaggio operativo non da poco. Finora uno degli aspetti più complessi per le organizzazioni era quello di integrare il più possibile procedure e documentazione proveniente o richiesta da norme o sistemi di gestione differenti, la qualità, sistemi di salute e sicurezza, privacy, qualità alimentare, ambiente ecc. Questo nuovo approccio di fondo favorisce l’introduzione di uno schema comune a cui non solo le norme si ispirano ma sono effettivamente elaborate. In questo senso una comune suddivisione in capitoli sovrapponibili, al di là del contenuto diverso ovviamente da norma a norma, favorisce l’integrazione dei sistemi, un buon vantaggio operativo che sprona ancor più le organizzazioni ad adottare sistemi di gestione integrati.
Il secondo approccio che differenzia e connota la nuova norma UNI EN ISO 9001:2015 è l’approccio alla gestione del rischio. Su questo le organizzazioni più accorte hanno da tempo messo energie per modificare i propri modelli di gestione e intervenire anche in ottica efficientamento anche con la mitigazione di rischi (si pensi ad esempio ai rischi finanziari, ai rischi legali ecc.). Sotto questo profilo, la nuova norma, introduce il risk management come elemento trasversale ai processi, di cui cioè tutti i processi devono essere informati. Non è in questo senso riducibile la strategia ad una mera procedura di gestione del rischio. Si tratta di integrare l’approccio a partire dai livelli strategici dell’organizzazione e – in ottica top down – riversarli a cascata su tutti i processi fino a quelli operativi. Un impegno quindi richiesto anzitutto alla leadership che viene perciò investita di una responsabilità che le è propria e che se ben condotta, le permette tuttavia di lavorare non solo in ottica di prevenzione dei rischi o di mitigazione di effetti negativi sull’organizzazione, i processi e in definitiva sulla capacità di soddisfare le esigenze dei propri Clienti, ma anche nella direzione di cogliere appieno le opportunità interne ed esterne che possano favorire il conseguimento degli obiettivi aziendali, elemento questo che non sempre viene sottolineato ma che è espresso nel concetto multisemico di rischio e della sua gestione.
Su tutti i vantaggi sono stabiliti dalla norma stessa che, nella sua parte introduttiva, spiega come la norma specifica i requisiti del sistema di gestione qualità quando un’organizzazione:
- Ha l’esigenza di dimostrare la propria capacità di fornire con regolarità prodotti o servizi che soddisfano i requisiti del cliente e quelli cogenti applicabili
- Mira ad accrescere la soddisfazione del cliente tramite l’applicazione efficace del sistema
In linea generale quindi i vantaggi possono derivare dalla possibilità di partecipare a mercati (pubblici o privati) per i quali l’accesso è vincolato o incoraggiato dal possesso della certificazione. Vi sono poi vantaggi diretti per l’organizzazione che intenda applicare il sistema perché assume un metodo utile per l’efficientamento dei propri processi produttivi, compresa una migliore e più sistematica gestione del rischio. Tutti questi effetti, sono differentemente applicabili ad organizzazioni pubbliche, private for profit e private non profit, a seconda delle loro specifiche finalità. In generale il sistema di gestione per la qualità certificato dovrebbe consentire una valutazione di parte terza dimostrabile a terzi, soprattutto a clienti e fornitori, capace di aumentare ad esempio la propria affidabilità, il controllo dei processi, la riduzione e la reazione ad eventuali danni e non conformità ecc.
Vi sono molte ragioni per le quali un’organizzazione dovrebbe certificarsi UNI EN ISO 9001:2015. Anzitutto per i vantaggi che l’applicazione di un sistema di gestione per la qualità conforme alla norma internazionale porta all’organizzazione stessa in termini di capacità di fornire con regolarità prodotti o servizi che abbiano la soddisfazione dei requisiti dei clienti.
