ISO 9001 e la gestione del rischio: un cambio di paradigma
Negli ultimi anni, la gestione del rischio ha assunto un ruolo sempre più centrale nel garantire la qualità e la sostenibilità dei processi aziendali. Lo standard ISO 9001:2015 ha rappresentato un punto di svolta, introducendo l’approccio basato sul rischio come pilastro fondamentale dei sistemi di gestione per la qualità. Con la nuova versione della ISO 9001, attesa per il 2026, si prevede un ulteriore rafforzamento di questo approccio, con una particolare enfasi sull’analisi del rischio e l’introduzione del concetto di resilienza operativa. Quest’ultima è definita come la capacità strategica di un’organizzazione di assorbire, reagire e adattarsi efficacemente a eventi avversi o imprevisti, assicurando la continuità delle performance e dei processi aziendali.
La ISO 9001, integrata dalle Linee Guida ISO 31000:2018, offre un quadro di riferimento utile per una gestione del rischio proattiva e strutturata. Sebbene la ISO 31000 non sia certificabile, essa fornisce strumenti preziosi per rafforzare la governance, ridurre le vulnerabilità e promuovere una cultura aziendale orientata alla prevenzione.
L’approccio basato sull’analisi del rischio consente di anticipare le incertezze, ridurre gli effetti negativi o accettare consapevolmente il rischio, con l’obiettivo di favorire in ogni caso processi di miglioramento continuo.
Le fasi del processo di gestione del rischio, secondo la ISO 9001, comprendono: l’IDENTIFICAZIONE DEI RISCHI, attraverso l’analisi delle fonti, degli impatti e delle cause, considerando minacce interne ed esterne; la VALUTAZIONE, che classifica i rischi in base alla probabilità e all’impatto per definire le priorità; il TRATTAMENTO, che prevede la scelta della strategia più adeguata per ciascun rischio, come evitarlo, mitigarne gli effetti, trasferirlo (ad esempio tramite assicurazione) o anche accettarlo; infine, il MONITORAGGIO e la revisione costante del processo, per garantirne l’efficacia e l’allineamento con gli obiettivi aziendali.
Tra i diversi strumenti disponibili per la gestione del rischio, merita particolare attenzione la Matrice di Probabilità e Impatto. Il metodo consente di classificare i rischi in base a due parametri fondamentali: la PROBABILITÀ, ovvero la possibilità che un evento rischioso si verifichi e l’IMPATTO, ovvero le conseguenze che tale evento può avere sull’organizzazione. Nel metodo oggetto di analisi, si attribuisce un peso maggiore all’IMPATTO rispetto alla PROBABILITÀ. Nello specifico, l’impatto contribuisce per il 70%, mentre la probabilità incide per il 30%. Di conseguenza, il RISCHIO INERENTE (RI) – inteso come il livello di rischio naturale o originario associato a un’attività, processo o situazione prima dell’adozione di misure di mitigazione – è calcolato secondo la seguente formula:
RI = (30% Probabilità) + (70% Impatto)
| Probabilità | Descrizione | Impatto 20 Irrilevante | Impatto 40 Danni minimi | Impatto 60 Impatto Marginale | Impatto 80 Impatto Significativo | Impatto 100 Impatto Estremo |
|---|---|---|---|---|---|---|
| Bassa (20) | Evento raro | RI = (20×30%) + (20×70%) = 6 + 14 = 20 | RI = (20×30%) + (40×70%) = 6 + 28 = 34 | RI = (20×30%) + (60×70%) = 6 + 42 = 48 | RI = (20×30%) + (80×70%) = 6 + 56 = 62 | RI = (20×30%) + (100×70%) = 6 + 70 = 76 |
| Improbabile (40) | Evento difficile a verificarsi | RI = (40×30%) + (20×70%) = 12 + 14 = 26 | RI = (40×30%) + (40×70%) = 12 + 28 = 40 | RI = (40×30%) + (60×70%) = 12 + 42 = 54 | RI = (40×30%) + (80×70%) = 12 + 56 = 68 | RI = (40×30%) + (100×70%) = 12 + 70 = 82 |