La diffusione della certificazione dei sistemi qualità ha tuttavia introdotto nel tempo anche altri vantaggi che – per converso – possono essere letti anche come fattori che influenzano (se non determinano) il comportamento dell’impresa. Ad esempio, nei bandi di gara per l’aggiudicazione di appalti pubblici, la certificazione qualità è un requisito di idoneità tecnica e vi sono particolari obblighi ad esempio nel settore delle costruzioni. In altri casi i sistemi di accreditamento istituzionale (in ambito sanitario o in ambito formativo ad esempio – non in tutte le Regioni), obbligano al conseguimento della certificazione qualità. In altri casi, anche commesse private, ad esempio da gruppi multinazionali, richiedono l’applicazione di sistemi di gestione certificati per poter entrare in contratto.
La norma UNI EN ISO 9001:2015 è uscita il 22 settembre 2015, ma con data di pubblicazione il 15 settembre 2015. La transizione al nuovo standard è possibile entro 3 anni dalla data di pubblicazione.
In particolare, come riporta Accredita nel proprio sito istituzionale:
“Nuove certificazioni e rinnovi
Fino a 3 anni dalla pubblicazione della nuova edizione 2015 della ISO 9001, saranno valide le nuove certificazioni e i rinnovi emessi a fronte di entrambe le edizioni della norma ISO 9001, sia 2008 che 2015.
La data di scadenza delle certificazioni ISO 9001:2008 emesse durante il periodo transitorio di 3 anni dovrà però corrispondere alla fine di tale periodo.
Revoche delle certificazioni
A 3 anni dalla pubblicazione della nuova edizione 2015 della ISO 9001 – cesseranno di valere – e saranno contestualmente revocate – le certificazioni rilasciate a fronte della ISO 9001:2008.”
L’accreditamento è un processo di attestazione istituzionale sulla base di requisiti e/o indicatori cogenti, diretta generalmente a qualificare i soggetti erogatori di servizi pubblici o di pubblico interesse e ad aumentarne i livelli delle prestazioni, oltre che a istituire un elenco di soggetti con i quali la Pubblica Amministrazione si riserva la possibilità di concludere accordi finanziari.
La certificazione di un sistema di gestione qualità attesta la corretta ed efficace applicazione, cioè la conformità, alla norma internazionale UNI EN ISO 9001:2015.
Un ‘processo’ è un descrive una trasformazione a partire da input, cioè risorse in ingresso, sulla base di attività che danno origine ad un output, una realizzazione. L’approccio per processi è dunque un approccio metodologico che informa trasversalmente l’intera norma UNI EN ISO 9001:2015 ed è basato su queste trasformazioni. Esso incorpora il ciclo PDCA e il risk-based thinking (vedi Glossario). Il Sistema Qualità certificabile UNI EN ISO 9001:2015 deve adottare un approccio per processi, già presente nella precedente versione della norma internazionale UNI EN ISO 9001:2008.
Una delle finalità essenziali di un sistema di gestione è quello di dotare l’organizzazione di un sistema che riesca preventivamente a ridurre l’insorgenza di prodotti o servizi non conformi e quindi a generare una minore soddisfazione del cliente.
Già con le precedenti versi delle norme, ad esempio con le azioni preventive, gli audit e il riesame periodico ecc., esisteva un orientamento a tale approccio. Con la nuova norma questo diventa non solo esplicitato, a pervade tutti i processi del sistema di gestione qualità. Per questo si parla di integrazione dell’approccio per processi e non di sostituzione con il nuovo approccio.
Sebbene la norma (al punto 6.1) specifichi che l’organizzazione debba pianificare le azioni per affrontare i rischi, non vi sono particolari requisiti che obbligano le organizzazioni ad adottare un metodo piuttosto che un altro.
Il rischio – come abbiamo illustrato nel glossario – “è interpretato come ‘effetto dell’incertezza’ e dunque nella sua duplice accezione, negativa da un lato (minaccia), positiva dall’altro (opportunità)”. L’approccio corretto alla gestione dei rischi in un’organizzazione è quindi rivolto sia alle minacce che alle opportunità.
Inoltre la nuova norma, pur non obbligando in tal senso, sembra adottare un modello top down, modello che si ritrova didatticamente anche nella articolazione normativa e nella suddivisione dei capitoli. Scompaiono le azioni preventive, evidentemente sostituite dall’approccio sistematico e pervasivo di tutti i processi aziendali. Una valida linea guida è offerta dalla ISO 31000:2010.
Ecco i punti della nuova norma UNI EN ISO 9001:2015 in cui è richiamata la gestione del rischio:
4.1 Comprensione dell’organizzazione e del contesto
4.2 Comprensione delle esigenze e aspettative delle parti interessate
6.1 Azioni per affrontare rischi e opportunità
6.2 Obiettivi e pianificazione per conseguirli
7.1 Risorse
7.3 Consapevolezza
7.4 Comunicazioni
7.5.1 Informazioni documentate
7.5.3 Controllo dell’informazione documentata
9.3 Riesame di Direzione
10.1 Non conformità e azioni correttive
Nel Glossario, alla voce Il Ciclo di Deming è stato descritto il significato di tale circolo che prende il nome dal suo ideatore ed estensore, William Edwards Deming (1900-1993), uno dei più famosi studiosi della qualità. Il Ciclo PDCA (o ruota di Deming appunto) può essere descritto – come richiamato dalla nuova norma UNI EN ISO 9001:2015 – come segue:
P – PLAN (Pianificare): pianificare significa determinare gli obiettivi del sistema e i suoi processi. Inoltre la pianificazione implica altresì la definizione delle risorse necessarie per fornire risultati in conformità ai requisiti del cliente. Non ultimo, è nella fase di pianificazione che l’organizzazione deve identificare e affrontare i rischi e le opportunità.
D – DO (Fare): è la fase realizzativa, nella quale si dà attuazione a ciò che è stato pianificato.
C – CHECK (Verificare): il check, implica un controllo che si estrinseca nel monitoraggio e laddove applicabile nella misurazione sia dei processi del sistema sia dei risultati conseguiti.
A – ACT (Agire): è la fase della correzione e del miglioramento, atta ad intraprendere azioni dirette a migliorare le prestazioni.”
Sempre nel Glossario è possibile trovare una rappresentazione grafica del Ciclo PDCA, un circolo di quattro blocchi logicamente seguenti l’uno all’altro in una connessione senza soluzione di continuità. Di seguito una rappresentazione grafica del Ciclo PDCA.
Il ciclo di Deming presiede logicamente al funzionamento del sistema di gestione. Potremmo immaginare anche altri tipi di logiche a base di un sistema di gestione, ma sarebbero conformi alla norma ISO. Se si analizza bene anche la nuova norma UNI EN ISO 9001:2015, l’approccio per processi si fonda esattamente su questa logica in quattro fasi, la pianificazione, la realizzazione, il controllo e la correzione. Dalla pianificazione del sistema con gli obiettivi per la qualità a quella operativa, tutto è basato sulla sequenza logico-cronologica PDCA.
Il ciclo di Deming ha numerose applicazioni, sia all’interno del sistema di gestione, sia in generale in ambito organizzativo e aziendale. Tra queste segnaliamo alcune di particolare rilievo:
- Le procedure operative e le istruzioni di lavoro per i singoli addetti
- I processi aziendali in genere
- La comprensione del contesto interno ed esterno dell’organizzazione
- Il lavoro per progetti
- Lo sviluppo di programmi di crescita per le risorse umane dell’organizzazione
- Ecc.
Inoltre la ruota di Deming consente di utilizzare l’approccio al miglioramento continuo in azienda. Spesso infatti le organizzazioni procedono per innovazioni o ristrutturazioni, rivoluzioni. L’approccio dei sistemi di gestione per la qualità conformi a UNI EN ISO 9001:2015, semmai incardinano questa attitudine all’interno di un processo pianificato. Ciò che emerge è piuttosto la capacità/possibilità per l’organizzazione di migliorarsi se e solo se tutte le parti del sistema xi impegnano in tale miglioramento costante, non fatto a ‘strappi’, ma poco per volta, ma senza sosta.