| Probabile (60) | Evento che può verificarsi con una certa frequenza (ad es. 1 volta all’anno) | RI = (60×30%) + (20×70%) = 18 + 14 = 32 | RI = (60×30%) + (40×70%) = 18 + 28 = 46 | RI = (60×30%) + (60×70%) = 18 + 42 = 60 | RI = (60×30%) + (80×70%) = 18 + 56 = 74 | RI = (60×30%) + (100×70%) = 18 + 70 = 88 |
| Molto probabile (80) | Evento atteso (si verifica anche più volte in un anno) | RI = (80×30%) + (20×70%) = 24 + 14 = 38 | RI = (80×30%) + (40×70%) = 24 + 28 = 52 | RI = (80×30%) + (60×70%) = 24 + 42 = 66 | RI = (80×30%) + (80×70%) = 24 + 56 = 80 | RI = (80×30%) + (100×70%) = 24 + 70 = 94 |
| Ricorrente (100) | Evento che si verifica regolarmente | RI = (100×30%) + (20×70%) = 30 + 14 = 44 | RI = (100×30%) + (40×70%) = 30 + 28 = 58 | RI = (100×30%) + (60×70%) = 30 + 42 = 72 | RI = (100×30%) + (80×70%) = 30 + 56 = 86 | RI = (100×30%) + (100×70%) = 30 + 70 = 100 |
| Classi | Valori |
|---|---|
| Trascurabile | 1-20 |
| Moderato | 21-40 |
| Medio | 41-60 |
| Alto | 61-80 |
| Critico | 81-100 |
Attraverso la matrice, è possibile identificare i rischi potenziali, assegnare loro valori qualitativi (raro, basso, medio, alto, critico) e incrociare questi dati per determinare la priorità di intervento. In base ai risultati ottenuti, si definiscono le strategie di mitigazione più adeguate necessarie per affrontare i rischi considerati più critici.
Sebbene la ISO 9001:2015 non imponga una procedura documentata specifica, è comunque raccomandato mantenere informazioni strutturate quali: il Registro dei rischi e delle azioni di trattamento, il Piano di gestione dei rischi, i Rapporti di monitoraggio e revisione e le Evidenze delle azioni intraprese.
In conclusione, per rendere realmente efficace l’approccio alla gestione del rischio, le organizzazioni devono adottare una visione integrata e lungimirante, capace di coinvolgere ogni livello aziendale. È fondamentale che la leadership sia attivamente impegnata, affinché il rischio sia percepito non solo come una minaccia, ma come una leva strategica per il miglioramento continuo. La pianificazione deve essere proattiva, basata su un’analisi accurata delle minacce e delle opportunità, in linea con gli obiettivi aziendali. Inoltre, la gestione del rischio deve essere pienamente integrata nei processi operativi, dalla progettazione alla produzione fino all’erogazione dei servizi, per garantire resilienza, efficienza e valore nel tempo.
Sulla base di queste premesse, possiamo procedere con l’analisi di un esempio pratico. È opportuno precisare che si tratta di un caso non esaustivo, dal momento che nella realtà intervengono una pluralità di rischi e di variabili, strettamente legati alle specificità di ciascuna organizzazione
| CONTESTO | Piccola impresa informatica con 10 dipendenti |
|---|---|
| OBIETTIVO | Prevenire, contenere e mitigare i danni derivanti da attacchi informatici, garantendo la continuità operativa e la protezione dei dati aziendali e dei clienti. |
| IDENTIFICAZIONE DEL RISCHIO | Attacco hacker con ricatto (ransomware) |
| VALUTAZIONE DEL RISCHIO | Rischio Inerente = Probabilità (80 * 30%) * Impatto (100 * 70%) = 94; Classe di rischio (in base alla tabella “classi”) = Critico; Danno economico stimato €120.000 |
Per valutare in modo oggettivo l’efficacia della strategia di gestione del rischio, è fondamentale definire alcuni KPI (Key Performance Indicators) che consentano di monitorare i fattori di mitigazione. Come ad esempio:
Come utilizzare i KPI per trasformarli in strumenti efficaci di riduzione del rischio:
1) inserirli in un cruscotto mensile o in un report trimestrale
2) definire soglie di allerta per ciascun KPI
3) prevedere una revisione immediata della misura corrispondente se un KPI scende sottosoglia
